Amende record de 50 000€ en Belgique pour mauvaise désignation d’un DPO

Le 28 avril 2020, l’Autorité de protection des données belge (APD) a prononcé une sanction de 50 000€ (la plus importante de son histoire) contre le premier opérateur de téléphonie mobile du pays, Proximus, principalement pour avoir désigné comme Data Protection Officer (DPO) un salarié dont les fonctions étaient incompatibles avec ce rôle.

L’APD a en effet considéré que le responsable du département groupant conformité, gestion des risques et audit avait un pouvoir décisionnaire trop important pour être à l’abri des conflits d’intérêts.

La question de la compatibilité des fonctions avec le rôle de DPO n’est que très sommairement abordée dans le Règlement Général sur la Protection des Données (RGPD), à l’article 38 (6), enjoignant seulement à veiller à éviter tout conflit d’intérêts : « Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts ».

Les lignes directrices adoptées en 2017 par le G29 (devenu depuis précisent EDPB) les contours de cette notion : « L’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance ».

C’est pourquoi il est généralement déconseillé de désigner un dirigeant, DG, DRH ou DSI à la fonction de DPO d’un organisme. De telles fonctions sont en effet souvent accompagnées de prérogatives permettant de déterminer les finalités et les moyens du traitement de données à caractère personnel, mettant à mal la séparation qui doit exister entre le responsable de traitement et son DPO.

De telles désignations sont néanmoins fréquentes en pratique, mais au regard de la taille de la société Proximus (CA 2019 de plus de 5 000M€, près de 13 000 salariés) et des volumes de données traitées, l’APD n’a pas appliqué la clémence dont elle aurait pu faire preuve face à une PME dans un cas similaire.

La société Proximus a d’ores et déjà indiqué renoncer à interjeter appel de cette décision.

Pour plus d’informations, lire l’article paru sur le site web des Échos.be : « Proximus écope d’une amende record pour non-respect du RGPD« 

Je partage

William BAFFARD

Titulaire d'un DEA "Informatique et Droit", j'ai exercé près de 15 ans en tant que juriste d'entreprise dans différents domaines du droit des affaires. J'ai rejoint Digitemis en 2018 pour me consacrer pleinement au droit de la protection des données personnelles, au profit de clients externes dont les secteurs d'activité et les enjeux sont variés.

Derniers articles

Contrôle CNIL, comment bien s’y préparer ?

En tant que régulateur des données personnelles dans l’univers numérique, la Commission Nationale de l’Informatique et des Libertés (CNIL) se positionne en tant que partenaire des entreprises, les guidant vers la conformité tout en soutenant les particuliers dans l’exercice de leurs droits. L’une de ses missions consiste à garantir la conformité des entreprises au Règlement Général sur la Protection des Données et à la loi Informatique et Libertés. Dans cette optique, la CNIL est habilitée à entreprendre des contrôles.
Cet article vise à explorer en détail le processus de contrôle de la CNIL, offrant ainsi des clés essentielles pour une préparation efficace face à ces évaluations cruciales.

Lire l'article

DMA, DGA, DSA, DA : quels sont ces nouveaux règlements ?

De nouveaux règlements européens viennent s’ajouter au RGPD, élargissant ainsi la protection des données. Cette évolution règlementaire a un impact majeur sur les entreprises et les utilisateurs. Cet article examine quatre règlements essentiels : le Digital Markets Act, le Data Governance Act, le Digital Services Act et le Digital Act (DA). Chacun de ces règlements exerce une influence significative sur le paysage numérique, abordant des sujets allant de la régulation des géants de la technologie à la gestion des données et à la protection de la vie privée.

Lire l'article