Violation de données : la Garante inflige une amende de 2,8 millions d’euros à UniCredit*.
Une amende de 800 000 euros a également été infligée à la société chargée d’effectuer les tests de sécurité.

*La mesure a été contestée devant le Tribunal de Milan qui a ordonné la suspension de l’efficacité de la sanction accessoire de la publication de la mesure sur le site web du Garant par l’ordonnance n° 1927 du 28 mars 2024 (RG n° 10477/202).

Les banques doivent prendre toutes les mesures techniques, organisationnelles et de sécurité nécessaires pour empêcher le vol illicite des données de leurs clients. C’est ce qu’a rappelé le Garante per la privacy en sanctionnant la banque UniCredit pour une violation de données personnelles (data breach) survenue en 2018, impliquant des milliers de clients et d’anciens clients.

Les vérifications effectuées par l’Autorité – suite à la réception par la banque de la notification de violation de données – ont révélé que la violation s’était produite en raison d’une cyberattaque massive, perpétrée par des cybercriminels, sur le portail de banque mobile. Cette attaque a permis l’acquisition illégale du prénom, du nom, du numéro de sécurité sociale et du code d’identification d’environ 778 000 clients et anciens clients et, pour plus de 6 800 des clients « attaqués », a également permis l’identification de leur code PIN d’accès au portail. Les données étaient disponibles dans la réponse HTTP fournie par les systèmes de la banque au navigateur de toute personne qui tentait d’accéder au portail bancaire mobile, même sans y parvenir.

Au cours de l’enquête préliminaire complexe, la Garante a constaté plusieurs violations de la réglementation relative à la protection de la vie privée. En particulier, l’Autorité a constaté que la banque n’avait pas adopté de mesures techniques et de sécurité capables de contrer efficacement d’éventuelles cyber-attaques et d’empêcher ses clients d’utiliser des codes PIN faibles (tels que ceux composés de séquences de chiffres ou coïncidant avec la date de naissance). En fixant le montant de l’amende à 2,8 millions d’euros, la Garante a tenu compte du grand nombre de personnes impliquées dans la violation de données personnelles, de la gravité de la violation et de la capacité économique de la banque. En revanche, l’adoption rapide de mesures correctives, les initiatives d’information et de soutien mises en œuvre à l’égard des clients et le fait que la violation ne portait pas sur des données bancaires ont été considérés comme des facteurs atténuants.

Avec l’adoption d’une deuxième mesure, l’Autorité est également intervenue à l’encontre de NTT Data Italia, sanctionnant l’entreprise d’une amende de 800 000 euros. Les vérifications effectuées par la Garante ont notamment révélé que NTT Data Italia avait communiqué à UniCredit la violation des données personnelles de ses clients après le délai fixé par le règlement et seulement après que la banque en ait eu connaissance par le biais de ses systèmes de contrôle internes.

En outre, NTT Data Italia avait sous-traité l’exécution d’activités d’évaluation de la vulnérabilité et de tests de pénétration à une autre société, sans autorisation préalable de la banque en tant que responsable du traitement des données, qui avait au contraire expressément interdit la sous-traitance de ces activités à des tiers.

Application pour diabétiques : le Garant de la protection de la vie privée inflige une amende à une entreprise de matériel médical
Elle avait envoyé des courriels non cryptés à des centaines de patients diabétiques.

Le Garant pour la protection de la vie privée a infligé deux amendes d’un montant total de 300.000 euros à une société bien connue qui produit des appareils médicaux pour la surveillance, la prévention et le traitement de diverses maladies.

La première, d’un montant de 250 000 euros, a été appliquée à l’entreprise pour avoir envoyé plusieurs courriels contenant les adresses, en texte clair, de centaines de destinataires, des patients diabétiques, qui utilisaient l’une de ses applications pour mesurer les niveaux de glucose.

L’autre de 50 000 euros, pour n’avoir pas fourni une information complète aux patients, utilisateurs de services de santé.

Au cours de l’enquête, il est apparu que, lors de l’envoi de courriers électroniques concernant une mise à jour de l’application, c’est-à-dire une communication de service, l’inclusion des adresses électroniques dans le champ « copie pour information » au lieu du champ « copie cachée » avait permis à tous les destinataires de voir les adresses contenues dans la liste de diffusion, avec pour conséquence la communication par l’entreprise à des tiers non autorisés de données personnelles extrêmement sensibles, telles que des données relatives à la santé.

L’incident a également mis en évidence le fait que l’entreprise n’a pas pris les mesures techniques et organisationnelles adéquates pour réduire le risque de violation des données.

