Dernières actualités : données personnelles

L’UODO intervient après la publication d’articles accusant les gardes-frontières d’utiliser la base PESEL [équivalent du NIR] à des fins privées

Le président de l’UDODO a annoncé aujourd’hui avoir demandé au commandant en chef du corps des gardes-frontières, le général Robert Bagan, s’il était au courant de l’utilisation par les gardes de la base de données PESEL à des fins privées et, dans l’affirmative, ce qu’il avait fait à ce sujet.

Cette demande fait suite à des révélations par les médias (et en particulier le 5 novembre par Radio Zet) selon lesquelles des employés du corps des gardes-frontières effectuent des vérifications non autorisées dans la base de données PESEL. Les données personnelles de voisins, de connaissances ou les adresses résidentielles de célébrités sont vérifiées. Ces vérifications, qui ne sont pas liées à leurs activités officielles, peuvent concerner jusqu’à des centaines de personnes. Dans leur article, les journalistes soulignent que le problème a été mis en lumière dès 2022, mais que l’affaire est toujours en cours d’instruction. Elle est traitée par le bureau des affaires internes des gardes-frontières et le bureau du procureur du district de Varsovie.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le Service national de renseignement (EYP) condamné pour avoir transmis les données de son employée à un autre service… un jour avant la publication de la loi le permettant

Une ancienne employée de l’Agence Nationale de Renseignement (EYP) a déposé une plainte pour une transmission illégale de ses données personnelles par l’EYP à d’autres autorités publiques. En effet, le 15 décembre 2021,  un jour avant l’entrée en vigueur de la loi autorisant ce type de collaboration interinstitutionnelle, l’EYP a transmis les informations personnelles de l’employée, y compris son nom complet, son titre professionnel et ses diplômes académiques, au Ministère de la Protection des Citoyens et au chef de la police nationale.

L’enquête de l’autorité a permis de montrer que l’employée n’a pas été informée au préalable de la transmission de ses données, et qu’aucun consentement ne lui a été demandé. L’autorité a constaté que la publication de la loi au journal officiel a eu lieu un jour plus tard, à savoir le 16 décembre. Ce transfert a été justifié par l’EYP comme une anticipation des nouvelles dispositions légales. mais cela n’a pas convaincu l’autorité. Celle-ci a en effet reproché à l’EYP d’avoir transmis les données en violation des principes de légalité, d’objectivité et de transparence, dans la mesure où la base juridique pour le transfert en question n’existait pas encore et que la plaignante n’en avait pas été informé.

En conséquence, l’autorité de protection des données a infligé une amende totale de 5 000 € à l’Agence Nationale de Renseignement (EYP) en raison de plusieurs infractions au RGPD dans le cadre de la transmission illégalé de données de l’employée plaignante. Cette amende est répartie de la manière suivante :
* 4 000 € pour la violation de l’article 5(1)(a) du RGPD, relatif aux principes de légalité, transparence et objectivité, que l’EYP n’a pas respectés en procédant à la transmission de données sans base légale valide.
* 1 000 € pour la violation de l’article 13 du RGPD, en raison du défaut d’information de l’employée concernant le transfert de ses données personnelles vers d’autres autorités.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Utilisation de caméras corporelles par les contrôleurs de billets et obligation d’information : la Pologne veut interroger la CJUE

Dans un article publié ce jour, l’autorité polonaise annonce avoir conseillé à la ministre Agnieszka Bartol-Saurel de la Chancellerie du Premier ministre de saisir la Cour de justice de l’UE de la question préjudicielle relative à la mise en œuvre de l’obligation d’information concernant la manière dont les contrôleurs de billets traitent les données obtenues au moyen de caméras corporelles (affaire C-422/24 – Storstockholms Lokaltrafi).

La demande d’avis reçue par l’autorité polonaise décrivait la situation des contrôleurs de billets équipés de caméras corporelles. Ces caméras étaient destinées à prévenir les menaces et les actes de violence, ainsi qu’à faciliter la vérification de l’identité des passagers tenus de payer un supplément. Les caméras utilisées par les contrôleurs enregistrent des images vidéo et du son. Les enregistrements étaient initialement effacés automatiquement au bout de deux minutes, puis au bout d’une minute. Toutefois, les contrôleurs devaient interrompre l’effacement de l’enregistrement s’ils infligeaient une amende à un passager ou s’ils entendaient des menaces de la part du passager. Dans ce cas, le système conservait l’enregistrement commencé une minute avant que le contrôleur n’interrompe l’effacement.

Selon l’article, cet suggestion à la ministre ferait suite à des doutes émis par la CNIL sur la source des données à caractère personnel et donc sur l’application de la disposition pertinente du RGPD à l’obligation d’information. Plus précisément, il s’agit de savoir si c’est l’article 13 du RGPD (obligation d’information lorsque les données sont collectées directement auprès de la personne concernée) ou l’article 14 du RGPD (obligation d’information lorsque les données sont collectées indirectement) qui doit s’appliquer. Le président de l’UODO estime que l’article 13 du règlement 2016/679 s’appliquera dans le cas du traitement de données à caractère personnel obtenues au moyen de la vidéosurveillance, y compris une caméra corporelle. Et c’est cette position que la Pologne devrait présenter à la Cour.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La loi sur la protection des mineurs Kamilka nécessite des corrections. Intervention de l’UODO auprès du ministre de la Justice polonais

Le président de l’UODO a demandé à Adam Bodnar, le ministre de la justice, d’initier des amendements aux dispositions de la loi sur la protection des mineurs (connue sous le nom de loi Kamilka) afin de les adapter aux principes de la protection des données personnelles.

La nouvelle loi – qui modifie les dispositions antérieures de la loi sur la protection des mineurs – renforce la protection des droits de l’enfant en améliorant la collecte de signaux auprès des enfants et en vérifiant les compétences des personnes travaillant avec des enfants, ce qui était plus que nécessaire. Toutefois, une clarification de la loi semble nécessaire car la collecte et le traitement des données – y compris les données sensibles et les données soumises à un régime de traitement spécifique – que la loi prescrit aux éducateurs et aux personnes en contact avec les enfants peuvent constituer une ingérence grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Le président de l’APD fournit une analyse précise la manière d’appliquer les principes du RODO pour améliorer et compléter la loi. Il demande au Ministre de la Justice de répondre à cette soumission par écrit dans les 30 jours suivant sa réception. En particulier :
* La loi ne fournit pas une base juridique adéquate pour les normes de protection des mineurs
* Les dispositions relatives à la sphère des droits des personnes concernées et aux obligations des responsables du traitement sont vagues
* Le champ d’application des dispositions est imprécis, il n’y a pas de réglementation des principes du traitement des données
* L’obligation d’information doit être mise en œuvre dans les mêmes conditions à l’égard des personnes affectées par des actions négatives qu’à l’égard de l’auteur de l’événement négatif, ce qui suscite de nombreux doutes de la part des responsables du traitement
* D’importants doutes d’interprétation concernent la disposition relative à l’obligation des employeurs et autres organisateurs de vérifier le casier judiciaire des personnes effectuant un travail ou des activités liées au travail avec des enfants
* Le fait de demander des informations plus générales, « pour l’avenir », entraîne un traitement injustifié et redondant des données à caractère personnel des personnes
* Les dispositions de la loi n’indiquent pas la durée de conservation des données traitées par les responsables du traitement

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Communication politique et réutilisation de fichiers: l’autorité hellénique condamne le Ministère de l’Intérieur à une amende de 400 000 euros et une députée européenne à une amende de 40 000 euros 

Dans un communiqué de presse, l’autorité de protection des données a annoncé avoir reçu un grand nombre de plaintes concernant une communication politique non sollicitée envoyée par e-mail le 1/3/2024, intitulée « 100 jours avant les élections européennes », par la députée européenne Anna Michelle Asimakopoulou. Après une série d’inspections sur place et la collecte de preuves et de données dans le cadre d’un audit, il a été constaté qu’un fichier contenant des données à caractère personnel de tous les électeurs d’outre-mer inscrits pour les élections créé le 8 juin 2023 pour un usage interne au sein du ministère de l’intérieur dans le cadre d’un objectif lié au processus électoral a fuité entre le 8 et le 23 juin 2023, car il a été prouvé que le 23 juin 2023, le fichier a été transmis au secrétaire des expatriés de la Nouvelle Démocratie de l’époque, Nikos Theodoropoulos, par un expéditeur dont l’identité et le statut n’ont pas été déterminés à ce jour, afin, selon ses dires, de l’utiliser pour l’analyse des résultats de l’élection. Il a ensuite été transmis à Mme Asimakopoulou qui s’en est servi pour envoyer un courrier électronique à tous les électeurs qu’il contenait. Le courrier électronique de Mme Asimakopoulou ne contenait pas les informations requises par l’article 14 du GDPR pour informer ses destinataires, notamment sur la source de leurs données personnelles.

Dans cette affaire, l’autorité reproche :

1 – Au ministère de l’intérieur,  la fuite d’un fichier destiné exclusivement à un usage interne, des lacunes dans les procédures et les politiques de protection des données en place, des lacunes dans l’enquête sur l’incident ainsi que des communications non fondées sur les circonstances de l’incident, et un fichier qui n’est pas tenu à jour. En conséquence, l’autorité a imposé une amende administrative d’un montant total de 400 000 EUR au ministère de l’intérieur.

2- A la députée européenne Anna Michelle Asimakopoulou, d’avoir collecté des données à caractère personnel des électeurs expatriés, y compris les coordonnées électroniques et de les avoir utilisées pour l’envoi d’un message de communication politique, ce qui est contraire au principe fondamental de légalité et de la transparence. En conséquence, elle a été condamnée à une amende de 40 000 EUR.

S’agissant du secrétaire des expatriés de la Nouvelle Démocratie de l’époque, Nikos Theodoropoulos, celui-ci n’a pas encore été condamné mais l’autorité précise avoir reporté sa décision  « étant donné que ce dernier, après l’audience et la présentation des mémoires, a soumis une déclaration sous serment sur la manière dont il a reçu les listes électorales, en tant que nouvel élément critique, dont le contenu montre la nécessité d’enquêter plus avant sur les allégations qui y sont formulées. »

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.