Dernières actualités : données personnelles

ICO (autorité anglaise)

Peine de prison avec sursis pour d’anciens employés de RAC pour avoir volé des informations personnelles

Deux anciens employés du RAC ont été condamnés à une peine de prison avec sursis et à 150 heures de travail non rémunéré pour avoir illégalement copié et vendu plus de 29 500 lignes d’informations personnelles.
D. Okparavero, 61 ans, de Salford, et M. Islam, 51 ans, de Manchester, travaillaient comme spécialistes du service clientèle au centre d’appel de l’entreprise « RAC » (proposant des services automobiles) à Stretford. Leur comportement illégal a été découvert par l’entreprise, qui l’a signalé à l’ICO, après l’installation d’un nouveau logiciel de contrôle de la sécurité.

Le logiciel a montré qu’Okparavero avait illégalement accédé à des informations personnelles concernant des personnes impliquées dans des accidents de la route et les avait copiées. Une fouille ultérieure du téléphone portable d’Okaparavero a révélé que les informations avaient été partagées dans une discussion WhatsApp avec Islam. Les messages indiquaient qu’un tiers payait pour obtenir ces informations. En conséquence, lors d’une audience à Minshull Street Crown Court le 8 octobre 2024, Okparavero et Islam ont été condamnés à des peines de prison de 6 mois, suspendues pendant 18 mois, et chacun a reçu l’ordre d’effectuer 150 heures de travail non rémunéré. Les deux accusés avaient précédemment plaidé coupables d’infractions à la loi de 1990 sur l’utilisation abusive des ordinateurs et à la loi de 2018 sur la protection des données. Les frais de poursuite seront examinés lors d’une audience sur les produits du crime prévue le 5 mars 2025.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un vendeur de voitures condamné à une amende pour avoir conservé et vendu des données à des concurrents

Quelques mois après la publication d’une sanction envers un stagiaire de Rent-A-Car pour avoir traité des données illégalement, c’est cette fois au tour d’un vendeur de « Laeseline Vehicle Management Ltd » d’être condamné pour avoir vendu des données à des concurrents.

Peu avant de démissionner de son poste de conseiller commercial chez Leaseline Vehicle Management Ltd, Alexander D., 44 ans, a vendu plus de 3 600 informations personnelles qu’il avait extraites de la base de données interne des clients de l’entreprise. Il a contacté plusieurs entreprises concurrentes avec ces informations, tout en prétendant que les données lui appartenaient. La violation a été découverte en novembre 2022 et a fait l’objet d’une enquête de l’ICO. L’homme a plaidé coupable d’avoir obtenu et vendu illégalement des données, en violation de l’article 170 de la loi sur la protection des données de 2018. Il a comparu devant la St Albans Crown Court le mardi 17 septembre, où il a été condamné à payer une amende de 1 200 livres sterling et 300 livres sterling de frais.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

IMY (autorité suédoise)

Sanctions à l’encontre d’Apoteket et d’Apohem pour avoir transféré des données à caractère personnel à Meta

L’autorité suédoise de protection de la vie privée (IMY) a décidé d’imposer des amendes de 37 millions de couronnes suédoises à Apoteket AB (environ 3,3 millions d’euros) et de 8 millions de couronnes suédoises à Apohem AB (environ 705 000 euros). Ces entreprises de pharmacie en ligne ont utilisé l’outil analytique Meta pixel (de Meta) sur leurs sites web pour améliorer leur marketing sur Facebook et Instagram. En activant une nouvelle sous-fonction dans Meta pixel, les entreprises ont par erreur transféré à Meta des données à caractère personnel sensibles pour la vie privée concernant un grand nombre de clients, dont des données sur les achats de médicaments en vente libre pour le traitement, par exemple, de problèmes de santé spécifiques, d’autotests et de traitements de maladies sexuellement transmissibles et de jouets sexuels. Il est précisé que le transfert n’a néanmoins pas porté sur les médicaments délivrés sur ordonnance.

« Le traitement de ce type de données à caractère personnel sensibles pour la vie privée comporte des risques élevés qui nécessitent un haut niveau de protection. Les entreprises avaient l’obligation de prendre des mesures appropriées pour protéger les données contre, par exemple, le partage avec des personnes non autorisées « , déclare Shirin Daneshgari Nejad, avocate chez IMY.

