Dernières actualités : données personnelles

UODO (autorité polonaise)

2 octobre 2024

Selon l’autorité polonaise, le responsable du traitement ne peut pas déléguer à un employé le soin de déterminer comment sécuriser les données

En février 2020, un greffier du tribunal de Zgierz a perdu une clé USB non chiffrée contenant les données personnelles de 400 personnes. Il s’agissait de noms, de dates de naissance, d’adresses de résidence ou de séjour, de numéros PESEL, de données sur les revenus et/ou le patrimoine, de numéros de cartes d’identité, de numéros de téléphone, de données sur la santé et de condamnations. Le président du tribunal de district – le responsable du traitement – a signalé cette violation et en a informé les personnes dont les données se trouvaient sur les supports perdus.

Outre quelques reproches concernant le contenu (incomplet) de l’information des personnes concernées, l’UODO a estimé que le responsable du traitement n’avait pas correctement mis en œuvre les garanties techniques et organisationnelles. Selon les procédures en vigueur au tribunal de Zgierz, l’obligation de sécuriser les supports officiels contenant des données à caractère personnel incombait aux utilisateurs (employés) eux-mêmes. Avant cette violation, les employés étaient simplement formés à la protection des données.

Néanmoins, l’autorité polonaise estime qu’une formation unique ne suffit pas, car cela ne garantit pas qu’un employé ne transférera pas de données sur un support non sécurisé. Dans le cas présent, l’employé a protégé les données en transportant une clé USB dans un sac fermant à clé.Elle a ainsi estimé que l’administrateur :

* n’a pas procédé à une analyse de risque appropriée et n’a donc pas pu chercher à minimiser le risque de manière adéquate ;
* s’est limité à des mesures de protection organisationnelles (procédures, formation), sans en vérifier l’efficacité ;
* et n’a pas mis en œuvre de mesures de protection techniques telles que le cryptage ou la vérification des supports.

Conséquence pour le tribunal : une amende de 10 000 PLN, soit un peu moins de 2500 euros.
L’affaire ne s’arrête pas là : le président du tribunal de district de Zgierz a fait appel de cette décision … et a vu ses plaintes être rejetées par les tribunaux des deux instances.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine Digitale

23 avril 2024

Les forces de police européennes s’insurgent contre le chiffrement de bout en bout sur les messageries instantanées

Réunis à Londres la semaine dernière, 32 directeurs des forces de police européennes ont publié le 21 avril un communiqué conjoint sur leur préoccupation vis-à-vis du chiffrement de bout en bout, qui se déploie progressivement sur plusieurs applications de messagerie. “Les entreprises ne seront plus en mesure de répondre efficacement aux autorités compétentes, écrivent-ils. Elles ne pourront plus, non plus, identifier ou signaler les activités illégales sur leurs plateformes.”
La déclaration a été signée par les 27 États membres de l’UE, le Royaume-Uni, la Norvège, la Suisse, l’Islande et le Liechtenstein. Au cours de la réunion, Graeme Biggar, directeur général de la National Crime Agency (NCA), agence britannique de lutte contre le crime organisé, a nuancé : “Le chiffrement peut être extrêmement bénéfique, en protégeant les utilisateurs contre toute une série de crimes. Mais le déploiement brutal et de plus en plus répandu (…), sans tenir suffisamment compte de la sécurité publique, met les utilisateurs en danger.”

Disponible sur: usine-digitale.fr