La société n’avait pas demandé aux utilisateurs de son service leur consentement spécifique au traitement des données personnelles liées à la santé. Le Bureau du Médiateur pour la protection des données a imposé une amende administrative à la société pour avoir violé le Règlement général sur la protection des données puisque le traitement des données relatives à la santé fait partie de l’activité principale de la société. En outre, le Médiateur pour la protection des données a ordonné à la société de rectifier ses pratiques en matière de demande de consentement.
Le Bureau du Médiateur pour la protection des données a enquêté sur les pratiques de l’entreprise sur la base de plaintes déposées en 2018-2019. Les enquêtes ont révélé que l’entreprise ne disposait pas du consentement requis par le GDPR pour le traitement des données relatives aux indices de masse corporelle et à l’absorption maximale d’oxygène.
Les données de santé font partie des « catégories particulières de données à caractère personnel » et leur traitement n’est généralement pas autorisé. Ces données peuvent toutefois être traitées dans certains cas, notamment lorsque la personne concernée a donné son consentement au traitement. L’entreprise avait demandé le consentement au traitement des données relatives à la santé en général, mais n’avait pas précisé quelles données elle collectait et traitait. Le consentement demandé ne répondait pas aux exigences du GDPR car il n’était pas spécifique et informé.
Le Médiateur pour la protection des données constate que le responsable du traitement a informé les personnes concernées du traitement de leurs données à caractère personnel mais n’a cependant pas fourni suffisamment d’informations sur les types de données à caractère personnel traitées et les finalités du traitement de chaque type de données.
La Commission des sanctions a notamment souligné que le traitement intensif de données relatives à la santé fait partie du cœur de métier de l’entreprise.
« Lorsque le traitement de données à caractère personnel constitue un élément essentiel de l’activité d’une entreprise, celle-ci doit veiller méticuleusement à ce que toutes les conditions d’un traitement approprié soient remplies. Cela devient de plus en plus important dans notre économie à forte intensité de données », a déclaré le Médiateur pour la protection des données, Anu Talus.
L’affaire a été traitée conjointement par plusieurs États membres
Le service de la société est également disponible dans d’autres États membres de l’UE et de l’EEE, de sorte que l’affaire a été traitée en coopération par leurs autorités de contrôle. L’une des plaintes avait été déposée dans un autre État membre.
Le bureau de la société en Finlande est responsable du traitement des données personnelles, et le Bureau du Médiateur pour la protection des données a joué le rôle d’autorité de contrôle principale dans l’enquête. Les autorités de contrôle concernées ont accepté la décision du Médiateur pour la protection des données et du Comité des sanctions et sont également liées par celle-ci.
La Commission des sanctions du Bureau du Médiateur pour la protection des données a imposé une amende administrative de 122 000 euros à la société pour violation de la protection des données. La société a également reçu un blâme.
Les décisions ne sont pas encore définitives et peuvent faire l’objet d’un appel devant le tribunal administratif.
The decisions of the Data Protection Ombudsman and the Sanctions Board (pdf, in Finnish)