Dernières actualités : données personnelles

L’UODO intervient après la publication d’articles accusant les gardes-frontières d’utiliser la base PESEL [équivalent du NIR] à des fins privées

Le président de l’UDODO a annoncé aujourd’hui avoir demandé au commandant en chef du corps des gardes-frontières, le général Robert Bagan, s’il était au courant de l’utilisation par les gardes de la base de données PESEL à des fins privées et, dans l’affirmative, ce qu’il avait fait à ce sujet.

Cette demande fait suite à des révélations par les médias (et en particulier le 5 novembre par Radio Zet) selon lesquelles des employés du corps des gardes-frontières effectuent des vérifications non autorisées dans la base de données PESEL. Les données personnelles de voisins, de connaissances ou les adresses résidentielles de célébrités sont vérifiées. Ces vérifications, qui ne sont pas liées à leurs activités officielles, peuvent concerner jusqu’à des centaines de personnes. Dans leur article, les journalistes soulignent que le problème a été mis en lumière dès 2022, mais que l’affaire est toujours en cours d’instruction. Elle est traitée par le bureau des affaires internes des gardes-frontières et le bureau du procureur du district de Varsovie.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le « Conseil d’Etat » polonais confirme l’amende prononcée contre une société qui conditionnait le retrait du consentement à la justification dudit retrait

La société ClickOuickNow devra payer une amende imposée par le président de l’UODO : c’est ce qu’a aujourd’hui publié l’autorité dans un communiqué. La Cour administrative suprême (ASN) a rejeté son pourvoi en cassation contre le verdict du tribunal administratif de la voïvodie (WSA) de Varsovie sur une plainte contre une décision par laquelle la PUODO a imposé une amende de 201 559,50 PLN [soit environ 47 000 euros]. Le tribunal, comme le tribunal administratif de la voïvodie de Varsovie avant lui, a partagé la position présentée dans la décision du président de l’UODO du 16 octobre 2019 et les arguments de l’autorité de contrôle sur le bien-fondé de l’imposition de la sanction, ainsi que sur son montant.

La décision du PUODO d’imposer une sanction était liée à la violation par ClickOuickNow du règlement général sur la protection des données. Selon l’autorité, la société a entravé le processus de retrait du consentement au traitement des données personnelles en utilisant des solutions organisationnelles et techniques compliquées lorsqu’une personne tentait de retirer ce consentement.  Cela a également été confirmé par l’ASN qui a notamment estimé que les personnes qui ont tenté de retirer leur consentement au traitement des données à caractère personnel ont été induites en erreur. Elles ont reçu un message qui se lisait comme suit : « Votre révocation de consentement aujourd’hui 13.02.2019 ! ». Néanmoins, comme l’a souligné la Cour, la réception d’un tel message ne signifiait pas du tout une révocation effective du consentement, mais obligeait la personne à indiquer la raison de la révocation du consentement. En outre, l’absence d’indication du motif interrompt le processus de révocation du consentement. L’ASN a également noté l’ampleur du phénomène – au 31 janvier 2019, la base de données de la société traitait les données personnelles de plus de 2,1 millions de personnes.

Dans la décision concernant ClickOuickNow, le président de l’UODO a également constaté que la société traitait sans base légale les données de personnes qui n’étaient pas ses clients, mais dont elle recevait des demandes de cessation du traitement de leurs données à caractère personnel. Ainsi, le responsable du traitement sanctionné a violé l’exercice du droit de demander l’effacement de données à caractère personnel.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

En Pologne, le ministère public est sommé d’enquêter sur la fuite de données de Pandabuy[.]com

L’UODO a annoncé aujourd’hui que le tribunal de district de Varsovie-Śródmieście a décidé que le parquet de district de Varsovie-Śródmieście-Północ doit traiter le cas de la commission présumée d’un crime par les auteurs de la publication des données des clients polonais de la plateforme de vente pandabuy[.]com. Lorsque, à la fin du mois de mars 2024, les données des clients polonais (y compris les noms, prénoms et adresses de livraison) ayant fuité de la boutique Pandaby[.]com ont été publiées en ligne sur une carte interactive de la Pologne, le président de l’UODO en a informé le bureau du procureur du district de Śródmieście-Północ de Warszawa.

Dans l’avis de suspicion d’infraction par les créateurs des sites web : « lista-drillowcow[.]pl », “lista drillowcow[.]club” et “lista-drillowcow[.]xyz”, qui contenaient les données des clients du magasin, le président de l’UODO a souligné que la publication de ces données avait eu lieu sans base légale (ce qui, en Pologne, est susceptible d’une amende, d’une peine de restriction de liberté ou d’une peine d’emprisonnement pouvant aller jusqu’à deux ans). Toutefois, le ministère public a d’abord refusé d’ouvrir une enquête sur cette affaire. Le président de l’UODO a donc décidé de déposer une plainte contre cette décision auprès du tribunal, qui, le 15 octobre 2024, l’a prise en compte et a décidé annulé la décision du parquet.

