L’autorité de contrôle roumaine a sanctionné un responsable du traitement qui n’avait pas formé son personnel à répondre aux demandes d’exercice des droits.
Un internaute a sollicité, auprès de l’éditeur d’un site de vente en ligne, la suppression de son compte, en envoyant sa demande à l’adresse « info@emag.hu ».
L’internaute a reçu, en réponse, une invitation à réitérer sa demande en la transmettant, cette fois-ci, à l’adresse dédiée aux demandes d’exercice des droits (« data.protection@emag.ro »), accompagnée d’une demande signée et d’une copie de sa pièce d’identité.
L’internaute, considérant cette réponse comme contraire au RGPD, a déposé une plainte auprès de l’autorité de contrôle compétente.
L’autorité de contrôle roumaine a considéré que l’éditeur de site avait violé :
- l’article 12 du RGPD, selon lequel : « le responsable du traitement facilite l’exercice des droits conférés à la personne concernée » ;
- l’article 24 du RGPD selon lequel : « le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ».
Plus précisément, sur ce dernier point, l’autorité de contrôle considérait que l’exigence de l’article 24 susvisé suppose la mise en œuvre (i) d’une politique de « traitement des demandes d’exercice des droits des personnes concernées » et (ii)l’organisationde « sessions de formation régulières pour le personnel impliqué dans le traitement des données personnelles ».
Constatant que « la formation du personnel avait été principalement dispensée au moment de l’embauche […] puis ’’uniquement dans des situation spécifiques et particulières’’ », l’autorité de contrôle a considéré que l’éditeur du site « n’avait pas fourni de formations régulières et adéquates aux employés », et que les « réclamations des personnes concernées » n’étaient pas correctement traitées.
Compte tenu de ce qui précède, l’autorité de contrôle roumaine a infligé une amende de 30.000 euros à l’éditeur de site pour n’avoir pas facilité l’exercice des droits des personnes et a enjoint le responsable du traitement à prodiguer des « formations régulières » au personnel de l’entreprise.
