Dernières actualités : données personnelles

ICO (autorité anglaise)

Deux entreprises condamnées à une amende totale de 150 000 livres sterling après avoir bombardé les gens de messages non sollicités proposant des services financiers et d’endettement

Ce jour, l’ICO a annoncé avoir condamné deux sociétés financières et de gestion de la dette basées à Manchester à une amende totale de 150 000 £ (environ 180 000 euros) pour avoir envoyé plus de 7,5 millions de messages texte de spam à des personnes. Quick Tax Claims Limited, une société spécialisée dans le remboursement des taxes PPI, et National Debt Advice Limited, un service de conseil en matière d’endettement, ont attiré l’attention de l’ICO pour la première fois en mai 2023, lorsqu’un certain nombre de plaintes ont été envoyées au service de signalement des messages de spam 7726.

* S’agissant de Quick Tax Claims Limited, une enquête plus large a révélé que la société avait envoyé 7 863 547 SMS illégaux au cours d’un mois, ce qui a donné lieu à 66 793 plaintes – 93 % d’entre elles indiquant qu’il n’y avait pas d’option d’exclusion. Au cours de l’enquête, l’ICO a également découvert que l’entreprise avait acheté des informations personnelles à des fournisseurs tiers qui n’avaient pas obtenu de consentement valable. Nous avons donc infligé à Quick Tax Claims Limited une amende de 120 000 livres sterling (soit environ 145 000 euros)

* National Debt Advice Limited, quant a elle, n’a envoyé « que » 129 902 messages textuels non sollicités, ce qui a donné lieu à 4 033 plaintes. L’enquête, qui a duré plusieurs mois en raison du manque de coopération de National Debt Advice Limited, a révélé que l’entreprise avait également acheté des informations personnelles à des fournisseurs tiers, y compris des données relatives à des refus de prêts, ce qui signifie que les SMS ont été envoyés à des personnes dont la demande de prêt avait déjà été refusée. Ils n’ont pas non plus procédé à des vérifications appropriées du consentement, ce qui nous a amenés à leur infliger une amende de 30 000 livres sterling (soit environ 36 000 euros).

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Une PME condamnée à 3000 euros d’amende pour avoir mal paramétré la liste des destinataires de son mail

L’AEPD a annoncé avoir prononcé une amende de 3000 euros à l’encontre d’une entreprise pour avoir failli à son obligation de sécurité et de confidentialité des données. Comme souvent, cette affaire commence avec une réclamation auprès de l’AEPD en date du 11 mai 2023, le plaignant accusant CLIDEA DESARROLLO, S.A. d’avoir divulgué les adresses e-mail de 349 destinataires, tous travailleurs indépendants pour l’entreprise. Le plaignant a signalé que l’entreprise avait envoyé un e-mail collectif sans utiliser la fonction de copie cachée, rendant visibles les adresses e-mail à tous les destinataires. De plus, ces adresses e-mail contenaient souvent des informations personnelles, telles que des noms et prénoms.

L’enquête menée par l’autorité espagnole a confirmé que CLIDEA DESARROLLO, S.A. avait manqué à son obligation de protéger la confidentialité des données en ne respectant pas l’article 5.1.f) du RGPD, qui exige une sécurité adéquate des données personnelles. L’absence de copie cachée a entraîné la divulgation non autorisée d’informations personnelles, compromettant ainsi la confidentialité des données des destinataires. L’AEPD a également noté que l’entreprise avait failli à son obligation de mise en œuvre des mesures techniques appropriées, conformément à l’article 32 du RGPD, pour éviter une telle divulgation.

