McDonald's Pologne condamné à une amende de 3,8 millions d'euros : une leçon sur la responsabilité du responsable du traitement et du sous-traitant dans le cadre du RGPD

données personnelles
Written By Nathalie Pouderoux

L'autorité polonaise chargée de la protection des données (UODO) a récemment infligé des amendes importantes à McDonald's Polska Sp. z o.o. et à son prestataire de services, 24/7 Communication Sp. z o.o., pour violations graves de la législation sur la protection des données. Le montant total des sanctions dépasse 17 millions de zlotys, ce qui en fait l'une des plus importantes affaires en matière de protection des données en Pologne à ce jour.

McDonald's Pologne a engagé une société externe, 24/7 Communication, pour gérer les horaires de travail des employés de sa chaîne de restaurants. Cela impliquait le partage des données des employés, notamment leurs noms, leurs numéros PESEL (similaires aux numéros d'identité nationaux), leurs numéros de passeport, leurs heures de travail et d'autres informations, via un système de planification en ligne.

Cependant, en raison d'une mauvaise configuration du serveur du système, ces données sont devenues accessibles au public en ligne. En d'autres termes, n'importe qui pouvait consulter les informations personnelles des employés de McDonald's et du personnel des franchises.

Qu'est-ce qui a mal tourné pour McDonald's ?

1. Absence d'analyse des risques et de mesures de sécurité appropriées

Ni McDonald's ni son prestataire de services n'ont procédé à une évaluation des risques appropriée avant le lancement du système. Ils ont également omis de mettre en place les mesures de protection techniques et organisationnelles adéquates, comme l'exige le RGPD. La violation de données s'est produite en raison d'une configuration incorrecte du serveur, un problème technique qui aurait pu être évité.

2. Manque de surveillance de la part de McDonald's

En tant que responsable du traitement des données, McDonald's avait le devoir de s'assurer que toute entreprise traitant des données à caractère personnel pour son compte pouvait garantir une protection adéquate des données. Cependant, McDonald's n'a pas vérifié les capacités techniques de 24/7 Communication et n'a pas contrôlé le respect de l'accord sur le traitement des données.

3. Absence d'accord de sous-traitance

Le sous-traitant (24/7 Communication) a également fait appel à une autre entreprise pour l'aider à gérer les données, mais sans signer l'accord de sous-traitance requis par la loi. Cela ne s'est produit qu'après la violation des données, en violation flagrante des exigences du RGPD.

4. Absence du délégué à la protection des données (DPO)

Les deux organisations n'ont pas impliqué leurs délégués à la protection des données dans le processus. Le DPD de McDonald's n'a pas été consulté sur le choix du sous-traitant ni sur les méthodes de traitement des données, ce qui a constitué une occasion manquée d'identifier et de prévenir les risques à un stade précoce.

5. Collecte excessive de données

Le système stockait plus d'informations personnelles que nécessaire. Par exemple, les numéros PESEL et de passeport des employés étaient utilisés comme identifiants, ce que l'UODO a critiqué comme une violation du principe de minimisation des données du RGPD. Après l'incident, ces identifiants ont été remplacés par des numéros d'employés uniques.

6. Notification inadéquate aux employés

McDonald's a reconnu que la violation présentait un risque élevé pour les personnes concernées et a publié deux communiqués de presse. Cependant, l'UODO a jugé que cela ne constituait pas une notification directe, comme l'exige la loi. Les anciens employés n'ont donc pas été correctement informés de la violation.

À l'issue de son enquête, l'autorité polonaise de protection des données (UODO) a infligé une amende totale de 16 932 657 zlotys à McDonald's Polska Sp. z o.o. pour plusieurs violations de la loi sur la protection des données, notamment le non-respect des mesures de sécurité adéquates, l'absence de contrôle approprié du sous-traitant et la notification insuffisante des employés à la suite de la violation. Le sous-traitant, 24/7 Communication Sp. z o.o., a également été condamné à une amende de 183 858 zlotys pour son rôle dans l'incident, car il n'avait pas sécurisé les données de manière adéquate, n'avait pas effectué d'analyse des risques et avait fait appel à une autre société pour traiter les données sans avoir conclu l'accord de sous-traitance requis.

Ces sanctions reflètent la gravité des manquements des deux parties et soulignent que tant les responsables du traitement que les sous-traitants peuvent subir des conséquences financières importantes lorsqu'ils négligent leurs obligations au titre du RGPD.

Les franchisés également concernés

La violation a également touché les employés des restaurants franchisés McDonald's. L'UODO a déterminé que McDonald's restait le responsable du traitement de ces données, car il possédait et gérait le système de planification, définissait la manière dont les données seraient traitées et sélectionnait le sous-traitant.

Cela signifie que McDonald's était en fin de compte responsable de la protection non seulement des données de ses employés directs, mais aussi des données personnelles du personnel travaillant dans les établissements franchisés.

