Dernières actualités : données personnelles

DPA (autorité grecque)

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Un ministère grec condamné à une amende de 150 000 euros en lien avec le nouveau type de cartes d’identité pour les citoyens grecs

Dans le cadre de plaintes déposées par des particuliers du fait de demandes d’exercice des droits restées de réponse, l’autorité a examiné les questions liées à l’introduction du nouveau type de cartes d’identité pour les citoyens grecs, celles-ci ayant la particularité d’inclure notamment des données biométriques (au même titre que les passeports). Suite à son enquête, a constaté des lacunes en ce qui concerne la fourniture d’informations générales aux personnes concernées et a également estimé que l’analyse d’impact sur la protection des données requise avait été réalisée tardivement et qu’elle était insuffisante.

Pour ces raisons, elle a imposé une amende administrative de 150 000 euros au « ministère de la protection des citoyens », en tant que responsable du traitement, pour les manquements susmentionnés, tout en lui adressant une injonction de mise en conformité dans un délai de six mois. Enfin, l’autorité a souligné l’obligation de mettre à jour et de codifier le cadre juridique concernant les détails du nouveau type de cartes d’identité pour les citoyens grecs.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Non-désignation d’un délégué à la protection des données : la commune de KOUROU devra encore payer 6 900 euros

Dans une décision du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé une amende de 5 000 euros et enjoint à la commune de désigner un délégué à la protection des données. La formation restreinte a assorti l’injonction d’une astreinte – une somme d’argent à payer en cas de non-respect d’une décision – de 150 euros par jour de retard à l’issue d’un délai de deux mois.

Le 22 juillet 2024, la CNIL a décidé de liquider l’astreinte prononcée à l’encontre de la commune de KOUROU. La commune devra payer la somme de 6 900 euros pour ne s’être toujours pas conformée à son obligation de désigner un délégué à la protection des données malgré l’injonction.

Disponible sur: CNIL.fr

La Quadrature du Net

La Quadrature du Net dénonce l’essor du contrôle algorithmique chez France Travail

Selon l’association, « France Travail multiplie les expérimentations de profilage algorithmique des chômeurs, visant à évaluer leur honnêteté, attractivité et état de confiance. Cette pratique, partagée avec la CAF, s’inscrit dans un processus de numérisation forcée du service public de l’emploi. La Quadrature estime que l’automatisation via une myriade d’algorithmes contribue à une déshumanisation de l’accompagnement social.

« Score de suspicion » visant à évaluer l’honnêteté des chômeur·ses, « score d’employabilité » visant à mesurer leur « attractivité », algorithmes de détection des demandeur·ses d’emploi en situation de « perte de confiance », en « besoin de redynamisation » ou encore à « risque de dispersion » […] Au nom de la « rationalisation » de l’action publique et d’une promesse « d’accompagnement personnalisé » et de « relation augmentée », se dessine ainsi l’horizon d’un service public de l’emploi largement automatisé. Cette automatisation est rendue possible par le recours à une myriade d’algorithmes qui, de l’inscription au suivi régulier, se voient chargés d’analyser nos données afin de mieux nous évaluer, nous trier et nous classer. Soit une extension des logiques de surveillance de masse visant à un contrôle social toujours plus fin et contribuant à une déshumanisation de l’accompagnement social. »

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

L’Usine digitale

Trois collectivités territoriales sur dix estiment être en retard en matière de cybersécurité

31% : c’est la proportion de collectivités territoriales françaises qui s’estiment “plutôt en retard” ou “très en retard” en matière de cybersécurité, notamment sur l’exposition au risque cyber et sur la maturité de leur organisation. 36% d’entre elles estiment être à niveau, tandis que 29% s’estiment en avance (24% dans les communes rurales). Des chiffres issus d’une étude menée auprès de 201 élus, directeurs généraux des services, directeurs de cabinet et de service de collectivités territoriales en France, et publiée par la start-up de cybersécurité HarfangLab.

