Dernières actualités : données personnelles

UODO (autorité polonaise)

Le « Conseil d’Etat » polonais confirme l’amende prononcée contre une société qui conditionnait le retrait du consentement à la justification dudit retrait

La société ClickOuickNow devra payer une amende imposée par le président de l’UODO : c’est ce qu’a aujourd’hui publié l’autorité dans un communiqué. La Cour administrative suprême (ASN) a rejeté son pourvoi en cassation contre le verdict du tribunal administratif de la voïvodie (WSA) de Varsovie sur une plainte contre une décision par laquelle la PUODO a imposé une amende de 201 559,50 PLN [soit environ 47 000 euros]. Le tribunal, comme le tribunal administratif de la voïvodie de Varsovie avant lui, a partagé la position présentée dans la décision du président de l’UODO du 16 octobre 2019 et les arguments de l’autorité de contrôle sur le bien-fondé de l’imposition de la sanction, ainsi que sur son montant.

La décision du PUODO d’imposer une sanction était liée à la violation par ClickOuickNow du règlement général sur la protection des données. Selon l’autorité, la société a entravé le processus de retrait du consentement au traitement des données personnelles en utilisant des solutions organisationnelles et techniques compliquées lorsqu’une personne tentait de retirer ce consentement.  Cela a également été confirmé par l’ASN qui a notamment estimé que les personnes qui ont tenté de retirer leur consentement au traitement des données à caractère personnel ont été induites en erreur. Elles ont reçu un message qui se lisait comme suit : « Votre révocation de consentement aujourd’hui 13.02.2019 ! ». Néanmoins, comme l’a souligné la Cour, la réception d’un tel message ne signifiait pas du tout une révocation effective du consentement, mais obligeait la personne à indiquer la raison de la révocation du consentement. En outre, l’absence d’indication du motif interrompt le processus de révocation du consentement. L’ASN a également noté l’ampleur du phénomène – au 31 janvier 2019, la base de données de la société traitait les données personnelles de plus de 2,1 millions de personnes.

Dans la décision concernant ClickOuickNow, le président de l’UODO a également constaté que la société traitait sans base légale les données de personnes qui n’étaient pas ses clients, mais dont elle recevait des demandes de cessation du traitement de leurs données à caractère personnel. Ainsi, le responsable du traitement sanctionné a violé l’exercice du droit de demander l’effacement de données à caractère personnel.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Amende de 350 000 PLN pour une société vendant des portes anti-effraction pour … non-respect des règles de protection des données

Aujourd’hui, l’autorité polonaise a annoncé avoir infligé une amende de plus de 350 000 PLN (environ 80 000 euros) à une société vendant, entre autres, des portes anti-effraction, pour non-respect des règles de protection des données à caractère personnel. Cette affaire commence par une notification de violation : la base de données indique avoir été victime d’un ransomware et avoir perdu une base de données qui contenait notamment les données d’anciens employés et d’employés actuels : numéros PESEL [équivalent du NIR], cartes d’identité, noms et prénoms, noms des parents, dates de naissance, numéros de compte bancaire, adresses de résidence ou de séjour, e-mail et numéro de téléphone. Selon l’entreprise, son employé a désactivé son programme anti-virus, ce qui a permis l’attaque. Selon l’administrateur, l’incident a toutefois été de courte durée et l’entreprise a réussi à récupérer l’accès aux données. Il a également reconnu que le but de l’attaque n’était pas d’obtenir des données, mais de faire du chantage. Elle a donc estimé qu’il n’y avait pas de risque élevé de violation des droits ou des libertés des personnes.

Au cours de l’enquête qui a suivi cette notification, l’UODO constaté un certain nombre de manquements :
* Absence de mesures techniques et organisationnelles appropriées permettant de minimiser le risque pour les données;
* Absence de vérification que le sous-traitant fournit des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées ;
* Notification incomplète des personnes concernées, et absence d’information des employés (anciens ou actuels) de la société concernés ;
* Non respect du principe de responsabilité : le responsable du traitement n’a pas été en mesure de démontrer que les mesures mises en place étaient adaptées aux risques, car il n’avait pas examiné ces derniers.

