Une société rappelée à l’ordre pour le conflit d’intérêts de son Délégué à la Protection des Données
L’autorité luxembourgeoise de protection des données (CNPD) a rappelé à l’ordre une société, dont le nom n’a pas été communiqué[1], le 13 octobre 2021, pour ne pas avoir nommé un Délégué à la Protection des Données conformément aux exigences du RGPD.
La société avait nommé un délégué à la protection des données (DPO) qui avait, en plus de ses fonctions de DPO, également le rôle de « Responsable de la conformité » et de « Directeur des signalements sur le blanchiment d’argent »[2].
La Commission a considéré qu’il y avait un conflit d’intérêts[3], car le DPO était en mesure de déterminer les finalités et les moyens des traitements, mais aussi de les contrôler.
La Commission reproche, par ailleurs, à la société que les coordonnées de ce DPO ne lui ont pas été communiquées[4] à la date de l’entrée en application du RGPD[5], mais quatre mois après.
Un simple rappel à l’ordre a été émis contre la société.
Lire :
Notes et références
- ↑Le nom de la société n’a pas été communiqué par la Commission, mais son activité principale semble être en lien avec le domaine bancaire.
- ↑Le nom original, en anglais, de la fonction est « Head of Compliance, Money Laundering Reporting Officer ».
- ↑Le RGPD permet à un DPO « [d’]exécuter d’autres missions et tâches », à condition que « ces missions et tâches n’entraînent pas de conflit d’intérêts » (source : RGPD, article 38-6). Voir « Comment choisir un Délégué à la Protection des Données ? ».
- ↑Lorsqu’un Délégué à la Protection est nommé, le RGPD demande que ses coordonnées soient « communiqu[ées] à l’autorité de contrôle » (source : RGPD, article 37-1).
- ↑Le RGPD est entré en application le 25 mai 2018.