Data Protection

Rétrospective des activités de l’Autorité de la Protection des données sur 2021 : ce ne sont pas que les géants de la tech qui sont sanctionnés !

Publication date

1 March 2022

Un constat peut être tiré des chiffres provisoires transmis par l’Autorité belge de la protection des données (« APD ») : le nombre de signalements, de plaintes et de demandes d’informations et de requêtes de médiation a largement augmenté en 2021 par rapport à 2020 [1].

L’augmentation des plaintes reçues indique que les citoyens sont de plus en plus sensibles à la protection de leurs données. En parallèle, les décisions rendues par l’APD sont chaque année de plus en plus nombreuses et les amendes administratives, plus importantes. Celles-ci n’égalent toutefois pas encore les sanctions pécuniaires, beaucoup plus élevées, des autorités de protection des données des pays voisins. On pense principalement au Luxembourg et à la France qui sont dans les 10 pays de pays de l’Union-Européenne ayant prononcé les amendes les plus élevées [2].

Et ce n’est pas tout : l’année 2022 semble commencer sur les chapeaux de roue… L’Autorité belge de la protection des données a en effet publié une décision le 2 février 2022, dans laquelle elle condamne IAB Europe à une amende de 250.000 EUR pour absence ou insuffisance de fondement pour le traitement de données à caractère personnel effectué par cette dernière! Vous pouvez consulter la décision en cliquant sur le lien suivant.

Ce ne sont pas que les géants de la tech qui sont touchés et sanctionnés par les autorités de protection des données européennes.

À titre d’exemple, nous avons résumé ci-dessous plusieurs décisions frappées de sanctions pécuniaires, rendues par l’Autorité de la protection des données belge en 2021:

SecteurMontant en EUR de la sanctionArticle(s) du Règlement général sur la protection des données (« RGPD ») violé(s)FondementDate de la décision et liens
Bancaire75.000 EUR38(6) RGPDConflit d’intérêt impliquant le délégué à la protection des données. Le délégué à la protection des données était également le directeur du département auquel il devait rendre des comptes en tant que délégué à la protection des données. 16/12/21 Lien vers la décision
N/A10.000 EURArt. 12 (3) GDPR, Art. 14 (1), (2), (3) GDPR, Art. 15 GDPR, Art. 17 (1) c) GDPR, Art. 21 (2) GDPRLa personne concernée avait reçu à plusieurs reprises des courriels publicitaires de la société, bien qu’elle se soit opposée au traitement de ses données personnelles et qu’elle ait demandé la suppression de ses données. La société défenderesse s’est par ailleurs abstenue de répondre aux demandes de renseignements formulées par l’autorité de protection des données. En outre, la société n’a pas non plus suffisamment informé la personne concernée du traitement de ses données personnelles.08/12/21 Lien vers la décision
Assurance30.000 EURArt. 5.1 a), 5.2, 6.1, 12.1, 13.1 c) et d) et 13.2 b) du RGPDManque de transparence dans la déclaration de confidentialité d’une compagnie d’assurances   L’objet de la plainte concernait l’utilisation de données de santé obtenues auprès de la personne concernée par la compagnie d’assurances dans le cadre d’une assurance hospitalisation à d’autres fins, sans le consentement explicite de la personne concernée assurée.06/05/21 Lien vers la décision
Finance100.000 EURArt. 5 (1) f) GDPR, Art. 32 GDPRConsultation illicite des données personnelles et refus de droit d’accès + mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations26/04/21 Lien vers la décision
Agence publicitaire50.000 EURArt. 5 GDPR, Art. 6 GDPR, Art. 7 GDPR, Art. 13 GDPR, Art. 24 GDPR, Art. 25 GDPR, Art. 28 GDPRUne agence de publicité avait envoyé à de futures mamans des coffrets cadeaux contenant des échantillons de produits, des bons d’achat, ainsi que des informations sur la grossesse et la naissance. Les articles en question étaient toutefois envoyés par des partenaires auxquels la société offrirait les données à caractère personnel des personnes concernées. La société demandait le consentement de toutes les personnes concernées concernant le transfert de leurs données personnelles à des tiers à des fins de marketing. Toutefois, l’autorité belge de protection des données a été informée que la société n’avait pas tenu compte de la révocation du consentement d’une personne concernée et qu’elle avait continué à utiliser ses informations personnelles pour recevoir des messages publicitaires de tiers.27/01/21 Lien vers la décision

Pour rappel, l’APD peut infliger des sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel à l’échelle mondiale d’une entreprise.

Comment faire pour éviter de telles sanctions ?

Plusieurs actions peuvent être mises en place en amont pour mitiger ce risque. Il est en effet conseillé de prendre les mesures nécessaires prévue par le RGPD pour toute entreprise qui traite des données à caractère personnel (mise en place d’un registre des activités, politique de confidentialité pour informer les personnes concernées, évaluer les fondements et bases légales des activités de traitement, vérifier si les pratiques de marketing direct sont légales, évaluer les mesures de sécurités mises en place, vérifier les politiques internes en cas de pertes ou vol de données, etc.).

Ensuite, il faut veiller à traiter les demandes des personnes concernées en mettant en place des mesures de suivi de ces demandes, et prendre des actions concrètes.

Finalement, en cas d’enquête de l’APD à votre égard, il sera utile de suivre certains conseils afin – de tenter – d’éviter une sanction.   

Nous pouvons vous assister dans la mise en place de ces différentes mesures et évaluer le niveau d’adéquation de celles-ci. N’hésitez pas à nous contacter en cas de question 

En avril ou mai prochain, l’APD publiera son rapport définitif sur l’ensemble des activités menées en 2021. Consultez donc fréquemment la page relative aux actualités de notre site pour rester informés !

Blandine de Lange

Avocate

blandine.delange@moov.law


[1] Extraits des déclarations de Mme Aurélie Waeterinckx, porte-parole de l’Autorité qui indique que les chiffres provisoires de l’Autorité sont le suivants : nombre de plaintes concernant des fuites de données : 1885 plaintes pour 2021 contre 668 plaintes en 2020, nombre de signalements : 1148 contre 1097 en 2020, de demandes d’informations (4156 en 2021 contre 4123 2020) et requêtes de médiation (141 traitées contre 89). Chiffres provisoires tels que publiés dans l’article de A. Lucina « L’autorité de protection des données a reçu presque 200 plaintes en 2021 », Le Soir, 17 janvier 2021. Les données définitives seront publiées par l’Autorité en avril ou mai de cette année.

[2] https://www.enforcementtracker.com/?insights 

News