Dernières actualités : données personnelles

L’autorité polonaise demande au gouvernement de modifier la loi afin que les certificats de signature électronique qualifiée ne révèlent plus le numéro PESEL (équivalent du NIR) des personnes

Le président de l’UODO a demandé au ministre de la Numérisation de modifier la loi sur les services de confiance et d’identification électronique afin que le numéro PESEL ne soit pas rendu public dans un certificat de signature électronique qualifié (au sens du règlement eIDAS). Il s’agit d’une nouvelle demande en ce sens, mais les exigences de l’autorité de contrôle n’ont pas encore produit les résultats escomptés : ce problème a été signalé au président de l’UODO par des institutions et des organisations qui utilisent des signatures électroniques qualifiées. Ce numéro PESEL est obtenu par les prestataires de services de confiance publics (signature électronique qualifiée) et ensuite rendu public, ce qui ne résulte pas de la législation européenne ou nationale.

L’autorité polonaise rappelle qu’à la lumière du règlement eIDAS, le code d’identification du certificat devrait être basé sur un numéro de registre public qui identifierait de manière unique la personne utilisant la signature électronique qualifiée. De l’avis de l’autorité de contrôle, il ne doit pas s’agir d’un numéro PESEL, mais d’un autre identifiant. Le PESEL est une donnée unique, attribuée à un citoyen pour sa relation individuelle avec l’État – il n’identifie pas seulement une personne physique de manière unique, mais permet de déterminer un certain nombre d’informations supplémentaires sur la personne, telles que le sexe ou l’âge de la personne.
En outre, la loi ne prévoit pas l’obligation de divulguer le numéro PESEL dans un document portant une signature électronique. Par conséquent, elle estime que s’il est légitime d’utiliser le numéro PESEL dans le cas de la vérification d’une personne demandant un certificat de signature électronique qualifiée, il est tout à fait discutable de divulguer cette information à d’autres personnes ayant accès au contenu de la signature.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Selon l’autorité finlandaise, la sécurité n’est pas un motif justifiant de transmettre les données au format papier plutôt qu’électronique

Dans un communiqué publié ce jour, l’autorité finlandaise déclaré que les données d’abonnement de téléphonie mobile peuvent constituer des données personnelles et sont donc soumises au règlement sur la protection des données. Cette déclaration fait suite à une décision prise concernant le comportement d’un opérateur de téléphonie mobile, suite à une plainte.

La personne concernée avait demandé l’accès à toutes les données relatives à l’utilisation de son abonnement de téléphonie mobile. Elle avait notamment demandé les heures de début et de fin des appels, les destinataires des appels, les données de localisation, les données de renvoi d’appel et d’autres données techniques, et précisant qu’elle souhaitait recevoir ces informations par voie électronique. Néanmoins, l’opérateur de téléphonie mobile n’a fourni qu’une partie des informations demandées par la personne, principalement sur papier et par courrier. Certaines des informations demandées pouvaient être téléchargées à partir du libre-service électronique de l’opérateur.

A la suite de son enquête, l’autorité a ainsi estimé que l’opérateur de téléphonie mobile avait enfreint la législation sur la protection des données en ne fournissant pas les informations par voie électronique malgré la demande. L’opérateur mobile a justifié ses actions, entre autres, par des problèmes de sécurité et par le fait qu’il ne pouvait pas être sûr que l’adresse électronique appartenait à la personne qui avait fait la demande. L’autorité a souligné que les informations auraient pu être envoyées par la poste, par exemple sur une clé USB plutôt que sur papier. Elle a, en conséquence, a adressé un avertissement à l’opérateur de téléphonie mobile.

La décision a également soulevé la question de la qualification des données relatives au trafic (comprenant notamment l’adresse IP, les CDR (« call detail record ») ou encore les informations de la station radio) et de savoir si elles peuvent être considérées comme des données personnelles. L’autorité a sobrement indiqué que cela pouvait être le cas (notamment s’agissant des adresses IP, numéros de téléphone, etc.) mais que cette question est à examiner au cas par cas, et que cela n’a pas été évalué dans ce cas précis car le plaignant n’aurait pas été suffisamment précis.

En fin d’article, l’autorité précise enfin que la décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Amende de 950 000 euros pour mBank pour n’avoir pas informé les victimes de la fuite de données

Ce 9 septembre 2024, l’autorité polonaise a infligé à mBank une amende de plus de 4 millions de PLN (4 053 173) [soit environ 950 000 euros] pour n’avoir pas informé les personnes touchées par la fuite de données.

L’autorité précise que la banque n’a pas respecté ses obligations [de notification] en vertu du RGPD après que les données personnelles d’un groupe de clients ont été transmises à un destinataire non autorisé le 30 juin 2022. Dans un tel cas, les personnes concernées doivent être informées de l’incident, les conséquences possibles et les remèdes doivent être décrits, et un contact pour le délégué à la protection des données qui pourrait fournir plus d’informations sur la violation doit être fourni.

En l’occurrence, un employé d’une société traitant des données à caractère personnel pour le compte d’une banque a commis une erreur et a envoyé des documents de clients à une autre institution financière. Les documents ont été renvoyés à la banque, mais l’enveloppe avait été ouverte auparavant. Par conséquent, des tiers ont pu avoir accès aux documents et il n’est pas exclu qu’ils en aient pris connaissance. Les documents contenaient : noms et prénoms, noms des parents, dates de naissance, numéro de compte bancaire, adresse de résidence ou de domicile, numéro PESEL, données sur les revenus et/ou les biens détenus, nom de famille de la mère, série et numéro de la carte d’identité, autres (informations sur les crédits et les biens immobiliers).

La banque n’a pas informé ses clients de l’incident, malgré les recommandations du président de l’UODO. La banque a justifié son silence en affirmant que les documents avaient été envoyés par erreur à une institution soumise au secret bancaire, avec laquelle elle coopère et qu’elle considérait donc comme une entité de confiance. Le président de l’UODO n’a pas reconnu la position de la mBank : une analyse approfondie des lignes directrices 9/2022 montre clairement que ce n’est pas le statut du destinataire, la reconnaissance du destinataire en tant que soi-disant institution (personne) de confiance publique ou agissant dans le cadre de la législation applicable, mais l’existence d’une relation directe (permanente) entre l’expéditeur et le destinataire de la correspondance envoyée par erreur qui détermine l’admissibilité de la reconnaissance d’une entité particulière en tant que soi-disant « destinataire de confiance ».

Le président de l’autorité de protection des données a estimé que la possibilité de divulgation d’un tel volume de données crée un risque énorme pour les personnes concernées. Comme elles n’ont pas été informées du problème, elles n’ont pas pu contrer les éventuels effets négatifs de la violation. En conséquence, l’autorité a décidé de prononcer une amende contre la banque, précisant par ailleurs que  » compte tenu du fait qu’en vertu des dispositions du RODO, l’amende pourrait s’élever à 337 millions de PLN [environ 78 millions d’euros], elle devrait être considérée comme relativement modérée »

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.