Autorité de protection des données
Autorité de protection des données
L’Autorité autrichienne de protection des données (DSB) est l’instance de surveillance centrale pour la protection des données à caractère personnel en Autriche. Elle contrôle le respect du règlement général sur la protection des données (RGPD) et de la loi autrichienne sur la protection des données (DSG), statue sur les plaintes, engage des procédures d’examen, prononce des sanctions et représente l’Autriche au sein du Comité européen de la protection des données. Sa mission est de garantir les droits fondamentaux, de prévenir les abus et d’obliger les entreprises et les autorités à respecter les obligations en matière de protection des données.
L’autorité de protection des données est l’autorité de surveillance de l’État pour la protection des données à caractère personnel en Autriche.
Missions et compétences
L’autorité de protection des données assume un large éventail d’activités, qui servent toutes à la protection des données à caractère personnel :
- Traitement des plaintes des personnes concernées
- Réalisation de procédures d’examen d’office
- Décision dans le cadre de procédures de sanction administrative et imposition d’amendes
- Réception et contrôle des notifications de violations de la protection des données (Data Breaches)
- Procédures d’autorisation, par exemple pour les codes de conduite ou les organismes de certification
- Avis sur les projets de loi
Elle est donc le point de contact central pour les personnes concernées, les entreprises et les délégués à la protection des données.
Définition de la protection des données
La protection des données est le droit fondamental de décider soi-même qui traite quelles informations sur une personne. Les données à caractère personnel sont toutes les informations se rapportant à une personne déterminée ou permettant d’identifier une personne, telles que le nom, l’adresse, le numéro de téléphone, l’adresse e-mail, mais aussi les photos, les adresses IP ou les données de santé.
La protection des données ne signifie pas qu’aucune donnée ne peut être traitée. Elle signifie que le traitement n’est autorisé que sous des conditions légales claires et que les personnes concernées disposent de droits étendus. Ces droits protègent contre les abus et donnent la possibilité d’exercer un contrôle sur ses propres données.
Droits des personnes concernées
Toute personne peut exiger de l’autorité de protection des données que ses droits fondamentaux soient respectés. Le RGPD prévoit à cet effet un ensemble clair de droits :
- Droit à l’information : avant tout traitement de données, les personnes concernées doivent être informées de manière claire et complète.
- Droit d’accès : toute personne concernée peut savoir quelles données sont enregistrées et à quelle fin.
- Droit de rectification et de suppression : les données incorrectes doivent être rectifiées, les données illicites doivent être supprimées.
- Droit à la limitation du traitement : sous certaines conditions, le traitement ne peut être poursuivi que de manière limitée.
- Droit d’opposition : il est possible de s’opposer à tout moment à certains traitements de données.
- Droit à la portabilité des données : les personnes concernées peuvent exiger que leurs données soient transmises dans un format courant à elles-mêmes ou à une autre entreprise.
- Droit à la protection contre les décisions automatisées : personne ne doit être désavantagé uniquement en raison de procédures automatisées.
Ces droits ne sont pas seulement de nature théorique, mais peuvent être mis en œuvre – si nécessaire, dans le cadre d’une procédure de réclamation devant l’autorité de protection des données.
Obligations des entreprises
Les entreprises et les autorités sont tenues de mettre en œuvre la protection des données non seulement sur le papier, mais aussi dans la pratique. Les obligations essentielles sont les suivantes :
- Base juridique du traitement : tout traitement de données doit reposer sur une base légale, par exemple un consentement ou un contrat.
- Obligations de transparence : les personnes concernées doivent être clairement informées de ce qu’il advient de leurs données.
- Mesures techniques et organisationnelles (TOM) : la sécurité informatique et les processus organisationnels doivent être conçus de manière à protéger les données contre la perte, l’abus ou l’accès non autorisé.
- Répertoires des activités de traitement : les entreprises doivent documenter de manière compréhensible les données qu’elles traitent.
- Notification des violations de la protection des données : les incidents de sécurité doivent être signalés à l’autorité de protection des données dans un délai de 72 heures.
- Réalisation d’analyses d’impact sur la protection des données : une analyse détaillée doit être effectuée pour les traitements à haut risque.
Violation de la protection des données à caractère personnel
Conformément au RGPD, il y a violation de la protection des données à caractère personnel lorsqu’une modification, une suppression, une divulgation ou une perte de données non autorisée se produit en raison d’une sécurité insuffisante. Cela peut se produire par :
- Destruction, perte ou modification de données à caractère personnel
- Accès ou divulgation non autorisés – par exemple, par des attaques de pirates informatiques, l’envoi de supports de données à de mauvais destinataires ou un stockage non sécurisé
- Divulgation accidentelle de données – par exemple, par un stockage ou une transmission non sécurisés
- Ceci s’applique indépendamment du fait que l’incident se soit produit intentionnellement ou non intentionnellement
Exemples qui peuvent constituer une telle violation :
- Perte de données due à des fichiers ou des clés USB non chiffrés en matière de sécurité
- Attaque de pirates informatiques sur des bases de données clients
- E-mails mal adressés contenant des données à caractère personnel
- Documents personnels involontairement accessibles au public
Ces faits peuvent entraîner directement des risques, notamment le vol d’identité, l’atteinte à la réputation ou des dommages financiers pour les personnes concernées
Procédure devant l’autorité de protection des données
La procédure devant l’autorité de protection des données est formalisée et peut prendre différentes formes :
Procédure de réclamation
Les personnes concernées peuvent introduire une réclamation auprès de l’autorité de protection des données si elles estiment que quelqu’un traite illégalement leurs données à caractère personnel. Cette procédure est relativement simple.
