Dernières actualités : données personnelles

DPA (autorité grecque)

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

30.000 euros d’amende pour violation du droit d’accès aux appels téléphoniques enregistrés des numéros d’urgence

L’autorité a aujourd’hui annoncé avoir examiné les plaintes de deux citoyens concernant la violation de leur droit d’accès à l’enregistrement de leurs appels téléphoniques au centre d’appel des services médicaux d’urgence (911), conformément à l’article 15 du GDPR. L’examen de l’affaire a révélé qu’en règle générale, EKAB ne fournit pas de copies des appels enregistrés aux motifs qu’il n’identifieraient pas les appelants et qu’il ne serait pas possible de les identifier en tant que personnes concernées. En outre, il a été constaté qu’aucune information concernant les personnes concernées n’était affichée sur le site web du CEPD, conformément au principe de transparence.

Ayant établi que les personnes ayant appelé le 911 sont des personnes physiques identifiables au sens du GDPR, la décision a imposé une amende de 20 000 euros au service d’ambulance pour la violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence. La décision a imposé une amende de 20 000 euros au service pour violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence, tout en ordonnant de satisfaire les droits revendiqués et de modifier la politique suivie afin que l’exercice du droit d’accès aux appels enregistrés au 911 ne soit pas empêché à l’avance de manière générale, mais que la possibilité d’identifier le demandeur en question soit examinée au cas par cas.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Norvège: l’autorité poursuit l’enquête sur l’utilisation de données de santé par des hôpitaux

Depuis le lancement de la solution de dossier médical qui communique entre les différents niveaux de responsabilité appelée « plateforme de santé » en mai 2022, l’autorité norvégienne de protection des données a reçu de nombreux rapports concernant des atteintes à la sécurité des données à caractère personnel (appelés « rapports de déviation »). Au vu de l’envergure du système, l’autorité indique qu’elle s’attendait à ce que certaines déviations se produisent au cours du déploiement, ce qui explique pourquoi elle a choisi, dans un premier temps, de suivre l’évolution de la situation de manière continue. Toutefois, compte tenu du nombre total de non-conformités, où les erreurs sont plus ou moins graves, elle a finalement de procéder à un audit de la plateforme de santé.

En particulier, dans la suite de contrôles réalisés en mai  l’autorité norvégienne a annoncé de nouveaux audits de la plateforme de santé à l’hôpital St. Olavs HF et à la municipalité de Melhus. Lors de ces audits qui auront lieu le 22 et 23 octobre, il s’agira d’éxaminer plus en détail si les mesures techniques et organisationnelles mises en œuvre par les entreprises répondent aux exigences en matière de sécurité des données à caractère personnel. Les thèmes principaux sont la gestion des accès et la gestion des non-conformités, et nous examinerons les responsabilités, les routines, l’organisation technique et la fonction opérationnelle à un niveau plus élevé.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

Enquête concernant Mediahuis Ireland Group Limited (MIG)

La DPC a achevé une enquête basée sur une plainte concernant le traitement par MIG de données à caractère personnel en relation avec une série de reportages dans les éditions imprimées et en ligne des journaux Irish Independent, Herald et Sunday Independent. L’objectif de l’enquête était d’examiner si les obligations du responsable du traitement découlant des articles 5(1)(a), 5(1)(c), 5(2), 6 et 9 du GDPR avaient été respectées et, le cas échéant, si MIG avait violé ces obligations en publiant les données personnelles relatives au plaignant contenues dans les articles de journaux concernés.. Cela a nécessité une évaluation du juste équilibre entre le droit à la liberté d’expression et le droit de la plaignante à la protection de ses données personnelles.

L’autorité a estimé que la balance ne penche pas toujours en faveur du droit à la liberté d’expression mais plutôt en faveur des droits d’un individu – en particulier lorsque la personne n’était pas une personnalité publique et/ou que les faits rapportés concernaient des activités privées de l’individu . En l’occurrence, le fait que des informations médicales soient en jeu est un élément pertinent, mais non déterminant, de l’équilibre à trouver entre la liberté d’expression et le droit à la vie privée. Les informations médicales requièrent un niveau de protection très élevé.
Toutefois, l’autorité estime qu’en l’espèce, il existait un lien évident entre les données à caractère personnel publiées, y compris les données de catégorie spéciale, et le débat d’intérêt général. Par conséquent, contrairement à ce qu’affirme le plaignant, la DPC estime que le fait que les publications contenaient des données relatives à la santé ne détermine pas automatiquement le résultat de la mise en balance avec le droit à la liberté d’expression et d’information.

Dès lors, compte tenu de l’ensemble des éléments de preuve dont il dispose, l’autorité irlandaise a conclu que l’exemption prévue à l’article 43(1) de la loi de 2018 sur la protection des données s’applique au rapport de MIG au sujet duquel la plainte a été déposée par le plaignant, et le CPD a donc rejeté la plainte en vertu de l’article 112(1)(b) de la loi de 2018 sur la protection des données. Cet article 43(1) prévoit en effet que « le traitement de données à caractère personnel aux fins de l’exercice du droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques ou à des fins d’expression académique, artistique ou littéraire, est exempté du respect d’une disposition du règlement sur la protection des données spécifiée au paragraphe 2 lorsque, compte tenu de l’importance du droit à la liberté d’expression et d’information dans une société démocratique, le respect de cette disposition serait incompatible avec ces fins. » Cela concerne notamment le chapitre à propos des « principes », y compris l’interdiction de principe de traiter des données de santé.

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

Retour en haut