Dernières actualités : données personnelles

APD (autorité belge)

 100 000 euros d’amende pour l’opérateur ayant mis 14 mois à répondre à une demande d’exercice des droits

Dans une décision publiée le 23 aout 2024, l’autorité de protection des données belge a prononcé une amende de 100 000 euros à l’encontre d’un opérateur de télécommunications belge (dont le nom n’est pas publié) pour ne pas avoir répondu à une demande d’exercice des droits dans les temps, ou, plutôt, pour n’avoir obtenu une réponse qu’après que 14 mois se soient écoulés.

Il s’agissait au départ d’une demande d’information : n’ayant pas trouvé l’adresse du DPO concerné, celle-ci a adressé une demande en ce sens dans le chat Facebook Messenger de l’opérateur, mais l’employé de l’opérateur n’a pas su lui fournir ladite adresse.  L’employé s’étant tout de même proposé pour traiter la demande, le particulier a poursuivi sa démarche et a exercé son droit d’accès en demandant qui, parmi les employés de l’opérateur a accédé à ses données personnelles.  L’employé a répondu ne pas avoir la possibilité de le savoir, et que la demande se situe « au-delà de [son] champs d’intervention ».

Finalement, en l’absence de réponse et après les délais écoulés, le particulier a déposé une plainte auprès de l’APD qui l’a estimée recevable. Une enquête a été ouverte, à la suite de laquelle l’autorité a conclu « que la défenderesse n’a pas facilité l’exercice des droits de la personne concernée conformément à l’article 12.2 du RGPD en ce que bien qu’il existait un canal de communication électronique, elle n’a pas été en mesure de répondre à la demande du plaignant ou à la rediriger auprès – à titre d’exemple – de son DPO telle qu’elle aurait dû le faire afin de garantir toute l’effectivité de l’article 12.2 du RGPD et donc, de l’article 15 du RGPD exercé par le plaignant« .
Quand bien même la personne a reçu une réponse au cours de la procédure lancée par l’APD, l’autorité « relève que la violation des articles 12.3 et 15 du RGPD est indéniable, en ce que la défenderesse ne conteste pas avoir répondu à la demande d’accès du plaignant avec 14 mois de retard. En ayant répondu à la demande d’accès du plaignant bien au-delà du délai fixé par l’article 12.3 du RGPD, la défenderesse s’est rendue coupable d’une violation continue du droit d’accès du plaignant 14 mois durant. »

Conséquence pour la société ? Une amende de 100 000 euros.

Petit bonus : dans sa décision, l’APD précise que « concernant le canal de communication utilisé lors des échanges entre le plaignant et la défenderesse entre le 25 janvier 2022 et le 13 mars 2022, la Chambre Contentieuse tient à rappeler à titre strictement informatif et sans que cela ne puisse constituer une quelconque prise de position de sa part qui pourrait aboutir à une sanction que la défenderesse doit, en plus de garantir que les réponses accordées aux plaignants via le chat Facebook soient d’une qualité suffisante, s’assurer que ce canal de communication réponde aux exigences de sécurité appropriées telles que définies aux articles 5.1.f), 24, 25 et 32 du RGPD. »

Disponible (en anglais) sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

noyb poursuit la DPA suédoise en justice pour avoir refusé de traiter correctement des plaintes

Contrairement à la législation européenne, l’autorité suédoise de protection des données (IMY) refuse régulièrement de traiter correctement les plaintes des personnes concernées. Même après un arrêt de la Cour administrative suprême de Suède, l’IMY se contente souvent de transmettre une plainte à l’entreprise qui traite illégalement des données à caractère personnel, puis de clore immédiatement le dossier sans mener d’enquête. Pourtant, le GDPR stipule clairement que les autorités doivent non seulement traiter chaque plainte, mais aussi remédier à la situation. noyb poursuit l’IMY en justice pour s’assurer qu’elle se conforme enfin à ses obligations.

The IMY doesn't properly deal with complaints

Disponible sur: noyb.eu

APD (autorité belge)

L’APD adresse un avertissement à un candidat aux élections en lui rappelant que la publicité politique est également soumise aux règles liées à la prospection

Par une décision prise le 16 mai 2024 dans le cadre des élections européennes de cette année, l’APD réaffirme que « lorsqu’une personne concernée exerce son droit d’opposition au traitement de données à caractère personnel à des fins de marketing, inclus la promotion d’un programme électoral, les données ne peuvent plus être traitées pour ces finalités et le traitement doit par conséquent cesser ». En conséquence, l’autorité a adressé un avertissement au candidat (dont le nom n’a pas été divulgué) qui s’adonnait à du ‘spam politique’ et refusait d’accueillir favorablement le droit d’opposition du plaignant, alors même qu’il a été constaté le plaignant n’a pas donné son consentement au traitement de ses données à caractère personnel à des fins de marketing direct de son programme électoral.

Aussi, l’autorité profite de cette affaire pour rappeler que « l’envoi de messages électroniques sur l’ordinateur de la personne concernée étant particulièrement intrusif, les intérêts ou les libertés et droits fondamentaux de la personne concernée pèsent en principe plus lourd dans la balance que les intérêts légitimes du responsable du traitement. L’envoi de messages électronique n’est donc admissible que si la personne concernée donne au préalable son consentement en vue d’un tel traitement de ses données à caractère personnel. Il est en effet légitime que l’électeur doive d’abord donner au préalable son consentement avant qu’une telle communication à des fins de marketing direct puisse lui être adressée

Disponible sur: autoriteprotectiondonnees.be
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut