Dernières actualités : données personnelles

Selon l’autorité polonaise, le responsable du traitement ne peut pas déléguer à un employé le soin de déterminer comment sécuriser les données

En février 2020, un greffier du tribunal de Zgierz a perdu une clé USB non chiffrée contenant les données personnelles de 400 personnes. Il s’agissait de noms, de dates de naissance, d’adresses de résidence ou de séjour, de numéros PESEL, de données sur les revenus et/ou le patrimoine, de numéros de cartes d’identité, de numéros de téléphone, de données sur la santé et de condamnations. Le président du tribunal de district – le responsable du traitement – a signalé cette violation et en a informé les personnes dont les données se trouvaient sur les supports perdus.

Outre quelques reproches concernant le contenu (incomplet) de l’information des personnes concernées, l’UODO a estimé que le responsable du traitement n’avait pas correctement mis en œuvre les garanties techniques et organisationnelles. Selon les procédures en vigueur au tribunal de Zgierz, l’obligation de sécuriser les supports officiels contenant des données à caractère personnel incombait aux utilisateurs (employés) eux-mêmes. Avant cette violation, les employés étaient simplement formés à la protection des données.

Néanmoins, l’autorité polonaise estime qu’une formation unique ne suffit pas, car cela ne garantit pas qu’un employé ne transférera pas de données sur un support non sécurisé. Dans le cas présent, l’employé a protégé les données en transportant une clé USB dans un sac fermant à clé.Elle a ainsi estimé que l’administrateur :

* n’a pas procédé à une analyse de risque appropriée et n’a donc pas pu chercher à minimiser le risque de manière adéquate ;
* s’est limité à des mesures de protection organisationnelles (procédures, formation), sans en vérifier l’efficacité ;
* et n’a pas mis en œuvre de mesures de protection techniques telles que le cryptage ou la vérification des supports.

Conséquence pour le tribunal : une amende de 10 000 PLN, soit un peu moins de 2500 euros.
L’affaire ne s’arrête pas là : le président du tribunal de district de Zgierz a fait appel de cette décision … et a vu ses plaintes être rejetées par les tribunaux des deux instances.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

En Allemagne, la Cour constitutionnelle fédérale se prononce sur certains traitements de la police criminelle – en sa défaveur

Dans un arrêt publié ce jour, la Cour constitutionnelle fédérale allemande a estime que la loi attributive des pouvoirs à la police criminelle fédérale (BKA) en matière de lutte contre le terrorisme et le crime organisée doit être modifiée, dans la mesure où certaines de ses compétences légales en matière de collecte et de stockage de données sont en partie inconstitutionnelles. Plus précisément, les compétences en question ont été jugées « non compatibles avec le droit fondamental à l’autodétermination en matière d’information ». De manière concrète, le tribunal a notamment critiqué la possibilité de surveiller secrètement les personnes en contact avec des suspects.

En réaction, l’autorité allemande a salué la décision. Le BfDI, M. le professeur Specht-Riemenschneider, a souligné l’importance de la décision prise aujourd’hui par la Cour constitutionnelle fédérale concernant les règles selon lesquelles l’Office fédéral de la police criminelle ne peut traiter ultérieurement des données à caractère personnel dans son système d’information que sous certaines conditions. Selon lui, « l’arrêt contient des déclarations décisives pour le réseau d’information de la police. Il reste garanti que la police soit en mesure d’agir, mais aucune donnée ne peut non plus être enregistrée dans le vide si aucun comportement fautif ne peut être reproché aux personnes. C’est ce que confirme la pratique de contrôle et de conseil de mon autorité jusqu’à présent. »

La BfDI voit en outre un signe pour le législateur : le cercle des personnes ciblées dans le soi-disant paquet de sécurité est trop large. Le législateur peut maintenant réajuster l’association d’informations. L’autorité en profite pour ajouter qu’il serait judicieux d’élaborer maintenant ensemble des solutions conformes à la protection des données.

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Grèce : un avocat condamné à une amende de 1400€ pour ne pas avoir répondu à une demande de droit d’accès

Dans un communiqué datant de mi-septembre et publié ce jour sur leur flux d’actualité, l’autorité annonce avoir examiné une plainte concernant la violation du droit d’accès aux données du plaignant qui figuraient dans des dossiers d’affaires traités par le défendeur en sa qualité de mandataire du plaignant. En particulier, le plaignant souhaitait se voir restituer l’intégralité des données concernées ainsi que des dossiers traités par son (ancien) avocat, arguant avoir formulé cette demande à plusieurs reprises entre 2019 et 2021 via SMS, e-mails et déclarations extrajudiciaires, après la cessation de leur collaboration.

Au cours de son enquête, l’autorité a constaté tout d’abord que l’avocat défendeur avait bien violé les paragraphes 3 et 4 de l’article 12 du RGPD, en ne prenant aucune mesure concernant l’exercice du droit d’accès des personnes concernées par les données, et lui a imposé une amende administrative de 700 euros. Celui-ci n’a en effet jamais répondu aux demandes du plaignant et a tenté de faire valoir auprès de l’autorité que les demandes étaient abusives. Elle a ensuite constaté une violation de l’obligation de l’avocat en tant que responsable du traitement, en vertu de l’article 31 du RGPD, de coopérer avec l’autorité de surveillance, pour laquelle une nouvelle amende de 700 euros a été infligée.
Au total, c’est donc une demande de 1400 € que devra payer l’avocat concerné.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Selon l’autorité, vous pouvez faire appel à un mandataire pour exercer votre droit d’accès

L’autorité finlandaise a jugé qu’une personne peut faire une demande d’accès à ses propres données avec l’aide d’un agent, par exemple en demandant à une organisation de fournir à l’agent des informations la concernant. La législation sur la protection des données n’empêche pas l’exercice des droits relatifs à la protection des données par l’intermédiaire d’une autre personne. En l’occurrence, la personne avait demandé à l’administration fiscale de transmettre toutes les données personnelles à l’adresse postale de l’agent. Cependant, l’administration fiscale a refusé de fournir les informations à l’agent, arguant que les informations ne pouvaient être fournies qu’à la personne elle-même. Le contrôleur adjoint a ordonné à l’administration fiscale d’autoriser le recours à un agent pour les demandes de vérification de données à caractère personnel.

Le règlement sur la protection des données n’empêche pas l’utilisation d’un agent, par exemple, lorsqu’une personne souhaite accéder aux données la concernant. La position antérieure selon laquelle une demande d’accès à ses propres données ne pouvait être faite par l’intermédiaire d’une autre personne remonte à l’ancienne loi sur les données à caractère personnel et ne s’applique plus en vertu de la législation actuelle. Si la demande est faite par l’intermédiaire d’une autre personne, des exigences telles que la représentation légale de l’autre personne doivent être respectées.

L’administration fiscale a ainsi reçu l’ordre de modifier sa politique de traitement des demandes d’accès aux données à caractère personnel afin de la mettre en conformité avec les exigences du GDPR.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.