Dernières actualités : données personnelles

Tietosuoja (autorité finlandaise)

A partir de novembre, l’autorité finlandaise n’acceptera plus les emails en ce qui concerne l’envoi d’informations confidentielles

Dans un communiqué publié ce jour, l’autorité finlandaise à annonce qu’à partir du 1.11.2024, et pour des raisons de sécurité elle ne pourra recevoir des messages de sécurité que par l’intermédiaire du service Safe Messaging fourni par Valtor. Les documents confidentiels ou sensibles peuvent également être envoyés via nos formulaires de notification électronique dans le service « Security Form » de Valtor. Cette approche permettra de renforcer la sécurité et d’harmoniser les pratiques de l’Autorité.

L’autorité précise qu’il est recommandé d’utiliser le service SMS s’il n’y a pas de formulaire en ligne disponible. En utilisant les formulaires électroniques prévus à cet effet, les organisations peuvent signaler des violations de données à caractère personnel, envoyer une demande de consultation préalable ou les coordonnées de leur délégué à la protection des données. Les personnes peuvent envoyer des demandes d’exercice de leurs droits en tant que personnes concernées et signaler des cas de mauvaise administration dans le traitement des données à caractère personnel.

Disponible (en finlandais) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

Selon l’autorité, vous pouvez faire appel à un mandataire pour exercer votre droit d’accès

L’autorité finlandaise a jugé qu’une personne peut faire une demande d’accès à ses propres données avec l’aide d’un agent, par exemple en demandant à une organisation de fournir à l’agent des informations la concernant. La législation sur la protection des données n’empêche pas l’exercice des droits relatifs à la protection des données par l’intermédiaire d’une autre personne. En l’occurrence, la personne avait demandé à l’administration fiscale de transmettre toutes les données personnelles à l’adresse postale de l’agent. Cependant, l’administration fiscale a refusé de fournir les informations à l’agent, arguant que les informations ne pouvaient être fournies qu’à la personne elle-même. Le contrôleur adjoint a ordonné à l’administration fiscale d’autoriser le recours à un agent pour les demandes de vérification de données à caractère personnel.

Le règlement sur la protection des données n’empêche pas l’utilisation d’un agent, par exemple, lorsqu’une personne souhaite accéder aux données la concernant. La position antérieure selon laquelle une demande d’accès à ses propres données ne pouvait être faite par l’intermédiaire d’une autre personne remonte à l’ancienne loi sur les données à caractère personnel et ne s’applique plus en vertu de la législation actuelle. Si la demande est faite par l’intermédiaire d’une autre personne, des exigences telles que la représentation légale de l’autre personne doivent être respectées.

L’administration fiscale a ainsi reçu l’ordre de modifier sa politique de traitement des demandes d’accès aux données à caractère personnel afin de la mettre en conformité avec les exigences du GDPR.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ordre du jour de la séance plénière du 26 septembre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 26 septembre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Point d’information sur les conditions d’exercice des délégués à la protection des données (DPO) :
     – Présentation des résultats de l’enquête sur le métier du DPO par des représentants du ministère du Travail (DGEFP) et de l’AFPA ;
     – Bilan des contrôles réalisés dans le cadre du Coordinated Enforcement Framework (CEF) du CEPD portant sur les « moyens du DPO » ;
     – Présentation du plan d’actions du service des délégués et de l’accompagnement pour améliorer les conditions d’exercice des DPO.

* Examen d’un projet de délibération portant avis sur un projet de référentiel de l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) relatif aux systèmes de vérification de l’âge mis en place pour l’accès à certains services permettant l’accès à des contenus pornographiques ;
* Communication relative à l’actualité du CEPD (juillet à septembre) et aux travaux en cours sur ses lignes directrices relatives à l’article 48 du RGPD.

