Amende record de 50 000€ en Belgique pour mauvaise désignation d’un DPO

Le 28 avril 2020, l’Autorité de protection des données belge (APD) a prononcé une sanction de 50 000€ (la plus importante de son histoire) contre le premier opérateur de téléphonie mobile du pays, Proximus, principalement pour avoir désigné comme Data Protection Officer (DPO) un salarié dont les fonctions étaient incompatibles avec ce rôle.

L’APD a en effet considéré que le responsable du département groupant conformité, gestion des risques et audit avait un pouvoir décisionnaire trop important pour être à l’abri des conflits d’intérêts.

La question de la compatibilité des fonctions avec le rôle de DPO n’est que très sommairement abordée dans le Règlement Général sur la Protection des Données (RGPD), à l’article 38 (6), enjoignant seulement à veiller à éviter tout conflit d’intérêts : « Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts ».

Les lignes directrices adoptées en 2017 par le G29 (devenu depuis précisent EDPB) les contours de cette notion : « L’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance ».

C’est pourquoi il est généralement déconseillé de désigner un dirigeant, DG, DRH ou DSI à la fonction de DPO d’un organisme. De telles fonctions sont en effet souvent accompagnées de prérogatives permettant de déterminer les finalités et les moyens du traitement de données à caractère personnel, mettant à mal la séparation qui doit exister entre le responsable de traitement et son DPO.

De telles désignations sont néanmoins fréquentes en pratique, mais au regard de la taille de la société Proximus (CA 2019 de plus de 5 000M€, près de 13 000 salariés) et des volumes de données traitées, l’APD n’a pas appliqué la clémence dont elle aurait pu faire preuve face à une PME dans un cas similaire.

La société Proximus a d’ores et déjà indiqué renoncer à interjeter appel de cette décision.

Pour plus d’informations, lire l’article paru sur le site web des Échos.be : « Proximus écope d’une amende record pour non-respect du RGPD« 

Je partage

William BAFFARD

Titulaire d'un DEA "Informatique et Droit", j'ai exercé près de 15 ans en tant que juriste d'entreprise dans différents domaines du droit des affaires. J'ai rejoint Digitemis en 2018 pour me consacrer pleinement au droit de la protection des données personnelles, au profit de clients externes dont les secteurs d'activité et les enjeux sont variés.

Derniers articles

miniature article mission exploratoire metavers

Développement du métavers : ce que dit le rapport de la mission exploratoire

Initiée par plusieurs ministères (dont ceux de l’Économie et de la Culture), la mission exploratoire sur le développement des métavers a récemment rendu son rapport et ses conclusions. Les auteurs de ce rapport ont établi des constats, identifié les enjeux sous-jacents et émis des propositions sur le sujet. Décryptage par Alice Picard, notre juriste consultante en protection des données.

Lire l'article
miniature accord etats unis europe

Accord entre l’Union européenne et les États-Unis sur le transfert de données : jamais deux sans trois ?

Début octobre 2022, les États-Unis ont ouvert la voie à un nouvel accord renforçant la protection et le transfert des données personnelles avec l’Europe. Notre experte Marie Pontrucher fait un point complet sur les relations entre les États-Unis et l’Union européenne concernant le marché de la donnée.

Lire l'article