L’autorité de contrôle grecque a sanctionné une banque pour avoir transmis des données personnelles à l’épouse de son client. Nos avocats en droit des données personnelles vous aident à comprendre vos droits.
Le client d’une banque a déposé une plainte auprès de l’autorité de contrôle grecque après avoir découvert que la banque avait communiqué à son épouse des données le concernant, et plus précisément des informations relatives aux transactions bancaires réalisées sur son compte bancaire personnel. Cette transmission a, selon le mari, « sérieusement perturbée la paix familiale et sa relation avec son épouse ».
- Un traitement illicite
L’autorité de contrôle grecque a estimé que la banque avait traité de manière illicite les données personnelles du mari en transmettant des données relatives à ses transactions bancaires à un tiers, en violation du principe de licéité et de confidentialité des données (article 5§1, points a) et f) du RGPD) ;
- Une absence de notification contestable
L’autorité de contrôle a ensuite estimé que la banque avait manqué à son obligation de notification de l’incident à l’autorité de contrôle (article 33 du RGPD).
Si la banque a « pris des mesures organisationnelles appropriées » et « établi des politiques pertinentes pour gérer les violations de données », l’autorité de contrôle a considéré que la banque n’avait pas appliqué ces mesures, au cas d’espèce.
En effet, si la banque avait bien enregistré l’incident dans le registre violations de données, elle a considéré que les risques pour les droits et libertés du client sont « négligeables » car, selon elle, (1) la violation ne concernait qu’une seule personne, (2) les données avaient été transférées à une seule personne, (3) le destinataire était marié avec la personne concernée et (4) l’impact pour la personne concernée se limitait à une perte de confiance dans le couple et de l’anxiété.
L’autorité de contrôle a reproché à la banque (1) d’avoir tardé à enquêter sur la violation dans un premier temps, (2) d’avoir considérablement tardé à qualifier l’incident comme une violation de données et (3) d’avoir sous-estimé les conséquences de la violation pour la personne concernée.
Compte tenu des manquements constatés, l’autorité de contrôle a infligé à la banque une amende de 10 000 €.
Source : ici