RGPD : Amende record en Allemagne de 14,5 millions d’€

Une société immobilière allemande, la Deutsche Wohnen SE, s’est vue infliger une amende de 14,5 millions d’euros au 30 octobre 2019 par la Berlin Data Protection Authority, l’équivalent de la Cnil pour le Land de Berlin. L’entreprise a été condamnée pour rétention excessive de données personnelles.

Pour la première fois, le régulateur allemand a appliqué une nouvelle méthode de calcul des amendes. Il a estimé que le fait de conserver des données à caractère personnel plus longtemps que nécessaire constituait une violation du RGPD à trois égards :

le responsable du traitement n’avait pas de base légale pour stocker des données à caractère personnel plus longtemps que nécessaire
cela a été considéré comme une violation des exigences de protection des données (article 25 §1 RGPD)
il s’agit également d’une violation des principes généraux de traitement : l’obligation de suppression (article 5 RGPD)

L’entreprise immobilière allemande n’avait pas mis en place une procédure de conservation et de suppression des données conforme à la nouvelle réglementation. De plus, en 2017, l’agence de protection des données allemandes avait déjà signalé ce non-respect lors d’un audit sur site une première fois et avait remarqué lors d’un second audit en 2019 que rien n’avait été mis en place.

Dans une interview, le responsable de la DPA de Berlin a annoncé que Deutsche Wohnen aurait pu facilement se conformer à la nouvelle réglementation en mettant en place un système d’archivage qui sépare les données, avec des durées de conservation différentes, permettant ainsi des durées de suppression différenciées, ajoutant que ces solutions sont disponibles.

La décision de la DPA bavaroise met l’accent sur l’importance de la gestion du cycle de vie des données. Elle a récemment annoncé qu’elle allait se concentrer sur ce domaine, attachant une importance particulière à la suppression des données à caractère personnel.