La Décision quant au fond 18/2020 du 28 avril 2020 guide les responsables du traitement quant au rôle du DPO, notamment en termes d’indépendance, lors d’une fuite de données,…
Dans sa Décision ANO 04/2019 du 28 mai 2019, l’APD rappelait déjà les limites à l’intervention du DPO dans l’exercice des droits des personnes concernées.
Connaissez-vous cette décision datant de près d’une année et qui aborde également le rôle du DPO à propos de l’envoi d’emails non sollicités?
1. Quelle est la situation?
Le plaignant a reçu plusieurs courriels non sollicités d’une agence de recrutement.
Il va adresser une demande d’accès particulièrement complète.
(Pour trouver le pire cauchemar d’un DPO, voir : https://www.linkedin.com/pulse/nightmare-letter-subject-access-request-under-gdpr-karbaliotis/).
N’ayant reçu que des réponses partielles, la personne concernée va adresser un second courriel particulièrement détaillé au responsable du traitement…. Puis saisir la chambre contentieuse.
Objet de la plainte:
La plainte concerne la communication d’informations incomplètes par le responsable du traitement dans le cadre de l’exercice du droit d’accès (art. 15 du RGPD), ainsi que le traitement des données à caractère personnel de la personne concernée sans son consentement (art. 7 du RGPD).
Sur la base des informations fournies par le responsable du traitement, le Service d’Inspection a pu constater que le responsable du traitement avait donné suite en temps opportun à l’exercice du droit d’accès de la personne concernée et avait donc rempli ses obligations en vertu des articles 12.4 et 15 du RGPD.
En raison d’une erreur technique, la personne concernée a toutefois encore reçu un e-mail du responsable du traitement sur la base d’un dossier de sauvegarde (à des fins d’archivage et de sécurité) après qu’elle se soit déjà désinscrite pour la newsletter du responsable du traitement.
Le responsable du traitement affirme que les mesures nécessaires ont été prises pour éviter qu’un tel problème se reproduise à l’avenir.
L’enquête du Service d’Inspection a toutefois également révélé que dans le cadre de l’exercice des droits dont dispose la personne concernée, le délégué à la protection des données adopte une position qui n’est pas conforme à l’article 38 du RGPD, puisqu’il prend lui-même la décision d’effacer des données à caractère personnel.
Le délégué à la protection des données a en effet informé la personne concernée qu’il avait décidé de l’effacer de la liste de mailing du responsable du traitement (art. 17 du RGPD), bien que la personne concernée exerce uniquement son droit d’accès (art. 15 du RGPD), si bien qu’à l’avenir, la personne concernée ne recevra plus d’e-mails du responsable du traitement.
2. DECISION
La Chambre Contentieuse de l’Autorité de protection des données décide, après délibération :
– d’avertir le responsable du traitement du fait que le traitement envisagé viole l’article 38.6 du RGPD, en vertu de l’article 58.2.a) du RGPD et de l’article 95, § 1er, 4° de la loi du 3 décembre 2017 ;
– de publier la présente décision sur le site Internet de l’Autorité de protection des données, en vertu de l’article 95, § 1er, 8° de la loi du 3 décembre 2017, certes après anonymisation.
3. BASE JURIDIQUE
Articles du Règlement Général sur la Protection des Données (chiffres seuls)
Code INDUCTIO-DECISION (ID) : x – x– 7-14-15-38.4.-38.6.- 58.2.a)-60.-RGPD)
Articles de la loi du 3 DECEMBRE 2017 portant création de l’Autorité de protection des données (chiffres seuls)
Art. 58/60/61/62/95/98/99/100, §1, 5°/108.
4. MOTIVATION
Bien que l’article 38.4. du RGPD dispose que la personne concernée peut prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de ses données à caractère personnel et à l’exercice de ses droits, la décision relative à l’exercice des droits de la personne concernée doit être prise par le responsable du traitement en vertu des articles 12 et 17 du RGPD.
