Deux municipalités danoises sanctionnées car les disques de ses ordinateurs n’étaient pas chiffrés

L’autorité danoise de protection des données a sanctionné les municipalités de Gladsaxe et de Hørsholm, le 10 mars 2020, pour n’avoir pris des mesures pour sécuriser les données à caractère personnel de sa population, conformément aux exigences du RGPD.
Deux ordinateurs de ces villes danoises qui contenaient des données personnelles sur les citoyens, et dont les disques n’étaient pas chiffrés, ont été volées : un premier ordinateur, qui contenait les données de plus de 20 000 citoyens, a été volé dans la marie de Gladsaxe et un deuxième, qui contenait les données de 1 600 employés, a été volé dans le véhicule d’un agent.
La Commission danoise a indiqué que l’absence de chiffrement faisait prendre un « risque inutilement élevé aux citoyens », car « une municipalité traite de très grandes quantités de données personnelles sur ses citoyens, y compris des données de nature sensible ».
La Commission a, par ailleurs, considéré que l’absence de chiffrement ne garantissait pas « un niveau de sécurité adéquat »[1], car les données contenues dans les ordinateurs peuvent être aisément lues en cas de vol de l’appareil.
Une amende de 100 000 DKK (~13 400 €) a été prononcée contre la municipalité de Gladsaxe et une amende de 50 000 DKK (~6 700 €) contre la municipalité de Hørsholm[2].
Lire :
- Le communiqué de la Commission danoise (en danois)
Notes et références
- ↑Le RGPD demande que « des mesures techniques et organisationnelles appropriées [soient mises en œuvre] afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1).
- ↑Au Danemark, contrairement à d’autres pays de l’Union européenne, les amendes ne sont pas infligées directement par la Commission de protection des données, mais par un tribunal, suite à une enquête de la police. La Commission peut cependant suggérer le montant de l’amende.
Sigles et acronymes
- ↑RGPD : Règlement Général sur la Protection des Données