fr | en

Données personnelles - 4 enseignements à tirer de décisions de nos voisins européens

Le CEPD – groupement des CNIL européennes institué par le RGPD - a récemment relayé trois décisions intéressantes rendues par les autorités de contrôle roumaine et polonaises.

Ces décisions mettent en lumière quatre actions à mettre en œuvre dans le cadre de la conformité informatique et libertés.

  • Conclure des accords relatifs à la protection des données avec vos prestataires.

La Cnil polonaise a prononcé une sanction administrative de 40.000 € à l’encontre d’une mairie qui avait recours à des sous-traitants sans respecter les dispositions de la règlementation européenne. L’autorité a notamment relevé que, en violation de l’article 28 du RGPD, l’entité publique stockait des données à caractère personnel auprès d’un prestataire sans avoir conclu d’accord relatif à la protection des données.

https://edpb.europa.eu/news/national-news/2019/polish-supervisory-authority-imposed-first-administrative-fine-public-entity_fr

  • Déployer des mesures techniques et organisationnelles pour garantir la sécurité des données et notifier la Cnil en cas de violation.

Un établissement de crédit adressait les documents d’identités de demandeurs de prêts à deux employés d’une banque distincte qui, en violation des procédures internes, utilisait le système de credit scoring de la banque pour évaluer l’éligibilité de ces personnes aux crédits sollicités. La banque a été sanctionnée à une amende administrative d’un montant de 150.000 euros, après avoir notifié cette faille de sécurité qui avait touché 1177 individus. 

L’autorité de contrôle a considéré que l’accès non autorisé aux données s’est produit du fait des manquements de la banque à ses obligations de responsable de traitement. Elle n’avait pas mis en place les mesures techniques et organisationnelles appropriées pour assurer la sécurité et plus particulièrement, les mesures déployées n’étaient pas appropriées pour garantir que les employés de la banque traitent les données uniquement conformément à ses instructions.

L’établissement de crédit a quant à lui reçu une sanction administrative de 20.000 € pour défaut de notification de la violation de données.

https://edpb.europa.eu/news/national-news/2019/romanian-supervisory-authority-fines-raiffeisen-bank-sa-and-vreau-credit-srl_fr

  • Définir une base juridique adéquate aux traitements de données personnelles et, le cas échéant, respecter les règles de recueil du consentement

Une société a été condamnée à une amende administrative de 9.000 euros par l’autorité de contrôle roumaine.
La société collectait des données via son site internet afin d’adresser des newsletters par email, sur la base du consentement. Le formulaire de collecte faisait apparaître une case à cocher accompagné du texte suivant : « Je ne veux pas recevoir de « Personal Update » - information adressée quotidiennement par email, gratuitement, par [le site internet] ».

Or, cette technique dite de l’opt-out ne constitue pas un recueil de consentement valide en application du considérant 32 du RGPD selon lequel « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ».


https://edpb.europa.eu/news/national-news/2019/romanian-supervisory-authority-fines-inteligo-media-sa_fr

  • Permettre aux personnes concernées d’effectivement exercer leurs différents droits (accès, rectification, effacement, limitation, portabilité, retrait du consentement et opposition)

Une société s’est vu infliger une amende administrative d’un montant de 201.000 PLN, soit environ 47.000 euros, par l’autorité polonaise pour avoir rendu difficile voire impossible l’exercice de leurs droits par les personnes concernées. En l’occurrence, l’affaire portait sur le droit de retirer son consentement et le droit à l’oubli aussi appelé droit à l’effacement.

Le principe est que le retrait du consentement doit être aussi simple que son recueil. En l’occurrence, le process de retrait du consentement mis en œuvre par la société condamnée était trop complexe. Il contenait des messages trompeurs et, outrepassant les exigences de la loi, les personnes concernées étaient obligées de motiver le retrait de leur consentement, à défaut de quoi leur demande n’était pas prise en compte. D’autre part, l’entreprise ne respectait pas le droit à l’oubli puisqu’elle continuait à traiter certaines données qui avaient pourtant fait l’objet d’oppositions.

https://edpb.europa.eu/news/national-news/2019/polish-dpa-withdrawal-consent-shall-not-be-impeded_fr



L+/LMS - PHP: 0.071s - Smarty: 0.1s - Total: 0.171s - Docs
0.00108500	DESC `actualites_themes`

0.00013325 SELECT DISTINCT `actualites_themes`.* FROM `actualites` LEFT JOIN `actualites_themes` ON FIND_IN_SET(actualites_themes.id,actualites.theme) WHERE 1 AND FIND_IN_SET('fr',`actualites`.`lang`) AND `actualites_themes`.`id` IS NOT NULL AND (`actualites`.etat = "en-ligne") ORDER BY libelle_fr
0.00015850 SELECT DISTINCT `actualites`.* FROM `actualites` LEFT JOIN `actualites_themes` ON FIND_IN_SET(actualites_themes.id,actualites.theme) WHERE 1 AND FIND_IN_SET('fr',`actualites`.`lang`) AND (`actualites`.etat = "en-ligne") AND `actualites`.id = '35'
0.00095775 SELECT MAX(update_time) FROM information_schema.tables WHERE table_schema = 'askesiyfrank' AND table_name = 'actualites'
0.00021300 SELECT * FROM `pages` WHERE (FIND_IN_SET('fr', lang) OR lang = '') AND `etat` = 'en-ligne' AND url <> '' AND groupe <> 'invisible' ORDER BY ordre > 0 DESC, ordre ASC, url ASC
0.00087050 DESC `expertises`
0.00010975 SELECT id, `expertises`.`titre_fr` AS titre, "" AS title, alias_fr AS alias FROM `expertises` WHERE 1 AND (`expertises`.etat = "en-ligne") ORDER BY rang ASC
0.00082300 DESC `actualites`
0.00073750 DESC `actualites_themes`
0.00010450 SELECT DISTINCT `actualites_themes`.* FROM `actualites` LEFT JOIN `actualites_themes` ON FIND_IN_SET(actualites_themes.id,actualites.theme) WHERE 1 AND FIND_IN_SET('fr',`actualites`.`lang`) AND `actualites_themes`.`id` IS NOT NULL AND (`actualites`.etat = "en-ligne") ORDER BY libelle_fr
0.00009175 SELECT url, cible, alias_fr AS alias FROM pages WHERE etat = 'en-ligne'
0.00086400 DESC `actualites`
0.00012300 SELECT COUNT(*) FROM `actualites` WHERE 1 AND FIND_IN_SET('fr',`actualites`.`lang`) AND (`actualites`.etat = "en-ligne")
0.00017025 SELECT * FROM `actualites` WHERE 1 AND FIND_IN_SET('fr',`actualites`.`lang`) AND (`actualites`.etat = "en-ligne") ORDER BY date DESC LIMIT 0,10
0.00017800 SELECT url, cible, alias_en AS alias FROM pages WHERE etat = 'en-ligne'
0.00661975 Total: 15