Autorité italienne de contrôle de la protection des données

Le 10 juin 2021, l'autorité italienne de protection des données GARANTE PER LA PROTEZIONE DIE DATI PERSONALI (GPDP) a imposé une amende de 40 000 € à l'aéroport de Bologne, réf. 9685922. L'entreprise concernée avait chargé un prestataire ou un sous-traitant de fournir un système de dénonciation numérique. Les utilisateurs pouvaient utiliser ce système - également de manière anonyme - pour signaler des irrégularités juridiques. Le cadre juridique italien prévoit notamment pour les secteurs public et privé que les dénonciateurs qui révèlent leur identité doivent être protégés contre les représailles et les mesures discriminatoires. 

Mise en service d'un système de dénonciation numérique 

Le fournisseur n' utilisait déjà pas de protocole de réseau sécurisé (pas même le protocole https) pour le transfert des données, bien que le système de dénonciation soit accessible via l'internet. Les données stockées dans la base de données n'étaient pas non plus cryptées. En outre, les données de journal concernant le comportement de navigation des utilisateurs du système de dénonciation étaient stockées via une configuration de pare-feu. En outre, l'entreprise concernée n'avait pas réalisé d'analyse d'impact sur la protection des données lors de la mise en œuvre du système de dénonciation. 

L'autorité italienne de protection des données a considéré que le comportement de l'entreprise concernée constituait plusieurs violations des exigences du règlement général sur la protection des données (" RGPD ") et lui a infligé une amende de 40 000 € :

Absence de cryptage - violation de l'article 32 du RGPD. 32 GDPR

L'autorité italienne de protection des données a constaté une violation de la mise en œuvre obligatoire des mesures techniques et organisationnelles conformément à l'art. 32 (1) (a) et de l'art. 5 (1) (f) GDPR dans la mesure où la société n'a pas mis en œuvre des mécanismes de cryptage appropriés pour le transport et le stockage des avis. Le protocole http (Hypertext Transfer Protocol) ne peut garantir la confidentialité ainsi que l'intégrité des données des avis échangés entre le navigateur du dénonciateur et le serveur du prestataire. De plus, l'authenticité du site web du système de dénonciation ne peut être vérifiée par le dénonciateur. Il a également été objecté que les données des avis dans la base de données du système de dénonciation étaient stockées en clair. 

En particulier, l'autorité italienne de protection des données a également souligné que la nature des données de l'avis et les risques élevés qui peuvent résulter d'une mauvaise utilisation de ces données exigent un mécanisme de cryptage élevé.  

L'argument de la société concernée selon lequel les mesures de sécurité des données plus étendues auraient entraîné des coûts supplémentaires n'a rien changé à une violation pour l'autorité de protection des données. En outre, la société concernée est également responsable du respect de ces mesures lorsqu'un sous-traitant agit. 

Inadmissibilité de la journalisation - violation de l'art. 25 GDPR

Il convient de noter que, souvent, il n'a pas été tenu compte dans la pratique de la plainte de l'autorité de contrôle de la protection des données selon laquelle la journalisation des processus de navigation des dénonciateurs sur le site web du système de dénonciation constitue une violation de l'art. 5(1)(f), de l'art. 25 et de l'art. 32 du GDPR. 

En raison de la configuration d'un pare-feu, les accès des employés au site web du système de dénonciation avec des postes de travail ou des appareils personnels connectés au réseau de l'entreprise étaient enregistrés dans des fichiers journaux et conservés pendant 90 jours. Ces fichiers comprenaient l'adresse IP et - en raison d'une connexion avec l'Active Directory - également le nom de l'utilisateur. 

Cela constituait une violation du principe de "protection des données dès la conception" et de "protection des données par les paramètres par défaut" selon l'art. 25 DU GDPR. Les systèmes de dénonciation doivent donc être conçus de manière à ce qu'aucun fichier journal ne soit stocké. Dans le cas contraire, la confidentialité et l'anonymat sont menacés. 

Absence d'analyse d'impact sur la protection des données 

L'autorité italienne de contrôle de la protection des données s'est également opposée au fait que la société concernée n'avait pas procédé à une analyse d'impact sur la protection des données conformément à l'art. 35 DU GDPR. Or, cela aurait dû être fait lors de la mise en œuvre d'un système de dénonciation. Les tuyaux peuvent contenir des données sensibles. Ils peuvent contenir des informations sur des violations présumées de la loi et avoir des conséquences massives pour l'accusé et le dénonciateur. Cela présente des risques particuliers pour les droits et libertés des personnes concernées. 

Mettre en œuvre toutes les exigences avec notre Hintbox

La décision de l'autorité italienne de contrôle de la protection des données met en évidence deux aspects : Premièrement, la confidentialité et l'anonymat ne peuvent fondamentalement être garantis que par un système de dénonciation numérique. Deuxièmement, un tel système de dénonciation nécessite la mise en œuvre de certaines mesures techniques. Notre Hintbox a mis en œuvre toutes les exigences de la loi sur la protection des données et les spécifications des autorités de contrôle de la protection des données de manière conforme à la loi. 

Cryptage de bout en bout et cryptage de la base de données

Toutes les informations et communications entre le dénonciateur et le responsable de la conformité sont cryptées de bout en bout. En outre, les données contenues dans la base de données sont à nouveau cryptées. Les données sont hébergées dans un centre de données certifié ISO-27001 en Allemagne. 

Pas de suivi des adresses IP ou d'autres données relatives aux appareils

Aucune donnée ou information, telle que l'adresse IP ou d'autres données relatives à l'appareil, n'est stockée lors de l'utilisation de notre système de dénonciation. C'est le seul moyen de garantir la confidentialité et l'anonymat.

Nous vous aidons à réaliser votre analyse d'impact sur la protection des données

Bien entendu, nous soutenons votre entreprise gratuitement avec votre analyse d'impact sur la protection des données, afin que vous puissiez mettre en œuvre toutes les exigences de l'art. 35 DSGVO rapidement et correctement.