- Forte augmentation des plaintes et des violations de données signalées en 2019, alors que le volume des consultations a diminué ; BayLDA se concentre davantage sur la cybersécurité et le suivi en ligne.
- De nombreuses entreprises ne respectent pas les exigences en matière de responsabilité et de sécurité ; les outils de suivi et le profilage à grande échelle nécessitent généralement le consentement de l’utilisateur.
L’Office bavarois de surveillance de la protection des données (BayLDA) a Rapport d’activité pour l’année 2019 Vous trouverez ci-dessous des indications sur certains des points qui y sont abordés (sélection) :
Plaintes et consultations
Tout d’abord, 2019 a été une nouvelle forte augmentation des plaintes et des “demandes de contrôle” (rapports sur des violations de la protection des données par des personnes non concernées), qui sont reçues plus rapidement qu’elles ne peuvent être traitées :
En revanche, le Volume de consultations après un pic en 2018 a fortement baissé, peut-être en raison des ressources disponibles en ligne :
Ce qui a aussi fortement augmenté, ce sont les Violations de la protection des données:
Dotation en personnel en comparaison avec le PFPDT
L’évolution du personnel du BaylDA est également intéressante :
- Jusqu’au 31.12.2016 : 16 postes
- Jusqu’au 31 décembre 2017 : 20 postes
- Jusqu’au 31 décembre 2018 : 24 postes
- Jusqu’au 31.12.2019 : 33 postes
En comparaison, les Développement du personnel au PFPDT conformément à son dernier rapport d’activités, dans la mesure où il s’agit du domaine de la LPD (à l’exclusion de la LTrans) :
- 2005 : 22 postes
- 2010 : 23 postes
- 2018 : 24 postes
- 2019: 24 postes
Le PFPDT compte donc actuellement environ 27% de postes en moins dans le domaine de la protection des données (hors LTrans) que la BayLDA. Toutefois, la Bavière compte près de deux fois plus d’habitants que la Suisse. En même temps, contrairement au PFPDT, la BayLDA s’occupe exclusivement de la protection des données dans le secteur privé (les organismes publics relèvent d’une autre autorité, le délégué régional à la protection des données).
On peut également supposer que l’activité du PFPDT au sein de la protection des données (à l’exclusion de la LTrans) a peut-être donné lieu à des 35% le domaine privé concerne.[mfn]Sur la base du rapport d’activités 2019. Dans le domaine du conseil, environ la moitié des dépenses concerne le domaine privé, mais certains domaines d’activité LPD ne concernent que le domaine public, par exemple la participation à la législation ou la collaboration avec les cantons. Toutefois, le rapport d’activités ne répartit pas l’ensemble des activités entre le domaine privé et le domaine public, et certains chiffres semblent contradictoires.[/mfn] Selon ce rapport, le PFPDT dispose de pour le secteur privé, dispose d’un personnel à peu près équivalent à celui du BayLDA pour des domaines d’activité comparables, mais avec probablement beaucoup moins de tâches, étant donné que le PFPDT n’a aujourd’hui aucune compétence de décision et qu’il a également peu de notifications de violations de la protection des données à gérer dans le domaine privé. Cela explique peut-être pourquoi, malgré le manque de ressources, le PFPDT prend le temps de s’occuper, dans le domaine privé, de tâches qui ne relèvent pas de sa compétence, mais qui sont confiées – non pas pour des raisons dogmatiques, mais pour des raisons de politique juridique – à l’Office fédéral de la justice. la protection des consommateurs à proximité sont à prendre en compte. Il s’agit notamment de l’exigence de transparence dans les cas où il s’agit de données anonymes, ainsi que de la demande (non fondée juridiquement) selon laquelle le consentement est nécessaire pour le traitement de données personnelles sensibles et de profils de la personnalité. Il serait en tout cas également intéressant de publier les tâches moyennes par collaborateur ou par poste, comme le fait le BayLDA.
La demande du PFPDT de disposer de plus de ressources n’est toutefois pas injustifiée (l’application de la LPD aide en tout cas davantage la protection des données que le simple renforcement de la loi), mais elle serait mieux comprise si le PFPDT mettait davantage l’accent, dans son activité, sur la délimitation de ses activités le long du champ d’application de la LPD et s’il agissait en fonction des risques tout autant, comme l’exigent les responsables du traitement des données – et en mettant moins l’accent sur la protection ressentie des données et sur la protection des consommateurs, sur la panacée de la sensibilisation et sur la réaction aux rapports des médias et de certains activistes aux préoccupations politiques. La couverture médiatique et l’intérêt public ne sont pas la même chose, et plus la réaction aux rapports des médias est forte, plus il existe un certain risque d’instrumentalisation et donc une menace pour l’indépendance.
