Comité Europe de Protección de Datos

First Belgian GDPR fine

Tuesday, 28 May, 2019
be

On Tuesday 28 May 2019, the Belgian DPA imposed its first financial penalty since the entry into application of the GDPR. The administrative fine amounts to EUR 2 000 and concerns the misuse of personal data for election purposes. Although the fine is modest, the message is not: Data protection is an important matter to us all, but data controllers must assume their responsibility, especially if they have a government mandate.


L’Autorité de protection des données prononce une sanction dans le cadre d’une campagne électorale

Ce mardi 28 mai 2019, l’Autorité de protection des données (APD) a prononcé sa première sanction financière depuis l’entrée en vigueur du RGPD. L’amende administrative imposée s’élève à 2000 euros et vise l’utilisation abusive de données personnelles par un bourgmestre à des fins de campagne électorale. Si l’amende est modérée, son message est important : la protection des données est l’affaire de tous, et les responsables de traitement doivent prendre leurs responsabilités, surtout quand ils détiennent un mandat public.

L’affaire : envoi de courriel électoral personnalisé par un mandataire public

L’APD a reçu une plainte concernant l’utilisation par un bourgmestre de données obtenues dans le cadre de l’exécution de sa fonction à des fins de campagne électorale.

Les plaignants étaient entrés en contact avec le bourgmestre de la commune via leur architecte dans le cadre d’une modification de lotissement. L’architecte avait, à cette occasion, contacté le bourgmestre par courrier électronique avec en copie les adresses email des plaignants. La veille des élections communales du 14 octobre 2018, le bourgmestre avait alors utilisé la fonction « Reply » de l’email afin d’envoyer un message électoral aux plaignants.

Les deux parties ont été entendues par la Chambre Contentieuse de l’APD ce 28 Mai 2019. Suite à cette audition, la chambre a conclu qu’une infraction au RGPD avait bien été commise. 

Non-respect du principe de finalité en protection des données

Le Règlement général sur la protection des données (RGPD) précise que les données collectées par un responsable de traitement (dans ce cas-ci : les adresses emails obtenues par le bourgmestre) doivent être collectées pour des finalités déterminées et ne peuvent être traitées ultérieurement de manière incompatible avec les finalités en question. La réutilisation de données obtenues dans le cadre d’un projet urbanistique à des fins de campagne électorale contrevient donc à ce principe de finalité et constitue une infraction au RGPD.

La Chambre Contentieuse de l’APD considère que le respect du principe de finalité est une des règles cruciales du RGPD et que les détenteurs d’un mandat public (comme les bourgmestres) à qui les citoyens ont confié des données personnelles doivent être particulièrement vigilants. Il faut qu’ils prennent conscience que les données acquises dans le cadre de la fonction publique ne peuvent jamais être réutilisées à des fins personnelles.  

Prenant cependant en considération le nombre limité des personnes touchées, ainsi que la nature, la gravité et la durée de l’infraction, la Chambre contentieuse a prononcé une réprimande ainsi qu’une sanction financière sous la forme d’une amende modérée de 2000 euros.

« L’utilisation de données personnelles par des personnalités politiques à des fins de campagne électorale est une question qui préoccupe beaucoup les citoyens. Il est important de rappeler que les mandataires publics doivent respecter la législation », explique Hielke Hijmans, Président de la Chambre Contentieuse de l’APD.

Le RGPD : un règlement applicable à tous

La décision de la Chambre Contentieuse constitue la première sanction financière prononcée par l’Autorité de protection des données belge et tombe un mois seulement après l’entrée en fonction de son nouveau comité de direction. Si l’amende est modérée, son message est important : la protection des données est l’affaire de tous.

Hielke Hijmans précise:  « Le respect du RGPD vaut pour tous les responsables du traitement, et très certainement pour les détenteurs d’un mandat public. On s’attend à ce qu’un bourgmestre ait connaissance de la réglementation et respecte ses obligations

David Stevens, Président de l’APD commente : « La protection des données personnelles est à la fois un état d’esprit et une pratique : le responsable du traitement doit toujours poser un regard critique sur l’utilisation qu’il souhaite faire des données à sa disposition. »

To read the full decision in Dutch, click here

For further information, please contact the Belgian DPA: contact@apd-gba.be