Actu des DPO & Data Privacy #28: numéro du 14 au 18 octobre 2024

Savez-vous bien faire la différence entre un Excel dans lequel des données personnelles sont masquées et un Excel dans lequel des données sont supprimées ? Que feriez-vous face à un administré qui vous harcèle de demandes d'accès, si vous saviez qui était son employeur ? Le Data Privacy Framework (DPF) peut-il encore survivre longtemps ? Voici quelques unes des questions que nous allons aborder aujourd'hui dans votre traditionnelle newsletter du vendredi consacrée à la protection des données, dans laquelle je partage avec vous la veille que je réalise au quotidien pour Olympe.legal .

Bonne lecture, et à la semaine prochaine !

Faites attention à vos fichiers Excel mal anonymisés

Masquer des données dans un fichier Excel, ce n'est pas la même chose que les supprimer. Et ne pas faire cette différence peut avoir des conséquences directes en terme de protection des données. Elles sont parfois graves, comme lorsque la police d'Irlande du Nord a par erreur rendu publique les identités et affectations de tous ses agents, y compris infiltrés, obligeant certains à quitter la profession. Ou parfois plus anodines, comme lorsqu'une petite association sportive de Pologne a publié des données de tous les participants à une compétition, lui valant une sanction symbolique par l'UODO. Cette semaine, c'est la municipalité de Southend-on-Sea (180 000 habitants) qui a fait les frais de sa bourde. L'ICO a en effet publié une décision de réprimande après que la commune britannique, en réponse à une demande de droit d'accès au documents administratifs publiée sur le site institutionnel What Do They Know, a rendu publiques des données qu'elle croyait retirées de son fichier Excel, contenant la liste nominative de ses agents et contractuels, ainsi que des informations sur la santé, le genre et l'ethnicité. En réalité, et comme toujours dans ces affaires, les données étaient uniquement masquées.

Dans sa décision, l'ICO relève que le personnel en charge de répondre aux demandes "Freedom of Information" (équivalent de notre CADA) n'a pas été formé à utiliser la fonctionnalité "Inspecter le document". Selon la documentation officielle de Microsoft, "l’Inspecteur de document offre aux utilisateurs un moyen simple de rechercher des informations personnelles ou sensibles, des expressions et d’autres contenus dans leurs documents. Par exemple, avant de distribuer un document, ils peuvent utiliser l’inspecteur de document pour supprimer les informations indésirables". La fonctionnalité existe sous Excel, mais aussi Word, Powerpoint, ou Visio. Faites passer le mot !

Chercher à se débarrasser d'un harceleur ne justifie pas de violer le RGPD

Imaginez que vous travailliez dans une très petite structure administrative, fondamentale au bon fonctionnement du système de santé, et qu'un individu énervé vous bombarde de demandes d'accès à des documents administratifs, auxquelles la loi vous intime de répondre au détriment de votre travail le plus utile et le plus nécessaire. Que feriez-vous ? En Italie, c'est ce qu'il s'est passé pour l'Ordre Professionnel des Infirmiers (OPI) de plusieurs villes, dont celui d'Udinese, visiblement harcelée de demandes d'accès adressées par une infirmière (dont on croit comprendre qu'elle a été interdite d'exercer en raison de son refus de se faire vacciner contre le Covid-19), et par son charmant époux.

Excédé, l'OPI s'est renseigné sur le mari en faisant une recherche Google et a découvert qu'il s'agissait d'un militaire. Ni une ni deux, l'Ordre a partagé cette information avec ses homologues qui partageaient le même agacement, et tous ont convenu qu'il fallait en parler au commandement militaire, qui allait tirer les oreilles de cet énervant soldat. Après tout, la solidarité entre organes de l'Etat devait pouvoir jouer.

Mais cette initiative, évidemment, n'a plu ni à l'intéressé... ni au Garante per la protezione dei dati personali qui a sanctionné l'OPI d'Udinese d'une amende de 8 000 euros, et celui de Trieste d'une amende de 4000 euros. Dans sa décision contre l'OPI d'Udinese (le principal à la manoeuvre), le Garante Privacy relève plusieurs traitements illicites :

• la recherche sur le Web d'éléments relatifs à la vie privée et professionnelle du demandeur, qui "ne peut pas être considérée comme nécessaire aux fins des procédures administratives relatives aux demandes d'accès civique et aux notifications soumises par le plaignant à l'Ordre, indépendamment du fait que ces informations étaient disponibles sur Internet à la suite de leur publication par la personne concernée elle-même ou par des tiers à d'autres fins non liées aux fonctions institutionnelles de l'Ordre" (violation des articles 5.1.a et 6(2) du RGPD) ;
• la communication de données entre les différents OPI concernés, qui s'est faite sans base légale et en l'absence de tout accord relatif au traitement des données, alors qu'ils ont agi en qualité de responsable conjoints des traitements (violation des articles 5.1.a, 6(2), et 26 du RGPD) ;
• la communication des données au Commandant de la légion, qui "ne peut être considérée comme nécessaire pour remplir des obligations légales ou pour exécuter une mission d'intérêt public ou liée à l'exercice de prérogatives de puissance publique", et ne pouvant pas non plus - conformément au considérant 47 du RGPD - se fonder sur l'intérêt légitime de l'OPI, s'agissant d'un organisme public. (violation des articles 5.1.a et 6(2) du RGPD) ;
• l'absence d'informations relatives au traitement des données des demandes d'accès aux documents administratifs, la Politique de Confidentialité publiée sur le site de l'OPI de l'Udinese ne donnant pas d'informations sur ce point (violation des articles 5.1.a, 13 et 14 du RGPD) ;
• l'absence de réponse à une demande d'accès aux données personnelles soumise par le plaignant. L'OPI, bien que sollicité à plusieurs reprises, n'a pas fourni le moindre élément dans le délai légal d'un mois, et n'a donné suite qu'après l'intervention du Garante Privacy (violation des articles 12 et 15 du RGPD).

L'histoire ne dit pas si les demandes ont cessé mais le Garante note que le fait d'aller ainsi dénoncer les agissements d'un subordonné à son employeur en transmettant des données personnelles, alors que ça n'a rien à voir avec son travail, peut avoir des répercussions importantes dans la carrière de l'individu et que la fin ne saurait justifier les moyens. L'OPI aurait dû utiliser d'autres voies légales pour mettre fin aux agissements du couple.

Détruire les données c'est bien, documenter leur destruction c'est mieux

En Grèce, l'Autorité de protection des données (APD) a publié cette semaine une décision au sujet d'une plainte déposée (c'est la thématique de la semaine) par un ancien militaire contre la Direction des Sous-marins de l'état-major de la Marine. Le plaignant alléguait une violation de son droit d'accès à ses dossiers personnels, en particulier ses rapports d'évaluation spécifiques qui, selon lui, étaient conservés par l'administration militaire. Mais après plusieurs tentatives infructueuses pour obtenir ces informations, il a été informé que lesdits documents avaient été détruits.

Là où l'affaire devient plus intéressante, c'est que l'armée a affirmé que les dossiers du plaignant avaient été détruits deux ans après sa retraite, conformément à ses procédures internes. Mais le ministère n’a pas fourni les preuves documentaires prouvant la destruction des documents et la date de leur destruction, or vu les délais très excessifs - largement au dessus des 30 jours réglementaires - de traitement de la demande d'accès, l'APD a quelques doutes sur le fait que les documents étaient réellement détruits au moment de la réception de la demande.

Selon l'APD, le ministère de la Défense nationale, en tant que responsable du traitement, avait l'obligation de justifier pleinement la destruction des documents et de coopérer avec l'APD conformément à l'article 31 du RGPD. Elle aurait dû, non pas seulement se contenter de détruire les documents, mais consigner cette destruction dans un registre faisant apparaître notamment la date de la destruction et la méthode utilisée.

