Le tribunal administratif fédéral autrichien a confirmé une lourde amende contre la poste autrichienne. L'entreprise a traité des données relatives aux opinions politiques ("affinités") sans base légale et les a utilisées à des fins de marketing direct. Ce jugement montre les erreurs que peuvent commettre les entreprises dans le traitement de données sensibles et les conséquences des violations de la RGPD ont.
Faits et déroulement de la procédure
Österreichische Post AG exploitait une vaste base de données d'adresses de groupes cibles, qui était utilisée pour des mesures de marketing ciblées. Différentes caractéristiques personnelles étaient analysées et enregistrées afin de permettre des campagnes publicitaires personnalisées. Un élément central était le calcul de ce que l'on appelle les "affinités", qui indiquaient les probabilités qu'une personne s'intéresse aux Publicité de certains partis politiques. Ces affinités ont été déduites des données sociodémographiques, des comportements d'achat antérieurs et d'autres critères, puis enregistrées dans la base de données. Les valeurs calculées n'étaient pas seulement utilisées à des fins d'analyse interne, mais également vendues à des entreprises tierces.
En outre, l'entreprise a recueilli d'autres données à caractère personnelLes données recueillies comprennent des informations sur la fréquence des colis, c'est-à-dire le nombre de fois qu'une personne a reçu des colis au cours d'une période donnée. Ces données ont été obtenues en établissant un lien avec les services logistiques. En outre, l'entreprise a analysé les probabilités de déménagement, basées entre autres sur les ordres de réexpédition. Ces informations ont été utilisées pour segmenter davantage les groupes cibles.
L'autorité de protection des données s'est intéressée à l'entreprise après que les médias ont fait état d'une possible utilisation abusive de données sensibles. En janvier 2019, elle a lancé une procédure d'audit afin d'examiner la légalité du traitement des données. L'enquête a révélé que l'entreprise n'avait pas Consentement des personnes concernées pour Traitement de leurs données. De même, une Analyse d'impact sur la protection des données n'avait pas été effectuée correctement.
Sur la base de ces constatations, une procédure pénale administrative a été engagée, qui s'est soldée par une amende considérable. L'autorité de protection des données a infligé des amendes pour violation de la RGPD une amende de 18 millions d'euros. L'entreprise a alors déposé Plainte devant le Tribunal administratif fédéral, qui a réévalué l'affaire et examiné en détail le cadre juridique du traitement des données. Par la suite, le montant de l'amende a été ajusté, tandis que les violations de la protection des données constatées ont été confirmées pour l'essentiel.
Le traitement des affinités politiques est contraire au RGPD
Le tribunal a constaté que Traitement des affinités politiques contre l'article 9 RGPD n'est pas respectée. Cette disposition interdit en principe Traitement de données à caractère personnel révélant des opinions politiques. Sauf si l'une des situations visées à l'article 9, paragraphe 2, se présente. RGPD ne prévoient pas d'exceptions. En l'absence d'une disposition expresse Consentement de la personne concernée et qu'il n'existait pas non plus d'autre base légale légitime pour la Traitement a été jugée illégale. L'entreprise avait calculé, à l'aide de méthodes statistiques, des probabilités de préférences politiques et les avait transmises à des tiers à des fins de publicité électorale ciblée. Troisième de l'entreprise. Cela ne représente pas seulement un Violation contre l'interdiction de la Traitement Le fait que les données personnelles ne soient pas protégées ne constitue pas seulement une violation de la protection des données sensibles, mais également une violation du principe de transparence et du principe d'équité conformément à l'article 5, paragraphe 1. RGPD.
Un autre grave Violation concernait la Traitement de la fréquence des colis. L'entreprise a utilisé des données sur les colis reçus de la division "livraison de colis" pour établir des projections à des fins de marketing. Ces données ont été recueillies à l'insu ou sans Consentement des personnes concernées pour une nouvelle finalité, non prévue à l'origine. Le tribunal a considéré qu'il s'agissait d'une modification illicite de la finalité au sens de l'article 6, paragraphe 4, de la directive. RGPDLa Commission a décidé de ne pas donner suite à cette demande, car la nouvelle utilisation des données n'était pas compatible avec la finalité initiale de la livraison de colis.
La détermination de la probabilité de déménagement était tout aussi problématique. L'entreprise utilisait les données des demandes de réexpédition pour calculer les probabilités de futurs déménagements de certaines personnes ou ménages. Ces informations ont ensuite été utilisées pour un marketing direct ciblé. Étant donné que les personnes concernées n'avaient pas expressément consenti à ce traitement ultérieur et qu'elles n'avaient pas reçu d'informations claires sur l'utilisation des données, le tribunal a considéré qu'il s'agissait là aussi d'une violation de la loi. Violation contre les RGPD. L'article 14 était particulièrement pertinent dans ce contexte. RGPDL'article 5 de la directive sur la protection des données oblige les entreprises à informer les personnes concernées de l'origine et de la finalité des données utilisées, sauf si celles-ci ont été collectées directement auprès d'elles. Le manque d'information des personnes concernées constituait donc un problème. Violation contre les Obligations d'information est.