Contrôles et essais
- Dans ce domaine, la BayLDA s’est entre autres concentrée sur Cybersécurité et suivi en ligne parce que ces sujets ont fait l’objet de plaintes plus fréquentes (c’est-à-dire que ce qui est visible de l’extérieur est, sans surprise, plus susceptible de faire l’objet de plaintes). A ce sujet, la BayLDA déclare
Bien que nous n’ayons examiné que des sites web de grandes entreprises, dont certaines sont cotées en bourse, en ce qui concerne des problèmes connus depuis longtemps, nous avons constaté qu’il n’y avait pas d’autres solutions. Exigences de sécurité nous avons constaté que nombreuses lacunes étaient disponibles. Les mesures de sécurité prises ont souvent dû être considérées comme insuffisantes. […] Même dans le domaine Suivi le résultat de notre examen désolant a été effectué : Aucun des sites web examinés ne répondait à l’exigence d’un consentement autorisé selon le RGPD, bien que les sites web aient intégré des outils de suivi de fournisseurs tiers et aient ainsi provoqué un traitement des données par des services tiers.
De plus amples informations sur ces résultats d’examen sont disponibles ici.
- Dans le domaine de la Responsabilité (“Accountability” ; article 5, paragraphe 2 du RGPD ; sans équivalent dans la loi E‑DSG), constate le BayLDA :
Malgré ces publications et les nombreuses publications des autorités de contrôle dans leur ensemble, de nombreux responsables étaient dépassés en termes de responsabilité. Certaines entreprises pensaient qu’il suffisait d’imprimer la politique de confidentialité du site web à l’intention de l’autorité de contrôle ou de déclarer que “la publicité est un intérêt légitime et
c’est pourquoi on a le droit de le faire”.Vers les les justificatifs nécessaires appartenaient plutôt :
- registre des activités de traitement (article 30 du RGPD),
- Analyse d’impact relative à la protection des données (article 35 du RGPD),
- des règles de conduite approuvées (article 40 du RGPD),
- Certification (article 42 du RGPD),
- les notifications de violations de données (art. 33 RGPD) ainsi que
- Contrats de traitement des commandes (article 28, paragraphe 3 du RGPD)
En outre, l’obligation de rendre des comptes pourrait par toute autre documentation relative à la protection des données se faire, par exemple, de cette manière :
-
- Gestion des contrats
- Concepts visant à garantir les droits des personnes concernées
- Processus de l’organisation de la protection des données
- Mise en place d’une politique de protection des données
- Audits internes ou externes
- Formation du personnel
- Avis juridique
- Certifications selon les normes DIN et ISO
- Autres enregistrements tels que rapports, notes ou procès-verbaux
Le site Catalogue de contrôle de la BayLDA sur l’obligation de rendre compte et donc une bonne liste de contrôle pour la mise en œuvre du RGPD se trouve ici : Lien.
Droits des personnes concernées
“Les “no-go” du droit d’accès
En ce qui concerne le droit d’accès, la BayLDA retient tout d’abord les “no-go” suivants des responsables, mais aussi des demandeurs :
- Responsable:
- Ignorer les demandes de renseignements en cas de doute sur l’identité ;
- Renseignements sur les données de base exclusivement, en tant que données à caractère personnel ;
- Invoquer des dépenses disproportionnées sans exposer les circonstances ;
- personne concernée:
- Dépôt de la plainte par la personne concernée avant l’expiration du délai de traitement ;
- Ne pas tenir compte de l’objectif du droit à l’information – ici, le BayLDA retient expressément “Le droit à l’information vise à les objectifs de protection des données uniquement être poursuivi. Ce droit doit pas pour recueillir des preuves servir à d’autres conflits existants”. En Suisse, ce point n’est pas encore tout à fait clair, malgré l’arrêt CS du Tribunal fédéral. Il ne serait pas surprenant que les tribunaux soient appelés à clarifier davantage ce point à l’avenir ;
- Faire valoir son droit à l’information auprès de l’avocat de la partie adverse ;
- Plainte sans preuve probante.
Information échelonnée en cas de demande d’information forfaitaire
En se référant à l’obligation d’information des entreprises d’assurance, mais de manière générale pour les responsables d’activités de traitement de grande envergure (et également correcte pour la Suisse), le BayLDA constate que l’obligation d’information des entreprises d’assurance ne se limite certes pas aux données de base du preneur d’assurance, mais qu’il est admissible, dans le cas de demandes d’information globales, d’inclure dans les données de base du preneur d’assurance des données relatives à la santé. dans un premier temps, de ne fournir des informations que sur les données de base. Une information plus approfondie ne doit être fournie que si la demande d’information est précisée en conséquence par le preneur d’assurance.
