Actualité européenne : panorama de quelques décisions rendues par des autorités nationales de contrôle
Sanction d’un service dentaire ayant permis un accès irrégulier à des données personnelles
Datatilsynet (Danemark), 16 décembre 2021
Le service de soins dentaires municipal mettait en œuvre une solution logicielle permettant aux parents d’accéder aux feuilles de soins dentaires de leurs enfants. L’accès à cette solution a, par la suite, été élargi aux parents divorcés ou séparés qui avaient la garde alternée de leurs enfants.
C’est dans ce contexte que la municipalité s’est rendue compte que chaque parent avait accès aux données personnelles de l’autre parent, et ce, en dépit de l’activation de l’option permettant une non-divulgation des données à l’autre parent.
L’autorité de contrôle a ainsi infligé à la municipalité une amende d’environ 13.450 euros considérant que la municipalité avait manqué à son obligation de sécurité en ne mettant pas en œuvre les mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité approprié au risque pour les personnes concernées.
Lien vers le communiqué en danois
Un hôpital condamné pour n’avoir pas procédé à une nouvelle analyse d’impact
Personuvernd (Islande), 29 novembre 2021
Dans un but de santé publique, l’hôpital islandais « Landspitali » est chargé, depuis 2015, d’effectuer une surveillance des maladies infectieuses et des dépistages aux frontières.
A la suite de la propagation rapide et massive du COVID-19, l’hôpital a fait appel, en juin 2020, aux services d’un sous-traitant pour effectuer des tests de dépistage COVID-19. Une analyse d’impact a alors été réalisée.
Deux mois plus tard, en août 2020, l’hôpital a annoncé qu’une partie des activités du service de pathologie et de virologie de l’hôpital serait provisoirement transférée dans les locaux du sous-traitant afin d’augmenter les capacités de dépistage du COVID-19, le temps pour l’hôpital d’améliorer ses équipements.
L’hôpital a estimé qu’il n’était pas nécessaire d’effectuer une nouvelle analyse d’impact dès lors que le traitement effectué dans les locaux du sous-traitant était similaire à celui déjà effectué dans l’enceinte de l’hôpital.
L’autorité de contrôle, à l’inverse, a estimé que l’hôpital, traitant désormais des données personnelles à l’aide des installations de son sous-traitant, donnait la possibilité à certains employés du sous-traitant d’accéder à des données supplémentaires et donc aurait dû réaliser une seconde étude d’impact.
Lien vers le communiqué en islandais
Sanction d’une société refusant de fournir la photo d’une plaque d’immatriculation
HDPA (Grèce) 5 janvier 2022
Une société autoroutière, ayant mis en place un système de vidéosurveillance permettant d’enregistrer les plaques d’immatriculation des véhicules fraudant le péage, a transmis à un automobiliste une amende.
L’automobiliste, contestant avoir franchi le péage au jour et à l’heure indiqués, a exercé son droit à l’information (article 12 du RGPD) et a demandé que la copie du registre des incidents ainsi que le matériel photographique de son véhicule lui soient fournis (droit d’accès, article 15 du RGPD).
La société a, dans un premier temps indiqué que le passage avait été enregistré par le système de vidéosurveillance du péage, mais qu’il lui était impossible de divulguer les données à un « tiers », sauf sur ordre de la justice.
L’autorité de contrôle, saisi par la personne concernée, a indiqué au responsable du traitement que dès lors qu’il a reçu une amende, l’automobiliste n’était pas un « tiers » mais une personne concernée, et qu’ainsi il avait le droit d’obtenir la confirmation que des données personnelles le concernant sont traitées ainsi que le droit d’accéder auxdites données, le refus de fournir les données étant contraire à l’article 15 du RGPD.
En réponse, la société a transmis à la personne concernée le livre des incidents, mais a indiqué que le matériel photographique ne pouvait être transmis en raison d’un problème technique.
Dans le cadre de son enquête, l’autorité de contrôle a constaté que l’affirmation de la société selon laquelle le véhicule de la personne concernée avait été enregistré était en réalité fausse, et que l’impossibilité pour la société d’accéder aux images devait s’interpréter comme une violation de données (atteinte à la disponibilité) qui aurait dû faire l’objet d’investigations complémentaires.
De plus, et surtout, l’autorité a estimé que le droit d’accès n’avait pas été respecté en raison du délai tardif de la réponse.
En conséquence, l’autorité de contrôle Grec a infligé au responsable du traitement une amende d’un montant de 1.000 euros pour non-respect de l’article 12 paragraphe 1 du RGPD.
