Une société sanctionnée car son Délégué à la Protection des Données n’était pas en mesure de contrôler le respect du RGPD
Résumé et explications de la décision de l’autorité luxembourgeoise de protection des données N° 41FR/2021 du 27 octobre 2021.
Par Morgan Schmiedt
Publié le , mis à jour le
L’autorité luxembourgeoise de protection des données (CNPD) a sanctionné une société, dont le nom n’a pas été communiqué[1], le 27 octobre 2021, pour ne pas avoir nommé un Délégué à la Protection des Données conformément aux exigences du RGPD.
La société avait nommé un Délégué à la Protection des Données, mais la Commission luxembourgeoise a constaté qu’il ne réalisait pas ses missions[2], car :
- il participait uniquement de façon ponctuelle aux questions relatives à la protection des données personnelles[3] ;
- il n’était pas en lien direct avec les décideurs de l’entreprise[4] ;
- il ne possédait pas de plan de contrôle permettant de s’assurer du respect du RGPD[5].
La Commission reproche, par ailleurs à la société de ne pas avoir communiqué ses coordonnées sur son site Web[6].
Une amende de 18 700 euros a été prononcée à l’encontre de la société.
Lire :
Notes et références
- ↑Le nom de la société n’a pas été communiqué par la Commission, mais son activité principale semble être en lien avec les banques et les établissements de crédit.
- ↑Un Délégué à la Protection des Données intervient dans toutes les phases de la réalisation d’un traitement de données personnelles. Ses missions précises sont détaillées dans l’article « Qu’est ce qu’un Délégué à la Protection des Données et quelles sont ses missions ? ».
- ↑Le RGPD demande que le Délégué à la Protection des Données « soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel » (source : RGPD, article 38-1). La Commission a cependant constaté que le DPD de la société participait uniquement de façon ponctuelle aux réunions, alors que de nombreuses données personnelles étaient traitées.
- ↑Le RGPD demande que le DPD fasse « directement rapport au niveau le plus élevé de la direction » de la société (source : RGPD, article 38-3). La Commission a cependant constaté que le DPD faisait partie d’un département de la société, sans lien direct avec la direction. Voir « Comment choisir un Délégué à la Protection des Données ? ».
- ↑Le RGPD demande que le DPD « contrôle le respect du [RGPD], […] du droit de l’Union ou du droit des États membres en matière de protection des données » (source : RGPD, article 39-1-b). La Commission a cependant constaté qu’aucun plan de contrôle n’était réalisé et que le DPD ne pouvait donc pas s’assurer de la conformité du traitement au RGPD.
- ↑Le RGPD demande, lorsque des données à caractère personnel sont collectées, que les coordonnées du Délégué à la Protection des Données soient publiées (source : RGPD, article 37-7). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
Sigles et acronymes
- ↑RGPD : Règlement Général sur la Protection des Données