L’ancien employeur des personnes concernées a reçu un courriel concernant d’une facture à payer pour obtenir une pension complémentaire.
Le contrat de travail ayant déjà pris fin, l’ancien employeur a demandé aux intéressés de prendre contact avec l’assureur de la pension complémentaire pour comprendre le motif de l’émission de la facture.
La compagnie d’assurance déclare qu’elle n’a pas été informée de la fin du contrat de travail entre les parties concernées et son ancien employeur et qu’elle a donc établi une nouvelle facture.
À cet égard, les personnes concernées estiment que leurs données à caractère personnel n’auraient pas dû être divulguées puisque le défendeur n’est pas un courtier d’assurance ou un titulaire de police.
La question qui se pose est de savoir si les données à caractère personnel des personnes concernées ont été autorisées à être divulguées par leur employeur à la compagnie d’assurance. Cette question a été traitée par l’autorité belge de protection des données.
Conformément à
l’article 6.1.f AVG
et à la jurisprudence de la CJUE
1
trois conditions cumulatives doivent être remplies pour que des données à caractère personnel puissent être traitées sur la base de
intérêts légitimes :
1. Critère de finalité : poursuite d’un intérêt légitime ;
2. Critère de nécessité : démontrer la nécessité du traitement pour atteindre la finalité ;
3. Équilibre des intérêts : les droits et libertés de la personne concernée ne doivent pas l’emporter sur l’intérêt légitime poursuivi par le responsable du traitement.
Chambre des litiges L’autorité belge de protection des données a examiné chaque critère dans son analyse :
1. Critère de ciblage : le GBA allègue que les données personnelles du plaignant ont été transférées à la compagnie d’assurance dans le cadre d’une mission confiée au défendeur par l’ancien employeur du plaignant. La première condition est donc remplie.
2. Mise en balance des intérêts (considérant 47 AVG) : il est important de tenir compte des attentes des personnes concernées. Après l’envoi de ladite facture, il s’est avéré que la compagnie d’assurance n’avait pas été informée de la résiliation du contrat de travail du plaignant. Dans ce contexte, il est raisonnable d’attendre du défendeur qu’il fournisse à la compagnie d’assurance les données personnelles qui révèlent l’origine de la facture. Ces données ont également été limitées aux éléments nécessaires pour déterminer l’origine de la à comprendre.
3.Critère de nécessité: pour satisfaire à la deuxième condition, il doit être démontré que le même résultat ne peut être obtenu par d’autres moyens moins intrusifs de traitement des données à caractère personnel. La Chambre de Résolution des Litiges est d’avis qu’en ce qui concerne l’objectif susmentionné, à savoir l’origine de la facture reçue au nom du plaignant, il ne pouvait être atteint d’une autre manière que par des échanges de courriers électroniques. La salle salle des litiges Belgique l’Autorité belge de protection des données dans son analyse chaque critère examiné :
Pour ces raisons, la Chambre des litiges de l’autorité belge de protection des données a décidé que l’employeur a respecté les conditions cumulatives prescrites à l’article 6 du l’article 6 du RGPD et a décidé il a décidé de ne pas de ne pas de ne pas donner suite.
