Proximus écope d'une amende record pour non-respect du RGPD

L'opérateur a été condamné pour un conflit d'intérêts concernant son DPO. ©REUTERS

L’Autorité de protection des données a infligé une amende de 50.000 euros à Proximus. Le montant est le plus important depuis le début des sanctions en Belgique. On est toutefois encore loin des records de nos voisins européens.

L’Autorité de protection des données (APD) avait prévenu dans son plan stratégique dévoilé il y a quelques mois. Pour les cinq prochaines années, le secteur des télécoms et la thématique de la nomination des DPO (data protection officers) seront particulièrement observés. Il n’aura pas fallu attendre longtemps pour que ces choix de combats portent leurs fruits. L’APD vient d’infliger à Proximus une amende record de 50.000 euros. L’opérateur a été condamné pour un conflit d’intérêts concernant son DPO, la personne en charge de la bonne mise en pratique du règlement RGPD au sein de l’entreprise. "Nous sommes arrivés à la conclusion que le DPO de Proximus avait un rôle dans la prise de décisions autour des questions des données", explique Hielke Hijmans le président de la chambre contentieuse de l’APD. "Le DPO est censé servir de guide dans ces démarches. On ne peut donc pas être le conseiller et celui qui prend la décision comme c’était le cas chez Proximus", explique-t-il.

"On ne peut donc pas être le conseiller et celui qui prend la décision comme c’était le cas chez Proximus."
Hielke Hijmans
Le président de la chambre contentieuse de l’APD

L’opérateur dispose d’un mois pour interjeter appel à la cour des marchés. Proximus a toutefois déjà annoncé qu’il ne comptait pas utiliser son droit et qu’il se pliait à la décision. "Sur la base de la lecture de la motivation, nous restons convaincus que ce que nous avons mis en œuvre au niveau de notre DPO était conforme aux exigences du GDPR. La chambre contentieuse de l’APD en a décidé autrement et a décidé d'infliger une amende à Proximus. Nous agirons conformément à la décision et adapterons la position de notre DPO", explique Haroun Fenaux, le porte-parole de Proximus.  

Très loin du record britannique

A ce jour, cette amende est de loin la plus importante infligée par l’Autorité de protection des données. Jusqu’ici, la plus élevée s’élevait à 15.000 euros. "C'est la première fois que nous nous focalisons sur une entreprise de cette ampleur. Nous avions d’ailleurs la possibilité d’imposer une amende bien plus importante", nuance toutefois le président de l’autorité. L’APD a effectivement la  possibilité d’infliger des amendes d’un montant équivalent à 4% du chiffre d’affaires de la société incriminée. En 2019, les revenus de Proximus se sont élevés à plus de 4 milliards d’euros.

4%
du chiffres d'affaires
L’APD a la possibilité d’infliger des amendes d’un montant équivalent à 4% du chiffre d’affaires de la société incriminée.

"Par rapport aux autres pays européens, la Belgique est d’ailleurs beaucoup plus clémente", confirme Gerrit Vandendriessche, partner au cabinet d’avocats Altius spécialisé notamment dans les questions de RGPD. "L’année dernière, les Pays-Bas ont, par exemple, condamné la fédération nationale de tennis à 535.000 euros d’amende pour un mail envoyé à ses membres avec un contenu commercial. C’est une sanction considérable pour une organisation non commerciale. Pour les entreprises privées, la France et le Royaume-Uni ont récemment condamné respectivement Google à 50 millions d’euros et British Airways à 204 millions d’euros pour des manquements autour de la sécurité des données", explique Gerrit Vandendriessche. Précisons toutefois que pour ces dernières sanctions, les manquements étaient beaucoup plus graves. British Airways a été condamné pour le vol de données personnelles et bancaires de plus de 500.000 de ses clients.

"La décision pourrait faire jurisprudence et mettre dans l’embarras beaucoup de sociétés."
Gerrit Vandendriessche
Partner au cabinet d’avocats Altius

Dans le cas de Proximus, l’autorité a notamment justifié sa sanction par la taille de l’entreprise et la masse de données qu’elle traite chaque jour. Si  la négligence du groupe est claire, l’autorité relativise quelque peu la faute de l’opérateur. La décision prise pourrait toutefois avoir des conséquences sur la manière d’attribuer le fameux rôle de DPO. "La décision indique qu’un dirigeant ou chef de service ne peut pas en même temps avoir la fonction de DPO. C’est pourtant la solution choisie dans beaucoup de sociétés", explique l’avocat Gerrit Vandendriessche. "La décision pourrait faire jurisprudence et mettre dans l’embarras beaucoup de sociétés."

Lire également

Publicité
Publicité

Messages sponsorisés