L’objet de la plainte concerne la consultation le 4 septembre 2019 des données à caractère personnel du Registre national par la défenderesse 1 (personne physique travaillant pour la défenderesse 2 (= Centre public d’action sociale de […]).).

Le libellé de la plainte et les pièces du dossier indiquent que la plaignante est l’ex-compagne du père de la défenderesse 1.

La plaignante estime que la défenderesse 1 est coupable de manquements à l’article 5.1.a du RGPD, en combinaison avec les articles 5 et 13 de la loi du 8 août 1983 organisant un Registre national des personnes physiques pour avoir consulté le Registre national à des fins abusives, grâce à ses fonctions auprès de la défenderesse 2.

En consultant l’historique de consultations de ses données au Registre national, la plaignante a découvert qu’une consultation de ses données avait été effectuée le 4 septembre 2019 par l’intermédiaire de la Banque-carrefour de la sécurité sociale (BCSS). La plaignante a exercé son droit d’accès auprès de la BCSS, qui lui a révélé que la consultation avait été réalisée par la défenderesse 2. Après avoir exercé son droit d’accès auprès cette dernière, la défenderesse 2 lui a alors indiqué que cette consultation était le fait de la défenderesse 1 à des fins privées.

Le 11 octobre 2021, le plaignant a introduit une plainte auprès de l’Autorité de protection des données contre la défenderesse 1.

Il y a lieu de considérer comme responsable du traitement (art. 4 ch. 7 RGPD): « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

En l’occurrence, la Chambre Contentieuse constate que la défenderesse 2 détermine les finalités et les moyens du traitement. En effet, pour les CPAS (= centres publics d’action sociale), les consultations du Registre national via la BCSS sont effectuées uniquement dans le cadre de ses missions d’application de la sécurité sociale. C’est par ailleurs la défenderesse 2 qui met à disposition de ses agents les moyens pour effectuer de tels traitements (via ses systèmes informatiques). Le CPAS doit donc être considéré comme un responsable de traitement pour les consultations des données à caractère personnel de la BCSS.

Il convient également de souligner que, comme indiqué par la Cour de Justice de l’Union européenne (CJUE) dans son arrêt Wirtschaftakademie du 5 juin 2018, « la notion de « responsable de traitement » vise l’organisme qui, « seul ou conjointement avec d’autres » détermine les finalités et les moyens du traitement de données à caractère personnel, cette notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs […] »

Bien que la défenderesse 2 soit le responsable de traitement de la consultation de la BCSS par ses employés, cela ne signifie donc pas, dans le cas d’espèce, qu’elle seule corresponde à cette qualité. Il convient en effet de distinguer les consultations de la BCSS dans le cadre des finalités des missions de la défenderesse 2 des consultations abusives opérées à des fins privées par la défenderesse 1. Bien qu’ayant utilisé les moyens mis à sa disposition par la défenderesse 2, et dans la mesure où la défenderesse 1 a traité les données à caractère personnel de la BCSS pour ses propres finalités, c’est-à-dire en dehors du cadre de ses tâches en tant qu’agent de la défenderesse 2, la défenderesse 1 doit être considérée comme un responsable de traitement pour les consultations de la BCSS, spécifiquement pour celles réalisées à des fins privées.

La Chambre Contentieuse distingue donc les traitements opérés dans le cadre des consultations du Registre national telles que prévues par les finalités de la défenderesse 2, des consultations à des fins privées opérées par la défenderesse 1. Bien que cette dernière soit responsable de traitement pour les consultations abusives, la défenderesse 2 reste responsable de traitement pour les consultations du Registre national dans le cadre des finalités déterminées dans son chef (application de la sécurité sociale).

Dans ce cadre, la défenderesse 2 reste soumise au principe de responsabilité (art. 5.2 et 24 du RGPD) et, en tant que responsable de traitement et employeur, aux articles 29 et 32 du RGPD. Pour ces raisons, bien que n’étant pas directement visée par la plainte déposée auprès de l’APD, la Chambre Contentieuse énoncera des constats additionnels à son égard.

L’accès aux données contenues dans le Registre national constitue un traitement de données à caractère personnel au sens de l’article 4.2 du RGPD. En vertu de cette qualification, ce traitement est soumis aux différents prescrits et obligations du RGPD et notamment aux principes de licéité, de loyauté et de transparence prévus à l’article 5.1.a du RGPD.

Le principe de licéité indique que tout traitement de données à caractère personnel doit disposer d’une des bases de licéité à l’article 6.1 du RGPD.

Il ressort des pièces du dossier, en ce compris les affirmations de la défenderesse 2, qu’en consultant le 4 septembre 2019 la donnée « adresse légale » de la plaignante, la défenderesse 1 n’a pas procédé à une consultation dans le cadre de l’accomplissement d’une tâche qui relève de sa compétence d’agent de CPAS.

Du fait de leur fonction, et pour seul accomplissement des tâches qui en relèvent, les agents des CPAS disposent d’un accès à certaines données du Registre national, via la BCSS10. Il leur incombe de respecter scrupuleusement les finalités de cet accès dont ils privilégient.

En omettant de respecter la finalité de l’accès qui lui avait été attribué, la défenderesse 1 a consulté le Registre national sans fondement légal adéquat. Partant, elle a procédé à un traitement de données au regard duquel elle ne sera pas en mesure d’invoquer valablement une des bases de licéité requise par l’article 6 du RGPD. Ce faisant, la défenderesse s’est rendue coupable d’un manquement à l’article 6 du RGPD. Ce manquement est combiné à un manquement à l’article 5.1.a du RGPD aux termes duquel le traitement de données à caractère personnel doit notamment être licite. Cette exigence, si elle n’est pas limitée au respect de l’article 6, l’englobe indubitablement.

Par ailleurs, en sa qualité de responsable de traitement, la défenderesse 2 est tenue de mettre en œuvre les principes de protection des données et doit être en mesure de démontrer que ceux-ci sont respectés, conformément au principe de responsabilité. Elle doit par ailleurs, toujours en sa qualité de responsable de traitement, mettre en œuvre toutes les mesures nécessaires à cet effet.

Sur base de l’article 5.1.f du RGPD, les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée, « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées ».

En l’absence de mesures appropriées pour sécuriser les données à caractère personnel des personnes concernées, l’effectivité des droits fondamentaux à la vie privée et à la protection des données à caractère personnel ne peut être garantie, a fortiori au vu du rôle crucial joué par les technologies de l’information et de la communication dans notre société.

Il convient de relever que le principe de sécurité repris à l’article 5.1.f est désormais érigé dans le RGPD au même rang que les principes fondamentaux de licéité, transparence, loyauté.

Les obligations des responsables de traitement quant à la sécurité des traitements reposent sur les articles 32 et suivants du RGPD.

Il ressort des pièces du dossier que la défenderesse 2 est en mesure d’identifier l’agent ayant consulté les données à caractère personnel du Registre national de la plaignante, ainsi que la date de consultation. La défenderesse n’était cependant pas capable de connaître la finalité de la consultation ainsi que les données consultées sans nouvelle consultation desdites données. Selon les dires de la défenderesse 2, l’accès au logiciel permettant la consultation du Registre national serait limité à l’usage des assistants sociaux et de la direction générale. Suite à l’évènement à l’origine de la plainte, la défenderesse 2 a indiqué prendre des dispositions vis-à-vis de l’agent concerné et mettre en place un contrôle trimestriel des consultations des données personnelles effectuées sous sa responsabilité.

(Autorité de protection des données (BE), Chambre Contentieuse, Décision 16/2023 du 27 février 2023, Numéro de dossier : DOS-2021-06717 ; https://www.autoriteprotectiondonnees.be/publications/avertissement-et-reprimande-n-16-2023.pdf)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)