C’est ce qu’a décidé l’Agence Espagnole de Protection des Données (AEPD, d’après ses sigles) dans une décision PS/00280/2022 prononçant une sanction de 70 000 euros à l’encontre de UPS (entreprise de livraison). En effet, UPS aurait violé l’article 5.1 f) du Règlement Général sur la Protection des Données (RGPD) concernant l’intégrité et la confidentialité des données, pour un montant de 50 000€, et 20 000€ pour ne pas avoir pris les mesures nécessaires pour garantir la sécurité des données, violant alors l’article 32 RGPD.
La AEPD considéra par-là que l’entreprise UPS avait cédé les données à un tiers, à savoir le voisin, sans recueillir le consentement ou l’accord du destinataire originel de ce colis. D’une part, les données personnelles comme le nom, prénom, numéro de téléphone peuvent être visibles sur l’étiquette du colis, d’autre part le voisin ou toute autre personne peut ouvrir et savoir ce que contient ledit colis violant par-là l’intimité du destinataire.
Même si nos voisins sont dignes de confiance, cette relation ne peut être assumée sans notre permission. Remettre un colis à un inconnu potentiel suffit à représenter un problème dans le traitement de nos données.
Comment le consentement doit-il être obtenu en vertu du RGPD?
Il ne faut pas oublier que, dans tous les cas, la manière dont le consentement à l’utilisation des données à caractère personnel est demandé doit toujours impliquer une action de la part de la personne concernée, comme cliquer sur un bouton “J’accepte”, cocher une case ou procéder à l’activation ou à la désactivation des cookies sur un site web ou signer une clause de protection des données dans un contrat.
Quelles sanctions en cas d’absence de demande de consentement RGPD
L’utilisation de données personnelles sans obtenir le consentement peut entraîner un certain nombre de sanctions, et pas des moindres, y compris si le consentement ne réunit pas les critères cumulatifs prévus par le RGPD.
Le RGPD prévoit des amendes administratives pouvant aller jusqu’à 20 millions d’euros ou un montant équivalant à un maximum de 4 % du chiffre d’affaires annuel total agrégé de l’exercice précédent. L’amende la plus élevée sera toujours choisie.
Quid de la France ?
L’Autorité de Protection des Données Personnelles française (la CNIL) n’a jamais prononcé de sanction similaire. Méfiance est de mise, les autorités nationales communiquent entre elles et s’informent sur les manquements au RGPD prononcés dans les différents pays membres de l’UE. Les entreprises de livraison doivent être vigilantes, que ce soit pour éviter une amende salée de la CNIL, mais aussi et surtout pour préserver l’intimité et la vie privée des personnes.
Source: décision de l’AEPD Expediente N.º: PS/00280/2022