Quatre mesures en droit du travail épinglées dans la note de Bart De Wever
[Drapeau de l’Arizona aux Etats-Unis] La note de Bart De Wever s’annonce comme un catalyseur de changements profonds dans de nombreux domaines, et le droit…
ContinuerUn constat peut être tiré des chiffres provisoires transmis par l’Autorité belge de la protection des données (« APD ») : le nombre de signalements, de plaintes et de demandes d’informations et de requêtes de médiation a largement augmenté en 2021 par rapport à 2020 [1].
L’augmentation des plaintes reçues indique que les citoyens sont de plus en plus sensibles à la protection de leurs données. En parallèle, les décisions rendues par l’APD sont chaque année de plus en plus nombreuses et les amendes administratives, plus importantes. Celles-ci n’égalent toutefois pas encore les sanctions pécuniaires, beaucoup plus élevées, des autorités de protection des données des pays voisins. On pense principalement au Luxembourg et à la France qui sont dans les 10 pays de pays de l’Union-Européenne ayant prononcé les amendes les plus élevées [2].
Et ce n’est pas tout : l’année 2022 semble commencer sur les chapeaux de roue… L’Autorité belge de la protection des données a en effet publié une décision le 2 février 2022, dans laquelle elle condamne IAB Europe à une amende de 250.000 EUR pour absence ou insuffisance de fondement pour le traitement de données à caractère personnel effectué par cette dernière! Vous pouvez consulter la décision en cliquant sur le lien suivant.
Ce ne sont pas que les géants de la tech qui sont touchés et sanctionnés par les autorités de protection des données européennes.
À titre d’exemple, nous avons résumé ci-dessous plusieurs décisions frappées de sanctions pécuniaires, rendues par l’Autorité de la protection des données belge en 2021:
Secteur | Montant en EUR de la sanction | Article(s) du Règlement général sur la protection des données (« RGPD ») violé(s) | Fondement | Date de la décision et liens |
Bancaire | 75.000 EUR | 38(6) RGPD | Conflit d’intérêt impliquant le délégué à la protection des données. Le délégué à la protection des données était également le directeur du département auquel il devait rendre des comptes en tant que délégué à la protection des données. | 16/12/21 Lien vers la décision |
N/A | 10.000 EUR | Art. 12 (3) GDPR, Art. 14 (1), (2), (3) GDPR, Art. 15 GDPR, Art. 17 (1) c) GDPR, Art. 21 (2) GDPR | La personne concernée avait reçu à plusieurs reprises des courriels publicitaires de la société, bien qu’elle se soit opposée au traitement de ses données personnelles et qu’elle ait demandé la suppression de ses données. La société défenderesse s’est par ailleurs abstenue de répondre aux demandes de renseignements formulées par l’autorité de protection des données. En outre, la société n’a pas non plus suffisamment informé la personne concernée du traitement de ses données personnelles. | 08/12/21 Lien vers la décision |
Assurance | 30.000 EUR | Art. 5.1 a), 5.2, 6.1, 12.1, 13.1 c) et d) et 13.2 b) du RGPD | Manque de transparence dans la déclaration de confidentialité d’une compagnie d’assurances L’objet de la plainte concernait l’utilisation de données de santé obtenues auprès de la personne concernée par la compagnie d’assurances dans le cadre d’une assurance hospitalisation à d’autres fins, sans le consentement explicite de la personne concernée assurée. | 06/05/21 Lien vers la décision |
Finance | 100.000 EUR | Art. 5 (1) f) GDPR, Art. 32 GDPR | Consultation illicite des données personnelles et refus de droit d’accès + mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations | 26/04/21 Lien vers la décision |
Agence publicitaire | 50.000 EUR | Art. 5 GDPR, Art. 6 GDPR, Art. 7 GDPR, Art. 13 GDPR, Art. 24 GDPR, Art. 25 GDPR, Art. 28 GDPR | Une agence de publicité avait envoyé à de futures mamans des coffrets cadeaux contenant des échantillons de produits, des bons d’achat, ainsi que des informations sur la grossesse et la naissance. Les articles en question étaient toutefois envoyés par des partenaires auxquels la société offrirait les données à caractère personnel des personnes concernées. La société demandait le consentement de toutes les personnes concernées concernant le transfert de leurs données personnelles à des tiers à des fins de marketing. Toutefois, l’autorité belge de protection des données a été informée que la société n’avait pas tenu compte de la révocation du consentement d’une personne concernée et qu’elle avait continué à utiliser ses informations personnelles pour recevoir des messages publicitaires de tiers. | 27/01/21 Lien vers la décision |
Pour rappel, l’APD peut infliger des sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel à l’échelle mondiale d’une entreprise.
Comment faire pour éviter de telles sanctions ?
Plusieurs actions peuvent être mises en place en amont pour mitiger ce risque. Il est en effet conseillé de prendre les mesures nécessaires prévue par le RGPD pour toute entreprise qui traite des données à caractère personnel (mise en place d’un registre des activités, politique de confidentialité pour informer les personnes concernées, évaluer les fondements et bases légales des activités de traitement, vérifier si les pratiques de marketing direct sont légales, évaluer les mesures de sécurités mises en place, vérifier les politiques internes en cas de pertes ou vol de données, etc.).
Ensuite, il faut veiller à traiter les demandes des personnes concernées en mettant en place des mesures de suivi de ces demandes, et prendre des actions concrètes.
Finalement, en cas d’enquête de l’APD à votre égard, il sera utile de suivre certains conseils afin – de tenter – d’éviter une sanction.
Nous pouvons vous assister dans la mise en place de ces différentes mesures et évaluer le niveau d’adéquation de celles-ci. N’hésitez pas à nous contacter en cas de question
En avril ou mai prochain, l’APD publiera son rapport définitif sur l’ensemble des activités menées en 2021. Consultez donc fréquemment la page relative aux actualités de notre site pour rester informés !
Blandine de Lange
Avocate
blandine.delange@moov.law
[1] Extraits des déclarations de Mme Aurélie Waeterinckx, porte-parole de l’Autorité qui indique que les chiffres provisoires de l’Autorité sont le suivants : nombre de plaintes concernant des fuites de données : 1885 plaintes pour 2021 contre 668 plaintes en 2020, nombre de signalements : 1148 contre 1097 en 2020, de demandes d’informations (4156 en 2021 contre 4123 2020) et requêtes de médiation (141 traitées contre 89). Chiffres provisoires tels que publiés dans l’article de A. Lucina « L’autorité de protection des données a reçu presque 200 plaintes en 2021 », Le Soir, 17 janvier 2021. Les données définitives seront publiées par l’Autorité en avril ou mai de cette année.
[Drapeau de l’Arizona aux Etats-Unis] La note de Bart De Wever s’annonce comme un catalyseur de changements profonds dans de nombreux domaines, et le droit…
Continuer⚠️ Attention : A partir de ce 1er février 2025, les demandes de permis portant sur une ou plusieurs éoliennes faisant l’objet d’une réunion d’information préalable…
Continuer🌍 CSRD: A DIRECTIVE NOW TRANSPOSED INTO BELGIAN LAW: WHAT IS THE CSRD AND TO WHOM DOES IT APPLY ? As mentioned in my previous Linkedin…
Continuer