Dernières actualités : données personnelles

L’autorité polonaise condamne 3 institutions pour avoir perdu une clé USB contenant les données RH et de paie de 1500 personnes

Le Président de l’UODO a imposé des amendes de 15 000 PLN et 20 000 PLN (environ 8000 euros au total) à deux institutions municipales de Kutno pour, entre autres, ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées, ce qui a entraîné une violation de données. La première est le centre municipal d’aide sociale (MOPS) et du centre municipal de sports et de loisirs (MOSiR). Une amende de plus de 24 000 PLN (environ 5500 euros) a également été infligée à l’entreprise engagée par les institutions pour transférer les données vers le nouveau système de gestion des ressources humaines et des salaires.

A l’occasion de ce transfert, un employé de l’une des institutions a partagé les données avec un employé de l’entreprise chargée du transfert des données. Ces données ont été transférées sur une clé USB non chiffrée, qui a ensuite été perdue alors que son contenu n’avait pas été effacé après les données extraites, conformément aux procédures de l’entreprise. La clé USB a été trouvée par une personne qui a tenté de la restituer en publiant une annonce dans les médias locaux, mais sans succès. La personne a donc ouvert les fichiers et a pu identifier les institutions concernées. Après avoir pris connaissance de cette situation, les institutions ont signalé la perte de la clé USB à l’autorité de protection des données.

La clé contenait les données personnelles de près de 1 000 employés et collaborateurs actuels et anciens de l’une des institutions, ainsi que les données de 549 employés, retraités, anciens employés, contractants et participants aux travaux d’intervention de l’autre institution. Des données telles que les prénoms, noms, prénoms des parents, dates de naissance, numéros de compte bancaire, adresses de résidence ou de séjour, numéros d’enregistrement PESEL [équivalent du NIR], adresses électroniques, données sur les revenus et/ou les biens possédés, noms de famille de la mère, séries et numéros de carte d’identité, numéros de téléphone, données sur les vacances, congés de maladie, données sur les écoles terminées, historique de l’emploi, noms des enfants et leurs dates de naissance ont pu être trouvées sur le support.

Le président de l’autorité de protection des données a enquêté sur l’affaire et a estimé que la la MOPS, MOSiR et la société qui modifie le système de gestion des ressources humaines et des salaires auraient dû vérifier que les données à caractère personnel étaient partagées d’une manière qui tienne compte du risque de perte de leur support et qu’elles étaient protégées de manière adéquate contre tout accès non autorisé (par exemple, en utilisant le mot de passe requis pour ouvrir tous les fichiers ou dossiers de fichiers contenant des données à caractère personnel). Si cela avait été fait, la violation de données aurait pu être évitée.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Selon l’autorité polonaise, le responsable du traitement ne peut pas déléguer à un employé le soin de déterminer comment sécuriser les données

En février 2020, un greffier du tribunal de Zgierz a perdu une clé USB non chiffrée contenant les données personnelles de 400 personnes. Il s’agissait de noms, de dates de naissance, d’adresses de résidence ou de séjour, de numéros PESEL, de données sur les revenus et/ou le patrimoine, de numéros de cartes d’identité, de numéros de téléphone, de données sur la santé et de condamnations. Le président du tribunal de district – le responsable du traitement – a signalé cette violation et en a informé les personnes dont les données se trouvaient sur les supports perdus.

Outre quelques reproches concernant le contenu (incomplet) de l’information des personnes concernées, l’UODO a estimé que le responsable du traitement n’avait pas correctement mis en œuvre les garanties techniques et organisationnelles. Selon les procédures en vigueur au tribunal de Zgierz, l’obligation de sécuriser les supports officiels contenant des données à caractère personnel incombait aux utilisateurs (employés) eux-mêmes. Avant cette violation, les employés étaient simplement formés à la protection des données.

Néanmoins, l’autorité polonaise estime qu’une formation unique ne suffit pas, car cela ne garantit pas qu’un employé ne transférera pas de données sur un support non sécurisé. Dans le cas présent, l’employé a protégé les données en transportant une clé USB dans un sac fermant à clé.Elle a ainsi estimé que l’administrateur :

* n’a pas procédé à une analyse de risque appropriée et n’a donc pas pu chercher à minimiser le risque de manière adéquate ;
* s’est limité à des mesures de protection organisationnelles (procédures, formation), sans en vérifier l’efficacité ;
* et n’a pas mis en œuvre de mesures de protection techniques telles que le cryptage ou la vérification des supports.

Conséquence pour le tribunal : une amende de 10 000 PLN, soit un peu moins de 2500 euros.
L’affaire ne s’arrête pas là : le président du tribunal de district de Zgierz a fait appel de cette décision … et a vu ses plaintes être rejetées par les tribunaux des deux instances.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.