Suite à une plainte déposée par noyb, le Commissaire à l'information et à la protection des données (PIDC) a infligé une amende de 65 000 € à la société informatique C-Planet. La société avait illégalement collecté les données de 98% des électeurs maltais, y compris leurs préférences politiques, et n'avait pas pris les mesures appropriées de protection des données. C-Planet n'a informé ni les utilisateurs ni l'autorité de protection des données de la violation des données.
Télécharger : Décision du PIDC contre C-PLANET
Plainte déposée en 2020 En novembre 2020,noyba déposé une plainte contre C-Planet IT Solutions, la société responsable de l'énorme fuite d'une base de données d'électeurs à Malte. Les informations personnelles divulguées comprenaient des numéros de téléphone, des dates de naissance, des intentions de vote et des penchants partisans de plus de 330 000 personnes concernées.
Pas de base légale.l'IDPC a estimé que les données avaient été traitées sans aucune base juridique valable au titre des articles 6 et 9 du GDPR. Le commissaire à la décision a conclu que l'identifiant numérique dans la base de données faisait référence aux opinions politiques des personnes concernées affectées. Cette catégorie de données est sensible et ne peut être traitée que dans des circonstances très exceptionnelles en vertu du GDPR. Ces conditions n'étaient pas remplies
Source des données inconnue.c-Planet a prétendu que les données lui avaient été fournies par l'un de ses clients, mais le client en question a rejeté ces allégations. Leur nom a également été caviardé dans la décision de l'IDPC qui ne détermine pas l'origine des données
"Si la décision montre que la gravité de l'affaire a été prise au sérieux, ce qui est inquiétant, c'est que nous ne savons toujours pas comment et pourquoi une société informatique collecte et stocke ce type de données. Il n'y a aucune garantie que cela ne se reproduira pas." Romain Robert, directeur de programme à la noyb
Négligence coupable Le PIDC a conclu que C-Planet n'avait pas mis en œuvre les mesures techniques et organisationnelles appropriées au risque, ce qui a conduit à la violation des données. La décision confirme également que C-Planet n'a pas notifié la violation de données personnelles au PIDC en temps utile et n'a pas informé les personnes concernées.
Amende de 65 000 €.l'IDPC a infligé une amende de 65 000 €, en tenant également compte de l'impact potentiel grave sur les personnes concernées et du risque élevé pour leurs droits et libertés. L'IDPC a également ordonné à C-Planet d'effacer toutes les données à caractère personnel traitées illégalement. Laction collective contre C-Planet, initiée par la Fondation Daphne et Repubblika, est toujours en cours.
"Cette affaire montre l'importance de la protection des données pour la démocratie et les libertés des personnes. Collecter et traiter les intentions de vote de la population est non seulement illégal, mais aussi dangereux, surtout à une époque où la manipulation politique en ligne est un sujet si brûlant." Romain Robert, directeur de programme chez noyb.