Depuis le début de l’année 2020, les autorités de contrôle des pays membres de l’Union européenne ont infligé des amendes aux entreprises qui enfreignent les dispositions du RGPD ou des lois nationales relative à la prospection commerciale.
Les principales décisions sont les suivantes et sont résumées ci-après :
– Italie : deux amendes de respectivement 11,5 millions et 27,8 millions d’euros pour commercialisation illégale
– Pays-Bas : 525 000 euros pour vente illégale par une association de tennis des données personnelles de ses membres à des sponsors tiers.
– Chypre : 82 000 euros d’amende pour absence de base légale du traitement des données des salariés ayant pour finalité la gestion, l’analyse des absences maladies et la prise de décision, y compris des sanctions.
– Grèce : 15 000 € pour utilisation illégale de la vidéosurveillance, refus du droit d’accès des salariés.
1. Sanctions relatives à la prospection commerciale
Italie
– Première décision : en janvier 2020, l’autorité de contrôle italienne a infligé deux amendes de 8,5 et 3 millions d’euros à Eni Gas et Luce (Egl), un fournisseur italien d’électricité et de gaz.
La première amende sanctionne le traitement illicite de données à caractère personnel dans le cadre d’activités promotionnelles, tandis que la seconde sanctionne l’activation de contrats non sollicités.
Le montant des amendes a été déterminé en tenant compte de paramètres tels que le large éventail d’acteurs concernés, l’omniprésence du comportement, la durée de l’infraction et les conditions économiques de Egl. Pour plus de détails sur cette sanction, vous pouvez lire notre article ici.
– Seconde décision : le 1er février 2020, l’autorité italienne a infligé à TIM SpA une amende de 27 802 496 euros pour plusieurs violations des dispositions du RGPD et des lois relatives à la prospection commerciale, dont, notamment, les suivantes:
- appels de prospection commerciale non sollicités, sans aucun consentement ou malgré l’inscription des personnes appelées sur un registre public (liste d’exclusion) ;
- violation du principe de responsabilité (par exemple, une personne ne figurant pas sur la liste des numéros de téléphone de l’entreprise a été contactée par téléphone ; une personne a été appelée 155 fois en un mois ; défaut de mise à jour d’une liste d’exclusion ; moyen non conforme d’obtenir le consentement, car l’adhésion au système de promotions incitatives était subordonnée à l’obtention du consentement à la prospection commerciale; inexactitude de la notice d’information fournie ;
- violation des exigences en matière de protection des données dès la conception (par exemple, les listes noires de TIM ne correspondaient pas à celles des centres d’appels des contractants ; les numéros relatifs aux clients d’autres opérateurs téléphoniques étaient conservés plus longtemps que ne le permettait la législation applicable et avaient été utilisés pour des campagnes de marketing sans le consentement des clients);
- inefficacité du système de gestion des violations de données.
En plus de l’amende, l’autorité italienne a également imposé 20 mesures correctives à TIM, y compris l’interdiction d’utiliser, à des fins marketing, les données des utilisateurs qui avait refusé de recevoir des appels de marketing lorsqu’ils avaient été contactés par les centres d’appels, des utilisateurs figurant sur les listes noires et des « non-clients » qui n’avaient pas donné leur consentement.
Pays-Bas
L’autorité néerlandaise de protection des données a imposé une amende de 525 000 euros à l’association de tennis KNLTB suite à la vente illégale, à ses sponsors, des données personnelles de ses membres (jusqu’à 300 000 dans certains cas) à des fins de marketing direct (par téléphone et par courrier).
Pour justifier son amende, l’Autorité a exclu la possibilité pour l’association de tennis de se fonder sur son intérêt légitime à vendre des données à caractère personnel à des tiers pour de telles finalités et a laissé entendre que le consentement aurait dû être obtenu.
2. Sanctions liées à des traitements de données RH
Chypre
Le 27 janvier 2020, l’autorité chypriote a infligé une amende de 82 000 euros à LGS Handling Ltd, Louis Travel Ltd et Louis Aviation Ltd (Louis Group of Companies) pour avoir utilisé un outil automatisé (Bradford’s Factor) permettant de gérer et analyser les congés de maladie des salariés, sans base légale appropriée.
Bradford’s Factor est un système automatisé de gestion et de notation des congés de maladie des salariés.
Le raisonnement qui sous-tend la notation est que des absences courtes, fréquentes et non planifiées (par opposition à des absences plus longues) entraînent une plus grande désorganisation de l’entreprise.
En utilisant cet outil, l’entreprise a estimé qu’il était dans son intérêt légitime de procéder à la notation des congés de maladie de ses salariés à l’aide de ce système afin de prendre des décisions les concernant, y compris des sanctions.
Si l’Autorité a reconnu que l’employeur était en droit de contrôler la fréquence et la validité des certificats de congé de maladie, elle a estimé que le responsable du traitement n’avait pas démontré que son intérêt légitime prévalait sur les intérêts, les droits et les libertés de ses salariés en ce qui concerne la notation et les décisions ultérieures qui étaient prises. À son avis, l’atténuation des risques était insuffisante.
En outre, l’autorité de contrôle a estimé que la date et la fréquence d’un congé de maladie concernant une personne (dans la mesure où le salarié est identifiable) impliquent le traitement de « catégories particulières de données à caractère personnel ». Par conséquent, le traitement devrait également reposer sur une base juridique établie à l’article 9 du RGPD en ce qui concerne les catégories particulières de données. L’autorité a conclu qu’aucune des bases légales prévues à cet article n’avait vocation à s’appliquer.
Il convient de noter que l’Autorité chypriote a eu recours à la procédure d’assistance mutuelle et a reçu des contributions de 25 autorités. Les réponses reçues ont validé l’absence de base juridique dudit traitement et ont souligné la nécessité de réglementer ces questions par des règles spécifiques conformément à l’article 88 du RGPD (c’est-à-dire la fourniture de règles plus spécifiques concernant le traitement des données à caractère personnel des employés par les États membres).
Grèce
En janvier 2020, l’Autorité de surveillance hellénique a infligé une amende de 15 000 euros après avoir enquêté sur les activités de traitement de données suivantes mises en oeuvre par une société :
- traitement de données à caractère personnel sur un serveur ainsi que l’accès et l’inspection des courriers électroniques supprimés par les employés
- l’utilisation de la vidéosurveillance
- le refus du droit d’accès d’un employé à ses données personnelles contenues dans l’ordinateur de son entreprise
Après avoir constaté que les politiques internes interdisaient l’utilisation de ressources électroniques à des fins personnelles et permettaient des enquêtes internes, l’Autorité a estimé que la société avait le droit légal, en vertu des articles 5(1) (c’est-à-dire équité/transparence) et 6(1)(f) (intérêt légitime du contrôleur) du RGPD, de mener une enquête interne et de rechercher les courriels des salariés.
Toutefois, elle a constaté que le système de vidéosurveillance, y compris le matériel enregistré, avait été mis en place et fonctionnait en violation des dispositions du RGPD.
Enfin, l’Autorité a constaté que la société n’avait pas satisfait au droit d’accès du salarié aux données à caractère personnel le concernant contenues dans son ordinateur d’entreprise.
En conséquence, et en plus d’une amende de 15 000 €, l’Autorité a ordonné à la société de
i) de se conformer immédiatement à la demande du plaignant d’exercer son droit d’accès et d’information concernant ses données à caractère personnel stockées dans son ordinateur professionnel;
ii) de veiller à ce que les traitements effectués au moyen de son système de vidéosurveillance soient conformes aux dispositions du RGPD
