Amende record de 50 000€ en Belgique pour mauvaise désignation d’un DPO

Le 28 avril 2020, l’Autorité de protection des données belge (APD) a prononcé une sanction de 50 000€ (la plus importante de son histoire) contre le premier opérateur de téléphonie mobile du pays, Proximus, principalement pour avoir désigné comme Data Protection Officer (DPO) un salarié dont les fonctions étaient incompatibles avec ce rôle.

L’APD a en effet considéré que le responsable du département groupant conformité, gestion des risques et audit avait un pouvoir décisionnaire trop important pour être à l’abri des conflits d’intérêts.

La question de la compatibilité des fonctions avec le rôle de DPO n’est que très sommairement abordée dans le Règlement Général sur la Protection des Données (RGPD), à l’article 38 (6), enjoignant seulement à veiller à éviter tout conflit d’intérêts : « Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts ».

Les lignes directrices adoptées en 2017 par le G29 (devenu depuis précisent EDPB) les contours de cette notion : « L’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance ».

C’est pourquoi il est généralement déconseillé de désigner un dirigeant, DG, DRH ou DSI à la fonction de DPO d’un organisme. De telles fonctions sont en effet souvent accompagnées de prérogatives permettant de déterminer les finalités et les moyens du traitement de données à caractère personnel, mettant à mal la séparation qui doit exister entre le responsable de traitement et son DPO.

De telles désignations sont néanmoins fréquentes en pratique, mais au regard de la taille de la société Proximus (CA 2019 de plus de 5 000M€, près de 13 000 salariés) et des volumes de données traitées, l’APD n’a pas appliqué la clémence dont elle aurait pu faire preuve face à une PME dans un cas similaire.

La société Proximus a d’ores et déjà indiqué renoncer à interjeter appel de cette décision.

Pour plus d’informations, lire l’article paru sur le site web des Échos.be : « Proximus écope d’une amende record pour non-respect du RGPD« 

Je partage

William BAFFARD

Titulaire d'un DEA "Informatique et Droit", j'ai exercé près de 15 ans en tant que juriste d'entreprise dans différents domaines du droit des affaires. J'ai rejoint Digitemis en 2018 pour me consacrer pleinement au droit de la protection des données personnelles, au profit de clients externes dont les secteurs d'activité et les enjeux sont variés.

Derniers articles

La norme ISO 22301 sur la continuité d’activité

La norme ISO 22301 a été créée en 2012 par l’Organisation Internationale de Normalisation (ISO) pour aider les entreprises à minimiser les risques liés à une situation de crise. DIGITEMIS vous informe sur ce dispositif.

Lire l'article

Tests d’intrusion automatisés vs pentesters humains

Digitemis vous propose un comparatif Tests d’intrusion automatisés VS pentesters humains pour que vous sachiez quelle solution choisir selon le profil de votre entreprise. En effet, avec le passage au tout numérique, les entreprises sont de plus en plus sensibles à la sécurité de leurs réseaux et de leurs données.

Lire l'article