APD belge : pas de rétroactivité pour les accords sur le traitement des données

Introduction :

L’autorité belge de protection des données (APD) a conclu qu’un accord sur le traitement des données ne peut pas être appliqué rétroactivement. Cette position a été adoptée pour éviter de contourner l’article 28, paragraphe 3, du règlement général sur la protection des données (RGPD). En outre, l’autorité de contrôle a précisé que le responsable du traitement et le sous-traitant sont conjointement responsables de la conclusion de l’accord sur le traitement des données.

België GBA

FAITS :

Le 20 mai 2020, l’administrateur d’une commune, l’intéressé, a reçu une amende de stationnement pour une infraction.

Le 6 juillet 2020, l’intéressé a demandé des preuves de l’infraction au stationnement et a reçu plusieurs photos de son véhicule. Ils souhaitaient également obtenir des informations sur le traitement de leurs données personnelles ainsi que l’accord entre la municipalité (le responsable du traitement) et un tiers (le sous-traitant) qui a été utilisé pour fixer et percevoir la redevance.

Suite à la demande, la personne concernée a constaté qu’il n’existait pas d’accord de traitement des données au moment des faits.

Le 4 septembre 2020, la personne concernée a déposé une plainte contre le responsable du traitement et le sous-traitant pour violation de l’article 28, paragraphe 3, du RGPD, qui oblige les responsables du traitement à mettre en œuvre un accord sur le traitement des données.

Le 20 novembre 2020, l’autorité de protection des données a ouvert une enquête, qui a ensuite été transférée à l’inspection (SI).

Le 11 mai 2021, l’enquête du SI a été clôturée et l’affaire a été renvoyée au DPA.

L’IS a constaté que l’accord de sous-traitance entre le responsable du traitement et le sous-traitant n’avait pas été conclu avant le 27 juillet 2020.

L’enquête a révélé qu’aucun accord n’existait au moment du traitement des données de la personne concernée. Néanmoins, le contrat du 27 juillet 2020 contenait une clause rétrospective.

Accord de traitement des données défectueux et rétroactivité dans le cadre d’un litige

Le DPA belge a constaté des infractions aux articles 28, 14 et 12 de l’AVG. La DPA a souligné que l’article 28, paragraphe 1, du RGPD exige qu’un sous-traitant fournisse des garanties adéquates pour protéger les droits des personnes concernées.

L’article 28, paragraphe 3, de la loi sur la protection des données exige que les responsables du traitement mettent en œuvre un accord sur le traitement des données. Le DPA a conclu que l’ajout d’une clause rétrospective au contrat ne corrige pas l’absence de contrat au moment de l’événement.

Reconnaître cela pourrait contourner l’application des obligations de l’article 28, paragraphe 3, de la loi sur la protection des données, qui visent à sauvegarder les droits et les libertés des personnes concernées. L’AP a conclu que le responsable du traitement et le sous-traitant étaient tous deux responsables de la rédaction d’un accord sur le traitement des données en temps opportun.

Violations de l’obligation de transparence et de l’accord sur le traitement des données en vertu du GDPR

En outre, la DPA a constaté des violations pour manque de transparence au titre de l’article 12, paragraphe 1, du RGPD et de l’article 14 du RGPD, le responsable du traitement n’ayant pas respecté les obligations d’information au titre de l’article 14 du RGPD.

La commune a fait valoir que l’exception de l’article 14, paragraphe 5, point c), de l’AVG s’appliquait à elle. Elle se réfère à la loi du 22 février 1965, qui habilite les communes à percevoir des droits de stationnement pour les véhicules à moteur, et au décret du 22 janvier 2009 relatif à l’application des droits de stationnement.

La DPA a rejeté cette proposition, notant que les exceptions doivent être interprétées de manière restrictive. La législation citée par la municipalité ne contient aucune exception à l’obligation de déclaration. Le DPA a conclu que la législation citée par la municipalité n’était pas suffisamment spécifique. Elle a ajouté que même si l’exemption s’appliquait, le responsable du traitement était toujours tenu d’informer la personne concernée des sources et des destinataires de ses données à caractère personnel, sauf si la loi l’interdisait.

En conséquence, tant la commune que le tiers ont été réprimandés pour violation de l’article 28, paragraphe 3, de l’AVG, et la commune a été réprimandée pour violation de l’article 14 de l’AVG et de l’article 12, paragraphe 1, de l’AVG pour n’avoir pas pris les mesures appropriées afin d’informer pleinement la personne concernée.

Delen:

Meer berichten

gdpr audit

Un audit dans le NIS2

Introduction : L’Union européenne a réagi en introduisant la directive NIS2, une mise à jour de la directive originale de 2016 sur

Partners

©DPO Associates Alle rechten voorbehouden. Privacy verklaringCookie verklaring | Algemene voorwaarden