Dernières actualités : données personnelles

UODO (autorité polonaise)

L’UODO intervient après la publication d’articles accusant les gardes-frontières d’utiliser la base PESEL [équivalent du NIR] à des fins privées

Le président de l’UDODO a annoncé aujourd’hui avoir demandé au commandant en chef du corps des gardes-frontières, le général Robert Bagan, s’il était au courant de l’utilisation par les gardes de la base de données PESEL à des fins privées et, dans l’affirmative, ce qu’il avait fait à ce sujet.

Cette demande fait suite à des révélations par les médias (et en particulier le 5 novembre par Radio Zet) selon lesquelles des employés du corps des gardes-frontières effectuent des vérifications non autorisées dans la base de données PESEL. Les données personnelles de voisins, de connaissances ou les adresses résidentielles de célébrités sont vérifiées. Ces vérifications, qui ne sont pas liées à leurs activités officielles, peuvent concerner jusqu’à des centaines de personnes. Dans leur article, les journalistes soulignent que le problème a été mis en lumière dès 2022, mais que l’affaire est toujours en cours d’instruction. Elle est traitée par le bureau des affaires internes des gardes-frontières et le bureau du procureur du district de Varsovie.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Absence de nomination écrite et suffisamment claire d’un DPO : l’autorité polonaise sanctionne une entité publique

Aujourd’hui, l’UODO a annoncé avoir imposé une amende administrative de 25 000 PLN (environ 5700 euros) contre l’inspecteur du contrôle des bâtiments du district de Częstochowa pour avoir omis de désigner un délégué à la protection des données et, par conséquent, pour avoir omis de publier ses coordonnées et de les notifier à l’autorité de contrôle.  Dans le cadre de la procédure engagée par le président de l’UODO, l’Inspection des bâtiments de Poviat (PINB) a soumis une copie des dossiers personnels de deux personnes qui, selon elle, avaient précédemment exercé la fonction de délégué à la protection des données à la PINB de Częstochowa. Pour le prouver, l’entité a fourni les documents suivants à l’UODO:
– une attestation de suivi d’une formation à la protection des données personnelles pour le délégué à la protection des données,
– une clause d’information sur le traitement des données à caractère personnel,
– l’autorisation de traiter les données à caractère personnel dans les systèmes traditionnels et informatiques,
– le règlement relatif à la mise en œuvre de la politique de sécurité du traitement des données à caractère personnel au sein de l’inspection de la surveillance des bâtiments du district.
– l’étendue des activités liées à l’exercice de la fonction de DPD sur la base d’un ordre verbal de l’administrateur

Néanmoins, selon l’avis du président de l’Office de protection des données à caractère personnel (UODO), les formulations figurant dans les documents susmentionnés ne peuvent que prouver indirectement que la fonction de DPO au sein de la structure de l’administrateur est exercée par les personnes qui y sont indiquées. Elles ne prouvent pas qu’il y a eu une nomination effective au poste de DPO. L’exercice de la fonction de DPO sur la base d’une instruction verbale de l’administrateur n’établit pas son efficacité. Selon l’autorité, le responsable du traitement doit s’efforcer de veiller à ce que l’acte juridique (par exemple, l’ordre interne, la résolution, l’attribution des tâches) ou le contrat conclu avec la personne qui doit exercer la fonction de DPO indique clairement la désignation d’une personne spécifique pour exercer la fonction de DPO. À des fins de preuve, il est essentiel qu’ils soient également rédigés par écrit. Il est également nécessaire d’assigner précisément l’étendue des fonctions de cette personne conformément aux dispositions des articles 38 et 39 du RODO.

Dans le cas de la PINB à Częstochowa, un DPO n’a effectivement désigné une personne spécifique que le 4 mars 2024, c’est-à-dire déjà après la procédure de contrôle. Toutefois, à la date de la décision (18 octobre 2024), il n’avait pas publié les coordonnées de la personne susmentionnée. Actuellement, cela a été corrigé.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Le président de l’UODO a rencontré des représentants de Microsoft

L’autorité polonaise a aujourd’hui annoncé que le 15 novembre dernier, le président de l’UODO Miroslaw Wróblewski, et la présidente adjointe , le professeur Agnieszka Grzelak, ont rencontré des représentants de Microsoft, dont Julie Brill, Chief Privacy Officer et Corporate Vice President of Global Privacy, Security and Regulatory Affairs chez Microsoft.

