ECLI:BE:GBAPD:2020:DEC.20200514.13

JUPORTAL Base de données publique de la jurisprudence belge

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

 
Autorité de protection des données

Décision du 14 mai 2020

No ECLI:

ECLI:BE:GBAPD:2020:DEC.20200514.13

No Rôle:

24/2020

Domaine juridique:

Droit civil

Date d’introduction:

2025-08-27

Consultations:

68 — dernière vue 2026-04-14 13:25

Fiche

La Chambre Contentieuse de l'Autorité de protection des données
décide, après délibération : — en vertu de l'article 100, §
1er, 9° de la LCA, d‘ordonner au défendeur la mise en conformité
du traitement avec les articles 5.1.a), 5.2, 6.1, 12.1, 13.1.c) et d)
et 13.2.b) du RGPD. — en vertu de l'article 100, § 1er, 13° de
la LCA et de l'article 101 de la LCA d'infliger une amende administrative
de 50.000 euros.

Thésaurus UTU:

DROIT CIVIL — VIE PRIVÉE — Traitement données à caractère personnel — Autorité de protection des données (Commission de la protection de la vie privée)

Mots libres:

Manque de transparence dans la déclaration de confidentialité d'une
compagnie d'assurances. (DOS-2019-02902)

Bases légales:

Loi — 03-12-2017 — 100,§1,9° — 11
Lien ELI No pub 2017031916
Loi — 03-12-2017 — 100,§1,13° — 11
Lien ELI No pub 2017031916

