Conseil pour la trans­pa­rence et la protec­tion des données d’Andalousie, déci­sion RPS-2023/001 du 10 janvier 2023. 

Contexte 

En Espagne, il existe des auto­ri­tés régio­nales de protec­tion des données, notam­ment en Andalousie, Catalogne et à Madrid. Ces auto­ri­tés régio­nales sont des auto­ri­tés admi­nis­tra­tives indé­pen­dantes dotées d’une person­na­lité juri­dique qui agissent en toute indé­pen­dance par rapport aux auto­ri­tés publiques dans l’exercice de leurs fonc­tions. 

Le 10 janvier dernier, l’Autorité de protec­tion des données d’Andalousie (Consejo de Transparencia y Protección de Datos de Andalucia) a donné un aver­tis­se­ment à la mairie de Jerez de la Frontera pour viola­tion de l’art. 6 RGPD.  

À l’origine de cette affaire, un homme a reçu une noti­fi­ca­tion de la mairie de Jerez de la Frontera qui fait état d’une saisie de la pension qu’il perçoit de l’Institut natio­nal de la sécu­rité sociale, mais l’élément qui attire l’attention de l’Autorité est la présence d’informations rela­tives à l’épouse du plai­gnant sans le consen­te­ment de cette dernière.  

En effet, la noti­fi­ca­tion fait état d’une dette et de données d’ordre écono­mique et patri­mo­nial de l’épouse. Cette commu­ni­ca­tion est consi­dé­rée par le plai­gnant comme dépour­vue de base légale en raison du fait que la dette en ques­tion porte sur un bien immo­bi­lier acquis par son épouse, anté­rieu­re­ment à la conclu­sion de leur mariage, lequel est régi par le régime de la sépa­ra­tion de biens.  

Conformément à la loi espa­gnole sur la protec­tion des données (LOPDGDD) et, plus spéci­fi­que­ment, ses art. 37 et 65, l’Autorité a trans­mis la réclama­tion au DPO de la Mairie. Cette dernière s’est vu impar­tir un délai d’un mois afin de commu­ni­quer la réponse four­nie à ladite récla­ma­tion ainsi que les actions réali­sées en lien avec celle-ci.  

À la suite d’une procédure d’enquête préli­mi­naire, l’Autorité a ouvert une enquête pour viola­tion présu­mée de l’obligation de licéité du trai­te­ment des données et l’a noti­fiée à la mairie. 

En réponse, le respon­sable du trai­te­ment fait notam­ment part de l’application d’une présomp­tion d’indivision entre les époux et, par consé­quent, du carac­tère de débi­teur soli­daire du plai­gnant. Au surplus, il indique à l’Autorité que le trai­te­ment dont il est ques­tion repose sur un inté­rêt public fondé sur la légis­la­tion en vigueur.  

Au vu de ces éléments, l’Autorité consi­dère, à juste titre, que la mairie n’a réalisé aucune véri­fi­ca­tion quant au régime matri­mo­nial unis­sant les époux avant d’engager une procé­dure de saisie à l’encontre du plai­gnant.  

Les données consul­tées et commu­ni­quées par la mairie, à savoir, les noms et prénoms, le docu­ment d’identité, les données écono­miques patri­mo­niales, les dettes contrac­tées par des tiers, consti­tuent bel et bien des données person­nelles soumises aux dispo­si­tions du RGPD.  

L’Autorité retient que le trai­te­ment mentionné par l’époux est double, – d’une part, il y a un trai­te­ment effec­tué par la mairie à partir d’informations dont elle est respon­sable en sa qualité d’organe de recou­vre­ment en commu­ni­quant les données de la débi­trice à l’époux dans le cadre d’une procé­dure dans laquelle il n’est pas concerné, et – d’autre part, la demande de commu­ni­ca­tion des données finan­cières de l’époux effec­tuée par la mairie auprès d’une autre admi­nis­tra­tion après l’avoir consi­déré, à tort, comme faisant partie de la procé­dure de recou­vre­ment susmen­tion­née. 

Quant au premier trai­te­ment 

Après avoir rappelé que l’art. 6 par. 1 RGPD établit les condi­tions dans lesquelles le trai­te­ment de données person­nelles est licite, l’Autorité fait état du devoir de colla­bo­ra­tion entre les admi­nis­tra­tions publiques (art. 141 de la loi 40/​2015 du 1er octobre rela­tive au régime juri­dique du secteur public) qui est notam­ment appli­cable aux organes de l’administration fiscale qui ont pour obli­ga­tion de noti­fier, égale­ment, l’époux lorsqu’une saisie de biens porte sur des biens matri­mo­niaux (art. 94 et 170 de la loi fiscale géné­rale 58/​2003 du 17 décembre).  

