Depuis 2006, le 28 janvier s'entend comme étant la Journée de la protection des données personnelles. Initiée par le Conseil de l'Europe, cette journée est désormais soulignée internationalement. Elle vise à sensibiliser non seulement les citoyens, mais aussi les organismes publics et les entreprises à la protection des données personnelles, soit tout renseignement relatif à une personne physique et qui permet de l'identifier (directement ou indirectement).
27 janvier 2013
Royaume-Uni: sanction pécuniaire contre Sony (PlayStation)
Le 14 janvier dernier, l'Information Commissioner's Office (ICO) du Royaume-Uni a prononcé une sanction pécuniaire d'un montant de 250000 £ (+/- 397000 $can ou 294000 euros) contre l'entreprise Sony suite à un incident de sécurité survenu en avril 2011 (billet).
Il est rappelé que l'environnement de la PlayStation a fait l'objet de plusieurs attaques conduisant au vol de nombreux renseignements personnels:
Il est rappelé que l'environnement de la PlayStation a fait l'objet de plusieurs attaques conduisant au vol de nombreux renseignements personnels:
"5. ---, the Network Platform was inflitrated following several Distributed Denial of Service (DDoS) attacks on various online networks of the Sony group. The attacker accessed personal data stored on the Network Platform which included customers' names; addresses; email addresses; dates of birth and account passwords. [...]
8. In addition, it is estimated that -- million of the customers had registered payment card details to their account although there is no evidence that the encrypted payment card details were accessed."
(Source: Décision du 14-01-2013, p. 3)
Et, l'ICO précise qu'au moment des attaques Sony n'offrait pas un niveau de sécurité suffisant et, allait ainsi à l'encontre des exigences du Data Protection Act 1998, plus particulièrement du principe 7 qui se lit comme suit:
Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data.
Dès lors, l'ICO est d'avis que Sony n'a pas rempli ses obligations en matière de protection des renseignements personnels ce qui est susceptible de causer un préjudice pour les personnes dont les renseignements personnels ont été touchés par les attaques:
"- The Commissioner is satisfied that there has been a serious contravention of section 4(4) of the Act [i.e. "it shall be the duty of a data controller to comply with the data protection principles in relation to all personal data with respect to which he is the data controller"]In particular, the data controller failed to ensure that appropriate technical measures were taken against unauthorised or unlawful processing of personal data stored on the Network Platform such as additional cryptographic controls to protect passwords; --- prior to the hacking attack and addressing the system vulnerabilities at the relevant time.The contravention is serious because the measures taken by the data controller did not ensure a level of security appropriate to the harm that might result from such unauthorised or unlawful processing and the nature of the data to be protected.- The Commissioner is satisfied that the contravention is of a kind likely to cause substantial damage or substantial distress. The data controller's failure to ensure that appropriate technical measures were taken was likely to cause substantial damage or substantial distress to data subjects whose personal data has been or may been accessed by third parties and could be further disclosed. [...]"- The Commissionner is satified that section 55A(3) of the Act applies in that the data controller knew or ought to have known that there was a risk that the contravention would occur, and that such a contravention would be of a kind likely to cause substantial damage or substantial distress, but failed to take reasonable steps to prevent the contravention. [...]"(Source: Décision du 14-01-2013, p. 5)
Dans ces circonstances, l'ICO considère que l'atteinte est suffisamment grave pour prononcer une sanction pécuniaire à l'encontre de Sony.
"The Commissioner considers that the contravention of section 4(4) of the Act is very serious and that the imposition of a monetary penalty is appropriate. Further that a monetary penalty is the sum of £250,000 (two hundred and fifty thousand pounds) is reasonable and proportionate given the particular facts of the case and the underlying objective in imposing the penalty"(Source: Décision du 14-01-2013, p. 8)
Il est à noter que l'ICO a le pouvoir de prononcer des sanctions pécuniaires en vertu de l'article 55A du Data Protection Act 1998 qui se lit comme suit:
55A - Power of Commissioner to impose monetary penalty(1) The Commissioner may serve a data controller with a monetary penalty notice if the Commissioner is satisfied that:
(a) there has been a serious contravention of section 4(4) by the data controller,
(b) the contravention was of a kind likely to cause substantial damage or substantial distress, and
(c) subsection (2) or (3) applies.
