Une pharmacie en ligne sanctionnée pour avoir obligé ses clients à indiquer leur civilité et leur date de naissance
VG Hanovre (Allemagne), 9 novembre 2021
Un responsable du traitement, exploitant une pharmacie en ligne en Allemagne, obligeait ses clients passant commande sur le site à indiquer leur civilité (M. ou Mme) ainsi que leur date de naissance.
Estimant cette pratique contraire au RGPD, un client a déposé une plainte auprès de l’autorité de contrôle de Basse-Saxe (LfD).
Le responsable du traitement faisait valoir d’une part que l’information sur la date de naissance était nécessaire pour l’exécution du contrat (le responsable du traitement devant s’assurer que le client est majeur), et d’autre part que l’information répondait à une obligation légale, puisque les médicaments doivent être dosés en fonction de l’âge du client. Concernant la civilité, le responsable du traitement estimait qu’il était de son intérêt légitime de permettre une communication plus conviviale avec ses clients.
L’autorité de contrôle a considéré qu’une telle collecte de ces données personnelles est contraire aux principes de légalité et de minimisation des données, et a ordonné au responsable du traitement de ne plus collecter lesdites données lorsque le type de médicament commandé ne nécessite pas d’obtenir de telles informations.
Le responsable du traitement a interjeté appel de cette décision. Le tribunal administratif a estimé que le fait que le responsable du traitement ait des obligations contractuelles spécifiques, à savoir la fourniture d’informations sur les produits et leur posologie, ne justifie pas la collecte de la date de naissance pour l’intégralité des commandes, de nombreux produits étant utilisables quel que soit l’âge du client (bandages, crèmes, etc.). Par ailleurs, le tribunal a estimé qu’il existe d’autres moyens moins intrusifs permettant de s’assurer que le client est majeur.
La décision de l’autorité de contrôle a donc été confirmée par le tribunal.
Lien vers la décision en allemand : https://bit.ly/33Onp27
Sanction d’une entreprise pour avoir mis en place un système d’accès aux locaux par données biométriques
AEPD (Espagne), 30 novembre 2021
Un employé a déposé plainte auprès de l’autorité de protection espagnole contre son employeur qui avait mis en œuvre un système d’accès aux locaux, aux toilettes et aux vestiaires, basé sur les données biométriques (empreintes digitales) de son personnel.
Estimant que des moyens moins intrusifs pouvaient être utilisés (notamment des badges d’accès), l’autorité de contrôle en a conclu que le traitement a été effectué en violation du principe de minimisation des données, justifiant le prononcé d’une amende d’un montant de 20 000 € à l’encontre du responsable du traitement.
Lien vers la décision en espagnol : https://bit.ly/3J9XphS
Sanction d’un particulier pour l’installation d’une dashcam dans sa voiture
AEPD (Espagne), 15 novembre 2021
La ville de Coruña a déposé une plainte auprès de l’autorité de contrôle espagnole après que la police municipale ait constaté qu’un conducteur avait installé une caméra vidéo à l’intérieur de son véhicule.
Après vérification, l’autorité de contrôle a relevé (i) que l’appareil, dont l’installation avait pour finalité de prévenir des actes de vandalisme sur le véhicule de son propriétaire, était en fonctionnement même en l’absence de ce dernier et (ii) qu’il filmait l’extérieur dudit véhicule.
L’autorité de contrôle a rappelé la règle selon laquelle l’utilisation des installations de vidéosurveillance par un individu est limitée à la protection des environnements privés, la capture d’images sur la voie publique étant réservée exclusivement aux forces de l’ordre conformément à une loi organique. Par conséquent, les caméras à l’intérieur d’un véhicule sont autorisées uniquement à des fins domestiques, c’est-à-dire pour enregistrer ce qu’il se passe à l’intérieur dudit véhicule, mais ne peuvent pas être utilisées pour enregistrer ce qu’il se passe à l’extérieur, un tel traitement revenant à capturer des images de tiers sans leur consentement.
Ces faits constituent, selon l’autorité de contrôle, une violation du principe de minimisation des données. Rappelant que d’autres mesures de protection du véhicule moins attentatoires aux droits des tiers peuvent être prises (notamment un système d’alarme sonore), l’autorité de contrôle a estimé que le système était disproportionné par rapport au but poursuivi, et a infligé au conducteur une amende de 1.000 €.
Lien vers la décision en espagnol : https://bit.ly/3Eb2oeo
Sanction d’une « communauté de quartier » pour avoir installé un système de vidéosurveillance sans fournir d’informations suffisantes
AEPD (Espagne) 22 novembre 2021
Une communauté de quartier a installé un système de vidéosurveillance, dont un panneau annonçait la présence de ce système à l’entrée des lieux.
A la suite d’une plainte, l’autorité de contrôle a effectué un contrôle de ce dispositif et relevé que le panneau indiquant l’existence du dispositif de vidéosurveillance n’était pas conforme aux exigences du RGPD, des informations, telles que l’identité du responsable du traitement ou de son contact permettant l’exercice de ses droits, étant manquantes.
L’autorité de contrôle a infligé à la communauté de quartier une amende d’un montant de 1000 €.
Lien vers la décision en espagnol : https://bit.ly/3EiKkiC