L’Autorité pour­suit son déve­lop­pe­ment en faisant état de la présomp­tion tirée de l’art. 1361 du Code civil espa­gnol selon lequel les biens exis­tant pendant le mariage sont présu­més être des biens communs tant qu’il n’est pas prouvé qu’ils appar­tiennent à l’un des époux. Or, les admi­nis­tra­tions et les fonc­tion­naires publics ont accès, dans l’exercice de leurs fonc­tions, au registre d’état civil auquel figure le régime matri­mo­nial (art. 4 ch. 8 et 8 al. 2 de la loi 20/​2011 du 21 juillet rela­tive au registre civil).  

En l’espèce, il n’a pas été possible de déter­mi­ner spéci­fi­que­ment l’activité de trai­te­ment dans laquelle la mairie avait inclus la gestion des saisies ni la demande d’information auprès d’autres admi­nis­tra­tions. Qui plus est, cette infor­ma­tion faisait défaut lors de la consul­ta­tion de l’inventaire des acti­vi­tés de trai­te­ment sur le site web de la mairie alors qu’une telle publi­ca­tion était requise par deux lois natio­nales (art. 31 al. 2 LOPDGDD et art. 6bis de la loi 19/​2013 du 9 décembre rela­tive à la trans­pa­rence, l’accès à l’information publique et à la bonne gouver­nance). 

Au surplus, les exigences décou­lant du prin­cipe d’accoun­ta­bi­lity qui se réfère au respect des règles de protec­tion des données contraignent la mairie à, avant toute commu­ni­ca­tion d’une dette contrac­tée par une autre personne que le plai­gnant, effec­tuer les démarches néces­saires auprès de l’établissement du régime matri­mo­nial liant les époux afin d’éviter une commu­ni­ca­tion de données person­nelles incor­recte, et de ce fait privée de motif légi­time. 

Par consé­quent, l’Autorité retient que l’inobservation des mesures élémen­taires de véri­fi­ca­tion des données repré­sente un risque évident pour les personnes concer­nées et faci­lite la commu­ni­ca­tion inadé­quate de ces dernières.  

Quant au second trai­te­ment 

L’Autorité retient, à raison, que la consul­ta­tion auprès de l’institut est égale­ment consti­tu­tive d’une viola­tion de l’art. 6 RGPD car le respect du prin­cipe de respon­sa­bi­lité tel qu’évoqué précé­dem­ment aurait conduit à l’absence de néces­sité de recou­rir à ladite consul­ta­tion.  

Conséquemment, tant la consul­ta­tion des données que la commu­ni­ca­tion au plai­gnant étaient dépour­vues de légi­ti­mité.  

Critique 

Nous pouvons repro­cher à l’Autorité de ne pas avoir pris le soin de caté­go­ri­ser les données concer­nées et d’en tirer les consé­quences en décou­lant. En effet, les données écono­miques patri­mo­niales ainsi que les dettes doivent être consi­dé­rées comme des données haute­ment person­nelles puisqu’elles sont suscep­tibles de révé­ler des infor­ma­tions écono­miques concer­nant les personnes concer­nées et ont, ainsi, pour paral­lèle de faire suppor­ter au respon­sable du trai­te­ment une plus grande respon­sa­bi­lité en ce qui concerne la sécu­rité adéquate des données. La consé­quence du non-respect de ces normes plus élevées peut se traduire par des mesures plus sévères au cours de l’enquête menée. Par consé­quent, nous consta­tons que l’Autorité n’a pas pris en compte les éléments ressor­tant des enquêtes dili­gen­tées, se limi­tant à ceux soule­vés par le plai­gnant, qui l’aurait vrai­sem­bla­ble­ment enjoint au prononcé d’une sanc­tion plus sévère.  

Cette déci­sion est inté­res­sante et criti­quable sous l’angle de la non-prise en compte par l’Autorité de la diffi­culté que repré­sen­tait, ou non, la véri­fi­ca­tion des données person­nelles concer­nées. Nonobstant la quali­fi­ca­tion rete­nue « d’infraction très grave » à l’art. 6 RGPD par renvoi de l’art. 72 al. 1 let. b de la LOPDGDD, l’Autorité ne tire aucune consé­quence de la faci­lité de véri­fi­ca­tion permet­tant d’éviter une infrac­tion d’une telle gravité.