Protection des données sur Internet
Pages fan Facebook
La BayLDA vous dit lapidairement
Les exploitants de pages fan Facebook ont, en l’état actuel des choses pas de possibilité de les exploiter conformément à la protection des données et doivent donc s’attendre à être destinataires d’injonctions des autorités de contrôle.
Sans une connaissance suffisante des activités de traitement, l’exploitant de la page fan ne peut pas évaluer si celles-ci sont effectuées de manière légale.
Tant que Facebook n’apportera pas d’améliorations, il ne sera pas possible d’exploiter une page fan conformément à la protection des données, malgré le “Addendums de contrôleurs de page“L’accord de Facebook (l’accord au sens de l’article 26 du RGPD – pour plus d’informations, cf. ici).
Outils de suivi
Comme nous l’avons déjà mentionné, la BayLDA a accordé une grande importance à l’utilisation d’outils de suivi sur Internet lors des contrôles. Ici, la “Orientation des autorités de surveillance pour les fournisseurs de télémédias” (mise à jour : mars 2019). En ce qui concerne Google Analytics, l’avis de la BayLDA est le suivant :
Par exemple, ce que l’on appelle le “partage de données” avec Google est activé par défaut. Compte tenu du “Guide d’orientation pour les fournisseurs de télémédias”, cela signifie ce qui suit : Si l’exploitant du site web accorde à Google la possibilité d’utiliser les données des visiteurs du site web, il est tenu de le faire. à des fins personnelles d’utiliser, cela nécessite une Consentement des utilisateurs.
Publicité et commerce d’adresses
En 2019, l’attention de la BayLDA a été attirée à plusieurs reprises sur des banques qui traitent les données des clients également pour créer des profils publicitaires étendus, notamment sur la base de données issues d’entretiens de conseil et de données d’utilisation des services bancaires en ligne et des applications bancaires, de données issues de contrats en cours et de données relatives aux opérations de paiement. Ce traitement était à chaque fois fondé sur une mise en balance des intérêts conformément à l’article 6, paragraphe 1, point f), du RGPD.
Toutefois, en règle générale, il ne faut pas partir du principe que, dans le cas d’un profilage aussi complet, les intérêts publicitaires de l’établissement de crédit l’emportent sur les intérêts légitimes des clients à l’exclusion du traitement. Par conséquent, nous estimons que un tel traitement n’est effectué qu’en liaison avec le consentement du client doit être réalisée conformément à la loi.
Cela est particulièrement vrai
en ce qui concerne l’exploitation parfois pratiquée des données relatives aux opérations de paiement, puisque, par exemple, les données relatives à l’utilisation des virements et des prélèvements automatiques souvent aussi des catégories particulières de données à caractère personnel (par exemple, en cas de paiement de cotisations à des partis politiques ou à des syndicats ou de règlement de factures médicales). Pour ce type de données particulièrement protégées, l’article 9 du RGPD interdit généralement qu’elles soient traitées sur la base d’une mise en balance des intérêts au sens de l’article 6, paragraphe 1, point f), du RGPD.
On aurait toutefois pu se demander s’il y a effectivement traitement de catégories particulières de données lorsque des données brutes permettant d’obtenir des informations protégées sont utilisées, mais que ces données brutes ne sont pas utilisées dans ce but (par exemple, lorsqu’aucune catégorie de clients “politiquement libéraux” ou “malades” n’est créée). L’article 9, paragraphe 1, du RGPD n’exclut pas nécessairement ce point de vue, c’est pourquoi il est reconnu, par exemple, que les photos de collaborateurs ne doivent pas être considérées comme des données relatives à la santé, même si ceux-ci portent des lunettes, tant qu’elles ne sont pas exploitées en fonction de cette caractéristique.
Trafic international de données
En ce qui concerne le Privacy Shield, on trouve les déclarations suivantes :
Il convient également de noter que le Privacy Shield peut également, du moins indirectement Objet d’une procédure de renvoi actuellement en cours devant la Cour de justice des Communautés européennes (“Schrems II”) [à ce sujet ici], pour lequel les de l’année 2020, on peut s’attendre à un jugement dans les premiers mois de 2020. est en cours. Même si la procédure concrète n’a pas pour objet direct la validité de la décision Privacy Shield, il n’est pas exclu que la CJCE, dans son arrêt, rende aussi déclarations pertinentes sur le Privacy Shield pourrait rencontrer. Même une Annulation du Privacy Shield par la CJCE dans le cadre de l’arrêt à venir ne peut pas, selon certains observateurs, être totalement exclue. Dans le cadre de la procédure susmentionnée examinée par la CJCE (“Schrems II”), la CJCE est appelée à se prononcer, suite à un renvoi de la Cour suprême d’Irlande (Irish High Court), sur le Validité des clauses standard de protection des données de l’UE pour les transferts vers des sous-traitants (décision de la Commission 2010/87/UE du 15.02.2010).
