CONTACT

Actualité européenne : Panorama de quelques décisions rendues par des autorités nationales de contrôle

06 décembre 2021 | Derriennic Associés|

Sanction d’un employeur pour avoir contrôlé les heures de travail de ses employés à l’aide d’un système par empreinte digitale

AEPD (Espagne), 26 octobre 2021

Une entreprise de logistique espagnole a mis en place un système de contrôle des empreintes digitales permettant d’enregistrer les heures de travail de ses salariés.

Plusieurs salariés, estimant que ce système porte atteinte à leurs droits et libertés fondamentaux, ont déposé une plainte auprès de l’autorité de contrôle espagnole.

L’autorité de contrôle a constaté que l’entreprise en question n’avait pas réalisé d’analyse d’impact concernant ce traitement et a, en conséquence, prononcé une amende de 16.000 € à l’encontre de cette dernière.

Lien vers la décision en espagnol : https://bit.ly/3oFAce4

 

L’absence d’utilisation de la fonction copie cachée (cci) peut entraîner des risques pour les droits des individus

ICO (Royaume-Uni), 18 octobre 2021

L’autorité anglaise de contrôle a ouvert une enquête à l’encontre de l’association a but non lucratif HIV Scotland après qu’un email adressé à 105 personnes atteintes du VIH ait été envoyé sur une liste de diffusion visible par tous les destinataires (dont 65 des adresses permettaient une identification des personnes en laissant la possibilité de tirer des conclusions sur l’immunodéficience des personnes).

Au cours de son enquête, l’autorité de contrôle a relevé des lacunes dans les procédures d’envoi de courriers électroniques, et plus précisément une absence de formation adéquate du personnel, une inadéquation de la politique de protection des données et une absence d’utilisation de la méthode de la copie carbone invisible (cci) permettant d’envoyer de manière massive des emails sans divulguer de données personnelles.

Plus encore, l’autorité de contrôle a également constaté que le responsable du traitement avait fait l’acquisition d’un système permettant d’envoyer messivement des messages de manière sécurisée, mais que ce système était inutilisé, et que la méthode de la copie carbone invisible (cci), moins sécurisée, était toujours utilisée.

L’autorité de contrôle a rappelé qu’en vertu des articles 5 (1) f et 32 (1) et (2) du RGPD, les responsables du traitement doivent mettre en place les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles.

Constatant l’absence de telles mesures, l’autorité de contrôle a infligé à l’organisation à but non lucratif une amende d’un montant de 10 000 £.

Lien vers le communiqué en anglais : https://bit.ly/3DwChPu

 

Un club de sport sanctionné pour avoir ajouté une personne sur un groupe WhatsApp sans son consentement

AEPD (Espagne), 5 octobre 2021

Une ancienne adhérente d’un club de sport, avec lequel elle n’avait plus de lien depuis 10 ans, a été ajoutée sans son consentement sur un groupe de discussion WhatsApp.

La personne concernée a déposé une plainte auprès de l’autorité de contrôle espagnole, qui a ouvert une enquête sur cet incident.

Après avoir rappelé le principe de la limitation de la durée de conservation des données posé à l’article 5 (1) e du RGPD, rappelé la définition de consentement posé à l’article 6 du RGPD et rappelé qu’un responsable du traitement devait mettre en place les mesures de sécurité adéquates en vertu de l’article 32 du RGPD, l’autorité de contrôle a considéré que le club de sport avait traité les données à caractère personnel de la plaignante sans son consentement et en ayant conservé lesdites données au-delà de la durée nécessaire eu égard aux finalités.

En outre, l’autorité de contrôle a estimé que le fait de fournir le numéro de téléphone portable d’une personne à des tiers entraînait une violation de la confidentialité des données personnelles, et donc constituait une infraction à l’obligation de sécurité du traitement.

En conséquence, l’autorité de contrôle a infligé au club de sport une amende de 4.000 €.

Lien vers la décision en espagnol : https://bit.ly/3x3YdPN

 

Utilisation de brochures directement destinées aux enfants pour fournir une information totalement conforme au RGPD

Datatilsynet (Danemark) 21 septembre 2021

L’autorité de contrôle danoise a ouvert une enquête à l’encontre d’une entreprise réalisant des tests de dépistage au covid 19 sur des enfants en école primaire et au collège.

Dans le cadre de son enquête, l’autorité de contrôle a constaté que l’entreprise disposait d’une politique de confidentialité qui était transmise aux enfants ainsi qu’à leurs responsables légaux via une plateforme de communication numérique utilisée par les écoles et dont l’entreprise encourageait la lecture.

L’autorité de contrôle a, de plus, estimé que la politique de confidentialité contenait toutes les informations nécessaires au sens de l’article 13 du RGPD, et plus généralement qu’aucune violation du RGPD n’était présente.

En revanche, rappelant qu’en vertu de l’article 12 du RGPD l’information doit être fournie « à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant », l’autorité de contrôle a recommandé au responsable du traitement de fournir une information directement destinée aux enfants, en usant de mentions d’information simplifiées, tant sur la forme que sur le fond.

Lien vers le site en danois : https://bit.ly/30IeM80