En infligeant une amende administrative à un bourgmestre pour utilisation de données personnelles à des fins électorales, l’autorité de contrôle véhicule un message selon lequel la protection des données est l’affaire de tous.

 

David Stevens, Président de l’APD commente :

« La protection des données personnelles est à la fois un état d’esprit et une pratique : le responsable du traitement doit toujours poser un regard critique sur l’utilisation qu’il souhaite faire des données à sa disposition. »

L’affaire portait sur l’envoi, par un bourgmestre, d’un courriel électoral personnalisé à partir de données dont il avait eu connaissance dans le cadre de sa fonction. Il avait utilisé des adresses électroniques visibles en copie d’un courriel que lui avait adressé un architecte au cours d’échanges sur un dossier portant sur une modification de lotissement. Au vu de ces éléments, la chambre contentieuse a conclu au non-respect d’un principe fondamental de la protection des données à caractère personnel, en l’espèce le traitement de données pour des finalités non compatibles avec leurs finalités initiales. Pour autant, le montant de l’amende, relativement modéré, prend en considération le nombre limité des personnes touchées, la nature, la gravité et la durée de l’infraction.

Dans une délibération du 24 juillet 2018, la formation restreinte de la CNIL, sanctionnait  l’Office Public de l’Habitat de Rennes pour utilisation des fichiers d’usagers à des fins politiques. Le président de l’Office, maire de la commune, avait envoyé à tous les locataires dont il disposait des adresses dans le cadre de ses fonctions, un courrier critique à l’égard d’une décision gouvernementale. Malgré les arguments avancés par le mis en cause, la CNIL avait considéré qu’un tel envoi ne revêtait pas une fonction purement informative et ne relevait, ni des missions légales du bailleur, ni des finalités principales d’un traitement de locataires. Les circonstances de l’affaire, en l’espèce le traitement intentionnel des données au mépris de leur finalité initiale et le nombre important de personnes concernées, l’avaient aussi amenée à évaluer le montant de la sanction (30 000 euros) et à décider de sa publicité.

Il ressort de ces deux décisions que le principe de loyauté dans la collecte des données et dans leur utilisation demeure le centre névralgique de la protection des données à caractère personnel.

Malgré les nouvelles procédures d’accountability qui s’imposent désormais aux responsables de traitements, les autorités de protection des données rappellent régulièrement au respect des principes fondateurs du dispositif.

 

Nos recommandations pour respecter les finalités de vos traitements de données personnelles

  • Le respect de la finalité initiale, autrefois apprécié à partir de la déclaration à la CNIL, le sera désormais au regard des finalités dont les intéressés ont été informés,
  • Veillez, de manière permanente, et pour toute utilisation des données à caractère personnel, à respecter le périmètre des finalités ayant justifié la collecte des données.

En cas de modification des finalités initialement envisagées :

  • Procédez à une nouvelle information des intéressés,
  • Veillez à la mise à jour de votre registre des activités de traitements,

Réévaluez la nécessité de conserver les données collectées si la finalité du traitement était amenée à être réduite.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

 

Nous contacter