En conséquence, l’AEPD  une amende totale de 3 000 € à CLIDEA DESARROLLO, S.A., pour violation du principe de confidentialité des données (article 5) et manquement au principe de sécurité (article 32). Selon la procédure espagnole, l’autorité a offert à l’entreprise la possibilité de réduire l’amende de 20 % en cas de reconnaissance de responsabilité et de paiement volontaire, ce qui ramènerait le total à 1 800 €. CLIDEA DESARROLLO, S.A. a effectué le paiement avec réduction, mettant ainsi fin à la procédure tout en renonçant à tout recours administratif contre la sanction.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Des amendes d’un montant de plus de 140 000 euros infligées à deux entreprises pour des campagnes de marketing prédateur

L’ICO a annoncé ce jour avoir infligé des amendes à deux entreprises pour avoir effectué des appels commerciaux illégaux à des personnes enregistrées auprès du Telephone Preference Service (TPS). Ces appels ont ainsi été adressés à des personnes qui avaient explicitement refusé de recevoir des communications commerciales, violant ainsi leur vie privée et causant, dans certains cas, une grande détresse. Il est clairement établi que, dans les deux cas, les personnes âgées et les personnes atteintes de maladies telles que la démence ont été ciblées. Certaines personnes ont fait l’objet d’appels téléphoniques répétés, tentant de les pousser à acheter des garanties pour des produits blancs, tels que des réfrigérateurs et des machines à laver, dont elles n’avaient pas besoin.

En conséquence :

  • WerepairUK Ltd, basée à Tonbridge, a été condamnée à une amende de 80 000 £ (environ 95 000 euros) pour avoir effectué 42 688 appels non sollicités. L’entreprise a fait appel de la décision.
  • Service Box Group Limited, basé à Hove, East Sussex, a été condamné à une amende de 40 000 £ (environ 48 000 euros) pour 5 361 appels.

Andy Curry, responsable des enquêtes à l’Information Commissioner’s Office, a déclaré :  « Nous avons pris des mesures décisives à l’encontre de WerepairUK Ltd et de Service Box Group Limited, deux sociétés qui ont causé une détresse considérable en ciblant des personnes qui courent un risque accru de subir des préjudices. Ces pratiques commerciales prédatrices sont illégales et relèvent d’une profonde exploitation. Nous restons déterminés à protéger le public, en particulier les personnes qui ne sont pas en mesure de se défendre contre de telles tactiques. Ces amendes portent à 1,57 million de livres sterling le montant total des sanctions infligées dans le cadre de cette dernière vague d’action contre le marketing prédateur. Cela reflète notre détermination à faire en sorte que les responsables de ces actions préjudiciables soient tenus pour responsables.

Outre les mesures que nous avons prises, il existe des mesures simples que nous pouvons tous prendre pour nous protéger, ainsi que notre famille et nos amis, contre les pratiques commerciales illégales. L’inscription au TPS est gratuite, rapide et facile ; et si vous êtes inscrit au TPS et que vous recevez encore des appels, veuillez nous en informer via notre outil de signalement en ligne. Nous pourrons alors prendre des mesures pour y mettre fin ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un nouveau cadre d’audit de la protection des données est lancé pour aider les organisations à améliorer leur conformité

L’ICO a annoncé aujourd’hui avoir lancé un nouveau cadre d’audit conçu pour aider les organisations à évaluer leur propre conformité aux exigences clés de la loi sur la protection des données. Ce cadre donne aux organisations les moyens d’identifier les mesures nécessaires pour améliorer leurs pratiques en matière de protection des données et créer une culture de la conformité. Il leur fournit un point de départ pour évaluer la manière dont elles traitent et protègent les informations personnelles. Qu’il s’agisse de la direction générale, des délégués à la protection des données, des auditeurs de conformité ou des responsables de la gestion des dossiers ou de la cybersécurité, le cadre offre des outils pratiques pour mettre en place et maintenir une gestion solide de la protection de la vie privée.

Il s’agit d’une extension de notre cadre de responsabilisation existant, et il comprend neuf boîtes à outils couvrant les domaines clés suivants : Responsabilité, gestion des dossiers, information et cybersécurité, formation et sensibilisation, partage des données, demandes de données, gestion des violations de données personnelles, intelligence artificielle ou encore conception adaptée à l’âge.

Chaque boîte à outils est accompagnée d’un outil de suivi de l’audit de la protection des données téléchargeable qui aidera les organisations à procéder à leur propre évaluation de la conformité et à suivre les actions à entreprendre dans les domaines nécessitant une amélioration.

