Le Règlement général sur la protection des données (RGPD) accorde aux individus le droit de demander l’effacement de leurs données personnelles auprès des organisations qui les détiennent. Le non-respect de ce droit peut entraîner des sanctions significatives, comme l’illustre le cas récent impliquant Orange Roumanie.
Contexte de l’affaire
Une demande d’effacement ignorée
Après une tentative infructueuse de souscription aux services de téléphonie mobile d’Orange Roumanie, un individu a demandé la suppression de toutes ses données personnelles.
Réaction de l’opérateur
Orange Roumanie a demandé des informations supplémentaires et n’a pas répondu de manière adéquate. De plus, l’entreprise a collecté et conservé excessivement des copies de documents d’identité, bien que non nécessaires.
Les manquements identifiés
Non-respect du droit à l’effacement
Orange Roumanie n’a pas donné suite à la demande d’effacement des données personnelles, contrevenant ainsi à l’article 17 du RGPD.
Collecte et conservation excessives de données
L’entreprise a continué à collecter et stocker des copies scannées de documents personnels, même après que ces données n’étaient plus nécessaires, violant ainsi les articles 5, 6 et 7 du RGPD.
Décision de l’autorité roumaine
Sanctions financières
En conséquence de ces infractions, l’Autorité nationale de surveillance du traitement des données à caractère personnel de Roumanie a infligé à Orange Roumanie une amende totale de 40 000 euros.
Mesures correctives
L’opérateur doit désormais fournir une réponse complète à la demande d’effacement et assurer la conformité de ses pratiques de traitement des données avec le RGPD.
Implications pour les entreprises européennes
Une portée au-delà des frontières
Le RGPD étant un texte s’appliquant à l’ensemble des entreprises opérant au sein de l’Union européenne, la portée de ces décisions s’étend donc, au-delà des frontières roumaines. Ainsi, les différentes autorités de protection des données des pays membres de l’UE sont susceptibles de rendre des décisions similaires à celle de l’autorité roumaine, impliquant des changements et l’instauration de bonnes pratiques pour les entreprises souhaitant évitant de telles sanctions.
Bonnes pratiques à adopter
Pour éviter pareilles sanctions, les entreprises européennes se doivent de prendre des mesures sur les points suivants
➕Minimisation des données : Les entreprises doivent s’assurer de ne collecter que les données strictement nécessaires à des fins spécifiques, en respectant les principes de minimisation des données
➕Obligation de répondre aux demandes de suppression : les entreprises doivent traiter les demande d’accès au droit et donc de suppression de données de manière complète et adéquate, conformément aux articles 12 et 17 du RGPD
➕Renforcement des exigences de consentement : les entreprises doivent obtenir un consentement explicite et valide pour la collecte et le traitement des données personnelles excluant l’utilisation de cases pré-cochées
Le cas d’Orange Roumanie sert de rappel aux entreprises européennes sur l’importance de respecter les droits des individus en matière de protection des données. Une gestion inadéquate des demandes d’effacement peut entraîner des sanctions financières et nuire à la réputation de l’entreprise. Il est donc crucial de veiller à une conformité stricte au RGPD pour éviter de telles conséquences.
