Quand on se trompe de destinataire...OUILLE ! ...C'est risqué...
La ville de Reykjavik (Responsable de Traitement) a envoyé un rapport de santé concernant un enfant à la mauvaise personne par e-mail. Le document était verrouillé mais le mot de passe pour l’ouvrir a été envoyé à la même mauvaise adresse e-mail.
Ils évitent l’amende au final mais ils ne sont pas passés loin… :
– leur mode de transmission n’est pas considéré comme sécurisé (donc ils ne sont pas passés loin de la sanction)
– ils évitent la sanction car ils ont bien signalé la violation de données et notifié les personnes
Explications :
Le destinataire a signalé l’erreur le jour même où il a reçu l’e-mail. Le responsable de traitement a signalé la violation de données à la DPA (autorité Autrichienne de Protection des Données) dans les 72 heures, expliquant que la violation était due à une erreur humaine lors de la saisie de l’adresse e-mail. Le responsable du traitement a également informé les parents de l’enfant que les données de leur enfant avaient été divulguées à un destinataire non autorisé et a contacté ce dernier pour lui demander de supprimer les e-mails.
Les parents ont considéré que le responsable du traitement n’a pas mis en œuvre de mesures techniques et organisationnelles afin d’assurer la sécurité des données personnelles. Par conséquent, ils ont déposé une plainte auprès de la DPA. Pour sa défense, le responsable du traitement a fait valoir qu’il avait mis en place des mesures appropriées puisque le document était verrouillé par un mot de passe, qu’il avait signalé la violation de données à l’APD et informé les parents.
La DPA a expliqué que le verrouillage du document était inutile puisque le mot de passe était communiqué de la même manière que le document, c’est-à-dire dans des e-mails contigus à la même adresse e-mail. Le responsable du traitement n’a donc pas assuré la sécurité des données comme l’exige l’article 32.
Tenant compte du fait que le responsable du traitement a signalé la violation conformément à l’article 34, notifié les parents et contacté le destinataire du signalement pour sa suppression, l’APD a déclaré qu’il n’y avait aucune raison de poursuivre l’action. Il n’a pas jugé nécessaire d’infliger une amende au responsable du traitement ou d’ordonner des mesures spéciales.
(source : https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Iceland)_-_2022081293&mtc=today)