L'APD a ainsi conclu que le ministère avait enfreint les articles 12, 15 et 31 du RGPD, et en conséquence, a imposé deux amendes : une première de 2 000 euros pour la violation du droit d'accès, et une seconde de 3 000 euros pour non-coopération avec l'autorité. Soit un total de 5000 euros d'amende.

Data Privacy Framework (DPF) : prêts pour Schrems III ?

J'aurais pu vous en parler la semaine dernière, mais la newsletter était déjà suffisamment longue. Tout de même, on ne pouvait pas faire totalement l'impasse. Le 9 octobre dernier, la Commission européenne a rendu son premier rapport de revue périodique du Data Privacy Framework (DPF), par lequel il est de nouveau possible d'exporter des données d'Européens vers les Etats-Unis. Sans grande surprise tant le dossier est politiquement très sensible, la Commission conclut que tout va bien et donne rendez-vous à dans trois ans pour la prochaine revue. Mais il est n'est pas impossible que le DPF ne survive pas d'ici là et connaisse le même sort que ses prédécesseurs Safe Harbor et Privacy Shield, qu'il tombe par une nouvelle action de Max Schrems ou de notre député national Philippe Latombe , qui a déposé une demande d'annulation.

Il est remarquable en effet que la Commission estime que les critères ayant abouti l'an dernier à sa validation du DPF en tant qu'instrument d'adéquation sont toujours réunis, alors même qu'en page 13 de la revue, il est explicitement reconnu que les Américains ont réalisé depuis une modification substantielle de leurs lois sur le renseignement, en adoptant le Reforming Intelligence and Securing America Act (RISAA) du 19 avril 2024, qui élargit les définitions des acteurs susceptibles de faire l'objet de demandes secrètes d'accès au contenu des communications par les services de renseignement, sans qu'il soit permis aux Européens de savoir précisément qui est concerné. "En conséquence, les entreprises concernées sont nommées dans une annexe classifiée pour le Congrès", relève la Commission. "A la lumière de telles inquiétudes, un prochain amendement a été proposé (...) pour l'année 2025". Mais rien ne dit qu'il sera adopté, ce qui n'a pas empêché la Commission de mettre la clause de revoyure à 2027.

Une précieuse boîte à outils pour l'audit interne de la gouvernance des données

Je termine enfin cette newsletter avec quelques lignes à destination surtout des DPO et autres auditeurs parmi vous qui travaillez dans de grands groupes. Sachez que l'ICO a publié récemment une boîte à outils très bien faite pour aider les grandes entreprises et les administrations publiques à évaluer leur conformité au RGPD et autres réglementations de protection des données. Elle se compose de 9 catégories distinctes, et vous y trouverez notamment des feuilles Excel de suivi de la conformité qui peuvent servir de guide pour la conduite des audits internes et de l'amélioration continue. Un bon complément à vos probables outils déjà existants, qui permet de s'assurer de ne rien oublier d'important.

Et aussi sur Olympe.legal : (accès sur abonnement)

• (UK) Un cabinet d'avocats britannique réprimandé après une fuite de données
• (Belgique) Le service de transport public belge De Lijn mis en demeure pour traitement excessif de données
• (France) L'Arcom publie son référentiel sur la vérification de l'âge de l'utilisateur
• (UE) Le CEPD appelle à des participants pour une réunion publique sur les modèles d'IA
• (Espagne) La gendarmerie de Tolède sanctionnée pour un fichier d'infractions non conforme
• (UK) L'ICO prononce deux amendes pour des spams par SMS
• (Espagne) Le dépôt d'un colis dans un point relais n'est pas contraire au RGPD s'il est correctement encadré
• (UE) Le CEPD publie ses lignes directrices sur la portée de l'article 5(3) de la directive ePrivacy
• (Roumanie) 3000 euros d'amende pour un éditeur de logiciel SaaS après une faille de sécurité