Le 30 octobre 2019, l’autorité de protection des données de Berlin (« L’autorité ») a infligé une amende d’environ 14,5 millions d’euros à Deutsche Wohnen SE pour avoir conservé des données en violation du règlement général sur la protection des données (RGPD).
Bien que cette décision porte principalement sur le fait que l’entreprise a été sanctionnée pour violation des principes de protection des données à la conception et par défaut ainsi que des autres principes de protection des données (c.-à-d. proportionnalité et durée de conservation), cette décision donne également des indications sur la manière dont l’autorité a calculé le montant de l’amende.
Que s’est-il passé ? (conclusions et procédure)
En 2017 et 2019, l’Autorité a effectué deux contrôless sur place qui ont révélé que le système d’archivage de l’entreprise n’était pas paramétré pour supprimer les données à caractère personnel qui n’étaient plus nécessaires aux fins pour lesquelles elles avaient été initialement collectées et que les données relatives aux locataires étaient conservées sans vérifier si leur conservation était autorisée ou même nécessaire. En conséquence, les données révélant des circonstances personnelles et financières des personnes concernées (ex: fiches de paie, formulaires d’auto-divulgation, contrats de travail, données fiscales, de sécurité sociale et d’assurance maladie, relevés bancaires…) ont été conservées en violation des exigences de protection des données (c’est-à-dire des principes de proportionnalité et de limitation de durée de conservation).
Suite à son premier contrôle, en 2017, l’Autorité berlinoise a recommandé un ajustement du système d’archivage. Toutefois, lors de son second contrôle, en mars 2019, elle a constaté que l’entreprise n’avait pris que des mesures préliminaires pour régler le problème, qu’elle n’avait pas nettoyé sa base de données et qu’elle n’était pas en mesure de fournir de raison valable pour conserver ces données. Les mesures préliminaires mises en œuvre n’étant pas suffisantes pour considérer l’entreprise comme conforme aux exigences du RGPD, l’Autorité a décidé de lui infliger une amende de 14,5 millions d’euros pour violation de l’article 25, paragraphe 1, du RGPD (respect de la protection des données dès la conception et par défaut) et de l’article 5 du RGPD (principes applicables au traitement de données).
Calcul de l’amende
Le point de départ du calcul des amendes a été le chiffre d’affaires mondial réalisé l’année précédente par les sociétés concernées. Le chiffre d’affaires annuel de Deutsche Wohnen SE dépassant 1,4 milliard d’euros selon son rapport annuel 2018, le plafond de l’amende pour ce type de violation était d’environ 28 millions d’euros (soit 2% du chiffre d’affaires mondial annuel, ce qui est surprenant étant donné qu’elle considère la société en violation de l’article 5 qui peut être passible d’une amende pouvant atteindre 4% du chiffre d’affaires annuel).
Facteurs aggravants : Deutsche Wohnen SE avait délibérément mis en place la structure d’archivage et avait traité les données concernées en violation de la loi pendant une longue durée.
Facteurs atténuants : l’entreprise a pris les premières mesures pour remédier à la situation illégale et a coopéré formellement avec l’Autorité. Il n’a pas été possible de prouver que la société avait mal utilisé les données qu’elle n’était pas censée conserver dans sa base de données.
En conséquence, une amende d’environ la moitié de la limite supérieure a été jugée appropriée (14,5 M€).
Sanctions supplémentaires
L’Autorité a également infligé plusieurs amendes supplémentaires, allant de 6 000 à 17 000 euros, pour la conservation non-conforme de données personnelles des locataires dans 15 cas individuels spécifiques.
L’amende n’est pas encore définitive car Deutsche Wohnen SE a toujours le droit de faire appel de la décision.