5. TEXTE COMPLET ARTICLES RGPD DOS-2019-00352 – ANNEXE 2
Article 7
|
1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. |
2. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante. |
3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. |
4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat. => Raison: 43 |
Article 14
|
||
1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes: | ||
|
||
|
||
|
||
|
||
|
||
|
||
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée: | ||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2: | ||
|
||
|
||
|
||
4. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2. => Article: 6, 13 => Raison: 61, 62 |
||
5. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où: | ||
|
||
|
||
|
||
|
Article 15
|
||
1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes: => Article: 12 |
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert. => Article: 12 |
||
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement. => Article: 12, 20 => Raison: 63 |
||
4. Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. |
Article 38
|
(…) |
6. Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. |
Article 58
|
||
(…) | ||
2. Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes: => administrative fine: Art. 83 (5) lit e |
||
|
Article 60
|
1. L’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s’efforçant de parvenir à un consensus. L’autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile. |
2. L’autorité de contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l’article 61 et peut mener des opérations conjointes en application de l’article 62, en particulier pour effectuer des enquêtes ou contrôler l’application d’une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre. |
3. L’autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et tient dûment compte de leur point de vue. |
4. Lorsqu’une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l’égard du projet de décision, l’autorité de contrôle chef de file, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que cette objection n’est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l’article 63. |
5. Lorsque l’autorité de contrôle chef de file entend suivre l’objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d’obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines. |
6. Lorsqu’aucune des autres autorités de contrôle concernées n’a formulé d’objection à l’égard du projet de décision soumis par l’autorité de contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l’autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui. |
7. L’autorité de contrôle chef de file adopte la décision, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L’autorité de contrôle auprès de laquelle une réclamation a été introduite informe de la décision l’auteur de la réclamation. |
8. Par dérogation au paragraphe 7, lorsqu’une réclamation est refusée ou rejetée, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie à l’auteur de la réclamation et en informe le responsable du traitement. |
9. Lorsque l’autorité de contrôle chef de file et les autorités de contrôle concernées sont d’accord pour refuser ou rejeter certaines parties d’une réclamation et donner suite à d’autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. L’autorité de contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l’État membre dont elle relève et en informe l’auteur de la réclamation, tandis que l’autorité de contrôle de l’auteur de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la notifie à cette personne et en informe le responsable du traitement ou le sous-traitant. |
10. Après avoir été informé de la décision de l’autorité de contrôle chef de file en application des paragraphes 7 et 9, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l’Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l’autorité de contrôle chef de file, qui informe les autres autorités de contrôle concernées. |
11. Lorsque, dans des circonstances exceptionnelles, une autorité de contrôle concernée a des raisons de considérer qu’il est urgent d’intervenir pour protéger les intérêts des personnes concernées, la procédure d’urgence visée à l’article 66 s’applique. |
12. L’autorité de contrôle chef de file et les autres autorités de contrôle concernées se communiquent par voie électronique et au moyen d’un formulaire type, les informations requises en vertu du présent article. |
Date de la décision: 28 MAI 2019 Numéro de dossier: DOS-2019-00352
Parties à la cause: NON PUBLIE
MOTS-CLES : Envois d’emails non sollicités – Obligations de transparence et d’information – Excercice des droits des personnes concernées – Rôle du DPO – Traitement transfrontalier – Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées
Président : Hielke Hijmans.
Membre(s) de la chambre contentieuse ayant siégé :
La chambre contentieuse est composée de six membres et du directeur de la chambre contentieuse, Hielke Hijmans. Art. 33 de la Loi du 3 décembre 2017 portant création de l’Autorité de protection des données: “§ 1er. (…) Le président ou l’un des membres de la chambre contentieuse tient séance en tant que membre unique à moins que le président de la chambre contentieuse ne décide de siéger avec trois membres conformément aux dispositions du règlement d’ordre intérieur.” http://www.ejustice.just.fgov.be/eli/loi/2017/12/03/2017031916/justel |
|
Décision disponible sur le site APD (chambre contentieuse)? OUI X NON
Langue de la décision originaire: FRANÇAIS NEERLANDAIS X
Traduction de la décision en d’autres langues? OUI X NON
(Si OUI, lesquelles – joindre un lien hypertexte par langue): Français
MATRICE 1 – Familles de situations rencontrées dans l’entreprise :
|
||||||||||||
MATRICE 2 – 5 divisions du RGPD selon le Data Protection Institute© :
|
S