L’autorité danoise de protection des données (Datatilsynet[1]) a sanctionné les municipalités de Gladsaxe et de Hørsholm, le 10 mars 2020, pour n’avoir pris des mesures pour sécuriser les données à caractère personnel de sa population, conformément aux exigences du RGPD[2].

Deux ordinateurs de ces villes danoises qui contenaient des données personnelles sur les citoyens, et dont les disques n’étaient pas chiffrés, ont été volées : un premier ordinateur, qui contenait les données de plus de 20 000 citoyens, a été volé dans la marie de Gladsaxe et un deuxième, qui contenait les données de 1 600 employés, a été volé dans le véhicule d’un agent.

La Commission danoise a indiqué que l’absence de chiffrement faisait prendre un « risque inutilement élevé aux citoyens », car « une municipalité traite de très grandes quantités de données personnelles sur ses citoyens, y compris des données de nature sensible ».

La Commission a, par ailleurs, considéré que l’absence de chiffrement ne garantissait pas « un niveau de sécurité adéquat »[3], car les données contenues dans les ordinateurs peuvent être aisément lues en cas de vol de l’appareil.

Une amende de 100 000 DKK (~13 400 €) a été prononcée contre la municipalité de Gladsaxe et une amende de 50 000 DKK (~6 700 €) contre la municipalité de Hørsholm[4].

Lire :

Notes et références

  1. Datatilsynet : Autorité danoise de protection des données (datatilsynet.dk).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD demande que « des mesures techniques et organisationnelles appropriées [soient mises en œuvre] afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1).
  4. Au Danemark, contrairement à d’autres pays de l’Union européenne, les amendes ne sont pas infligées directement par la Commission de protection des données, mais par un tribunal, suite à une enquête de la police. La Commission peut cependant suggérer le montant de l’amende.