Sanction d’une banque pour avoir effectué de la publicité commerciale en dépit du refus de la personne concernée
AEPD (Espagne), 8 juillet 2021
L’AEPD a reçu une plainte d’une personne déplorant la réception de publicité commerciale de la part d’une banque, responsable du traitement, alors que la personne s’était auparavant opposée au traitement de ses données à des fins publicitaires et que le responsable de traitement a répondu qu’il se conformerait à la demande.
L’autorité de contrôle espagnole a donc prononcé une sanction de 50 000 € à l’encontre de Caixabank pour n’avoir pas respecté le principe de licéité du traitement de l’article 6 du RGPD.
Lien vers la décision en espagnol : https://bit.ly/3xyJonA
Sanction d’une application de livraison à domicile pour ne pas avoir respecté les droits de ses livreurs
GPDP (Italie), 10 juin 2021
Foodinho, filiale du groupe Glovo, proposant des services de livraison de nourriture, a été contrôlée en juillet 2019 par l’autorité de protection des données italienne. L’autorité reprochait à Foodinho de très nombreux manquements au RGPD, et tout particulièrement en ce qui concerne l’algorithme utilisé pour gérer les courses, les notes et la rémunération des livreurs inscrits sur la plateforme.
L’autorité de contrôle a notamment constaté ces irrégularités :
- L’entreprise a réalisé, à travers une pluralité d’outils technologiques (la plateforme numérique, l’application et les canaux utilisés par le service client), des traitements de données qui permettent un contrôle méticuleux de l’exécution du travail, et ce faisant n’a pas respecté les principes de licéité, loyauté et transparence (article 5 §1a du RGPD) ;
- Au vu de la quantité et de la variété de données personnelles traitées, Foodinho a violé les articles 5 §1 c) (principe de minimisation des données) et e) (limitation de la conservation) du RGPD ;
- Foodinho n’a pas respecté l’article 13 du RGPD relatif au droit à l’information car le responsable du traitement n’a pas indiqué la durée de conservation des données, n’a pas fourni les coordonnées du DPO, ni fait référence à l’existence d’un traitement automatisé. Plus largement, les documents fournis par Foodinho, ambigus, n’étaient pas aptes à fournir aux parties intéressées les informations nécessaires ;
- Foodinho n’a pas pris les mesures appropriées face aux décisions individuelles automatisées (attribution d’une note aux livreurs sans mesure permettant d’éviter une utilisation abusive ou discriminatoire de ces retours d’expérience) portant atteinte à l’article 22 § 3 du RGPD (mesures appropriées pour le traitement automatisé) ;
- Les principes de privacy by design et privacy by default n’ont pas été respectés, contrevenant à l’article 25 du RGPD ;
- Le registre des activités de traitement fourni par Foodinho n’est pas conforme à l’article 30 §1 a), b), c), f) et g) du RGPD ;
- Le registre de l’entreprise ne contenait pas la description générale des mesures de sécurité techniques et organisationnelles, portant atteinte à l’article 32 § 1 du RGPD. D’une manière générale le responsable du traitement n’avait pas pris les mesures techniques et organisationnelles suffisantes pour assurer un traitement sécurisé des données ;
- Foodinho n’a pas réalisé l’analyse d’impact conformément à l’article 35 du RGPD concernant l’utilisation de la plate-forme numérique, au moyen de laquelle une multiplicité de données personnelles relatives à la gestion des commandes (localisation géographique, communications via le chat, e-mail, contenu des appels téléphoniques entre les livreurs et le service client, réalisation d’activités de profilage et traitement automatisé vers un nombre important de personnes concernées « vulnérables ») étaient collectées et stockées.
Pour toutes ces raisons, l’autorité de contrôle italienne a prononcé une sanction de 2,6 millions d’euros contre Foodinho l’enjoignant au passage à se mettre en conformité concernant l’intégralité des points soulevés.
Lien vers la décision en italien : https://bit.ly/3i578Jt
Sanction d’un employeur pour avoir accédé à la boite mail d’un ancien employé et ne pas avoir fermé sa boite
Datatylsinet (Norvège), 22 juin 2021
Un ancien employé s’est plaint auprès de l’autorité norvégienne de protection des données du fait que son ancien employeur continuait d’accéder à sa boite mail professionnelle après son départ de l’entreprise.
L’autorité de contrôle a prononcé une sanction de 15 000 € à l’encontre de l’employeur pour manquement à l’obligation d’information (art. 13), manquement au droit à l’effacement (art. 17) et au droit à l’opposition (art. 21) et, surtout, pour défaut de base légale d’un tel accès à la messagerie électronique.
Lien vers le communiqué de presse en norvégien : https://bit.ly/3ibF4V4
Injonction faite à un hôpital universitaire de conclure des accords de traitement de données avec ses laboratoires partenaires
Datatylsinet (Norvège), 1er juillet 2021
Dans le cadre de son fonctionnement courant, l’hôpital universitaire d’Oslo est amené à solliciter de nombreux laboratoires norvégiens ou étrangers afin d’y faire réaliser des analyses médicales. Pour ce faire, l’hôpital envoie des échantillons de matériel biologique et des données de plusieurs milliers de patients.
Après une inspection, l’autorité de contrôle norvégienne a constaté que l’hôpital n’avait conclu aucun accord de traitement des données personnelles avec les laboratoires concernés. L’autorité a ainsi enjoint l’hôpital universitaire d’Oslo de se mettre en conformité, ce dernier étant responsable d’assurer un traitement des données des patients conforme à la législation en vigueur.
Lien vers le communiqué de presse en norvégien : https://bit.ly/36AfPGg