Négligence des bases du RGPD
En outre, le tribunal a constaté que l'entreprise ne disposait pas d'un dossier complet et conforme aux exigences. Registre des activités de traitement a conduit à l'échec. Selon l'art. 30 RGPD doivent être Responsable une vaste Documentation de leurs activités de traitement des données. L'inventaire en question présentait des lacunes importantes, notamment en ce qui concerne la description des catégories de données et de leurs finalités. Une liste erronée ou incomplète Documentation complique non seulement le contrôle par les autorités de surveillance, mais viole également l'obligation de rendre des comptes prévue à l'article 5, paragraphe 2 RGPD.
De même, les Analyse d'impact sur la protection des donnéesqui, selon l'art. 35 RGPD pour les traitements de données présentant un risque particulièrement élevé a été jugée insuffisante. L'évaluation de l'entreprise selon laquelle il n'y avait pas de risque élevé pour les droits et libertés des personnes concernées n'a pas été partagée par le tribunal. En particulier, les Traitement d'affinité politique a été jugée à haut risque, car elle est susceptible de permettre une influence politique ciblée et, en cas de divulgation non autorisée, d'avoir un impact considérable sur la Vie privée des personnes concernées. L'absence d'une analyse des risques complète et appropriée a donc été considérée comme un autre facteur de risque. Violation contre les RGPD est considéré.
Conséquences pour les entreprises
Ce jugement montre que les violations de la protection des données peuvent avoir des conséquences juridiques et économiques importantes. En particulier, les Traitement de données sensibles (par exemple, affinités politiques) sans base juridique claire comporte des risques considérables pour les entreprises. Dans le cas présent, l'autorité de protection des données a infligé une amende de 18 millions d'euros, que le TAF a confirmée mais réduite à 16 millions d'euros. L'amende a été infligée en raison de plusieurs violations graves de la RGPD notamment en ce qui concerne l'utilisation illégale d'un ordinateur portable. Traitement de données sur les tendances politiques, le traitement ultérieur de la fréquence des paquets et des probabilités de déménagement, ainsi que le manque d'efficacité de l'application de la loi. Analyse d'impact sur la protection des données.
Les entreprises doivent s'assurer que leurs analyses d'impact sur la protection des données couvrent des risques réalistes et reposent sur une base juridique solide. Dans ce contexte, une information transparente des personnes concernées est indispensable pour répondre aux exigences de la directive sur la protection des données. RGPD de manière adéquate. Le règlement exige une base juridique claire et démontrable pour toute modification de la finalité du traitement des données. Si données à caractère personnel sans certificat valable Consentement ou une autre base juridique autorisée, les personnes concernées s'exposent à de lourdes amendes ainsi qu'à d'éventuelles actions civiles.
Le BVwG a également déclaré que les entreprises pouvaient être tenues pour responsables des violations de la RGPD peuvent être tenues pour responsables sans que les violations puissent être directement attribuées à une personne physique. Cette décision s'inscrit dans la lignée de la jurisprudence de la Cour de justice des Communautés européennes (CJCE) et précise que les personnes morales peuvent être tenues pour pleinement responsables des violations de la protection des données, même si aucune personne individuelle n'est responsable. responsable personne physique peut être identifiée. Cela souligne la nécessité pour les entreprises d'adopter une stratégie globale et préventive de protection des données afin d'éviter d'éventuelles amendes et une perte de réputation.
Conseil de lecture : Voici les amendes les plus élevées du RGPD en janvier 2025
Exigences élevées du RGPD en matière de marketing direct
L'arrêt souligne les exigences élevées en matière de traitement des données dans le marketing direct et met en évidence les graves conséquences en cas de violation du RGPD (RGPD). Les entreprises doivent non seulement s'assurer que leurs processus de traitement des données sont conformes aux exigences légales, mais aussi revoir et adapter en permanence leurs mesures de protection des données.
Violations de la RGPD peuvent non seulement entraîner des amendes élevées, mais aussi causer de graves dommages à la réputation, ce qui affecte durablement la confiance des clients et des partenaires commerciaux. La fraude est particulièrement problématique Traitement de données sensibles, telles que les affinités politiques ou les informations personnelles issues de demandes de réexpédition, car elles peuvent Vie privée des personnes concernées peuvent être gravement blessées.
Les entreprises devraient donc agir de manière proactive et réaliser des analyses d'impact complètes sur la protection des données afin d'identifier et de minimiser les risques potentiels à un stade précoce. Une communication transparente avec les personnes concernées et le respect de tous les Obligations d'information sont indispensables à cet égard. En outre, des politiques internes claires et une formation du personnel sont nécessaires pour garantir la bonne mise en œuvre des règles de protection des données.
En fin de compte, le jugement montre que Protection des données n'est pas un simple sujet de conformité, mais représente un défi stratégique pour les entreprises. Seule une mise en œuvre cohérente et responsable de la RGPD les entreprises peuvent conserver la confiance de leurs clients à long terme et éviter les sanctions juridiques.
Source : Arrêt (W258 2227269-1/39E) de la Cour administrative fédérale autrichienne
German 
English 
Italian 
French