Actualités

🚨 Absence de désignation d’un DPO

27/03/2025

Une municipalité portugaise sanctionnée 🚨

L’APD portugaise a infligé une amende de 170 000 € à la municipalité de Setúbal pour ne pas avoir désigné de Délégué à la Protection des Données (DPO).

🔍 Faits

Une enquête a été ouverte par l’APD après la publication d’un article de presse révélant des problèmes concernant la collecte de données personnelles de réfugiés ukrainiens utilisant une ligne d’assistance. Selon l'article, des citoyens russes, membres d’une association, étaient présents dans la même pièce où étaient stockées les données personnelles des réfugiés (y compris des copies de documents d'identité).

Deux membres de l’association ont été intégrés par le responsable du traitement au Bureau des ethnies et de l'immigration de Setúbal (SEI) pour assister les réfugiés. Selon le journaliste, ces membres ont été accusés d’avoir partagé ces données avec le gouvernement russe.

Principales violations identifiées :

  1. Manquement au principe d’intégrité et de confidentialité (article 5.1.f du RGPD)
    • Absence de mesures organisationnelles adéquates pour protéger les informations.
    • Aucune politique ou directive définie pour la gestion sécurisée des données.
  2. Manquement à l’article 5.1.e du RGPD
    • Aucune durée de conservation des données n’a été définie.
  3. Manquement à l’article 13 du RGPD
    • Aucune information fournie aux personnes concernées concernant :
      • L’identité du responsable du traitement.
      • Les finalités du traitement.
      • Les destinataires ou catégories de destinataires.
      • Les droits des personnes concernées ou leur droit de déposer une plainte auprès d’une autorité de contrôle.
  4. Manquement à l’article 37 du RGPD
    • Aucun DPO désigné, malgré l'obligation pour une autorité publique ou un organisme public.
  5. Absence d’Analyse d’Impact relative à la Protection des Données (AIPD)
    • Aucune analyse d’impact réalisée, bien que requise pour le traitement des données de personnes vulnérables, conformément aux lignes directrices du CEPD.

📌 Conséquences

  • Amende administrative : 170 000 €
  • Défaut de protection : Exposition des données de personnes vulnérables à des risques importants.

🔧 Bonnes pratiques recommandées

Pour éviter de telles sanctions, les organismes publics devraient :

  1. Désigner un DPO conformément à l'article 37 du RGPD.
  2. Définir des politiques organisationnelles et des mesures de sécurité pour protéger les données personnelles.
  3. Réaliser des AIPD pour analyser les risques liés au traitement des données sensibles.
  4. Informer systématiquement les personnes concernées sur leurs droits et les finalités des traitements de leurs données.
Retour vers la liste des actualités

Découvrez toutes nos expertises :

Gouvernance et Stratégie Qualité des données MDM / PIM Conformité