RGPD – Soyez vigilants avant d’utiliser le numéro de registre national

En septembre 2019, la Chambre contentieuse de l'Autorité de protection des données (APD) avait sanctionné un commerçant pour l’utilisation disproportionnée de la carte d'identité électronique en vue de créer une carte de fidélité.


Nathalie Ragheno, CENTRE DE COMPÉTENCE DROIT & ENTREPRISE
16 novembre 2021

Un client avait jugé cette exigence contraire au RGPD et déposé plainte auprès de l'APD. Suite à cette plainte, le commerçant qui  proposait une carte de fidélité sur base de l’enregistrement des données de la carte d’identité électronique avait été condamné à une amende administrative de 10.000 EUR, et ce pour les motifs suivants. La carte d’identité électronique contient de nombreuses données sur son titulaire et l’utilisation de ces données, dont le numéro de registre national, sans consentement du client, est considérée comme disproportionnée au regard du service proposé à savoir l’octroi d’une carte de fidélité. Le numéro de registre national est manifestement une donnée non pertinente, qui ne peut être traitée dans le cadre de l’octroi d’une simple carte de fidélité. En outre, en n'offrant aucune alternative à l’utilisation de la carte d'identité du client, le commerçant ne lui a pas permis d'exprimer librement son consentement.

Cette décision avait été, fin 2019, contestée devant la Cour des marchés, juridiction d’appel des décisions de l’APD. Celle-ci avait annulé la décision incriminée et ordonné le remboursement des 10.000 euros. Le principal motif invoqué par la Cour des marchés était que le plaignant n’avait pas fourni sa carte d’identité au commerçant, de sorte que celui-ci n’avait pas effectivement traité ses données.

La Cour de cassation saisie a ensuite annulé l’arrêt de la Cour des marchés, qui devra prendre une nouvelle décision dans l’affaire.

La Cour de cassation a reconnu qu’une personne a le droit d'introduire une réclamation auprès de l'APD contre une pratique de traitement qui, selon elle, porte atteinte à ses droits. Cela s'applique également lorsque les données à caractère personnel de la personne concernée n'ont pas été traitées, notamment lorsque celle-ci a refusé d’y consentir. Selon la Cour de cassation, cela ne prive pas la personne concernée du droit d'introduire une réclamation contre cette pratique.

Il est intéressant de noter que, suite à la décision de la Cour des marchés, l’APD a adapté ses méthodes de travail, en envoyant désormais un formulaire de sanction au responsable de traitement lorsqu'elle a l'intention de lui imposer une amende. Elle motive également de manière plus concrète et plus explicite le montant de chaque amende dans ses décisions, en fonction de toutes les circonstances de l'infraction. D’autres autorités de protection des données, telles que l'autorité néerlandaise par exemple, a adopté des règles et des lignes directrices pour la détermination des amendes administratives, de sorte que les responsables de traitements savent à l'avance à quoi ils s’exposent. La FEB plaide pour la mise en place d’un privacy ruling comme cela existe en matière fiscale. Ce serait certainement une solution constructive et efficace pour les responsables de traitements, garante d’une plus grande sécurité juridique.

Nos partenaires

Domaines d'action

Un environnement entrepreneurial optimal est essentiel à une économie saine et à une croissance durable. La FEB entend contribuer à la création et au maintien d'un tel environnement, notamment en suivant attentivement tous les dossiers qui touchent de près la vie des entreprises. Voici, regroupés sous 18 thèmes, les dossiers sur lesquels elle concentre ses réflexions et initiatives.


Newsletters FEB

Inscrivez-vous et recevez chaque semaine, dans votre boîte mail, les derniers articles parus.