Un bourgmestre a été sanctionné pour réutilisation abusive de données recueillies à d’autres fins. Un commerçant a reçu une amende administrative pour, entre autres, avoir uniquement basé sa carte de fidélité sur la carte eID. Autant d’affaire permettant de faire un point sur les amendes administratives infligées par l’APD.
L’Autorité de protection des données peut désormais imposer une amende administrative en cas de violation de la réglementation relative à la protection des données. Cette mesure s’ajoute au panel d’autres mesures correctrices qui peuvent être infligées au contrevenant. L’article 83.2 RGPD énonce les critères à prendre en compte afin d’évaluer l’opportunité d’imposer une amende. L’APD belge a déjà fait usage de cette faculté à deux reprises depuis l’entrée en vigueur du RGPD.
Quand une autorité de contrôle peut-elle infliger une amende administrative ?
Selon le considérant n°11 RGPD, une amende administrative peut être infligée lorsqu’elle permet de „répondre de manière adéquate à la nature, à la gravité et aux conséquences de la violation, en appréciant l’ensemble des faits de l’espèce d’une manière cohérente et objectivement justifiée„.
Plusieurs facteurs doivent être pris en compte pour évaluer si une telle mesure se justifie dans un cas d’espèce. Il conviendra notamment d’avoir égard à la gravité de la violation (et de son caractère intentionnel ou non) et à la durée de celle-ci. Le type de données à caractère personnel concernée pourra également influencer la décision, au même titre que le degré de coopération du responsable du traitement (ou du sous-traitant) ainsi que les mesures techniques et organisationnelles prises pour limiter le risque de fuite de données.
S’il ressort des circonstances de l’espèce qu’une amende administrative se justifie, l’autorité de protection des données devra alors évaluer le montant de celle-ci sur base des mêmes critères et en respectant les plafonds fixés par le RGPD.
En Belgique, l’APD a déjà infligé une amende administrative dans deux situations
1) Réutilisation par un bourgmestre d’adresses e-mail obtenues dans le cadre de ses fonctions à des fins électorales
La première affaire concernait la réutilisation par un bourgmestre, à des fins de propagande électorale, d’adresses de courrier électronique obtenues dans le cadre d’une modification d’un permis de lôtir. L’APD avait alors prononcé à l’égard du bourgmestre une réprimande assortie d’une amende administrative de 2.000 €.
2) Création d’une carte de fidélité trop extensive sur base du numéro de registre national
Les faits à l’origine de la seconde affaire concernent, quant à eux, la création d’une carte de fidélité à partir de la carte d’identité électronique des clients. Si, de manière générale, cette pratique est tout à fait licite, la mise en oeuvre soumise à l’APD enfreignait le RGPD.
La Chambre Contentieuse de l’APD a été saisie sur plainte. En vertu du principe de minimisation des données, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités doivent être traitées. En l’espèce, la Chambre Contentieuse constate que les données « sexe » et « date de naissance » ne sont pas pertinentes, de même que l’utilisation du numéro de registre national utilisé pour retrouver le client dans le fichier-clients.
Rappelons que le numéro de Registre national constitue une donnée dont l’accès et l’utilisation sont soumis régis par une loi du 19 juillet 1991, telle que modifiée le 23 décembre 2018 (voy. notre news sur le sujet). Ces règles spécifiques prévoient que la carte d’identité électronique ne peut être lue ou utilisée qu’avec le consentement libre, spécifique et éclairé de son titulaire. En outre, lorsqu’un avantage ou un service est proposé à un citoyen au moyen de sa carte d’identité électronique dans le cadre d’une application informatique, une alternative ne nécessitant pas le recours à la carte d’identité électronique doit également être proposée à la personne concernée.
De plus, le commerçant ne fournissait aucune alternative au client, l’APD est donc d’avis que, dans ce cas précis, le consentement ne peut pas être considéré comme libre. Le principe de légalité du traitement et est donc également violé.
Enfin, l’APD constate que le contrevenant manque en outre à son obligation d’information dès lors qu’il ne fournit pas une information claire à ses clients, notamment en ce qui concerne la base juridique du traitement et le délai de conservation des données.
Unsere Empfehlung:
Les actions de marketing sont des outils indispensables pour les entreprises et sont, en principe, tout à fait licites. Il convient toutefois d’être extrêmement prudent dans la mise en place de ces pratiques en fonction des règles applicables, notamment le RGPD, ainsi que du contexte particulier. Les pratiques agressives sont à proscrire car elles augmentent le risque de plainte. La prudence s’impose donc lorsque l’on veut y avoir recours afin de ne pas porter atteinte à l’image et à la réputation de l’entreprise.