La réunion a porté sur l’utilisation de données personnelles pour former des modèles d’intelligence artificielle, y compris les risques pour la vie privée des utilisateurs et le respect des réglementations en matière de protection des données. Ont également été abordés les défis liés à l’utilisation des services en nuage en termes de protection des données, et  notamment vis à vis des transferts de données en dehors de l’UE. Une attention particulière a été accordée au besoin de transparence et de contrôle efficace des données des utilisateurs, y compris la possibilité de mettre en œuvre de nouvelles solutions technologiques pour soutenir la protection des données.

L’autorité estime dans son article que la réunion a constitué une étape importante dans la mise en place d’une coopération entre l’autorité de protection des données et les représentants du marché des technologies de l’information, en vue d’un développement durable des technologies, tout en respectant le droit à la vie privée. Une affaire à suivre !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Le « Conseil d’Etat » polonais confirme l’amende prononcée contre une société qui conditionnait le retrait du consentement à la justification dudit retrait

La société ClickOuickNow devra payer une amende imposée par le président de l’UODO : c’est ce qu’a aujourd’hui publié l’autorité dans un communiqué. La Cour administrative suprême (ASN) a rejeté son pourvoi en cassation contre le verdict du tribunal administratif de la voïvodie (WSA) de Varsovie sur une plainte contre une décision par laquelle la PUODO a imposé une amende de 201 559,50 PLN [soit environ 47 000 euros]. Le tribunal, comme le tribunal administratif de la voïvodie de Varsovie avant lui, a partagé la position présentée dans la décision du président de l’UODO du 16 octobre 2019 et les arguments de l’autorité de contrôle sur le bien-fondé de l’imposition de la sanction, ainsi que sur son montant.

La décision du PUODO d’imposer une sanction était liée à la violation par ClickOuickNow du règlement général sur la protection des données. Selon l’autorité, la société a entravé le processus de retrait du consentement au traitement des données personnelles en utilisant des solutions organisationnelles et techniques compliquées lorsqu’une personne tentait de retirer ce consentement.  Cela a également été confirmé par l’ASN qui a notamment estimé que les personnes qui ont tenté de retirer leur consentement au traitement des données à caractère personnel ont été induites en erreur. Elles ont reçu un message qui se lisait comme suit : « Votre révocation de consentement aujourd’hui 13.02.2019 ! ». Néanmoins, comme l’a souligné la Cour, la réception d’un tel message ne signifiait pas du tout une révocation effective du consentement, mais obligeait la personne à indiquer la raison de la révocation du consentement. En outre, l’absence d’indication du motif interrompt le processus de révocation du consentement. L’ASN a également noté l’ampleur du phénomène – au 31 janvier 2019, la base de données de la société traitait les données personnelles de plus de 2,1 millions de personnes.

Dans la décision concernant ClickOuickNow, le président de l’UODO a également constaté que la société traitait sans base légale les données de personnes qui n’étaient pas ses clients, mais dont elle recevait des demandes de cessation du traitement de leurs données à caractère personnel. Ainsi, le responsable du traitement sanctionné a violé l’exercice du droit de demander l’effacement de données à caractère personnel.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Amende de 350 000 PLN pour une société vendant des portes anti-effraction pour … non-respect des règles de protection des données

Aujourd’hui, l’autorité polonaise a annoncé avoir infligé une amende de plus de 350 000 PLN (environ 80 000 euros) à une société vendant, entre autres, des portes anti-effraction, pour non-respect des règles de protection des données à caractère personnel. Cette affaire commence par une notification de violation : la base de données indique avoir été victime d’un ransomware et avoir perdu une base de données qui contenait notamment les données d’anciens employés et d’employés actuels : numéros PESEL [équivalent du NIR], cartes d’identité, noms et prénoms, noms des parents, dates de naissance, numéros de compte bancaire, adresses de résidence ou de séjour, e-mail et numéro de téléphone. Selon l’entreprise, son employé a désactivé son programme anti-virus, ce qui a permis l’attaque. Selon l’administrateur, l’incident a toutefois été de courte durée et l’entreprise a réussi à récupérer l’accès aux données. Il a également reconnu que le but de l’attaque n’était pas d’obtenir des données, mais de faire du chantage. Elle a donc estimé qu’il n’y avait pas de risque élevé de violation des droits ou des libertés des personnes.

Au cours de l’enquête qui a suivi cette notification, l’UODO constaté un certain nombre de manquements :
* Absence de mesures techniques et organisationnelles appropriées permettant de minimiser le risque pour les données;
* Absence de vérification que le sous-traitant fournit des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées ;
* Notification incomplète des personnes concernées, et absence d’information des employés (anciens ou actuels) de la société concernés ;
* Non respect du principe de responsabilité : le responsable du traitement n’a pas été en mesure de démontrer que les mesures mises en place étaient adaptées aux risques, car il n’avait pas examiné ces derniers.

