Décision 20230.404.421 de l’Autorité de protec­tion des données autri­chienne du 16 juin 2023

En fait

Un promo­teur commer­cial d’une entre­prise de construc­tion de routes exerce égale­ment les fonc­tions de maire d’une muni­ci­pa­lité autri­chienne. Dans le cadre de ses acti­vi­tés de repré­sen­tant liées au déve­lop­pe­ment du système de chauf­fage urbain, il a pour habi­tude de collec­ter les coor­don­nées des clients inté­res­sés à l’aide d’un formu­laire papier lors de visites à leur domi­cile. Lors d’une visite en janvier 2023, il enre­gistre les numé­ros de télé­phone de sept clients sur son télé­phone portable privé. Par la suite, il leur écrit par SMS pour promou­voir sa campagne poli­tique en qualité de candi­dat aux élec­tions dans la région autri­chienne de Basse-Autriche. Les personnes contac­tées – en tant que parties concer­nées – ont déposé une plainte auprès de l’au­to­rité de protec­tion des données autri­chienne (Datenschutzbehörde ou DSB), soute­nant qu’elles n’avaient jamais consenti au fait d’être desti­na­taires de publi­cité poli­tique par le biais de leur téléphone.

Champ d’application et auto­rité compétente

Dans un premier temps, la DSB consi­dère que le critère du champ d’application maté­riel du RGPD est rempli (art. 2 RGPD). En effet, l’exception à l’application du RGPD n’entre pas en ligne de compte, puisque le trai­te­ment est effec­tué dans le cadre de l’activité profes­sion­nelle du responsable.

Circonscription du terme « traitement » 

Dans un deuxième temps, la circons­crip­tion du terme de « trai­te­ment » ainsi que les condi­tions le légi­ti­mant sont abor­dées. D’abord, le « trai­te­ment » se défi­nit par l’art. 4 ch. 2 RGPD qui énumère une série d’opérations possibles, telles que la collecte, la saisie, l’or­ga­ni­sa­tion ou encore le clas­se­ment. Dans le cas concret, le promo­teur a bel et bien traité des données à carac­tère person­nel à titre de respon­sable de trai­te­ment au sens de l’art. 4 ch. 2 RGPD en stockant dans son télé­phone portable privé les coor­don­nées des personnes inscrites sur les formu­laires physiques. Il souhai­tait à cet effet leur trans­mettre par la suite de la publi­cité poli­tique.

Principe de limi­ta­tion des fina­li­tés admis­sibles de traitement 

Outre le champ d’application du RGPD, la DSB examine, d’une part, s’il existe une viola­tion de l’un des prin­cipes énumé­rés à l’art. 5 RGPD et, d’autre part, si le respon­sable du trai­te­ment peut s’appuyer sur l’une des bases juri­diques de l’art. 6 RGPD. Selon la DSB, l’utilisation des numé­ros de télé­phone initia­le­ment collec­tés dans le cadre d’affaires privées ne peuvent pas être utili­sés ulté­rieu­re­ment pour de la publi­cité poli­tique. Une telle pratique est notam­ment contraire au prin­cipe de limi­ta­tion des fina­li­tés (art. 5 par. 1 RGPD).

Selon la DSB, et en raison de l’absence de consen­te­ment des personnes concer­nées quant à l’enregistrement des coor­don­nées sur le télé­phone portable privé du prévenu, seule la base juri­dique de l’art. 6 par. 1 let. f RGPD semble envi­sa­geable. Celle-ci implique que le trai­te­ment soit néces­saire aux fins des inté­rêts légi­times du respon­sable de trai­te­ment ou d’un tiers, mais égale­ment prépon­dé­rant aux inté­rêts ou liber­tés et droits fonda­men­taux des personnes concernées.

Pesée d’intérêts légi­times en jeu

Trois condi­tions cumu­la­tives sont rete­nues pour que les opéra­tions exécu­tées soient légi­times : (i) la réali­sa­tion d’un inté­rêt légi­time ; (ii) la néces­sité du trai­te­ment et (iii) la prépon­dé­rance des inté­rêts du respon­sable de trai­te­ment ou d’un tiers par rapport aux droits et liber­tés des personnes concernées.

