Sanction d’une société d’exploitation autoroutière pour avoir transféré hors UE les données de millions d’automobilistes
Datatilsynet (Norvège), 28 septembre 2021
L’autorité norvégienne de contrôle a ouvert une enquête à l’encontre de la FERDE, une société d’exploitation autoroutière, pour ses transferts de données personnelles à un sous-traitant en Chine entre septembre 2017 et octobre 2019.
Cette société, qui a pour mission d’enregistrer le passage des voitures pour lesquelles le télépéage ne fonctionne pas (ou des voitures non équipées d’un tel boitier), envoie plus de 12 millions d’images chaque année a son sous-traitant en Chine en charge de retravailler la qualité de l’image, lorsque nécessaire.
Au cours de son enquête, l’autorité de contrôle a d’abord relevé que la société avait un accord de traitement des données avec son sous-traitant, mais cet accord, non daté, n’était probablement pas en place au début des traitements.
L’autorité de contrôle a ensuite relevé que l’analyse d’impact effectuée pour ce type de traitement avait été antidatée et n’avait pas été mise en œuvre dès le début de la relation. L’autorité de contrôle a noté que, bien que l’article 32 du RGPD ne mentionne pas explicitement le moment auquel il convient de procéder à une évaluation des risques, il peut être déduit des articles 5(2), 24, 25 et 32 du RGPD qu’une telle évaluation doit avoir lieu avant le début des opérations de traitement en question.
Enfin, si la société avait signé les clauses contractuelles types de la Commission européenne pour le transfert de données personnelles vers des pays tiers, celles-ci n’étaient pas datées et ne semblaient pas avoir été mises en œuvre au début de la relation.
En conséquence, l’autorité de contrôle a infligé à la société une amende d’un montant de 5 000 000 NOK (~ 499 373 €) pour :
- (i) ne pas avoir conclu de contrat de sous-traitance encadrant le traitement des données personnelles (art 28(3)) ;
- (ii) ne pas avoir effectué d’analyse d’impact relative à la protection des données et de ce fait ne pas avoir respecté le principe d’intégrité et de confidentialité des données (article 5(1)f), ne pas être en mesure de démontrer que les principes relatifs au traitement des données à caractère personnel ont été respectés (article 5(2)) et ne pas avoir pu prendre les mesures techniques et organisationnelles nécessaires (article 32) ; et
- (iii) ne pas avoir mis en place de mécanisme de transfert de données personnes hors UE respectant les principes des articles 44 et suivants du RGPD.
Lien vers la décision en norvégien : https://bit.ly/3vdlUUw