L’APD (l’autorité belge de protection des données) sanctionne un propriétaire pour l’absence de réponse satisfaisante à l’exercice du droit d’accès d’un plaignant, et ce en dehors du délai prolongé de deux mois.
La Chambre Contentieuse estime qu’il y a suffisamment d’éléments pour formuler une réprimande, ce qui constitue une sanction légère et suffisante à la lumière des violations du RGPD constatées dans ce dossier.
Cela étant, le responsable de traitement ne doit pas nécessairement répondre aux questions concernant l’existence d’éventuelles fuites de données suite à des défauts de sécurité, les protocoles de sécurité de l’information ainsi que les mesures de sécurité et organisationnelles relatives au traitement de données à caractère personnel par ses employés ou ses cocontractants.
En effet, ces informations ne sont pas reprises par l’article 15 ou par l’article 13 du RGPD et l’article 34.1 du même règlement n’oblige un responsable de traitement de notifier une violation de données que lorsqu’elle « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ».
Dont acte !