La Data Protection Commission (DPC) est l’autorité régulatrice de la protection des données en Irlande, équivalent de la CNIL en France. Elle veille à la stricte mise en application du RGPD sur le territoire irlandais. Dans le cadre de ses missions, la DCP s’est engagée à publier régulièrement des études de cas pour accompagner les organismes soumis au RGPD.
L’Agence RGPD met en lumière quelques-uns de ces cas pratiques :
Demande de rectification de ses données et preuve de l’identité (cas n°23) :
Faits : un client souhaite modifier l’adresse mail de son compte client auprès d’une société. Avant d’accepter, la société lui demande une copie de sa pièce d’identité pour confirmer qu’il est bien le propriétaire du compte. Refusant de fournir ce document, sa demande n’est pas traitée.
Recommandations :
-
La demande de la carte d’identité ne doit pas être systématique pour traiter une telle demande.
-
La société doit s’assurer que les agents appliquent la procédure standard leur indiquant de guider les utilisateurs vers les paramètres de leur compte, où ils peuvent modifier d’eux-mêmes, leurs données personnelles.
Perte d’une clé USB non sécurisée (cas n°37) :
Faits : une entreprise privée envoie par voie postale, un colis contenant une clé USB non cryptée. Cette clé, renfermant des photographies de mineurs capturées lors d’un événement éducatif, s’égare en chemin.
Recommandations :
-
Il est vivement recommandé de mettre en place une politique de chiffrement pour les « dispositifs de stockage amovibles » (comme les clés USB, les disques durs externes…).
-
Une méthode d’expédition plus sécurisée pour le matériel sensible est également préconisée.
Publication non consentie d’une photographie (cas n°112) :
Faits : un individu porte plainte car sa photo a été utilisée sans son consentement dans la newsletter d’une entreprise.
Recommandations :
-
Mettre en place un formulaire de consentement spécifique pour la photographie, l’audio et la vidéo : à faire compléter et signer avant toute collecte d’images ou d’enregistrements.
-
Distribuer au personnel une brochure d’information sur le consentement avant l’utilisation de photographies, d’audio et/ou de vidéos.