Les données confidentielles de millions de Norvégiens envoyées aux médias

Neuf journaux, radios et chaînes TV ont reçu des cédéroms contenant les déclarations fiscales de près de quatre millions de citoyens.

Des données confidentielles de millions de Norvégiens ont été envoyées par erreur aux médias, a reconnu mercredi le fisc norvégien.
Neuf journaux, radios et chaînes TV ont ainsi reçu des cédéroms contenant les déclarations fiscales de près de quatre millions de Norvégiens pour 2006 (une information publique en Norvège) mais aussi leurs numéros personnels, qui sont eux confidentiels.
Ce numéro personnel peut par exemple servir à changer d’adresse ou passer commande de produits.

« C’est très grave », a réagi la ministre norvégienne des Finances, Kristin Halvorsen, qui a convoqué le directeur du fisc pour lui demander des explications. « Mais rien n’indique que ces données ont été perdues et qu’elles sont tombées entre de mauvaises mains ».

Le fisc, qui a rappelé les cédéroms, a souligné que les documents ne pouvaient être ouverts qu’à l’aide d’un code, limitant la possibilité de voir les numéros personnels être largement diffusés.

En août 2007, l’Organisme norvégien de protection des données s’était inquiété que le numéro personnel de quelque 60.000 Norvégiens, dont celui de son propre directeur, avait été subtilisé sur internet.

_____________________________

Italie : « Nos données valent des millions »

Des grandes sociétés, qui d’habitude communiquent sur leur comportement correct vis-à-vis des clients, ont été prises les mains dans le sac. Maintenant il est interdit d’utiliser ces données. Les entreprises peuvent être sanctionnées pénalement. On en parle avec le rapporteur du décret, M.Mauro Paissan.

Elles avaient acheté des banques de données réunies illégalement, sans se soucier – comme prévoit la loi qui garantit la « privacy » - de vérifier leurs sources. Le garant de la privacy a sanctionné Wind, Sky, Fastweb, Tiscali et d’autres sociétés moins connues du grand public (Ammiro partners, Consodata et Telextra) pour avoir vendu leurs banques de données. Ses listes contenaient les noms de personnes qui n’avaient jamais accepté la cession de leurs données à des tiers ou leur utilisation à des buts commerciaux. Ces personnes étaient dérangées en continu au téléphone, sollicitées pour acheter des « paquets » télé ou téléphoniques : il y a eu des milliers de plaintes.

• Une de ces sociétés avait rentré dans son site Internet les noms de 15 millions de foyers, classés par revenus et styles de vie. Existe-il vraiment un si grand commerce de données, dont personne ne sait rien ?

Ces chiffres ne m’étonnent pas. Dans notre pays circulent des dizaines de millions de données personnelles. Et cela n’est pas un scandale, parce que vendre et acheter est légal, si ces données ont été réunies d’une façon correcte. Il faut bien le souligner : il faut une information correcte sur leur exploitation et un consentement de la personne en bonne et due forme. Il faut donner son ok soit pour recevoir des annonces commerciaux soit pour vendre ces données à un tiers.

• Les citoyens vous ont signifié que les données étaient exploitées d’une façon incorrecte ?

Pendant un an, on a reçu des milliers de signalisations de la part de citoyens dérangés sans relâche : des coups de fil, surtout à l’heure du diner, pour vendre de tout. Les citoyens les plus fragiles, comme les personnes âgées, risquent d’acheter des choses qu’elles ne veulent pas, sans pouvoir réagir. On a donc inspecté des centres d’appel, les sociétés qui avaient vendu les banques de données et celles qui les avaient achetées. On les a rappelées à l’ordre plusieurs fois, sans résultat. Alors on est passé à la phase « dure » : interdiction d’utiliser les banques de données et sanction pénale pour qui ne respectera pas cette interdiction. Ils risquent une condamnation de 3 mois à 2 ans de prison.

• Comment sont réunies les données sur nos habitudes ? Combien valent-elles ?

Elle valent plusieurs milliers d’euros, parce que le commerce porte sur des gros « paquets » de noms. Le point de départ est dans les vieux annuaires du téléphone, qui ensuite sont croisés avec d’autres banques de données, souvent légitimes, qu’on peut échanger sur Internet : informations sur les revenus, les habitudes de consommation, la résidence. Par exemple, récemment le ministère des finances a publié la liste des déclarations des revenus des contribuables. A partir de cela, il est possible de dessiner un « profil » des personnes, classées par catégories : le célibataire qui aime la musique classique, la famille qui achète une certaine quantité de couches par mois, le couple qui achète régulièrement de la nourriture pour chien ou aime acheter ses billet de voyage dans les sites last minute.

• Par exemple, quand je souscris à une carte de fidélité dans un supermarché puis-je être sûr qu’Auchan ou GS ne vont pas revendre mon profil ?

Il a toujours la même règle : il faut un consentement explicite. En théorie, le supermarché a le droit de vendre tes données, mais préalablement il faut qu’il te demande ton consentement. Mais en général ces opérateurs – comme les supermarchés – n’ont pas d’intérêt à vendre tes données à la concurrence. Le consentement ne peut pas être demandé ni par téléphone, ni par fax ou e-mail : il faut remplir un imprimé, en bonne et due forme, par exemple à l’intérieur du supermarché ou dans la rue. Certaines personnes ont donné leur consentement il y a quatre ans, avec la libéralisation des annuaires téléphoniques : en tout cas, on peut toujours revenir en arrière. Les entreprises qui achètent des banques de données doivent vérifier d’avoir toutes les autorisations obligatoires.

• Mais il ne s’est pas passé comme ça avec les grands de la téléphonie qui vous avez pris la main dans le sac.

Malheureusement non. Il était déjà illégal d’exploiter ces banques de données, maintenant ils risquent la prison.

• Le « garant » a besoin d’autres instruments législatifs ?

Comme il arrive dans d’autres pays européens, ou comme en a le droit l’Antitrust italien, on devrait pouvoir imposer des amendes sévères. Pour le moment, on signifie à l’entreprise qu’elle est en défaut

_____________________________

Les données des employés du secteur de la santé perdues en Grande Bretagne

Ce type d’incidents se reproduisant fréquemment, on pourrait finir par ne plus y porter attention.

On apprend une fois de plus la perte de données personnelles en Grande Bretagne. En juillet dernier, le NHS (National Health Agency), qui gére le système de santé britannique, a perdu quatre disques contenant des données sur 17.990 employés.

Les disques avaient été envoyés par la poste à un prestataire chargé d’établir les paies. La direction ne s’est aperçue de la perte des disques qu’au début de ce mois de septembre. Les données concernées comprenaient les noms, dates de naissance, numéros d’assurance, le salaire, etc ... Il n’y avait pas d’informations sur les comptes bancaires. La procédure du NHS ne prévoyait pas l’envoi par la poste.

Si cette semaine c’est le personnel du NHS qui est touché par la fuite d’informations, la semaine dernière c’était 15.000 patients qui étaient concernés à la suite du vol de bandes magnétiques non chiffrées.

On pourra reconnaître au final la grande transparence des organisations britanniques en ce qui concerne les pertes de données. Comparativement très peu de faits similaires sont rapportés pour la France. Est-ce la preuve que les entreprises de l’hexagone sont mieux protégées ?