Dernières actualités : données personnelles

CNIL

Explorez la cartographie des entrepôts de données de santé en France

Le Laboratoire d’innovation numérique de la CNIL (LINC) publie une cartographie des entrepôts de données de santé en France. Cet outil a pour objectif de documenter les initiatives de différents acteurs qui constituent ces bases de données, notamment dans le cadre de la recherche. La CNIL rappelle, dans son article, qu’elle a un rôle de régulateur des données personnelles en général, et en particulier des données de santé. Ainsi, elle accompagne, autorise (dans certaines hypothèses) et contrôle la mise en œuvre de ces entrepôts de données de santé. Devant la multiplication de ces derniers et des organismes souhaitant en constituer, il est apparu particulièrement utile de créer un outil permettant à la fois de comprendre les dynamiques à l’œuvre et d’améliorer la transparence de l’usage des données de santé dans le cadre de la recherche.

Disponible sur: CNIL.fr

L’Usine digitale

Un établissement de santé victime d’une fuite de données, 750 000 dossiers de Français dérobés

Un pirate informatique a mis en vente le 19 novembre sur le site de piratage BreachForums des données personnelles sensibles appartenant à 758 912 Français. Il affirme sur le forum avoir dérobé les noms, prénoms, dates de naissance, adresses postales et e-mail et numéros de téléphone des individus. De manière plus inquiétante, il revendique aussi la fuite de certaines données sensibles, comme des prescriptions médicales, le nom du médecin traitant des patients, des déclarations de décès, les historiques de carte de mutuelle et des identifiants externes.

Disponible sur: usine-digitale.fr

UODO (autorité polonaise)

L’UODO intervient après la publication d’articles accusant les gardes-frontières d’utiliser la base PESEL [équivalent du NIR] à des fins privées

Le président de l’UDODO a annoncé aujourd’hui avoir demandé au commandant en chef du corps des gardes-frontières, le général Robert Bagan, s’il était au courant de l’utilisation par les gardes de la base de données PESEL à des fins privées et, dans l’affirmative, ce qu’il avait fait à ce sujet.

Cette demande fait suite à des révélations par les médias (et en particulier le 5 novembre par Radio Zet) selon lesquelles des employés du corps des gardes-frontières effectuent des vérifications non autorisées dans la base de données PESEL. Les données personnelles de voisins, de connaissances ou les adresses résidentielles de célébrités sont vérifiées. Ces vérifications, qui ne sont pas liées à leurs activités officielles, peuvent concerner jusqu’à des centaines de personnes. Dans leur article, les journalistes soulignent que le problème a été mis en lumière dès 2022, mais que l’affaire est toujours en cours d’instruction. Elle est traitée par le bureau des affaires internes des gardes-frontières et le bureau du procureur du district de Varsovie.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Absence de nomination écrite et suffisamment claire d’un DPO : l’autorité polonaise sanctionne une entité publique

Aujourd’hui, l’UODO a annoncé avoir imposé une amende administrative de 25 000 PLN (environ 5700 euros) contre l’inspecteur du contrôle des bâtiments du district de Częstochowa pour avoir omis de désigner un délégué à la protection des données et, par conséquent, pour avoir omis de publier ses coordonnées et de les notifier à l’autorité de contrôle.  Dans le cadre de la procédure engagée par le président de l’UODO, l’Inspection des bâtiments de Poviat (PINB) a soumis une copie des dossiers personnels de deux personnes qui, selon elle, avaient précédemment exercé la fonction de délégué à la protection des données à la PINB de Częstochowa. Pour le prouver, l’entité a fourni les documents suivants à l’UODO:
– une attestation de suivi d’une formation à la protection des données personnelles pour le délégué à la protection des données,
– une clause d’information sur le traitement des données à caractère personnel,
– l’autorisation de traiter les données à caractère personnel dans les systèmes traditionnels et informatiques,
– le règlement relatif à la mise en œuvre de la politique de sécurité du traitement des données à caractère personnel au sein de l’inspection de la surveillance des bâtiments du district.
– l’étendue des activités liées à l’exercice de la fonction de DPD sur la base d’un ordre verbal de l’administrateur