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret modifiant le décret n° 2022-603 du 21 avril 2022 fixant la liste des autorités administratives et publiques indépendantes pouvant recourir à l’appui du pôle d’expertise de la régulation numérique et relatif aux méthodes de collecte de données mises en œuvre par ce service dans le cadre de ses activités d’expérimentation.

Disponible sur: CNIL.fr

CNIL

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

CNIL

Accompagnement renforcé : la CNIL guidera quatre entreprises pendant six mois

En mai dernier, la CNIL a lancé un nouvel appel à candidature pour permettre à des entreprises innovantes, engagées dans une évolution rapide de leurs activités et dont le modèle d’affaires repose sur le traitement de données, de bénéficier d’un appui des équipes de la CNIL. Cette année encore, la CNIL a reçu des dossiers couvrant des champs d’activités variés : identité numérique, vidéo augmentée, numérique en santé, sécurité numérique, legal tech, jeux d’argent… témoignant d’une forte demande d’accompagnement en matière de protection des données.

La CNIL a analysé les candidatures reçues sur la base de 5 critères :

  • la mise en œuvre par l’entreprise de produits, services ou procédés innovants ;
  • le fort développement économique de la société ;
  • l’impact des traitements de données personnelles sur les personnes ;
  • l’engagement dans la conformité au RGPD ;
  • l’intérêt des questions juridiques, sociétales ou éthiques soulevées.

La CNIL a sélectionné les entreprises Docaposte, Doctrine, la Française des Jeux et ShareID pour bénéficier d’un accompagnement renforcé sur les six prochains mois. Elle leur apportera des réponses sur mesure afin de les guider vers une bonne prise en compte de la règlementation sur la protection des données.

Disponible sur: CNIL.fr

UODO (autorité polonaise)

Pologne: des violations de la protection des données causées par les inondations, l’autorité rassure les responsable de traitement concernant leurs obligations

En raison des tragiques inondations qui ont touché le sud de la Pologne, l’autorité a publié le communiqué dans lequel elle indique comprendre que de nombreux responsables du traitement des données puissent se trouver dans une situation difficile, tant sur le plan personnel que sur celui de leur activité, et que la priorité absolue doit être la sécurité des personnes. L’autorité a par ailleurs déclaré, ce jour :

 » Nous sommes conscients que vous pouvez être préoccupés par la mise en œuvre de vos obligations en vertu du RGPD, y compris la notification éventuelle de violations de la protection des données.

C’est pourquoi nous vous rappelons que le délai de 72 heures pour signaler un tel incident au président de l’autorité de protection des données ne court qu’à partir du moment où il est découvert. Nous sommes conscients que, dans de nombreux cas, cela ne sera possible qu’après que la situation ait été maîtrisée et que les pertes potentielles aient été évaluées dans un premier temps. Nous sommes également conscients que certains d’entre vous ne parviendront pas à signaler les violations de la protection des données dans les délais impartis. Dans ce cas, nous vous prions de bien vouloir indiquer les raisons de ce retard en faisant référence aux conditions extraordinaires liées à la situation d’inondation.

Soyez assurés que le président et le personnel de l’Office de la protection des données à caractère personnel comprennent parfaitement les difficultés posées par la situation actuelle, de sorte que toutes les notifications que vous ferez seront examinées en tenant compte de ces circonstances particulières. » 

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

La décision de l’autorité dans l’affaire de la divulgation de données incorrectes sur les défauts de paiement est devenue définitive

En novembre 2021, l’autorité a ordonné au « Registre judiciaire » de corriger ses pratiques concernant [son absence de] contrôle de l’exactitude des informations sur les défauts de paiement communiquées aux agences de crédit. En deux mots, les informations fondées sur des jugements dans des affaires civiles étaient inscrites comme des défauts de paiement dans le registre de crédit, ce qui portait préjudice aux personnes concernées.

