Amende record de 50 000€ en Belgique pour mauvaise désignation d’un DPO
Amende record de 50 000€ en Belgique pour mauvaise désignation d’un DPO
Le 28 avril 2020, l’Autorité de protection des données belge (APD) a prononcé une sanction de 50 000€ (la plus importante de son histoire) contre le premier opérateur de téléphonie mobile du pays, Proximus, principalement pour avoir désigné comme Data Protection Officer (DPO) un salarié dont les fonctions étaient incompatibles avec ce rôle.
L’APD a en effet considéré que le responsable du département groupant conformité, gestion des risques et audit avait un pouvoir décisionnaire trop important pour être à l’abri des conflits d’intérêts.
La question de la compatibilité des fonctions avec le rôle de DPO n’est que très sommairement abordée dans le Règlement Général sur la Protection des Données (RGPD), à l’article 38 (6), enjoignant seulement à veiller à éviter tout conflit d’intérêts : « Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts ».
Les lignes directrices adoptées en 2017 par le G29 (devenu depuis précisent EDPB) les contours de cette notion : « L’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance ».
C’est pourquoi il est généralement déconseillé de désigner un dirigeant, DG, DRH ou DSI à la fonction de DPO d’un organisme. De telles fonctions sont en effet souvent accompagnées de prérogatives permettant de déterminer les finalités et les moyens du traitement de données à caractère personnel, mettant à mal la séparation qui doit exister entre le responsable de traitement et son DPO.
De telles désignations sont néanmoins fréquentes en pratique, mais au regard de la taille de la société Proximus (CA 2019 de plus de 5 000M€, près de 13 000 salariés) et des volumes de données traitées, l’APD n’a pas appliqué la clémence dont elle aurait pu faire preuve face à une PME dans un cas similaire.
La société Proximus a d’ores et déjà indiqué renoncer à interjeter appel de cette décision.
Pour plus d’informations, lire l’article paru sur le site web des Échos.be : « Proximus écope d’une amende record pour non-respect du RGPD«
Je partage
Derniers articles
Responsable d’activité en cybersécurité H/F
Entreprise Chez DIGITEMIS, nous avons un objectif : transformer la cybersécurité et la protection des données personnelles en une priorité stratégique pour toutes les entreprises. Grâce à notre équipe d’experts passionnés, nous permettons à nos clients de prendre le contrôle de leur sécurité numérique. Lauréats du Pass French Tech, qualifiés PASSI par l’ANSSI et labellisés CNIL, […]
Comment la CNIL redessine la protection des données à l’échelle mondiale : stratégie 2025–2028
Face à la transformation numérique mondiale, la CNIL déploie une stratégie 2025–2028 ambitieuse. Objectif : fluidifier la coopération européenne, renforcer les standards internationaux de protection des données et affirmer une régulation équilibrée entre innovation et droits fondamentaux.