Disponible sur: usine-digitale.fr

CNIL

Législatives anticipées : la CNIL poursuit ses actions pour protéger les données des électeurs

La communication et la prospection politiques reposent sur une utilisation croissante de données personnelles et n’échappent pas à la numérisation accélérée de notre société. De nouveaux usages en ligne se développent depuis plusieurs années, notamment au travers des réseaux sociaux. Le respect des règles en matière de protection des données est devenu une question centrale dans le processus électoral et, plus généralement, dans la vie démocratique. De plus en plus de personnes sollicitent la CNIL sur les mauvaises pratiques qu’elles observent et n’hésitent pas à les dénoncer publiquement.

Afin de faire face à ces différents enjeux et de s’assurer que les partis politiques et les candidats prennent en compte la législation sur la protection des données dans leurs pratiques, la CNIL a mis en place un observatoire des élections depuis 2012. Il permet notamment d’assurer le suivi des sollicitations adressées à la CNIL dans le cadre des campagnes électorales telles que les demandes de conseil des candidats ou les signalements des mauvaises pratiques.

Alors qu’elle a enregistré 167 signalements à l’issue du scrutin européen, la CNIL rappelle aux partis les règles à respecter et informe qu’elle procédera à des contrôles en fonction du nombre et de la nature des signalements qui seront reçus dans le cadre des élections législatives anticipées.

Disponible sur: CNIL.fr

CNIL

Modifications des traitements de données soumis à formalités : quelles démarches ?

Certains traitements de données de santé, soumis à des formalités préalables auprès de la CNIL, sont susceptibles d’évoluer avec le temps. Tel est également le cas des arrêtés relatifs à des traitements ayant un objet pénal, ou encore de tout texte de niveau décret ou supérieur prévoyant les caractéristiques essentielles d’un traitement de données à caractère personnel. Si les modifications ont un impact substantiel sur les modalités de mise en œuvre du traitement ou les droits des personnes, elles peuvent nécessiter l’accomplissement de nouvelles démarches auprès de la CNIL. Afin d’aider les responsables de traitement concernés (principalement des administrations centrales) à identifier et à accomplir ces démarches, la CNIL a publié ce jour une fiche pratique.

Disponible sur: CNIL.fr

CNIL

La CNIL et Départements de France renouvellent leur partenariat

La CNIL et Départements de France s’assurent, depuis 2018, de la bonne mise en œuvre du règlement général sur la protection des données (RGPD) par les départements et de la sécurisation de leurs fichiers et systèmes d’information, dans un contexte où la menace cyber est toujours élevée. Cette collaboration se traduit par une centralisation des problématiques, ainsi qu’une mutualisation des analyses et outils, au sein du groupe technique de Départements de France, avec un appui juridique et technique de la CNIL.

Les données personnelles étant un outil indispensable dans l’élaboration, l’application et l’évaluation des politiques publiques, la CNIL souhaite soutenir Départements de France dans ses efforts pour mettre en œuvre une gouvernance de la donnée personnelle respectueuse du RGPD. Les travaux communs initiés ces dernières années se poursuivront pour que le développement de l’intelligence artificielle (IA) permette l’amélioration de la qualité et de l’efficacité du service public, dans le respect des droits des personnes.

Disponible sur: CNIL.fr

DPA (autorité grecque)

Communication politique et réutilisation de fichiers: l’autorité hellénique condamne le Ministère de l’Intérieur à une amende de 400 000 euros et une députée européenne à une amende de 40 000 euros 