Explication des responsables du traitement et des sous-traitants : qui est responsable de quoi dans le cadre du RGPD britannique ?

En matière de traitement des données à caractère personnel, le RGPD britannique distingue deux rôles clés : le responsable du traitement et le sous-traitant.

Il est essentiel pour toute organisation qui traite des données à caractère personnel, qu'il s'agisse de données relatives à ses clients ou à ses employés, de comprendre la différence entre ces deux rôles et les responsabilités qui leur incombent.

Qu'est-ce qu'un responsable du traitement ?

Un responsable du traitement est l'organisation (ou la personne) qui décide pourquoi et comment les données à caractère personnel seront traitées. En d'autres termes, le responsable du traitement détermine la finalité et les moyens du traitement.

Les responsables du traitement ont la responsabilité juridique principale de veiller à ce que tout traitement des données soit conforme au RGPD britannique. Même lorsqu'ils font appel à une société externe pour les aider à traiter les données, par exemple un fournisseur de services cloud, une société de paie ou une agence de marketing, le responsable du traitement reste responsable de la manière dont les données à caractère personnel sont gérées.

Qu'est-ce qu'un sous-traitant ?

Un sous-traitant agit pour le compte du responsable du traitement. Il traite les données uniquement selon les instructions du responsable du traitement. Les sous-traitants peuvent stocker, organiser ou analyser des données, mais ils ne décident pas de l'utilisation qui en est faite ni de la manière dont elles sont collectées.

Bien que les sous-traitants aient leurs propres obligations légales en vertu du RGPD (par exemple, assurer la sécurité des données et signaler les violations), la responsabilité globale de la conformité incombe toujours au responsable du traitement.

Ce que les responsables du traitement doivent faire lorsqu'ils font appel à un sous-traitant

Lorsqu'un responsable du traitement choisit un sous-traitant, il doit s'assurer que celui-ci est en mesure de garantir la protection des données conformément au RGPD.

Les responsables du traitement doivent évaluer les éléments suivants :

  • si le sous-traitant dispose de l'expertise technique nécessaire pour protéger correctement les données ;

  • si le sous-traitant respecte les normes industrielles ou les cadres de sécurité applicables ;

  • s'il dispose de politiques et de documentation (par exemple, des politiques de sécurité de l'information ou de conservation des données) ; et

  • s'il adhère à des systèmes de certification ou à des codes de conduite approuvés.

Une fois qu'un sous-traitant approprié a été sélectionné, le responsable du traitement doit également signer un accord de traitement des données. Ce contrat définit la manière dont les données seront traitées, les mesures de sécurité qui doivent être appliquées et ce que le sous-traitant peut et ne peut pas faire avec les données.

Il est important de noter que les responsables du traitement ne peuvent pas se contenter de transmettre les données et de s'en aller. Ils doivent contrôler la conformité de manière continue, en effectuant des audits ou des examens pour s'assurer que le sous-traitant continue à respecter ses obligations.

Responsabilité et obligation de rendre compte

Même si un responsable du traitement fait appel à un sous-traitant, il n'échappe pas à sa responsabilité. Si un problème survient, par exemple une violation de données, le responsable du traitement peut toujours être tenu pour responsable.

Les personnes dont les données ont été mal gérées peuvent déposer une plainte directement contre le responsable du traitement, le sous-traitant ou les deux. Si le responsable du traitement verse une indemnisation, il peut ensuite récupérer une partie des coûts auprès du sous-traitant, mais uniquement si celui-ci est en faute.

Le point essentiel est que le responsable du traitement doit être en mesure de prouver qu'il a pris toutes les mesures raisonnables pour garantir la conformité au RGPD, notamment en choisissant des sous-traitants compétents, en fixant des conditions claires et en surveillant leurs actions.

Points clés à retenir pour les entreprises

  1. Vous ne pouvez pas externaliser votre responsabilité

    Même si le traitement des données est confié à une société externe, le responsable du traitement (vous) reste responsable au titre du RGPD.

  2. Les évaluations des risques sont essentielles

    Tout nouveau système ou processus de traitement des données doit être précédé d'une analyse des risques et faire l'objet d'un examen régulier.

  3. La minimisation des données est importante

    Ne collectez que les informations strictement nécessaires. Les données sensibles telles que les numéros d'identité ou de passeport doivent être évitées, sauf s'il existe une base juridique claire.

  4. Impliquez votre DPD

    Les délégués à la protection des données doivent être associés à toutes les questions liées aux données à caractère personnel, de la sélection des fournisseurs à la conception des systèmes.

  5. Soyez prêt à faire face aux incidents

    Disposez d'un plan clair pour traiter les violations de données, y compris la manière d'informer directement les personnes concernées.

Comment Gerrish Legal peut vous aider?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Nathalie Pouderoux, Consultante pour Gerrish Legal

Nathalie Pouderoux
Next

L'ONU lance une initiative en faveur d'un cadre mondial sur le pouvoir et le contrôle de l'IA