Attention : première amende RGPD infligée en Belgique !
Contexte
Depuis le 25 mai 2018, le règlement général sur la protection des données (ci-après RGPD) ou en anglais General Data Protection Regulation (GDPR) est d’application dans tous les États membres de l’Union européenne. L’entrée en vigueur de cette réglementation impose des obligations renforcées aux employeurs pour la collecte et la gestion de données à caractère personnel.
Entre-temps, nous venons déjà de fêter le premier anniversaire de l’entrée en vigueur du RGPD et la composition de l’Autorité de protection des données (ci-après APD) prend tout doucement sa forme définitive.
Les faits ?
Le mardi 28 mai 2019, l’APD a imposé sa première sanction financière depuis l’entrée en vigueur du RGPD. L’amende administrative en question s’élève à 2.000 EUR et a trait à l’utilisation abusive de données à caractère personnel à des fins électorales. Bien que l’amende soit modérée, le message est clair : la protection des données nous concerne tous, mais les responsables du traitement doivent assumer leur responsabilité, surtout s’ils exercent un mandat public.
L’APD avait reçu une plainte au sujet d’un bourgmestre qui avait utilisé, à des fins électorales, des données qu’il avait obtenues dans l’exercice de sa fonction. Les plaignants avaient pris contact avec le bourgmestre via leur architecte au sujet d’une modification de lotissement. L'architecte avait, à cette occasion, contacté le bourgmestre par e-mail, avec en copie les adresses e-mail des plaignants. La veille des élections communales du 14 octobre 2018, le bourgmestre avait repris cet e-mail pour diffuser un message électoral aux plaignants.
Le RGPD précise que les données collectées par un responsable de traitement (dans ce cas-ci : les adresses e-mail obtenues par le bourgmestre) doivent être collectées pour des finalités déterminées et ne peuvent être traitées ultérieurement de manière incompatible avec les finalités en question. La réutilisation de données obtenues dans le cadre d’un projet urbanistique à des fins de campagne électorale contrevient donc à ce principe de finalité et constitue une infraction au RGPD.
La Chambre contentieuse de l’APD considère que le respect du principe de finalité est une des règles cruciales du RGPD et que les détenteurs d’un mandat public (comme les bourgmestres) à qui les citoyens ont confié des données personnelles doivent être particulièrement vigilants. Il faut qu’ils prennent conscience que les données acquises dans le cadre d'une fonction publique ne peuvent jamais être réutilisées à des fins personnelles.
Étant donné le nombre limité des personnes concernées, ainsi que la nature, la gravité et la durée de l’infraction, la Chambre contentieuse a prononcé une réprimande et infligé une amende modérée de 2.000 EUR.
Votre entreprise est-elle aujourd'hui conforme en matière de RGPD ?
Aucune entreprise belge ne souhaite évidemment se voir infliger la prochaine amende. Il est dès lors grand temps de passer à la loupe votre politique RGPD et de l’évaluer le cas échéant. Votre politique doit encore être adaptée et vous devez encore vous acquitter de certaines démarches administratives ? Nous vous rappelons dans ce cas qu’EASYPAY GROUP se fera un plaisir de vous aider en la matière.
Notre BOÎTE À OUTILS RGPD se compose par exemple de pas moins de 16 documents types et fiches d’information pratiques que vous pourrez intégrer directement au niveau de votre entreprise après avoir complété quelques données spécifiques. Elle comprend en outre un sommaire contenant des explications succinctes sur l’utilisation de tous les documents. Pour plus d’informations ou pour toute commande : https://www.easypay-group.com/fr_BE/connaissance/documents-types/register/GDPR/.
Source(s) :
- Communiqué de presse de l’APD, https://www.autoriteprotectiondonnees.be/news/lautorite-de-protection-des-donnees-prononce-une-sanction-dans-le-cadre-dune-campagne.
Partager sur des médias sociaux :