Coopération insuffisante avec l’autorité de contrôle

  • 22 May, ’23
  • RGPD

Il y eu de nombreuses sanctions administratives en rapport avec l’article 31 du RGPD (obligation de coopérer avec l’autorité de contrôle) souvent utilisé en association à l’article 58 (les pouvoirs de l’autorité de contrôle dans l’exercice de ses missions).

Cela implique l’obligation pour l’organisme contrôlé de coopérer, notamment en lui communiquant toute information et tout document dont celle-ci a besoin pour l'accomplissement de ses missions d’audit et de contrôle de la conformité.

Si l’autorité de contrôle demande une restitution de documents ou d’information à l’organisme contrôlé, dans un délai imparti, celle-ci est tenue de répondre dans ce délai.

Un exemple plus parlant, le 11 décembre 2020 l’autorité de contrôle de l’Ile de Malte a sanctionné l’entreprise Cosmetic Medical Limited pour défaut de réponse dans le délai demandé, malgré plusieurs relances.

Même si les autorités de contrôle peuvent parfois être compréhensives sur les délais de restitution, un retard ou une absence de réponse peut laisser paraître un manque d’organisation et de contrôle interne de l’entreprise en rapport à l’utilisation et à la violation de données personnelles.

Un second exemple, extrait de la décision de l’autorité de contrôle autrichienne illustre ce cas : dans le cadre de 3 réclamations déposées par des employés à l’autorité de contrôle pour divulgation de leurs données de santé sur un groupe de travail WhatsApp. Dans son compte rendu, l’autorité autrichienne déclare :

« […] en tant que défenseur et responsable de la protection des données et malgré l’urgence de la demande de l’autorité de protection des données, elle (l’entreprise) n’a pas participé à la procédure ou n’y a participé que tardivement. Dans deux cas, elle n’a fait aucun commentaire et, dans un cas, très tardivement sur les observations des plaignants respectifs. En conséquence, elle n’a pas rempli son obligation de coopérer avec l’autorité de contrôle sur demande dans deux cas et dans un cas seulement insuffisamment. […] En tout état de cause, le directeur général n’a pas mis en œuvre un système de contrôle interne efficace sous la forme de mesures appropriées pour les opérations quotidiennes. En conséquence, dans deux cas, l’accusée ne s’est pas du tout conformée aux demandes d’avis de l’autorité de protection des données et, dans un cas, seulement après l’expiration du délai, violant ainsi son obligation de coopérer avec les autorités de contrôle en vertu de l’article 31 du RGPD. »

Les entreprises doivent rester vigilantes sur leurs obligations de coopération avec les missions de contrôle de l’autorité compétente, et veiller à l’organisation de leur infrastructure quant à la sécurité et aux traitements des données personnelles. C’est pourquoi il est fortement recommandé d’avoir un DPO dans son entreprise.

#RGPD #CNIL
Insuffisance de coopération avec l'autorité de contrôle

Benjamin Berthelot

Alternant DPO chez Solutions 909, je suis chargé de prestations RGPD auprès de nos clients, et de la rédaction d'articles sur les thèmes clés du métier : Protection des données et cybersécurité.