En février 2021, l’autorité de contrôle nationale a finalisé une enquête avec l’opérateur TELEKOM ROMANIA MOBILE COMMUNICATIONS S.A. et a constaté que les dispositions de l’article 32(1) et (2) du règlement général sur la protection des données et la violation de l’article 3(1) et (2) (B) Article 2(3)(a) et (b) de la loi no 506/2004, tel que modifié et complété.
A ce titre, l’opérateur TELEKOM ROMANIA MOBILE COMMUNICATIONS S.A. a été sanctionné de manière non nationale:
- Amende de LEI 48.748,00 (équivalent à EUR 10.000), pour violation de l’article 32(1) et (2) du règlement général sur la protection des données;
- avec une amende de lei 15.000, Pour la Commission de l’infraction prévue à l’article 13 (1) (a) de la loi no 506/2004
L’enquête menée a permis de constater que l’exploitant n’a pas mis en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié au risque de traitement, ce qui a conduit à la divulgation non autorisée et/ou à l’accès aux données personnelles, tels que : ID client, code client, prénom et nom, CNP, date de naissance, sexe, numéro de téléphone, e-mail, adresse (pays, ville, rue), valeur des dettes associées au code client de 99.210 personnes concernées/clients. Ainsi, leurs adresses de facturation ont été saisies par erreur dans la base de données avec des clients individuels, envoyés à une contrepartie dans le cadre d’un contrat de vente de créances, ce qui a entraîné l’envoi de la notification aux clients aux mauvaises adresses.
Il a également été constaté que le responsable du traitement n’a pas pris de mesures techniques et organisationnelles adéquates pour assurer la sécurité du traitement des données à caractère personnel susceptibles de protéger les données à caractère personnel stockées ou transmises contre le stockage illégal, traitement, accès ou divulgation, ce qui a conduit à un accès non autorisé aux données personnelles sur les comptes Myaccount (nom du titulaire du compte ; date de naissance ; numéros de téléphone utilisés ; adresse de domicile ; adresse e-mail ; code d’abonné ; services contractuels ; extra-options actives sur compte ; historique de factures simples) de 413 personnes ciblées / clients Telekom Roumanie. Nous soulignons que le responsable du traitement était tenu de veiller à ce que les données personnelles ne puissent être consultées que par des personnes autorisées aux fins prévues par la loi, en violation de l’article 3(1) et (3)(a) et (b). De la loi no 506/2004 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques, modifiée et complétée.
Les dispositions de l’article 3 (1) et (3) (a) et (b) de la loi no 506/2004, telles que modifiées et complétées, prévoient ce qui suit:
« (1) le fournisseur d’un service de communications électroniques accessible au public est tenu de prendre les mesures techniques et organisationnelles appropriées pour assurer la sécurité du traitement des données à caractère personnel. Si nécessaire, le fournisseur du service de communications électroniques accessible au public prend ces mesures en collaboration avec le fournisseur du réseau public de communications électroniques. »;
«(3) sans préjudice des dispositions de la loi no 677/2001, telle que modifiée et complétée par la suite, les mesures adoptées en vertu du paragraphe 1 remplissent au moins les conditions suivantes:
a) veiller à ce que les données personnelles ne puissent être consultées que par des personnes autorisées à des fins autorisées par la loi;
b) protéger les données personnelles stockées ou transmises contre la destruction accidentelle ou illicite ou la perte ou le dommage accidentel et contre le stockage, le traitement, l’accès ou la divulgation illégaux. »
L’exploitant a également pris des mesures correctives, notamment:
- examiner et mettre à jour les mesures techniques et organisationnelles mises en œuvre à la suite de l’évaluation du risque pour les droits et libertés des individus, y compris les procédures relatives aux communications électroniques;
- Mise en œuvre d’un processus pour les tests périodiques, l’évaluation et l’évaluation de l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement tel que spécifié dans le RGPD.
Dans ce contexte, il est rappelé que l’article V(2) de la loi no 129/2018 dispose que « toutes les références à la loi no 677/2001, telle que modifiée et complétée ultérieurement, dans les actes normatifs sont considérées comme des références au règlement général sur la protection des données et à la législation le mettant en œuvre ».