Des pirates informatiques ont pénétré les systèmes d’information du fournisseur de services d’hébergement F. (responsable du traitement). Ils ont eu accès à une base de données contenant environ 165 000 données personnelles des clients du contrôleur (personnes concernées).

Après avoir reçu des plaintes de personnes concernées, l’autorité finlandaise de protection des données (APD ; Tietosuojavaltuutetun toimisto) a ouvert une enquête pour déterminer les circonstances de la fuite de données.

Invité à commenter les faits, le responsable du traitement a fait valoir que le type de données collectées dépendait du groupe auquel la personne appartenait, qu’il s’agisse d’un locataire, d’un propriétaire ou d’un contact au sein d’une entreprise. En ce qui concerne la période de conservation des données, les informations relatives aux propriétaires et aux locataires sont conservées pendant 10 ans à compter de la fin de la location ou du contrat, tandis que les données relatives à la gestion de la relation client sont conservées pendant 5 ans à compter de la dernière activité. Selon le responsable du traitement, la location d’appartements à long terme joue un rôle important dans son activité. Il a donc jugé nécessaire de conserver les données pour répondre à d’éventuelles demandes d’indemnisation qui, en vertu du droit finlandais, peuvent être présentées dans un délai de dix ans. À l’issue de cette période, les données ont été soit supprimées, soit rendues anonymes.

Dans une décision 2206/171/20 du 16.02.2023 (https://finlex.fi/fi/viranomaiset/tsv/2023/20231763 présentée ici https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_2206/171/20&mtc=today), l’APD a notamment estimé que le responsable du traitement n’avait pas respecté le principe de minimisation des données (art. 5 al. 1 let. c RGPD) ni le principe de limitation de la conservation (art. 5 al. 1 let e RGPD). Elle a souligné que toutes les informations relatives au logement et à la location n’entraient pas dans le champ d’application du droit national concernant d’éventuelles demandes d’indemnisation et que le responsable du traitement n’avait pas expliqué clairement quelles données étaient conservées pendant dix ans et pourquoi.

Selon le RGPD, le responsable du traitement doit également mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir par défaut que seules les données à caractère personnel nécessaires sont traitées dans le but de répondre à d’éventuelles demandes de dommages-intérêts. L’APD a rappelé que cette obligation s’applique non seulement à la quantité de données à caractère personnel collectées, mais aussi à la durée de conservation et à la disponibilité des données.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)