Dernières actualités : données personnelles

Amende de 2,4 millions d’euros à l’encontre de la Poste finlandaise pour des lacunes en matière de protection des données dans le service MyPost

L’autorité en Finlande a aujourd’hui annoncé avoir  imposé une amende de 2,4 millions d’euros à Posti pour ses pratiques dans le service MyPost; le service créait automatiquement une boîte aux lettres électronique pour ses clients sans qu’ils en aient fait la demande et cela a été jugé illégal par l’autorité. Cette affaire a commencé par des plaintes concernant la transmission de lettres au service en ligne de la Poste (MyPost, donc)  sans le consentement du client. L’autorité a enquêté et a constaté que la boîte aux lettres électronique était reliée à un ensemble plus large de services, y compris la redirection du courrier et le service « Mon point de retrait ». Le client ne pouvait pas choisir d’utiliser ou non la boîte MyPost parce que les différents services étaient liés dans un seul contrat. De plus, la boîte aux lettres électronique ne pouvait être supprimée sans que les autres services ne le soient également.

« Le client a pu être surpris de constater qu’une boîte aux lettres électronique avait été créée pour lui, alors qu’il avait demandé un autre service. Une personne peut avoir reçu du courrier dans une boîte aux lettres électronique sans le savoir, ce qui peut entraîner des problèmes avec les factures, par exemple », explique Anu Talus, contrôleur de la protection des données.

Un certain nombre de reproches ont ainsi été formulés :
* Les données à caractère personnel ne peuvent être traitées sur le fondement de la base légale du contrat que si elles sont nécessaires à la réalisation de l’objectif principal du contrat. Or, l’autorité a estimé que la souscription à un service particulier ne peut pas exiger que les données à caractère personnel soient également utilisées à d’autres fins, c’est-à-dire pour les autres services.
* La Poste n’a pas informé ses clients de manière suffisamment claire sur l’activation de la boîte électronique. Pire, ils ont été induits en erreur : la Poste mentionnait qu’après l’introduction du service MyPost, ils pourraient encore recevoir des lettres par courrier papier uniquement s’ils le souhaitaient. En réalité, cette option n’était pas disponible.
* Le service MyPost comportait également des paramètres techniques qui ne répondaient pas aux exigences en matière de protection des données. Il s’agissait notamment d’une case à cocher activée automatiquement et d’une case pré-cochée.

Conséquence pour la Poste : une amende de 2,4 millions d’euros et une injonction de se mettre en conformité avec le RGPD. En réponse, la Poste a annoncé qu’elle allait corriger ces paramètres de manière à ce que la réception du courrier uniquement par voie électronique ne soit plus présélectionnée. Selon la Poste, les clients pourront désormais choisir s’ils souhaitent recevoir des copies électroniques de leurs lettres papier dans leur boîte MyPost.

Disponible (en finlandais) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’autorité grecque condamne une entreprise réalisant une surveillance permanente des moyens informatiques des employés

Dans une décision publié ce jour, l’autorité grecque annonce avoir condamné une entreprise pour avoir violé les principes de légalité et de transparence. Dans cette affaire, une personne a déposé une plainte contre son ancien employeur, une société de vinification, pour plusieurs violations du RGPD intervenues pendant et après son emploi. Elle reproche notamment à son employeur d’avoir recueilli son consentement de manière non éclairée et sous pression pour signer  la « Politique de confidentialité des employés » ou encore la « charte informatiques» . Elle affirme que ces documents lui imposaient une surveillance permanente de ses communications professionnelles, et contestaient la prolongation illimitée de ses obligations de confidentialité, ce qui aurait entravé sa capacité à travailler à nouveau dans son domaine d’expertise.
De plus, elle soutient que l’employeur a violé son droit d’accès à ses données personnelles, malgré plusieurs demandes. L’employée déclare ne pas avoir reçu tous les documents contenant ses données personnelles et affirme que certaines données sensibles ont été envoyées à des tiers non autorisés via un e-mail professionnel au lieu de son e-mail personnel, comme elle l’avait demandé.

L’enquête de l’autorité de protection des données a révélé que l’employeur avait effectivement imposé à l’employée des conditions de consentement non conformes aux exigences du RGPD, en particulier en ce qui concerne la surveillance des communications professionnelles et la prolongation des obligations de confidentialité. L’employeur n’a pas pu démontrer que le consentement avait été donné de manière libre et éclairée, et il a été noté que les pratiques de traitement des données étaient opaques. En outre, concernant le droit d’accès, l’employeur a transmis à l’employée un dossier incomplet, contenant seulement les informations traitées par le service comptabilité, alors que des parties importantes des échanges internes et des données sensibles manquaient. L’enquête a également mis en évidence des lacunes dans la sécurité des données, notamment la possibilité que des tiers aient accédé aux informations de l’employée sans autorisation.

L’entreprise a en conséquence reçu un blâme et a été sommée de corriger ses pratiques, d’améliorer ses politiques de traitement des données et de fournir à l’employée un accès complet à ses données dans un délai de 3 mois.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.