Violation de la sécurité des données : à la poubelle !

Publié le 20 mars 2025 par Me Philippe Ehrenström

On croit que les violations de la sécurité des données sont des choses très complexes, impliquant des vilains hackers slaves avec des couteux entre les dents. Et bien, pas forcément…:

Le 11 octobre 2024, on a découvert une boîte dans une poubelle sur la voie publique à l’extérieur du terrain de jeu du Club Rapido de Bouzas (le responsable de traitement).  La boîte contenait des centaines de documents détaillant les numéros d’identification, les noms et prénoms, les adresses et les photographies de ses joueurs (mineurs). Au total, 1 444 cartes identifiant les personnes concernées par leur nom et leur photographie ont été retrouvées dans la boîte.

Le club avait organisé une « journée de nettoyage » et a affirmé que cette boîte avait été jetée sur le terrain par erreur.

Le père d’un des joueurs a signalé l’affaire à la police et a ensuite déposé une plainte auprès de l’autorité espagnole de protection des données (APD ; Agencia Española de Protección de Datos).

L’APD, dans une décision EXP202414976 du 17.03.2025 traduite, présentée et commentée sur gdprhub (https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202414976&mtc=today) a critiqué le responsable de traitement pour avoir d’une part permis que la boîte contenant les documents soit identifiée à tort comme quelque chose qui pouvait être éliminé de cette manière et, d’autre part, pour l’absence de procédure permettant d’identifier la personne qui les a éliminés.

L’APD a également noté que le fait que l’acte négligent ait été commis par un employé ou un tiers n’exonérait pas le club de sa responsabilité. Par conséquent, l’APD a conclu que le club avait violé l’article 5(1)(f) du RGPD , exigeant du responsable du traitement qu’il mette en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour garantir la sécurité du traitement.

L’APD a notamment ordonné au responsable du traitement de communiquer à l’APD l’adoption de mesures techniques et organisationnelles visant à garantir la confidentialité des données personnelles faisant l’objet d’un traitement, ainsi qu’une durée de conservation et un mode d’élimination de ces données personnelles (ce qui est bien la moindre des choses !)

Me Philippe Ehrenström, avocat, LLM

Avatar de Inconnu

About Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M., Yverdon-les-Bains
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire