Toutes nos actus

UPS sanctionné à hauteur de 70 000 euros !

Délégués à la Protection des Données
RGPD
photo ups sanction

Une personne a déposé plainte devant la « #cnil espagnole » parce qu’un livreur d’UPS a confié un colis qui lui était destiné à un voisin sans son consentement préalable.

👉  UPS a avancé qu’ils agissaient en tant que fournisseur de service et que le contrat prévoyait que le colis pouvait être confié à un voisin, le vendeur ayant la charge d’informer le client du traitement de données. L’autorité de contrôle espagnole, en prenant appui sur les lignes directrices du #CEPD concernant les qualifications de responsable de traitement et de sous-traitant, a qualifié UPS de responsable de traitement en raison de son contrôle sur les moyens du traitement.

👉 Le fait que le voisin ait accès aux données personnelles du destinataire du colis sans le consentement de ce dernier constitue un accès illégitime aux données, c’est-à-dire une violation de données au sens du RGPD. UPS, en tant que responsable de traitement, a donc été sanctionné à hauteur de 70 000 euros (50 000 en raison de la violation de données et 20 000 en raison de mesures de sécurité insuffisantes).

Cette décision est l’occasion de rappeler quelques grands principes :

▶ Même si les responsabilités sont définies contractuellement – ce qui n’était pas le cas en l’espèce – l’autorité de contrôle peut les requalifier pour les mettre en adéquation avec le #rgpd

▶ Les lignes directrice du CEPD précisent que le responsable de traitement définit les finalités du traitement ainsi que ses moyens essentiels. Le sous-traitant ne définit donc pas les finalités, et ne peut définir que des moyens non essentiels

▶ Un simple accord ne constitue pas un consentement au sens du RGPD, qui répond à des conditions précises

▶ Les violations de données ne concernent pas uniquement les données sensibles et les cyberattaques : le simple accès par un voisin à des données d’identification constitue une violation de données dans la mesure où cet accès n’est pas conforme au RGPD

Lien vers la décision et son résumé en anglais : https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00280/2022

cabinet de conseil kaora partners
Vous voulez plus d'actualités ?

Rendez-vous sur notre page LinkedIn Kaora-Partners RGPD !