Danemark - Franchise and Distribution #25

Première décision de justice au Danemark concernant le non-respect du RGPD

Tribunal de première instance d'Aarhus, 12 février 2020

Le 12 février 2021, le tribunal de première instance d'Aarhus a rendu le premier jugement au Danemark concernant les règles énoncées dans le règlement (UE) 2016/679 du 27 avril 2016 ("RGPD") et la loi danoise sur la protection des données.

Le détaillant de meubles danois Ilva A/S - qui fait partie d'un grand groupe de sociétés - a été reconnu coupable de la violation de l'article 5, paragraphe 1, point e), et de l'article 5, paragraphe 2 du RGPD, pour avoir conservé des données à caractère personnel au-delà de la durée prévue par le texte.

L'affaire a été ouverte à la suite d'un contrôle sur site effectué par l'Agence danoise de protection des données ("APD") le 8 octobre 2018 et a ensuite été portée devant les tribunaux par le ministère public danois dans la mesure où, contrairement à la plupart des autres juridictions de l'Union Européenne, l'APD n'a pas le pouvoir de prononcer des amendes administratives. Les amendes administratives ne peuvent être appliquées que dans le cas où il existe un précédent clair ; or actuellement il n'y en a pas.

Au cours de l'inspection sur site, l'APD a eu accès à divers systèmes informatiques, y compris un ancien système qui contenait les données personnelles (noms, adresses, numéros de téléphone, courriels et données de transaction) d’au moins 350.000 clients, qui avaient été conservées au-delà de la durée prévue par la loi danoise sur la comptabilité, sans justification. Les données personnelles en question avaient été collectées avant le 1er janvier 2013 et la procédure de suppression n'avait pas été mise en œuvre avant le 18 janvier 2019 (à la suite de l'inspection sur site) ; les données personnelles ont donc été stockées sans base légale pendant environ 8 mois après la date d'entrée en vigueur du RGPD.

Bien que le ministère public ait requis une amende de 1.500.000 couronnes danoises (environ 200.000 euros) sur la base du chiffre d'affaires total du groupe, Ilva A/S s’est vue infliger une amende de "seulement" 100.000 couronnes danoises (environ 13.500 euros). Contrairement aux réquisitions du ministère public, le tribunal a calculé l'amende sur la base des seuls revenus (propres) d'Ilva A/S et a également pris en compte un certain nombre de circonstances atténuantes (conformément à l’article 83, paragraphes 2 et 5 du RGPD) notamment :

• le fait que le problème concernait un ancien système où seules des données non sensibles étaient stockées,
• le fait qu'aucun préjudice n'ait été causé aux personnes concernées, et
• le fait qu'il s'agissait de la première violation du RGPD par la société et qu'elle avait, de manière générale, pris des mesures importantes pour s’y conformer.
  
  

Il a également été jugé que la violation avait été commise par négligence (et non délibérément) et qu'elle avait simplement été causée par le fait que l'entreprise avait concentré son attention sur les systèmes informatiques récents.

La décision a fait l'objet d'un appel devant la Cour suprême. Il sera intéressant de voir comment cette dernière considèrera la méthode adoptée en termes de calcul de l'amende, notamment concernant l’absence de prise en compte par le tribunal de première instance du chiffre d'affaires total du groupe.