RGPD : l'Autriche donne partiellement suite à une plainte contre une entreprise sise en Suisse
C’est peut-être la première décision (publiée et connue) basée sur le RGPD impliquant une société dont le siège est en Suisse, prise par une autorité de protection des données étrangère. Elle vient confirmer que les amendes vertigineuses ne sont pas les sanctions de premier recours, et que les entreprises suisses peuvent faire l’objet de décisions d’autorités étrangères.
TL;DR
L’obligation de fournir des informations a été violée parce que le responsable de traitement n’a pas informé la personne concernée que les informations, au demeurant incomplètes, étaient disponibles sur son site web. La décision est en force et n’a pas fait l’objet d’un recours.
Faits
Une plainte a été déposée le 28 janvier 2019 par un résidant autrichien à l’encontre d’une société basée en Suisse qui opère via un site web dont le nom de domaine de premier niveau est “.at”, qui offre des services en Autriche et qui exploite des hôtels. Le plaignant déclare que la société a violé l’art. 13 RGPD relatif au droit à l’information.
Il indique que le 22 janvier 2019, à sa demande, la société avait fait une offre de voyage de vacances par e-mail. Le même jour, il avait rejeté l’offre par e-mail. La société a alors enregistré dans son système au moins le prénom, le nom et l’adresse électronique du plaignant. Le lendemain, elle a fait parvenir une annonce publicitaire au plaignant, avec un lien vers le formulaire d’inscription à la newsletter de la société.
Le plaignant n’avait été informé d’aucune information sur le traitement des données, en particulier des éléments suivants (cf. art. 13 RGPD) :
- le nom et les coordonnées du responsable du traitement,
- les coordonnées du délégué à la protection des données,
- les finalités pour lesquelles les données à caractère personnel doivent être traitées et la base juridique du traitement,
- les intérêts légitimes poursuivis par le responsable du traitement ou un tiers,
- la durée pour laquelle les données personnelles seront conservées ou, à défaut, les critères pour déterminer cette durée,
- l’existence d’un droit d’accès du responsable du traitement aux données à caractère personnel concernées et de rectification ou d’effacement ou de limitation du traitement ou du droit de s’opposer au traitement et à la transférabilité des données,
- l’existence d’un droit de recours devant une autorité de contrôle,
- si la fourniture des données personnelles est requise par la loi ou par contrat ou est nécessaire pour conclure un contrat, si la personne concernée est tenue de fournir les données personnelles et quelles pourraient être les conséquences si elles ne sont pas communiquées,
- l’existence d’un droit d’accès du responsable du traitement aux données personnelles concernées et des données Informations sur le traitement ultérieur prévu des données à caractère personnel à des fins autres que celles pour lesquelles les données à caractère personnel ont été collectées.
Le 11 février 2019, l’autorité autrichienne de protection des données a demandé à la société d’indiquer l’identité de son représentant conformément à l’art. 27 RGPD. Le 8 mai 2019, la société a finalement désigné une entreprise comme son représentant sur le territoire de l’UE.
La société a déclaré que les informations en question avaient été communiquées ultérieurement au plaignant conformément à l’art. 24 al. 6 de la loi autrichienne sur la protection des données. En substance, cette disposition prévoit que, jusqu’à la fin de la procédure devant l’autorité de la protection des données, un défendeur peut remédier à la violation alléguée en répondant aux demandes du plaignant.
Le plaignant a rétorqué que cette disposition n’était pas applicable à la situation dans laquelle un responsable de traitement ne respectait pas son obligation de fournir des informations. Selon lui, l’objectif de l’art. 13 RGPD est de donner à la personne concernée la possibilité, lors de la collecte des données, de décider s’il y a lieu d’utiliser un certain service et de mettre à la disposition de la société ses données personnelles pour une certaine finalité. Cet objectif ne pourrait pas être atteint en “rattrapant” l’information après coup.
Il indique en outre que les informations fournies n’étaient pas complètes et/ou incorrectes, que la société n’a pas non plus respecté l’obligation d’indiquer la période de conservation des données, qu’elle a limité l’exercice des droits de la personne concernée aux demandes et requêtes écrites par courrier électronique, et qu’aucune information au sens de l’art. 13 al. 2 let. e et f RGPD n’avait été fournie.
Droit
Application du RGPD
L’autorité indique d’abord que le mécanisme de “guichet unique” de l’art. 60 RGPD ne s’applique pas en l’espèce, puisque la société doit être considérée comme le responsable de traitement au sens de l’art. 4 ch. 7 RGPD et est basée uniquement en Suisse. Comme il n’y a aucun régime de coreponsabilité constaté en l’espèce, la décision est donc adressée directement à la société suisse.
En ce qui concerne le champ d’application extraterritorial du RGPD, l’autorité indique que la société suisse n’est à l’évidence pas domiciliée dans l’UE, mais que le traitement des données personnelles du plaignant, qui réside en Autriche, est lié à la fourniture de biens ou de services via l’exploitation d’une plateforme germanophone de réservation opérée sous un nom de domaine de premier niveau en “.at”, ainsi qu’à la proposition de participer à une newsletter contenant les offres actuelles en matière de voyages. Dans ce contexte, le RGPD s’applique conformément à son art. 3 al. 2 lit. a.
Droit à l’information
Faisant référence à une décision précédente, l’autorité rappelle que la violation de l’obligation d’information peut être invoquée directement sur la base du RGPD comme un droit subjectif.
L’autorité rappelle que la société suisse a collecté les données du plaignant en fournissant une option de contact aux fins de la demande de réservation et de l’offre, option dont s’est servi le plaignant, et que selon l’art. 12 RGPD, les informations prévues à l’art. 13 RGPD doivent être facilement accessibles (par ex. rendues publiques sur un site web destiné au public). Un envoi proactif par e-mail de ces informations à une personne concernée, lors de la collecte des données personnelles, n’est donc pas requis, à condition que l’art. 12 RGPD soit respecté.
L’autorité constate que la société suisse n’a à aucun moment fait valoir que les informations visées à l’art. 13 RGPD étaient “facilement accessibles” pour le plaignant. Il n’y a pas non plus d’indications que cette dernière respecte son obligation d’information. L’autorité rappelle encore le principe de responsabilité ancré à l’art. 5 al. 2 et à l’art. 24 RGPD, selon lequel il incombe au responsable de traitement de fournir la preuve que le traitement est effectué en conformité avec le RGPD.
Conseiller à la protection des données ?
Il est mordant de constater que l’autorité ne semble pas comprendre la notion suisse de “conseiller à la protection des données” (selon la LPD : Datenschutz_verantwortlicher_, en allemand), qui ne figure d’ailleurs pas dans le RGPD. En effet, le délégué à la protection des données se dit Datenschutz_beauftragter_ dans la version allemande du RGPD.
Pour l’autorité, il n’est pas clair si le conseiller est une sorte de point de contact interne pour la société suisse ou un délégué à la protection des données au sens des art. 37 ss RGPD. Selon le plaignant, ce conseiller pourrait également être le représentant au sens de l’art. 27 RGPD.
Catégories de destinataires
L’autorité estime que, dans le cadre du principe de transparence ancré à l’art. 5 al. 1 let. a RGPD, les destinataires des données personnelles doivent être explicitement nommés. En droit autrichien, auquel l’autorité se réfère, ce n’est que si un effort disproportionné est nécessaire ou si les destinataires concrets ne sont pas encore connus que le responsable de traitement peut se limiter à désigner des catégories de destinataires.
Constatant que la société suisse fait allusion à des “partenaires commerciaux” dans ses informations, l’autorité estime que la catégorie de destinataires “partenaires” est trop générale et doit être détaillée.
Exception à la suppression des données
La société suisse a déclaré que les données nécessaires à des fins comptables ou à l’exécution d’obligations légales ne seraient pas affectées par une demande de suppression. L’autorité ne remet pas en cause le fait que la société puisse refuser une demande de suppression en invoquant ces motifs, mais elle relève que les informations fournies par la société ne satisfont pas à l’exigence de précision et d’intelligibilité prévue à l’art. 12 al. 1 RGPD, puisqu’il ne peut être imposé à une personne concernée de devoir rechercher des délais (par exemple en matière comptable ou selon d’autres obligations fondées sur le droit suisse).
Utilisation autre que celle du but initial
La société suisse a utilisé les données personnelles du plaignant pour contacter le plaignant par e-mail afin de lui proposer de participer à un bulletin contenant les offres de voyage en cours, alors qu’elles avaient été collectées pour répondre à une demande de renseignements. Ceci a créé une obligation d’information conformément à l’art. 13 al. 3 RGPD.
Limitation de l’exercice des droits des personnes concernées
En ce qui concerne l’argument du plaignant selon lequel la société limite les droits de la personne concernée aux demandes faites par écrit et par e-mail, l’autorité rappelle qu’une limitation à certains canaux n’est pas autorisée et qu’il y a violation de l’art. 12 al. 2 RGPD.
Cependant, comme aucun recours formel n’a été déposé à cet égard (le plaignant n’a à aucun moment prétendu avoir présenté une demande à la société suisse). Il n’y a donc pas lieu d’entrer en matière sur ce point.
Décision
Sur la base de l’art. 58 al. 2 let. c RGPD, l’autorité ordonne à la société suisse, dans un délai de quatre semaines :
- de divulguer l’identité les destinataires spécifiques des données personnelles et, si cela n’est pas possible ou représente un coût disproportionné, les raisons de cette absence d’informations et, en tout état de cause, des informations plus précises en ce qui concerne la catégorie de destinataires “partenaires” ;
- de fournir des informations suffisamment compréhensibles et précises sur la durée de conservation des données personnelles ou, si cela n’est pas possible, les critères permettant de déterminer cette durée ;
- d’indiquer si la communication des données personnelles est exigée par la loi ou un contrat ou si elle est nécessaire à la conclusion d’un contrat, si la personne concernée est tenue de fournir les données personnelles et quelles seraient les conséquences éventuelles si les données n’étaient pas communiquées ;
- de fournir des informations sur l’existence d’un processus décisionnel automatisé, y compris le profilage, et des informations utiles sur la logique en cause et sur l’étendue et les effets attendus d’un tel traitement pour la personne concernée ;
- d’indiquer s’il a l’intention de traiter les données personnelles à des fins autres que celles pour lesquelles elles ont été collectées et, le cas échéant, de fournir des informations sur ces autres fins ;
- de compléter ses informations (sa “déclaration de protection des données”), conformément aux exigences de l’art. 12 al. 1 et 2 RGPD.