Amende infligée à un élu local wallon à la suite de l’utilisation illicite de données à caractère personnel
L’Autorité de protection des données vient d’infliger à un mandataire local wallon une amende de 5.000 euros pour avoir constitué une liste de coordonnées de citoyens l’ayant contacté au cours de son précédent mandat et avoir adressé à ces citoyens un courrier de propagande électorale, ne respectant pas ainsi le principe de finalité.
Il est reproché à un mandataire local d’avoir compilé entre 2012 et 2018, au sein d’une « liste complémentaire », « les coordonnées de citoyens qui ont demandé un rendez-vous ou lui ont écrit afin d’exposer leurs doléances dans le but d’obtenir une information, une aide ou un avis dans un cas qui les préoccupe ». Le mandataire a ensuite croisé cette liste complémentaire et la liste électorale pour adresser aux citoyens concernés (476) un courrier de propagande électorale en vue des élections communales de 2018.
La décision de l’Autorité de protection des données (ci-après, l’APD) est intéressante à plusieurs égards.
Tout d’abord, elle circonscrit la compétence de l’APD aux seules questions liées à la protection des données à caractère personnel et donc pas à celle du respect ou non du règlement d’ordre intérieur du Conseil communal ou à celle de la validité d’une décision d’irrecevabilité d’une demande d’interpellation citoyenne.
Ensuite, elle rappelle que le principe de finalité est un principe angulaire de la protection des données, consacré dès 1981 par différents textes réglementaires et repris aujourd’hui dans le Règlement général de la protection des données (ci-après, le RGPD). L’APD réfute l’argument du mandataire local selon lequel le RGPD est une réglementation nouvelle qu’il ne maîtrisait pas, en rappelant que le principe de finalité existe depuis l’entrée en vigueur de la réglementation ayant précédé le RGPD[1], soit depuis plus de 25 ans.
Enfin, l’APD insiste sur la qualité de bourgmestre dont elle estime pouvoir exiger un comportement exemplaire en ce compris dans le domaine de la protection des données, tout particulièrement dans un contexte électoral.
L’APD rappelle que le principe de finalité, logé à l’article 5, paragraphe 1er, b) du RGPD, « exige que les données soient collectées pour des finalités déterminées, explicites et légitimes, et ne soient pas traitées ultérieurement de manière incompatible avec ces finalités ». « Le traitement ultérieur de données à caractère personnel pour d'autres finalités que celle(s) pour laquelle (lesquelles) ces données ont été collectées initialement n'est autorisé » que sous certaines conditions très strictes, non rencontrées en l’espèce. En d’autres mots, si le mandataire a été amené à aider certains citoyens au cours de son mandat, il n’est pas autorisé à les solliciter en période électorale en croisant le registre électoral avec sa propre base de données.
L’APD reproduit dans sa décision des extraits issus de sa note « Elections » publiées dès le début des années 2000 et mise à jour en suite du RGPD[2] :
- « Dans cette optique, il n'est donc pas permis de réutiliser les données à caractère personnel enregistrées dans les fichiers précités [soit tant des fichiers publics que professionnels par exemple] dans un but de propagande électorale. Un tel traitement est incompatible avec les finalités pour lesquelles ces données ont été initialement récoltées, ce qui est punissable en vertu de l'article 83.5 du RGPD » ;
- « A titre d'exemple, les données à caractère personnel de citoyens qui ont été obtenues dans le cadre de l'exercice d'un mandat échevinal ne peuvent pas être réutilisées pour l'organisation d'une campagne électorale. Il s'agit alors d'un usage abusif d'informations obtenues de manière licite dans le cadre de l'exercice d'un mandat échevinal. Une telle utilisation de données à caractère personnel est non seulement interdite en raison du principe de limitation des finalités mais rompt l'égalité entre les partis politiques et l'égalité entre les candidats. La législation vise à traiter tous les candidats sur un pied d'égalité en leur donnant accès aux mêmes données, à savoir celles figurant sur les listes des électeurs » (nous soulignons).
Cette décision n’est pas la première en matière de pouvoirs locaux, l’APD ayant déjà sanctionné un mandataire flamand au printemps dernier pour avoir réutilisé des coordonnées issues d’un dossier d’urbanisme pour envoyer un courrier de propagande politique.
[1] Loi du 8.12.1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, M.B., 18.3.1993.
[2] Disponible sur le lien suivant :
https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/Note_elections_RGPD.pdf
Notices inforum
Décision 10/2019 [rel. envoi de courrier électoral personnalisé non conforme aux règles de protection des données]
Lire aussi en Management de la donnée
Formations - Management de la donnée
- Déployer l'IA - L’enjeu de la gestion de vos données et les impacts internes
- Plateforme DPD
- Cybersécurité : mails, publicités frauduleuses, ... ne vous faites plus piéger
- En tant que DPO, comment mener le projet de protection des données à caractère personnel de mon organisation ?
- La gestion des données à caractère personnel : obligations et enjeux pour les administrations locales
- Open data : quels principes et quelles obligations pour les autorités publiques locales?
- Comment garantir la protection des données sensibles de votre personnel ?
- Comment mettre en place le registre de traitement de mon organisation ?
- Comment protéger les données à caractère personnel traitées par votre service Population/Etat civil ?
- Comment se préparer à un contrôle de l’Autorité de protection des données ?
- Comment veiller au respect de la réglementation RGPD dans vos contrats et conventions ?
- Focus sur l'analyse d’impact
- Que faire en cas de fuite de données à caractère personnel ?