Ian Hulme, directeur de l’assurance réglementaire à l’ICO, a déclaré : « La transparence et la responsabilité en matière de protection des données sont essentielles, non seulement pour le respect de la réglementation, mais aussi pour instaurer la confiance avec le public. Les études montrent que les gens accordent de plus en plus d’importance à l’utilisation responsable de leurs informations personnelles et veulent que les organisations soient en mesure de démontrer qu’elles appliquent des pratiques rigoureuses en matière de protection des données. Notre nouveau cadre d’audit contribuera à instaurer la confiance et à encourager une culture positive de la protection des données, tout en étant flexible dans le ciblage des domaines de conformité les plus urgents. Nous voulons donner aux organisations les moyens de considérer la protection des données comme un atout, et pas seulement comme une obligation légale ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-200/23

L’avis des autorités de contrôle n’exonère pas les responsables de traitement de leur responsabilité en cas de violation de données

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- L’autorité chargée de la tenue du registre du commerce d’un État membre qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société soumis à la publicité obligatoire prévue par la directive 2017/1132, qui lui a été transmis dans le cadre d’une demande d’inscription de la société concernée audit registre, est tant « destinataire » de ces données que, notamment en ce qu’elle les met à la disposition du public, « responsable du traitement » desdites données, au sens de cette disposition, même lorsque ce contrat contient des données à caractère personnel non requises par cette directive ou par le droit de cet État membre.

2- Une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires.

3- L’avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-621/22

Un intérêt commercial du responsable du traitement peut constituer un intérêt légitime sous certaines conditions

Dans un arrêt publié ce jour, la CJUE a estimé qu’un traitement de données à caractère personnel consistant en la communication à titre onéreux de données à caractère personnel des membres d’une fédération sportive, en vue de satisfaire à un intérêt commercial du responsable du traitement, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par ce responsable, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation de l’intérêt légitime en cause et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Si ladite disposition n’exige pas qu’un tel intérêt soit déterminé par la loi, elle requiert que l’intérêt légitime allégué soit licite.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-21/23

Les États membres peuvent prévoir la possibilité pour les concurrents de l’auteur présumé d’une atteinte au RGPD de la contester en justice en tant que pratique commerciale déloyale interdite

Dans un arrêt publié ce jour, la CJUE a estimé :
1- Que le RGPD ne s’oppose pas à une réglementation nationale qui, au-delà des droits et des pouvoirs conférés par le RGPD aux autorités de contrôle nationales, aux personnes concernées et aux associations représentant ces personnes, permet aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel d’agir en justice contre lui, en raison de violations de ce règlement, sur la base de l’interdiction des pratiques commerciales déloyales. Au contraire, cela contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau de protection élevé. Par ailleurs, cela peut s’avérer particulièrement efficace, dans la mesure où l’on pourrait, par ce biais, prévenir un grand nombre de violations du RGPD.

2- Que constituent des données concernant la santé au sens du RGPD les informations saisies par les clients (telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments) lors de la commande en ligne des médicaments réservés aux pharmacies, même lorsque la vente de ces derniers n’est pas soumise à prescription médicale.

En effet, ces données sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé d’une personne physique identifiée ou identifiable, car un lien est établi entre celle-ci et un médicament, ses indications thérapeutiques ou ses utilisations, que ces informations concernent le client ou toute autre personne pour laquelle celui-ci effectue la commande. Partant, il est indifférent que, en l’absence de prescription médicale, c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments soient destinés aux clients les ayant commandés. Opérer une distinction en fonction du type des médicaments et du fait que leur vente soit ou non soumise à prescription médicale serait contraire à l’objectif de protection élevée du RGPD. Par conséquent, le vendeur doit informer ces clients d’une manière exacte, complète et facilement compréhensible des caractéristiques et des finalités spécifiques du traitement desdites données et leur demander leur consentement explicite pour ce traitement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

DPA (autorité grecque)

L’autorité grecque condamne une entreprise réalisant une surveillance permanente des moyens informatiques des employés