Apoteket et d’Apohem, s’en étant rendu compte, ont notifié une violation de données personnelles à l’IMY en indiquant que les entreprises respectives ont longtemps transféré plus de données personnelles que prévu à Meta. L’enquête ouverte par la suite par l’autorité a montré que « les entreprises n’ont pas mis en place les procédures nécessaires pour détecter elles-mêmes les lacunes. Le transfert de données à caractère personnel a donc eu lieu pendant longtemps et n’a été interrompu que lorsque les entreprises ont été informées de l’incident par des tiers ».

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

ICO (autorité anglaise)

Un homme de Porthcawl condamné après une escroquerie « effrontée » à la voiture d’une valeur de plusieurs centaines de milliers de livres sterling

Un homme qui avait accédé illégalement à des données personnelles a été condamné à la suite de notre enquête.

Jonathan Riches, 46 ans, a plaidé coupable d’une infraction à l’article 55 de la loi de 1998 sur la protection des données (Data Protection Act 1998) devant la Cardiff Crown Court. Le tribunal a appris que Riches avait accédé illégalement aux données d’automobilistes d’Enterprise Rent-A-Car et qu’il avait poursuivi des réclamations pour dommages corporels à des fins lucratives. Les infractions ont été commises entre 2009 et 2011. M. Riches était auparavant un employé d’Enterprise Rent-A-Car, qu’il a quitté en 2009 pour créer son propre cabinet de réparation de dommages corporels. Il était toujours en contact avec d’anciens collègues, ce qui lui permettait d’obtenir illégalement les coordonnées de personnes impliquées dans des accidents de la route et de les contacter pour leur proposer des services juridiques. À un moment donné, M. Riches, par l’intermédiaire de ses complices, a eu accès à la base de données interne d’Enterprise, ce qui lui a permis d’accéder aux données personnelles des clients.

Le juge Francis a condamné M. Riches à une amende de 10 000 livres sterling et à des frais de 1 700 livres sterling.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Décision provisoire d’infliger une amende de 6 millions de livres sterling à un fournisseur de logiciels à la suite d’une attaque par ransomware en 2022 qui a perturbé les services du NHS et des soins sociaux

Nous avons provisoirement décidé d’infliger une amende de 6,09 millions de livres sterling à Advanced Computer Software Group Ltd (Advanced), après avoir constaté que le fournisseur n’avait pas pris les mesures nécessaires pour protéger les informations personnelles de 82 946 personnes, y compris certaines informations personnelles sensibles.

Advanced fournit des services informatiques et des logiciels à des organisations d’envergure nationale, dont le NHS et d’autres prestataires de soins de santé, et traite les informations personnelles des personnes pour le compte de ces organisations en tant que responsable du traitement des données. La décision provisoire d’infliger une amende est liée à un incident de ransomware survenu en août 2022, au cours duquel nous avons provisoirement constaté que des pirates informatiques avaient accédé à un certain nombre de systèmes de santé et de soins d’Advanced via un compte client qui ne disposait pas d’une authentification multifactorielle.

En particulier, nous avons provisoirement constaté que des informations personnelles appartenant à 82 946 personnes ont été exfiltrées à la suite de l’attaque. La cyberattaque a fait l’objet d’une large couverture médiatique au moment de l’incident, avec des rapports faisant état de l’interruption de services essentiels tels que le NHS 111, et d’autres personnels de santé incapables d’accéder aux dossiers des patients. Les données exfiltrées comprenaient des numéros de téléphone et des dossiers médicaux, ainsi que des informations sur la manière d’entrer au domicile de 890 personnes recevant des soins à domicile.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Conseil d’Etat

Le Conseil d’Etat saisit le Conseil constitutionnel d’une QPC concernant le « dossier médical partagé » (DMP)

« Par un mémoire et un mémoire en réplique, enregistrés les 21 mars et 24 mai 2024 au secrétariat du contentieux du Conseil d’État, le Conseil national de l’ordre des médecins demande au Conseil d’État, en application de l’article 23-5 de l’ordonnance n° 58-1067 du 7 novembre 1958 et à l’appui de sa requête tendant à l’annulation pour excès de pouvoir de l’arrêté du 26 octobre 2023 du ministre de la santé et de la prévention fixant les règles de gestion des droits d’accès au dossier médical partagé des professionnels mentionnés à l’article L. 1111-15 et au III de l’article L. 1111-17 du code de la santé publique, de renvoyer au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution du III de l’article L. 1111-17 de ce code. »

Nous ne disposons pas du détail des moyens qui ont été soulevés mais cette QPC semble vouloir remettre en cause la possibilité pour « tout professionnel participant à la prise en charge d’une personne », en ce compris ceux ne faisant pas partie de l’équipe de soins du patient, d’accéder à ses données de santé (sous réserve de l’obtention de son consentement).

