Qualification des responsabilités des parties prenantes : UPS devait recueillir le consentement du destinataire pour remettre le colis à un voisinQualification des responsabilités des parties prenantes : UPS devait recueillir le consentement du destinataire pour remettre le colis à un voisinQualification des responsabilités des parties prenantes : UPS devait recueillir le consentement du destinataire pour remettre le colis à un voisinQualification des responsabilités des parties prenantes : UPS devait recueillir le consentement du destinataire pour remettre le colis à un voisin
  • Services
    • Audits de conformité RGPD
    • DPO / DPD externe
    • DPO / DPD externe et mutualisé
    • Accompagnement RGPD
    • Membres AD-PA+
  • Cybersécurité
    • PIA / AIPD
    • Audits de sécurité
    • Gestion de crise
  • Expertise
    • Santé
    • Médico-social
    • Mutuelle
  • Maturité RGPD
  • Logiciel DPM
  • Formations
  • Lexagone
    • Actus RGPD
    • Qui sommes-nous ?
    • L’équipe Lexagone
    • Recrutement
    • Références
    • Partenaires
  • Contact
✕
Vers un Schrems 3 ? Retour sur les moments forts de l’interview du fondateur de NOYB auprès d’Euractiv
17 novembre 2022
4 ans après l’entrée en application du RGPD : où en sont les pop-ups de cookies sur les sites internet ?
24 novembre 2022
Publié par G L le 18 novembre 2022
Catégories
  • News
  • Protection des données
  • Sécurité
Tags
  • AEPD
  • Consentement
  • RGPD
  • Violation de données

Qualification des responsabilités des parties prenantes : UPS devait recueillir le consentement du destinataire pour remettre son colis à un voisin

L’entreprise postale UPS a été sanctionnée le 3 novembre dernier à hauteur de 70.000 euros par l’AEPD (CNIL espagnole) au motif qu’un livreur a remis un colis au voisin du destinataire. Cette action a constitué une violation de données par le biais d’un accès illégitime aux données, en ce sens que le voisin a eu accès aux données personnelles du destinataire sans que ce dernier n’ait donné son consentement préalable.

Selon UPS, l’entreprise agissait en tant que fournisseur de service et le contrat prévoyait que le colis pouvait être remis à un voisin, et il incombait au vendeur d’informer le destinataire du traitement de ses données.

Cependant, prenant appui sur les lignes directrices du CEPD, la CNIL espagnole a qualifié UPS de responsable de traitement en raison de son contrôle sur les moyens du traitement.

Cela a conduit l’autorité à sanctionner UPS à, d’une part, 50.000 euros d’amende en raison de la violation de données et, d’autre part, 20.000 euros d’amende en raison des mesures de sécurité insuffisantes.

Il convient, par le biais de cette décision, de rappeler qu’en matière de sous-traitance :

  • Le responsable de traitement définit les finalités et les moyens du traitement.
  • Le sous-traitant traite les données pour le compte du responsable de traitement : il ne définit pas les finalités et ne peut définir que les moyens non essentiels.

En matière de protection des données, la relation des parties prenantes à un traitement de données nécessite une analyse approfondie : un simple encadrement contractuel ne suffit pas à définir les responsabilités, l’autorité de contrôle ayant le pouvoir de requalifier les relations.

Pour en savoir plus :

Décision PS/00280/2022 , AEPD, 3 novembre 2022

Responsable de traitement et sous-traitant : 6 bonnes pratiques, CNIL, 9 juillet 2020

Articles similaires

2 février 2023

Bilan 2022 : l’action répressive de la CNIL en quelques chiffres


Lire l'article
26 janvier 2023

Un projet de déploiement des « caméras augmentées » pour les Jeux Olympiques 2024


Lire l'article
20 janvier 2023

Tiktok sanctionné d’une amende de 5 millions d’euros pour non-respect des obligations en matière de dépôt de cookies


Lire l'article
Lexagone - Services RGPD et DPO externe

Lexagone est membre des organismes suivants

Digital 113

Services RGPD

Audits de conformité RGPD

DPO / DPD externe

DPO / DPD externe & mutualisé

Accompagnement RGPD

Formations DPO

DPM, notre logiciel de conformité RGPD

Cybersécurité

PIA-AIPD

Audits de sécurité

Prévention social engineering

Lexagone, c'est

Une histoire

Une équipe

Des références

Des partenaires

Un blog

Légal

Mentions légales

Politique de confidentialité

Politique de cookies

Conditions d'utilisation

© Copyright 2005 – 2023 Lexagone | Tous droits réservés