CONTACT

La transmission de données personnelles au mauvais époux est une violation de données

04 mars 2024 | Derriennic Associés|

L’autorité de contrôle grecque a sanctionné une banque pour avoir transmis des données personnelles à l’épouse de son client. Nos avocats en droit des données personnelles vous aident à comprendre vos droits.

Le client d’une banque a déposé une plainte auprès de l’autorité de contrôle grecque après avoir découvert que la banque avait communiqué à son épouse des données le concernant, et plus précisément des informations relatives aux transactions bancaires réalisées sur son compte bancaire personnel. Cette transmission a, selon le mari, « sérieusement perturbée la paix familiale et sa relation avec son épouse ».

  • Un traitement illicite

L’autorité de contrôle grecque a estimé que la banque avait traité de manière illicite les données personnelles du mari en transmettant des données relatives à ses transactions bancaires à un tiers, en violation du principe de licéité et de confidentialité des données (article 5§1, points a) et f) du RGPD) ;

  • Une absence de notification contestable

L’autorité de contrôle a ensuite estimé que la banque avait manqué à son obligation de notification de l’incident à l’autorité de contrôle (article 33 du RGPD).

Si la banque a « pris des mesures organisationnelles appropriées » et « établi des politiques pertinentes pour gérer les violations de données », l’autorité de contrôle a considéré que la banque n’avait pas appliqué ces mesures, au cas d’espèce.   

En effet, si la banque avait bien enregistré l’incident dans le registre violations de données, elle a considéré que les risques pour les droits et libertés du client sont « négligeables » car, selon elle, (1) la violation ne concernait qu’une seule personne, (2) les données avaient été transférées à une seule personne, (3) le destinataire était marié avec la personne concernée et (4) l’impact pour la personne concernée se limitait à une perte de confiance dans le couple et de l’anxiété.

L’autorité de contrôle a reproché à la banque (1) d’avoir tardé à enquêter sur la violation dans un premier temps, (2) d’avoir considérablement tardé  à qualifier l’incident comme une violation de données et (3) d’avoir sous-estimé les conséquences de la violation pour la personne concernée.

Compte tenu des manquements constatés, l’autorité de contrôle a infligé à la banque une amende de 10 000 €.

Source : ici