Dans une décision publié ce jour, l’autorité grecque annonce avoir condamné une entreprise pour avoir violé les principes de légalité et de transparence. Dans cette affaire, une personne a déposé une plainte contre son ancien employeur, une société de vinification, pour plusieurs violations du RGPD intervenues pendant et après son emploi. Elle reproche notamment à son employeur d’avoir recueilli son consentement de manière non éclairée et sous pression pour signer  la « Politique de confidentialité des employés » ou encore la « charte informatiques» . Elle affirme que ces documents lui imposaient une surveillance permanente de ses communications professionnelles, et contestaient la prolongation illimitée de ses obligations de confidentialité, ce qui aurait entravé sa capacité à travailler à nouveau dans son domaine d’expertise.
De plus, elle soutient que l’employeur a violé son droit d’accès à ses données personnelles, malgré plusieurs demandes. L’employée déclare ne pas avoir reçu tous les documents contenant ses données personnelles et affirme que certaines données sensibles ont été envoyées à des tiers non autorisés via un e-mail professionnel au lieu de son e-mail personnel, comme elle l’avait demandé.

L’enquête de l’autorité de protection des données a révélé que l’employeur avait effectivement imposé à l’employée des conditions de consentement non conformes aux exigences du RGPD, en particulier en ce qui concerne la surveillance des communications professionnelles et la prolongation des obligations de confidentialité. L’employeur n’a pas pu démontrer que le consentement avait été donné de manière libre et éclairée, et il a été noté que les pratiques de traitement des données étaient opaques. En outre, concernant le droit d’accès, l’employeur a transmis à l’employée un dossier incomplet, contenant seulement les informations traitées par le service comptabilité, alors que des parties importantes des échanges internes et des données sensibles manquaient. L’enquête a également mis en évidence des lacunes dans la sécurité des données, notamment la possibilité que des tiers aient accédé aux informations de l’employée sans autorisation.

L’entreprise a en conséquence reçu un blâme et a été sommée de corriger ses pratiques, d’améliorer ses politiques de traitement des données et de fournir à l’employée un accès complet à ses données dans un délai de 3 mois.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Le courtier Meilleurtaux victime d’une cyberattaque, des données sensibles exposées

Meilleurtaux, société française spécialisée dans le courtage en produits financiers, notamment en crédit immobilier et à la consommation, a prévenu le 27 septembre ses clients d’une fuite de données personnelles. “Nous avons détecté une attaque externes sur nos systèmes informatiques à laquelle nous avons mis fin rapidement”, explique le courtier en ligne dans un e-mail. L’entreprise précise que “certaines données personnelles” ont été exposées, à savoir les noms et prénoms des clients, leurs coordonnées postales et téléphoniques, leurs dates et pays de naissance et leur situation familiale. La fuite de données comprend aussi des informations bien plus sensibles, comme le montant des revenus de ses clients et leur situation professionnelle.

Disponible sur: usine-digitale.fr

IMY (autorité suédoise)

IMY et quatre banques participent à un projet visant à réduire le blanchiment d’argent dans le cadre d’un « bac à sable réglementaire »

L’Autorité suédoise pour la protection de la vie privée (IMY) a lancé son quatrième projet d’innovation dans le bac à sable réglementaire. En collaboration avec SEB, Nordea, Swedbank et Handelsbanken, le projet examinera les possibilités d’accroître le partage d’informations entre les banques afin de renforcer la capacité à lutter contre la fraude et le blanchiment d’argent. En effet, la police suédoise estime que le crime organisé, le blanchiment d’argent et la fraude coûtent à la société suédoise entre 100 et 150 milliards de couronnes suédoises par an). Dans le cadre d’un projet commun avec IMY, les quatre banques étudieront ainsi les possibilités d’accroître le partage d’informations entre elles afin de lutter plus efficacement contre la criminalité financière et de la réduire, sans compromettre les exigences de la législation en matière de protection des données.

Le projet a débuté la semaine dernière et les travaux aboutiront à un rapport public qui permettra à un plus grand nombre de personnes de s’informer. Le rapport sera publié au printemps 2025.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut