Rappels des limites du rôle du DPO par l'APD

La Décision quant au fond 18/2020 du 28 avril 2020 guide les responsables du traitement quant au rôle du DPO, notamment en termes d'indépendance, lors d'une fuite de données,...

Dans sa Décision ANO 04/2019 du 28 mai 2019, l'APD rappelait déjà les limites à l'intervention du DPO dans l'exercice des droits des personnes concernées.

Connaissez-vous cette décision datant de près d'une année et qui aborde également le rôle du DPO à propos de l'envoi d’emails non sollicités et donc de l'excercice des droits des personnes concernées?

1. Quelle est la situation?

Le plaignant a reçu plusieurs courriels non sollicités d’une agence de recrutement.

Il va adresser une demande d'accès particulièrement complète.

N’ayant reçu que des réponses partielles (selon elle), la personne concernée va adresser un second courriel particulièrement détaillé au responsable du traitement.... Puis saisir la chambre contentieuse.

Objet de la plainte:

La plainte concerne la communication d’informations incomplètes par le responsable du traitement dans le cadre de l’exercice du droit d’accès (art. 15 du RGPD), ainsi que le traitement des données à caractère personnel de la personne concernée sans son consentement (art. 7 du RGPD).

Sur la base des informations fournies par le responsable du traitement, le Service d’Inspection a pu constater que le responsable du traitement avait donné suite en temps opportun à l’exercice du droit d’accès de la personne concernée et avait donc rempli ses obligations en vertu des articles 12.4 et 15 du RGPD.

En raison d’une erreur technique, la personne concernée a toutefois encore reçu un e-mail du responsable du traitement sur la base d’un dossier de sauvegarde (à des fins d’archivage et de sécurité) après qu’elle se soit déjà désinscrite pour la newsletter du responsable du traitement.

Le responsable du traitement affirme que les mesures nécessaires ont été prises pour éviter qu’un tel problème se reproduise à l’avenir.

L’enquête du Service d’Inspection a toutefois également révélé que dans le cadre de l’exercice des droits dont dispose la personne concernée, le délégué à la protection des données adopte une position qui n’est pas conforme à l’article 38 du RGPD, puisqu’il prend lui-même la décision d’effacer des données à caractère personnel.

Le délégué à la protection des données a en effet informé la personne concernée qu’il avait décidé de l’effacer de la liste de mailing du responsable du traitement (art. 17 du RGPD), bien que la personne concernée exerce uniquement son droit d’accès (art. 15 du RGPD), si bien qu’à l’avenir, la personne concernée ne recevra plus d’e-mails du responsable du traitement.

2. DECISION

La Chambre Contentieuse de l'Autorité de protection des données décide, après délibération :

- d’avertir le responsable du traitement du fait que le traitement envisagé viole l’article 38.6 du RGPD, en vertu de l’article 58.2.a) du RGPD et de l’article 95, § 1er, 4° de la loi du 3 décembre 2017 ;

- de publier la présente décision sur le site Internet de l'Autorité de protection des données, en vertu de l'article 95, § 1er, 8° de la loi du 3 décembre 2017, certes après anonymisation.

3. BASE JURIDIQUE

Articles du Règlement Général sur la Protection des Données (chiffres seuls)

Code INDUCTIO-DECISION (ID) : x – x– 7-14-15-38.4.-38.6.- 58.2.a)-60.-RGPD)

Articles de la loi du 3 DECEMBRE 2017 portant création de l'Autorité de protection des données (chiffres seuls)

Art. 58/60/61/62/95/98/99/100, §1, 5°/108.

4. MOTIVATION

Bien que l’article 38.4. du RGPD dispose que la personne concernée peut prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de ses données à caractère personnel et à l’exercice de ses droits, la décision relative à l’exercice des droits de la personne concernée doit être prise par le responsable du traitement en vertu des articles 12 et 17 du RGPD.

5. TEXTE COMPLET ARTICLES RGPD DOS-2019-00352 – ANNEXE 2

Article 7

EU RGPD

"Conditions applicables au consentement"

1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.

Article 14

EU RGPD

"Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée"

1. Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;

b) le cas échéant, les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d) les catégories de données à caractère personnel concernées;

e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;

f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée:

a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

b) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

c) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données;

d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

e) le droit d'introduire une réclamation auprès d'une autorité de contrôle;

f) la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public;

g) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;

b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

c) s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

4. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5. Les paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où:

a) la personne concernée dispose déjà de ces informations;

b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l'article 89, paragraphe 1, ou dans la mesure où l'obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

c) l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

d) les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

Article 15

EU RGPD

"Droit d'accès de la personne concernée"

1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes:

=> Article: 12

a) les finalités du traitement;

b) les catégories de données à caractère personnel concernées;

c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;

f) le droit d'introduire une réclamation auprès d'une autorité de contrôle;

g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées, en vertu de l'article 46, en ce qui concerne ce transfert.

