Violation des obligations de suppression des données personnelles
Les violations de la protection des données ou du règlement général sur la protection des données (RGPD) peuvent être sanctionnées par de lourdes amendes. Ainsi, le délégué à la protection des données et à la liberté d’information de Hambourg (HmbBfDI) a infligé une amende de 900 000 euros à une entreprise du secteur de la gestion des créances, car elle n’avait pas supprimé les données personnelles à temps.
Avec l’introduction du règlement général sur la protection des données (RGPD), les exigences en matière de protection des données ont considérablement augmenté pour les entreprises. Ainsi, celles-ci doivent prendre des mesures appropriées pour protéger les données lors du traitement des données personnelles. De plus, les personnes concernées ont droit à une suppression de leurs données dans les délais. En cas de violations du droit à la protection des données ou du RGPD, les entreprises risquent de lourdes amendes, selon le cabinet d’avocats MTR Legal Rechtsanwälte, qui conseille notamment en droit informatique.
Contrôle des entreprises en gestion des créances
La conservation de leurs données personnelles peut représenter une charge considérable, en particulier pour les débiteurs en retard de paiement. En effet, leurs données sont également régulièrement transmises à des agences de notation. Cela peut, par exemple, compliquer considérablement la conclusion d’un contrat. Il est donc crucial pour les débiteurs que leurs données soient supprimées après l’expiration des délais correspondants.
Hambourg est un site important dans le domaine de la gestion des créances. Le délégué à la protection des données et à la liberté d’information de Hambourg (HmbBfDI) a donc, dans le cadre d’un audit ciblé, examiné de près des entreprises puissantes du marché dans le domaine de la gestion des créances.
Conclusion globalement positive
Il a été fondamentalement vérifié comment les données personnelles sont stockées et traitées par les entreprises. À cet effet, le délégué à la protection des données, avec son équipe, a rendu visite à certaines entreprises dans leurs locaux commerciaux. Les défenseurs de la protection des données ont pu tirer une conclusion globalement positive. En particulier, la transparence des entreprises envers les personnes concernées s’est améliorée, a indiqué le délégué à la protection des données dans un communiqué de presse du 12 novembre 2024.
Données conservées trop longtemps
Cependant, il y a des exceptions. Ainsi, les auditeurs ont constaté qu’une entreprise continuait de conserver des ensembles de données, bien que les délais de suppression aient déjà expiré. L’entreprise avait ainsi stocké des ensembles de données contenant des données personnelles dans une proportion de six chiffres sans fondement juridique. Cela constitue une violation de l’article 5 paragraphe 1 lit. a, 6 paragraphe 1 du RGPD. Les données n’ont pas été transmises à des tiers, mais elles ont été conservées jusqu’à 5 ans après l’expiration des délais de conservation légale et n’ont pas été supprimées de la base de données, a précisé le délégué à la protection des données de Hambourg.
Pour cette infraction, le délégué à la protection des données a infligé une amende de 900 000 euros à l’entreprise. L’entreprise a accepté l’amende. Le fait d’avoir coopéré avec l’autorité de surveillance lors de la résolution de l’infraction à la protection des données a été pris en compte dans le montant de l’amende. Des infractions similaires ont aussi été constatées dans une autre entreprise. Ici, les enquêtes ne sont pas encore terminées.
Lorsqu’une relation client se termine, les données stockées doivent être immédiatement supprimées ou après l’expiration des délais de conservation. Une violation de ces obligations de suppression peut coûter cher, comme le montre l’exemple de l’entreprise de Hambourg. Pour éviter de telles infractions, les entreprises devraient intégrer une conformité efficace en matière de protection des données.
Suppression des données conforme aux délais
Pour traiter de manière conforme aux lois les données personnelles sensibles, un concept systématique de suppression devrait également être développé, de manière à ce qu’elles ne soient pas stockées indûment et qu’il n’y ait pas de violation du RGPD. Dès la collecte des données, il doit être clair si et combien de temps elles peuvent être stockées et traitées. Ainsi, des amendes pour violations de la protection des données peuvent être évitées et la confiance des clients renforcée.
Il est à noter que la protection des données joue un rôle important non seulement dans les relations externes avec les clients, mais aussi en interne avec les employés. En effet, conformément au RGPD, les employés ont un droit d’information auprès de leur employeur concernant l’utilisation de leurs données personnelles.
MTR Legal Rechtsanwälte conseille en droit de la protection des données et sur d’autres questions de droit informatique.
N’hésitez pas à nous contacter !
