L’autorité belge de protection des données vient d’infliger une amende de 50 000 euros à la société Family Service, qui distribue des « boîtes roses » bien connues des mères et des futurs pères en Belgique, pour diverses infractions au GDPR.
Family Service est une société de marketing qui distribue des boîtes roses contenant des échantillons, des offres spéciales et des fiches d’information pour les futurs parents. Le service d’inspection de l’Autorité belge de protection des données a lancé une enquête sur cette société après qu’une plainte ait été déposée auprès de l’Autorité de protection des données, alléguant que la société avait transféré des données personnelles à des tiers, y compris des courtiers en données, sans consentement valable de la part du client et sans fournir d’informations suffisantes.
Le service d’inspection et la chambre du contentieux de l’Autorité belge de protection des données ont constaté que la société louait et/ou vendait des données à caractère personnel à des fins commerciales. Toutefois, ces pratiques n’ont pas été indiquées de manière claire et compréhensible dans la communication aux clients. Il est d’autant plus important pour l’entreprise dans ce cas d’informer correctement le client sur ces pratiques, étant donné que les boîtes roses ont été distribuées par l’intermédiaire de gynécologues et d’hôpitaux, ce qui aurait pu laisser croire aux clients que l’initiative venait du secteur public, et non d’une entreprise privée dont l’activité principale est le commerce de données.
De plus, le consentement donné par les clients pour ces transferts de données n’était pas valable, car le consentement n’était clairement pas informé, mais aussi non spécifique (car le consentement pour recevoir les boîtes impliquait automatiquement le transfert de données) ou librement donné (car l’absence de consentement impliquait la perte de certains avantages).
Compte tenu du nombre de personnes concernées (la société traite des données relatives à 21,10 % de la population belge), de la gravité de la violation et de la nature des données traitées (en particulier les données relatives aux enfants), la Chambre du contentieux de l’Autorité belge de protection des données a décidé d’infliger une amende de 50 000 euros, et a ordonné à la société de se conformer à la GDPR. Compte tenu de la taille de l’entreprise, il s’agit d’un montant considérable, mais l’Autorité belge de protection des données a décidé qu’une sanction importante était nécessaire car le modèle d’entreprise de Family Service n’est manifestement pas conforme à la GDPR.
SOURCE: EUROPEAN DATA PROTECTION BOARD