Conséquence pour l’entreprise : une amende de 80 000 euros environ. L
L’UODO ne s’est cependant pas arrêtée là et a relevé la responsabilité des associés de la société civile à laquelle le responsable du traitement a confié le traitement des données. Il a souligné qu’ils n’ont pas aidé le responsable du traitement à respecter son obligation de mettre en œuvre des mesures techniques et organisationnelles adéquates pour assurer la sécurité du traitement des données à caractère personnel.  Le sous-traitant a négligé au fil des ans d’informer l’administrateur des vulnérabilités présentes dans le logiciel du serveur (alors que l’une d’entre elles a été exploitée avec succès par les auteurs de l’action criminelle) et de la nécessité de mettre à niveau le système d’exploitation vers la dernière version possible, ou d’utiliser d’autres solutions logiques plus récentes. Elle se trouve alors également condamnée par l’UODO, mais à une amende plus légère (environ 2200 euros).

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Amende de 950 000 euros pour mBank pour n’avoir pas informé les victimes de la fuite de données

Ce 9 septembre 2024, l’autorité polonaise a infligé à mBank une amende de plus de 4 millions de PLN (4 053 173) [soit environ 950 000 euros] pour n’avoir pas informé les personnes touchées par la fuite de données.

L’autorité précise que la banque n’a pas respecté ses obligations [de notification] en vertu du RGPD après que les données personnelles d’un groupe de clients ont été transmises à un destinataire non autorisé le 30 juin 2022. Dans un tel cas, les personnes concernées doivent être informées de l’incident, les conséquences possibles et les remèdes doivent être décrits, et un contact pour le délégué à la protection des données qui pourrait fournir plus d’informations sur la violation doit être fourni.

En l’occurrence, un employé d’une société traitant des données à caractère personnel pour le compte d’une banque a commis une erreur et a envoyé des documents de clients à une autre institution financière. Les documents ont été renvoyés à la banque, mais l’enveloppe avait été ouverte auparavant. Par conséquent, des tiers ont pu avoir accès aux documents et il n’est pas exclu qu’ils en aient pris connaissance. Les documents contenaient : noms et prénoms, noms des parents, dates de naissance, numéro de compte bancaire, adresse de résidence ou de domicile, numéro PESEL, données sur les revenus et/ou les biens détenus, nom de famille de la mère, série et numéro de la carte d’identité, autres (informations sur les crédits et les biens immobiliers).

La banque n’a pas informé ses clients de l’incident, malgré les recommandations du président de l’UODO. La banque a justifié son silence en affirmant que les documents avaient été envoyés par erreur à une institution soumise au secret bancaire, avec laquelle elle coopère et qu’elle considérait donc comme une entité de confiance. Le président de l’UODO n’a pas reconnu la position de la mBank : une analyse approfondie des lignes directrices 9/2022 montre clairement que ce n’est pas le statut du destinataire, la reconnaissance du destinataire en tant que soi-disant institution (personne) de confiance publique ou agissant dans le cadre de la législation applicable, mais l’existence d’une relation directe (permanente) entre l’expéditeur et le destinataire de la correspondance envoyée par erreur qui détermine l’admissibilité de la reconnaissance d’une entité particulière en tant que soi-disant « destinataire de confiance ».

Le président de l’autorité de protection des données a estimé que la possibilité de divulgation d’un tel volume de données crée un risque énorme pour les personnes concernées. Comme elles n’ont pas été informées du problème, elles n’ont pas pu contrer les éventuels effets négatifs de la violation. En conséquence, l’autorité a décidé de prononcer une amende contre la banque, précisant par ailleurs que  » compte tenu du fait qu’en vertu des dispositions du RODO, l’amende pourrait s’élever à 337 millions de PLN [environ 78 millions d’euros], elle devrait être considérée comme relativement modérée »

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut