Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur il y a presque un an et demi. Les Autorités de contrôle des pays voisins ont déjà sanctionné plus ou moins sévèrement des manquements des responsables de traitement. Mais qu’en est-il chez nous?
Les droits d’accès
La Chambre contentieuse de l’Autorité de Protection des Données (APD) a, elle aussi, rendu une série de décisions depuis sa mise en place. Plusieurs de celles-ci concernent un non-respect ou une mauvaise application des droits d’accès, de rectification et du droit à l’oubli. Ces sanctions concernent tant des particuliers que des entreprises. Le secteur public a, lui aussi, été sanctionné. En juillet dernier, l’APD a en effet émis une réprimande à l’encontre du SPF Santé Publique. Ce dernier n’avait pas répondu à la demande d’exercice de droit d’accès d’un citoyen, et ce, malgré y avoir été sommé par l’APD.
Le consentement
L’absence de consentement ou de consentement valable est également à l’origine de plusieurs décisions de l’APD. Une récente sanction a été infligée à un commerçant qui proposait comme seul moyen de création d’une carte de fidélité la lecture de la carte d’identité électronique. L’amende administrative imposée s’élève à 10.000 EUR.
Dans ce dossier, la Chambre contentieuse de l’APD a souligné le non-respect du principe de minimisation des données qui impose aux responsables du traitement de limiter la quantité de données personnelles collectées ainsi que la durée de conservation de celles-ci à ce qui est strictement nécessaire en fonction du but poursuivi. Étant donné que la carte d’identité électronique contient de nombreuses données sur son titulaire telles que le nom, les prénoms, l’adresse, etc., mais aussi la photo et le code-barres qui est lié au numéro de Registre national, ces données excèdent les informations nécessaires pour une carte de fidélité. En outre, l’APD rappelle que le numéro de Registre national est une donnée qui est soumise à des règles strictes d’autorisation quant à sa consultation et à son utilisation.
L’APD a également noté l’absence de consentement valable, puisque le commerçant ne laisse aucune alternative possible au client pour obtenir sa carte de fidélité que de lui présenter sa carte d’identité.
Le détournement de finalité
Le détournement de finalité est une autre des causes de plaintes déposées auprès de l’APD et notamment dans le cadre de données utilisées à l’occasion de l’élaboration des listes électorales.
L’APD a rappelé, lors d’une des affaires qui lui ont été soumises récemment, les principes applicables aux données biométriques, et ce, à l’occasion d’une fuite de ce type de données (à savoir des empreintes digitales). En l’espèce, des chercheurs avaient pu obtenir, en Belgique, l’accès à un très grand nombre de données biométriques d’une entreprise, telles que des empreintes digitales et des images permettant la reconnaissance faciale de plus de 2000 employés.
David Stevens, le Président de l’APD, a rappelé à cette occasion que « l’Autorité accorde une attention toute particulière au traitement de données permettant l’identification unique des citoyens et appelle à la plus grande vigilance de la part des responsables du traitement de données biométriques. »
L’autorité de surveillance
On constate donc que, même si les sanctions ne sont pas encore très conséquentes puisqu’elles vont de la réprimande à la sanction financière de 10.000 EUR en passant par l’obligation de mettre en œuvre les obligations du RGPD mal ou pas respectées par les responsables de traitement, la Chambre contentieuse de l’APD veille à faire respecter les principes du RGPD.
Rappelons à cet égard que l’article 58,§2 du RGPD prévoit que chaque autorité dispose du pouvoir de prendre une série de mesures correctrices allant du simple avertissement à l’amende administrative. Cette dernière doit être, en vertu de l’article 83 de ce même règlement, effective, dissuasive mais également proportionnée, c’est-à-dire tenir compte notamment de la nature, de la gravité, de la durée de la violation, de la volonté délibérée d’agir du responsable de traitement,… Il est difficile d’évaluer la sévérité de notre APD au travers des sanctions déjà imposées, mais il est clair que les sanctions seront plus lourdes dès lors que les données traitées sont plus nombreuses et/ou plus sensibles.
Le secteur privé
Notons enfin que les sanctions administratives ne sont applicables qu’au secteur privé. En effet, la loi belge du 30 juillet 2018 mettant en œuvre les clauses dites « ouvertes » du RGPD a prévu de restreindre le champ d’application de ces sanctions qui ne s’appliquent pas aux autorités publiques et leurs préposés ou mandataires sauf s’il s’agit de personnes morales de droit public qui offrent des biens ou des services sur un marché.
La FEB a considéré cette exception inacceptable, constitutive de discrimination et contraire au principe d’égalité de traitement. Pourquoi traiter différemment, avec plus de sévérité, des entreprises privées confrontées aux mêmes difficultés que le secteur public face à la mise en œuvre du RGPD ? Pourquoi seraient-elles les seules à pouvoir être sanctionnées en cas de non-respect des dispositions légales en matière de protection des données, alors que le secteur public traite autant, voire plus de données, notamment toutes les données des citoyens (données d’identification, données fiscales, données sur la santé,…) ? La FEB a dès lors introduit un recours en annulation de cette disposition auprès de la Cour constitutionnelle. Le Conseil d’État tout comme la Commission de la Protection de la Vie privée avaient d’ailleurs, tous les deux, émis un avis négatif sur cet article de la loi de 2018 lorsqu’elle était encore en projet au Parlement. L’arrêt de la Cour constitutionnelle n’est pas attendu avant 2020.
Toutes les décisions de l’APD citées peuvent être consultées sur son site puisque la Chambre contentieuse en ordonne, dans la plupart des cas, la publication.
Nathalie Ragheno
Fédération des Entreprises de Belgique
Ci-dessous, vous pouvez regarder une interview avec Nathalie Ragheno sur le RGPD.
0 commentaires