European Data Protection Board

The Belgian Data Protection Authority imposes two new fines

Thursday, 28 November, 2019
be

The Belgian Data Protection Authority has imposed a fine of €5000 on a mayor and a municipal officer in two separate cases. These fines were imposed after they improperly used personal information to send political advertisements in order to be reelected during the 2018 local elections in Belgium. For the Belgian Litigation Chamber, the behaviour of people who hold a public mandate should be exemplary.


L’ Autorité de protection des données (APD) a prononcé deux amendes administratives de 5000 euros chacune dans deux dossiers séparés. Celles-ci sanctionnent l’utilisation abusive de données personnelles par un bourgmestre et un échevin en vue de leur réélection lors de la campagne électorale d’octobre 2018. Hielke Hijmans, Président de la Chambre Contentieuse de l’APD : « La qualité de mandataire public doit s’accompagner d’un comportement exemplaire au regard de la législation.»

Les deux dossiers : envoi de courrier électoral personnalisé non conforme aux règles de protection des données

Le premier dossier porte sur une plainte concernant l’utilisation par un bourgmestre sortant de données obtenues dans le cadre de l’exécution de sa fonction à des fins de campagne électorale. Ces données de contact figuraient en effet sur une liste comprenant 476 personnes ayant fait appel à lui  en sa qualité de bourgmestre de 2012 à 2018.

Le second dossier porte sur l’envoi par un échevin sortant d’un courrier électoral à une liste de clients obtenue dans le cadre d’un métier qu’il exerçait en parallèle de son mandat public. Suite à l’enquête du Service d’inspection de l’Autorité de protection des données, il fut établi que 654 personnes étaient concernées.
L’APD rappelle que les responsables du traitement doivent respecter le principe de finalité : les données collectées par un responsable de traitement doivent être collectées pour des finalités déterminées et ne peuvent être traitées ultérieurement de manière incompatible avec les finalités en question. Réutiliser un fichier client ou des données obtenues dans le cadre d’un mandat public à des fins de publicité électorale, alors que ce n’est la finalité de départ, est donc une infraction au RGPD.

Après avoir entendu les différentes parties et analysé leurs arguments, la Chambre Contentieuse a donc décidé d’imposer à l’échevin et au bourgmestre sortants une sanction financière de 5000 euros, ainsi que de prononcer une réprimande à leur encontre.

Hielke Hijmans, Président de la Chambre Contentieuse de l’APD rajoute : « La qualité de mandataire public doit s’accompagner d’un comportement exemplaire au regard de la législation. Le fait que les défendeurs aient été échevin et bourgmestre au moment des faits renforce la gravité du manquement. Le fait que des centaines de personnes soient concernées a également été pris en compte dans notre décision. »

L’utilisation de données personnelles par des personnalités politiques à des fins de campagne électorale est une question qui préoccupe beaucoup les citoyens, l’APD a reçu plusieurs questions et plaintes suites aux dernières élections communales.  En mai 2019, l’APD avait déjà émis une amende dans un cas similaire.

La protection des données personnelles comme garante de la démocratie
Les faits constatés sont d’autant plus graves qu’ils sont commis par des mandataires publics, et tout particulièrement dans le contexte électoral.

L’EDPB (Comité Européen à la Protection des données) a récemment rappelé que le respect des règles de protection des données est essentiel à la protection de la démocratie. Il s’agit du seul moyen de préserver la confiance des citoyens et l’intégrité des élections. Le scandale Cambridge Analytica en est un flagrant exemple.
Hielke Hijmans : « Les courriers envoyés consistaient à inciter les destinataires à voter pour un candidat. Même si c’est le but d’une campagne électorale, le respect des lois dans ce contexte est particulièrement important. Ce n’est pas la première fois que nous sanctionnons des manquements à la législation sur les données personnelles dans le cadre d’une campagne électorale, notre message est clair : cette pratique n’est pas acceptable. »

L’APD a récemment lancé un site web dédié aux citoyens qui a pour but d’expliquer les risques individuels et collectifs liés à la perte de contrôle sur les données personnelles : www.maitrisermesdonnees.be.

David Stevens, Président de l’APD, explique : « Les règles en matière de protection des données personnelles ont notamment pour but de préserver la liberté de chaque citoyen à faire des choix libres. Ceci ne vaut pas seulement pour le secteur commercial, mais aussi, voire tout particulièrement,  pour le secteur public qui doit montrer l’exemple. »

L’APD rappelle qu’elle possède sur son site web un dossier dédié aux élections.

Si un citoyen a le sentiment que ses droits en matière de protections des données n’ont pas été respectés, il peut porter plainte via cette page.

To read the full press release in Dutch, click here

For further information, please contact the Belgian DPA: contact@apd-gba.be