Polo­gne : Amen­de RGPD de 220’000 EUR (vio­la­ti­on de la transparence)

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

,

Thè­mes

, , , ,
Ven­te à emporter (AI)
  • Amen­de éle­vée (≈EUR 220’000) pour non-respect de l’ob­li­ga­ti­on de trans­pa­rence (art. 14 RGPD) après trai­te­ment com­mer­cial de don­nées issues de regi­stres publics (6 mil­li­ons de per­son­nes concernées).
  • Mesu­res d’in­for­ma­ti­on insuf­fi­san­tes : Seu­le­ment ~90’000 per­son­nes infor­mées par e‑mail, argu­ment de coût pour l’ab­sence de noti­fi­ca­ti­on indi­vi­du­el­le reje­té ; l’au­to­ri­té a pris en comp­te l’in­ten­ti­on et le man­que de trans­pa­rence continu.

Selon les médi­as, l’au­to­ri­té polo­nai­se de sur­veil­lan­ce de la pro­tec­tion des don­nées a inf­li­gé une amen­de d’en­vi­ron EUR 220’000 de péna­li­tés. Le responsable a appa­rem­ment obte­nu des infor­ma­ti­ons de regi­stres publics et les a uti­li­sées pour un pro­duit com­mer­cial. Le trai­te­ment con­cer­nait envi­ron 6 mil­li­ons de per­son­nes concernées.

Le responsable n’a tou­te­fois infor­mé acti­ve­ment que les quel­que 90 000 per­son­nes dont il con­nais­sait l’adres­se élec­tro­ni­que. Pour des rai­sons de coûts, il a renon­cé à infor­mer indi­vi­du­el­le­ment les aut­res per­son­nes con­cer­nées, par exemp­le en leur envoyant une lett­re à leur adres­se posta­le ou en les appelant par télé­pho­ne, et la décla­ra­ti­on de pro­tec­tion des don­nées sur son site web a été jugée insuf­fi­san­te. En par­ti­cu­lier, selon l’au­to­ri­té, le responsable n’au­rait pas été obli­gé d’en­voy­er une décla­ra­ti­on de con­fi­den­tia­li­té par cour­ri­er recom­man­dé, ce que le responsable avait fait valoir.

Les fac­teurs sui­vants sem­blent avoir joué un rôle dans le cal­cul des amendes :

  • L’in­ten­ti­on du responsable, qui était con­sci­ent de son devoir d’information ;
  • la gra­vi­té de l’in­frac­tion, car une vio­la­ti­on de l’ob­li­ga­ti­on de trans­pa­rence (art. 14 RGPD) a pour effet d’empêcher les per­son­nes con­cer­nées d’e­xer­cer leurs droits ;
  • le fait que sur les 90 000 per­son­nes infor­mées, envi­ron 12 000 se sont oppo­sées au trai­te­ment, ce qui mont­re la mau­vai­se accep­t­ati­on du traitement ;
  • que le responsable n’a pas mis fin au trai­te­ment non trans­pa­rent pen­dant l’en­quête et qu’il n’a appa­rem­ment pas non plus décla­ré vou­loir ces­ser la violation

La que­sti­on de savoir si une décla­ra­ti­on de pro­tec­tion des don­nées sur le site web aurait été suf­fi­san­te si le responsable n’a­vait pas dis­po­sé des adres­ses des per­son­nes con­cer­nées reste ouverte.