le 29/08/2019

Condamnation de PWC à une amende de 150 000 euros par la CNIL Grecque

Par une décision rendue le 30 juillet 2019 n°26/2019, l’autorité grecque, chargée du contrôle de la règlementation en matière de protection des données personnelles (Hellenic Data Protection Authority), a condamné la société PWC a une amende pour violation du RGPD dans le cadre de la collecte des données de ses salariés. L’autorité de contrôle a également donné trois mois à PWC pour mettre en place une série de mesures correctrices pour se conformer au RGPD.

La décision de l’autorité de contrôle grecque concerne les principes de licéité, de loyauté et de transparence du choix de base légale sur lequel est fondé le traitement des données personnelles des salariés. La HDPA rappelle que ces principes imposés à l’article 5 (1) a) du RGPD, exigent que le consentement soit utilisé comme base légale, conformément à l’article 6 (1) du RGPD, uniquement lorsqu’aucune autre base légale ne s’applique. Ainsi, une fois le choix initial de base légale effectué, il est impossible de le changer pour une base légale différente.

En l’espèce, l’HDPA considère que PWC a traité illégitimement les données personnelles de ses salariés contrairement aux dispositions de l’article 5 (1) (a) du RGPD puisqu’il utilisait une base légale inappropriée pour le traitement de ces données.

Ensuite, l’HDPA estime que le traitement des données personnelles de ses employés est déloyal et non-transparent, contrairement aux dispositions de l’article 5 (1) alinéa (a) (b) et (c). Les salariés ont eu l’impression erronée que le traitement de leurs données était effectué sur la base du consentement prévu à l’article 6 (1) alinéa (a) du RGPD, alors qu’en réalité ce traitement était effectué sur le fondement de différentes bases légales pour lesquelles les salariés n’avaient pas été informé.

Enfin, l’HDPA conclu que PWC n’a été en mesure de démontrer le respect de l’article 5 (1) du RGPD ce qui est contraire au principe de documentation de cette obligation figurant à l’article 5 (2) du RGPD. En effet PWC a fait reposer la charge de la preuve du respect de cette obligation sur les salariés en leurs demandant de signer une déclaration de consentement, au traitement de leurs données personnelles, dans le cadre limité des relations de travail et de l’organisation du travail.

Il s’agit d’une condamnation importante en raison de la somme infligée, une amende de 150 000 euros mais également en raison de la particularité de l’entreprise sanctionnée. Rappelons que PWC est une société internationale participant à la mise en conformité de divers organismes au RGPD.