L’autorité roumaine de protection des données (ANSPDCP[1]) a sanctionné le centre d’appel VALORIS CENTER, le 26 novembre 2021, pour n’avoir pas assuré la confidentialité des données de ses clients de son fournisseur conformément aux exigences du RGPD[2].

Une banque roumaine, dont le nom n’a pas été communiqué, sous-traitait une partie de ses activités au centre d’appel de la société Valoris Center. Un des employés de ce centre d’appel a envoyé par erreur, à un client de la banque, un document Excel contenant les informations relatives aux services en ligne de la banque de 11 169 clients. Le document transmis contenait notamment : les noms du client, leur adresse e-mail, leur numéro de téléphone, leur nom d’utilisateur, leur identifiant et leur code d’accès.

La Commission roumaine reproche à la société Valoris Center, non pas la divulgation des données de ses clients[3], mais le fait d’avoir réaliser un traitement non autorisé sur les données de son fournisseur[4] et de n’avoir pas pris des mesures adaptées pour garantir la confidentialité des données[5].

Une amende de 2 000 € a été prononcée à l’encontre de la société.

Lire :

Notes et références

  1. ANSPDCP : Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (dataprotection.ro).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. La perte ou la divulgation de données personnelles ne sont pas un manquement au RGPD en soi, car le texte demande uniquement aux responsables de traitement de prendre des mesures adaptées, pas de garantir un résultat. Voir « Une entreprise est-elle sanctionnée en cas de perte ou vol de données ? ».
  4. Le RGPD indique que le sous-traitant « ne peut pas traiter ces données, excepté sur instruction du responsable du traitement » (source : RGPD, article 29). La société ne pouvait donc pas traiter les données de la banque, responsable du traitement, sans son accord.
  5. Le RGPD demande que « des mesures techniques et organisationnelles appropriées [soient mises en œuvre] afin de garantir un niveau de sécurité adapté [notamment] des moyens permettant de garantir la confidentialité » des données (source : RGPD, article 32-1-b). La société aurait donc dû prendre des mesures pour garantir la confidentialité des données confiées par la banque.