Dernières actualités : données personnelles

L’UODO intervient après la publication d’articles accusant les gardes-frontières d’utiliser la base PESEL [équivalent du NIR] à des fins privées

Le président de l’UDODO a annoncé aujourd’hui avoir demandé au commandant en chef du corps des gardes-frontières, le général Robert Bagan, s’il était au courant de l’utilisation par les gardes de la base de données PESEL à des fins privées et, dans l’affirmative, ce qu’il avait fait à ce sujet.

Cette demande fait suite à des révélations par les médias (et en particulier le 5 novembre par Radio Zet) selon lesquelles des employés du corps des gardes-frontières effectuent des vérifications non autorisées dans la base de données PESEL. Les données personnelles de voisins, de connaissances ou les adresses résidentielles de célébrités sont vérifiées. Ces vérifications, qui ne sont pas liées à leurs activités officielles, peuvent concerner jusqu’à des centaines de personnes. Dans leur article, les journalistes soulignent que le problème a été mis en lumière dès 2022, mais que l’affaire est toujours en cours d’instruction. Elle est traitée par le bureau des affaires internes des gardes-frontières et le bureau du procureur du district de Varsovie.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Un candidat député – médecin d’un hôpital public condamné à une amende pour avoir utilisé les données d’un patient à des fins de communication politique

L’autorité grecque a publié une décision par laquelle elle a condamné un candidat député exerçant comme médecin d’un hôpital public à une amende de 15 000 euros pour avoir … réutilisé les données d’un patient à des fins politiques. Deux plaintes ont été déposées auprès de l’Autorité par des citoyens ayant reçu un message politique par SMS émanant d’un candidat député – médecin d’un hôpital public, dont le contenu semblait être en rapport avec le fait que les destinataires du message avaient été hospitalisés à l’hôpital où il travaillait, sans le connaître personnellement et sans avoir été informés ou avoir donné leur consentement à l’utilisation de leurs données à des fins de communication politique.

Parallèlement, au nom de l’Hôpital, un signalement d’incident de violation des données personnelles des patients a été déposé auprès de l’Autorité, suite à la plainte d’autres patients auprès de l’Hôpital pour avoir reçu le même message. L’enquête de l’Autorité de protection des données a permis de constater que :
* Le médecin en question avait eu un accès légitime aux dossiers médicaux dans le cadre de ses fonctions, mais avait quitté l’hôpital avant l’envoi des SMS. Cependant, il aurait pu extraire ces données avant son départ.
* Le médecin a nié avoir utilisé les informations des patients, affirmant avoir utilisé des listes de contacts personnels et des bases publiques. Il a spécifié que certains de ces contacts étaient des « amis personnels et connaissances », accumulés durant ses 36 années de carrière, y compris des anciens patients suivis à titre personnel​ Cependant, l’hôpital n’a pas pu démontrer qu’il n’avait pas exporté ces données, étant donné l’absence de contrôle spécifique sur l’accès aux dossiers patients, et notamment une journalisation des accès.

Les arguments du médecin n’ont néanmoins pas convaincu l’autorité, qui a considéré que le candidat député n’a pas réussi à justifier auprès de l’autorité la collecte et la conservation légales des numéros de téléphone des destinataires de son message électoral, et a omis d’informer les sujets concernant le traitement de leurs données à des fins de communication politique et de leur fournir un moyen d’exercer leurs droits conformément au RGPD. L’autorité lui a ainsi infligé une amende d’un montant total de 15 000 euros pour les violations de la légalité, de l’objectivité et de la transparence du traitement ainsi que de l’obligation de faciliter l’exercice des droits des sujets. Ces montants ont été déterminés en tenant compte de la gravité des infractions, notamment l’exploitation abusive de données sensibles issues de dossiers médicaux, ainsi que l’impact potentiel sur la vie privée des patients.
L’hôpital, de son côté, n’a pas été sanctionné malgré les faiblesses dans ses mesures de sécurité mises en évidence par l’affaire.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La commune de Brøndby fait l’objet d’une réprimande pour le manque de mesures de sécurité de ses données

À l’automne 2023, l’Agence danoise de protection des données a procédé à une inspection de la municipalité de Brøndby, en se concentrant sur deux thèmes clés : le contrôle périodique des droits d’accès et l’utilisation de l’authentification multifactorielle (MFA) lors de l’accès aux systèmes informatiques de la municipalité directement à partir d’Internet. Les thèmes ont été choisis sur la base des recommandations de l’autorité à la municipalité de Brøndby dans le cadre de contrôles écrits menés 2021 et 2022, au cours desquels la maturité de la municipalité dans le domaine de la protection des données a été examinée.

Suite à son enquête, Datatilsynet a conclu que la municipalité de Brøndby n’avait pas effectué de contrôles documentés permanents de l’accès des utilisateurs ordinaires à KMD Nexus [une application de services de santé] (c’est-à-dire les utilisateurs qui ne disposent pas de droits étendus ou de droits d’administrateur), les derniers contrôles effectués par la municipalité avant la visite d’inspection ayant eu lieu en janvier 2020 et en mars 2021.