3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement.

4. Le droit d'obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d'autrui.

Article 38

EU RGPD

"Fonction du délégué à la protection des données"

(…)

4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits que leur confère le présent règlement.

(…)

6. Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.

Article 58

EU RGPD

"Pouvoirs" (…)

2. Chaque autorité de contrôle dispose du pouvoir d'adopter toutes les mesures correctrices suivantes:

a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement;

Article 60

EU RGPD

"Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées"

1. L'autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s'efforçant de parvenir à un consensus. L'autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.

2. L'autorité de contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l'article 61 et peut mener des opérations conjointes en application de l'article 62, en particulier pour effectuer des enquêtes ou contrôler l'application d'une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.

3. L'autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d'obtenir leur avis et tient dûment compte de leur point de vue.

4. Lorsqu'une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l'égard du projet de décision, l'autorité de contrôle chef de file, si elle ne suit pas l'objection pertinente et motivée ou si elle est d'avis que cette objection n'est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l'article 63.

5. Lorsque l'autorité de contrôle chef de file entend suivre l'objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d'obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.

6. Lorsqu'aucune des autres autorités de contrôle concernées n'a formulé d'objection à l'égard du projet de décision soumis par l'autorité de contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l'autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.

7. L'autorité de contrôle chef de file adopte la décision, la notifie à l'établissement principal ou à l'établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L'autorité de contrôle auprès de laquelle une réclamation a été introduite informe de la décision l'auteur de la réclamation.

8. Par dérogation au paragraphe 7, lorsqu'une réclamation est refusée ou rejetée, l'autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie à l'auteur de la réclamation et en informe le responsable du traitement.

9. Lorsque l'autorité de contrôle chef de file et les autorités de contrôle concernées sont d'accord pour refuser ou rejeter certaines parties d'une réclamation et donner suite à d'autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. L'autorité de contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement, la notifie à l'établissement principal ou à l'établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l'État membre dont elle relève et en informe l'auteur de la réclamation, tandis que l'autorité de contrôle de l'auteur de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la notifie à cette personne et en informe le responsable du traitement ou le sous-traitant.

10. Après avoir été informé de la décision de l'autorité de contrôle chef de file en application des paragraphes 7 et 9, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l'Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l'autorité de contrôle chef de file, qui informe les autres autorités de contrôle concernées.

11. Lorsque, dans des circonstances exceptionnelles, une autorité de contrôle concernée a des raisons de considérer qu'il est urgent d'intervenir pour protéger les intérêts des personnes concernées, la procédure d'urgence visée à l'article 66 s'applique.

12. L'autorité de contrôle chef de file et les autres autorités de contrôle concernées se communiquent par voie électronique et au moyen d'un formulaire type, les informations requises en vertu du présent article.

Date de la décision: 28 MAI 2019 Numéro de dossier: DOS-2019-00352

Parties à la cause: NON PUBLIE

Président : Hielke Hijmans.

Membre(s) de la chambre contentieuse ayant siégé :

La chambre contentieuse est composée de six membres et du directeur de la chambre contentieuse, Hielke Hijmans.

Décision disponible sur le site APD (chambre contentieuse)? OUI X NON

Langue de la décision originaire: FRANÇAIS NEERLANDAIS X

Traduction de la décision en d’autres langues? OUI X NON

(Si OUI, lesquelles – joindre un lien hypertexte par langue): Français

MATRICE 1 - Familles de situations rencontrées dans l’entreprise :

1. Cookies et internet

X Code INDUCTIO-DECISION (ID) : 1-

2. Employés et RGPD

Code INDUCTIO-DECISION (ID) : 2-

3. Exercice des droits des personnes concernées

X Code INDUCTIO-DECISION (ID) : 3-

4. Rôle du DPO et comment l’assister au mieux

X Code INDUCTIO-DECISION (ID) : 4-

5. Violations des données et obligations des RT/ST

Code INDUCTIO-DECISION (ID) : 5-

MATRICE 2 - 5 divisions du RGPD selon le Data Protection Institute© :

1. Concepts et champ d’application

Code INDUCTIO-DECISION (ID) : x - 1

2. Admissibilité (bases licites du traitement)

X Code INDUCTIO-DECISION (ID) : x - 2

3. Principes

Code INDUCTIO-DECISION (ID) : x - 3

4. Droits de la personne concernée

X Code INDUCTIO-DECISION (ID) : x - 4

5. Obligations

Code INDUCTIO-DECISION (ID) : x - 5

Source : Linkedin