MOTS-CLES : Emails – Principes – Limitation des finalités – Changement de finalité – Bases licites du traitement – Responsabilité du responsable du traitement- Protection des données dès la conception et protection des données par défaut
Nous poursuivons la présentation de décisions de l’Autorité belge de Protection des Données sur le modèle Inductio avec la DECISION QUANT AU FOND ANO 2/2019 du 2 AVRIL 2019.
Nous posons les faits, des questions pour ceux qui souhaitent animer des interactions sur le sujet et puis exposons la décision de l’APD, la motivation et les bases légales de sa décision.
Il s’agit ici d’une décision d’interdire le changement de finalité d’un traitement d’emails sur base des principes, de la licéité du traitement, de la protection des données dès la conception/par défaut ainsi que de la responsabilité du responsable du traitement.
ETAPE 1 : Faits soumis à la décision de l’APD
Un entrepreneur partage par e-mail des informations personnelles de clients avec d’autres clients en mettant une liste de ses clients avec nom et adresse e-mail en Cc. Il aurait également insulté la personne concernée quand elle a demandé une explication.
Le commerçant affirme qu’il souhaitait se mettre en ordre administrativement en envoyant un e-mail aux clients pour lesquels une attestation TVA de 6 % était nécessaire (taux réduit de 6% pour des travaux de rénovation ou de construction).
Cet e-mail a malheureusement été envoyé en utilisant la fonction « copie » (cc) au lieu de la fonction « copie cachée » (cci ou bcc).
L’entrepreneur présentera également ses excuses au plaignant pour sa réponse inappropriée lorsque le plaignant l’a contacté par e-mail à ce sujet pour demander des explications quant au partage d’informations à son sujet avec d’autres clients du défendeur.
Le demandeur soutient que sa demande d’explication du 25 octobre 2018 concernant le partage d’informations à son sujet avec d’autres personnes n’a pas été traitée conformément à la législation.
Il relève en outre que la méthode de l’entrepreneur consistant à regrouper l’adresse e-mail du plaignant et les adresses e-mail des autres clients dans une seule liste n’atteste pas d’une pratique prudente nécessaire pour séparer les données de ses clients et protéger leur vie privée.
Il demande à la Chambre Contentieuse de prendre les mesures nécessaires pour signifier clairement au défendeur qu’il a transgressé la législation sur la protection des données à plusieurs égards, pour s’assurer qu’il connaisse la législation et la respecte, pour qu’il protège mieux les données de ses clients et leur vie privée, pour qu’il adapte sa manière de procéder afin de pouvoir le garantir, pour qu’il prenne au sérieux les plaintes de ses clients concernant la protection des données et pour qu’il respecte les exigences légales lors de leur traitement.
Le commerçant indique qu’il a commis une erreur lors de l’envoi de l’e-mail faisant l’objet de la plainte mais qu’il n’a pas causé de dommage au plaignant.
Il s’engage à respecter strictement la legislation à l’avenir et mettre en place les actions correctrices appropriées.
ETAPE 2 : Questions ouvertes aux internautes sur leurs perceptions des règles applicables et décisions possibles que l’APD pourrait prendre2.1. Comment définir ces acteurs selon le RGPD et sur quelle base juridique appliquée aux faits: 2.1.1. L’entrepreneur? 2.1.2. Le plaignant? 2.1.3. L’APD? 2.1.4. Les autres clients? 2.1.5. L’administration de la TVA? 2.2. Quels sont selon vous les principes applicables à l’envoi de courriels selon le RGPD? Comment les mettre en place dans mon organisation ? 2.3. Quels est/sont selon vous la/le(s) base(s) juridique(e) pour l’envoi d’un tel courriel? 2.4. Le commerçant avance avoir envoyé l’email par erreur. L’absence d’intention de violer le RGPD a-t-il une influence sur la décision qui sera prise par l’APD? 2.5. Le plaignant doit-il démontrer un dommage causé par l’envoi du courriel? Si oui, quell serait ce dommage? 2.6. La sanction prise par l’APD doit-elle intégrer que le commerçant s’est engagé à respecter la législation à l’avenir ? 2.7. Que pensez-vous de la sanction prise par l’APD à l’égard du commerçant ? Quelles sont les autres sanctions et sur la base de quels articles du RGPD et de la loi organique de l’APD possibles ? Une autre sanction vous semblait-elle possible/plus appropriée ? Laquelle et pourquoi ? 2.8. Si vous étiez à la place du commerçant auriez-vous formé appel contre la décision ? |