Néanmoins, selon l’avis du président de l’Office de protection des données à caractère personnel (UODO), les formulations figurant dans les documents susmentionnés ne peuvent que prouver indirectement que la fonction de DPO au sein de la structure de l’administrateur est exercée par les personnes qui y sont indiquées. Elles ne prouvent pas qu’il y a eu une nomination effective au poste de DPO. L’exercice de la fonction de DPO sur la base d’une instruction verbale de l’administrateur n’établit pas son efficacité. Selon l’autorité, le responsable du traitement doit s’efforcer de veiller à ce que l’acte juridique (par exemple, l’ordre interne, la résolution, l’attribution des tâches) ou le contrat conclu avec la personne qui doit exercer la fonction de DPO indique clairement la désignation d’une personne spécifique pour exercer la fonction de DPO. À des fins de preuve, il est essentiel qu’ils soient également rédigés par écrit. Il est également nécessaire d’assigner précisément l’étendue des fonctions de cette personne conformément aux dispositions des articles 38 et 39 du RODO.

Dans le cas de la PINB à Częstochowa, un DPO n’a effectivement désigné une personne spécifique que le 4 mars 2024, c’est-à-dire déjà après la procédure de contrôle. Toutefois, à la date de la décision (18 octobre 2024), il n’avait pas publié les coordonnées de la personne susmentionnée. Actuellement, cela a été corrigé.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

SDTB (autorité allemande de Saxe)

Conférence sur la protection des données en Allemagne : résolutions concernant l’IA, la loi sur la BKA, la loi sur l’accès en ligne et les services numériques

La conférence des autorités indépendantes de protection des données du fédéral et des Länder (« DSK ») a traité une multitude de sujets variés lors de sa 108e conférence, qui s’est tenue les 14 et 15 novembre 2024 à Wiesbaden.
4 sujets en particulier ont été abordés, résumés de la manière suivante:

* Une attention particulière a été portée au développement et à l’utilisation de modèles et de systèmes d’intelligence artificielle. La DSK a décidé de créer un groupe de travail sur l’intelligence artificielle qui réunit l’expertise technique et juridique de toutes les autorités de surveillance affiliées à la CCPD. Ce groupe de travail se penchera sur des questions telles que la collecte et la préparation des données d’entraînement, l’entraînement avec des données à caractère personnel et la mise en œuvre des droits des personnes concernées.

* L’arrêt de la Cour constitutionnelle fédérale du 1er octobre 2024 a également été discuté lors de la conférence. La Cour constitutionnelle fédérale a en effet déclaré, par un arrêt du 1er octobre 2024 – 1 BvR 1160/19 – que des dispositions de la loi sur le Bundeskriminalamt (BKAG) inconstitutionnelles. Cela concerne :
– d’une part le stockage préventif de « données de base » d’un prévenu précédemment collectées dans le réseau d’informations policières, sans qu’il ait été établi avec une probabilité suffisante que cela soit nécessaire pour prévenir un futur acte criminel;
– d’autre part, la surveillance de personnes de contact avec des moyens spéciaux est inconstitutionnelle si ces personnes de contact ne représentent elles-mêmes aucun danger concret. L’arrêt nécessite une modification du BKAG ainsi que des projets de loi au niveau des Länder et de la pratique de surveillance de la police.

La conférence a été l’occasion de discuter des modifications que cet arrêt nécessite pour la pratique de contrôle des autorités de protection des données et comment des contrôles communs ou coordonnés peuvent être mis en œuvre.

* La DSK a abordé des questions de protection des données importantes liées à l’administration électronique. Elle explique les nouvelles dispositions introduites par la nouvelle loi sur l’accès en ligne (OZG) en ce qui concerne leurs impacts pratiques pour les utilisateurs du droit. Sont notamment traités le principe « dites le moi une fois », l’attribution légale de la responsabilité en matière de protection des données aux fournisseurs de services d’accès et aux opérateurs de procédures administratives spécialisées.

* Enfin, la conférence a permis d’évoquer la mise à jour des lignes directrices pour les fournisseurs de services numériques du 1er décembre 2021. Les lignes directrices concernent notamment les services numériques, tels que les sites web et les applications, qui traitent des données personnelles des utilisateurs et constituent des profils pour suivre le comportement individuel des utilisateurs et utiliser les données à diverses fins, principalement des fins publicitaires. Selon l’article, la révision prend en compte principalement deux évolutions juridiques importantes des dernières années : la décision d’adéquation relative au cadre de protection des données UE-États-Unis; ainsi que les lois sur les services numériques (DDG) et sur la protection des données des services numériques de télécommunications (TDDDG) qui ont adapté les réglementations allemandes aux récentes modifications du droit européen.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Sanctions contre deux universités n’ayant pas appliqué un patch de sécurité vieux de 6 ans

La Commission de protection des informations personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a annoncé avoir a voté l’imposition d’un total de 235,8 millions KRW d’amendes (environ 160 000 euros) et de 6,6 millions KRW (environ 4500 euros) de pénalités à l’Université Sunchunhyang et à l’Université Kyungsung pour avoir enfreint la Loi sur la protection des informations personnelles à propos de leurs obligations de sécurité.  Ces deux universités ont fait l’objet d’une enquête à la suite d’un rapport sur une fuite d’informations personnelles. Au cours de ces enquêtes, l’autorité a constaté :

* S’agissant de l’université Sunchunhyang : des informations personnelles ont été divulguées par des pirates informatiques qui ont exploité une vulnérabilité de logique web sur le site web principal de l’école. L’analyse des fichiers diffusés par le pirate sur les réseaux sociaux a confirmé que plus de 500 informations personnelles (nom, département, numéro de cours, adresse, coordonnées, affiliation, numéro de sécurité sociale, etc. Malgré cela, l’université Sunchonhyang n’a pas appliqué à ce jour le correctif de sécurité distribué par Oracle pour résoudre la vulnérabilité de la logique web en octobre 2017. En outre, l’université Sunchonhyang n’a pas mis en place les fonctions d’autres règles de sécurité essentielles, ni de  mesures de chiffrement lors de la conservation, dans un espace de stockage interne, de preuves relatives au recrutement de conférenciers contenant des numéros d’identification nationaux.
En conséquence, la PIPC a imposé une amende de 193 millions de KRW et une pénalité de 6,6 millions de KRW (environ 135 000 euros au total) à l’université Sunchonhyang, et a ordonné des mesures correctives afin de remédier aux carences mises en évidence.

* S’agissant de l’université Kyungsung : des informations personnelles ont été divulguées à la suite d’un piratage du système d’information global du campus (portail Kyungsung), de la même manière qu’à l’université Sunchonhyang, et les pirates ont diffusé les informations personnelles volées sur les services de réseaux sociaux. Après avoir analysé les fichiers publiés par les pirates, il a été confirmé que les informations personnelles (nom, département, numéro de cours, numéro de téléphone portable) de plus de 2 000 étudiants ont  été divulguées. À la suite de l’enquête, l’Université Kyungsung n’a pas non plus appliqué le correctif de sécurité distribué par Oracle en octobre 2017 pour résoudre la vulnérabilité de la logique web.
En réponse, la Commission de protection des informations personnelles a imposé une amende de 42,8 millions de wons (environ 29 000 euros) à l’université et lui a demandé d’améliorer l’ensemble de ses mesures de protection des informations personnelles.

L’autorité note qu’il est probable que les deux universités aient été attaquées par le même pirate informatique car elles ont laissé des vulnérabilités dans la logique web de leurs systèmes de traitement des informations personnelles non améliorées pendant plus de six ans.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPA (autorité grecque)

Un candidat député – médecin d’un hôpital public condamné à une amende pour avoir utilisé les données d’un patient à des fins de communication politique

L’autorité grecque a publié une décision par laquelle elle a condamné un candidat député exerçant comme médecin d’un hôpital public à une amende de 15 000 euros pour avoir … réutilisé les données d’un patient à des fins politiques. Deux plaintes ont été déposées auprès de l’Autorité par des citoyens ayant reçu un message politique par SMS émanant d’un candidat député – médecin d’un hôpital public, dont le contenu semblait être en rapport avec le fait que les destinataires du message avaient été hospitalisés à l’hôpital où il travaillait, sans le connaître personnellement et sans avoir été informés ou avoir donné leur consentement à l’utilisation de leurs données à des fins de communication politique.

