28 janvier 2013

28 janvier: journée de la protection des données personnelles

Depuis 2006, le 28 janvier s'entend comme étant la Journée de la protection des données personnelles. Initiée par le Conseil de l'Europe, cette journée est désormais soulignée internationalement. Elle vise à sensibiliser non seulement les citoyens, mais aussi les organismes publics et les entreprises à la protection des données personnelles, soit tout renseignement relatif à une personne physique et qui permet de l'identifier (directement ou indirectement).

27 janvier 2013

Royaume-Uni: sanction pécuniaire contre Sony (PlayStation)

Le 14 janvier dernier, l'Information Commissioner's Office (ICO) du Royaume-Uni a prononcé une sanction pécuniaire d'un montant de 250000 £ (+/- 397000 $can ou 294000 euros) contre l'entreprise Sony suite à un incident de sécurité survenu en avril 2011 (billet). 

Il est rappelé que l'environnement de la PlayStation a fait l'objet de plusieurs attaques conduisant au vol de nombreux renseignements personnels: 
"5. ---, the Network Platform was inflitrated following several Distributed Denial of Service (DDoS) attacks on various online networks of the Sony group. The attacker accessed personal data stored on the Network Platform which included customers' names; addresses; email addresses; dates of birth and account passwords. [...] 
8. In addition, it is estimated that -- million of the customers had registered payment card details to their account although there is no evidence that the encrypted payment card details were accessed."
(Source: Décision du 14-01-2013, p. 3)
Et, l'ICO précise qu'au moment des attaques Sony n'offrait pas un niveau de sécurité suffisant et, allait ainsi à l'encontre des exigences du Data Protection Act 1998, plus particulièrement du principe 7 qui se lit comme suit: 
Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data. 
Dès lors, l'ICO est d'avis que Sony n'a pas rempli ses obligations en matière de protection des renseignements personnels ce qui est susceptible de causer un préjudice pour les personnes dont les renseignements personnels ont été touchés par les attaques:  
"- The Commissioner is satisfied that there has been a serious contravention of section 4(4) of the Act [i.e. "it shall be the duty of a data controller to comply with the data protection principles in relation to all personal data with respect to which he is the data controller"]
In particular, the data controller failed to ensure that appropriate technical measures were taken against unauthorised or unlawful processing of personal data stored on the Network Platform such as additional cryptographic controls to protect passwords; --- prior to the hacking attack and addressing the system vulnerabilities at the relevant time. 
The contravention is serious because the measures taken by the data controller did not ensure a level of security appropriate to the harm that might result from such unauthorised or unlawful processing and the nature of the data to be protected. 
- The Commissioner is satisfied that the contravention is of a kind likely to cause substantial damage or substantial distress. The data controller's failure to ensure that appropriate technical measures were taken was likely to cause substantial damage or substantial distress to data subjects whose personal data has been or may been accessed by third parties and could be further disclosed. [...]"
- The Commissionner is satified that section 55A(3) of the Act applies in that the data controller knew or ought to have known that there was a risk that the contravention would occur, and that such a contravention would be of a kind likely to cause substantial damage or substantial distress, but failed to take reasonable steps to prevent the contravention. [...]"
(Source: Décision du 14-01-2013, p. 5)
Dans ces circonstances, l'ICO considère que l'atteinte est suffisamment grave pour prononcer une sanction pécuniaire à l'encontre de Sony. 
"The Commissioner considers that the contravention of section 4(4) of the Act is very serious and that the imposition of a monetary penalty is appropriate. Further that a monetary penalty is the sum of £250,000 (two hundred and fifty thousand pounds) is reasonable and proportionate given the particular facts of the case and the underlying objective in imposing the penalty"
(Source: Décision du 14-01-2013, p. 8)
Il est à noter que l'ICO a le pouvoir de prononcer des sanctions pécuniaires en vertu de l'article 55A du Data Protection Act 1998 qui se lit comme suit: 
55A - Power of Commissioner to impose monetary penalty
(1) The Commissioner may serve a data controller with a monetary penalty notice if the Commissioner is satisfied that:
 (a) there has been a serious contravention of section 4(4) by the data controller,
 (b) the contravention was of a kind likely to cause substantial damage or substantial distress, and
 (c) subsection (2) or (3) applies.
(2) This subsection applies if the contravention was deliberate.
(3) This subsection applies if the data controller:
 (a) knew or ought to have known:
  (i) that there was a risk that the contravention would occur, and
 (ii) that such a contravention would be of a kind likely to cause substantial damage or substantial distress, but
 (b) failed to take reasonable steps to prevent the contravention.
[...]
En terminant, précisons que Sony a jusqu'au 14 février 2013 pour s'acquitter de cette somme, étant entendu que 
"The monetary penalty is not kept by the Commissioner but will be paid into the Consolidated Fund which is the Government's general bank account at the Bank of England."
(Source: Décision du 14-01-2013, p. 9)
et que Sony a jusqu'au 13 février 2013, 17 heures, pour faire appel de cette décision.   

