Un employeur a été sanctionné par l’autorité de contrôle belge pour n’avoir pas correctement répondu à une demande d’exercice des droits : les insuffisances de son DPO ne sauraient limiter sa responsabilité.
Au moment de l’achat d’un produit, un consommateur avait consenti à recevoir de la prospection commerciale.
Mécontent du produit, le consommateur avait, d’une part, sollicité un remboursement partiel du prix, d’autre part, demandé la suppression de ses données personnelles et, enfin, s’était opposé à recevoir, à l’avenir, de la prospection commerciale.
Constatant qu’il recevait toujours de la prospection commerciale plusieurs mois après avoir transmis sa demande d’opposition, le consommateur a déposé une plainte auprès de l’autorité de contrôle belge.
1. Les arguments du responsable du traitement en défense
Pour sa défense, le responsable du traitement invoquait les insuffisances de son DPO.
Plus particulièrement, il invoquait le fait que son DPO, d’une part, ne l’avait pas informé de l’ouverture d’une enquête par l’autorité de contrôle et de sa surcharge de travail, et, d’autre part, avait commis une erreur en interprétant une demande de suppression comme une demande de limitation, en n’accusant pas réception des demandes d’exercice des droits et en n’informant pas les personnes concernées une fois ces demandes traitées.
Le responsable du traitement indiquait, d’ailleurs, avoir remplacé son DPO après s’être rendu compte de ces insuffisances.
2. Les arguments inopérants du responsable du traitement
En réponse, l’autorité de contrôle a effectivement constaté lesdites insuffisances du DPO mais a toutefois considéré :
- Que le responsable du traitement restait responsable des manquements de l’organisme au RGPD (consécutifs aux insuffisances de son DPO), notamment ceux relatifs à l’absence de réponse satisfaisante à la demande d’exercice des droits ;
- Que les arguments en défense du responsable du traitement démontraient « que les mesures organisationnelles appropriées n’ont pas été prises pour assurer le respect du RGPD », et qu’en tout état de cause, le responsable du traitement aurait dû « prendre des mesures proactives pour améliorer ses processus et assurer le respect du RGPD ».
Compte tenu de ces constats, l’autorité de contrôle belge a infligé une amende de 172 431 € au responsable du traitement.