MOTS-CLES : Emails – Principes – Limitation des finalités – Changement de finalité – Bases licites du traitement – Responsabilité du responsable du traitement- Protection des données dès la conception et protection des données par défaut

Nous poursuivons la présentation de décisions de l’Autorité belge de Protection des Données sur le modèle Inductio avec la DECISION QUANT AU FOND ANO 2/2019 du 2 AVRIL 2019.

Nous posons les faits, des questions pour ceux qui souhaitent animer des interactions sur le sujet et puis exposons la décision de l’APD, la motivation et les bases légales de sa décision.

Il s’agit ici d’une décision d’interdire le changement de finalité d’un traitement d’emails sur base des principes, de la licéité du traitement, de la protection des données dès la conception/par défaut ainsi que de la responsabilité du responsable du traitement.

ETAPE 1 : Faits soumis à la décision de l’APD

Un entrepreneur partage par e-mail des informations personnelles de clients avec d’autres clients en mettant une liste de ses clients avec nom et adresse e-mail en Cc. Il aurait également insulté la personne concernée quand elle a demandé une explication.

Le commerçant affirme qu’il souhaitait se mettre en ordre administrativement en envoyant un e-mail aux clients pour lesquels une attestation TVA de 6 % était nécessaire (taux réduit de 6% pour des travaux de rénovation ou de construction).

Cet e-mail a malheureusement été envoyé en utilisant la fonction « copie » (cc) au lieu de la fonction « copie cachée » (cci ou bcc).

L’entrepreneur présentera également ses excuses au plaignant pour sa réponse inappropriée lorsque le plaignant l’a contacté par e-mail à ce sujet pour demander des explications quant au partage d’informations à son sujet avec d’autres clients du défendeur.

Le demandeur soutient que sa demande d’explication du 25 octobre 2018 concernant le partage d’informations à son sujet avec d’autres personnes n’a pas été traitée conformément à la législation.

Il relève en outre que la méthode de l’entrepreneur consistant à regrouper l’adresse e-mail du plaignant et les adresses e-mail des autres clients dans une seule liste n’atteste pas d’une pratique prudente nécessaire pour séparer les données de ses clients et protéger leur vie privée.

Il demande à la Chambre Contentieuse de prendre les mesures nécessaires pour signifier clairement au défendeur qu’il a transgressé la législation sur la protection des données à plusieurs égards, pour s’assurer qu’il connaisse la législation et la respecte, pour qu’il protège mieux les données de ses clients et leur vie privée, pour qu’il adapte sa manière de procéder afin de pouvoir le garantir, pour qu’il prenne au sérieux les plaintes de ses clients concernant la protection des données et pour qu’il respecte les exigences légales lors de leur traitement.

Le commerçant indique qu’il a commis une erreur lors de l’envoi de l’e-mail faisant l’objet de la plainte mais qu’il n’a pas causé de dommage au plaignant.

Il s’engage à respecter strictement la legislation à l’avenir et mettre en place les actions correctrices appropriées.

ETAPE 2 : Questions ouvertes aux internautes sur leurs perceptions des règles applicables et décisions possibles que l’APD pourrait prendre

2.1. Comment définir ces acteurs selon le RGPD et sur quelle base juridique appliquée aux faits:

2.1.1. L’entrepreneur?

2.1.2. Le plaignant?

2.1.3. L’APD?

2.1.4. Les autres clients?

2.1.5. L’administration de la TVA?

2.2. Quels sont selon vous les principes applicables à l’envoi de courriels selon le RGPD? Comment les mettre en place dans mon organisation ?

2.3. Quels est/sont selon vous la/le(s) base(s) juridique(e) pour l’envoi d’un tel courriel?

2.4. Le commerçant avance avoir envoyé l’email par erreur. L’absence d’intention de violer le RGPD a-t-il une influence sur la décision qui sera prise par l’APD?

2.5. Le plaignant doit-il démontrer un dommage causé par l’envoi du courriel? Si oui, quell serait ce dommage?

2.6. La sanction prise par l’APD doit-elle intégrer que le commerçant s’est engagé à respecter la législation à l’avenir ?

2.7. Que pensez-vous de la sanction prise par l’APD à l’égard du commerçant ? Quelles sont les autres sanctions et sur la base de quels articles du RGPD et de la loi organique de l’APD possibles ? Une autre sanction vous semblait-elle possible/plus appropriée ? Laquelle et pourquoi ?

2.8. Si vous étiez à la place du commerçant auriez-vous formé appel contre la décision ?

ETAPE 3 : Décision et motivation de l’APD

3.1. DECISION

PAR CES MOTIFS,

La Chambre Contentieuse de l’Autorité de protection des données, décide, après délibération, de formuler une réprimande à l’égard du défendeur, en vertu de l’article 100, § 1, 5° de la loi du 3 décembre 2017.

En vertu de l’article 108, § 1er de la loi du 3 décembre 2017, cette décision peut faire l’objet d’un recours dans un délai de trente jours, à compter de la notification, à la Cour des marchés.

3.2. BASE JURIDIQUE

Articles du Règlement Général sur la Protection des Données (chiffres seuls)

Code INDUCTIO-DECISION (ID) : x – x – 5.1.b)-6.4.-24.1.-24.2.-25.1.-25.2.2- RGPD

Articles de la loi du 3 DECEMBRE 2017 portant création de l’Autorité de protection des données (chiffres seuls)

Art. 58/60/61/62/95/98/99/100, §1, 5°/108.

