Actualités

📌Amende de 351 000 € pour une entreprise de télécommunications (Norvège)
📆 Mars 2025
📚 Articles violés : 24, 37, 38 et 39 du RGPD

Source : 21-03823-45

Suite à une enquête de l’autorité norvégienne Datatilsynet, a infligé une amende de 4 millions de NOK (351 000 €) à une entreprise de télécommunication pour de graves lacunes dans l’organisation de la fonction de DPO et l’absence de contrôle interne suffisant.

💥 Les faits ?

• Le DPO avait un rôle hybride (DPO et avocat associé), sans réelle indépendance.
• Pas d’adresse mail distincte, pas de politique claire pour éviter les conflits d’intérêts.
• Le DPO n’était que peu, impliqué dans les traitements de données.
• Aucune ligne directe avec la direction générale.
• Aucune preuve documentée du suivi des obligations prévues aux articles 38 et 39 du RGPD.

📌 L’entreprise avait même licencié son DPO sans documenter la décision, ni mettre en place une procédure claire pour garantir la conformité.

🎯 Rappel essentiel :
Nommer un DPO, ce n’est pas cocher une case RGPD. C’est garantir :
✅ Son indépendance
✅ Son implication dans tous les traitements
✅ Des moyens humains, techniques et organisationnels
✅ Un rôle clair et reconnu, au cœur de la gouvernance des données

💡 Cette affaire nous rappelle que la fonction de DPO ne doit jamais être reléguée au second plan. Elle doit être structurée, suivie, et soutenue par la direction.