Actualités

🔒📉 Luxembourg : 15 000 € d’amende pour un DPO sans accès direct à la direction

📅 Décision 20FR/2021 du 11 juin 2021
L’autorité luxembourgeoise a sanctionné une entreprise pour association insuffisante du DPO aux sujets de protection des données personnelles.

🚨 Les faits reprochés :

🔁 Participation irrégulière :
Le DPO était convié aux réunions sur demande, mais pas de manière systématique.

👥 Manque de visibilité :
Son positionnement dans l’organigramme ne permettait ni implication suffisante, ni reconnaissance claire comme interlocuteur en matière de données personnelles.

🏢 Position hiérarchique inadaptée :
Bien que rattaché à la direction générale, plusieurs niveaux hiérarchiques limitaient son autonomie réelle.

🚫 Accès à la direction soumis à conditions :
Un échange direct avec la direction n’était envisagé qu’en cas de blocage significatif, ce qui freinait son indépendance.

📋 Absence de plan de contrôle formalisé :
Aucun dispositif structuré ne démontrait que le DPO remplissait sa mission de surveillance et de conformité.

🎯 À retenir :

✔️ Le DPO doit être intégré de manière systématique aux projets impliquant des données.
✔️ Il doit bénéficier d’un accès direct, sans condition, à la direction générale.