Dernières actualités : données personnelles

Datatilsynet (autorité norvégienne)

11 septembre 2024

Amende de 12 500 euros pour une université norvégienne qui n’a pas bien sécurisé ses données

Ce jour, l’autorité norvégienne de protection des données a annonce avoir infligé une amende de 150 000 NOK [environ 12500 euros] à l’université d’Agder (UiA) pour avoir enfreint le règlement général sur la protection des données. En particulier, il lui est reproché de ne pas avoir mis en œuvre les mesures appropriées pour garantir la sécurité des données à caractère personnel dans le cadre de son utilisation de Microsoft Teams.

En février 2024, un employé de l’UiA a découvert que des documents contenant des données personnelles avaient été stockés dans des dossiers Teams ouverts, auxquels des employés sans besoin professionnel avaient accès. L’infraction était en cours depuis que l’université avait commencé à utiliser Microsoft Teams en août 2018. Les données personnelles étaient accessibles dans le système, et les employés pouvaient y accéder via des recherches dans des dossiers ouverts. L’infraction concerne des documents contenant des données personnelles sur des employés, des étudiants et des acteurs externes. Environ 16 000 personnes enregistrées sont concernées.

Les données comprennent notamment des noms, des numéros de naissance, des informations sur les examens aménagés, le nombre de tentatives d’examen et des dispositions particulières. De plus, l’infraction incluait une liste des réfugiés d’Ukraine liés à l’université, avec des informations telles que les coordonnées, la formation et le statut de résidence.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité Italienne)

23 juillet 2024

Italie: l’autorité ouvre une enquête sur la panne mondiale liée à Crowdstrike survenue la semaine dernière

Ce 23 juillet 2023, l’autorité annoncé que sur la base des notifications de violation de données reçues, la Garante a lancé des enquêtes sur les conséquences que la récente panne du système informatique a pu avoir sur les données personnelles des utilisateurs, notamment dans le cadre de l’utilisation des services publics. Cet événement résulte d’un dysfonctionnement du logiciel de sécurité CrowdStrike qui a bloqué le fonctionnement de nombreux services en ligne ces derniers jours. La Garante se réserve le droit de prendre d’autres mesures en cas de violations spécifiques susceptibles d’affecter les utilisateurs italiens.

[Ajout contextuel Portail RGPD: En effet, cette panne a touché de très nombreuses grosses entreprises à travers le monde et notamment dans le secteur des transports mais également des hôpitaux, pour qui la disponibilité des données à caractère personnel est critique : à défaut, il devient très difficile de soigner les malades et blessés. Ainsi, l’indisponibilité des données engendre un risque particulièrement élevé sur ces personnes, ce qui a probablement (en partie) expliqué le contrôle. Une affaire à suivre !]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

7 juin 2024

Concours de l’Institut national de sécurité sociale (INPS) : seules les listes finales des admis peuvent être publiées en ligne

Dans sa newsletter du 6 juin, à la suite d’une plainte déposée par un participant au concours public pour 1858 postes de conseillers en protection sociale dans les rôles du personnel de l’INPS, l’autorité estime que la publication sur le web des résultats des épreuves intermédiaires ou des données personnelles des participants qui n’ont pas été admis à un concours constitue une violation de la vie privée.

Dans cette affaire, le plaignant s’était plaint de la publication sur le site web de l’Institut de nombreux actes et documents, dont les listes des admis et des non admis à l’épreuve écrite et à l’épreuve orale et la liste des participants, contenant l’évaluation des qualifications par le comité du concours, avec indication de la note attribuée à chaque candidat. Ces documents se retrouveraient également sur les réseaux sociaux, ceux-ci ayant été republiés par des tiers.
En conséquence de cette violation de données, l’institut s’est vu infliger une amende de 20 000 euros et a été contraint de supprimer les listes en question.

L’autorité italienne a ainsi déclaré que « lorsque les entités publiques opèrent dans le cadre de procédures de concours, elles doivent traiter les données personnelles des personnes concernées conformément à la réglementation sectorielle applicable: il n’est donc pas possible de publier en ligne les données des participants à des concours qui ne sont pas exigées par la loi. En effet, des niveaux de protection des données personnelles différenciés ne sont pas autorisés, que ce soit sur une base territoriale ou au niveau d’une administration unique, en particulier lorsque la question a déjà été équilibrée et réglementée par le législateur avec des dispositions uniformes au niveau national. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Agence du numérique en santé (via Légifrance)

19 mai 2024

Publication du nouveau référentiel « HDS », c’est-à-dire les règles à respecter pour l’hébergement des données de santé

Le 16 mai dernier, a été publié au Journal Officiel la dernière version du référentiel de l’agence du numérique en santé concernant l’hébergement des données de santé. D’après les évolutions telles que présentées dès décembre 2023 par l’ANS, ette nouvelle version du référentiel de certification HDS permet de :

Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ;
Clarifier le périmètre des types d’activité d’hébergement – notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ;
Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI.
Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.

