Violation de données à Malte : L'entreprise doit divulguer la source dans les 20 jours sous peine de sanctions
L'autorité maltaise de protection des données (IDPC) a pris des mesures décisives à l'encontre de C-PLANET, la société informatique responsable d'une violation de données électorales à Malte. À la suite d'une deuxième plainte déposée par le noybl'IDPC a ordonné à C-PLANET de révéler les détails spécifiques concernant la collecte de données appartenant à des citoyens maltais dans un délai strict de 20 jours. Si l'entreprise ne se conforme pas à cet ordre, elle devra s'acquitter d'une amende "dissuasive".
- Blog post : Violation de données politiques à Malte, C-Planet refuse le droit d'accès et d'information
- Décision de l'IDPC
Plainte initiale. En novembre 2020, noyb a déposé une plainte contre C-PLANET IT Solutionscontre C-PLANET IT Solutions à la suite d'une importante fuite de données compromettant les informations relatives aux électeurs de Malte. La fuite a révélé des informations sensibles, notamment les numéros de téléphone, les dates de naissance, les intentions de vote et les affiliations à un parti de plus de 330 000 personnes, soit la quasi-totalité des électeurs de Malte.
Décision initiale de l'IDPC. En janvier 2020, l'IDPC a imposé une amende de 65 000 euros à C-PLANET, en tenant compte de l'impact sévère sur les personnes affectées et du risque substantiel pour leurs droits et libertés fondamentaux. En outre, une action collective menée par la Fondation Daphne et Repubblika contre C-PLANET est actuellement en cours.
Source de données non identifiée. Malgrémalgré la décision initiale de l'IDPC, l'origine des données reste inconnue des plaignants. La décision de l'IDPC n'a pas abordé la question de l'origine des données et a caviardé les noms des clients de C-PLANET, auprès desquels l'entreprise prétendait avoir obtenu les données.
"Il est inquiétant qu'une société privée puisse collecter secrètement des données sur les opinions politiques sans avoir à expliquer ses motivations et ses méthodes, en particulier dans un pays de l'Union européenne..."." -Romain Robert, avocat spécialiste de la protection des données au noyb
Un manque de transparence persistant. Suite à la première décision de l'IDPC, les électeurs maltais maltais maltais étaient toujours dans l'ignorance de la source originale de leurs données personnelles et politiques. En collaboration avec noybune personne concernée a soumis une demande formelle à C-PLANET, demandant la divulgation de toute information relative à l'origine des données. Cependant, C-PLANET a refusé de fournir une réponse, invoquant la cessation du traitement des données et une enquête en cours. En conséquence, noyb a déposé une seconde plainte auprès de l'IDPC, demandant à l'autorité maltaise de protection des données d'imposer des obligations de transparence à C-PLANET.
Deuxième décision de l'IDPC. La décision de l'IDPC découle de la plainte initiale déposée par noybqui accusait C-PLANET d'avoir enfreint l'article 15 du RGPD. Plus précisément, C-PLANET n'a pas fourni au plaignant une copie de ses données à caractère personnel et des informations pertinentes concernant la violation de l'article 15 du GDPR données personnelles et les informations pertinentes relatives à la base de données violée. À la lumière de ces l'IDPC a mandaté la société a mandaté la société informatique pour qu'elle fournisse au plaignant une copie de ses données. En outre, C-PLANET est tenu de fournir des détails complets sur les informations collectées, y compris leur origine.
Délai de mise en conformité. C-PLANET s'est vu accorder un délai non négociable de 20 jours pour se conformer à la loidélai non négociable de 20 jours pour se conformer à l'ordonnance de l'IDPC en fournissant rapidement les informations demandées au plaignant. Si la société ne fournit pas ces informations, elle se verra infliger une amende à la fois "proportionnée et dissuasive" "proportionnée et dissuasive" en vertu du GDPR, selon la décision de l'IDPC.