Dernières actualités : données personnelles

Le Service national de renseignement (EYP) condamné pour avoir transmis les données de son employée à un autre service… un jour avant la publication de la loi le permettant

Une ancienne employée de l’Agence Nationale de Renseignement (EYP) a déposé une plainte pour une transmission illégale de ses données personnelles par l’EYP à d’autres autorités publiques. En effet, le 15 décembre 2021,  un jour avant l’entrée en vigueur de la loi autorisant ce type de collaboration interinstitutionnelle, l’EYP a transmis les informations personnelles de l’employée, y compris son nom complet, son titre professionnel et ses diplômes académiques, au Ministère de la Protection des Citoyens et au chef de la police nationale.

L’enquête de l’autorité a permis de montrer que l’employée n’a pas été informée au préalable de la transmission de ses données, et qu’aucun consentement ne lui a été demandé. L’autorité a constaté que la publication de la loi au journal officiel a eu lieu un jour plus tard, à savoir le 16 décembre. Ce transfert a été justifié par l’EYP comme une anticipation des nouvelles dispositions légales. mais cela n’a pas convaincu l’autorité. Celle-ci a en effet reproché à l’EYP d’avoir transmis les données en violation des principes de légalité, d’objectivité et de transparence, dans la mesure où la base juridique pour le transfert en question n’existait pas encore et que la plaignante n’en avait pas été informé.

En conséquence, l’autorité de protection des données a infligé une amende totale de 5 000 € à l’Agence Nationale de Renseignement (EYP) en raison de plusieurs infractions au RGPD dans le cadre de la transmission illégalé de données de l’employée plaignante. Cette amende est répartie de la manière suivante :
* 4 000 € pour la violation de l’article 5(1)(a) du RGPD, relatif aux principes de légalité, transparence et objectivité, que l’EYP n’a pas respectés en procédant à la transmission de données sans base légale valide.
* 1 000 € pour la violation de l’article 13 du RGPD, en raison du défaut d’information de l’employée concernant le transfert de ses données personnelles vers d’autres autorités.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Espagne : 100 000 euros d’amende pour un transfert intra-groupe illicite

Ce vendredi 18 octobre, l’AEPD a publié une décision de sanction à l’encontre d’une société pour avoir réalisé un transfert de données personnelles intra-groupe sans base légale.
Le 13 avril 2023, un plaignant a déposé une réclamation auprès de l’Agence Espagnole de Protection des Données (AEPD) contre CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO, S.A.U. pour avoir transmis ses données personnelles sans son consentement à une autre société appartenant au même groupe, Iberdrola Clientes.Le plaignant a indiqué avoir contacté Curenergía pour conclure un contrat d’électricité, mais ses données (y compris son NIF, IBAN, nom, adresse et autres) ont été utilisées pour établir un contrat avec Iberdrola Clientes, une société avec laquelle il n’avait jamais eu de relation commerciale.

L’enquête menée par l’AEPD a révélé qu’il y avait eu une erreur de la part de Curenergía dans la gestion du contrat avec le plaignant. En effet, le même centre d’appel était utilisé par les deux sociétés et, lors du traitement de la demande du plaignant, une confusion a entraîné l’envoi des données personnelles du plaignant à Iberdrola Clientes, ce qui a abouti à l’élaboration d’un contrat erroné. Curenergía a reconnu l’erreur et l’a rectifiée rapidement après que le plaignant a signalé le problème.

Néanmoins, l’AEPD a considéré que Curenergía avait enfreint l’article 6(1) du RGPD en traitant les données du plaignant sans base légale appropriée. L’autorité a infligé à Curenergía une amende de 100 000 €, avec possibilité de réduction en cas de paiement volontaire et de reconnaissance de responsabilité. Curenergía a choisi de payer l’amende réduite à 60 000 €.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Utilisation de caméras corporelles par les contrôleurs de billets et obligation d’information : la Pologne veut interroger la CJUE

Dans un article publié ce jour, l’autorité polonaise annonce avoir conseillé à la ministre Agnieszka Bartol-Saurel de la Chancellerie du Premier ministre de saisir la Cour de justice de l’UE de la question préjudicielle relative à la mise en œuvre de l’obligation d’information concernant la manière dont les contrôleurs de billets traitent les données obtenues au moyen de caméras corporelles (affaire C-422/24 – Storstockholms Lokaltrafi).

La demande d’avis reçue par l’autorité polonaise décrivait la situation des contrôleurs de billets équipés de caméras corporelles. Ces caméras étaient destinées à prévenir les menaces et les actes de violence, ainsi qu’à faciliter la vérification de l’identité des passagers tenus de payer un supplément. Les caméras utilisées par les contrôleurs enregistrent des images vidéo et du son. Les enregistrements étaient initialement effacés automatiquement au bout de deux minutes, puis au bout d’une minute. Toutefois, les contrôleurs devaient interrompre l’effacement de l’enregistrement s’ils infligeaient une amende à un passager ou s’ils entendaient des menaces de la part du passager. Dans ce cas, le système conservait l’enregistrement commencé une minute avant que le contrôleur n’interrompe l’effacement.

