Sanction de 3000€ pour l’installation de cookies tiers sans le consentement de l’internaute
AEPD (Espagne), 16 avril 2021
L’autorité de contrôle espagnole (l’AEPD) a reçu une plainte qui accusait deux sites internet (dont l’un a été supprimé par le responsable de traitement au cours de la procédure) d’installer des cookies tiers sans le consentement des internautes. Après investigation, l’AEPD a constaté que le site n’avait ni politique de confidentialité ni politique de cookies. Par ailleurs, si ce site récoltait un consentement « général » de l’internaute pour l’utilisation de cookies, en revanche, il ne tenait pas compte du refus exprimé par l’internaute.
L’autorité de contrôle a sanctionné le responsable du traitement d’une amende administrative d’un montant de 3 000 euros et l’a enjoint de se mettre en conformité.
Lien vers la décision en espagnol : https://bit.ly/3nWU8s4
Absence de sanction pour un club de football espagnol (Real Madrid) qui a subi une violation de données
AEPD (Espagne), 16 avril 2021
Un hacker a réussi à obtenir, de la base de données du Real Madrid, des contrats, des documents de licences sportives, des documents budgétaires et d’autres documents de nature économique et financière concernant près de 1000 personnes. Pour ce faire, le hacker a subtilisé les identifiants de connexion d’une personne habilitée du club de football madrilène.
Le Real Madrid a procédé à une notification à l’autorité nationale de contrôle ainsi qu’à une analyse approfondie de l’éventuelle diffusion massive de ces données sur internet et sur le dark web en vérifiant que ces informations n’étaient ni en vente, ni disponibles. En sus, le club de football a pris des mesures complémentaires pour empêcher qu’une telle faille ne se reproduise plus.
L’AEPD a considéré, compte tenu des mesures prises par le club, que la fuite non suivie d’une divulgation n’a pas porté pas atteinte à la réputation des personnes concernées et ne présente pas de risque élevé pour leur droits et libertés au sens du RGPD. Selon l’AEPD, la communication de la violation de données aux personnes concernées n’était donc pas nécessaire. Aucune sanction n’a été prononcée par l’autorité de contrôle espagnole eu égard à la diligence du responsable de traitement dans sa gestion de la violation de données.
Lien vers la décision en espagnol : https://bit.ly/3nMY52r
Abus de droit d’accès par la personne concernée
District Court of Limburg (Pays-Bas), 2 avril 2021
Un particulier a présenté des demandes de droit d’accès auprès de plusieurs communes aux Pays-Bas. Ces dernières lui ont répondu dans le délai d’un mois en lui demandant de s’identifier. Le particulier a néanmoins estimé que ses demandes n’avaient pas été traitées suffisamment rapidement et a saisi la Cour de Limburg, une juridiction nationale, pour faire constater un manquement à l’obligation de répondre à ses demandes de droit d’accès dans les délais imposés par le RGPD.
La Cour de Limburg a considéré que le demandeur n’avait exercé ses demandes de droit d’accès que dans l’unique espoir d’obtenir des dommages et intérêts. La Cour a également relevé que le demandeur n’avait pas mentionné le RGPD dans ses demandes, ce qui a rendu ces dernières ambiguës. En outre, le demandeur ne s’était pas identifié et n’avait pas répondu aux demandes d’identification des communes, alors qu’il devait savoir que cela ralentirait de facto le délai de traitement de ses demandes. Ainsi, les délais de réponses plus importants de la part des communes étaient justifiés et les communes n’ont pas été condamnées.
Lien vers la décision en néerlandais : https://bit.ly/3vLXiBl
Analyse d’impact et application de la décision Schrems II dans le transfert hors UE
CNPD (Portugal), 27 avril 2021
L’INE (Instituto Nacional de Estatística), qui est l’équivalent de l’INSEE au Portugal, réalisait le recensement annuel de la population sur son site web dénommé « censos 2021 », en sous-traitant la sécurité de ce site à Cloudflare, un prestataire basé aux Etats-Unis.
L’autorité de contrôle nationale (la CNPD) a reçu plusieurs plaintes de citoyens portugais recensés qui étaient obligés de divulguer leur nom complet alors que les données personnelles étaient envoyées aux Etats-Unis via Cloudflare.
Après enquête de la CNPD, il s’est avéré que Cloudflare ne garantissait pas que les données restaient stockées sur le sol européen. Au moment de l’enquête, plus de six millions de portugais (soit plus de la moitié de la population) étaient concernés par le transfert vers les Etats Unis de leurs données personnelles.
L’AEPD retient d’abord que l’INE n’a pas réalisé l’analyse d’impact qui était pourtant obligatoire en l’espèce et n’a pas été en mesure d’en évaluer les risques de ce traitement, notamment eu égard au transfert de données réalisé vers des pays tiers à l’UE sans niveau de protection adéquat.
L’AEPD analyse ensuite le contrat de sous-traitance conclu avec Cloudflare qui stipule notamment que (i) les données personnelles peuvent transiter par les 200 serveurs de Cloudflare, (ii) Cloudflare est autorisé à utiliser des sous-traitants ultérieurs extérieurs à son groupe, y compris dans des pays tiers et (iii) Cloudflare peut divulguer les données personnelles aux autorités américaines sur demande.
L’AEPD constate également la présence de clauses contractuelles types mais relève que ces clauses n’exonèrent pas le responsable de traitement d’assurer un niveau de protection équivalent en cas de transfert vers des pays tiers, et ce en mettant en œuvre des garanties adéquates comme l’a indiqué l’arrêt Schrems II.
Au sujet de cet arrêt rendu par la CJUE en 2020, l’autorité de contrôle portugaise relève que, même en présence de clauses contractuelles types, des violations du droit fondamental à la protection des données peuvent exister. En effet, la législation américaine peut exiger l’accès aux données pour des raisons de sécurité nationale et d’intérêt public. Il aurait donc fallu procéder à une analyse d’impact pour mettre en balance les risques pour les droits et libertés des personnes concernées et la nécessité de recourir à ce prestataire américain, quand bien même ce dernier aurait recours à des clauses contractuelles types.
L’INE a donc été enjoint de suspendre ce traitement dans les 12 heures suivant la décision.
Lien vers la décision en portugais : https://bit.ly/3xOEZNR
