La Ville d’Helsinki a signalé une grave violation de données personnelles dans son réseau de données. Le Bureau du Médiateur pour la protection des données enquête sur cette violation de données personnelles afin de déterminer si la Ville a respecté les exigences en matière de protection des données et a mis en place des mesures de protection adéquates. La police enquête sur l’incident en tant qu’accès illégal aggravé à un système d’information.
Le 30 avril, la Ville d’Helsinki a notifié au Bureau du Médiateur pour la protection des données une violation de données personnelles au sein de la Division de l’éducation. Selon les informations fournies par la ville d’Helsinki, l’auteur a eu accès aux données de 38 000 employés de la ville et, dans le pire des cas, la violation de données personnelles affecte plus de 80 000 apprenants et leurs tuteurs.
Le Bureau du Médiateur pour la protection des données a pris des mesures immédiatement après la découverte de l’incident. Dans un premier temps, il a demandé à la ville d’informer les personnes concernées et le public de la violation de données à caractère personnel. L’enquête du Bureau du Médiateur pour la protection des données est toujours en cours. La ville a été invitée à soumettre un rapport sur l’incident avant le 5 juin.
« Selon nos connaissances actuelles, il s’agit d’un incident grave. Dans des cas comme celui-ci, il est important d’informer les gens dès que possible de la violation de leurs données personnelles afin qu’ils puissent se protéger contre ses conséquences », a déclaré la médiatrice adjointe chargée de la protection des données, Annina Hautala.
D’autres mesures seront envisagées sur la base du rapport
Le Bureau du Médiateur pour la protection des données enquête sur l’affaire du point de vue du respect de la législation sur la protection des données. La ville a également signalé l’incident au Centre national de cybersécurité de l’Agence finlandaise des transports et des communications (Traficom) et à la police. Le Centre national de cybersécurité et le Bureau du médiateur pour la protection des données coopéreront à l’enquête si nécessaire.
« Garantir la sécurité du traitement des données à caractère personnel devrait être la première chose à l’ordre du jour de toute organisation en matière de protection des données. Le Médiateur pour la protection des données cherche à s’assurer que tout le monde respecte la législation en matière de protection des données, afin que nous puissions tous être assurés que nos données personnelles sont en sécurité. Pour soutenir ces pouvoirs d’exécution, l’autorité chargée de la protection des données a reçu le pouvoir d’imposer des sanctions aux organisations qui enfreignent la législation sur la protection des données. Nous évaluerons les prochaines étapes une fois que nous aurons reçu le rapport de la ville d’Helsinki », a déclaré Mme Hautala.
Les entreprises peuvent être condamnées à payer une amende administrative en cas de violation grave de données à caractère personnel. En vertu de la législation actuelle, les amendes administratives ne peuvent pas être imposées aux entités du secteur public. Afin d’assurer l’égalité des sanctions en cas d’intervention dans les pratiques illégales des organisations du secteur public, le programme du gouvernement du Premier ministre Petteri Orpo précise que les amendes administratives devraient être étendues au secteur public également.
Conseils aux victimes de la violation de données
Les personnes touchées par la violation de données personnelles peuvent contacter directement la ville d’Helsinki pour obtenir des informations complémentaires. La ville a annoncé qu’elle fournira de plus amples informations au fur et à mesure de l’avancement de l’enquête.
Si une organisation a violé le règlement général sur la protection des données d’une manière qui cause un préjudice à une personne, elle a le droit d’être indemnisée pour ce préjudice. Les demandes d’indemnisation liées à des violations de données à caractère personnel ou à d’autres délits peuvent être résolues dans le cadre du procès pénal. Vous pouvez également soumettre la demande d’indemnisation directement à l’organisation en question.