Disponible sur: conseil-etat.fr

ICO (autorité anglaise)

Le stagiaire du loueur de voitures ‘Rent-A-Car’ condamné à une amende de 300€ pour avoir obtenu illégalement des données sur ses clients

Un ancien stagiaire en gestion chez Enterprise Rent-A-Car UK Limited (« Rent-A-Car ») a été condamné à payer une amende d’environ 300€ après avoir admis avoir obtenu illégalement des données de clients entre le 18 mars 2019 et le 1er avril 2019, alors que l’entreprise n’avait pas consenti à ce qu’il obtienne ces données, déclarant que l’accès à ces informations ne relevait pas de son rôle et qu’il n’y avait pas de nécessité professionnelle à ce qu’il le fasse.

Dans cette affaire, les préoccupations initiales ont été soulevées après que S. Saleem, 42 ans, se soit rendu sur son lieu de travail dans le West Yorkshire en dehors des heures prévues, le dimanche 31 mars 2019. Un audit interne a révélé qu’il avait passé 32 minutes à accéder à 39 enregistrements de données clients concernant 25 agences de location différentes. À la suite de cela, Rent-A-Car a mené une enquête interne qui a révélé que Saleem avait accédé à un certain nombre d’enregistrements contenant des données personnelles au cours de la période incriminée en 2019 – au total au moins 213 dossiers ont été consultés illégalement. Il a été licencié pour faute grave peu de temps après avant d’être condamné par l’ICO.

[Ajout contextuel Portail RGPD: Habituellement, les noms des personnes physiques condamnées par les autorités de protection des données ne sont pas publiés. Ici, la décision (non publiée) est rendue par une Cour pénale britannique – leur culture admettant plus facilement le « name-and-shame » que la notre : malgré tout, la décision de publier le nom du stagiaire pourrait lui causer un préjudice important allant bien au delà de la sanction financière – et ce alors même que les faits se sont déroulés il y a plus de 5 ans. Par exemple, n’importe quel futur employeur de ce stagiaire qui prendrait la peine de taper son nom risquerait fort de rejeter sa candidature. Enfin, il est notable que la durée de la publication intégrant le nom du stagiaire n’a pas été précisée dans la publication.]

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

 Violations d’informations sensibles récurrentes concernant des personnes vivant avec le VIH

Les personnes vivant avec le VIH sont privées de leur « dignité fondamentale et de leur vie privée » en raison des violations répétées de données qui révèlent leur statut sérologique, en raison de qui l »ICO appelle à des « améliorations urgentes » dans tout le Royaume-Uni.
Le régulateur travaille avec les organisations caritatives de lutte contre le VIH afin d’améliorer le soutien offert aux personnes vivant avec le VIH sur la manière dont leurs informations sensibles sont traitées. Le commissaire, John Edwards, a condamné les normes de protection des données dans les services de santé destinés aux personnes vivant avec le VIH et a appelé à des améliorations urgentes. Cette déclaration fait suite à plusieurs violations de données, ainsi qu’aux préoccupations exprimées par certaines des plus grandes organisations de lutte contre le VIH du pays.

Au cours de l’année 2022/3, le secteur de la santé a représenté plus d’un cinquième de toutes les violations de données personnelles, ce qui en fait la source la plus fréquente de signalements à l’ICO.
La déclaration d’aujourd’hui fait suite à une autre amende infligée par l’Information Commissioner’s Office (ICO) à un prestataire de services liés au VIH. L’ICO a infligé une amende de 7 500 livres sterling à la Central Young Men’s Christian Association (Central YMCA) de Londres pour une violation de données dans le cadre de laquelle des courriels destinés à des personnes participant à un programme de soutien aux séropositifs ont été envoyés à 264 adresses électroniques en utilisant la fonction CC au lieu de la fonction BCC, révélant ainsi les adresses électroniques à tous les destinataires. 166 personnes ont ainsi été identifiées ou potentiellement identifiables. L’association Central YMCA s’est acquittée de l’intégralité de l’amende.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut