Amende record de 50 000€ en Belgique pour mauvaise désignation d’un DPO

Le 28 avril 2020, l’Autorité de protection des données (APD) belge a prononcé une sanction de 50 000€ (la plus importante de son histoire) contre le premier opérateur de téléphonie mobile du pays, Proximus, principalement pour avoir désigné comme DPO un salarié dont les fonctions étaient incompatibles avec ce rôle.

L’APD a en effet considéré que le Responsable du département groupant conformité, gestion des risques et audit avait un pouvoir décisionnaire trop important pour être à l’abri des conflits d’intérêts.

La question de la compatibilité des fonctions avec le rôle de DPO n’est que très sommairement abordée dans le RGPD, à l’article 38 (6), enjoignant seulement à veiller à éviter tout conflit d’intérêts :

« Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. »

Les lignes directrices adoptées en 2017 par le G29 précisent les contours de cette notion :

« L’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance. »

C’est pourquoi il est généralement déconseillé de désigner un dirigeant, DG, DRH ou DSI au rôle de DPO d’un organisme. De telles fonctions sont en effet souvent accompagnées de prérogatives permettant de déterminer les finalités et les moyens du traitement de données à caractère personnel, mettant à mal la séparation qui doit exister entre le responsable de traitement et son DPO.

De telles désignations sont néanmoins fréquentes en pratique, mais au regard de la taille de la société Proximus (CA 2019 de plus de 5 000M€, près de 13 000 salariés) et des volumes de données qu’elle traite, l’APD n’a pas appliqué la clémence dont elle aurait pu faire preuve face à une PME dans un cas similaire.

La société Proximus a d’ores et déjà indiqué renoncer à interjeter appel de cette décision.

https://www.lecho.be/entreprises/telecom/proximus-ecope-d-une-amende-record-pour-non-respect-du-rgpd/10227851.html

Je partage

Derniers articles

miniature article interet legitime europe

La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaise a sanctionné une société de diffusion de matchs de football pour violation des règles de protection des données personnelles. Cette décision a provoqué un débat européen autour de la notion d’intérêt légitime. Alice Picard, notre juriste consultante Protection des Données, revient dans le détail sur les ressorts de ce débat.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article