CONTACT

Actualité européenne : Panorama de quelques décisions rendues par des autorités nationales de contrôle

07 juin 2021 | Deriennic Associés |

Accès illicites à un fichier de crédits

APD (Belgique), 23 avril 2021

Une plainte avait été déposée par une citoyenne belge contre un établissement financier, dont l’un des employés, son ex-mari, avait reconnu avoir consulté une vingtaine de fois des informations de son ex-femme dans la « Centrale des crédits aux particuliers » (CCP), fichier dans lequel sont enregistrés tous les crédits conclus par des personnes physiques ainsi que les éventuels défauts de paiement de ces personnes.

L’Autorité de contrôle belge (APD) a considéré que l’établissement financier n’avait pas respecté son obligation de sécurité, en permettant de tels accès, alors qu’il aurait fallu qu’il mette en place des règles d’accès, un registre-journal des accès, ainsi qu’un système de contrôle de ces accès.

Pour motiver le montant de l’amende de 100 000 euros prononcée contre l’établissement, l’APD a notamment mentionné le fait que l’accès portait sur des données sensibles.

Lien vers la décision en français : https://bit.ly/3oOsfma

Cookies : la CJUE épinglée par le CEPD

CEPD (UE), 3 mai 2021

Un particulier a envoyé une plainte le 2 octobre 2019 au CEPD (Contrôleur européen à la protection des données) au sujet du site internet de la CJUE et de deux sites vers lesquels le site de la CJUE renvoyait (www.companywebcast.com et www.conference.connectedviews.com).

Le Contrôleur observe que plusieurs manquements ont été commis par la CJUE.

Au sujet des cookies, le CEPD estime d’abord que l’internaute n’est pas correctement informé de l’utilisation de cookies. Plus précisément, il considère que la CJUE ne prévient pas l’internaute que des cookies Youtube peuvent être placés. Ensuite, le CEPD estime que le site de la CJUE n’offre pas la possibilité à l’internaute de refuser les cookies aussi facilement qu’il ne les accepte. En particulier, il eût fallu qu’à côté du bouton « accepter » figure le bouton « rejeter ».

Le dispositif des cookies ayant été corrigé aussitôt que la plainte a été déposée, aucune sanction n’a été prononcée contre la CJUE.

Lien vers la décision en anglais : https://bit.ly/34jIw9k

Sanction d’un employeur pour avoir publié une lettre de démission sur un groupe WhatsApp

ANS (Roumanie), 7 mai 2021

Un employeur roumain a publié sur le groupe WhatsApp sur lequel se trouvait une grande partie des employés de la société une lettre de démission d’un de ses anciens salariés. Cette lettre de démission contenait des données personnelles telles que le nom, le prénom, l’adresse, le numéro de carte d’identité et des informations relatives aux raisons de son départ.

L’autorité de contrôle roumaine a prononcé une sanction de 2.000 euros contre l’employeur pour manquement à l’obligation de confidentialité des données.

Lien vers la décision en roumain : https://bit.ly/3yHHnGG

Les échanges de données de santé par e-mail doivent être cryptés et protégés par mot de passe

NAIH (Hongrie), 14 mars 2021

Les agents d’un établissement public hongrois avaient envoyé, par courriel, à un médecin, un fichier Excel contenant des données de santé de plus de 1.000 patients, dont des données relatives aux résultats de tests de dépistage contre la COVID. Ce fichier n’avait été protégé par aucun mot de passe. Par la suite, ce courriel a été forwardé plusieurs fois par le médecin destinataire à d’autres praticiens tiers. Une personne, qui n’était pas médecin et ayant reçu le courriel, a informé l’autorité de contrôle hongroise (NAIH) d’une possible violation des données personnelles.

La NAIH a considéré que la possession par un tiers de ce fichier Excel constituait une violation de données, ces données étant, de surcroit, sensibles. L’autorité de contrôle a ensuite rappelé que ces données de santé auraient dû être chiffrées et le mot de passe de déchiffrement aurait dû être transmis aux destinataires par un moyen différent. La NAIH a enfin précisé que l’urgence liée à la gestion de la pandémie de COVID-19 ne peut en aucun cas exonérer le responsable de traitement de ses obligations au titre du RGPD. En conséquence, l’établissement public hongrois a été sanctionné d’une amende administrative d’un montant de 30.000€.

Lien vers le communiqué de l’autorité en hongrois : https://bit.ly/3uDTxNL