À suivre donc. 

Pour aller plus loin: 

23 janvier 2013

CNIL: sanction pécuniaire contre la surveillance de salariés

Le 3 janvier dernier, la Commission nationale de l'informatique et des libertés (CNIL) a prononcé une sanction pécuniaire d'un euro contre un syndicat de copropriétaires qui utilise un système continu de vidéosurveillance de ses employés (agents de sécurité) et, a enjoint le responsable du traitement à mettre fin à ce type de traitement.

Cette décision fait suite à une plainte des employés relative à "l'installation d'un dispositif de vidéosurveillance dans le local du poste de sécurité de l'immeuble qui porterait atteinte à la vie privée des personnes présentes dans le local en réalisant une mise sous surveillance permanente des personnes". (Source: CNIL - Délibération n°2012-475)
Et, avant de rendre sa décision, la CNIL a mis en demeure le responsable du traitement de supprimer le dispositif en litige, ce qu'il n'a pas fait. Dès lors, la CNIL a effectué une mission de vérification auprès du syndicat de copropriétaires conformément à l'article 46 de la Loi Informatique et Libertés.

Dans sa décision, la CNIL indique que "le dispositif de vidéosurveillance critiqué devait être considéré comme disproportionné en ce que le traitement plaçait sous surveillance permanente les agents de sécurités présents dans le poste de sécurité du bâtiment géré par le Syndicat". Et, elle précise qu'"il importe peu que les salariés ne se soient pas plaints précédemment de l'installation de la caméra et que les nouveaux agents de sécurité en acceptent le principe dès lors que le caratère continu de la surveillance résultant du traitement litigieux n'est pas justifiée par un impératif de sécurité des personnes et des biens mais résulte de la volonté de contrôler l'activité des salariés". (Source: CNIL - Délibération n°2012-475)


Pour plus de détails:

17 janvier 2013

Canada: perte d'un disque dur au RHDCC - recours collectifs

[Publié le 17-01-2013 - Ajout le 20-01-2013]
 
Dans la continuité du précédent billet, deux recours collectifs (Bob Buckingham Law et Merchant Law Group) ont été déposé au nom des personnes visées par la perte d'un disque dur par le ministère de Ressources humaines et Développement des compétences (RHDCC).

À suivre donc.

Pour aller plus loin: 

14 janvier 2013

Canada: perte d'une clé USB et d'un disque dur au RHDCC - enquête du CPVPC

[Publié le 14-01-2013 - Ajout le 20-01-2013]

Après avoir perdu une clé USB contenant le numéro d'assurance sociale et les dossiers médicaux de près de 5000 canadiens (La Presse), la ministre de Ressources humaines et Développement des compétences (RHDCC) annonce que son ministère a également égaré un disque dur externe sur lequel étaient enregistrés des renseignements personnels au sujet de 583 000 personnes ayant contracté un prêt d’études canadien entre 2000-2006 (Le Devoir)

Dans le communiqué émis par le ministère, on peut lire notamment que:  
"- Un disque dur qui comportait des renseignements personnels de 583 000 bénéficiaires de prêts d’études canadiens datant de 2000 à 2006 a disparu des bureaux de RHDCC, à Gatineau (Québec). Les recherches sont toujours en cours.
- Le fichier comportait des renseignements comme le nom, la date de naissance, le numéro d’assurance sociale et l’adresse d’étudiants de partout au pays (sauf du Québec, du Nunavut et des Territoires du Nord-­Ouest, car ceux-­ci gèrent leurs propres programmes de prêts d’études) ainsi que des renseignements connexes sur leurs prêts d’études canadiens.
- Les renseignements personnels de 250 employés de RHDCC se trouvaient également sur le disque dur.
- Aucun renseignement bancaire ou médical ne figurait sur le disque dur.
- Les renseignements ont été enregistrés sur un disque dur externe pour en faire une copie de sauvegarde."
(Source: Gouvernement du Canada, 11 janvier 2013)
Le RHDCC a avisé le Commissariat à la protection de la vie privée du Canada (CPVPC) de ces incidents et, ce dernier a ouvert une enquête afin de déterminer s'il y a eu atteinte à la Loi sur la protection des renseignements personnels
[Ajout du 20-01-2013] Dans le cadre de cette enquête, le CPVPC a publié un document d'information visant à "aider les personnes qui sont préoccupées par cet incident ou qui souhaitent [lui] poser des questions". (Source: Document d'information du CPVPC)

À suivre donc. 


Pour plus de détails,