RGPD : analyse des 34 décisions publiées par la Chambre Contentieuse de l’APD en 2020

par | 18 Mai 2021

Avant-propos

Bien que la pandémie liée à la covid-19 l’ait relégué au second plan, le RGPD n’en reste pas moins d’actualité.

Beaucoup d’articles très complets ont été écrits pour éclairer les lecteurs à son propos. Ne nous attardons pas sur ce point. Ce qui nous intéresse ici, c’est la connaissance des risques à votre encontre en cas de non-respect.

Passons en revue les décisions qui ont été prises au cours de l’année 2020 par le bras armé de l’Etat Belge, chargé de faire respecter l’ordre en ce qui concerne le traitement des données personnelles.

Quels sont les montants des amendes encourues ? Qui a le plus souvent tort, le défendeur ou le plaignant ? Quelle est la nature des décisions prises ?

En quelques mots, qu’est-ce que le RGPD ?

A moins de vivre en dehors de l’espace Schengen, tout un chacun en a entendu parler. Le RGPD est l’acronyme de « Règlement Général sur la Protection des Données ». Il s’impose à tous (ou presque) depuis le 25 mai 2018 dans l’Union Européenne, au reste du monde aussi si une organisation externe à l’UE est amenée à traiter des données personnelles de résidants intra UE. Car les données personnelles d’autrui sont à traiter selon les règles et le cadre tel qu’il a été défini dans le texte européen.

La donnée personnelle c’est celle qui permet d’identifier, directement ou indirectement, un individu. Elle ne se limite pas à son nom, son prénom ou encore son adresse. Elle peut prendre d’autres formes : une image, une vidéo, une adresse IP, une adresse email (même si un pseudo est utilisé) etc …

La CNIL, l’équivalent français de l’APD, propose une définition didactique de la donnée personnelle et du RGPD.

Qu’est-ce que l’Autorité de Protection des Données (APD) ?

Le nom est sans équivoque. L’APD est le « magistrat » belge qui veille à ce que vos droits soient respectés concernant vos données personnelles.

Cette institution est chargée de plusieurs missions comme le contrôle et la répression en cas de non-conformité liée au traitement des données personnelles. Elle émet aussi des avis et des recommandations.

Ce qui va surtout nous intéresser ici, ce sont les décisions de la Chambre Contentieuse de l’APD. En effet, nous en avons recensé 34 qui ont été publiées sur leur site web pour l’année 2020.

Quelles sont ses décisions ?

Les décisions prises par cette Chambre sont motivées et ces documents qui s’y réfèrent sont souvent constitués de quelques … voire plusieurs dizaines de pages. Pour rendre la tâche plus ciblée, nous avons extrait cinq éléments clés pour chacune des 34 décisions :

  1. Le numéro de la décision (identification)
  2. Gain de cause (le défendeur, le plaignant, non -lieu, non-fondée …)
  3. L’objet (nature de la plainte)
  4. La décision : un résumé de celle-ci.
  5. Amende administrative : le montant afférent si amende il y a

Cliquez ici pour obtenir la liste résumée des 34 décisions publiées en 2020.

Il est possible de télécharger les décisions dans leur entièreté via ce lien.

Quelles constatations peut-on en tirer ?

  1. La plupart des décisions sont en faveur des plaignants (26 sur 34). Avec si peu de données, difficile d’élaborer une statistique et de tirer des conclusions. Néanmoins, s’intéresser au RGPD et approfondir cette matière fait tout envisager sous l’angle de ce règlement ; l’absence de conformité est monnaie courante et concerne non seulement les indépendants et les PME mais aussi les grandes entreprises.

  2. Le montant des amendes administratives. Si certains souriront des montants les plus bas comme 1.000€ ou 1.500€ quand on arrive à 3.000€, 5.000€ en passant par 15.000€ et 50.000€, l’absence de gestion des données personnelles peut coûter cher. D’autant que sur les 26 plaintes, 17 sont assorties d’une amende.
    Paradoxalement, ce n’est pas l’amende infligée à Google qui nous impressionne le plus, car même si le montant semble pharaonique, il faut le ramener à l’échelle du colosse qui va devoir la payer : pour une entreprise dont la capitalisation boursière (montant à débourser pour l’acquérir) dépasse largement les 1.000 milliards de dollars, 600.000€ est dérisoire.

  3. La nature de la donnée personnelle n’est pas que manuscrite. . Nous évoquions la vidéo plus haut, la caméra d’un d’un commerce qui filme aussi la voie publique n’est pas autorisé (16/2020). Dans le même ordre d’idée que pour le commerce, la prise d’images par les caméras d’un domaine privé n’autorise pas un tiers à prendre les images d’un autre domaine privé ou de la voie publique (74/2020).

  4. Personne n’est épargné : d’un car-wash, en passant par deux autorités communales, une ASBL, une banque ou encore Google, tout le monde est concerné, quelle que soit la taille de l’organisation. 

Sur un plan plus personnel, la décision 64/2020 a retenu mon attention. Bon nombre d’entreprises laisse active la messagerie électronique d’utilisateurs ayant quitté la société. Cette façon d’agir est totalement interdite et l’était déjà bien avant l’existence du RGPD. En effet, le législateur belge protégeait déjà cette ressource informatique et le contour de son utilisation (loi du 21 mars 1991 connue sous le nom de loi « Belgacom », la CCT 81 ainsi que le code pénal et l’article 314 bis).

Il était et il est toujours possible de ne perdre aucun courriel passé, présent et à venir lié à la messagerie électronique d’un employé qui a quitté une entreprise sans pour autant devoir laisser sa messagerie active. Mais ça c’est une autre histoire.

Vous l’aurez compris, nous avons surtout voulu attirer l’attention sur le fait que les données personnelles doivent être traitées avec égard et que les amendes, si vous êtes le sujet d’une plainte fondée, peuvent être lourdes de conséquences.

Être en conformité avec le RGPD est somme toute assez simple et en partie une question de bon sens. Si vous êtes déjà rompu à classer vos autres données et à les protéger correctement, il vous suffira d’appliquer les mêmes préceptes aux données personnelles pour être sur la voie de la conformité.

Si vous n’êtes encore nulle part, prenez comme point de départ les questions essentielles liées à la composition du registre tel que présenté sur le site de l’APD :

QUI traite les données ?
QUOI (ce que je traite comme données) ?
POURQUOI (dans quel but est-ce que je traite des données) ?
OU (est-ce que je communique ces données et sortent-elles de l’EEE) ?
JUSQU’A  QUAND (est-ce que je conserve ces données) ?
COMMENT (est-ce que je garantis la sécurisation de ces données) ?

La réponse à ces questions résume les objectifs à atteindre. Rien d’insurmontable.

L’APD met à disposition sur son site web une première aide via la rubrique du même nom et les sous-rubriques Toolbox et PME. La CNIL a publié un guide pratique de sensibilisation au RGPD pour les PME avec une logique similaire.