(2) This subsection applies if the contravention was deliberate.
(3) This subsection applies if the data controller:
(a) knew or ought to have known:
(i) that there was a risk that the contravention would occur, and
(ii) that such a contravention would be of a kind likely to cause substantial damage or substantial distress, but
(b) failed to take reasonable steps to prevent the contravention. [...](Source: Data Protection Act 1998, art. 55A)
En terminant, précisons que Sony a jusqu'au 14 février 2013 pour s'acquitter de cette somme, étant entendu que
"The monetary penalty is not kept by the Commissioner but will be paid into the Consolidated Fund which is the Government's general bank account at the Bank of England."(Source: Décision du 14-01-2013, p. 9)
et que Sony a jusqu'au 13 février 2013, 17 heures, pour faire appel de cette décision.
À suivre donc.
Pour aller plus loin:
- INFORMATION COMMISSIONER'S OFFICE OF THE UNITED KINGDOM
- Monetary Penalty Notice (Sony Computer Entertainment Europe Limited), January 14, 2013.
- "Sony fined £250,000 after millions of UK gamers’ details compromised", News Release, January 24, 2013.
23 janvier 2013
CNIL: sanction pécuniaire contre la surveillance de salariés
Le 3 janvier dernier, la Commission nationale de l'informatique et des libertés (CNIL) a prononcé une sanction pécuniaire d'un euro contre un syndicat de copropriétaires qui utilise un système continu de vidéosurveillance de ses employés (agents de sécurité) et, a enjoint le responsable du traitement à mettre fin à ce type de traitement.
Cette décision fait suite à une plainte des employés relative à "l'installation d'un dispositif de vidéosurveillance dans le local du poste de sécurité de l'immeuble qui porterait atteinte à la vie privée des personnes présentes dans le local en réalisant une mise sous surveillance permanente des personnes". (Source: CNIL - Délibération n°2012-475)
Et, avant de rendre sa décision, la CNIL a mis en demeure le responsable du traitement de supprimer le dispositif en litige, ce qu'il n'a pas fait. Dès lors, la CNIL a effectué une mission de vérification auprès du syndicat de copropriétaires conformément à l'article 46 de la Loi Informatique et Libertés.
Dans sa décision, la CNIL indique que "le dispositif de vidéosurveillance critiqué devait être considéré comme disproportionné en ce que le traitement plaçait sous surveillance permanente les agents de sécurités présents dans le poste de sécurité du bâtiment géré par le Syndicat". Et, elle précise qu'"il importe peu que les salariés ne se soient pas plaints précédemment de l'installation de la caméra et que les nouveaux agents de sécurité en acceptent le principe dès lors que le caratère continu de la surveillance résultant du traitement litigieux n'est pas justifiée par un impératif de sécurité des personnes et des biens mais résulte de la volonté de contrôler l'activité des salariés". (Source: CNIL - Délibération n°2012-475)
Pour plus de détails:
- COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "La CNIL sanctionne la surveillance permanente de salariés", Actualité, 23 janvier 2013.
17 janvier 2013
Canada: perte d'un disque dur au RHDCC - recours collectifs
[Publié le 17-01-2013 - Ajout le 20-01-2013]
Dans la continuité du précédent billet, deux recours collectifs (Bob Buckingham Law et Merchant Law Group) ont été déposé au nom des personnes visées par la perte d'un disque dur par le ministère de Ressources humaines et Développement des compétences (RHDCC).
Dans la continuité du précédent billet, deux recours collectifs (Bob Buckingham Law et Merchant Law Group) ont été déposé au nom des personnes visées par la perte d'un disque dur par le ministère de Ressources humaines et Développement des compétences (RHDCC).
À suivre donc.
Pour aller plus loin:
- Communiqué de presse et recours collectif sur le site de Me Buckingham.
- Recours collectif sur le site du cabinet Merchant Law Group.
- "Vie privée: Ottawa visé par un recours collectif", La Presse canadienne via La Presse, 17 janvier 2013.
- "Government faces class-action lawsuits over student loan borrowers’ lost data", The Canadian Press via The Globe and Mail, January 17, 2013.
