Le responsable du traitement est un cabinet d’avocats dont les principaux services consistent à fournir des conseils juridiques aux clients blessés dans des accidents de la route et à les représenter dans des procédures judiciaires concernant les dommages-intérêts. Dans le cadre de ses activités, le responsable du traitement traite avec des clients potentiels (personnes concernées) afin d’évaluer leur situation juridique ainsi que les possibilités de prendre en charge leur dossier. A cette fin, le responsable du traitement leur demandait verbalement leur consentement au traitement de leurs données à caractère personnel. Aucune preuve du consentement n’était gardée. Sur la base d’une simple déclaration orale et avant la conclusion de tout contrat, le responsable du traitement obtenait des personnes concernées les données suivantes : nom, prénom, numéro de téléphone, adresse électronique, informations sur le décès d’un tiers et données de santé liées aux accidents de la circulation.

L’autorité polonaise de protection des données (APD ; Prezes Urzędu Ochrony Danych Osobowych), dans une décision DKN.5112.5.2021 du 30.11.2022, souligne que le traitement des données à caractère personnel ne peut avoir lieu que lorsqu’il existe une base juridique valable (art. 5 par. 1 let. a et 6 par. 1 RGPD). Par ailleurs, dans le cas des données relatives à la santé qui constituent des données sensibles, leur traitement est en principe interdit sous réserve des exceptions de l’art. 9 par. 2 RGPD.

L’APD a alors analysé si le responsable du traitement avait une base juridique valable pour le traitement. Étant donné que l’offre de services à des clients potentiels relevait du marketing direct et que le responsable du traitement n’avait pas prouvé l’existence d’une autre base juridique valable au titre du RGPD, l’APD a conclu que la seule possibilité aurait été de fonder le traitement sur le consentement de la personne concernée (article 6 par. 1 let. a RGPD), consentement qui devait d’ailleurs être explicite en présence de données sensibles (art. 9 par. 2 let. a RGPD).

Or, le responsable du traitement ne recueillait que le consentement oral des intéressés, et il n’était pas enregistré. et non enregistré. Or l’art. 5 par. 2 RGPD oblige le responsable du traitement à démontrer sa conformité aux dispositions du RGPD, ce qui inclut l’obtention d’une preuve du consentement conformément à l’art. 7 par. 1 RGPD. En particulier dans le contexte de l’art. 9 par. 2 let. a RGPD, le consentement explicite recueilli pour le traitement des données relatives à la santé doit avoir un caractère distinct. Par conséquent, l’APD a estimé que le consentement n’était pas valable et que le responsable du traitement traitait les données à caractère personnel sans base juridique valable.

(Décision originale : https://uodo.gov.pl/decyzje/DKN.5112.5.2021; présentation et traduction en anglais : https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5112.5.2021&mtc=today&mtc=hubasm)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)