Un commerçant a reçu une amende administrative pour avoir basé sa carte de fidélité sur la carte eID. Un bourgmestre a été sanctionné pour réutilisation abusive de données recueillies à d’autres fins. Autant d’affaire permettant de faire un point sur les amendes administratives infligées par l’APD.
L’Autorité de protection des données peut désormais imposer une amende administrative en cas de violation de la réglementation relative à la protection des données. Cette mesure s’ajoute au panel d’autres mesures correctrices qui peuvent être infligées au contrevenant. L’article 83.2 RGPD énonce les critères à prendre en compte afin d’évaluer l’opportunité d’imposer une amende. L’APD belge a déjà fait usage de cette faculté à deux reprises depuis l’entrée en vigueur du RGPD.
Quand une autorité de contrôle peut-elle infliger une amende administrative?
Selon le considérant n°11 RGPD, une amende administrative peut être infligée lorsque elle permet de “répondre de manière adéquate à la nature, à la gravité et aux conséquences de la violation, en appréciant l’ensemble des faits de l’espèce d’une manière cohérente et objectivement justifiée“.
Plusieurs facteurs doivent être pris en compte pour évaluer si une telle mesure se justifie dans un cas d’espèce. Il conviendra notamment d’avoir égard à la gravité de la violation (et de son caractère intentionel ou non) et à la durée de celle-ci. Le type de données à caractère personnel concernée pourra également influencer la décision, au même titre que le degré de coopération du responsable du traitement (ou du sous-traitant) ainsi que les mesures techniques et organisationnelles prises pour limiter le risque de fuite de données.
S’il ressort des circonstances de l’espèce qu’une amende administrative se justifie, l’autorité de protection des données devra alors évaluer le montant de celle-ci sur base des mêmes critères et en respectant les plafonds fixés par le RGPD.
En Belgique, l’APD a déjà infligé une amende administrative dans deux situations
1) Réutilisation par un bourgmestre d’adresses e-mail obtenues dans le cadre de ses fonctions à des fins électorales
La première affaire concernait la réutilisation par un bourgmestre, à des fins de propagande électorale, d’adresses de courrier électronique obtenues dans le cadre d’une modification d’un permis de lôtir. L’APD avait alors prononcé à l’égard du bourgmestre une réprimande assortie d’une amende administrative de 2.000 €.
2) Création d’une carte de fidélité sur base des informations contenues sur la carte eID des clients
Les faits à l’origine de la seconde affaire concernent, quant à eux, la création d’une carte de fidélité à partir de la carte d’identité électronique des clients. En pratique, il apparait que l’accès au programme de fidélité requiert la lecture de la carte d’identité des clients et l’utilisation des informations qu’elle contient. Ces informations sont non seulement liées au montant des achats mais également au numéro de Registre national repris dans le code-barres de la carte d’identité.
La Chambre Contentieuse de l’APD, saisie sur plainte, considère que cette méthode viole plusieurs principes généraux du RGPD. En vertu du principe de minimisation des données, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités doivent être traitées. En l’espèce, la Chambre Contentieuse constate que les données « sexe » et « date de naissance » ne sont pas pertinentes, de même que l’utilisation du numéro de registre national utilisé pour retrouver le client dans le fichier-clients.
Rappelons que le numéro de Registre national constitue une donnée dont l’accès et l’utilisation sont soumis régis par une loi du 19 juillet 1991, telle que modifiée le 23 décembre 2018 (voy. notre news sur le sujet). Ces règles spécifiques prévoient que la carte d’identité électronique ne peut être lue ou utilisée qu’avec le consentement libre, spécifique et éclairé de son titulaire. En outre, lorsqu’un avantage ou un service est proposé à un citoyen au moyen de sa carte d’identité électronique dans le cadre d’une application informatique, une alternative ne nécessitant pas le recours à la carte d’identité électronique doit également être proposée à la personne concernée.
Etant donné qu’aucune alternative n’est proposée au client, l’APD est d’avis que le consentement ne peut pas être considéré comme libre au sens du RGPD et que le principe de légalité du traitement et est donc également violé.
Enfin, l’APD constate que le contrevenant manque en outre à son obligation d’information dès lors qu’il ne fournit pas une information claire à ses clients, notamment en ce qui concerne la base juridique du traitement et le délai de conservation des données.