3.3. MOTIVATION

Étant donné que le défendeur ne conteste pas les faits et qu’il indique lui-même que l’e-mail en question qui fait l’objet de la plainte a « malheureusement » été envoyé en « copie » au lieu de l’être en « copie cachée« , il déclare avoir commis une infraction lors du traitement des données à caractère personnel du plaignant.

Qu’il y ait eu ou non une erreur lors de l’envoi de l’e-mail, la Chambre Contentieuse estime que la violation de l’article 5.1.b), de l’article 6.4., de l’article 24.1 et 2. et de l’article 25.1. et 2. du Règlement Général sur la Protection des Données est prouvée et que la sanction mentionnée ci-dessus suffit.

ETAPE 4 : ­­ APPLICATION A MON ORGANISATION

4.1. Comment mettre en place dans mon organisation ces principes de « Protection des données dès la conception et protection des données par défaut » visés à l’article 25 RGPD relatifs à l’envoi de courriels ?

4.2. Quelles implications pratiques dans mon entreprise pour ce principe du RGPD de limitation des finalités (article 5.1.b) ?

4.3. Comment appliquer pratiquement la possibilité de changer de finalité du traitement offerte par l’article 6.4. du RGPD par rapport aux données personnelles des clients/parties prenantes de mon organisations?

4.4. Quelles mesures techniques et organisationnelles appropriées mon organisation peut-elle implémenter pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD (Article 24 EU RGPD « Responsabilité du responsable du traitement »)?

1. DECISION DOS-ANNEE-NUMERO – ANNEXE 1

https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/BETG02-2019ANO_FR.pdf

2. TEXTE COMPLET ARTICLES RGPD DOS-ANNEE-NUMERO – ANNEXE 2

Article 5
EU RGPD
« Principes relatifs au traitement des données à caractère personnel »

=> Article: 44
=> Raison: 39
=> administrative fine: Art. 83 (5) lit a

1. Les données à caractère personnel doivent être:
(…)
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
=> Article: 6, 26

Article 6
EU RGPD
« Licéité du traitement »

=> Raison: 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 155
=> administrative fine: Art. 83 (5) lit a

(…)
4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:
=> Article: 5, 13, 14
=> Raison: 50
a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;
d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Article 24
EU RGPD
« Responsabilité du responsable du traitement »

=> Raison: 74, 75, 76, 77, 83
=> administrative fine: Art. 83 (4) lit a (allerdings nur über den Umweg von Artikel 32)

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.
=> Article: 32
2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

Article 25
EU RGPD
« Protection des données dès la conception et protection des données par défaut »

=> Article: 5
=> Raison: 78
=> administrative fine: Art. 83 (4) lit a

1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

Code INDUCTIO©-DECISION (ID)[i] : 1-5/2-3-5/5.1.b)-6.4.-24.1.-24.2.-25.1.-25.2.2- RGPD/AVRIL/2019

Date de la décision: 2 AVRIL 2019 Numéro de dossier: DOS-2018-06103

Parties à la cause: NON PUBLIE

Président : Dirk Van der Kelen.

Membre(s) de la chambre contentieuse ayant siégé :

La chambre contentieuse est composée de six membres et du directeur de la chambre contentieuse, Hielke Hijmans.

Art. 33 de la Loi du 3 décembre 2017 portant création de l’Autorité de protection des données:

“§ 1er. (…) Le président ou l’un des membres de la chambre contentieuse tient séance en tant que membre unique à moins que le président de la chambre contentieuse ne décide de siéger avec trois membres conformément aux dispositions du règlement d’ordre intérieur.”

http://www.ejustice.just.fgov.be/eli/loi/2017/12/03/2017031916/justel

Frank De Smet et

I. Vandermeersch

P.S. Cette décision a été prise par les anciens membres de la chambre contentieuse AVANT la nomination des membres actuels et leur première audience en plénière du

25 avril 2014.

Décision disponible sur le site APD (chambre contentieuse)? OUI X NON

Langue de la décision originaire: FRANÇAIS NEERLANDAIS X

Traduction de la décision en d’autres langues? OUI X NON

(Si OUI, lesquelles – joindre un lien hypertexte par langue­­): Français

MATRICE 1 – Familles de situations rencontrées dans l’entreprise :

1. Cookies et internet X Code INDUCTIO-DECISION (ID) : 1-
2. Employés et RGPD Code INDUCTIO-DECISION (ID) : 2-
3. Exercice des droits des personnes concernées Code INDUCTIO-DECISION (ID) : 3-
4. Rôle du DPO et comment l’assister au mieux Code INDUCTIO-DECISION (ID) : 4-
5. Violations des données et obligations des RT/ST X Code INDUCTIO-DECISION (ID) : 5-
MATRICE 2 – 5 divisions du RGPD :

1. Concepts et champ d’application Code INDUCTIO-DECISION (ID) : x – 1
2. Admissibilité (bases licites du traitement) X Code INDUCTIO-DECISION (ID) : x – 2
3. Principes X Code INDUCTIO-DECISION (ID) : x – 3
4. Droits de la personne concernée Code INDUCTIO-DECISION (ID) : x – 4
5. Obligations X Code INDUCTIO-DECISION (ID) : x – 5

[i] Le Code INDUCTIO©-DECISION (ID) est composé comme suit : Nombre (1 à 5) de la PREMIERE matrice applicable à chaque décision (MATRICE 1 – Familles de situations rencontrées dans l’entreprise, page 2) / Nombre (1 à 5) de la SECONDE matrice applicable à chaque décision (5 divisions du RGPD selon le Data Protection Institute, page 2) – Nombre (1 à 5) / ARTICLES-RGPD / MOIS EN LETTRES / ANNEE DE LA DECISION.