Parallèlement, au nom de l’Hôpital, un signalement d’incident de violation des données personnelles des patients a été déposé auprès de l’Autorité, suite à la plainte d’autres patients auprès de l’Hôpital pour avoir reçu le même message. L’enquête de l’Autorité de protection des données a permis de constater que :
* Le médecin en question avait eu un accès légitime aux dossiers médicaux dans le cadre de ses fonctions, mais avait quitté l’hôpital avant l’envoi des SMS. Cependant, il aurait pu extraire ces données avant son départ.
* Le médecin a nié avoir utilisé les informations des patients, affirmant avoir utilisé des listes de contacts personnels et des bases publiques. Il a spécifié que certains de ces contacts étaient des « amis personnels et connaissances », accumulés durant ses 36 années de carrière, y compris des anciens patients suivis à titre personnel​ Cependant, l’hôpital n’a pas pu démontrer qu’il n’avait pas exporté ces données, étant donné l’absence de contrôle spécifique sur l’accès aux dossiers patients, et notamment une journalisation des accès.

Les arguments du médecin n’ont néanmoins pas convaincu l’autorité, qui a considéré que le candidat député n’a pas réussi à justifier auprès de l’autorité la collecte et la conservation légales des numéros de téléphone des destinataires de son message électoral, et a omis d’informer les sujets concernant le traitement de leurs données à des fins de communication politique et de leur fournir un moyen d’exercer leurs droits conformément au RGPD. L’autorité lui a ainsi infligé une amende d’un montant total de 15 000 euros pour les violations de la légalité, de l’objectivité et de la transparence du traitement ainsi que de l’obligation de faciliter l’exercice des droits des sujets. Ces montants ont été déterminés en tenant compte de la gravité des infractions, notamment l’exploitation abusive de données sensibles issues de dossiers médicaux, ainsi que l’impact potentiel sur la vie privée des patients.
L’hôpital, de son côté, n’a pas été sanctionné malgré les faiblesses dans ses mesures de sécurité mises en évidence par l’affaire.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité danoise)

La commune de Brøndby fait l’objet d’une réprimande pour le manque de mesures de sécurité de ses données

À l’automne 2023, l’Agence danoise de protection des données a procédé à une inspection de la municipalité de Brøndby, en se concentrant sur deux thèmes clés : le contrôle périodique des droits d’accès et l’utilisation de l’authentification multifactorielle (MFA) lors de l’accès aux systèmes informatiques de la municipalité directement à partir d’Internet. Les thèmes ont été choisis sur la base des recommandations de l’autorité à la municipalité de Brøndby dans le cadre de contrôles écrits menés 2021 et 2022, au cours desquels la maturité de la municipalité dans le domaine de la protection des données a été examinée.

Suite à son enquête, Datatilsynet a conclu que la municipalité de Brøndby n’avait pas effectué de contrôles documentés permanents de l’accès des utilisateurs ordinaires à KMD Nexus [une application de services de santé] (c’est-à-dire les utilisateurs qui ne disposent pas de droits étendus ou de droits d’administrateur), les derniers contrôles effectués par la municipalité avant la visite d’inspection ayant eu lieu en janvier 2020 et en mars 2021.

En outre, jusqu’au le 15 novembre 2023, la municipalité de Brøndby n’a pas mis en œuvre le MFA lors de l’accès à KMD Nexus, mais également à d’autres sites ou applications. Le MFA n’a été mise en œuvre qu’après que l’Agence danoise de protection des données a notifié l’inspection à la municipalité de Brøndby et cinq ans après que la municipalité a estimé, dans une évaluation des risques de KMD Nexus, que l’absence de MFA pour la connexion directement depuis l’internet constituait une vulnérabilité. Sur cette base, l’Agence danoise de protection des données a réprimandé municipalité de Brøndby pour ne pas avoir pris les mesures de sécurité appropriées. En revanche, aucune amende n’a été prononcée à l’encontre de la municipalité.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Selon l’autorité néerlandaise, la lutte contre la fraude du CROUS local est réalisée de manière discriminatoire et illégale