ETAPE 3 : Décision et motivation de l’APD3.1. DECISIONPAR CES MOTIFS, La Chambre Contentieuse de l’Autorité de protection des données, décide, après délibération, de formuler une réprimande à l’égard du défendeur, en vertu de l’article 100, § 1, 5° de la loi du 3 décembre 2017. En vertu de l’article 108, § 1er de la loi du 3 décembre 2017, cette décision peut faire l’objet d’un recours dans un délai de trente jours, à compter de la notification, à la Cour des marchés. 3.2. BASE JURIDIQUEArticles du Règlement Général sur la Protection des Données (chiffres seuls)Code INDUCTIO-DECISION (ID) : x – x – 5.1.b)-6.4.-24.1.-24.2.-25.1.-25.2.2- RGPD Articles de la loi du 3 DECEMBRE 2017 portant création de l’Autorité de protection des données (chiffres seuls)Art. 58/60/61/62/95/98/99/100, §1, 5°/108. 3.3. MOTIVATIONÉtant donné que le défendeur ne conteste pas les faits et qu’il indique lui-même que l’e-mail en question qui fait l’objet de la plainte a « malheureusement » été envoyé en « copie » au lieu de l’être en « copie cachée« , il déclare avoir commis une infraction lors du traitement des données à caractère personnel du plaignant. Qu’il y ait eu ou non une erreur lors de l’envoi de l’e-mail, la Chambre Contentieuse estime que la violation de l’article 5.1.b), de l’article 6.4., de l’article 24.1 et 2. et de l’article 25.1. et 2. du Règlement Général sur la Protection des Données est prouvée et que la sanction mentionnée ci-dessus suffit. |
ETAPE 4 : APPLICATION A MON ORGANISATION4.1. Comment mettre en place dans mon organisation ces principes de « Protection des données dès la conception et protection des données par défaut » visés à l’article 25 RGPD relatifs à l’envoi de courriels ? 4.2. Quelles implications pratiques dans mon entreprise pour ce principe du RGPD de limitation des finalités (article 5.1.b) ? 4.3. Comment appliquer pratiquement la possibilité de changer de finalité du traitement offerte par l’article 6.4. du RGPD par rapport aux données personnelles des clients/parties prenantes de mon organisations? 4.4. Quelles mesures techniques et organisationnelles appropriées mon organisation peut-elle implémenter pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD (Article 24 EU RGPD « Responsabilité du responsable du traitement »)? |
1. DECISION DOS-ANNEE-NUMERO – ANNEXE 12. TEXTE COMPLET ARTICLES RGPD DOS-ANNEE-NUMERO – ANNEXE 2
|
Code INDUCTIO©-DECISION (ID)[i] : 1-5/2-3-5/5.1.b)-6.4.-24.1.-24.2.-25.1.-25.2.2- RGPD/AVRIL/2019
Date de la décision: 2 AVRIL 2019 Numéro de dossier: DOS-2018-06103
Parties à la cause: NON PUBLIE
Président : Dirk Van der Kelen.
Membre(s) de la chambre contentieuse ayant siégé :
La chambre contentieuse est composée de six membres et du directeur de la chambre contentieuse, Hielke Hijmans. Art. 33 de la Loi du 3 décembre 2017 portant création de l’Autorité de protection des données: “§ 1er. (…) Le président ou l’un des membres de la chambre contentieuse tient séance en tant que membre unique à moins que le président de la chambre contentieuse ne décide de siéger avec trois membres conformément aux dispositions du règlement d’ordre intérieur.” http://www.ejustice.just.fgov.be/eli/loi/2017/12/03/2017031916/justel |
P.S. Cette décision a été prise par les anciens membres de la chambre contentieuse AVANT la nomination des membres actuels et leur première audience en plénière du 25 avril 2014. |
Décision disponible sur le site APD (chambre contentieuse)? OUI X NON
Langue de la décision originaire: FRANÇAIS NEERLANDAIS X
Traduction de la décision en d’autres langues? OUI X NON
(Si OUI, lesquelles – joindre un lien hypertexte par langue): Français
MATRICE 1 – Familles de situations rencontrées dans l’entreprise :
|
||||||||||||
MATRICE 2 – 5 divisions du RGPD :
|
||||||||||||
[i] Le Code INDUCTIO©-DECISION (ID) est composé comme suit : Nombre (1 à 5) de la PREMIERE matrice applicable à chaque décision (MATRICE 1 – Familles de situations rencontrées dans l’entreprise, page 2) / Nombre (1 à 5) de la SECONDE matrice applicable à chaque décision (5 divisions du RGPD selon le Data Protection Institute, page 2) – Nombre (1 à 5) / ARTICLES-RGPD / MOIS EN LETTRES / ANNEE DE LA DECISION.