Tlc : la Garante sanctionne un revendeur pour avoir activé illégalement des cartes sim et des abonnements
150 000 euros d’amende pour avoir utilisé les données personnelles de centaines d’utilisateurs à leur insu

Une société qui gère deux boutiques de téléphonie devra payer une amende de 150 000 euros pour avoir activé illégalement des cartes SIM, des abonnements et des frais pour l’achat de téléphones portables et de traceurs GPS en utilisant les données personnelles de centaines d’utilisateurs à leur insu.

C’est ce qu’a établi le Garante Privacy en définissant la procédure ouverte à la suite d’un rapport de la Guardia di Finanza, qui avait reçu une plainte d’une utilisatrice pour des frais sur sa carte de crédit liés à l’activation d’un nouveau contrat au nom de son mari décédé.

De nombreuses et graves violations ont été constatées au cours de l’enquête menée par l’Autorité.

La Garante a notamment constaté que la société avait activé 1 300 cartes téléphoniques en utilisant des données et des documents d’identité extrapolés des systèmes de l’opérateur téléphonique dont elle vendait les produits ou retenus indûment par des magasins.

De plus, la société avait activé des services non sollicités en incitant les clients à signer, via une tablette, sans clarifier les conséquences de ces consentements. Les infractions comprenaient également la vente de téléphones portables qui n’avaient pas été demandés par les clients ou qui ne leur avaient pas été livrés, ces derniers ayant appris l’achat en découvrant des frais de paiement échelonnés sur la facture.

L’enquête de la Garante a également révélé que la société avait contourné les contrôles de l’opérateur téléphonique et les dispositions pertinentes relatives au traitement des données des utilisateurs, agissant ainsi en tant que responsable indépendant du traitement des données. Plus précisément, la société avait planifié ses activités dans l’intention d’utiliser la base de données personnelles dont elle disposait pour activer la fourniture de services téléphoniques non sollicités ou pour prolonger indûment l’offre contractuelle précédemment signée par ses clients. Le tout représentait un chiffre d’affaires de plus de 80 000 euros, réalisé en impliquant ses employés dans des activités visant à contourner systématiquement les principes de licéité, de loyauté et de transparence prévus par le règlement européen.

Pour ces raisons et compte tenu du comportement attribuable au phénomène global des activations illégales de cartes téléphoniques, potentiellement susceptible de créer d’autres incitations à l’illégalité beaucoup plus alarmantes et des obstacles aux activités de répression des délits, la Garante a appliqué à la société une sanction de 150 mille euros et a ordonné l’interdiction de tout traitement ultérieur des données des clients.

Travail : Garant de la vie privée, les employés ont le droit d’accéder à leurs données
Sanction de 20 000 euros à une banque

Le travailleur a le droit d’accéder à ses propres données stockées par l’employeur, quel que soit le motif de la demande.

C’est ce qu’a rappelé le Garant de la protection de la vie privée en faisant droit à la plainte déposée par une femme qui avait demandé à la banque où elle avait été employée d’accéder à son dossier personnel afin de connaître les informations qui auraient pu donner lieu à une sanction disciplinaire à son encontre.

La banque n’avait pas répondu de manière adéquate à la demande et n’avait fourni qu’une liste incomplète des documents recueillis, omettant certaines informations sur la base desquelles la sanction disciplinaire avait été prononcée.

Ce n’est qu’après l’ouverture de l’enquête par l’Autorité que la banque a remis à l’ancienne employée les autres documents contenus dans le dossier.

Il s’agissait notamment de la correspondance entre la banque et une tierce partie, qui se plaignait de la communication illégale d’informations confidentielles de son mari comptable actuel à la plaignante, qui les avait utilisées dans le cadre d’une procédure judiciaire.

Dans ses notes de réponse à l’Autorité, la banque a fait valoir qu’elle n’avait pas fourni ces documents à l’ancienne employée afin de protéger le droit de la défense et la confidentialité des tiers concernés, et parce que la plaignante n’avait aucun intérêt à y avoir accès.

