You can run but you cannot hide: la première sanction belge du GDPR est tombée...

partager cette publication

Par rapport à de nombreux autres pays de l’UE, la Belgique a longtemps été à la traîne pour ce qui est de faire respecter les obligations découlant du RGPD. Cela s’explique par la nomination très tardive des membres de l’Autorité de protection des données (APD), un aléa qui a amené bon nombre d’entreprises à ne pas prendre le RGPD au sérieux. Cette époque est révolue... L’APD a récemment été dotée d’un effectif complet et la première sanction pour une infraction au RGPD est tombée le 28 mai. Un peu comme on le craignait, de nombreuses sanctions découleront de plaintes déposées à l’APD pour les raisons les plus diverses. En tant qu’entreprise, il est donc grand temps de revoir votre politique en matière de traitement des données personnelles si vous ne l’avez pas déjà fait...

 

 

1. Décision n° 04/2019 du 28/05/2019

 

Fin décembre 2018, une plainte a été déposée contre le bourgmestre d’Oosterzele par deux habitants de la ville à qui le mayeur avait adressé de la propagande électorale via leur adresse électronique personnelle. Le problème ? Ces adresses étaient à l’origine connues du bourgmestre dans le cadre d’un projet de lotissement. En d’autres termes, les adresses électroniques ont été utilisées par le bourgmestre, sans le consentement de leurs propriétaires, à d’autres fins que celles pour lesquelles elles ont été en principe recueillies, ce qui constitue une infraction à l’article 5.1 b) du RGPD.

 

Les données relatives aux personnes physiques ne peuvent être traitées qu’à des fins spécifiques et les personnes concernées doivent être informées de ces finalités. Ces données ne peuvent être utilisées à d’autres fins qu’avec leur consentement. Ce n’est là qu’un des principes du RGPD. Outre le principe de limitation de la finalité, les données à caractère personnel doivent être traitées correctement et d’une manière équitable et transparente pour la personne concernée, conformément à la loi. Le stockage des données à caractère personnel doit être limité dans le temps et dans l’espace et doit être suffisamment sécurisé.

 

Cette législation confère un certain nombre de droits aux personnes dont les données sont traitées. Le principe de base est que toute personne a le droit à l’information et doit être correctement informée des données à caractère personnel traitées, de la finalité du traitement et de la durée de leur conservation.

 

Si ces données s’avèrent incorrectes ou ont été traitées de manière illicite, leur rectification ou leur suppression peut être exigée dans certains cas bien définis. Toutefois, avec l’entrée en vigueur du règlement, les infractions aux principes du RGPD peuvent désormais également être sanctionnées, comme cela s’est produit dans le cas présent. Le bourgmestre a reçu un blâme et a été condamné à une amende de 2 000 euros. De toute évidence, toute personne qui utilise ou traite des données personnelles en infraction avec le RGPD court donc le risque d’une plainte, suivie d’un contrôle par l’APD.

 

 

2. La procédure à suivre pour soumettre une requête/plainte à L’APD

 

La procédure de notification à l’APD d’un manquement aux exigences du RGPD est très accessible et gratuite. Une « requête » (l’APD agit à titre de médiateur) ou une « plainte » (l’APD agit à titre de tribunal) peut être introduite sur la base des formulaires disponibles sur le site de l’APD.

 

L’Autorité de protection des données traitera en principe toujours une requête ou une plainte comme une demande de médiation. Cela signifie que la requête/plainte sera traitée directement et sans formalisme excessif par le service de première ligne. Ce service entamera une médiation entre les parties concernées et tentera de trouver un accord à l’amiable.

 

Si aucun accord à l’amiable ne peut être trouvé, la demande de médiation initiale prendra la forme d’une plainte qui pourra ensuite être transmise par le service de première ligne à la chambre contentieuse pour traitement de fond. Étant donné que la chambre contentieuse est un organe juridictionnel, des règles de procédure formelles doivent être respectées lors de l’examen, par exemple transmettre des « conclusions » au cours de la procédure. Notez que la chambre contentieuse peut aussi classer directement l’affaire sans suite et cesser le suivi de votre plainte.

 

 

3. Décision

 

Les personnes concernées sont de plus en plus conscientes des droits qui leur sont accordés par le biais du RGPD et les feront de plus en plus respecter, surtout maintenant que l’APD est en mesure d’imposer des sanctions. Toute personne soumise aux principes et exigences du RGPD (autorités publiques, entreprises...) doit savoir qu’il est passé minuit pour revoir sa politique en matière de données et l’adapter si nécessaire. Déposer une plainte est, en effet, aussi simple que claquer les doigts...

 

Si vous souhaitez de plus amples informations, prenez contact avec nous au 051 26 82 68 ou par e-mail à l’adresse info@titeca.be.