Conséquence pour l’entreprise : une amende de 80 000 euros environ. L
L’UODO ne s’est cependant pas arrêtée là et a relevé la responsabilité des associés de la société civile à laquelle le responsable du traitement a confié le traitement des données. Il a souligné qu’ils n’ont pas aidé le responsable du traitement à respecter son obligation de mettre en œuvre des mesures techniques et organisationnelles adéquates pour assurer la sécurité du traitement des données à caractère personnel.  Le sous-traitant a négligé au fil des ans d’informer l’administrateur des vulnérabilités présentes dans le logiciel du serveur (alors que l’une d’entre elles a été exploitée avec succès par les auteurs de l’action criminelle) et de la nécessité de mettre à niveau le système d’exploitation vers la dernière version possible, ou d’utiliser d’autres solutions logiques plus récentes. Elle se trouve alors également condamnée par l’UODO, mais à une amende plus légère (environ 2200 euros).

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Selon l’autorité néerlandaise, la lutte contre la fraude du CROUS local est réalisée de manière discriminatoire et illégale

Dans un article publié ce jour, l’autorité néerlandaise annonce que , après enquête, que la manière dont Dienst Uitvoering Onderwijs (DUO) [l’équivalent du CROUS] a utilisé un algorithme pour vérifier si les étudiants abusaient de la bourse de non-résident était discriminatoire et donc illégale.  DUO a attribué aux étudiants un « score de risque » en tenant compte du type d’enseignement, de la distance entre les adresses et de l’âge. Ces critères n’avaient aucune justification objective. Cette méthode est donc discriminatoire et donc illégale. En outre, le ministre de l’éducation, de la culture et des sciences (OCW) – responsable de DUO – a déclaré que cet algorithme était indirectement discriminatoire à l’égard des étudiants issus de l’immigration.

L’algorithme dont il est question servait à calculer le risque qu’un étudiant « triche » sur la bourse. Ainsi, DUO a utilisé l’algorithme pour sélectionner les étudiants pour une visite à domicile. Pour ce faire, elle a utilisé les critères suivants :
* Type d’éducation : une éducation MBO a donné un score de risque plus élevé qu’une éducation collégiale ou universitaire.
* Distance : une distance plus courte entre l’adresse du domicile de l’étudiant et celle de son/ses parent(s) donne un score de risque plus élevé.
* Âge : plus l’âge de l’étudiant est bas, plus le score de risque est élevé.

Avec un score de risque plus élevé, les étudiants (après sélection manuelle par DUO) pouvaient faire l’objet de contrôles et de visites à domicile plus fréquents de la part de DUO. L’AP estime que DUO a sélectionné et contrôlé 21 500 étudiants pour fraude entre 2013 et 2022, en partie sur la base des calculs de l’algorithme. L’enquête de l’autorité a notamment montré qu’un étudiant s’est vu attribuer un score de risque plus élevé qu’un autre, sans justification appropriée. Et pour cause : DUO n’a jamais évalué le fonctionnement de l’algorithme.

Aleid Wolfsen, président AP a déclaré : « Si vous utilisez un algorithme avec des critères de sélection, vous faites une distinction entre des groupes de personnes par définition. Vous devez toujours justifier cette distinction de manière très précise. Vous devez également vérifier si le résultat de l’algorithme ne crée pas involontairement une distinction injuste. Ne faites-vous pas cela et commencez-vous à travailler avec un algorithme sans justification solide ? Il s’agit alors d’un algorithme discriminatoire et donc d’un traitement discriminatoire et illégal de données à caractère personnel ».

[Ajout contextuel Portail RGPD: Cet algorithme pourrait être comparé avec celui mis en place par la CNAF et qui a fait l’objet de vives critiques par de nombreuses associations, parmi lesquelles la Quadrature du Net, en raison des discriminations qu’il engendre. L’algorithme de la CNAF vise en effet à attribuer un score aux allocataires afin d’estimer lesquels sont les plus susceptibles de frauder. Parmi les critères utilisés, se trouverait un critère relatif au handicap, l’âge du responsable du dossier et du conjoint le cas échéant, ou encore la situation familiale. ]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

L’autorité polonaise condamne 3 institutions pour avoir perdu une clé USB contenant les données RH et de paie de 1500 personnes

Le Président de l’UODO a imposé des amendes de 15 000 PLN et 20 000 PLN (environ 8000 euros au total) à deux institutions municipales de Kutno pour, entre autres, ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées, ce qui a entraîné une violation de données. La première est le centre municipal d’aide sociale (MOPS) et du centre municipal de sports et de loisirs (MOSiR). Une amende de plus de 24 000 PLN (environ 5500 euros) a également été infligée à l’entreprise engagée par les institutions pour transférer les données vers le nouveau système de gestion des ressources humaines et des salaires.

