Depuis l’entrée en vigueur du règlement européen relatif à la protection des données privées le 25 mai 2018, plusieurs décisions ont été rendues par les autorités de contrôle et par des juridictions ordinaires nationales.
En effet, le non-respect de la législation européenne peut impliquer des sanctions non seulement administratives (ex. sur dénonciation aux autorités de contrôle) mais également judiciaires (ex. à l’occasion d’un litige avec un employé ou partenaire commercial devant un juge).
La présente note relate plusieurs tendances intéressantes émanant de nos pays européens voisins et vient compléter le précèdent article relatif à la jurisprudence de la CNIL (voyez notre article ici).
Quant aux données personnelles
Les dossiers non digitalisés concernant le personnel tombent dans le champ d’application du RGPD.
Aux Pays-Bas, il a été rappelé que peu importe la manière dont le traitement s’opère, celui-ci doit être contrôlé et transparente. Comme toutes les données personnelles, il faut organiser le traitement des données papier en respectant les principes du RPGD.
Les données ne peuvent être collectées que pour un but spécifique, explicite et légitime.
Il a été rappelé en Allemagne que les données personnelles ne peuvent être collectées que si elles sont nécessaires pour la réalisation d’un objectif spécifique, explicite et légitime. Il a ainsi été décidé qu’une analyse pragmatique peut être nécessaire pour étudier quelles sont les nécessités réelles d’une entreprise en termes de collecte de données. Il s’agissait en l’occurrence de collectes relatives à l’inscription à un service.
L’autorité de protection chypriote a prononcé une amende de 3.000 € à l’encontre d’une entreprise qui ne respectait pas le principe de proportionnalité car elle collectait, en réalité, plus de données que ne nécessitait le but poursuivi.
Quant aux droits des personnes concernées
Le responsable du traitement doit informer préalablement et utilement les consommateurs quant à l’usage commercial de leurs données.
L’autorité italienne a quant à elle prononcé une amende à l’encontre de Facebook de 10 millions d’euros. Elle a considéré que les consommateurs qui s’inscrivaient sur la plateforme sociale n’étaient pas suffisamment éclairés quant à l’usage commercial qui sera fait de leurs données transmises. Bien que la sanction concerne le traitement des données privées, le fondement de l’amende est à trouver dans le code du consommateur italien et non dans le RGPD en tant que tel.
Les banques doivent permettre à leurs clients d’accéder à leurs données personnelles.
Au Pays-Bas, l’autorité de contrôle a condamné une banque à une amende de 48.000 € pour avoir refusé l’accès d’un client à ses données personnelles.
Une opposition à la communication de données privées n’est pas toujours possible.
Les droits conférés par le RGPD aux justiciables ne sont pas absolus.
En termes de communication de données, il convient notamment de rechercher un équilibre entre les intérêts d’un débiteur et celui de ses créanciers. Au Pays-Bas, le débiteur a le droit d’invoquer le RGPD dans le cadre d’une procédure de règlement collectif de dette afin de refuser que ses données médicales soient transmises à ses créanciers. Toutefois, ces derniers doivent se voir garantir que les capacités contributives du débiteur ont été analysées dans le cadre de sa condition médicale.
L’administration fiscale au Pays-Bas a obtenu la condamnation d’une entreprise qui éditait des cartes d’accès aux 400 musées nationaux dans l’objectif d’identifier correctement la résidence principale des contribuables en vue de l’établissement d’une taxation correcte de ces derniers. Il a été jugé que le but poursuivi par l’administration était légitime en soi.
Une anonymisation définitive est une destruction de données.
Une décision de principe a été prise par l’autorité autrichienne en date du 5 décembre 2018. Elle a considéré qu’une anonymisation des données personnelles peut être considérée comme une mesure d’effacement au sens du RGPD. Autrement dit, un effacement n’est pas synonyme de destruction sauf si l’anonymisation définitive est garantie.
Quant à la sécurisation des données
Des mesures préventives adéquates doivent être mises en place.
En Allemagne, des mesures préventives adéquates doivent être mises en place en prenant compte notamment les risques habituels en matière d’informatique (nécessité de cryptage en l’espèce), l’ampleur des fuites déjà constatées, les éventuels moyens préventifs à disposition et le bénéfice d’une coopération avec l’autorité de protection des données nationale.
A Chypre, un hôpital a été condamné dans la mesure où les données collectées n’étaient pas sécurisées avec suffisamment de soin (3.000 €).
Le responsable du traitement répond des personnes qui ont accès aux bases de données.
A Chypre, l’autorité de protection locale condamne le responsable du traitement des données à une amende de 10.000 € en raison d’une fuite constatée. Elle a estimé que celui-ci ne pouvait se dégager de sa responsabilité lorsque que la fuite provient d’un employé qui est passé du service clientèle du responsable de traitement à un autre de ses départements, dès lors que ses droits d’accès aux données personnelles des clients ne lui avaient pas été retirés.
Il n’existe pas de régime favorable pour les organismes publics.
Au Pays-Bas, la police nationale a été condamnée à adapter ses procédures internes pour éviter que des employés non autorisés aient accès à certaines données personnelles. Une amende pourrait lui être infligée en cas de non-respect des mesures à adopter.
Une sanction identique a été prise à l’encontre de l’UWV qui est une agence gouvernementale afin de l’inciter à ajuster le niveau de sécurité du portail des employeurs qui pouvaient accéder à certaines données médicales disponibles sur la plateforme de ladite agence.
Seules certaines personnes sont autorisées, au regard de leurs missions, à accéder aux données médicales collectées au sein d’un hôpital.
Au Portugal, la CNPD, autorité de contrôle portugaise, a prononcé une sanction de 400.000 € à l’encontre d’un hôpital. Il a été constaté que des membres du personnel administratif bénéficiaient d’un accès au système informatique réservé aux médecins de l’hôpital et que 958 médecins ayant travaillé pour l’hôpital par le passé avaient toujours accès au dossier médical des patients alors que l’établissement ne comprenait que 296 médecins. La CNPD a également considéré qu’il y a eu des fautes au niveau de la gestion même des accès aux données (habilitation, gestion des profils).
Conclusion
De manière générale et hormis les cas emblématiques de condamnations des GAFA, les autorités de protection des données semblent privilégier les amendes raisonnables et les mesures de mise en conformité.
Le but est manifestement de faire prendre conscience aux opérateurs économiques des nécessités de sécurisation juridique et matérielle des données privées utilisées dans leurs activités.
Il y a fort à parier que la Belgique suivra cette tendance lorsque l’autorité de contrôle belge (APD) décidera des premières sanctions à appliquer. La mise en conformité au RGPD d’une entreprise est donc une nécessité !
| Axel Beelen, Juriste spécialisé en protection des données personnelles (@ipnewsbe) |
| Jeoffrey Vigneron, Avocat au barreau de Bruxelles, www.lawgitech.eu |