L’autorité de contrôle espagnole a sanctionné un transporteur qui avait livré un colis à un voisin du destinataire, alors qu’une remise en mains propres était requise.
1/ Une livraison en mains propres… à un voisin
Un consommateur avait commandé un smartphone auprès d’un opérateur téléphonique. La livraison, confiée par l’opérateur à un transporteur, devait être réalisée en mains propres, au domicile du consommateur.
L’opérateur téléphonique a cependant fourni au transporteur la mauvaise adresse, et plus précisément le mauvais numéro d’appartement. Le transporteur a donc livré le colis à un voisin.
Estimant que le transporteur n’avait pas respecté son obligation de remise en mains propres, le consommateur a déposé une plainte auprès de l’autorité de contrôle espagnole.
2/ Une livraison portant atteinte au principe de confidentialité
Pour sa défense, le transporteur a indiqué (i) qu’il avait livré à l’adresse que l’opérateur téléphonique lui avait fournie et (ii) qu’il avait adressé un SMS au consommateur, quelques jours avant la livraison, afin que celui-ci confirme ses coordonnées. Ce SMS est resté sans réponse.
L’autorité de contrôle espagnole a néanmoins considéré que l’entreprise avait violé le principe d’intégrité et confidentialité posé à l’article 5§1 f) du RGPD. En effet, selon ce principe, « les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données ». Or, en livrant le colis à une adresse erronée « une violation de la confidentialité a eu lieu, dans la mesure où les données personnelles du consommateur, notamment son numéro de téléphone portable, ont été indument communiquées à un tiers ».
L’autorité de contrôle reprochait, notamment, au transporteur, de n’avoir pas respecté ses propres politiques et procédures de sécurité qui indiquent, d’une part, qu’il est obligatoire de vérifier l’identité du destinataire en cas de remise en mains propres et, d’autre part, que si le destinataire ne peut pas être identifié, la livraison ne doit pas être effectuée.
Autrement dit, l’autorité a sanctionné un non-respect des procédures de sécurité qui a abouti à une violation de la confidentialité des données.
Compte tenu de ce qui précède, l’autorité de contrôle espagnole a infligé au transporteur une amende de 70 000 €.