Deux municipalités condamnées à une amende Date : 10-03-2020 L'autorité danoise de protection des données signale à la police la municipalité de Gladsaxe et celle de Hørsholm, car elle estime que les municipalités n'ont pas respecté les exigences relatives à un niveau de sécurité adéquat dans le règlement général sur la protection des données (RGPD). Les municipalités de Gladsaxe et de Hørsholm ont été condamnées à des amendes respectives de 100 000 et 50 000 DKK. Ces cas ont été portés à l'attention de l'autorité de protection des données lorsque les deux municipalités ont signalé une violation de la sécurité des données personnelles en rapport avec le vol de l'un des ordinateurs de la municipalité, qui contenait des données personnelles. Ni les ordinateurs de Gladsaxe ni ceux de Hørsholm n'étaient protégés par un système de cryptage, et la perte de données personnelles représentait donc un risque inutilement élevé pour les citoyens. Une sécurité insuffisante a conduit, par exemple, dans l'un des cas, à une grave violation de la sécurité des données personnelles, lorsqu'un ordinateur contenant les données personnelles de 20 620 citoyens, y compris des données sensibles et des numéros d'identité personnels, a été volé à la mairie de Gladsaxe. La deuxième faille de sécurité s'est produite lorsqu'un employé de la municipalité de Hørsholm s'est fait voler son ordinateur de travail dans sa voiture. L'ordinateur contenait les données personnelles d'environ 1 600 employés de la municipalité de Hørsholm, y compris des informations sensibles et des numéros d'identité personnels. Les violations spécifiques de la sécurité illustrent certaines des conséquences possibles d'une sécurité inadéquate. Cette sécurité insuffisante fait courir un risque élevé à tous les citoyens dont les données sont traitées par la municipalité. Les municipalités ont une responsabilité majeure "Une municipalité traite de très grandes quantités de données personnelles sur ses citoyens, y compris des données de nature sensible. En tant que citoyen, vous n'avez pas la possibilité de refuser le traitement de vos données personnelles par la municipalité, et celle-ci a donc une grande responsabilité pour empêcher que les données ne soient connues de parties non autorisées", déclare Frederik Viksøe Siegumfeldt, chef de l'unité de contrôle de l'autorité danoise de protection des données : "Il est simple d'accéder aux fichiers stockés sur l'ordinateur lorsque le disque dur d'un ordinateur n'est pas crypté, par exemple en déplaçant le disque dur sur un autre ordinateur. Par conséquent, lorsque des données personnelles sont stockées localement sur l'ordinateur, il est extrêmement imprudent que les municipalités n'aient pas protégé les ordinateurs par un système de cryptage." Fixer une amende L'autorité de protection des données a décidé de dénoncer la municipalité de Gladsaxe et la municipalité de Hørsholm à la police et recommande que les deux municipalités soient condamnées à une amende de 100 000 DKK et 50 000 DKK respectivement. Pour recommander le montant de l'amende, l'Autorité de protection des données a tenu compte, entre autres, de la nature de l'infraction (absence de sécurité du traitement) et du fait que l'absence de cryptage des ordinateurs de la municipalité est une mesure générale. Elle a également pris en compte la taille des municipalités en termes de population et de budget de fonctionnement total. Dans la plupart des pays européens, les autorités nationales de protection des données peuvent elles-mêmes infliger des amendes administratives, mais les règles sont différentes au Danemark et ailleurs. Dans ce cas, l'autorité de protection des données, après avoir enquêté et évalué le cas, notifie le responsable du traitement des données à la police. La police enquêtera ensuite pour déterminer s'il y a lieu d'engager des poursuites, etc. et, enfin, l'amende éventuelle sera décidée par un tribunal.