La Garante a noté qu’en règle générale, l’objectif du droit d’accès est de permettre à la personne concernée d’exercer un contrôle sur ses données personnelles et d’en vérifier l’exactitude. Ce droit ne peut toutefois pas être refusé ou limité en fonction de la finalité de la demande. En effet, selon les dispositions du règlement, les personnes concernées ne sont pas tenues d’indiquer un motif ou un besoin particulier pour justifier leurs demandes d’exercice de leurs droits, et le responsable du traitement ne peut pas non plus vérifier les motifs de la demande. Cette interprétation a également été clarifiée par le Conseil européen de la protection des données (CEPD) par l’approbation des lignes directrices sur le droit d’accès et résulte d’une jurisprudence constante de la Cour de justice.

En sanctionnant la banque à hauteur de 20 000 euros, l’Autorité a tenu compte de la nature, de la gravité et de la durée de la violation, mais aussi de l’absence de précédents similaires.

Violence à caractère sexiste : l’anonymat est garanti dans la base de données des services d’urgence

Le Garant de la protection de la vie privée a donné son feu vert au projet de décret du ministère de la Santé qui intègre dans le Système d’information pour le suivi des prestations de soins de santé d’urgence (EMUR) un ensemble d’informations sur l’accès aux urgences des victimes de violences à caractère sexiste.

Le projet de décret tient compte des observations formulées par l’Autorité lors des discussions avec le ministère, qui concernaient notamment l’anonymat des femmes victimes de violences et de celles qui demandent à accoucher anonymement, ainsi que la mise à jour de l’ensemble du flux de données à la lumière des nouveaux principes sur la protection des données à caractère personnel dictés par le GDPR. Le système avait en effet été mis en place en 2008, soit 10 ans avant la mise en œuvre complète du GDPR. Le Privacy Guarantor a notamment demandé la mise à jour du système d’encodage et d’agrégation des données, l’identification de la durée de conservation des informations et des rôles en matière de protection de la vie privée des différentes parties impliquées dans les opérations de traitement.

Les technologies émergentes et la lutte contre le blanchiment d’argent parmi les thèmes de la conférence de printemps à Riga

Riga, la capitale de la Lettonie, accueillera du 14 au 16 mai 2024 la 32e édition de la « Conférence de printemps », la réunion annuelle de printemps qui rassemble les autorités européennes de protection des données dans le but d’établir un cadre commun pour la protection des données à caractère personnel.

La conférence se concentrera sur un certain nombre de sujets clés, tels que l’analyse des règlements de l’UE, la protection de la vie privée dans les technologies émergentes, la sauvegarde des données de santé à l’ère numérique et la promotion d’une coopération efficace entre les autorités de protection des données, les décideurs et les entreprises. Comme l’année dernière à Budapest, l’ordre du jour de l’édition 2024 comprend, outre des réunions à huis clos, un panel ouvert au public, en personne et à distance (le 16 mai), qui se concentrera sur la relation de plus en plus étroite entre les réglementations relatives à la lutte contre le blanchiment d’argent et à la protection des données, dans le but d’identifier des stratégies utiles pour renforcer la conformité à ces deux disciplines par le biais d’une approche collaborative. La Garante sera représentée par son membre Guido Scorza, qui interviendra dans le panel consacré à la protection des données et aux technologies émergentes, ainsi qu’aux défis posés par un environnement de plus en plus dynamique pour protéger la vie privée des utilisateurs, en particulier des enfants, et assurer le respect des réglementations.

Depuis sa création en 1991, lorsque les autorités de Belgique, du Danemark, de France, d’Allemagne, d’Irlande, du Luxembourg, des Pays-Bas et du Royaume-Uni se sont réunies à La Haye, la « Conférence de printemps » a été un moment clé pour les autorités européennes de protection des données en identifiant les questions d’intérêt commun, en échangeant des informations sur les meilleures pratiques et en promouvant la coopération.

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10009928