L’autorité luxembourgeoise de protection des données (CNPD[1]) a sanctionné une société, dont le nom n’a pas été communiqué[2], le 27 octobre 2021, pour ne pas avoir nommé un Délégué à la Protection des Données conformément aux exigences du RGPD[3].

La société avait nommé un Délégué à la Protection des Données, mais la Commission luxembourgeoise a constaté qu’il ne réalisait pas ses missions[4], car :

  • il participait uniquement de façon ponctuelle aux questions relatives à la protection des données personnelles[5] ;
  • il n’était pas en lien direct avec les décideurs de l’entreprise[6] ;
  • il ne possédait pas de plan de contrôle permettant de s’assurer du respect du RGPD[7].

La Commission reproche, par ailleurs à la société de ne pas avoir communiqué ses coordonnées sur son site Web[8].

Une amende de 18 700 euros a été prononcée à l’encontre de la société.

Lire :

Notes et références

  1. CNPD : Commission Nationale pour la Protection des Données (cnpd.lu).
  2. Le nom de la société n’a pas été communiqué par la Commission, mais son activité principale semble être en lien avec les banques et les établissements de crédit.
  3. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  4. Un Délégué à la Protection des Données intervient dans toutes les phases de la réalisation d’un traitement de données personnelles. Ses missions précises sont détaillées dans l’article « Qu’est ce qu’un Délégué à la Protection des Données et quelles sont ses missions ? ».
  5. Le RGPD demande que le Délégué à la Protection des Données « soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel » (source : RGPD, article 38-1). La Commission a cependant constaté que le DPD de la société participait uniquement de façon ponctuelle aux réunions, alors que de nombreuses données personnelles étaient traitées.
  6. Le RGPD demande que le DPD fasse « directement rapport au niveau le plus élevé de la direction » de la société (source : RGPD, article 38-3). La Commission a cependant constaté que le DPD faisait partie d’un département de la société, sans lien direct avec la direction. Voir « Comment choisir un Délégué à la Protection des Données ? ».
  7. Le RGPD demande que le DPD « contrôle le respect du [RGPD], […] du droit de l’Union ou du droit des États membres en matière de protection des données » (source : RGPD, article 39-1-b). La Commission a cependant constaté qu’aucun plan de contrôle n’était réalisé et que le DPD ne pouvait donc pas s’assurer de la conformité du traitement au RGPD.
  8. Le RGPD demande, lorsque des données à caractère personnel sont collectées, que les coordonnées du Délégué à la Protection des Données soient publiées (source : RGPD, article 37-7). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».