Le responsable du traitement est propriétaire d’un « parc de vacances ». La personne concernée est propriétaire de l’un des appartements de ce parc.

Le responsable du traitement a fourni une carte de membre spéciale pour les propriétaires d’un appartement, qui comprenait une réduction pour l’accès à la piscine. Les membres de la famille, dans un certain degré de parenté, étaient également autorisés à utiliser la carte.

Plusieurs détails devaient être fournis pour obtenir la carte, tels que le nom du propriétaire de la carte, une photo de chaque membre de la famille qui l’utilisait, et leur degré de parenté avec le propriétaire.

La carte avait été utilisée frauduleusement dans le passé en étant prêtée à des tiers non autorisés pour profiter de la réduction.

La Gegevensbeschermingsautoriteit (autorité belge de protection des données ou DPA) considère, dans une décision 147/2022 du 17.10.2022, que le responsable du traitement pouvait se fonder sur l’article 6 par. 1 let b RGPD pour réglementer l’accès à sa piscine [i.e. le traitement est licite s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci].

La DPA a déterminé que le responsable du traitement avait violé l’article 5 par. 1 let. c RGPD, selon lequel  les données à caractère personnel ne peuvent être traitées que si l’objectif du traitement ne peut être atteint d’une autre manière (minimisation des données). Elle a certes estimé que l’identification des personnes concernées pour la prévention de la fraude était une finalité déterminée, explicite et légitime. Toutefois, le fait de fournir uniquement les noms des personnes pouvant utiliser la carte était suffisant pour atteindre l’objectif de prévention de la fraude. La DPA n’était pas d’accord avec le responsable du traitement, qui avait déclaré qu’il serait nécessaire de charger également une photo et d’indiquer un degré de parenté sur la carte, et de lire cette carte automatiquement avec un lecteur chaque fois que la carte était utilisée à la piscine. La DPA a estimé que cela n’était pas nécessaire pour atteindre l’objectif visé et a déterminé que cela pouvait même entraîner un traitement automatique au sens de l’art. 2 par. 1 RGPD.

En ce qui concerne la photo obligatoire, un contrôle humain à la réception était suffisant pour prévenir la fraude. Il n’était pas non nécessaire de fournir le degré de parenté des membres de la famille. Ce degré de parenté n’apportait en effet aucune valeur ajoutée, car le responsable du traitement ne serait de toute façon même pas en mesure de le vérifier. Par conséquent, la mesure violait le principe de minimisation des données.

(Décision originale : https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-147-2022.pdf; présentation et traduction en anglais https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_147/2022&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)