Rétrospective des activités de l’Autorité de la Protection des données sur 2021 : ce ne sont pas que les géants de la tech qui sont sanctionnés !
Publication date
1 March 2022
Un constat peut être tiré des chiffres provisoires transmis par l’Autorité belge de la protection des données (« APD ») : le nombre de signalements, de plaintes et de demandes d’informations et de requêtes de médiation a largement augmenté en 2021 par rapport à 2020 [1].
L’augmentation des plaintes reçues indique que les citoyens sont de plus en plus sensibles à la protection de leurs données. En parallèle, les décisions rendues par l’APD sont chaque année de plus en plus nombreuses et les amendes administratives, plus importantes. Celles-ci n’égalent toutefois pas encore les sanctions pécuniaires, beaucoup plus élevées, des autorités de protection des données des pays voisins. On pense principalement au Luxembourg et à la France qui sont dans les 10 pays de pays de l’Union-Européenne ayant prononcé les amendes les plus élevées [2].
Et ce n’est pas tout : l’année 2022 semble commencer sur les chapeaux de roue… L’Autorité belge de la protection des données a en effet publié une décision le 2 février 2022, dans laquelle elle condamne IAB Europe à une amende de250.000 EURpour absence ou insuffisance de fondement pour le traitement de données à caractère personnel effectué par cette dernière! Vous pouvez consulter la décision en cliquant sur le lien suivant.
Ce ne sont pas que les géants de la tech qui sont touchés et sanctionnés par les autorités de protection des données européennes.
À titre d’exemple, nous avons résumé ci-dessous plusieurs décisions frappées de sanctions pécuniaires, rendues par l’Autorité de la protection des données belge en 2021:
Secteur
Montant en EUR de la sanction
Article(s) du Règlement général sur la protection des données (« RGPD ») violé(s)
Fondement
Date de la décision et liens
Bancaire
75.000 EUR
38(6) RGPD
Conflit d’intérêt impliquant le délégué à la protection des données. Le délégué à la protection des données était également le directeur du département auquel il devait rendre des comptes en tant que délégué à la protection des données.
La personne concernée avait reçu à plusieurs reprises des courriels publicitaires de la société, bien qu’elle se soit opposée au traitement de ses données personnelles et qu’elle ait demandé la suppression de ses données. La société défenderesse s’est par ailleurs abstenue de répondre aux demandes de renseignements formulées par l’autorité de protection des données. En outre, la société n’a pas non plus suffisamment informé la personne concernée du traitement de ses données personnelles.
Art. 5.1 a), 5.2, 6.1, 12.1, 13.1 c) et d) et 13.2 b) du RGPD
Manque de transparence dans la déclaration de confidentialité d’une compagnie d’assurances L’objet de la plainte concernait l’utilisation de données de santé obtenues auprès de la personne concernée par la compagnie d’assurances dans le cadre d’une assurance hospitalisation à d’autres fins, sans le consentement explicite de la personne concernée assurée.
Consultation illicite des données personnelles et refus de droit d’accès + mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
Une agence de publicité avait envoyé à de futures mamans des coffrets cadeaux contenant des échantillons de produits, des bons d’achat, ainsi que des informations sur la grossesse et la naissance. Les articles en question étaient toutefois envoyés par des partenaires auxquels la société offrirait les données à caractère personnel des personnes concernées. La société demandait le consentement de toutes les personnes concernées concernant le transfert de leurs données personnelles à des tiers à des fins de marketing. Toutefois, l’autorité belge de protection des données a été informée que la société n’avait pas tenu compte de la révocation du consentement d’une personne concernée et qu’elle avait continué à utiliser ses informations personnelles pour recevoir des messages publicitaires de tiers.
Pour rappel, l’APD peut infliger des sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel à l’échelle mondiale d’une entreprise.
Comment faire pour éviter de telles sanctions ?
Plusieurs actions peuvent être mises en place en amont pour mitiger ce risque. Il est en effet conseillé de prendre les mesures nécessaires prévue par le RGPD pour toute entreprise qui traite des données à caractère personnel (mise en place d’un registre des activités, politique de confidentialité pour informer les personnes concernées, évaluer les fondements et bases légales des activités de traitement, vérifier si les pratiques de marketing direct sont légales, évaluer les mesures de sécurités mises en place, vérifier les politiques internes en cas de pertes ou vol de données, etc.).
Ensuite, il faut veiller à traiter les demandes des personnes concernées en mettant en place des mesures de suivi de ces demandes, et prendre des actions concrètes.
Finalement, en cas d’enquête de l’APD à votre égard, il sera utile de suivre certains conseils afin – de tenter – d’éviter une sanction.
Nous pouvons vous assister dans la mise en place de ces différentes mesures et évaluer le niveau d’adéquation de celles-ci. N’hésitez pas à nous contacter en cas de question
En avril ou mai prochain, l’APD publiera son rapport définitif sur l’ensemble des activités menées en 2021. Consultez donc fréquemment la page relative aux actualités de notre site pour rester informés !
Blandine de Lange
Avocate
blandine.delange@moov.law
[1] Extraits des déclarations de Mme Aurélie Waeterinckx, porte-parole de l’Autorité qui indique que les chiffres provisoires de l’Autorité sont le suivants : nombre de plaintes concernant des fuites de données : 1885 plaintes pour 2021 contre 668 plaintes en 2020, nombre de signalements : 1148 contre 1097 en 2020, de demandes d’informations (4156 en 2021 contre 4123 2020) et requêtes de médiation (141 traitées contre 89). Chiffres provisoires tels que publiés dans l’article de A. Lucina « L’autorité de protection des données a reçu presque 200 plaintes en 2021 », Le Soir, 17 janvier 2021. Les données définitives seront publiées par l’Autorité en avril ou mai de cette année.
Suite à la décision historique Kwantum (C-227/23) du 24 octobre 2024 de la Cour de Justice de l’Union européenne, une œuvre utilitaire d’origine extérieure à…
Le licenciement d’un travailleur est parfois une option inévitable. L’employeur doit être attentif aux formalités liées à la rupture afin d’éviter que le licenciement soit…
Le rapport annuel (2023-2024) du SPF Economie, P.M.E., Classes moyennes et Energie (ci-après « SPF Économie ») quant au filtrage des investissements étrangers directs a été publié…
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.