- "Canada-wide Class Action Litigation Launched regarding Missing Student Loan Information of 583,000 Canadians", CNW, 17 janvier 2013.
- [Ajout du 20-01-2013] "Renseignements personnels : un recours collectif suscite beaucoup d'intérêt", Radio-Canada, 18 janvier 2013.
14 janvier 2013
Canada: perte d'une clé USB et d'un disque dur au RHDCC - enquête du CPVPC
[Publié le 14-01-2013 - Ajout le 20-01-2013]
Après avoir perdu une clé USB contenant le numéro d'assurance sociale et les dossiers médicaux de près de 5000 canadiens (La Presse), la ministre de Ressources humaines et Développement des compétences (RHDCC) annonce que son ministère a également égaré un disque dur externe sur lequel étaient enregistrés des renseignements personnels au sujet de 583 000 personnes ayant contracté un prêt d’études canadien entre 2000-2006 (Le Devoir).
Après avoir perdu une clé USB contenant le numéro d'assurance sociale et les dossiers médicaux de près de 5000 canadiens (La Presse), la ministre de Ressources humaines et Développement des compétences (RHDCC) annonce que son ministère a également égaré un disque dur externe sur lequel étaient enregistrés des renseignements personnels au sujet de 583 000 personnes ayant contracté un prêt d’études canadien entre 2000-2006 (Le Devoir).
Dans le communiqué émis par le ministère, on peut lire notamment que:
"- Un disque dur qui comportait des renseignements personnels de 583 000 bénéficiaires de prêts d’études canadiens datant de 2000 à 2006 a disparu des bureaux de RHDCC, à Gatineau (Québec). Les recherches sont toujours en cours.Le RHDCC a avisé le Commissariat à la protection de la vie privée du Canada (CPVPC) de ces incidents et, ce dernier a ouvert une enquête afin de déterminer s'il y a eu atteinte à la Loi sur la protection des renseignements personnels.
- Le fichier comportait des renseignements comme le nom, la date de naissance, le numéro d’assurance sociale et l’adresse d’étudiants de partout au pays (sauf du Québec, du Nunavut et des Territoires du Nord-Ouest, car ceux-ci gèrent leurs propres programmes de prêts d’études) ainsi que des renseignements connexes sur leurs prêts d’études canadiens.
- Les renseignements personnels de 250 employés de RHDCC se trouvaient également sur le disque dur.
- Aucun renseignement bancaire ou médical ne figurait sur le disque dur.
- Les renseignements ont été enregistrés sur un disque dur externe pour en faire une copie de sauvegarde."
(Source: Gouvernement du Canada, 11 janvier 2013)
[Ajout du 20-01-2013] Dans le cadre de cette enquête, le CPVPC a publié un document d'information visant à "aider les personnes qui sont préoccupées par cet incident ou qui souhaitent [lui] poser des questions". (Source: Document d'information du CPVPC)
À suivre donc.
Pour plus de détails,
- GOUVERNEMENT DU CANADA, "La protection des renseignements personnels à RHDCC", Centre des nouvelles, 11 janvier 2013.
- COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA:
- "La commissaire à la protection de la vie privée entame une enquête concernant l’atteinte à la protection des renseignements personnels de bénéficiaires de prêts étudiants survenue à Ressources humaines et Développement des compétences Canada", Annonce, 11 janvier 2013.
- [Ajout du 20-01-2013] "Information à l'intention des particuliers concernant la perte du disque dur de RHDCC", Document d'information, 18 janvier 2013.
- "Des renseignements personnels égarés par le gouvernement fédéral", La Presse Canadienne via La Presse, 28 décembre 2012.
- "Ottawa égare d’autres informations personnelles", La Presse Canadienne via Le Devoir, 12 janvier 2013.
- "Federal government loses hard drive with information on more than half a million people", The Gazette, January 11, 2013.
- "Federal agency loses personal data on more than 500,000 student loan borrowers", The Globe and Mail, January 12, 2013.
- "We’ve lost personal information for more than half a million borrowers: Canada Student Loans", The National Post, January 11, 2013.
Inscription à :
Articles (Atom)