Selon l’article, cet suggestion à la ministre ferait suite à des doutes émis par la CNIL sur la source des données à caractère personnel et donc sur l’application de la disposition pertinente du RGPD à l’obligation d’information. Plus précisément, il s’agit de savoir si c’est l’article 13 du RGPD (obligation d’information lorsque les données sont collectées directement auprès de la personne concernée) ou l’article 14 du RGPD (obligation d’information lorsque les données sont collectées indirectement) qui doit s’appliquer. Le président de l’UODO estime que l’article 13 du règlement 2016/679 s’appliquera dans le cas du traitement de données à caractère personnel obtenues au moyen de la vidéosurveillance, y compris une caméra corporelle. Et c’est cette position que la Pologne devrait présenter à la Cour.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Examen d’une plainte contre une société de fourniture d’électricité et la municipalité pour non-respect des droits de l’intéressé

L’autorité grecque a publié ce jour une sanction à l’encontre d’une entreprise publique d’électricité (ΔΕΗ) et de la municipalité en raison de divers manquements. Le plaignant, propriétaire d’une propriété, a constaté que ses informations fiscales (numéro d’identification fiscale, entre autres) étaient liées à plusieurs biens immobiliers pour lesquels il n’était ni propriétaire ni locataire. Il affirme avoir demandé à l’entreprise de corriger ou de supprimer ses données personnelles liées à ces propriétés, mais il a continué à recevoir des appels téléphoniques et des avis de recouvrement de dettes pour ces biens.

L’enquête de l’autorité a révélé que ΔΕΗ n’avait pas correctement dissocié les données personnelles du plaignant des biens immobiliers non pertinents. Bien que ΔΕΗ ait affirmé avoir corrigé ses informations dans son système, le plaignant a continué à recevoir des notifications de recouvrement. La municipalité a également été impliqué, car elle recevait et utilisait les données fiscales fournies par ΔΕΗ pour gérer les taxes locales. Le plaignant a même reçu les appels de recouvrement venaient également de cabinets d’avocats mandatés par ΔΕΗ alors même qu’il n’avait rien à voir avec ces dettes.

Conséquences pour l’entreprise :
* Une amende de 7 500 € pour violation du droit de rectification, conformément aux articles 16 et 12 du RGPD, pour ne pas avoir correctement dissocié les données personnelles du plaignant des propriétés non pertinentes.
* Une amende de 7 500 € supplémentaire pour violation du droit de suppression, en lien avec les articles 17 et 12 du RGPD, en raison de l’incapacité à supprimer les données personnelles en lien avec les biens non pertinents.
* Une amende de 10 000 € pour violation des principes de légalité et d’exactitude du traitement des données personnelles du plaignant, conformément à l’article 5 du RGPD​.

De son côté, la municipalité a été condamnée à 3000 euros d’amende pour pour ne pas avoir répondu dans un délai raisonnable aux demandes du plaignant.

Disponible (en grec) sur: dpa.gr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La loi sur la protection des mineurs Kamilka nécessite des corrections. Intervention de l’UODO auprès du ministre de la Justice polonais

Le président de l’UODO a demandé à Adam Bodnar, le ministre de la justice, d’initier des amendements aux dispositions de la loi sur la protection des mineurs (connue sous le nom de loi Kamilka) afin de les adapter aux principes de la protection des données personnelles.

La nouvelle loi – qui modifie les dispositions antérieures de la loi sur la protection des mineurs – renforce la protection des droits de l’enfant en améliorant la collecte de signaux auprès des enfants et en vérifiant les compétences des personnes travaillant avec des enfants, ce qui était plus que nécessaire. Toutefois, une clarification de la loi semble nécessaire car la collecte et le traitement des données – y compris les données sensibles et les données soumises à un régime de traitement spécifique – que la loi prescrit aux éducateurs et aux personnes en contact avec les enfants peuvent constituer une ingérence grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Le président de l’APD fournit une analyse précise la manière d’appliquer les principes du RODO pour améliorer et compléter la loi. Il demande au Ministre de la Justice de répondre à cette soumission par écrit dans les 30 jours suivant sa réception. En particulier :
* La loi ne fournit pas une base juridique adéquate pour les normes de protection des mineurs
* Les dispositions relatives à la sphère des droits des personnes concernées et aux obligations des responsables du traitement sont vagues
* Le champ d’application des dispositions est imprécis, il n’y a pas de réglementation des principes du traitement des données
* L’obligation d’information doit être mise en œuvre dans les mêmes conditions à l’égard des personnes affectées par des actions négatives qu’à l’égard de l’auteur de l’événement négatif, ce qui suscite de nombreux doutes de la part des responsables du traitement
* D’importants doutes d’interprétation concernent la disposition relative à l’obligation des employeurs et autres organisateurs de vérifier le casier judiciaire des personnes effectuant un travail ou des activités liées au travail avec des enfants
* Le fait de demander des informations plus générales, « pour l’avenir », entraîne un traitement injustifié et redondant des données à caractère personnel des personnes
* Les dispositions de la loi n’indiquent pas la durée de conservation des données traitées par les responsables du traitement

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.