L’autorité de protection des données de Basse-Saxe (LfD), en Allemagne, a sanctionné la société VOLKSWAGEN, le 26 juillet 2022, pour avoir enregistré des images et de la circulation sans respecter les exigences du RGPD.

Des véhicules équipés de caméras ont été arrêtés par la police autrichienne pour un contrôle. Les véhicules, qui appartenaient à une société missionnée par VOLKSWAGEN, filmaient la circulation pour tester et entrainer le système d’aide à la conduite du constructeur. Ces véhicules étaient, par ailleurs, munis de plaques magnétiques « avec un symbole de caméra ».

La Commision allemande a indiqué que l’enregistrement effectué par les véhicules était un traitement de données à caractère personnel. Les véhicules devaient, par conséquent, communiquer les informations[1] relatives à la protection des données aux usagers de la route et aux éventuelles personnes filmées.

Par ailleurs, la LfD reproche également au constructeur allemand :

  • de ne pas avoir effectué une analyse d’impact, qui « doit permettre d’évaluer les risques et de les atténuer avant le début d’un tel traitement »[2] ;
  • de ne pas avoir conclu un contrat avec l’entreprise sous-traitante pour préciser les modalités de traitement des données ;
  • de ne pas avoir expliqué dans le registre interne des activités les mesures de protection techniques et organisationnelles prises concernant ce traitement de données[3].

Une amende de 1,1 million d’euros a été prononcée contre VOLKSWAGEN, soit 0,0004 % de son chiffre d’affaires[4] et 0,007 % de son résultat net.

Lire :

Notes et références

  1. Lorsque des données à caractère personnel sont traitées, le RGPD demande de communiquer certaines informations précises aux personnes, notamment les coordonnées du Délégué à la Protection des Données, les durées de conservation des données ou les bases juridiques du traitement (source : RGPD, article 13). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  2. Le RGPD demande qu’une analyse d’impact soit réalisée « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (source : RGPD, article 35-1). Voir « Faut-il réaliser une analyse d’impact avant de traiter des données personnelles ? ».
  3. Le RGPD demande, dans la plupart des cas, de tenir un registre détaillant les activités réalisées sur les données à caractère personnel (source : RGPD article 30).
  4. La société VOLKSWAGEN a déclaré un chiffre d’affaires de 250,2 milliards d’euros pour l’année 2021 pour un résultat net de 15,428 milliards (source : Volkswagen, Rapport Annuel 2021, page 219, en anglais).

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données