L’autorité luxembourgeoise de protection des données (CNPD[1]) a rappelé à l’ordre une société, dont le nom n’a pas été communiqué[2], le 13 octobre 2021, pour ne pas avoir nommé un Délégué à la Protection des Données conformément aux exigences du RGPD[3].

La société avait nommé un Délégué à la Protection des Données (DPD) qui avait, en plus de ses fonctions de DPD, également le rôle de « Responsable de la conformité » et de « Directeur des signalements sur le blanchiment d’argent »[4].

La Commission a considéré qu’il y avait un conflit d’intérêts[5], car le DPD était en mesure de déterminer les finalités et les moyens des traitements, mais aussi de les contrôler.

La Commission reproche, par ailleurs, à la société que les coordonnées de ce DPD ne lui ont pas été communiquées[6] à la date de l’entrée en application du RGPD[7], mais quatre mois après.

Un simple rappel à l’ordre a été émis contre la société.

Lire :

Notes et références

  1. CNPD : Commission Nationale pour la Protection des Données (cnpd.lu).
  2. Le nom de la société n’a pas été communiqué par la Commission, mais son activité principale semble être en lien avec le domaine bancaire.
  3. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  4. Le nom original, en anglais, de la fonction est « Head of Compliance, Money Laundering Reporting Officer ».
  5. Le RGPD permet à un DPD « [d’]exécuter d’autres missions et tâches », à condition que « ces missions et tâches n’entraînent pas de conflit d’intérêts » (source : RGPD, article 38-6). Voir « Comment choisir un Délégué à la Protection des Données ? ».
  6. Lorsqu’un Délégué à la Protection est nommé, le RGPD demande que ses coordonnées soient « communiqu[ées] à l’autorité de contrôle » (source : RGPD, article 37-1).
  7. Le RGPD est entré en application le 25 mai 2018.