Rap­port d’ac­ti­vi­té du com­mis­saire à la pro­tec­tion des don­nées de Saxe 2017/2018

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

, , , ,

Thè­mes

, , , , , , , , ,
Ven­te à emporter (AI)
  • Les gesti­on­n­aires de biens immo­bi­liers sont des respons­ables indé­pen­dants et non des sous-trai­tants des pro­prié­tai­res de logements.
  • L’en­re­gi­stre­ment per­ma­nent et sans motif d’u­ne dash­cam vio­le l’in­té­rêt légiti­me et n’est pas autorisé.
  • La décla­ra­ti­on de pro­tec­tion des don­nées (art.13 RGPD) doit être mise à dis­po­si­ti­on de maniè­re à ce que les per­son­nes con­cer­nées pui­s­sent être rai­sonnablem­ent informées.
  • Les ser­vices de main­ten­an­ce, de tra­duc­tion et de com­mu­ni­ca­ti­on néces­si­tent un examen dif­fé­ren­cié : sou­vent un trai­te­ment à façon, en par­tie un trai­te­ment autonome.

Le com­mis­saire saxon à la pro­tec­tion des don­nées a publié son Rap­port d’ac­ti­vi­té pour les années 2017 et 2018 a été publié. Il y con­sta­te notam­ment ce qui suit :

  • Gesti­on­n­aire immo­bi­lier ne sont pas des sous-trai­tants des pro­prié­tai­res de loge­ments, mais des respons­ables indépendants.
  • L’uti­li­sa­ti­on d’u­ne Dash­cam n’est en tout cas pas dans l’in­té­rêt légiti­me lorsque les évé­ne­ments de la cir­cula­ti­on sont enre­gi­strés en per­ma­nence et sans raison.
  • Le site Pri­se de pho­tos lors de mani­fe­sta­ti­ons publi­ques peu­vent être dans l’in­té­rêt légiti­me de l’or­ga­ni­sa­teur, dans la mesu­re où la pri­se des pho­tos a un lien avec l’é­vé­ne­ment, d’autant plus que les par­ti­ci­pan­ts à l’é­vé­ne­ment public s’at­ten­dront à ce que des pho­tos soi­ent prises.

    Cela ne peut tou­te­fois plus être pré­su­mé si les per­son­nes à pho­to­gra­phier refu­sent mani­fe­stem­ent d’êt­re pri­ses en pho­to, si les pho­tos sont pri­ses de maniè­re cachée ou secrè­te, si les pho­tos peu­vent dis­cré­di­ter les per­son­nes pho­to­gra­phiées ou si la sphè­re inti­me des per­son­nes pho­to­gra­phiées est concernée”.

    En cas d’ac­cueil d’en­fants, la pesée des inté­rêts doit être effec­tuée avec un soin par­ti­cu­lier. – Sont Pho­tos publiées sur Inter­netCon­for­mé­ment à l’ar­tic­le 23 de la loi sur le droit à l’i­mage (KUG), une publi­ca­ti­on sans auto­ri­sa­ti­on est interdite.

    notam­ment lorsque les per­son­nes appa­rais­sant sur les images ne sont que des élé­ments acces­soires à côté d’un pay­sa­ge ou d’un aut­re lieu”.

    Ici aus­si, le responsable peut éven­tu­el­le­ment invo­quer un inté­rêt légiti­me, mais les par­ti­ci­pan­ts à l’é­vé­ne­ment doi­vent être infor­més de la publi­ca­ti­on pré­vue sur Inter­net. – Les pho­tos de per­son­nes portant des lunet­tes, par exemp­le, ne sont pas auto­ri­sées. ne pas avoir en prin­ci­pe des caté­go­ries par­ti­cu­liè­res de don­nées per­son­nel­les:

    Une pho­to mon­trant un grand nombre de per­son­nes et par­mi elles, par exemp­le, des por­teurs de lunet­tes lors d’u­ne mani­fe­sta­ti­on publi­que ne trans­met pas d’in­for­ma­ti­ons sur la san­té de ces per­son­nes mais docu­men­te la mani­fe­sta­ti­on. En revan­che, si une pho­to est publiée avec un tex­te d’ac­com­pa­gne­ment qui fait réfé­rence à un han­di­cap par­ti­cu­lier des per­son­nes pho­to­gra­phiées et que la pho­to sert par exemp­le à indi­quer des thé­ra­pies pos­si­bles, il peut y avoir trai­te­ment de don­nées rela­ti­ves à la santé”.

