C’est en effet ce qu’a rappelé la Chambre contentieuse de l’Autorité de Protection des Données (APD) dans sa décision du 8 décembre 2021.
De quoi s’agissait-il ?
Début décembre 2019, le plaignant avait reçu d’une entreprise de construction un courrier personnalisé l’invitant à demander une offre de prix sans engagement. Il ressortait clairement du contenu de ce courrier que cette entreprise était au courant que cette personne avait des projets de construction ou de rénovation, bien qu’elle ne fût pas l’un de ses clients.
A deux reprises, le plaignant adressa à cette société une demande visant à savoir comment ses coordonnées avaient été obtenues, ainsi qu’à les supprimer, mais en vain.
En désespoir de cause, il déposa plainte auprès de l’APD, laquelle, dans sa décision n° 69/2020 du 23 octobre 2020, ordonna à la société concernée de faire droit à la demande du plaignant endéans le mois, ce qu’elle ne fit pas.
Par la suite, cette entreprise expliqua qu’elle avait acheté ces données auprès d’une autre société et que celles-ci provenaient de publications sur des guichet publics dans le cadre de demandes officielles de permis d’urbanisme. Elle croyait dès lors que ces données avaient été valablement obtenues (§§15-17).
Bien que l’entreprise en question effaça ces données, l’APD a néanmoins considéré qu’elle avait commis plusieurs manquements au Règlement Général européen sur la Protection des Données (RGPD).
Lesquels ?
Elle n’a pas transmis, en temps et en heure, toutes les informations requises lorsque des données à caractère personnel n’ont pas été collectées auprès de la personne concernée, ainsi que le stipule l’article 14 du RGPD (§§30-38). L’APD insiste plus particulièrement sur la nécessité d’y satisfaire au plus tard dès le premier contact avec cette personne (§33), tandis qu’il ne suffit pas de se fonder sur la prétendue « régularité » de la base de données qui a été achetée (§36). A cet égard, l’APD se réfère notamment à la recommandation qu’elle a publiée en 2020 en matière de marketing direct et qui stipule notamment qu’il appartient au client d’une telle base de données de s’assurer de l’origine des données, de la manière dont celles-ci ont été collectées, sur quelle base juridique, par qui, pour quelles finalités, pour quelle durée et quels traitements (§37).
Le second manquement concerne l’absence de réaction dans les délais légaux à l’exercice par le plaignant de son droit d’accès, de son droit à l’effacement et de son droit d’opposition, tels que visés aux articles 12 (3), 15, 17 et 21 du RGPD. (§§39-49).
Quelle sanction ?
L’APD considère qu’il n’est pas ici question d’une violation mineure du RGPD et que même s’il s’agit d’une première infraction commise par la société en question, c’est une amende qu’il convient d’imposer, et non un rappel à l’ordre par exemple. S’appuyant sur l’article 83 du RGPD et la jurisprudence de la Cour des marchés, elle relève notamment la gravité de l’infraction et la négligence coupable de la société qui, pendant longtemps, n’a pas donné suite aux demandes du plaignant (§52), raison pour laquelle c’est une amende de 10.000,00 euros qui lui est infligée.
La décision n° 137/2021 est disponible en néerlandais sur :
La décision n° 69/2020 est disponible en néerlandais et en français sur :
La recommandation n°01/2020 du 17 janvier 2020 sur le marketing direct est disponible sur :
https://autoriteprotectiondonnees.be/publications/recommandation-n-01-2020.pdf