Dernières actualités : données personnelles

Le « Conseil d’Etat » polonais confirme l’amende prononcée contre une société qui conditionnait le retrait du consentement à la justification dudit retrait

La société ClickOuickNow devra payer une amende imposée par le président de l’UODO : c’est ce qu’a aujourd’hui publié l’autorité dans un communiqué. La Cour administrative suprême (ASN) a rejeté son pourvoi en cassation contre le verdict du tribunal administratif de la voïvodie (WSA) de Varsovie sur une plainte contre une décision par laquelle la PUODO a imposé une amende de 201 559,50 PLN [soit environ 47 000 euros]. Le tribunal, comme le tribunal administratif de la voïvodie de Varsovie avant lui, a partagé la position présentée dans la décision du président de l’UODO du 16 octobre 2019 et les arguments de l’autorité de contrôle sur le bien-fondé de l’imposition de la sanction, ainsi que sur son montant.

La décision du PUODO d’imposer une sanction était liée à la violation par ClickOuickNow du règlement général sur la protection des données. Selon l’autorité, la société a entravé le processus de retrait du consentement au traitement des données personnelles en utilisant des solutions organisationnelles et techniques compliquées lorsqu’une personne tentait de retirer ce consentement.  Cela a également été confirmé par l’ASN qui a notamment estimé que les personnes qui ont tenté de retirer leur consentement au traitement des données à caractère personnel ont été induites en erreur. Elles ont reçu un message qui se lisait comme suit : « Votre révocation de consentement aujourd’hui 13.02.2019 ! ». Néanmoins, comme l’a souligné la Cour, la réception d’un tel message ne signifiait pas du tout une révocation effective du consentement, mais obligeait la personne à indiquer la raison de la révocation du consentement. En outre, l’absence d’indication du motif interrompt le processus de révocation du consentement. L’ASN a également noté l’ampleur du phénomène – au 31 janvier 2019, la base de données de la société traitait les données personnelles de plus de 2,1 millions de personnes.

Dans la décision concernant ClickOuickNow, le président de l’UODO a également constaté que la société traitait sans base légale les données de personnes qui n’étaient pas ses clients, mais dont elle recevait des demandes de cessation du traitement de leurs données à caractère personnel. Ainsi, le responsable du traitement sanctionné a violé l’exercice du droit de demander l’effacement de données à caractère personnel.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

En Pologne, le ministère public est sommé d’enquêter sur la fuite de données de Pandabuy[.]com

L’UODO a annoncé aujourd’hui que le tribunal de district de Varsovie-Śródmieście a décidé que le parquet de district de Varsovie-Śródmieście-Północ doit traiter le cas de la commission présumée d’un crime par les auteurs de la publication des données des clients polonais de la plateforme de vente pandabuy[.]com. Lorsque, à la fin du mois de mars 2024, les données des clients polonais (y compris les noms, prénoms et adresses de livraison) ayant fuité de la boutique Pandaby[.]com ont été publiées en ligne sur une carte interactive de la Pologne, le président de l’UODO en a informé le bureau du procureur du district de Śródmieście-Północ de Warszawa.

Dans l’avis de suspicion d’infraction par les créateurs des sites web : « lista-drillowcow[.]pl », “lista drillowcow[.]club” et “lista-drillowcow[.]xyz”, qui contenaient les données des clients du magasin, le président de l’UODO a souligné que la publication de ces données avait eu lieu sans base légale (ce qui, en Pologne, est susceptible d’une amende, d’une peine de restriction de liberté ou d’une peine d’emprisonnement pouvant aller jusqu’à deux ans). Toutefois, le ministère public a d’abord refusé d’ouvrir une enquête sur cette affaire. Le président de l’UODO a donc décidé de déposer une plainte contre cette décision auprès du tribunal, qui, le 15 octobre 2024, l’a prise en compte et a décidé annulé la décision du parquet.

De l’avis du tribunal de district de Varsovie-Śródmieście, les informations et les documents présentés par le président de l’Office pour la protection des données personnelles témoignent d’un soupçon raisonnable de commettre une infraction en vertu de l’article 107, paragraphe 1, de la loi sur la protection des données personnelles [concernant la nécessité d’une base légale pour traiter des données personnelles]. Le tribunal a également admis que les informations présentées par l’UODO ont été confirmées par la police, et par conséquent, le tribunal a estimé que le refus du procureur d’engager des poursuites n’était pas justifié.

Une affaire à suivre, donc !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’autorité grecque condamne une entreprise réalisant une surveillance permanente des moyens informatiques des employés

Dans une décision publié ce jour, l’autorité grecque annonce avoir condamné une entreprise pour avoir violé les principes de légalité et de transparence. Dans cette affaire, une personne a déposé une plainte contre son ancien employeur, une société de vinification, pour plusieurs violations du RGPD intervenues pendant et après son emploi. Elle reproche notamment à son employeur d’avoir recueilli son consentement de manière non éclairée et sous pression pour signer  la « Politique de confidentialité des employés » ou encore la « charte informatiques» . Elle affirme que ces documents lui imposaient une surveillance permanente de ses communications professionnelles, et contestaient la prolongation illimitée de ses obligations de confidentialité, ce qui aurait entravé sa capacité à travailler à nouveau dans son domaine d’expertise.
De plus, elle soutient que l’employeur a violé son droit d’accès à ses données personnelles, malgré plusieurs demandes. L’employée déclare ne pas avoir reçu tous les documents contenant ses données personnelles et affirme que certaines données sensibles ont été envoyées à des tiers non autorisés via un e-mail professionnel au lieu de son e-mail personnel, comme elle l’avait demandé.

L’enquête de l’autorité de protection des données a révélé que l’employeur avait effectivement imposé à l’employée des conditions de consentement non conformes aux exigences du RGPD, en particulier en ce qui concerne la surveillance des communications professionnelles et la prolongation des obligations de confidentialité. L’employeur n’a pas pu démontrer que le consentement avait été donné de manière libre et éclairée, et il a été noté que les pratiques de traitement des données étaient opaques. En outre, concernant le droit d’accès, l’employeur a transmis à l’employée un dossier incomplet, contenant seulement les informations traitées par le service comptabilité, alors que des parties importantes des échanges internes et des données sensibles manquaient. L’enquête a également mis en évidence des lacunes dans la sécurité des données, notamment la possibilité que des tiers aient accédé aux informations de l’employée sans autorisation.

L’entreprise a en conséquence reçu un blâme et a été sommée de corriger ses pratiques, d’améliorer ses politiques de traitement des données et de fournir à l’employée un accès complet à ses données dans un délai de 3 mois.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Amende de 950 000 euros pour mBank pour n’avoir pas informé les victimes de la fuite de données

Ce 9 septembre 2024, l’autorité polonaise a infligé à mBank une amende de plus de 4 millions de PLN (4 053 173) [soit environ 950 000 euros] pour n’avoir pas informé les personnes touchées par la fuite de données.

L’autorité précise que la banque n’a pas respecté ses obligations [de notification] en vertu du RGPD après que les données personnelles d’un groupe de clients ont été transmises à un destinataire non autorisé le 30 juin 2022. Dans un tel cas, les personnes concernées doivent être informées de l’incident, les conséquences possibles et les remèdes doivent être décrits, et un contact pour le délégué à la protection des données qui pourrait fournir plus d’informations sur la violation doit être fourni.

En l’occurrence, un employé d’une société traitant des données à caractère personnel pour le compte d’une banque a commis une erreur et a envoyé des documents de clients à une autre institution financière. Les documents ont été renvoyés à la banque, mais l’enveloppe avait été ouverte auparavant. Par conséquent, des tiers ont pu avoir accès aux documents et il n’est pas exclu qu’ils en aient pris connaissance. Les documents contenaient : noms et prénoms, noms des parents, dates de naissance, numéro de compte bancaire, adresse de résidence ou de domicile, numéro PESEL, données sur les revenus et/ou les biens détenus, nom de famille de la mère, série et numéro de la carte d’identité, autres (informations sur les crédits et les biens immobiliers).

La banque n’a pas informé ses clients de l’incident, malgré les recommandations du président de l’UODO. La banque a justifié son silence en affirmant que les documents avaient été envoyés par erreur à une institution soumise au secret bancaire, avec laquelle elle coopère et qu’elle considérait donc comme une entité de confiance. Le président de l’UODO n’a pas reconnu la position de la mBank : une analyse approfondie des lignes directrices 9/2022 montre clairement que ce n’est pas le statut du destinataire, la reconnaissance du destinataire en tant que soi-disant institution (personne) de confiance publique ou agissant dans le cadre de la législation applicable, mais l’existence d’une relation directe (permanente) entre l’expéditeur et le destinataire de la correspondance envoyée par erreur qui détermine l’admissibilité de la reconnaissance d’une entité particulière en tant que soi-disant « destinataire de confiance ».

Le président de l’autorité de protection des données a estimé que la possibilité de divulgation d’un tel volume de données crée un risque énorme pour les personnes concernées. Comme elles n’ont pas été informées du problème, elles n’ont pas pu contrer les éventuels effets négatifs de la violation. En conséquence, l’autorité a décidé de prononcer une amende contre la banque, précisant par ailleurs que  » compte tenu du fait qu’en vertu des dispositions du RODO, l’amende pourrait s’élever à 337 millions de PLN [environ 78 millions d’euros], elle devrait être considérée comme relativement modérée »

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.