RGPD : Le traitement des données accessibles au public
Est ce que votre entreprise obtient et/ou traite des données personnelles obtenues dans le domaine public ?
Un an après l’entrée en vigueur du RGPD, ses effets commencent à se ressentir et les autorités de contrôle chargées de la protection des données devinent de plus en plus strictes. En effet, elles supervisent les acteurs avec plus de rigueur et n’offrent plus la même indulgence aux compagnies qui ne se soumettent pas au nouveau règlement.
Le RGPD a été créé dans le but de protéger les données personnelles et garantir que celles-ci restent privées. Récemment, l’Office de la Protection de Données Personnelles en Pologne a infligé sa première amende à une entreprise suédoise d’agrégation de données, Bisnode, pour non-respect du RGPD après avoir traité des données accessibles au public.
Les faits
Pour effectuer ses services d’agrégation de données, Bisnode a utilisé des bases de données et des registres sur le domaine public. La base de données présentait 7,6 millions enregistrements de données personnelles appartenant à des personnes concernées. Bisnode a envoyé des déclarations de traitement à environ 700,000 de ces personnes concernées à travers des addresses électroniques liées à l’identité de ces dernières. Quant aux autres personnes concernées, Bisnode possédait seulement leurs numéros de téléphone et adresses postales, et par conséquent, au lieu de les contacter directement, l’entreprise à simplement publié une politique de confidentialité sur son site Internet.
Bisnode a justifié ce choix par le coût trop imposant d’envoie de courriers (environ 7.7 millions d’euros pour l’envoi postal). Bisnode a insisté sur le fait que cela aurait assujetti le personnel de sa société à une charge de travail trop importante, à laquelle les resources de l’entreprise n’aurait pas pu subvenir sans menacer leurs activités commerciales en Pologne.
Selon le RGPD (l’article 14), si les personnes concernées n’ont pas fourni leurs données personnelles directement aux entreprises, celles-ci sont soumises à l’obligation d’informer ces personnes concernées en précisant la finalité du traitement de données. Une exception à cette règle existe dans les cas où l’effort nécessaire pour satisfaire cette règle serait disproportionné par rapport au traitement effectué, ou si cela pourrait compromettre la réalisation de l’objectif du traitement.
Malgré tout, l’Office de la Protection de Données Personnelles en Pologne a considéré que Bisnode n’était pas conforme au RGPD.
Le raisonnement de l’Office
L’Office de la Protection de Données Personnelles a rejeté les arguments de Bisnode. En effet, Bisnode avait démontré une connaissance claire du RGPD et de ses responsabilités en tant que responsable de traitement. L’Office a donc considéré que le fait de continuer à traiter des données personnelles était totalement contraire aux obligations de Bisnode en tant que responsable de traitement. Selon l’Office, le fait que les personnes concernées n’ont subi aucun préjudice n’est pas pertinent.
Dans cette affaire, de nombreuses personnes concernées ne savaient pas que leurs données personnelles faisaient l’objet d’un traitement. En omettant de les informer, Bisnode les a privé de leurs droits en vertu du RGPD, car ces personnes concernées n’avaient pas la possibilité de s’opposer au traitement de leurs données personnelles.
Pour l’Office de la Protection de Données Personnelles, le fait d’avoir contacté uniquement un faible pourcentage des personnes concernées par courriel était insuffisant. Selon l’Office, il existe des d’autres méthodes moins onéreuse et moins contraignantes que Bisnode aurait pu mettre en oeuvre afin de notifier les autres personnes concernées correctement.
Les autorités de protection des données - est-ce qu’elles deviennent VRAIMENT plus “strictes” ?
L’amende infligée à Bisnode pour ses manquements du RGPD s’élève au montant de 220 000 euros. Elle a pour but d’avoir un effet déterrant afin d’avertir les entreprises que le non-respect de leurs obligations peut coûter plus cher que les frais administratifs occasionnés par le respect des règles.
En revanche, dans sa décision, l’Office de la Protection de Données Personnelles a conservé l’anonymat de Bisnode. C’est l’entreprise elle-même qui a publié cette décision sur son site Internet, afin d’admettre ses manquements.
Cela montre que, même si les autorités de protection des données deviennent de plus en plus strictes, l’objectif n’est pas de mettre les entreprises en faillite, mais plutôt de garantir la protection des données personnelles et donc le respect du droit à la vie privée.
Conseils et astuces pour assurer votre conformité
Contactez les personnes concernées, si les données personnelles que vous utilisez ne sont pas obtenues des personnes concernées directement, ou bien si vous traitez des données personnelles que vous avez récolté sur le domaine public, vous avez une obligation légale d’en informer les personnes concernées. A titre d’exemple, si vous avez obtenu des informations personnelles à partir de profils de réseaux sociaux ou de sites de réseautage professionnels, il va falloir informer les personnes concernées de la finalité de vos activités de traitement et leur donner informer de leurs droits, y compris le droit de s’opposer au traitement. Dans la mesure du raisonnable, les personnes concernées doivent donc être en mesure de comprendre les potentiels effets du traitement de données, la méthode et durée du traitement, etc, ainsi que l’identité du responsable de traitement.
Assurez-vous d’informer toutes les décisions prises par votre société, notamment si vous considérez qu’il serait trop onéreux d’informer les personnes concernées de vos activités de traitement. N’oubliez pas de toujours conserver le raisonnement de vos décisions.
N’oubliez pas - bien que les informations soient accessibles au public, cela ne veut pas dire que vous n’auriez plus d’obligations en tant que responsable de traitement.
Comme toujours, si vous avez des questions sur vos obligations en tant que responsable du traitement de données ou toute autre question juridique, n’hésitez pas à nous contacter.
Article rédigé par Lily Morrison @ Gerrish Legal, septembre 2019