Menu Fermer

L’Autorité de protection des données belge évalue dans cette décision un traitement effectué par une régie autonome active dans le secteur du tourisme qui a placé des caméras intelligentes afin de fournir un décompte des passants à des endroits spécifiques afin de limiter les rassemblements l’épidémie de Covid-19.

Ici l’Autorité examine en particulier si ce traitement se justifie par une bases légale suffisante et adéquate et si les principes de protection des données dès la conception et par défaut sont respéctés. L’autorité regarde également si une information suffisamment transparente concernant ce traitement est fournie aux personnes concernées.

Les faits :

1 / La défenderesse est une régie autonome créée par la province de Flandre occidentale qui est active dans le secteur du tourisme.

2 / Cette entité a décidé de placer des caméras intelligentes afin de fournir un décompte des passants à des endroits précis (sur la digue) dans le cadre des mesures prises pour combattre l’épidémie Covid-19.

3 / Pour atteindre ce but, la défenderesse a lancé un marché public pour le compte des communes côtières qui a été attribué le 9 juin 2020 à la société X, qui fait office de sous-traitant (au niveau de la protection des données à caractère personnel.).

4 / Une enquête a été ouverte par l’Autorité de protection des données car il existe des risques sérieux que l’utilisation de caméras intelligentes par la défenderesse puisse donner lieu à une violation des principes fondamentaux de la protection des données à caractère personnel.

Le service d’inspection conclut ce qui suit :

1) Le service d’inspection constate une violation par la partie défenderesse des principes de légalité, de proportionnalité et de transparence ainsi que du principe de minimisation des données. L’Inspection déclare tout d’abord que la partie défenderesse ne démontre pas de manière adéquate que les personnes concernées sont correctement (et de manière transparente) informées du traitement et qu’il n’est pas suffisamment démontré par la partie défenderesse que le traitement est proportionnel, pertinente et adéquat.

2) Le service d’inspection constate également une violation de l’article 6.1 RGPD et est d’avis que le défendeur ne démontre pas pourquoi il est nécessaire pour l’accomplissement de sa mission d’intérêt public de traiter des données à caractère personnel via des caméras intelligentes.

3) Le service d’inspection détermine que les informations fournies par la partie défenderesse par le biais de sa déclaration de confidentialité publiée sur le site www.westtoer.be/nl/data traitement ne sont pas complètes, correctes et transparentes.

4) L’Inspection détermine que l’analyse d’impact effectuée par la partie défenderesse n’est pas conforme aux exigences du RGPD et que le délégué à la protection des données n’a pas été suffisamment impliqué dans ce processus.

5) L’Inspection fait également un certain nombre d’observations complémentaires, en dehors du champ des violations graves, notamment:

– l’utilisation de cookies sur le site Web et le consentement ne sont pas conformes au RGPD.

– le registre des activités de traitement du défendeur n’est pas complet.

– le délégué à la protection des données n’est pas employé à plein temps et ne relève pas directement du plus haut responsable de la partie défenderesse.

Controverse :

– Quelles exigences doivent-elles être remplies (par le responsable du traitement) concernant la licéité du traitement des données à caractère personnel via un système de caméras intelligentes au sens de l’article 6 du RGPD. ?

– Est qu’un système intelligent de caméras qui implique un système de comptage des passants et où les passants sont floutés après une seconde avant le transfert des données respecte les principes de protection des données par défaut et dès la conception (article 25 du RGPD) ?

– Quelles obligations un responsable du traitement doit-il remplir (dans ce contexte) en terme de transparence et d’information aux personnes concernées ?

Constatations de la Chambre Contentieuse :

:1) La base juridique est suffisante pour le traitement envisagé.

Un examen complet de la base juridique n’est pas effectué par la Chambre Contentieuse qui conclut que la partie défenderesse fait valoir de manière plausible que le traitement est nécessaire à l’accomplissement d’une mission d’intérêt public.

La Chambre Contentieuse précise que c’est principalement la tâche des autorités à la demande desquelles les traitements sont effectués – dans ce cas, la province de Flandre occidentale et les communes côtières concernées- de veiller à ce qu’une base légale en vigueur réponde aux exigences de l’article 6.3 du RGPD.

Par contre la Chambre Contentieuse rappelle qu’il incombe responsable du traitement, en tant que partie défenderesse de vérifier dans quelle mesure une base légale adéquate est fournie pour justifier le traitement. Dans cette décision, la Chambre du Contentieuse se limite à ces considérations générales la base légale du traitement.

2) Le traitement est proportionnel et nécessaire pour remplir la finalité

La partie défenderesse prouve que le traitement répond aux principes de nécessité et de proportionnalité en vue de sa mise en œuvre et de sa finalité en ce que la partie défenderesse réussit à démontrer l’absence d’un système alternatif moins intrusif qui atteindrait également les mêmes objectifs.

3) Protection des données par défaut et dès la conception:

La Chambre Contentieuse conclut que la partie défenderesse a inclus la protection des données par défaut et dès la conception à un stade précoce de la conception des opérations de traitement, notamment, grâce à l’inclusion de mesures techniques et organisationnelles appropriées dès le lancement du marché public.

En pratique la partie défenderesse (via le sous-traitant qui a remporté le marché public) a opté pour un système autonome, non connecté à un réseau, dans lequel le traitement des données personnelles au moyen d’un équipement vidéo est réduit au minimum et aucunes autres données à caractère personnel ne sont traitées.

4) Transparence du traitement :

La politique de confidentialité et le registre de la partie défenderesse ne sont pas entièrement complets, mais compte tenu de la coopération de la partie défenderesse et de la modification de sa déclaration de confidentialité au cours de la procédure, la Chambre Contentieuse ne juge pas nécessaire d’infliger une sanction mais ordonne à la partie défenderesse de se mettre en conformité.

5) Autres remarques:

La Chambre Contentieuse estime que la manière dont le défendeur justifie le traitement des données à caractère personnel sur son site Internet n’est pas suffisante et que le délégué à la protection des données ne fait pas rapport au plus haut niveau de direction.

Décision :

L’Autorité de protection des données :

– constate que le système de caméras intelligentes mis en œuvre par la partie défenderesse ne viole pas l’article 5.1 a), b) et c) et est conforme à l’article 25 du RGPD;

– ordonne à la partie défenderesse de compléter les informations qu’elle fournit sur ses traitements dans sa déclaration de confidentialité conformément aux articles 12 et 13 du RGPD, notamment en ce qui concerne les informations complémentaires demandées à la personne concernée dans le cadre d’une demande sur la base des articles 15 à 21 du RGPD.

– ordonne à la partie défenderesse d’aligner son registre des activités de traitement sur les exigences de l’article 30 du RGPD et notamment de préciser vers quels pays tiers le transfert de données à caractère personnel a lieu dans le délai d’un mois après la notification de cette décision.

– Formule une réprimande à l’encontre de la partie défenderesse pour violation des articles 6.1 a), 7.1, 7.3 (validité du consentement au niveau de cookies) et 38.3 du RGPD (le délégué à la protection des données doit rendre ses avis directement au plus haut niveau de direction du responsable du traitement).

Vous avez questions relatives à ce sujet, n’hésitez pas à me contacter en m’envoyant un courriel. à l’adresse indiquée dans la section “contact”.

Plus d’informations :

APD/GBA – 24/2021 – GDPRhub

Sources :

Nl_Advies.dotm (autoriteprotectiondonnees.be)

fr_FRFrançais