De l’avis du tribunal de district de Varsovie-Śródmieście, les informations et les documents présentés par le président de l’Office pour la protection des données personnelles témoignent d’un soupçon raisonnable de commettre une infraction en vertu de l’article 107, paragraphe 1, de la loi sur la protection des données personnelles [concernant la nécessité d’une base légale pour traiter des données personnelles]. Le tribunal a également admis que les informations présentées par l’UODO ont été confirmées par la police, et par conséquent, le tribunal a estimé que le refus du procureur d’engager des poursuites n’était pas justifié.

Une affaire à suivre, donc !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Utilisation de caméras corporelles par les contrôleurs de billets et obligation d’information : la Pologne veut interroger la CJUE

Dans un article publié ce jour, l’autorité polonaise annonce avoir conseillé à la ministre Agnieszka Bartol-Saurel de la Chancellerie du Premier ministre de saisir la Cour de justice de l’UE de la question préjudicielle relative à la mise en œuvre de l’obligation d’information concernant la manière dont les contrôleurs de billets traitent les données obtenues au moyen de caméras corporelles (affaire C-422/24 – Storstockholms Lokaltrafi).

La demande d’avis reçue par l’autorité polonaise décrivait la situation des contrôleurs de billets équipés de caméras corporelles. Ces caméras étaient destinées à prévenir les menaces et les actes de violence, ainsi qu’à faciliter la vérification de l’identité des passagers tenus de payer un supplément. Les caméras utilisées par les contrôleurs enregistrent des images vidéo et du son. Les enregistrements étaient initialement effacés automatiquement au bout de deux minutes, puis au bout d’une minute. Toutefois, les contrôleurs devaient interrompre l’effacement de l’enregistrement s’ils infligeaient une amende à un passager ou s’ils entendaient des menaces de la part du passager. Dans ce cas, le système conservait l’enregistrement commencé une minute avant que le contrôleur n’interrompe l’effacement.

Selon l’article, cet suggestion à la ministre ferait suite à des doutes émis par la CNIL sur la source des données à caractère personnel et donc sur l’application de la disposition pertinente du RGPD à l’obligation d’information. Plus précisément, il s’agit de savoir si c’est l’article 13 du RGPD (obligation d’information lorsque les données sont collectées directement auprès de la personne concernée) ou l’article 14 du RGPD (obligation d’information lorsque les données sont collectées indirectement) qui doit s’appliquer. Le président de l’UODO estime que l’article 13 du règlement 2016/679 s’appliquera dans le cas du traitement de données à caractère personnel obtenues au moyen de la vidéosurveillance, y compris une caméra corporelle. Et c’est cette position que la Pologne devrait présenter à la Cour.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La loi sur la protection des mineurs Kamilka nécessite des corrections. Intervention de l’UODO auprès du ministre de la Justice polonais

Le président de l’UODO a demandé à Adam Bodnar, le ministre de la justice, d’initier des amendements aux dispositions de la loi sur la protection des mineurs (connue sous le nom de loi Kamilka) afin de les adapter aux principes de la protection des données personnelles.

La nouvelle loi – qui modifie les dispositions antérieures de la loi sur la protection des mineurs – renforce la protection des droits de l’enfant en améliorant la collecte de signaux auprès des enfants et en vérifiant les compétences des personnes travaillant avec des enfants, ce qui était plus que nécessaire. Toutefois, une clarification de la loi semble nécessaire car la collecte et le traitement des données – y compris les données sensibles et les données soumises à un régime de traitement spécifique – que la loi prescrit aux éducateurs et aux personnes en contact avec les enfants peuvent constituer une ingérence grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Le président de l’APD fournit une analyse précise la manière d’appliquer les principes du RODO pour améliorer et compléter la loi. Il demande au Ministre de la Justice de répondre à cette soumission par écrit dans les 30 jours suivant sa réception. En particulier :
* La loi ne fournit pas une base juridique adéquate pour les normes de protection des mineurs
* Les dispositions relatives à la sphère des droits des personnes concernées et aux obligations des responsables du traitement sont vagues
* Le champ d’application des dispositions est imprécis, il n’y a pas de réglementation des principes du traitement des données
* L’obligation d’information doit être mise en œuvre dans les mêmes conditions à l’égard des personnes affectées par des actions négatives qu’à l’égard de l’auteur de l’événement négatif, ce qui suscite de nombreux doutes de la part des responsables du traitement
* D’importants doutes d’interprétation concernent la disposition relative à l’obligation des employeurs et autres organisateurs de vérifier le casier judiciaire des personnes effectuant un travail ou des activités liées au travail avec des enfants
* Le fait de demander des informations plus générales, « pour l’avenir », entraîne un traitement injustifié et redondant des données à caractère personnel des personnes
* Les dispositions de la loi n’indiquent pas la durée de conservation des données traitées par les responsables du traitement

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.