Deuxième amende de 50.000 € infligée par l’APD ! Après avoir sanctionné Proximus en raison d’un conflit d’intérêt concernant son DPO, c’est à présent un réseau social qui est sanctionné pour avoir traité les données de non-membres sans leur consentement.
Sa pratique ? Suggérer à ses membres d’ « inviter des contacts » à rejoindre la plateforme et une fois ces contacts notamment non-membres sélectionnés, avoir stocké et utilisé leurs données personnelles récoltées grâce à cette fonctionnalité pour leur envoyer les mails d’invitation à rejoindre sa plateforme.
La contrariété de cette pratique au RGPD ? L’absence de base légale pour ce traitement. Le fait pour les membres du réseau social d’inviter leurs contacts non-membres n’emporte pas que le réseau social ait obtenu le consentement de ces non-membres pour traiter leurs données personnelles en vue de les inviter à le rejoindre.
Cette décision est importante car elle a une portée internationale. En effet, le réseau social en question activement utilisé par 4,5 millions de membres par mois dans le monde, dont 1,5 en Europe, traitait grâce aux données fournies par ses membres les données de milliers de non-membres dans le monde, ce qui constitue un traitement transfrontalier. Ainsi, dans le cadre de la coopération entre les autorités de contrôle des pays européens organisée à l’article 60 du RGPD, vingt-trois autorités de protection des données se sont déclarées concernées par cette affaire. L’APD ne précise pas toutefois sur quelle base elle s’identifie comme autorité de contrôle chef de file.
Pour plus d’informations, la décision est disponible ici (version néerlandaise uniquement pour l’instant) et un résumé de cette décision en français est disponible sur le site de l’APD.