On a déjà parlé ici (https://droitdutravailensuisse.com/2023/04/20/transmission-de-donnees-par-telephone-identification-du-requerant/) des difficultés posées par l’identification par téléphone afin d’accéder à des données.

En voici un nouvel exemple :

Digi Spain Telecom (DST), responsable du traitement, a reçu un appel demandant un duplicata d’une carte SIM. Au cours de l’appel, le responsable du traitement a demandé à l’interlocuteur de fournir plusieurs données à caractère personnel afin de confirmer son identité et de vérifier qu’il était bien le titulaire de la carte SIM.

Après avoir authentifié l’appelant de manière incorrecte, DST lui a fourni un code pour demander le duplicata de la carte SIM. Le même jour, l’appelant s’est rendu au point de distribution de DST où il a utilisé le code pour obtenir le duplicata de la carte SIM demandée.

La personne concernée (titulaire de la carte SIM indûment copiée) a alors déposé une plainte contre le responsable du traitement auprès de l’autorité espagnole de protection des données (APD ; Agencia Española de Protección de Datos). Elle a affirmé que la fourniture non autorisée de la carte SIM dupliquée avait permis à un tiers de l’utiliser à des fins d’usurpation d’identité, ce qui lui a causé d’importantes pertes financières. Selon la personne concernée, la carte SIM a été utilisée pour contourner un système d’authentification bancaire et effectuer des virements à partir du compte de la personne concernée en se faisant passer pour son titulaire. Le responsable du traitement a été accusé d’avoir violé l’article 6 par. 1 RGPD (Texte : https://rgpd.com/fr/apercu/chapitre-2-principes/article-6-liceite-du-traitement/).

En réponse, DST a affirmé qu’il n’avait fourni aucune donnée à caractère personnel au fraudeur et a nié qu’il y ait eu un traitement illégal de données. En outre, il a fait valoir que la fourniture d’un duplicata de la carte SIM n’était pas suffisante pour effectuer des virements bancaires.

L’APD, dans une décision PS-00505-2022 du 25.04.2023 (source et présentation : https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS-00505-2022&mtc=today), a conclu que le responsable du traitement avait, par négligence, fourni un double de la carte SIM à une personne autre que le titulaire légitime de la ligne mobile, après que cette tierce partie ait surmonté ses méthodes d’authentification.

L’APD a déclaré que, lorsqu’il a fourni le double de la carte SIM à son point de distribution, le responsable du traitement aurait pu demander la pièce d’identité originale de la personne concernée, ce qui aurait permis d’éviter la fraude. Elle a considéré qu’il y avait eu violation de l’obligation de protéger les informations relatives aux clients, le responsable du traitement n’ayant pas garanti un niveau de sécurité adéquat dans le traitement des données à caractère personnel.

L’APD a considéré qu’à partir du moment où le fraudeur a remplacé la carte SIM originale, il a pris le contrôle des données personnelles de la personne concernée et a pu accéder à ses comptes bancaires.

En fin de compte, l’APD a conclu qu’il s’agissait d’un traitement illégal puisqu’un tiers a eu accès à des données à caractère personnel sans aucune base juridique. Pour ces raisons, elle a constaté une violation de 6 par. 1 RGPD et a imposé une amende de 70 000 euros au responsable du traitement.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)