Dans un article publié ce jour, l’autorité néerlandaise annonce que , après enquête, que la manière dont Dienst Uitvoering Onderwijs (DUO) [l’équivalent du CROUS] a utilisé un algorithme pour vérifier si les étudiants abusaient de la bourse de non-résident était discriminatoire et donc illégale.  DUO a attribué aux étudiants un « score de risque » en tenant compte du type d’enseignement, de la distance entre les adresses et de l’âge. Ces critères n’avaient aucune justification objective. Cette méthode est donc discriminatoire et donc illégale. En outre, le ministre de l’éducation, de la culture et des sciences (OCW) – responsable de DUO – a déclaré que cet algorithme était indirectement discriminatoire à l’égard des étudiants issus de l’immigration.

L’algorithme dont il est question servait à calculer le risque qu’un étudiant « triche » sur la bourse. Ainsi, DUO a utilisé l’algorithme pour sélectionner les étudiants pour une visite à domicile. Pour ce faire, elle a utilisé les critères suivants :
* Type d’éducation : une éducation MBO a donné un score de risque plus élevé qu’une éducation collégiale ou universitaire.
* Distance : une distance plus courte entre l’adresse du domicile de l’étudiant et celle de son/ses parent(s) donne un score de risque plus élevé.
* Âge : plus l’âge de l’étudiant est bas, plus le score de risque est élevé.

Avec un score de risque plus élevé, les étudiants (après sélection manuelle par DUO) pouvaient faire l’objet de contrôles et de visites à domicile plus fréquents de la part de DUO. L’AP estime que DUO a sélectionné et contrôlé 21 500 étudiants pour fraude entre 2013 et 2022, en partie sur la base des calculs de l’algorithme. L’enquête de l’autorité a notamment montré qu’un étudiant s’est vu attribuer un score de risque plus élevé qu’un autre, sans justification appropriée. Et pour cause : DUO n’a jamais évalué le fonctionnement de l’algorithme.

Aleid Wolfsen, président AP a déclaré : « Si vous utilisez un algorithme avec des critères de sélection, vous faites une distinction entre des groupes de personnes par définition. Vous devez toujours justifier cette distinction de manière très précise. Vous devez également vérifier si le résultat de l’algorithme ne crée pas involontairement une distinction injuste. Ne faites-vous pas cela et commencez-vous à travailler avec un algorithme sans justification solide ? Il s’agit alors d’un algorithme discriminatoire et donc d’un traitement discriminatoire et illégal de données à caractère personnel ».

[Ajout contextuel Portail RGPD: Cet algorithme pourrait être comparé avec celui mis en place par la CNAF et qui a fait l’objet de vives critiques par de nombreuses associations, parmi lesquelles la Quadrature du Net, en raison des discriminations qu’il engendre. L’algorithme de la CNAF vise en effet à attribuer un score aux allocataires afin d’estimer lesquels sont les plus susceptibles de frauder. Parmi les critères utilisés, se trouverait un critère relatif au handicap, l’âge du responsable du dossier et du conjoint le cas échéant, ou encore la situation familiale. ]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Briefcam au Ministère de l’Intérieur : selon la Quadrature, le rapport d’inspection tente de noyer le poisson

L’an dernier, le média d’investigation Disclose révélait que depuis des années, en se sachant dans l’illégalité la plus totale, la police nationale avait recouru au logiciel de l’entreprise israélienne Briefcam, qui permet d’automatiser l’analyse des images de vidéosurveillance. Cette solution comporte une option « reconnaissance faciale » qui, d’après Disclose, serait « activement utilisée ». Après avoir tenté d’étouffer l’affaire, le ministère de l’Intérieur a enfin publié le rapport d’inspection commandé à l’époque par Gérald Darmanin pour tenter d’éteindre la polémique. Ce rapport, rédigé par des membres de l’Inspection générale de l’administration, de l’Inspection générale de la police nationale et de l’Inspection de la Gendarmerie nationale, permet d’étayer les révélations de Disclose. Fondé sur la seule bonne foi des forces de l’ordre, il s’apparente toutefois à une tentative choquante de couvrir des faits passibles de sanctions pénales.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

Retour en haut