A l’occasion de ce transfert, un employé de l’une des institutions a partagé les données avec un employé de l’entreprise chargée du transfert des données. Ces données ont été transférées sur une clé USB non chiffrée, qui a ensuite été perdue alors que son contenu n’avait pas été effacé après les données extraites, conformément aux procédures de l’entreprise. La clé USB a été trouvée par une personne qui a tenté de la restituer en publiant une annonce dans les médias locaux, mais sans succès. La personne a donc ouvert les fichiers et a pu identifier les institutions concernées. Après avoir pris connaissance de cette situation, les institutions ont signalé la perte de la clé USB à l’autorité de protection des données.

La clé contenait les données personnelles de près de 1 000 employés et collaborateurs actuels et anciens de l’une des institutions, ainsi que les données de 549 employés, retraités, anciens employés, contractants et participants aux travaux d’intervention de l’autre institution. Des données telles que les prénoms, noms, prénoms des parents, dates de naissance, numéros de compte bancaire, adresses de résidence ou de séjour, numéros d’enregistrement PESEL [équivalent du NIR], adresses électroniques, données sur les revenus et/ou les biens possédés, noms de famille de la mère, séries et numéros de carte d’identité, numéros de téléphone, données sur les vacances, congés de maladie, données sur les écoles terminées, historique de l’emploi, noms des enfants et leurs dates de naissance ont pu être trouvées sur le support.

Le président de l’autorité de protection des données a enquêté sur l’affaire et a estimé que la la MOPS, MOSiR et la société qui modifie le système de gestion des ressources humaines et des salaires auraient dû vérifier que les données à caractère personnel étaient partagées d’une manière qui tienne compte du risque de perte de leur support et qu’elles étaient protégées de manière adéquate contre tout accès non autorisé (par exemple, en utilisant le mot de passe requis pour ouvrir tous les fichiers ou dossiers de fichiers contenant des données à caractère personnel). Si cela avait été fait, la violation de données aurait pu être évitée.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

En Pologne, le ministère public est sommé d’enquêter sur la fuite de données de Pandabuy[.]com

L’UODO a annoncé aujourd’hui que le tribunal de district de Varsovie-Śródmieście a décidé que le parquet de district de Varsovie-Śródmieście-Północ doit traiter le cas de la commission présumée d’un crime par les auteurs de la publication des données des clients polonais de la plateforme de vente pandabuy[.]com. Lorsque, à la fin du mois de mars 2024, les données des clients polonais (y compris les noms, prénoms et adresses de livraison) ayant fuité de la boutique Pandaby[.]com ont été publiées en ligne sur une carte interactive de la Pologne, le président de l’UODO en a informé le bureau du procureur du district de Śródmieście-Północ de Warszawa.

Dans l’avis de suspicion d’infraction par les créateurs des sites web : « lista-drillowcow[.]pl », “lista drillowcow[.]club” et “lista-drillowcow[.]xyz”, qui contenaient les données des clients du magasin, le président de l’UODO a souligné que la publication de ces données avait eu lieu sans base légale (ce qui, en Pologne, est susceptible d’une amende, d’une peine de restriction de liberté ou d’une peine d’emprisonnement pouvant aller jusqu’à deux ans). Toutefois, le ministère public a d’abord refusé d’ouvrir une enquête sur cette affaire. Le président de l’UODO a donc décidé de déposer une plainte contre cette décision auprès du tribunal, qui, le 15 octobre 2024, l’a prise en compte et a décidé annulé la décision du parquet.

De l’avis du tribunal de district de Varsovie-Śródmieście, les informations et les documents présentés par le président de l’Office pour la protection des données personnelles témoignent d’un soupçon raisonnable de commettre une infraction en vertu de l’article 107, paragraphe 1, de la loi sur la protection des données personnelles [concernant la nécessité d’une base légale pour traiter des données personnelles]. Le tribunal a également admis que les informations présentées par l’UODO ont été confirmées par la police, et par conséquent, le tribunal a estimé que le refus du procureur d’engager des poursuites n’était pas justifié.