Le déroulement :
- La personne concernée introduit une réclamation par écrit – soit par formulaire, par e-mail ou par courrier.
- L’autorité de protection des données vérifie si la réclamation est formellement recevable.
- Le défendeur – généralement une entreprise ou une autorité – est invité à prendre position.
- S’ensuit l’établissement des faits, le cas échéant avec des questions ou des auditions complémentaires.
- À la fin, il y a une décision de l’autorité de protection des données, par laquelle elle rejette la réclamation ou y fait droit et ordonne des mesures correctives.
Pour les personnes concernées, cette procédure est la possibilité la plus importante de faire valoir leurs droits découlant du RGPD.
Examens d’office
L’autorité de protection des données ne dépend pas seulement des réclamations, mais peut également agir d’office. Cela se produit notamment lorsqu’il existe des indices de violations systématiques ou de failles de sécurité.
Particularités :
- La procédure commence sans demande d’une personne concernée.
- Les personnes qui signalent n’ont pas la qualité de partie et ne sont pas informées du résultat.
- L’autorité de protection des données vérifie de manière indépendante s’il y a des violations et ordonne le cas échéant des mesures.
Les examens d’office ont un fort effet préventif, car ils augmentent la pression sur les entreprises et les autorités pour qu’elles garantissent la protection des données non seulement de manière réactive, mais aussi continue.
Procédure de sanction administrative
Si l’autorité de protection des données constate une violation, elle peut engager une procédure de sanction administrative. L’objectif est d’obliger les entreprises et les organismes publics à mettre fin aux violations et à imposer des sanctions sensibles.
Les sanctions possibles sont les suivantes :
- Amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial,
- Ordonnances de cessation ou d’adaptation des traitements de données,
- Avertissements et conditions.
Le montant d’une amende dépend de la gravité, de la durée et du caractère intentionnel de la violation. Les violations antérieures ou le comportement coopératif dans la procédure jouent également un rôle.
Peter HarlanderHarlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“
Voies de recours
Les décisions de l’autorité de protection des données sont prises par décision. Contre ces décisions, les personnes concernées peuvent saisir le Tribunal administratif fédéral (BVwG).
- Le BVwG vérifie la décision en droit et en fait.
- Contre sa décision, il est possible, dans certaines circonstances, de former un recours auprès de la Cour administrative (VwGH) ou une plainte auprès de la Cour constitutionnelle (VfGH).
Il est ainsi garanti que les décisions de l’autorité de protection des données sont soumises à un contrôle judiciaire à plusieurs niveaux.
Choisissez votre date préférée :Consultation initiale gratuiteDimension internationale
La protection des données n’est plus un thème national. L’autorité de protection des données collabore avec d’autres autorités de surveillance européennes et fait partie du Comité européen de la protection des données (CEPD). Elle participe à des affaires transfrontalières, coordonne les décisions dans le cadre de la procédure de cohérence et prend position sur les transferts internationaux de données, par exemple vers les États-Unis.
Liberté d’information
Outre la protection des données, la liberté d’information gagne également en importance. Avec la nouvelle loi sur la liberté d’information (IFG), l’autorité de protection des données assumera à l’avenir le rôle d’interlocuteur pour les questions de transparence et d’accès aux informations officielles.
Ces obligations ne sont pas facultatives. Leur non-respect entraîne régulièrement des enquêtes et, dans les cas extrêmes, des amendes considérables.
Vos avantages grâce à l’assistance d’un avocat
Une procédure devant l’autorité de protection des données est liée à des défis considérables tant pour les personnes concernées que pour les entreprises. Les personnes concernées risquent de ne pas faire valoir pleinement leurs droits sans accompagnement professionnel. Les entreprises, quant à elles, sont confrontées non seulement à des amendes élevées, mais aussi à des atteintes à leur image et à des adaptations coûteuses de leurs processus. À cela s’ajoute le fait que les procédures sont fortement formalisées et contiennent des exigences juridiques complexes, difficiles à maîtriser sans assistance spécialisée.
Un accompagnement juridique par un cabinet spécialisé vous donne de la sécurité et veille à ce que vos intérêts soient représentés de manière professionnelle dès le début. Vous bénéficiez d’une expérience approfondie en droit de la protection des données et d’une représentation cohérente auprès de l’autorité.
- vérifie si le thème juridique respectif est applicable dans votre cas
- vous accompagne tout au long de la procédure ou du règlement
- assure une conception et une mise en œuvre juridiquement sûres de toutes les étapes nécessaires
- vous aide à calculer, faire valoir ou rejeter des prétentions
- préserve vos droits et intérêts vis-à-vis de toutes les parties prenantes
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“
