Bisnode doit débourser huit millions d’euros en affranchissement pour cause de non-respect des règles de GDPR – ce qui est 36 fois plus que l’amende.
La société danoise, Bisnode, a été condamnée à une amende de 220,000 euros pour violation des règles du GDPR.
Sauf le fait qu’elle est la première amende de ce genre en Pologne, elle n’est pas particulièrement surprenante. Ce qui est remarquable, c’est que la société est tenue d’informer les six millions de personnes affectées a l’ancienne avec une lettre dans la poste.
Selon la société, cette demande, faite par l’autorité polonaise de protection des données, entrainera une dépense de huit millions d’euros pour seul l’affranchissement – sans parler des autres couts liés à l’envoi d’autant de lettre.
Le crime commis par Bisnode est d’avoir ramassé des données illegalement. Ils ont pris des données des sources qui sont accessibles au public, mais sans informer les personnes a qui appartiennent ces données. Ceci est contraire à l’article 14 du règlement européen sur les données personnelles, GDPR. La société a trois mois pour informer les personnes affectées.
Bisnode porte cette amende devant les tribunaux
Selon TechCrunch, qui fait référence aux médias polonaise, Bisnode va porter cette amende devant les tribunaux. Premièrement au système judiciaire polonais, et si nécessaire, jusqu’au Cour de justice de l’Union européenne. Bisnode contestera à quel point l’entreprise est responsable pour le fourni d’informations. L’Article 14 prévois des exceptions lies a la proportionnalité et a l’impossibilité. La question est de savoir si ces exceptions peuvent entrer en jeu ici.
« La décision est considérée comme très radicale, car elle interprète l’article 14 de manière très littérale », a déclaré Lucasz Olejnik, expert en sécurité informatique, a TechCrunch. Selon lui, l’autorité de protection des données polonaise a pris une décision de principe dans cette affaire :
« Ils soutiennent que le modèle commercial repose sur la collecte de données et que la société a pris une décision active. Ils affirment également que l’entreprise était consciente de l’obligation, puisqu’elle a contacté certaines des personnes impliquées par mail. »
Il n’est pas illégal de collecter des données à partir de sources accessibles au public. Par contre, on a le devoir d’informer les propriétaires des données, du but de l’utilisation. Dans ce cas, Bisnode a ramassé des données sur les entrepreneurs et les propriétaires d’entreprise. Le probleme etait que Bisnode avait des adresses mails pour seulement un petit nombre entre eux.
La majorité – 5,7 millions de personnes – n’en a rien su
Bisnode a mis un commentaire sur le site web polonais, en disant qu’il le considère irrealiste de devoir contacter 5,7 millions de personnes par courrier ou téléphone. Ils estiment qu’une communication digitale ou une production générale d’information, serait préférable à la fois pour l’expéditeur et le destinataire.
En plus d’informer environ 90 000 personnes qu’ils ont maintenant supprimé leurs données, Bisnode a publié un message sur son site Web. Ce message publique a été rejeté par l’Autorité polonaise de protection des données. Ils disent que c’est insuffisant, arguant qu’il n’y a aucune garantie que tout le monde le trouvera.
Sur les 90 000 informés, 12 000 ont choisi de dire non. TechCrunch a tenté d’obtenir un commentaire de Bisnode a ce sujet.
L’importance de GDPR pour HR-ON
Pour HR-Skyen (maintenant appelé HR-ON), les affaires de GDPR sont toujours pertinentes. En ce qui concerne le recrutement, les entreprises ne peuvent pas contourner le GDPR. Les candidatures contiennent beaucoup d’informations personnelles qui sont régies par les règles.
En utilisant le système fourni par HR-ON, les entreprises peuvent s’assurer que les informations sont toujours traitées conformément au GDPR. Cela signifie, entre autres choses, que les entreprises seront toujours en mesure de documenter le traitement des données.