19/12/19

RGPD et finalité du traitement : l’APD serre la vis !

Consacré dès 1981 (Convention 108), le principe de finalité est un principe angulaire de la protection des données.

L’article 5, §1er, sous b) du RGPD dispose ainsi que les données à caractère personnel doivent être :

  • collectées pour des finalités déterminées, explicites et légitimes ; et
  • ne pas être traitées ultérieurement d’une manière incompatibles avec ces finalités.

Si à première vue le principe parait simple, force est de constater, qu’en pratique, il n’en est pas pour autant respecté. Deux décisions rendues récemment (25/11/2019) par la Chambre Contentieuse de l’Autorité de protection des données (APD) en attestent. Saisie à deux reprises pour des plaintes similaires, l’APD a ainsi usé à nouveau de son pouvoir d’infliger des amendes administratives en cas de violation de la réglementation relative à la protection des données.

Ci-après, nous vous livrons un bref résumé de ces décisions quant au fond.

Quant aux faits 

Décision 10/2019: la première affaire concerne la réutilisation par un bourgmestre, à des fins de propagande électorale, de l’adresse postale des personnes l’ayant sollicité en qualité de bourgmestre sous la précédente mandature.

Décision 11/2019: cette affaire concerne, quant à elle, la réutilisation par un vétérinaire (et échevin!) de son fichier client, à des fins électorales.

Quant aux motifs

Dans chacune de ces affaires, la Chambre Contentieuse de l’APD a considéré que les pratiques en cause violaient le principe de finalité consacré par le RGPD.

En vertu de ce principe, des données à caractère personnel ne peuvent être collectées et traitées que pour des finalités déterminées, explicites et légitimes. Toute utilisation ultérieure incompatible avec ces finalités est interdite.

A cet égard, la Chambre Contentieuse rappelle que le traitement ultérieur de données à caractère personnel pour d’autres finalités que celle(s) pour laquelle (lesquelles) ces données ont été initialement collectées n’est autorisé que si ce traitement ultérieur est compatible avec les finalités initiales, compte tenu :

  • du lien entre les finalités initiales et ultérieures;
  • du cadre dans lequel les données ont été collectées;
  • des conséquences possibles du traitement ultérieur envisagé pour la personne concernée ; et
  • de l’existence de garanties appropriées.

Quant aux sanctions

Dans les deux affaires, l’APD a prononcé à l’égard des défendeurs une réprimande assortie d’une amende administrative de 5.000 €.

Celle-ci précise avoir tenu compte :

  • de la nature et gravité de la violation,
  • du caractère intentionnel,
  • de la finalité du traitement (à savoir, inciter les destinataires du courrier à voter pour un candidat en particulier),
  • de la qualité des parties (bourgmestre et échevin), et
  • du nombre de personnes concernées par ce traitement.
Thomas Espeel
Thomas Espeel
Avocat - Lexing
SaaS-contracten: valkuilen en aandachtspunten
SaaS-contracten: valkuilen en aandachtspunten
ICT-contracten opstellen en beoordelen
ICT-contracten opstellen en beoordelen
Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar
Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar
dotted_texture