Dans un communiqué de presse, l’autorité de protection des données a annoncé avoir reçu un grand nombre de plaintes concernant une communication politique non sollicitée envoyée par e-mail le 1/3/2024, intitulée « 100 jours avant les élections européennes », par la députée européenne Anna Michelle Asimakopoulou. Après une série d’inspections sur place et la collecte de preuves et de données dans le cadre d’un audit, il a été constaté qu’un fichier contenant des données à caractère personnel de tous les électeurs d’outre-mer inscrits pour les élections créé le 8 juin 2023 pour un usage interne au sein du ministère de l’intérieur dans le cadre d’un objectif lié au processus électoral a fuité entre le 8 et le 23 juin 2023, car il a été prouvé que le 23 juin 2023, le fichier a été transmis au secrétaire des expatriés de la Nouvelle Démocratie de l’époque, Nikos Theodoropoulos, par un expéditeur dont l’identité et le statut n’ont pas été déterminés à ce jour, afin, selon ses dires, de l’utiliser pour l’analyse des résultats de l’élection. Il a ensuite été transmis à Mme Asimakopoulou qui s’en est servi pour envoyer un courrier électronique à tous les électeurs qu’il contenait. Le courrier électronique de Mme Asimakopoulou ne contenait pas les informations requises par l’article 14 du GDPR pour informer ses destinataires, notamment sur la source de leurs données personnelles.

Dans cette affaire, l’autorité reproche :

1 – Au ministère de l’intérieur,  la fuite d’un fichier destiné exclusivement à un usage interne, des lacunes dans les procédures et les politiques de protection des données en place, des lacunes dans l’enquête sur l’incident ainsi que des communications non fondées sur les circonstances de l’incident, et un fichier qui n’est pas tenu à jour. En conséquence, l’autorité a imposé une amende administrative d’un montant total de 400 000 EUR au ministère de l’intérieur.

2- A la députée européenne Anna Michelle Asimakopoulou, d’avoir collecté des données à caractère personnel des électeurs expatriés, y compris les coordonnées électroniques et de les avoir utilisées pour l’envoi d’un message de communication politique, ce qui est contraire au principe fondamental de légalité et de la transparence. En conséquence, elle a été condamnée à une amende de 40 000 EUR.

S’agissant du secrétaire des expatriés de la Nouvelle Démocratie de l’époque, Nikos Theodoropoulos, celui-ci n’a pas encore été condamné mais l’autorité précise avoir reporté sa décision  « étant donné que ce dernier, après l’audience et la présentation des mémoires, a soumis une déclaration sous serment sur la manière dont il a reçu les listes électorales, en tant que nouvel élément critique, dont le contenu montre la nécessité d’enquêter plus avant sur les allégations qui y sont formulées. »

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

L’autorité italienne sanctionne condamne une municipalité réalisant de la vidéosurveillance illégalement à une amende de 3 000 euros

Ce 11 avril 2024, faisant suite au signalement d’un employé qui se plaignait de l’installation d’une caméra vidéo dans le hall de la municipalité, à proximité des appareils de présence des travailleurs, l’autorité a condamné une municipalité [qui n’est pas nommée] à une amende de 3 000 euros pour traitement illégal de données à caractère personnel. Dans sa newsletter du 21 mai, l’autorité réaffirme que « l’installation d’« yeux électroniques » sur les lieux de travail doit respecter les obligations prévues par le statut des travailleurs et les garanties offertes aux employés par la législation sur la protection de la vie privée ».

Dans cette affaire, par l’utilisation des images enregistrées, l’administration avait précédemment accusé l’employé de ne pas avoir respecté ses horaires de travail, ce qui a engendré la plainte. En réponse à la demande d’explication de l’autorité, la municipalité a répondu que la caméra avait été installée pour des raisons de sécurité, suite à des agressions contre un conseiller municipal et un travailleur social. Au cours de l’enquête, le contrôleur a constaté que la municipalité n’avait toutefois pas veillé au respect des procédures de garantie prévues par le règlement sectoriel sur les contrôles à distance et qu’elle avait également utilisé les images de vidéosurveillance pour adopter une mesure disciplinaire à l’encontre de l’employé.

L’autorité a donc sanctionné l’administration et lui a ordonné de fournir à toutes les personnes concernées (travailleurs et visiteurs des locaux municipaux) des informations adéquates sur les données à caractère personnel traitées grâce à l’utilisation de la caméra vidéo en question. En effet, la municipalité n’avait pas fourni toutes les informations requises par le règlement européen et d’autres documents établis par le propriétaire à des fins différentes ne pouvaient pas être considérés comme adéquats.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut