Autorité belge de protec­tion des données, déci­sion de la Chambre conten­tieuse 146/​2024 du 28 novembre 2024

À la suite de la publi­ca­tion d’un article portant sur la mutua­li­sa­tion de la gestion des données de consom­ma­teurs dans un jour­nal belge, l’autorité de protec­tion des données de Belgique (ci-après : APD) a ouvert un dossier contre la société mention­née dans l’article en ques­tion (ci-après : la Société). Cette société propose une tech­no­lo­gie visant à simpli­fier la collecte et la mise à jour de données person­nelles en utili­sant notam­ment des données conte­nues dans la puce de la carte d’identité élec­tro­nique belge (ci-après : eID). Les services que proposent la Société permettent de centra­li­ser des avan­tages commer­ciaux offerts par diffé­rentes enseignes aux consom­ma­teurs, ainsi que les cartes de fidé­lité ou preuves d’achat de ces derniers.

I. De la collecte à la mutua­li­sa­tion des données person­nelles : un cas de respon­sa­bi­lité conjointe

L’APD débute son analyse en quali­fiant la collecte des données person­nelles (art. 4 par. 2 RGPD). Ces dernières sont direc­te­ment four­nies par les consom­ma­teurs par divers moyens, dont la lecture de leur eID ou manuel­le­ment sur une borne dédiée, sur le site Internet d’un parte­naire commer­cial, mais égale­ment par la Société via sa plate­forme ou son application.

Cette collecte a pour fina­lité d’alimenter un fichier mutua­lisé détenu par la Société. Ce trai­te­ment de données de données person­nelles est inex­tri­ca­ble­ment lié à la mutua­li­sa­tion de ces dernières. En effet, les parte­naires commer­ciaux qui ont préa­la­ble­ment une rela­tion commer­ciale avec le consom­ma­teur peuvent accé­der aux données mises à jour par le biais de cette mutua­li­sa­tion. En d’autres termes, si le parte­naire commer­cial A détient des données plus récentes sur un consom­ma­teur qui a égale­ment une rela­tion commer­ciale avec le parte­naire commer­cial B, ces données à jour seront trans­fé­rées à ce dernier.

Forte de ce constat, l’APD retient une respon­sa­bi­lité conjointe au sens de l’art. 26 RGPD de la Société et de ses parte­naires commer­ciaux pour la collecte et la mutua­li­sa­tion des données d’identité. Pour arri­ver à une telle quali­fi­ca­tion, l’APD se fonde sur les lignes direc­trices du CEPD concer­nant les notions de respon­sable du trai­te­ment et de sous-trai­tant qui rappellent que la parti­ci­pa­tion conjointe englobe tant la déter­mi­na­tion des fina­li­tés que la déter­mi­na­tion des moyens. Ces lignes direc­trices précisent qu’une telle parti­ci­pa­tion peut être rete­nue en présence d’une infra­struc­ture créée par l’une des parties en vue de son utili­sa­tion par d’autres parties, permet­tant ainsi aux parties de trai­ter les mêmes données personnelles.

En l’espèce, les données person­nelles sont collec­tées par le biais de dispo­si­tifs four­nis par la Société et propo­sés, notam­ment sous la forme de bornes, par ses parte­naires commer­ciaux. Ces données font l’objet d’une centra­li­sa­tion dans une infra­struc­ture tech­nique déve­lop­pée, soit le fichier, par la Société, leur mutua­li­sa­tion étant le fruit des contri­bu­tions conti­nues des consom­ma­teurs. De la sorte, la mutua­li­sa­tion réali­sée par la Société n’est possible que grâce à la colla­bo­ra­tion de ses parte­naires commer­ciaux. En outre, l’infrastructure tech­nique préa­la­ble­ment confi­gu­rée par la Société et inté­grée dans l’environnement de ses parte­naires commer­ciaux démontre une conver­gence des moyens du trai­te­ment et des fina­li­tés mis en œuvre pour le réaliser.

Par consé­quent, l’APD retient que la fina­lité pour­sui­vie – tant par la collecte que par la mutua­li­sa­tion des données person­nelles – est l’alimentation du fichier mutua­lisé. En effet, cette fina­lité est cardi­nale pour l’enrichissement dudit fichier, et ce, en vue d’attirer de nouveaux parte­naires commer­ciaux dési­reux d’obtenir une iden­ti­fi­ca­tion fiable et à jour de leurs consommateurs.

Enfin, et à l’appui de la juris­pru­dence de la CJUE (C‑210/​16 du 5 juin 2018), l’APD met en exergue le fait que les trai­te­ments inter­ve­nant subsé­quem­ment ne remet pas en cause la quali­fi­ca­tion de respon­sable conjoint du traitement.

II. Des manque­ments ayant trait au consentement

La loi belge du 19 juillet 1991 rela­tive aux registres de la popu­la­tion aux cartes d’identité, aux cartes des étran­gers et aux docu­ments de séjour condi­tionne la lecture ou l’utilisation de l’eID au consen­te­ment libre, spéci­fique et éclairé de son titu­laire (art. 6 §4). L’APD indique que le recours au consen­te­ment, tel que prévu à l’art. 6 par. 1 let. a RGPD, est donc la base juri­dique appro­priée pour les trai­te­ments concer­nés. L’autorité retient que, quand bien même les lignes direc­trices du CEPD rela­tives au consen­te­ment ont été adop­tées posté­rieu­re­ment à l’enquête diri­gée contre la Société, ces dernières lui sont oppo­sables selon l’APD car elles reprennent en substances celles adop­tées par le Groupe de travail « article 29 » en 2017. Dès lors, il convient d’analyser si le consen­te­ment des consom­ma­teurs est libre, spéci­fique, éclai­rée et univoque (art. 4 par. 11 RGPD).

L’APD constate que, indé­pen­dam­ment du méca­nisme de recueil du consen­te­ment concerné, les consom­ma­teurs sont tenus d’accepter les condi­tions géné­rales de la Société pour béné­fi­cier des avan­tages commer­ciaux offerts par les parte­naires commer­ciaux de cette dernière. En procé­dant de la sorte, les consom­ma­teurs voient l’obtention desdits avan­tages condi­tion­née au trai­te­ment de leurs données person­nelles. Partant, l’APD réfute le carac­tère libre du consen­te­ment recueilli.

Pour ce qui est du carac­tère spéci­fique de ce dernier, il appa­rait que sur le site inter­net de la Société, la demande de consen­te­ment est globale et n’opère pas de distinc­tion entre le consen­te­ment portant sur la créa­tion d’un compte et celui portant sur l’utilisation ulté­rieure de ces données en vue d’alimenter le fichier mutua­lisé. L’absence de carac­tère spéci­fique des demandes de consen­te­ment se retrouve égale­ment dans celles formu­lées par les parte­naires commer­ciaux de la Société.

Les lignes direc­trices du CEPD rela­tives au consen­te­ment indiquent que pour qu’un consen­te­ment puisse être consi­déré comme éclairé, notam­ment lorsqu’il consti­tue la base juri­dique du trai­te­ment à divers respon­sables conjoints du trai­te­ment ou lorsque les données doivent être trai­tées par d’autres respon­sables souhai­tant se fonder sur le consen­te­ment origi­nal, l’ensemble de ces orga­ni­sa­tions doivent être nommées. Or, l’APD constate que les personnes concer­nées sont renvoyées vers la charte « vie privée » de la Société où il est fait mention des caté­go­ries de desti­na­taires en l’absence de toute nomi­na­tion indi­vi­duelle, ce qui est selon elle insuf­fi­sant et consti­tue une obli­ga­tion distincte qui découle de l’obligation de trans­pa­rence (art. 13 et 14 RGPD). En consé­quence, l’APD réfute le carac­tère éclairé du consen­te­ment recueilli.

Afin que le consen­te­ment exclût toute ambi­guïté, l’action par laquelle la personne concer­née consent doit se distin­guer de manière nette des autres actions possibles. L’APD constate que la simple navi­ga­tion d’une page à l’autre, quand bien même en présence d’une option de retour, n’équivaut pas à une expres­sion claire de consentement.

Par consé­quent, la Société n’a pas obtenu de consen­te­ment valable auprès des personnes concernées.

En outre, et à teneur de l’art. 7 par. 3 RGPD, la personne concer­née a le droit de reti­rer son consen­te­ment à tout moment et il doit être aussi simple de le reti­rer que de le donner. L’APD constate que les options offertes par la Société ne remplissent pas l’exigence de simpli­cité évoquée en raison de la néces­sité pour les personnes concer­nées de navi­guer dans de multiples onglets ou inter­faces. Cela est agré­menté par l’absence d’une option de retrait expli­cite et immé­diate. De tels éléments sont consi­dé­rés comme porteurs du risque de décou­ra­ger les personnes concer­nées de procé­der au retrait de leur consentement.

De plus, l’APD met en exergue le lien entre cette obli­ga­tion et celle de protec­tion des données par défaut (art. 25 RGPD), obli­ga­tion qui aurait dû conduire la Société à prévoir des méca­nismes de retrait du consen­te­ment direc­te­ment sur les bornes mises en place par ses parte­naires commer­ciaux, et ce, avant même la mise en place du traitement.

En outre, le consi­dé­rant 42 du RGPD fait écho à son art. 5 par. 2 en indi­quant que lorsque le trai­te­ment est fondé sur le consen­te­ment de la personne concer­née, le respon­sable du trai­te­ment doit être en mesure de démon­trer que ladite personne a consenti au trai­te­ment concerné. L’APD retient à cet égard que des mesures contrac­tuelles telles que l’obligation suppor­tée par les parte­naires commer­ciaux de la Société d’indemniser cette dernière en cas de collecte de consen­te­ment non-valable, ainsi que la présence d’un registre repre­nant bonne­ment et simple­ment des infor­ma­tions quant à la présence d’un méca­nisme de consen­te­ment sont insuffisants.

Vu les faits de l’espèce, l’APD a tran­ché que la Société n’a pas mis en place les mesures néces­saires lui permet­tant de démon­trer que le consen­te­ment collecté est conforme au RGPD et n’a pas respecté ses exigences de docu­men­ta­tion et de respon­sa­bi­lité en matière de retrait de consentement.

III. De la mini­mi­sa­tion et de la protec­tion par défaut des données personnelles

Invoquant une mise en balance du prin­cipe de mini­mi­sa­tion (art. 5 par. 1 let. c RGPD) et de celui d’exactitude (art. 5 par. 1 let. d RGPD), la Société indique que le volume impor­tant de données collec­tées est justi­fié par le fait qu’elle doit rapi­de­ment limi­ter le risque de confu­sion entre les consom­ma­teurs, éviter les doublons et iden­ti­fier d’éventuelles fraudes. L’APD balaie cette posi­tion en se préva­lant notam­ment de la recom­man­da­tion 03/​2011 émise par la Commission de la Protection de la Vie Privée (CPVP). Cette dernière indique que dans le cadre du recours à l’eID à titre de carte de fidé­lité, il n’est pas possible, et ce indé­pen­dam­ment des circons­tances, de trai­ter les éléments suivants qui figurent sur l’eID : la photo du titu­laire, le numéro de la carte, le numéro d’identification au Registre natio­nal, la natio­na­lité et le lieu de nais­sance. Or la Société collecte certaines de ces données, lesquelles ne revêtent aucune perti­nence eu égard au trai­te­ment concerné, comme peut en attes­ter l’absence de collecte de telles infor­ma­tions dans le formu­laire de collecte manuel. L’APD soulève le fait que – plus le nombre de données person­nelles collec­tées est impor­tant – plus il est diffi­cile de respec­ter conco­mi­tam­ment les prin­cipes d’exactitude et de mini­mi­sa­tion. L’autorité belge précise en l’espèce que le risque d’avoir des données obso­lètes ne justi­fie pas la collecte d’une dizaine d’informations supplé­men­taires et facultatives.

Au surplus, l’APD estime qu’une centra­li­sa­tion massive de données d’une grande partie de la popu­la­tion et de leurs données collec­tées direc­te­ment sur leur eID, comme en l’espèce, consti­tue un risque élevé pour la vie privée de millions de consommateurs.

De ce fait, la Société a manqué aux prin­cipes de mini­mi­sa­tion et de protec­tion des données par défaut.

IV. De la durée de conservation

Les données person­nelles doivent être conser­vées pendant une durée n’excédant pas celle néces­saire au regard des fina­li­tés pour lesquelles elles sont trai­tées (art. 5 par. 1 let. e RGPD). La Société se prévaut d’un inté­rêt écono­mique légi­time, de consi­dé­ra­tions tant comp­tables que fiscales, ainsi que de la garan­tie légale des biens de consom­ma­tion de deux ans (art. 1649quater du Code civil belge), laquelle peut faire l’objet d’une prolon­ga­tion, de sorte à fixer une durée de conser­va­tion des données dans le cadre du fichier mutua­lisé de huit ans dès la dernière acti­vité de la personne concer­née. Or, l’APD constate que les argu­ments de la Société s’appliquent prin­ci­pa­le­ment à d’autres fina­li­tés que celle rela­tive à la gestion du fichier mutua­lisé, dites fina­li­tés qui concernent surtout les rela­tions entre le consom­ma­teur et ses parte­naires commer­ciaux. Ainsi, la Société ne peut se fonder sur ces pres­crip­tions et l’APD estime qu’une durée de conser­va­tion d’un maxi­mum de trois ans à comp­ter de la dernière acti­vité du consom­ma­teur est suffisante.

Par consé­quent, l’APD retient une viola­tion du prin­cipe de limi­ta­tion de la conser­va­tion des données person­nelles en raison de la durée exces­sive de conser­va­tion de huit ans pour le fichier mutua­lisé par la Société.

L’APD impose une série de mesures correc­trices à la Société et somme cette dernière de se mettre en confor­mité dans un délai de quatre mois sous peine d’astreintes pouvant atteindre EUR 5’000.-/jour.

V. Conclusion

Cette déci­sion met en lumière les exigences rigou­reuses pesant sur les respon­sables conjoints du trai­te­ment en matière de licéité, de trans­pa­rence, de mini­mi­sa­tion, de protec­tion par défaut et de limi­ta­tion de la conser­va­tion des données à carac­tère person­nel. La Société, en s’appuyant sur une infra­struc­ture tech­nique mutua­li­sée et en centra­li­sant les données issues des eIDs de manière systé­ma­tique, a méconnu ces obli­ga­tions et prin­cipes fonda­men­taux du RGPD.

Il importe, en parti­cu­lier, de souli­gner que la vali­dité du consen­te­ment suppose une disso­cia­tion claire et intel­li­gible des diffé­rentes fina­li­tés du trai­te­ment, de sorte que la personne concer­née soit en mesure d’exercer un choix libre et éclairé à chacune des étapes de la collecte.

Finalement, l’approche adop­tée par l’APD quant à la durée de conser­va­tion, laquelle s’aligne sur celle décou­lant du réfé­ren­tiel rela­tif à la gestion des acti­vi­tés commer­ciales de l’autorité de protec­tion des données fran­çaise, peut être le témoi­gnage d’une volonté d’harmonisation dans la mise en œuvre du RGPD.