L’entreprise postale UPS a été sanctionnée le 3 novembre dernier à hauteur de 70.000 euros par l’AEPD (CNIL espagnole) au motif qu’un livreur a remis un colis au voisin du destinataire. Cette action a constitué une violation de données par le biais d’un accès illégitime aux données, en ce sens que le voisin a eu accès aux données personnelles du destinataire sans que ce dernier n’ait donné son consentement préalable.
Selon UPS, l’entreprise agissait en tant que fournisseur de service et le contrat prévoyait que le colis pouvait être remis à un voisin, et il incombait au vendeur d’informer le destinataire du traitement de ses données.
Cependant, prenant appui sur les lignes directrices du CEPD, la CNIL espagnole a qualifié UPS de responsable de traitement en raison de son contrôle sur les moyens du traitement.
Cela a conduit l’autorité à sanctionner UPS à, d’une part, 50.000 euros d’amende en raison de la violation de données et, d’autre part, 20.000 euros d’amende en raison des mesures de sécurité insuffisantes.
Il convient, par le biais de cette décision, de rappeler qu’en matière de sous-traitance :
- Le responsable de traitement définit les finalités et les moyens du traitement.
- Le sous-traitant traite les données pour le compte du responsable de traitement : il ne définit pas les finalités et ne peut définir que les moyens non essentiels.
En matière de protection des données, la relation des parties prenantes à un traitement de données nécessite une analyse approfondie : un simple encadrement contractuel ne suffit pas à définir les responsabilités, l’autorité de contrôle ayant le pouvoir de requalifier les relations.
Pour en savoir plus :
Décision PS/00280/2022 , AEPD, 3 novembre 2022
Responsable de traitement et sous-traitant : 6 bonnes pratiques, CNIL, 9 juillet 2020