Les enquêtes menées par la Garante pour vérifier la conformité des traitements effectués par le biais des services offerts aux utilisateurs ont également révélé d’autres violations qui ont été considérées séparément aux fins de la quantification de la sanction administrative. En particulier, la notice d’information n’indiquait pas la base juridique sur laquelle se fondait la communication des données personnelles des patients qui souhaitaient lier leur compte personnel à celui du professionnel de la santé, en sa qualité de responsable du traitement, en violation du principe de loyauté et de transparence.

Radars automatiques, garant de la vie privée : avis favorable au MIT
Images et vidéos envoyées aux automobilistes uniquement à leur demande

La Garante a donné son feu vert au projet de décret du ministre de l’infrastructure et des transports, en accord avec le ministre de l’intérieur, sur les modalités d’implantation et d’utilisation des radars.

La version du projet examinée par l’Autorité a pris en compte les observations formulées par le bureau de la Garante au cours de l’enquête préliminaire afin de rendre le décret conforme à la réglementation en matière de protection de la vie privée.

Comme le demandait la Garante, les images constituant une source de preuve pour les infractions au code de la route ne doivent pas être envoyées au domicile du propriétaire du véhicule avec l’avis d’infraction. En effet, la documentation photographique ou vidéo ne doit être mise à la disposition du destinataire du procès-verbal qu’à sa demande, en veillant, en tout état de cause, à ce que les tiers et les plaques d’immatriculation des autres véhicules filmés soient occultés ou rendus méconnaissables.

Dans l’intérêt de la vie privée du conducteur, l’utilisation de systèmes de détection de la vitesse qui prennent des photos frontales du véhicule est également autorisée, mais seulement s’ils sont équipés d’une fonction qui obscurcit automatiquement les images des personnes à bord. Par ailleurs, si les appareils et systèmes de caméras peuvent surveiller en permanence la circulation, ils ne stockent les images qu’en cas d’infraction. Enfin, le décret définit les durées de conservation des images et vidéos collectées par les organes de police de la circulation chargés de la verbalisation. Celles-ci sont conservées pendant la durée strictement nécessaire à l’exécution des amendes et au règlement des litiges éventuels, conformément aux dispositions du titre VI du nouveau code de la route.

Les autorités de l’UE disposeront d’une plus grande autonomie à l’égard des entreprises extracommunautaires
Notion d’établissement principal clarifiée par le Comité des Superviseurs

Lorsqu’une entreprise non européenne dispose d’un établissement dans les États membres de l’UE, mais que les décisions relatives aux finalités et aux moyens du traitement sont prises en dehors de l’UE, le mécanisme dit du « guichet unique » ne s’applique pas. Dans ce cas, toute autorité de protection de la vie privée d’un État membre pourra agir de manière autonome pour protéger les droits de ses citoyens et intervenir directement auprès du responsable du traitement des données.

Cette décision importante a été prise par le Conseil européen de la protection des données (CEPD) le 13 février, lorsqu’il a adopté un avis sur la notion d’« établissement principal » et les critères d’application du mécanisme de guichet unique, selon lequel l’autorité de contrôle chef de file agit en tant que point de contact principal pour le responsable du traitement ou le sous-traitant (tandis que les autorités de contrôle concernées agissent en tant que point de contact principal pour les personnes concernées sur le territoire de leur propre État membre) et est chargée de diriger le processus de coopération avec les autres autorités.

La notion d’établissement principal est l’une des pierres angulaires du guichet unique et est cruciale pour déterminer quelle est, le cas échéant, l’autorité de contrôle principale dans les affaires de protection des données impliquant plus d’un État membre.

Le Comité a précisé que le « lieu d’administration centrale » d’un responsable du traitement des données dans l’UE ne peut être considéré comme un « établissement principal » que si c’est là que sont prises les décisions relatives aux finalités et aux moyens du traitement des données à caractère personnel et si le responsable a le pouvoir d’exécuter ces décisions. Ce n’est donc que dans ce cas que le mécanisme du guichet unique s’applique.

Lorsque les décisions relatives aux finalités et aux moyens du traitement sont prises en dehors de l’UE, le « lieu de l’administration centrale » ne peut être considéré comme l’établissement principal du responsable du traitement dans l’UE, et le principe du guichet unique ne s’applique pas non plus ; toute autorité nationale peut donc intervenir directement auprès du responsable du traitement.

Il incombe également au responsable du traitement, précise l’avis, de prouver que les décisions relatives aux finalités et aux moyens du traitement des données à caractère personnel ont été prises dans le pays de l’UE où est établi l’établissement principal, et ses conclusions peuvent en tout état de cause être réfutées par les autorités chargées de la protection des données.

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9991101