Après avoir mené l’enquête, l’autorité a estimé que les informations fondées sur des jugements dans des affaires civiles n’auraient pas dû être inscrites comme défauts de paiement dans le registre de crédit notamment dans la mesure où cette inscription ne démontre pas l’insolvabilité ou la mauvaise volonté de paiement d’une personne dans les cas où l’obligation de paiement est légitimement contestée. Elle a également constaté que Registre judiciaire avait communiqué aux agences de crédit des informations qui ne répondaient pas aux conditions requises par la loi sur le crédit pour les inscriptions de défauts de paiement. Ainsi, l’autorité a adressé un avertissement au Registre judiciaire pour traitement non conforme des données personnelles au regard du règlement sur la protection des données.

Au cours des péripéties judiciaires qui s’en sont suivies, le tribunal administratif d’Helsinki a maintenu la décision de l’autorité telle quelle, et la Cour suprême administrative n’a pas accordé d’autorisation de recours en août 2024 dans cette affaire. Par conséquent, la décision de l’Adjoint au délégué à la protection des données est devenue définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

Norvège: l’autorité poursuit l’enquête sur l’utilisation de données de santé par des hôpitaux

Depuis le lancement de la solution de dossier médical qui communique entre les différents niveaux de responsabilité appelée « plateforme de santé » en mai 2022, l’autorité norvégienne de protection des données a reçu de nombreux rapports concernant des atteintes à la sécurité des données à caractère personnel (appelés « rapports de déviation »). Au vu de l’envergure du système, l’autorité indique qu’elle s’attendait à ce que certaines déviations se produisent au cours du déploiement, ce qui explique pourquoi elle a choisi, dans un premier temps, de suivre l’évolution de la situation de manière continue. Toutefois, compte tenu du nombre total de non-conformités, où les erreurs sont plus ou moins graves, elle a finalement de procéder à un audit de la plateforme de santé.

En particulier, dans la suite de contrôles réalisés en mai  l’autorité norvégienne a annoncé de nouveaux audits de la plateforme de santé à l’hôpital St. Olavs HF et à la municipalité de Melhus. Lors de ces audits qui auront lieu le 22 et 23 octobre, il s’agira d’éxaminer plus en détail si les mesures techniques et organisationnelles mises en œuvre par les entreprises répondent aux exigences en matière de sécurité des données à caractère personnel. Les thèmes principaux sont la gestion des accès et la gestion des non-conformités, et nous examinerons les responsabilités, les routines, l’organisation technique et la fonction opérationnelle à un niveau plus élevé.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

Datatilsynet (autorité norvégienne)

Norvège : réprimande à l’encontre de partis après l’envoi de publicité politique 

En 2023, l’autorité norvégienne de protection des données a reçu des plaintes de plusieurs particuliers qui ont reçu des courriels contenant de la publicité politique des partis majoritaires à Stavanger (Ap, MDG, R, Sp, SV et FP). L’autorité a annoncé avoir pris la décision finale de réprimander le parti travailliste de Stavanger – au nom des partis majoritaires.

Le courriel en question a été envoyé le 20 août 2023 dans le cadre des élections municipales, et les destinataires seraient des parents d’enfants inscrits dans des jardins d’enfants et des écoles de la municipalité de Stavanger. Les coordonnées des parents auraient été divulguées par la municipalité de Stavanger en vertu de la loi sur la liberté d’information. Sur la base des plaintes reçues à propos de ces courriels, l’autorité norvégienne de protection des données a envoyé une demande d’explication au parti travailliste de Stavanger, au nom des partis majoritaires, et a notamment posé des questions sur l’objectif et la base juridique du traitement. Suite a son enquête, l’autorité norvégienne de protection des données a décidé de sanctionner (au moyen d’une réprimande) le parti travailliste de Stavanger, au nom des partis majoritaires, pour les raisons suivantes :

  • ne pas avoir procédé à des évaluations adéquates de la base juridique pertinente pour le traitement, et
  • ne pas avoir fourni d’informations sur le traitement aux personnes concernées.

Enfin, l’autorité norvégienne de protection des données annonce avoir classé l’affaire.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut