Dernières actualités : données personnelles

Données volées : l’autorité italienne annonce la création d’une task force interdépartementale

L’autorité italienne a annoncé ce jour avoir créé une task force interdépartementale afin de travailler sur le sujet des données volées.  « Le phénomène de l’accès non autorisé aux bases de données publiques et privées a toujours retenu l’attention du Garant pour la protection des données personnelles », déclare le président Pasquale Stanzione, “et il a fait l’objet, au fil des ans, de nombreuses mesures visant à renforcer les mesures de sécurité d’un point de vue technique et organisationnel”.

Suite à de récentes informations parues dans la presse, poursuit le président, nous avons créé un groupe de travail interdépartemental impliquant les secteurs concernés afin d’identifier rapidement les activités à entreprendre et les meilleures garanties pour protéger les bases de données. Nous avons notamment défini des mesures de sécurité, tant techniques qu’organisationnelles, adéquates en ce qui concerne l’accès du personnel autorisé, mais aussi toutes les opérations effectuées par les personnes chargées de leur gestion et de leur maintenance. En plus de poursuivre les activités d’inspection auprès des entreprises déjà identifiées ».

Ces dernières années, en effet, les rapports reçus font état d’une augmentation du phénomène lié à la revente d’informations confidentielles contenues dans des bases de données publiques par des sociétés privées« , conclut M. Stanzione, “qui, en recourant également à des agences d’enquête privées, offrent des services d” »information d’investigation« à toute personne intéressée, y compris par le biais de mécanismes opaques de récupération de données ».

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Sanction de 80.000 euros à une entreprise qui faisait des sauvegardes pendant la relation de travail

Dans sa newsletter du 22 octobre, l’autorité italienne évoque avoir sanctionné une entreprise à hauteur de 80.000 euros pour avoir, au cours de la relation de travail, utilisé un logiciel pour sauvegarder ses courriers électroniques, en conservant à la fois le contenu et les logs d’accès au courrier électronique et au système de gestion de la société. Les informations collectées ont ensuite été utilisées par l’entreprise dans le cadre d’un litige.

L’autorité rappelle qu’en Italie, l’employeur ne peut pas accéder à la messagerie électronique d’un employé ou d’un collaborateur ou utiliser un logiciel pour conserver une copie des messages. Un tel traitement de données à caractère personnel constitue non seulement une violation des règles relatives à la protection des données à caractère personnel, mais est également susceptible d’entraîner une surveillance illicite de l’employé. Elle rajoute que la conservation systématique des courriers électroniques – effectuée sur une longue période (égale à trois ans après la fin de la relation) – et la conservation systématique des journaux d’accès aux courriers électroniques et au système de gestion utilisé par les employés n’étaient pas conformes aux règles de protection des données. En effet, cette conservation n’était pas proportionnée et nécessaire pour atteindre les objectifs déclarés par l’entreprise d’assurer la sécurité du réseau informatique et la continuité de l’activité de l’entreprise.
En outre, elle a permis à l’entreprise de reconstituer en détail l’activité de l’employé, ce qui constitue une forme de contrôle interdite par le statut des travailleurs.

L’zutorité a également constaté l’inadaptation et la déficience des informations fournies aux travailleurs. En effet, le document prévoyait la possibilité pour l’employeur d’accéder aux courriels de ses employés et collaborateurs afin d’assurer la continuité des activités de l’entreprise, en cas d’absence ou de cessation de la relation, sans mentionner, entre autres, la sauvegarde et la durée de conservation correspondante. Ainsi, outre l’amende, l’autorité italienne a ordonné l’interdiction de tout traitement ultérieur de données par le biais du logiciel utilisé pour la sauvegarde des courriers électroniques.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Violation de données : l’autorité italienne sanctionne Postel à hauteur de 900 000 euros

Dans sa newsletter du 22 octobre, l’autorité italienne évoque avoir sanctionné Postel (le « La Poste » italien) en raison d’une violation survenue du fait de l’exploitation d’une vulnérabilité connue de longue date, celle-ci ayant rendu les mesures de sécurité inadéquates. En août 2023, l’entreprise a été la cible d’une cyberattaque de type ransomware qui a provoqué le blocage des serveurs et de certains postes de travail. L’attaque a notamment entraîné l’exfiltration – et dans certains cas la perte de disponibilité – de fichiers contenant les données personnelles d’environ 25 000 personnes, y compris des employés, d’anciens employés, des parents, des titulaires de mandats sociaux, des candidats à l’emploi et des représentants d’entreprises ayant des relations d’affaires avec Postel. Les informations, publiées par la suite sur le dark web, concernaient des données personnelles et de contact, des données d’accès et d’identification, des données de paiement, ainsi que des données relatives à des condamnations pénales et à des infractions et, parmi les personnes appartenant à des catégories spéciales, des données révélant l’appartenance à un syndicat et la santé.

Bien que la vulnérabilité relative à Microsoft Exchange ait été signalée, d’abord par le fabricant du logiciel (septembre 2022, les mises à jour nécessaires étant disponibles en novembre 2022), puis par l’Agence nationale de cybersécurité (novembre 2022), Postel n’a pas mis à jour ses systèmes comme recommandé. L’entreprise a ainsi manqué à ses obligations au titre de la réglementation sur la protection des données, qui l’oblige à prendre des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque. L’enquête a également révélé que, dans la notification de la violation de données à la Garante et dans les compléments ultérieurs, l’entreprise n’avait pas fourni d’informations exhaustives sur la violation et sur les mesures d’atténuation ou d’élimination des vulnérabilités constatées, ce qui a entraîné un allongement du délai nécessaire aux vérifications de l’autorité.

L’autorité italienne a ainsi ordonné à Postel, outre le paiement d’une amende de 900 000 euros, de mener une action extraordinaire pour analyser les vulnérabilités de ses systèmes, préparer un plan de détection et de gestion de ces vulnérabilités, et identifier des temps de détection et de réponse adaptés au risque.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

L’autorité italienne inflige une amende de 5 millions d’euros à un fournisseur d’électricité et de gaz

Dans sa newsletter du 13 septembre, l’autorité italienne est revenue sur une sanction infligée cet été à l’encontre d’un fournisseur d’énergie pour des manquements graves en matière de contractualisation. L’autorité est intervenue à la suite de nombreux rapports et plaintes concernant la conclusion de contrats non sollicités sur le marché libre, établis à partir de données inexactes et périmées concernant les clients de la société. En particulier, les plaignants se sont plaints de n’avoir appris l’établissement du nouveau contrat qu’après avoir reçu de Hera des documents portant une signature apocryphe ou des communications visant à mettre à jour l’état d’activation de la fourniture d’énergie, sans jamais avoir eu de contact avec l’entreprise. Certaines plaintes concernaient également la réponse inexacte ou tardive de Hera aux demandes d’exercice des droits prévus par le règlement sur la protection de la vie privée.

Sur la base des inspections effectuées, l’autorité a constaté que la société n’avait pas adopté de mesures techniques et organisationnelles adéquates pour empêcher l’utilisation illégale des données des clients par les agents de porte-à-porte. Ces derniers acquéraient en effet les données personnelles des personnes concernées en utilisant des dispositifs personnels, par exemple en prenant des photos de leurs documents d’identité, et procédaient ensuite à leur insu à l’activation de l’offre. Dans certains cas, les agents activaient également des polices d’assurance, signées avec de fausses signatures, envoyées avec les contrats. Le système de contrôle utilisé par la société au moyen d’appels téléphoniques visant à vérifier la volonté réelle du client était également insuffisant. Dans la plupart des cas, en effet, l’activation avait eu lieu même lorsque ces appels avaient échoué en raison de l’indisponibilité de la personne contactée.

La Garante a donc prononcé une amende à l’encontre de l’entreprise et lui a ordonné de prendre une série de mesures correctives, dont l’adoption d’un système prévoyant l’interruption du processus de contractualisation en cas de non-réponse à l’appel de contrôle, ainsi que la réalisation de contrôles préventifs et d’audits périodiques afin d’évaluer le travail des agences responsables.

Disponible sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Italie: l’autorité ouvre une enquête sur la panne mondiale liée à Crowdstrike survenue la semaine dernière

Ce 23 juillet 2023, l’autorité annoncé que sur la base des notifications de violation de données reçues, la Garante a lancé des enquêtes sur les conséquences que la récente panne du système informatique a pu avoir sur les données personnelles des utilisateurs, notamment dans le cadre de l’utilisation des services publics. Cet événement résulte d’un dysfonctionnement du logiciel de sécurité CrowdStrike qui a bloqué le fonctionnement de nombreux services en ligne ces derniers jours. La Garante se réserve le droit de prendre d’autres mesures en cas de violations spécifiques susceptibles d’affecter les utilisateurs italiens.

[Ajout contextuel Portail RGPD: En effet, cette panne a touché de très nombreuses grosses entreprises à travers le monde et notamment dans le secteur des transports mais également des hôpitaux, pour qui la disponibilité des données à caractère personnel est critique : à défaut, il devient très difficile de soigner les malades et blessés. Ainsi, l’indisponibilité des données engendre un risque particulièrement élevé sur ces personnes, ce qui a probablement (en partie) expliqué le contrôle. Une affaire à suivre !]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Xandr de Microsoft ne permet pas aux personnes d’exercer leurs droits : NOYB dépose plainte

Le courtier en publicité Xandr (une filiale de Microsoft) collecte et partage les données personnelles de millions d’Européens à des fins de publicité ciblée détaillée. Cela permet à Xandr de vendre aux enchères des espaces publicitaires à des milliers d’annonceurs. Mais, bien qu’une seule publicité soit finalement montrée aux utilisateurs, tous les annonceurs reçoivent leurs données. Il peut s’agir de données personnelles concernant leur santé, leur sexualité ou leurs opinions politiques. De plus, bien qu’elle vende son service comme étant « ciblé », l’entreprise détient des informations plutôt aléatoires : le plaignant est apparemment à la fois un homme et une femme, employé et chômeur. Cela pourrait permettre à Xandr de vendre des espaces publicitaires à de multiples entreprises qui pensent cibler un groupe spécifique.

NOYB admet que certains détails restent inconnus, car Xandr a également refusé de donner suite à la demande d’accès et d’effacement du plaignant : au total, 1294 demandes d’accès réalisées via le « Privacy Center » de Xandr qui est visible sur un site caché ont été refusées (soit 100% des demandes), de même de 660 demandes de suppression (également 100% des demandes), au motif que Xandr  ne serait pas en capacité d’identifier les personnes concernées. Pas convaincu par l’argument au regard de la masse de données concernées, NOYB a déposé une plainte au titre du RGPD, en l’espèce auprès de l’autorité italienne.

Disponible sur: noyb.eu

L’autorité italienne publie son rapport annuel 2023

L’autorité pour la protection des données personnelles – composée de Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza – présente aujourd’hui le rapport sur les activités menées au cours de la quatrième année de son mandat. Le rapport illustre les différents fronts sur lesquels l’Autorité s’est engagée au cours d’une année caractérisée par des interventions dans des domaines très innovants : numérisation, intelligence artificielle, PNRR, et par certaines constantes : la lutte contre le télémarketing agressif, l’attention particulière aux personnes vulnérables et la protection des données de santé. Des deux côtés, qui sont mutuellement liés, la Garante a toujours cherché le règlement difficile, parfois ardu, des intérêts et des droits en jeu, poursuivant sa tâche de protection des droits qui sont vraiment fondamentaux pour la liberté personnelle et sociale.

Après être revenue sur les interventions qu’elle estime être les plus pertinentes (notamment dans des dossiers à enjeux tels que des dossiers IA), l’autorité nous donne ses chiffres pour 2023:
* 9281 plaintes et signalements concernant notamment le marketing et les réseaux télématiques ; les données en ligne des administrations publiques ; la santé ; la justice ; le cyberharcèlement et le revenge porn ; la sécurité informatique ; la banque et la finance ; le travail ;
* 144 contrôles, ainsi que 394 mesures correctives et sanctions pour un montant total de 8 millions d’euros (perçus) ;
* 2037 notifications de violation de données ;
* 59 avis sur des actes réglementaires et administratifs ;
* 19 200 questions traitées ;

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.