Protection des données des employés
Dans le domaine de la protection des données des employés – particulièrement marquée par le droit national – la BayLDA retient ce qui suit concernant l’accès aux e‑mails des employés ayant quitté l’entreprise :
Dans la mesure où, comme dans le cas concret, l’utilisation privée d’Internet et du courrier électronique est interdite, l’admissibilité de l’accès de l’employeur à la boîte aux lettres électronique de l’employé ayant quitté l’entreprise est régie par l’article 26, paragraphe 1, phrase 1 de la BDSDG. Selon cette disposition, l’utilisation par l’employeur des données du salarié à des fins liées à la relation d’emploi est autorisée si elle est nécessaire à l’exécution ou à la cessation de la relation d’emploi. Les e‑mails professionnels appartiennent à l’employeur, qui peut donc en disposer après le départ de l’employé concerné.. En outre, si les e‑mails de la boîte aux lettres sont nécessaires pour le traitement ultérieur de transactions commerciales, l’employeur doit pouvoir y accéder. S’il ne peut pas accéder à un e‑mail contenant contenu privé Si l’employeur n’est pas en mesure d’identifier l’auteur de l’infraction, il ne devrait pas en prendre connaissance et devrait le transmettre à l’employé qui a quitté l’entreprise. transmettre ou supprimer. Dans ce cas, le consentement du salarié qui a quitté l’entreprise n’est pas nécessaire.
Sécurité des données
Violations de la protection des données
La tendance amorcée après l’entrée en vigueur du RGPD s’est poursuivie en 2019 – le nombre de notifications d’atteintes à la protection des données continue d’augmenter fortement. Les catégories les plus fréquentes concernent les cyberattaques, les chevaux de Troie de cryptage, les logiciels malveillants, les pertes, les vols, les erreurs logicielles et comptables ainsi que les erreurs d’envoi. Toutefois, bien plus de la moitié des violations de la protection des données signalées concernent des faits qui
présentent un risque plutôt “normal” pour les personnes concernées et pour lesquelles il n’y a souvent pas d’autres mesures correctives à prendre par la BayLDA. Les cyberattaques peuvent toutefois représenter des dommages considérables pour les victimes, raison pour laquelle la BayLDA a décidé de mettre l’accent sur la protection des données.
“Cybersécurité” à poursuivre et à développer dans la mesure du possible.
Communication par courrier électronique entre les détenteurs du secret professionnel et les personnes concernées
Les avocats et autres détenteurs de secrets professionnels communiquent souvent avec le détenteur du secret par courrier électronique. Ce qui est également autorisé par l’article 6, paragraphe 1, point f), du RGPD (intérêt légitime à un traitement efficace). Toutefois, en vertu de l’article 32 du RGPD, les détenteurs de secrets professionnels doivent
à notre avis, lors de l’envoi d’e-mails, de veiller en principe à l’existence d’une Cryptage du transport faire attention. Dans le cas d’un risque élevé pour les droits et les libertés est en outre Cryptage du contenu (par exemple au moyen de PGP ou de SMIME).
Il en ressort notamment que le seul fait d’être protégé par le secret professionnel ne signifie pas que tous les secrets doivent être considérés comme à haut risque, mais que les critères de risque en matière de protection des données doivent être appliqués tels quels aux données personnelles protégées par le secret.
Avec Consentement de la personne concernée, il est possible de renoncer au cryptage du contenu, même dans le cas de données à haut risque, mais le consentement de tous les personnes concernées est nécessaire.
En outre, le chiffrement du contenu est toujours nécessaire lorsque le fournisseur de messagerie du destinataire envoie le contenu du message. évalue à des fins publicitaires.
Procédure d’amende
En 2019, la BayLDA a lancé une Bureau central des amendes (BCA) a été créé. Les deux personnes de la ZBS travaillent exclusivement dans ce domaine.
En 2019, la BayLDA a clôturé environ 100 procédures d’amendes, dont une avec une amende selon le RGPD (pas plus, car l’ancien droit s’applique aux infractions commises sous l’ancien droit selon le principe de faveur).