HBDI (Hambourg, Allemagne), 2020
Un citoyen allemand a découvert que de nombreuses coordonnées GPS d’utilisatrices d’une marketplace (proposant à la vente des sous-vêtements portés) étaient accessibles en ligne.
Alertée, l’autorité de contrôle de Hambourg a ouvert une enquête à l’encontre de l’entreprise exploitant la marketplace.
Au cours de son enquête, l’autorité de contrôle a constaté que les métadonnées des photographies de sous-vêtements n’avaient pas été « nettoyées », et qu’ainsi il était possible de déterminer l’emplacement exact où la photo avait été prise. Selon l’autorité de contrôle, 760 femmes, âgées de 18 à 50 ans, étaient concernées par cette violation de données.
L’autorité de contrôle a, dans un premier temps, rappelé qu’un responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées, en fonction des risques, et doit en outre respecter les principes de privacy by design et privacy by default.
Dans un second temps, l’autorité de contrôle a rappelé que les photos prises par des appareils photos numériques sont généralement doublées d’informations, appelées Exhangeable Image File Format (EXIF), qui contiennent des données telles que la localisation GPS. Ces métadonnées sont considérées comme des données personnelles, puisqu’il est « possible d’identifier plusieurs personnes concernées avec relativement peu d’efforts ».
Selon l’autorité de contrôle, le nettoyage des données EXIF est une exigence standard pour les exploitants d’une marketplace en ligne, ce qui signifie que les images doivent être débarrassées de leurs métadonnées avant d’être publiées.
En tirant les conclusions de l’absence de nettoyage de ces photographies par le responsable du traitement, l’autorité de contrôle a estimé que l’entreprise n’avait pas pris les mesures techniques et organisationnelles.
Lien vers le rapport d’activité ici .
