Actualités

📜 Blocage et suppression des données : Non respect de l’article 32 du LOPDGDD

Source :PS-00176-2024  

L’AEPD  a sanctionné de 20 000 € (réduite à 16 000 € pour paiement anticipé) une banque pour violation de l’article 6(1) du RGPD, soit un traitement sans base légale.

🔍 Les faits

• Un client a demandé la suppression et le blocage de ses données après avoir résilié sa carte bancaire en 2022 conformément à l’article 32 du LOPDGDD.
• En 2023, ce client a voulu commander une nouvelle carte.
• La banque a alors refusé l’offre « nouveau client » en se basant sur des données précédemment bloquées.

❌ L'infraction

➡️ Les données auraient dû être bloquées définitivement, sans traitement ultérieur sauf exceptions strictes (ex : obligations légales, judiciaires).
➡️ L’utilisation de ces données pour déduire l’inéligibilité à une promotion n’est pas une base légale valide.

🔒 Violation de l’article 6(1) du RGPD : absence de base légale pour le traitement.
📜 Qualification : infraction très grave selon l’article 72.1.b) de la LOPDGDD​.

⚖️ Sanction

• 💶 Amende initiale : 20 000 €
• 💰 Réduction à 16 000 € pour paiement anticipé
• ✅ Aucun recours engagé par la banque

📣 À retenir pour les DPO

• Bloquer ≠ archiver sans réutilisation
• Toute réactivation de données nécessite une base légale claire
• L’usage commercial post-suppression = non conforme !
• ⚠️ Risques RGPD accrus pour les entreprises manipulant des volumes importants de données clients