Le Comité européen de la protection des données (« CEPD ») a publié sa première décision contraignante adoptée le 9 novembre dernier sur la base de l’article 65 du règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») (16 décembre)
Examinant le projet de décision de l’autorité de surveillance irlandaise, le CEPD note que la société Twitter a violé l’article 33 du RGPD en omettant de notifier dans les meilleurs délais l’atteinte à la protection des données et de documenter celle-ci en indiquant les faits, ses effets et les mesures prises pour y remédier. Au regard des circonstances de l’espèce, il estime que l’amende proposée dans le projet de décision de l’autorité de surveillance irlandaise est trop faible et ne remplit donc pas son objectif de mesure corrective. En particulier, l’amende ne répond pas aux exigences de l’article 83 du RGPD, à savoir être efficace, dissuasive et proportionnée. (PLB)