L’Agence danoise de protection des données a pris une décision dans une affaire où un citoyen s’est plaint de la divulgation par Telmore A/S de son adresse électronique à Meta Ireland. L’affaire a été examinée par le Conseil des données.

L’Agence danoise de protection des données a reçu une plainte d’un citoyen qui reproche à Telmore A/S d’avoir transmis ses données personnelles à Meta Ireland. La plainte comporte quatre points principaux :

• le transfert par Telmore des données personnelles du plaignant à Meta Ireland
• le transfert par Telmore des données à caractère personnel du plaignant vers les États-Unis
• le manquement de Telmore à son devoir de divulgation
• Réponse inadéquate de Telmore à la demande d’accès du plaignant.

Selon Telmore, la divulgation a été faite afin d’exempter le plaignant du marketing ciblé de l’entreprise sur Facebook. Pour ce faire, l’entreprise a utilisé l’outil Custom Audience de Facebook, qui permet aux entreprises d’adapter leurs publicités à des groupes d’utilisateurs spécifiques. L’outil fonctionne lorsque l’entreprise transmet des informations – telles que les adresses électroniques – sur ses clients, par exemple, qui sont comparées aux informations de Meta Ireland sur les utilisateurs de Facebook. Dans cette affaire, Telmore avait estimé que Meta Ireland agissait en tant que responsable du traitement des données pour l’entreprise.

L’Agence danoise de protection des données critique

Dans sa décision, l’Agence danoise de protection des données a conclu que le traitement par Telmore des données personnelles du plaignant ne pouvait être fondé sur la règle de l’équilibre des intérêts – sur cette base, l’Agence danoise de protection des données a choisi de critiquer. En outre, l’autorité de contrôle n’a pas tenu compte de l’évaluation faite par Telmore de la répartition des rôles entre l’entreprise et Meta Ireland, estimant qu’il y avait une responsabilité conjointe en matière de données dans cette affaire. Sur cette base, l’Agence danoise de protection des données a estimé que Telmore n’avait pas établi sa responsabilité en matière de respect des obligations du règlement sur la protection des données en tant que responsable conjoint du traitement des données avec Meta Ireland. Toutefois, l’Agence danoise de protection des données a choisi de ne pas critiquer cette situation, car l’absence d’établissement de la responsabilité était due au fait que l’Agence danoise de protection des données n’avait exceptionnellement pas tenu compte de l’évaluation de Telmore concernant la répartition des rôles.

Pas d’enquête supplémentaire
L’Agence danoise de protection des données a également conclu qu’il n’était pas approprié de poursuivre l’enquête sur les autres plaintes dans cette affaire. En effet, pour se conformer aux règles de protection des données, il est essentiel d’identifier correctement son propre rôle dans le traitement des données à caractère personnel, y compris la répartition des rôles avec les partenaires commerciaux. L’Agence danoise de protection des données n’ayant pas tenu compte de l’évaluation de Telmore concernant cette condition préalable fondamentale, la poursuite de l’enquête n’aurait pas permis au plaignant d’obtenir des informations correctes sur la manière dont les données ont été traitées. L’agence danoise de protection des données a également souligné que Telmore ne partageait plus l’adresse électronique du plaignant avec Meta Ireland.

L’Agence danoise de protection des données a souligné à Telmore que si l’entreprise compte continuer à utiliser l’outil Custom Audience de Meta Ireland, elle doit s’assurer qu’il existe un accord de responsabilité conjointe en matière de données qui établit les responsabilités respectives des parties en ce qui concerne le respect des obligations du GDPR.

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/maj/kritik-af-telmore-as%e2%80%99-behandling-af-personoplysninger