Une entreprise berlinoise doit payer une amende de 525.000 euros pour violation des dispositions du Règlement général sur la protection des données – RGPD.
Les amendes pour violation du RGPD doivent être proportionnées, mais également avoir un effet dissuasif, explique l’avocat Michael Rainer, MTR Rechtsanwälte. Ce ne sont pas de vaines paroles, comme l’a désormais ressenti la filiale d’un groupe commercial berlinois. Le délégué à la protection des données et à la liberté d’information de Berlin (BlnBDI) a infligé à la société une amende de 525.000 euros, comme elle l’a annoncé le 20 septembre 2022. L’amende n’est pas encore définitive.
La raison en est que l’entreprise avait nommé un délégué à la protection des données chargé de contrôler de manière indépendante les décisions qu’il devait, dans une autre fonction, assumer. Cela représente un conflit d’intérêts évident pour le délégué à la protection des données et constitue donc une violation du RGPD, selon la BlnBDI.
Il incombe au délégué à la protection des données de conseiller l’entreprise sur les obligations en matière de protection des données et de contrôler le respect des dispositions en la matière, explique le délégué berlinois à la protection des données. Par conséquent, cette fonction, conformément à l’article 38, paragraphe 6, phrase 2 du RGPD, ne doit être exercée que par des personnes qui ne sont pas soumises à un conflit d’intérêts en raison d’autres tâches. Par conséquent, la fonction ne doit pas être assumée par des personnes qui se supervisent elles-mêmes.
Un tel conflit d’intérêts était pourtant présent ici, car le délégué à la protection des données de l’entreprise était également directeur général de deux filiales du groupe traitant les données personnelles pour l’entreprise commerciale. Cela aboutit finalement à ce que le délégué à la protection des données doive également contrôler le respect du droit de la protection des données par les filiales, c’est-à-dire par des sociétés dont il est le directeur général. Le délégué berlinois à la protection des données y voit un conflit d’intérêts évident et a donc d’abord prononcé un avertissement. Comme la violation subsistait lors d’une nouvelle vérification malgré l’avertissement, il a infligé l’amende.
Le chiffre d’affaires et le rôle important du délégué à la protection des données dans l’entreprise ont été pris en compte dans l’évaluation de l’amende.
La forte amende montre que les exigences du RGPD ne doivent pas être prises à la légère par les entreprises. Des avocats expérimentés peuvent conseiller.
