Quantcast
Channel: Next - Flux Complet
Viewing all articles
Browse latest Browse all 1304

☕️ Violation de données personnelles : une mesure correctrice ou une amende n’est pas obligatoire

$
0
0
Violation de données personnelles : une mesure correctrice ou une amende n’est pas obligatoire

L’affaire était montée jusqu’à la Cour de justice de l’Union européenne. Elle a débuté en Allemagne, quand une Caisse d’épargne « a constaté que l’une de ses employés avait consulté à plusieurs reprises, sans y être habilitée, des données à caractère personnel d’un client ».

La Caisse d’épargne avait alors échangé avec l’employée, qui « avait confirmé par écrit qu’elle n’avait ni copié ni conservé les données, qu’elle ne les avait pas transmises à des tiers et qu’elle ne le ferait pas à l’avenir ». Des mesures disciplinaires avaient été prises à son encontre, mais la Caisse avait décidé de ne pas informer le client, car elle estimait « qu’il n’y avait pas de risque élevé pour lui ».

L’incident a été notifié au commissaire à la protection des données du Land. Le client, qui a pris « incidemment connaissance de cet incident », a introduit une réclamation auprès de ce même commissaire pour que des sanctions soient prononcées. « Ayant entendu la Caisse d’épargne, le commissaire à la protection des données a informé le client qu’il n’estimait pas nécessaire de prendre des mesures correctrices à l’égard de la Caisse d’épargne ».

Le client n’était pas satisfait et s’est donc tourné vers une juridiction allemande, « en lui demandant d’enjoindre au commissaire à la protection des données d’intervenir contre la Caisse d’épargne et, en particulier, de lui infliger une amende ». La juridiction s’est tournée vers la Cour de justice en lui demandant d’interpréter le règlement général sur la protection des données dans ce cas précis.

La Cour répond « qu’en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas obligée de prendre une mesure correctrice, en particulier d’imposer une amende administrative, lorsque cela n’est pas nécessaire pour remédier à l’insuffisance constatée et garantir le plein respect du RGPD ».

La Cour de justice de l’Union européenne ne fait que répondre à la juridiction allemande, elle ne tranche pas le litige national. La CJUE rappelle qu’il appartient maintenant « à la juridiction nationale de résoudre l’affaire conformément à la décision de la Cour ». Désormais, cette « décision lie, de la même manière, les autres juridictions nationales qui seraient saisies d’un problème similaire ».


Viewing all articles
Browse latest Browse all 1304

Trending Articles