Une affaire à suivre, donc !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Des parcs de vacances utilisant la reconnaissance faciale pour gérer les accès aux piscines enjoints de se mettre en conformité

L’autorité des données personnelles (AP) a annoncé aujourd’hui avoir enquêté sur huit parcs de vacances qui utilisent la reconnaissance faciale pour accéder aux piscines et aux aires de jeux. Tous les parcs de vacances ayant fait l’objet d’une enquête se sont avérés violer les lois sur la protection de la vie privée.  Sous la pression de l’AP, sept des parcs enquêtés ont modifié leurs méthodes de travail, mais un parc de vacances ne l’a pas encore fait. S’ils continuent à agir de la sorte et ne se mettent pas en conformité d’ici le mois de décembre [selon le délai fourni dans l’injonction émise par l’autorité], l’AP peut imposer d’autres mesures, telles qu’une amende ou une pénalité.

L’AP a commencé l’enquête à la suite d’informations fournies par des citoyens. « Les gens ont été surpris », déclare Monique Verdier, vice-présidente de l’AP. « Alors qu’ils avaient l’habitude d’entrer dans la piscine avec un laissez-passer ou un bracelet, la reconnaissance faciale a soudainement été utilisée. Pour les adultes, mais aussi pour les enfants. Juste pour entrer dans la piscine. Est-ce que c’est autorisé comme ça ? Ils voulaient savoir.

En l’occurrence, l’enquête menée par l’autorité néerlandaise a montré qu’aucun des parcs de vacances respectaient pas la loi.  L’AP a constaté plusieurs infractions à l’occasion des contrôles :
* Parfois, les parcs ne demandaient même pas l’autorisation. Ou pas assez clairement.
* Parfois, les clients ne pouvaient pas utiliser d’alternative à la reconnaissance faciale. Ou bien il existait une alternative, mais le parc de vacances ne l’a pas fait savoir de son propre chef.
* D’autres parcs de vacances n’ont pas suffisamment informé les clients sur la reconnaissance faciale. Et sur les droits des clients lorsqu’une organisation utilise leurs données personnelles à des fins de reconnaissance faciale.
* Souvent, les clients n’ont pas été informés de la durée de conservation des données par le parc de vacances et de l’identité de la personne qui reçoit les données.

Monique Verdier, vice-présidente de l’AP : « C’est très grave. Il ne faut pas faire pression sur les gens pour qu’ils donnent leurs données biométriques. C’est pourtant ce qui s’est passé ici: les gens paient pour des vacances agréables, avec piscine, et sont mis devant le fait accompli : si vous voulez vous baigner, vous devez communiquer vos données. C’est interdit ».

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Une entreprise sur cinq ne s’occupe pas de la formation sur la protection des données personnelles

Seules 81 % des entreprises du secteur des PME forment leurs employés à la protection des données, mais près de trois cinquièmes d’entre elles ne le font qu’une seule fois, après l’embauche : c’est ce que révèle une enquête commandée par ChronPESEL.pl et le Registre national des dettes sous les auspices de l’Office pour la protection des données personnelles. Pourtant, l’absence de formation ou une formation sporadique peut s’avérer très coûteuse, car ce sont souvent des erreurs humaines involontaires qui sont à l’origine de fuites de données ou de vols par des pirates informatiques.

Le manque de formation est évident dans de nombreuses violations de la protection des données signalées. C’est le cas lorsque des données personnelles sont divulguées à la mauvaise personne en raison de colis mal adressés ou d’attaques par ransomware, ce qui ne se serait pas produit si le personnel avait été correctement formé à ce type de situation. Il est également important que la formation soit cyclique, rappelant les règles de sécurité pertinentes et les adaptant en permanence aux nouvelles menaces émergentes, déclare Jacek Młotkiewicz, directeur du département « Contrôle et violation » de l’Office de protection des données personnelles. Les employés non formés sont en effet le maillon faible du système de sécurité des données d’une entreprise, quelle que soit sa taille. Ces personnes commettent des erreurs élémentaires : ouvrir des courriels suspects, cliquer sur les liens qu’ils contiennent, utiliser des mots de passe faibles et faciles à deviner, …

Malheureusement, seulement 22 % des personnes interrogées déclarent répéter la formation des employés pendant leur emploi. Il est intéressant de noter que les petites entreprises (41 %) soutiennent mieux la comparaison que les moyennes (35 %) et les microentreprises (21 %). Cela peut s’expliquer par un taux de rotation du personnel plus faible. Les entreprises de l’industrie manufacturière (57 %), du commerce (35 %) et des transports (34 %) se distinguent. Il s’agit plus souvent de sociétés (31 %) que d’entreprises individuelles (12 %).

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut