Souvenez-vous, c'était il y a un an... le nouveau Règlement européen relatif à la protection de la vie privée (RGPD) entrait en application. Depuis lors, face aux lourdes sanctions financières, le positionnement de l'enjeu de la protection des données à caractère personnel a considérablement changé au sein des entreprises.

Avec le RGDP, les autorités de contrôle disposent désormais d'un important arsenal de sanctions, y compris des amendes administratives. Fort de cette compétence, le 28 mai 2019, l'Autorité belge de protection des données (APD) a annoncé sa première sanction financière un mois seulement après le début des travaux de son nouveau comité de direction. Bien que l'amende soit modérée, son message est important : la protection des données est l'affaire de tous !

Des e-mails en "Cc" sont bien un fichier de données

L'APD a reçu une plainte concernant l'utilisation par un bourgmestre de données obtenues dans le cadre de l'exécution de sa fonction à des fins de campagne électorale. Plus précisément, les plaignants ont communiqué avec le bourgmestre par l'entremise de leur architecte dans le cadre d'une modification de lotissement. A cette occasion, l'architecte avait contacté le bourgmestre par e-mail avec en copie (Cc) les adresses électroniques des plaignants. La veille des élections communales du 14 octobre 2018, le bourgmestre a utilisé la fonction " Répondre " de l'e-mail afin d'envoyer de la propagande électorale aux plaignants.

A la suite de l'audition du 28 mai 2019 devant la Chambre contentieuse de l'APD, cette dernière a conclu qu'une violation du principe de limitation des finalités du RGPD avait bien été commise par le bourgmestre. Il a été jugé que les données obtenues dans le cadre d'un projet d'urbanisme (à savoir les adresses mail des plaignants) et réutilisées à des fins de campagne électorale contreviennent au principe de limitation des finalités et constituent une violation du RGPD. Le bourgmestre a été condamné à une amende de 2.000 euros.

Les sanctions s'appliquent à toutes les entreprises

Le RGPD s'applique à l'égard de tous les responsables de traitement et pas uniquement aux grandes entreprises dont le modèle économique se base sur le traitement des données (comme les Gafam). Toutes les entreprises sont désormais pleinement responsables de la protection des données qu'elles traitent et doivent s'assurer de la conformité au RGPD et du traitement des données tout au long de leur cycle de vie.

Jusqu'à présent, les autorités de contrôle ont utilisé leurs pouvoirs pour infliger des amendes totalisant plus de 56 millions d'euros à environ 100 entreprises (rapport EDPB, février 2019). Ce montant peut sembler élevé mais, à l'exception de l'amende de 50 millions d'euros infligée par la CNIL à la société Google LLC (qui a fait appel), toutes ces amendes sont assez conservatrices et sont loin d'atteindre le montant maximum que les autorités peuvent infliger.

Le manque de transparence et d'information a jusqu'à présent été le thème clef dans les plaintes et les mesures d'application du RGPD.

La taille de mon fichier peut-elle impacter l'amende ?

Il n'y a malheureusement pas de nombre magique en dessous duquel une entreprise pourrait être exemptée.

Le montant retenu et la publicité éventuelle de l'amende se justifieront d'abord par la gravité des manquements constatés qui concernent des principes essentiels du RGPD, comme la transparence, l'information et le consentement. Dans l'instruction des plaintes et dans ses contrôles, l'APD vérifiera pleinement le respect de ces exigences. La gravité de la violation pourra varier notamment en raison de la nature des données rendues librement accessibles, de la durée de l'infraction et du nombre de documents concernés.

Les données dites personnelles ont souvent été qualifiées de " nouvel or noir " du 21e siècle. Il s'agit donc de les protéger. Cette première amende est une bonne occasion pour rappeler aux entreprises que le RGPD est entré en vigueur et que toutes les entreprises y sont soumises dès lors qu'elles traitent des données personnelles.

Par Thomas Dubuisson, avocat chez CMS.