En outre, jusqu’au le 15 novembre 2023, la municipalité de Brøndby n’a pas mis en œuvre le MFA lors de l’accès à KMD Nexus, mais également à d’autres sites ou applications. Le MFA n’a été mise en œuvre qu’après que l’Agence danoise de protection des données a notifié l’inspection à la municipalité de Brøndby et cinq ans après que la municipalité a estimé, dans une évaluation des risques de KMD Nexus, que l’absence de MFA pour la connexion directement depuis l’internet constituait une vulnérabilité. Sur cette base, l’Agence danoise de protection des données a réprimandé municipalité de Brøndby pour ne pas avoir pris les mesures de sécurité appropriées. En revanche, aucune amende n’a été prononcée à l’encontre de la municipalité.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’autorité polonaise condamne 3 institutions pour avoir perdu une clé USB contenant les données RH et de paie de 1500 personnes

Le Président de l’UODO a imposé des amendes de 15 000 PLN et 20 000 PLN (environ 8000 euros au total) à deux institutions municipales de Kutno pour, entre autres, ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées, ce qui a entraîné une violation de données. La première est le centre municipal d’aide sociale (MOPS) et du centre municipal de sports et de loisirs (MOSiR). Une amende de plus de 24 000 PLN (environ 5500 euros) a également été infligée à l’entreprise engagée par les institutions pour transférer les données vers le nouveau système de gestion des ressources humaines et des salaires.

A l’occasion de ce transfert, un employé de l’une des institutions a partagé les données avec un employé de l’entreprise chargée du transfert des données. Ces données ont été transférées sur une clé USB non chiffrée, qui a ensuite été perdue alors que son contenu n’avait pas été effacé après les données extraites, conformément aux procédures de l’entreprise. La clé USB a été trouvée par une personne qui a tenté de la restituer en publiant une annonce dans les médias locaux, mais sans succès. La personne a donc ouvert les fichiers et a pu identifier les institutions concernées. Après avoir pris connaissance de cette situation, les institutions ont signalé la perte de la clé USB à l’autorité de protection des données.

La clé contenait les données personnelles de près de 1 000 employés et collaborateurs actuels et anciens de l’une des institutions, ainsi que les données de 549 employés, retraités, anciens employés, contractants et participants aux travaux d’intervention de l’autre institution. Des données telles que les prénoms, noms, prénoms des parents, dates de naissance, numéros de compte bancaire, adresses de résidence ou de séjour, numéros d’enregistrement PESEL [équivalent du NIR], adresses électroniques, données sur les revenus et/ou les biens possédés, noms de famille de la mère, séries et numéros de carte d’identité, numéros de téléphone, données sur les vacances, congés de maladie, données sur les écoles terminées, historique de l’emploi, noms des enfants et leurs dates de naissance ont pu être trouvées sur le support.

Le président de l’autorité de protection des données a enquêté sur l’affaire et a estimé que la la MOPS, MOSiR et la société qui modifie le système de gestion des ressources humaines et des salaires auraient dû vérifier que les données à caractère personnel étaient partagées d’une manière qui tienne compte du risque de perte de leur support et qu’elles étaient protégées de manière adéquate contre tout accès non autorisé (par exemple, en utilisant le mot de passe requis pour ouvrir tous les fichiers ou dossiers de fichiers contenant des données à caractère personnel). Si cela avait été fait, la violation de données aurait pu être évitée.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

30.000 euros d’amende pour violation du droit d’accès aux appels téléphoniques enregistrés des numéros d’urgence

L’autorité a aujourd’hui annoncé avoir examiné les plaintes de deux citoyens concernant la violation de leur droit d’accès à l’enregistrement de leurs appels téléphoniques au centre d’appel des services médicaux d’urgence (911), conformément à l’article 15 du GDPR. L’examen de l’affaire a révélé qu’en règle générale, EKAB ne fournit pas de copies des appels enregistrés aux motifs qu’il n’identifieraient pas les appelants et qu’il ne serait pas possible de les identifier en tant que personnes concernées. En outre, il a été constaté qu’aucune information concernant les personnes concernées n’était affichée sur le site web du CEPD, conformément au principe de transparence.

Ayant établi que les personnes ayant appelé le 911 sont des personnes physiques identifiables au sens du GDPR, la décision a imposé une amende de 20 000 euros au service d’ambulance pour la violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence. La décision a imposé une amende de 20 000 euros au service pour violation des droits des plaignants, ainsi qu’une amende de 10 000 euros pour la violation du principe de transparence, tout en ordonnant de satisfaire les droits revendiqués et de modifier la politique suivie afin que l’exercice du droit d’accès aux appels enregistrés au 911 ne soit pas empêché à l’avance de manière générale, mais que la possibilité d’identifier le demandeur en question soit examinée au cas par cas.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.