La publication de cet arrêté approuvant la version révisée du référentiel marque la fin d’une période de 3 mois suivant sa notification à la Commission européenne. Les organismes certificateurs bénéficient désormais d’un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS.

Disponible sur : legifrance.gouv.fr

GPDP (autorité italienne)

28 mars 2024

La société NTT Data a été condamnée à une amende de 800 000 euros pour avoir engagé un sous-traitant secondaire sans l’autorisation préalable du responsable du traitement et pour avoir notifié tardivement une violation de données au responsable du traitement.

Dans une décision n°9991064 en date du 08 février 2024, l’autorité de protection des données a condamné la société NTT Data Italia S.p.A, en sa qualité de sous-traitant, notamment pour ne pas avoir informé le responsable de traitement suffisamment rapidement à l’occasion de la découverte d’une violation, ce qui a empêché le responsable de traitement de réaliser la notification adéquate dans les 72h.
Le déroulé des faits est le suivant:
– Le 10 octobre, le sous-traitant ultérieur a pris connaissance des vulnérabilités du portail mobile
– Il les a identifiées comme étant de haut niveau. Il les a signalées au sous-traitant initial le 19 octobre 2018
– Le sous-traitant ne les a ensuite signalées au responsable du traitement que le 22 octobre 2018.

Traduction par machine du point 4. c) de la décision de l’autorité :
« À cet égard, en ce qui concerne l’expression « sans retard injustifié », les « Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel conformément au GDPR », adoptées par le Comité européen de la protection des données le 28 mars 2023 (qui ont remplacé les précédentes « Lignes directrices sur la notification des violations de données à caractère personnel conformément au règlement (UE) 2016/679 » adoptées par le groupe de travail sur la protection des données de l’article 29, en dernier lieu le 6 février 2018 et approuvées par le Comité européen de la protection des données le 25 mai 2018), recommandent que le responsable du traitement « notifie sans tarder au responsable du traitement, en fournissant par la suite toute information supplémentaire sur la violation dont il a connaissance » ; ceci est » important pour aider le responsable du traitement à respecter l’obligation de notification à l’autorité de contrôle dans les 72 heures « .
Il en va de même lorsque, comme en l’espèce, un responsable du traitement fait appel à un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques pour le compte d’un responsable du traitement ; l’obligation d’informer le responsable du traitement prévue par l’article 33, paragraphe 1, de la directive sur le traitement des données à caractère personnel s’applique également lorsque le responsable du traitement fait appel à un sous-traitant ultérieur reste à la charge du sous-traitant initial, qui n’est pas tenu d’évaluer le risque dérivant de la violation, avant de le communiquer au responsable du traitement […].
En l’espèce, NTT Data aurait donc dû informer le responsable du traitement de la violation de données à caractère personnel sans délai, c’est-à-dire à partir des 11 et 12 octobre 2018, date à laquelle elle en a eu connaissance par l’intermédiaire de Truel IT [alors que Truel IT n’a informé le sous-traitant initial que le 19 octobre]. »

[Ajout contextuel Portail RGPD: Selon l’autorité italienne, il doit donc être considéré qu’un sous-traitant initial a découvert une violation dès lors que l’un de ses sous-traitants ultérieurs a réalisé une telle découverte, même dans le cas où ce premier n’en a pas été informé – ou ne l’a été que bien plus tard. Bien que logique puisqu’une interprétation contraire ne permettrait pas de respecter le délai de « 72h à compter de la découverte » prévu par le RGPD pour les traitements, une telle interprétation
* fait peser de lourds risques sur les sous-traitants initiaux, qui devront imposer des délais difficilement tenables à leurs éventuels sous-traitants ultérieurs afin que le responsable de traitement puisse tenir ses délais (en particulier si les sous-traitants ultérieurs ont eux-mêmes des sous-traitants),
* oblige à réduire les chaines de sous-traitance autant que possible afin d’éviter de se trouver dans une situation similaire.]

Disponible (en anglais) sur: gdprhub.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

13 mars 2024

France Travail : la CNIL enquête sur la fuite de données et donne des conseils pour se protéger

France Travail a été victime d’une cyberattaque ayant conduit à une fuite de données susceptible de toucher 43 millions de personnes. La CNIL accompagne l’organisme afin d’assurer la bonne information des personnes concernées et rappelle quelques conseils pour leur permettre de se protéger.

Disponible sur: CNIL.fr