2019
Les autorités de protection des données belges et allemandes collaborent sur le dossier de fuite de données Mastercard
L’Autorité de Protection des données belge (APD) ainsi que celle de Hesse en Allemagne ont été notifiées par l’entreprise Mastercard d’une fuite de données personnelles détectée le 19 aout 2019 qui aurait affecté un grand nombre de personnes, dont un nombre significatif seraient des clients allemands. Le siège de Mastercard se trouvant à Waterloo, l’APD collabore étroitement avec son homologue de Hesse et toutes les autres autorités compétentes afin de défendre les intérêts des personnes touchées.
Fuite de données : publication de données personnelles du programme « Priceless Specials »
Le 19 aout 2019, Mastercard a constaté que les données de clients du programme de fidélité « Priceless Specials » avaient été publiées sur internet pendant une certaine période de temps.
La fuite de données comprend des informations du type noms, numéros de cartes de paiement, adresses email, numéros de téléphone, adresses postales, sexe et dates de naissance.
L’entreprise ayant son siège social à Waterloo a notifié la violation de données à l’Autorité de protection des données belge, mais aussi, de par l’origine des personnes touchées, à l’Autorité de Hesse.
Mastercard a confirmé à l’APD qu’elle a déjà informé les personnes touchées de l’incident et a publié une FAQ sur le site web : https://www.mastercard.de/de-de/faq-pricelessspecials.html.
David Stevens, président de l’Autorité de protection des données : « Nous avons reçu depuis l’annonce de cet incident beaucoup de questions et de plaintes, nous voulons rassurer les utilisateurs : nous avons pris contact avec Mastercard afin d’obtenir des informations supplémentaires et nous suivons de près cette affaire en collaboration avec l’autorité de protection des données de Hesse et toutes les autres possibles autorités concernées. »
Mécanisme de collaboration transfrontalier : le principe du one-stop-shop
Le RGPD, entré d’application le 25 mai 2018, prévoit un mécanisme de collaboration entre les différentes autorités de protection de données nommé le guichet unique ou « one-stop-shop » dans les cas où le traitement de données personnelles a un impact pour des personnes de plusieurs pays membres de l’Union Européenne, ou quand un responsable du traitement possède des établissements dans plusieurs pays européens.
Le one-stop-shop prévoit qu’une seule autorité sera l’interlocutrice du responsable du traitement qui possède un établissement en Union européenne, tout en permettant aux autorités de contrôle « concernées » de participer à la décision.