Actualités
Absence des coordonnées directes du DPO
📌 Une entreprise luxembourgeoise sanctionnée 🚨
Faits :
Suite à un audit, le régulateur luxembourgeois, la CNPD a infligé une amende de 18.700 € à l’encontre d’une entreprise en raison de manquements relatifs au rôle et au positionnement de son DPO, avec injonction de se mettre en conformité sous quatre mois.
🔍 Manquements constatés :
Le régulateur a constaté que le responsable du traitement avait violé plusieurs obligations.
-Absence des coordonnées directes du DPO sur le site web du responsable de traitement :
Violation de l’article 37-7 du RGPD. En cas de demandes par les personnes concernées, le site Internet ne fournissait qu’un formulaire de contact en ligne, une adresse postale ou un numéro de téléphone. Ainsi les personnes concernées n’étaient pas en mesure de contacter directement le DPO (mais seulement indirectement, via d’autres services du responsable du traitement).
-Association insuffisante du DPO à toutes les questions relatives aux données personnelles
Manquement à l’article 38-1 du RGPD, le DPO n’avait pas été suffisamment impliqué dans toutes les questions relatives à la législation sur la protection des données.
Le DPO n’était impliqué dans diverses réunions ou comités internes que sur invitation, mais il n’existait aucune règle ou fréquence définie quant à la participation du DPO à ces comités. Au cours de l’enquête, le responsable du traitement a mis en œuvre de nouvelles procédures selon lesquelles le DPO deviendrait membre permanent ou serait régulièrement impliqué dans diverses réunions de comités.
- Positionnement du DPO en N-3 du Chief Compliance Officer, le DPO ne pouvait pas rendre compte directement au plus haut niveau de direction. Manque d’autonomie et d’indépendance pour exercer sa mission.
Violation de l’article 38-3 du RGPD , le régulateur a souligné l’existence de plusieurs intermédiaires hiérarchiques entre le DPO et le plus haut niveau de direction au sein du responsable du traitement.
-Absence d’un plan de contrôle formalisé en matière de protection des données, permettant de démontrer que le DPO remplit sa mission de contrôle
Manquement à l’article 39-1-b du RGPD, le rapport d'audit a souligné l'absence de tout plan de contrôle ou de procédures qui formaliseraient et garantiraient que le DPD soit en mesure de contrôler dûment la conformité des pratiques de traitement des données du responsable du traitement avec le RGPD.
📌Conséquences :
Amende administrative : 18 700 euros
Atteinte à la réputation
Injonction de se mettre en conformité sous 4 mois.