L’autorité danoise de protection des données, Datatilsynet, a déposé une plainte pénale contre la Danske Bank. En même temps, elle a demandé qu’une Amende de l’équivalent de 1,37 million de CHF a été prononcée. La raison en était que la banque n’avait pas documenté, pour plus de 400 systèmes, le fait que Règles pour la suppression et le stockage de données personnelles ou que l’effacement a été effectué manuellement. Le montant de l’amende était basé sur la considération que l’obligation d’effacer les données est un principe essentiel du RGPD et que plusieurs millions de personnes étaient concernées (Communiqué de presse de la Beörde en danois).
La procédure a été précédée d’une enquête de l’autorité de protection des données, au cours de laquelle la Danske Bank a découvert que ses problèmes de suppression de données étaient plus importants qu’elle ne le pensait initialement. Elle avait elle-même révélé ce fait en 2020 en réponse aux questions de l’autorité (cette réponse est disponible en anglais). disponible ici). Aucune amende n’avait été infligée à l’époque, mais il semble que la banque n’ait pas beaucoup fait avancer son projet de suppression des données depuis lors. Dans une réaction à la plainte pénale de l’autorité de protection des données a commenté la banque comme suit :
Nous nous sommes constamment concentrés sur l’ajustement et la mise en œuvre des limites de temps pour la suppression des données dans nos systèmes, et nous avons bien progressé dans nos efforts. Tout au long du processus, nous avons eu un dialogue productif avec le DPA. Toutefois, nous avons également a dû reconnaître que la tâche est très complexe et que la mise en œuvre de limites de temps pour la suppression de données dans certains systèmes s’est avérée chronophage. Nous prenons à présent note de la recommandation du DPA et poursuivons la tâche de suppression des données que nous n’avons plus aucune raison de conserver dans l’attente de l’issue de la question.
Enseignements : il est tout à fait permis de révéler la non-conformité à une autorité, mais il faut alors s’atteler sérieusement à la résolution du problème. Et la suppression des données est très exigeante et coûteuse dans un environnement système complexe, mais cela n’empêche pas (plus) les autorités de prendre des sanctions.
Selon la LPD révisée, une suppression insuffisante n’est tout de même pas punissable, mais elle constitue une atteinte à la personnalité et peut conduire à des situations désagréables en cas de demande de renseignements (et, dans le cas d’établissements réglementés, elle peut soulever des questions de droit de surveillance).