  • On y trouve des indi­ca­ti­ons sur Pro­tec­tion des don­nées lors de com­pé­ti­ti­ons spor­ti­ves.
  • Lors de la com­mu­ni­ca­ti­on des infor­ma­ti­ons con­for­mé­ment à l’ar­tic­le 13 du RGPD (Décla­ra­ti­on de con­fi­den­tia­li­té) s’ap­pli­que :

    La “com­mu­ni­ca­ti­on” de l’in­for­ma­ti­on ne sup­po­se pas une appro­che acti­ve de la per­son­ne con­cer­née, mais doit être com­pri­se, avec la ver­si­on anglai­se “pro­vi­de”, com­me une “mise à dis­po­si­ti­on”. Cela peut se fai­re “par des mesu­res appro­priées” pri­ses par le responsable du trai­te­ment (artic­le 12, para­gra­phe 1, du RGPD), qui peu­vent se com­plé­ter mutu­el­le­ment (affichage, feuille d’in­for­ma­ti­on, décla­ra­ti­on sur le site web, par­tie de tex­te dans le cont­rat, infor­ma­ti­on ora­le, …). Ce qui est déter­mi­nant que l’in­for­ma­ti­on de la per­son­ne con­cer­née peut être rai­sonnablem­ent obte­nue par elle.“

    Dans le cad­re d’u­ne rela­ti­on con­trac­tu­el­le, il peut être par­ti­cu­liè­re­ment dif­fi­ci­le de four­nir tou­tes les infor­ma­ti­ons per­ti­nen­tes lors du pre­mier contact.

    Si des infor­ma­ti­ons font défaut lors de cet­te pre­miè­re étape de coll­ec­te (par exemp­le, les coor­don­nées du délé­gué à la pro­tec­tion des don­nées, artic­le 13, para­gra­phe 1, point b), du RGPD, ou la dési­gna­ti­on de la base juri­di­que, artic­le 13, para­gra­phe 1, point c), du RGPD), l’au­to­ri­té de con­trô­le esti­me que cela pour­rait être effec­tuée lors d’u­ne étape ulté­ri­eu­re de coll­ec­te ou de trai­te­ment (par exemp­le, en tant que Lien dans la signa­tu­re d’u­ne répon­se par e‑mail). Ce qui est déter­mi­nant à cet égard, c’est de savoir si les cir­con­stances de la pre­miè­re enquête sont “appro­priées” (ou non) pour per­mett­re de four­nir cet­te infor­ma­ti­on de maniè­re appropriée”.

  • Sur des deman­des d’in­for­ma­ti­ons com­plè­tes le responsable du trai­te­ment peut deman­der à la per­son­ne con­cer­née si les infor­ma­ti­ons initia­les sont suf­fi­san­tes et, dans le cas con­trai­re, il peut lui être deman­dé de pré­cis­er les infor­ma­ti­ons ou les opé­ra­ti­ons de trai­te­ment aux­quel­les la deman­de d’ac­cès se rap­por­te. Un délai rai­sonnable dev­rait être accor­dé pour la réponse.
  • Si les four­nis­seurs en ligne offrent la pos­si­bi­li­té de rester con­nec­té (grâ­ce à un coo­kie), mais qu’ils pré-cochent un bou­ton cor­re­spond­ant “rester con­nec­té”, ils enfr­eig­n­ent ain­si le Obli­ga­ti­on d’ad­op­ter des paramè­tres par défaut favor­ables à la pro­tec­tion des don­nées (artic­le 25, para­gra­phe 1 du RGPD).
  • On y trouve des indi­ca­ti­ons sur Mise en balan­ce des inté­rêts lors de l’uti­li­sa­ti­on d’ou­tils en ligne.
  • Le site Uti­li­sa­ti­on de Whats­App dans un envi­ron­ne­ment pro­fes­si­on­nel est “pro­blé­ma­tique”. Whats­App accé­dant par défaut aux don­nées de cont­act, le prin­ci­pe de “pri­va­cy by design” est vio­lé. L’uti­li­sa­ti­on de Whats­App est tou­te­fois auto­ri­sée si Whats­App ne peut pas accé­der aux don­nées de cont­act des cli­ents, si les cli­ents sont infor­més au pré­alable de la “pro­blé­ma­tique de la pro­tec­tion des don­nées”, si un canal de com­mu­ni­ca­ti­on alter­na­tif sécu­ri­sé est mis à leur dis­po­si­ti­on et si Whats­App ne peut pas accé­der aux don­nées des cli­ents qui ne com­mu­ni­quent pas via Whats­App (par ex. par­ce que leurs don­nées de cont­act ne sont pas enre­gi­strées sur l’appareil).
  • L’au­to­ri­té n’a reçu que peu de deman­des de respons­ables com­muns un.
  • Ser­vices de main­ten­an­ce et de télé­main­ten­an­ce sont en prin­ci­pe con­sidé­rées com­me des don­nées per­son­nel­les, même après l’en­trée en vigueur du RGPD. Trai­te­ment des com­man­des sauf s’il s’a­git “uni­quement d’u­ne main­ten­an­ce tech­ni­que de l’in­fras­truc­tu­re d’u­ne TI par des pre­sta­tai­res de ser­vices”, par exemp­le “travaux sur l’a­li­men­ta­ti­on élec­tri­que, la réf­ri­gé­ra­ti­on, le chauf­fa­ge)” et si, dans le cad­re d’u­ne simp­le acti­vi­té d’as­si­stance et de répa­ra­ti­on, les don­nées à carac­tère per­son­nel ne peu­vent être con­sul­tées que “de maniè­re incidente”.
  • Sur Ser­vices de tra­duc­tion il con­vi­ent de fai­re une distinc­tion : La qua­li­fi­ca­ti­on de trai­te­ment de com­man­de “dépend d’u­ne part du con­te­nu des tex­tes à tra­dui­re, c’est-à-dire de la que­sti­on de savoir s’il s’a­git (aus­si ou sur­tout) de don­nées à carac­tère per­son­nel. D’aut­re part, il con­vi­ent de tenir comp­te de la mar­ge de manœu­vre dont dis­po­se le tra­duc­teur dans le cad­re de son acti­vi­té, c’est-à-dire s’il doit s’en tenir stric­te­ment et lit­té­ra­le­ment à l’o­ri­gi­nal – com­me dans le cas de la tra­duc­tion de docu­ments offi­ci­els – ou s’il ne s’a­git en fin de comp­te que d’u­ne trans­po­si­ti­on con­for­me au sens, pour laquel­le le tra­duc­teur se voit accor­der une mar­ge de manœu­vre cor­re­spond­an­te. Même si une per­son­ne pri­vée sou­met à la tra­duc­tion des docu­ments ou des tex­tes qui la con­cer­nent exclu­si­ve­ment, on ne pour­ra pas con­sidé­rer qu’il y a trai­te­ment de commande”.
  • Le site Fac­tu­ra­ti­on des salai­res par un con­seil­ler fis­cal n’est pas un trai­te­ment de commande.
  • Sur Tests d’in­tru­si­on (pen­tests) et pour les Cont­rats de main­ten­an­ce le ”

    le trai­te­ment des don­nées à carac­tère per­son­nel n’est pas au cœur du cont­rat. Néan­mo­ins, le don­neur d’ord­re est au cou­rant de la pos­si­bi­li­té de divul­ga­ti­on et pas­se com­man­de qua­si­ment ‘avec une inten­ti­on con­di­ti­on­nel­le’ ”. “Ain­si, je con­sidè­re qu’il est con­for­me aux inté­rêts et néces­saire de lier le don­neur d’ord­re en cas de con­nais­sance de don­nées à carac­tère per­son­nel du domaine du don­neur d’ord­re, com­me dans le cas d’un trai­te­ment à façon.“

  • En cas de vio­la­ti­on de la sécu­ri­té des don­nées, le Err­eur d’en­voi de docu­ments au pre­mier plan.
  • Lorsque l’on dési­gne des Délé­gué à la pro­tec­tion des don­nées le com­mis­saire saxon à la pro­tec­tion des don­nées accep­te la dési­gna­ti­on de les per­son­nes mora­les. En out­re, il n’est pas néces­saire d’in­di­quer le nom du délé­gué à la pro­tec­tion des don­nées dans la décla­ra­ti­on de con­fi­den­tia­li­té ; il suf­fit d’in­di­quer un numé­ro de télé­pho­ne ou une adres­se élec­tro­ni­que géné­ri­que. L’in­di­ca­ti­on d’un nom est tou­te­fois autorisée.