- L’autorité autrichienne de protection des données a constaté que l’article 3, paragraphe 2, point a) du RGPD était applicable en Autriche en raison de l’orientation de l’offre.
- Le responsable a enfreint l’article 13 du RGPD en raison d’une obligation d’information insuffisante ; la fourniture d’informations concrètes a été ordonnée dans un délai de quatre semaines.
L’autorité autrichienne de protection des données a émis une injonction à l’encontre d’une entreprise basée en Suisse pour violation du RGPD (Décision du 22 août 2019, PDF). La société concernée semblait exploiter un site web avec le domaine national .at, fournissait des services en Autriche et y exploitait également des hôtels. Le plaignant, qui a saisi l’autorité, résidait en Autriche (et y était titulaire d’un doctorat en droit). Le point de départ de l’affaire semble avoir été un courrier électronique publicitaire, après des contacts qui n’ont pas abouti à une réservation.
L’autorité de protection des données a considéré – de manière évidente – que l’article 3, paragraphe 2, point a), du RGPD était rempli (orientation de l’offre). Ensuite, le responsable suisse a “collecté” des données personnelles via un formulaire de contact, raison pour laquelle l’article 13 du RGPD était applicable. L’obligation d’information a été violée parce que les informations requises étaient disponibles sur un site web, mais que le responsable n’en avait pas informé la personne concernée. De plus, toutes les informations requises n’ont pas été fournies avant la fin de la procédure. En particulier, l’indication d’un “responsable de la protection des données” était insuffisante, car le RGPD ne connaît pas cette notion (point de contact interne/représentant de l’OPC/UE ?). Les informations n’étaient pas non plus suffisamment concrètes ou manquaient à d’autres égards.
L’autorité a donc ordonné que les informations manquantes soient fournies dans un délai de quatre semaines.