fr | en

Données personnelles - 4 enseignements à tirer de décisions de nos voisins européens

Le CEPD – groupement des CNIL européennes institué par le RGPD - a récemment relayé trois décisions intéressantes rendues par les autorités de contrôle roumaine et polonaises.

Ces décisions mettent en lumière quatre actions à mettre en œuvre dans le cadre de la conformité informatique et libertés.

  • Conclure des accords relatifs à la protection des données avec vos prestataires.

La Cnil polonaise a prononcé une sanction administrative de 40.000 € à l’encontre d’une mairie qui avait recours à des sous-traitants sans respecter les dispositions de la règlementation européenne. L’autorité a notamment relevé que, en violation de l’article 28 du RGPD, l’entité publique stockait des données à caractère personnel auprès d’un prestataire sans avoir conclu d’accord relatif à la protection des données.

https://edpb.europa.eu/news/national-news/2019/polish-supervisory-authority-imposed-first-administrative-fine-public-entity_fr

  • Déployer des mesures techniques et organisationnelles pour garantir la sécurité des données et notifier la Cnil en cas de violation.

Un établissement de crédit adressait les documents d’identités de demandeurs de prêts à deux employés d’une banque distincte qui, en violation des procédures internes, utilisait le système de credit scoring de la banque pour évaluer l’éligibilité de ces personnes aux crédits sollicités. La banque a été sanctionnée à une amende administrative d’un montant de 150.000 euros, après avoir notifié cette faille de sécurité qui avait touché 1177 individus. 

L’autorité de contrôle a considéré que l’accès non autorisé aux données s’est produit du fait des manquements de la banque à ses obligations de responsable de traitement. Elle n’avait pas mis en place les mesures techniques et organisationnelles appropriées pour assurer la sécurité et plus particulièrement, les mesures déployées n’étaient pas appropriées pour garantir que les employés de la banque traitent les données uniquement conformément à ses instructions.

L’établissement de crédit a quant à lui reçu une sanction administrative de 20.000 € pour défaut de notification de la violation de données.

https://edpb.europa.eu/news/national-news/2019/romanian-supervisory-authority-fines-raiffeisen-bank-sa-and-vreau-credit-srl_fr

  • Définir une base juridique adéquate aux traitements de données personnelles et, le cas échéant, respecter les règles de recueil du consentement

Une société a été condamnée à une amende administrative de 9.000 euros par l’autorité de contrôle roumaine.
La société collectait des données via son site internet afin d’adresser des newsletters par email, sur la base du consentement. Le formulaire de collecte faisait apparaître une case à cocher accompagné du texte suivant : « Je ne veux pas recevoir de « Personal Update » - information adressée quotidiennement par email, gratuitement, par [le site internet] ».

Or, cette technique dite de l’opt-out ne constitue pas un recueil de consentement valide en application du considérant 32 du RGPD selon lequel « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ».


https://edpb.europa.eu/news/national-news/2019/romanian-supervisory-authority-fines-inteligo-media-sa_fr

  • Permettre aux personnes concernées d’effectivement exercer leurs différents droits (accès, rectification, effacement, limitation, portabilité, retrait du consentement et opposition)

Une société s’est vu infliger une amende administrative d’un montant de 201.000 PLN, soit environ 47.000 euros, par l’autorité polonaise pour avoir rendu difficile voire impossible l’exercice de leurs droits par les personnes concernées. En l’occurrence, l’affaire portait sur le droit de retirer son consentement et le droit à l’oubli aussi appelé droit à l’effacement.

Le principe est que le retrait du consentement doit être aussi simple que son recueil. En l’occurrence, le process de retrait du consentement mis en œuvre par la société condamnée était trop complexe. Il contenait des messages trompeurs et, outrepassant les exigences de la loi, les personnes concernées étaient obligées de motiver le retrait de leur consentement, à défaut de quoi leur demande n’était pas prise en compte. D’autre part, l’entreprise ne respectait pas le droit à l’oubli puisqu’elle continuait à traiter certaines données qui avaient pourtant fait l’objet d’oppositions.

https://edpb.europa.eu/news/national-news/2019/polish-dpa-withdrawal-consent-shall-not-be-impeded_fr