Menu Fermer

La DPA belge (APD / GBA) a estimé que deux responsables du traitement successif avaient enfreint divers principes du RGPD (licéité, minimisation des données et responsabilité) et n’avaient pas respecté les droits des personnes concernées (légalité, information et accès). La DPA a infligé respectivement des amendes de 50 000 € et 15 000 € à ces deux sociétés.

Les faits :

La plaignante a été condamnée à une amende administrative par la première défenderesse (une entreprise privée mandatée pour assurer le respect des règlements municipaux sur le stationnement dans la rue) pour ne pas avoir respecté les règles en matière de durée de parking autorisé.

Afin d’établir la violation de la réglementation communale et de prononcer l’amende, la première défenderesse a collecté des données à caractère personnel de la plaignante. Ces données comprennent des données extraites du registre national belge et de la DIV (service d’immatriculation des véhicules) ainsi qu’une photo de la voiture de la plaignante. La DIV a été consultée par la première défenderesse le jour après que l’amende aie été apposée sur le pare-brise de la plaignante alors que ce type de consultation n’est en principe autorisée qu’au moment ou le paiement n’est pas effectué dans un délai de 15 jours après le rappel.

La première défenderesse prétend avoir adressé un rappel à la plaignante concernant le paiement de l’amende.

N’ayant reçu aucune réponse de la plaignante dans un délai de 15 jours, les données traitées par la première défenderesse ont été transférées à la seconde défenderesse; une étude d’huissiers de justice mandatée pour collecter l’amende en cas de non-paiement (selon les prérogatives des huissiers en vertu de l’article 519 du code judiciaire belge).

Après avoir reçu une mise en demeure de l’étude d’huissiers (la seconde défenderesse) , la plaignante lui écrit pour signaler qu’elle n’a jamais reçu d’invitation à payer ni de rappel de la première défenderesse et lui demandé de pouvoir exercer ses droit d’accès et d’information concernant les données traitées par celle-ci.

Le plaignante adresse une demande similaire à la première défenderesse.

La plaignante n’e reçoit qu’une réponse partielle de la deuxième défenderesse (dans le délai imparti d’un mois).

La première défenderesse ne lui répond pas et la redirige vers la deuxième défenderesse.

Discussion :

Le différend entre les parties concerne les questions suivantes:

Dans quelle mesure un responsable du traitement dont la mission est de faire respecter une réglementation municipale (réglementation qui n’aborde pas le traitement des données à caractère personnel) peut-il collecter et traiter des données à caractère personnel d’une personne concernée pour remplir sa mission ? Ce responsable du traitement peut-il s’appuyer sur une exception légale pour s’affranchir de certaines obligation prévues dans le RGPD ?

Dans quelles circonstances et dans quelle mesure ce responsable du traitement peut-il transférer les données collectées dans le cadre d’un traitement à un responsable du traitement ultérieur (mais non conjoint) dans le cadre d’un nouveau traitement et doit elle en informer les personnes concernées ? Une étude d’huissier peut elle traiter l’ensemble de ces données pour ce nouveau traitement, peut elle récolter des données non-essentielles dans le formulaire joint à une mise en demeure ?

Dans quelle mesure le droit d’accès et d’information des personnes concernée doivent être respecté par ces deux responsables successifs ?

Violations constatées par la chambre contentieuse de l’APD :

La Chambre contentieuse de l’APD constate que les manquements suivants sont constatés à l’égard de la première défenderesse :

– un manquement à son obligation d’information (article 14.1-2, combiné avec les articles 12.3 et 12.1 du RGPD)

– une violation de son obligation de suivi de l’exercice du droit d’accès du plaignant dans le délai légal qui lui est imparti pour le faire (article 15.1 combiné avec l’article 12.3.du RGPD ainsi que l’article 12.2.du RGPD (obligation de faciliter l’exercice des droits)

-Une violation du principe de minimisation lors de la consultation prématurée de la DIV (registre concernant l’immatriculation des voitures) (article 5.1 c) du RGPD.

– un manquement à son obligation de mettre en place des mesures techniques et des exigences organisationnelles adéquates pour la mise en œuvre des articles 5.2 et 24. 1-2 du RGPD.

Quant à la deuxième défenderesse, l’APD belge a estimé que les manquements suivants étaient établis:

– une violation de son obligation d’information (article 14.1-2, combiné avec l’article 12.3. du RGPD)

– une absence de base légale en ce qui concerne la collecte de données par le biais du formulaire accompagnant la mise en demeure de paiement (article 6 du RGPD) et une violation du principe de minimisation des données (article 5.1 c) du RGPD) compte tenu de la caractère excessif des données demandées.

– une violation des articles 5.2. et 24. 1-2 du RGPD. Sanctions:

Sanctions :

En conséquence des manquements mentionnés ci-dessus:

– la première défenderesse a été sanctionnée (conformément à la loi belge du 3 décembre 2017 instituant l’Autorité de protection des données) d’une réprimande, d’une injonction de prendre les mesures nécessaires pour se conformer au RGPD ainsi que d’une amende de 50.000 euros.

– la deuxième défenderesse a été sanctionné par une réprimande, une injonction à prendre les mesures nécessaires pour se conformer au RGPD ainsi qu’une amende de 15 000 euros.

Conclusion :

L’APD n’hésite pas à prendre des sanctions sévères pour les entreprises qui n’informent pas correctement les personnes dont elles collectent les données de leurs droits et des bases légales des traitements pour lesquelles les données sont collectées ou lors de traitement ultérieurs même si ces entreprises exercent leur mission en vertu d’une loi. Ces entreprises doivent aussi respecter le principe de minimisation des données et pouvoir justifier chaque traitements.

Une entreprise privée qui assure un service public ou le respect d’une réglementation ne pourra par ailleurs pas l’invoquer pour se dédouaner de ses obligations surtout si cette réglementation n’adresse pas la question du traitement des données à caractère personnel.

Vous avez questions relatives à ce sujet, n’hésitez pas à me contacter en m’envoyant un courriel. à l’adresse indiquée dans la section “contact”.

Ce résumé est le premier résumé que je publie en qualité de “reporter national pour la Belgique sur GDPRhub , un outil développé par NOYB, l’association du célèbre activiste Max Schrems qui rassemble des comptes-rendus des toutes les décisions des autorités de protection des données européennes.

Plus d’informations :

noyb.eu – My Privacy is None of Your Business

GDPRhub

Sources :

fr_FRFrançais