Dans le cas présenté, la DSB a jugé que les inté­rêts des personnes concer­nées l’emportaient en tout état de cause en raison de leur rela­tion avec le respon­sable de trai­te­ment. En outre, celles-ci ne pouvaient raison­na­ble­ment s’at­tendre à ce que celui-ci enre­gistre ulté­rieu­re­ment dans son télé­phone portable person­nel les coor­don­nées qu’elles lui avaient commu­ni­quées. À cela s’ajoute qu’elles ne pouvaient abso­lu­ment pas prévoir que les coor­don­nées qu’elles avaient commu­ni­quées seraient utili­sées par le respon­sable du trai­te­ment dans un tout autre but, à savoir la prise de contact à des fins politiques.

L’intérêt du respon­sable de trai­te­ment à récol­ter les données de contact des personnes concer­nées consis­tait à « élar­gir son cercle de connais­sances » et, par la suite, à géné­rer davan­tage de votes préfé­ren­tiels pour les élec­tions régio­nales en Basse-Autriche. Le trai­te­ment des données effec­tué semble certes néces­saire pour atteindre cet objec­tif, cepen­dant les inté­rêts des personnes concer­nées l’emportent en tout état de cause en raison de leur rela­tion avec le respon­sable du trai­te­ment. Elles ne pouvaient en effet en aucun cas prévoir que les coor­don­nées qu’elles avaient commu­ni­quées dans un cadre profes­sion­nel seraient utili­sées par le respon­sable du trai­te­ment dans une tout autre finalité.

Examen du lien entre la fina­lité de la collecte des données et leur trai­te­ment ultérieur

L’étape suivante – en l’absence de base juri­dique – consiste à déter­mi­ner si le trai­te­ment pour une fina­lité diffé­rente est compa­tible avec la fina­lité pour laquelle les données à carac­tère person­nel ont initia­le­ment été collec­tées (art. 6 par. 4 RGPD).

À cet effet, il convient d’évaluer – à l’aide de critères défi­nis par la CJUE – la néces­sité d’un lien concret, cohé­rent et suffi­sam­ment étroit entre la fina­lité de la collecte des données et leur trai­te­ment ulté­rieur, en permet­tant à la fois de limi­ter la réuti­li­sa­tion de données à carac­tère person­nel collec­tées anté­rieu­re­ment. En d’autres termes, il s’agit d’examiner si un équi­libre existe entre, d’une part, l’exi­gence de prévi­si­bi­lité et de sécu­rité juri­dique quant aux fina­li­tés du trai­te­ment des données à carac­tère person­nel collec­tées anté­rieu­re­ment et, d’autre part, la recon­nais­sance d’une certaine flexi­bi­lité en faveur du respon­sable de trai­te­ment dans la gestion de ces données (cf. arrêt CJUE C‑77/​21 du 20 octobre 2022).

Dans le cas présent, le lien concret, cohé­rent ou suffi­sam­ment étroit entre la fina­lité de la collecte des données et leur trai­te­ment ulté­rieur ne peut pas être établi. Les personnes concer­nées ne peuvent en effet pas prévoir que leurs données puissent être trai­tées dans un but tota­le­ment différent.

En l’espèce, le respon­sable de trai­te­ment paraît avoir procédé inten­tion­nel­le­ment au trai­te­ment en ques­tion au vu de l’en­re­gis­tre­ment déli­béré des données de contact dans le but de reprendre contact dans le futur pour des élec­tions de nature poli­tique.

Conclusion

Le consen­te­ment des personnes concer­nées n’est que la première étape exami­née dans la ques­tion de la légi­ti­mité du trai­te­ment de données person­nelles. En effet, d’autres motifs justi­fi­ca­tifs sont éven­tuel­le­ment aussi admis­sibles, à condi­tion d’être justi­fiés par les inté­rêts légi­times d’un respon­sable et pour autant que ne prévalent pas les inté­rêts ou les liber­tés et droits fonda­men­taux de la personne concer­née (art. 6 par. 1 let. f RGPD). In casu, les droits fonda­men­taux des personnes concer­nées sont prépon­dé­rants, donc ce motif n’est pas admis­sible. De plus, il n’y a pas de lien concret, cohé­rent ou même suffi­sam­ment étroit entre la fina­lité de la collecte des données et leur trai­te­ment ulté­rieur, lequel aurait consti­tué une fina­lité diffé­rente admis­sible (art. 6 par. 4 du RGPD).

Partant, la personne est condam­née à EUR 1’000 d’amende admi­nis­tra­tive (art. 83 par. 5 du RGPD) pour viola­tion du prin­cipe de fina­lité de trai­te­ment (art. 5 par. let. a et b, 6 par. 1 et 4 en lien avec l’art. 83 par. 5 let. a du RGPD).