RGPD : SANCTION DE 16 000€ EN FINLANDE

L’autorité de contrôle finlandaise à prononcé une amende de 16 000 euros pour défaut de PIA (analyse d’impact). Avec cette amende, elle nous rappelle que le principe d’accountability ne doit pas être pris à la légère. Les entreprises doivent être en mesure de démontrer leur conformité à la réglementation en matière de données à caractère personnel. Quelles sont les étapes à ne pas manquer ?



RGPD : SANCTION DE 16 000€ EN FINLANDE Par Yuna LESTEVEN, Avocat
2020-05-31
Adresse de l'article original :
https://www.ych-avocats.fr//actualites/234-RGPD-SANCTION-DE16-000-EN-FINLANDE.html
Reproduction interdite sans autorisation de l'auteur.

Le 22 mai 2020, l’autorité de contrôle finlandaise ( Deputy Data Protection Ombudsman) a sanctionné une société à 16 000 € d’amende pour n’avoir pas réalisé de PIA préalablement à la mise en œuvre d’un traitement de géolocalisation des salariés à partir d’un dispositif intégré aux véhicules qu’elle met à leur disposition.

Que faut-il retenir de cette sanction ?

 

Résumé de l’affaire :

Dans cette affaire, la société Kymen Vesi Oy a installé un journal de bord sur les véhicules de la société permettant de collecter, notamment, les données de localisation des salariés, traitées à des fins de contrôle du temps de travail.

La société en cause a déclaré avoir bien mené une analyse d’impact du traitements des données et consulté ses salariés au moment de l’acquisition du dispositif intégré ensuite aux véhicules.

Toutefois l’autorité de contrôle finlandaise a considéré que :

-          L’analyse d’impact menée par la société n’a pas été formalisée de manière permettant de démontrer que la société avait bien respecté ses obligations au titre du RGPD ;

-          Le principe de protection des données dès la conception n’a pas été respecté par la société, qui n’a pas pu démontrer avoir prévu des mesures techniques et opérationnelles adaptées, en l’absence d’analyse formalisée.

La société, qui n’a pas pu démontrer qu’elle avait respecté ses obligations au titre du RGPD, a été condamné à payer la somme de 16 000 €.

 

Ce qu’il faut retenir :

1.       L’article 35, 1) du RGPD impose aux responsables de traitement de réaliser une analyse d’impact dès lors que le traitement « est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».

Ce qui est le cas notamment lorsque le traitement concerne des salariés (personnes vulnérables[1]) et que le dispositif a pour objet de suivre le temps de travail des salariés.

 

2.       Si aucun formalisme particulier n’est requis quand à cette analyse d’impact, une telle analyse doit contenir au moins les informations suivantes (article 35, 7) du RGPD) :

a)      une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;

b)      une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

c)       une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et

d)      les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

 

3.       Le responsable de traitement doit être en mesure de démontrer le respect de ces obligations à l’autorité de contrôle, c’est le principe d’accountability (article 24, 1) du RGPD). Il est donc impératif de conserver l’analyse réalisée.

 

En pratique :

Lorsqu’elle met en œuvre un nouveau traitement de données à caractère personnel ou lorsqu’un traitement déjà mis en œuvre évolue, toute entreprise doit suivre les étapes suivantes :

pia accountability geolocalisation 

La réalisation des analyses d’impact et l’Accountability ne doit pas être prise à la légère, l’autorité de contrôle finlandaise à confirmer que ça peut coûter cher !!

 Pour toute question ou accompagnement dans la réalisation de PIA ou l'Accountability : contact.ntic@marvellavocats.com

Lien vers nos formations pour tout savoir sur la conformité RGPD et les actualités de la CNIL : https://marvellavocats.com/fr/formation



[1] L’autorité de contrôle finlandaise rejoins ainsi la Commission Nationale de l’Informatique et des Libertés (CNIL) en considérant que les salariés doivent être considérés comme des personnes vulnérables vis-à-vis de leur employeur.


Prochaines formations

17 mars 2016
Tendances du numérique

3 mars 2016
STRATEGIE DIGITALE : Exploitez vos données en conformité avec la loi Informatique et libertés

8 et 9 février 2016
Maîtriser les enjeux de la loi Informatique et libertés

30 novembre 2015
Conditions Générales de Vente

5 et 6 Octobre 2015
Big data et Open data

30 Septembre et 1er Octobre 2015
Big data et Open data