L’Autorité de Protection des données belge (ci-après l'”APD”) impose une amende de 50.000 euros à l’entreprise dénommée “Service national de promotion des marques enfantines” ou encore “Family Service”.
Cette société commerciale dont l’activité principale est en fait la revente des données à caractère personnel (data broker) à d’autres sociétés commerciales se présentait comme une société offrant un service gratuit aux jeunes mamans en leur envoyant (après inscription) des “boites roses” contenant diverses promotions pour des produits qui les concernent ainsi que des informations utiles.
Les infractions commises par cette société comprennent notamment le manque de transparence de l’entreprise envers ses clients quant à ses activités de vente de données (via des transferts vers son réseau de partenaires commerciaux) et l’absence d’un consentement valide.
Contexte :
Le défendeur est une société de marketing qui distribue des «boîtes roses» aux consommateurs. Ces boites incluent des échantillons, des offres spéciales et des fiches d’information destinées aux futurs parents (en particulier les mères enceintes). Les offres et les échantillons contenus dans les «boîtes roses» ont été mis à disposition du défendeur par le réseau de partenaires du défendeur.
Concernant les données à caractère personnel des (futures) mères collectées par le défendeur lorsque de nouveaux consommateurs s’inscrivaient, il s’agissait des données suivantes : le nom de la mère, le prénom de la mère, la date de naissance du bébé, le sexe du bébé, le nom du bébé, l’adresse e-mail, rue et numéro de maison, code postal et ville.
Ces données à caractère personnel étaient ensuite transmises par le défendeur à des tiers (dits «partenaires commerciaux structurels») en échange des offres et échantillons susmentionnés. Ces partenaires commerciaux étaient en fait des courtiers en données (data brokers) qui traitaient les données pour des campagnes de marketing et les vendaient à d’autres tiers.
Les faits :
La plaignante avait rempli un formulaire d’inscription auprès du défendeur – afin de recevoir une boîte rose – par lequel elle a autorisé le traitement de ses données à caractère personnel.
La plaignante a par la suite décidé de retirer son consentement car elle ne souhaitait plus être contactée par des tiers au sujet des promotions de produits de puériculture.
Cependant, même après avoir retiré son consentement, la plaignante a quand même reçu encore des appels téléphoniques indésirables de partenaires commerciaux du défendeur dans le cadre de certaines promotions.
La plaignante a alors décidé d’introduire une plainte auprès de l’autorité belge de protection des données, alléguant que le défendeur avait transféré ses données à caractère personnel à des tiers, y compris des courtiers en données, sans avoir obtenu son consentement valable et sans fournir d’informations suffisantes par rapport au(x) traitement(s) envisagé(s) par le défendeur et les tiers auxquels ses données étaient transférées.
Discussion :
La discussion dans cette décision tourne principalement autour du (manque) d’informations données par le défendeur sur la vente et le traitement des données à caractère personnel par son réseau de partenaires commerciaux ainsi que sur la portée et la (absence de) validité du consentement donné par rapport au(x) traitement(s).
Décision de l’Autorité :
Le service d’inspection et la chambre de contentieuse de la DPA belge ont estimé que les violations suivantes ont été commises par le défendeur :
1) Manque d’information et de transparence sur le(s) traitement(s) envisagés.
Le défendeur a enfreint l’article 5, paragraphe 1, a) du RGPD ainsi que l’article 13 (manque de transparence) car le défendeur louait et / ou vendait des données à caractère personnel des consommateurs à des fins commerciales (via ses partenaires commerciaux) sans informer les consommateurs de ces traitements d’une manière claire et compréhensible.
Un facteur aggravant est le fait que les “boîtes roses” ont été distribuées via des gynécologues et des hôpitaux combinés, ce qui aurait pu amener les clients à croire que l’initiative provenait du secteur public, et non d’une entreprise privée dont le cœur de métier est le commerce des données à caractère personnel.
2) Absence de consentement valide pour traiter les données.
L’article 6 du RGPD, en particulier l’article 6 (1) (a) et (f) du RGPD (consentement libre) a également été violé par le défendeur, car il ne pouvait y avoir de consentement libre, spécifique, éclairé et sans ambiguïté donné par les consommateurs vu que ce consentement était :
- a) – clairement non informé/éclairé (sur les traitements ultérieurs par le réseau de partenaires);
- b) – non spécifique (le consentement à la réception des boîtes impliquait automatiquement le transfert de données);
- c) – non libre (car l’absence de consentement entraînait la perte de certains avantages).
3) Absence de mesures techniques et organisationnelles appropriées et période de conservation disproportionnée.
Violation de l’article 25 du RGPD, étant donné que le défendeur n’a pas pris les mesures techniques et organisationnelles appropriées pour garantir que seules les données personnelles nécessaires à chaque finalité spécifique du traitement sont traitées.
La période de conservation de 18 ans est disproportionnée par rapport au consentement initial et aux attentes raisonnables du plaignant et des autres parties concernées.
Pour le surplus, le défendeur n’avait pas conclu les contrats de sous-traitance nécessaires.
Sanctions :
Compte tenu du nombre de personnes concernées (la société traite des données relatives à 21,10% de la population belge), de la gravité de la violation et de la nature des données traitées (en particulier les données relatives aux enfants), la chambre contentieuse a décidé d’infliger au défendeur une amende de 50000 euros au défendeur et a ordonné à l’entreprise de se conformer au RGPD dans un délai de 6 mois.
Vous avez questions relatives à ce sujet, n’hésitez pas à me contacter.
Plus d’informations :
Belgian DPA imposes €50,000 Fine on Family Service | European Data Protection Board (europa.eu