Texte de la décision

Chambre Contentieuse
Décision quant au fond 24/2020 du 14 mai 2020
Numéro de dossier : DOS-2019-02902
Objet : Manque de transparence dans la déclaration de confidentialité d’une compagnie d’assurances
La Chambre Contentieuse de l’Autorité de protection des données, constituée de Monsieur Hielke Hijmans, président, et de Messieurs Dirk Van Der Kelen et Jelle Stassijns, membres ;
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) (ci-après le «RGPD») ;
Vu la loi du 3 décembre 2017 portant création de l’Autorité de protection des données, ci-après la «LCA» ;
Vu le règlement d’ordre intérieur tel qu’approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
a pris la décision suivante concernant :
— X, ci-après «le plaignant» ;
— Y, ci-après «le défendeur».
a) Faits et procédure
1. Le 14 juin 2019, le plaignant a porté plainte auprès de l’Autorité de protection des données contre le défendeur.
2. L’objet de la plainte concerne l’utilisation de données de santé obtenues auprès de la personne concernée par la compagnie d’assurances dans le cadre d’une assurance hospitalisation à d’autres fins, sans le consentement explicite de la personne concernée assurée. Le plaignant affirme que le traitement de ses données de santé en vue de l’exécution d’obligations découlant de l’assurance hospitalisation conclue avec le défendeur ne lui pose aucun problème, mais qu’il en est autrement lorsque ces mêmes données de santé sont traitées pour les finalités énumérées au point 4.3. de la déclaration de confidentialité du défendeur et pour le transfert à des tiers comme mentionné au point 9 de cette même déclaration de confidentialité (il s’agit du point 6, la référence au point 9 est une erreur matérielle). Il demande que, spécifiquement pour ces finalités, ainsi que pour le transfert, le défendeur donne le choix à la personne concernée de consentir ou non au traitement de ses données de santé. Enfin, le plaignant exprime son souhait de recevoir du défendeur une analyse d’impact relative à la protection des données, vu qu’il est question d’un traitement de données impliquant un risque élevé pour les personnes concernées.
3. Le 26 juin 2019, la plainte est déclarée recevable sur la base des articles 58 et 60 de la LCA, le plaignant en est informé en vertu de l’article 61 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l’article 62, § 1er de la LCA.
4. Le 23 juillet 2019, la Chambre Contentieuse décide, en vertu de l’article 95, § 1er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond.
5. Le 24 juillet 2019, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l’article 95, § 2 ainsi qu’à l’article 98 de la LCA. Conformément à l’article 99 de la LCA, les parties concernées ont également été informées des délais pour transmettre leurs conclusions. La date ultime pour recevoir les conclusions en réplique a ainsi été fixée au 7 octobre 2019 pour le plaignant et au 7 novembre 2019 pour le défendeur.
6. Le 29 juillet 2019, le défendeur signifie à la Chambre Contentieuse qu’il a pris connaissance de la plainte, il demande une copie du dossier (art. 95, § 2, 3° de la LCA) et il accepte de recevoir toute communication relative à l’affaire par voie électronique (art. 98, 1° de la LCA).
7. Le 30 juillet 2019, une copie du dossier est transmise au défendeur.
8. Le 2 août 2019, la Chambre Contentieuse reçoit un courrier dans lequel le défendeur exprime son souhait d’être entendu par la Chambre Contentieuse (art. 98, 2° de la LCA).
9. Le 6 septembre 2019, la Chambre Contentieuse reçoit les conclusions en réponse du défendeur. Dans ces conclusions, le défendeur affirme que le traitement de catégories particulières de données à caractère personnel, en l’espèce des données de santé, par un organisme d’assurance soins de santé s’effectue de manière licite. Le traitement de ces catégories particulières de données à caractère personnel (art. 9 du RGPD) est en principe interdit. Pour ce traitement, le défendeur invoque le motif d’exception de l’article 9, paragraphe 2, point a) du RGPD. Le fondement juridique invoqué est ici le consentement explicite de la personne concernée. Deuxièmement, le défendeur argumente qu’un consentement distinct n’est pas nécessaire pour chaque transfert de données à caractère personnel. Troisièmement, le défendeur considère qu’il n’est pas question de demander le consentement pour le traitement d’autres données que des données de santé. Enfin, le défendeur estime qu’une analyse d’impact relative à la protection des données n’est pas nécessaire en l’occurrence, vu qu’il s’agit de traitements déjà existants et non pas de nouveaux traitements débutés après le 25 mai 2018.
10. Le plaignant n’a pas fait usage du droit d’introduire des conclusions en réplique.
11. Le défendeur n’introduit pas de nouvelles conclusions et fournit seulement, le 7 novembre 2019, des pièces pour appuyer les conclusions en réponse introduites le 6 septembre 2019.
12. Le 9 janvier 2020, les parties sont informées du fait que l’audition aura lieu le 28 janvier 2020.
13. Le 28 janvier 2020, le défendeur est entendu par la Chambre Contentieuse. Bien que dûment convoqué, le plaignant ne s’est pas présenté. Le défendeur répond entre autres aux questions de la Chambre Contentieuse sur le fondement juridique pour le traitement de données à caractère personnel qui ne sont pas des données de santé. Après cela, les débats sont clôturés.
14. Le 29 janvier 2020, le procès-verbal de l’audition est soumis aux parties.
15. Le 31 janvier 2020, comme cela lui avait été demandé lors de l’audition, le défendeur transmet le chiffre d’affaires annuel des trois derniers exercices. Pour les années 2016-2018, ce chiffre d’affaires s’élève toujours entre 500 et 600 millions d’euros.
16. Le 6 février 2020, la Chambre Contentieuse reçoit du défendeur quelques remarques relatives au procès-verbal qu’elle décide de reprendre dans sa délibération.
17. Le 25 mars 2020, la Chambre Contentieuse fait connaître au défendeur son intention de procéder à l’imposition d’une amende administrative ainsi que le montant de celle-ci, afin de donner au défendeur l’occasion de se défendre avant que la sanction soit effectivement infligée.
18. Le 8 mai 2020, la Chambre Contentieuse reçoit la réaction du défendeur concernant l’intention d’infliger une amende administrative et le montant de celle-ci.
19. Le défendeur avance que les infractions présumées telles qu’elles figurent dans l’intention de la Chambre Contentieuse sont totalement nouvelles et qu’il n’a pas pu se défendre à cet égard.
La Chambre Contentieuse constate toutefois qu’il ressort incontestablement des pièces du dossier que le défendeur a bien pu exercer pleinement ses droits de défense.
20. Le défendeur déclare ne pas être d’accord avec l’imposition d’une amende ou avec le montant envisagé de l’amende. Toutefois, il n’avance aucun (nouvel) argument pour étayer cette position. Dès lors, aux yeux de la Chambre Contentieuse, la réaction du défendeur ne donne pas lieu à une adaptation de l’intention d’infliger une amende administrative, ni à une modification du montant de l’amende tel qu’envisagé.
b) Base juridique
• Licéité du traitement
Article 6.1 du RGPD
1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
[…]
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
• Information transparente
Article 5.1 du RGPD:
Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée («licéité, loyauté, transparence») ;
[…]
Article 5.2 du RGPD:
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté («responsabilité»)
Article 12.1 du RGPD.
1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
Article 13.1 et 2. du RGPD
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[…]
c) les finalités de traitement auxquelles les données à caractère personnel sont destinées ainsi que la base juridique du traitement ;
d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
[…]
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
[…]
b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
[…]
e) Motivation
a) Finalités au point 4.3. de la déclaration de confidentialité — Fondement du traitement (art. 6.1 du RGPD)
21. La Chambre Contentieuse constate que la problématique exposée par le plaignant concerne le point 4.3 de la déclaration de confidentialité du défendeur, qui mentionne que des données à caractère personnel sont traitées sur la base de l’intérêt légitime de la compagnie d’assurances pour les finalités suivantes :
• La réalisation de tests informatisés ;
• Le contrôle de la qualité du service ;
• La formation du personnel ;
• La surveillance et les rapports ;
• La prévention des abus et de la fraude ;
• La conservation d’enregistrements de vidéosurveillances pendant la période légale • L’établissement de statistiques de données codées, y compris de big data ;
• La diffusion d’informations, quels que soient les moyens de communication, sur les actions commerciales, les produits et les services de la compagnie d’assurances et du groupe auquel elle appartient. [Ndt : Les passages en italique ont été traduits librement par le Secrétariat de l’Autorité, en l’absence de traduction officielle]
22. Le plaignant déclare à ce sujet que le client doit avoir le choix d’accepter le traitement de données sensibles le concernant et qu’il a fournies au défendeur dans le cadre de l’exécution des obligations relatives à son assurance hospitalisation, pour les finalités énumérées au point 4.3. Le plaignant affirme que le défendeur ne lui offre pas cette possibilité de choix.
23. Le défendeur déclare à ce propos que les traitements énumérés au point 4.3. de la déclaration de confidentialité ne nécessitent aucun consentement, étant donné que pour les finalités qui y sont mentionnées, le défendeur invoque l’intérêt légitime comme fondement du traitement, conformément à l’article 6.1.f) du RGPD. Le défendeur affirme pouvoir invoquer cette base juridique, vu que seules des données à caractère personnel «ordinaires» sont traitées pour ces finalités et qu’aucun consentement de la personne concernée n’est requis comme dans le cas de données de santé telles que visées à l’article 9 du RGPD.
24. Le défendeur argumente que pour les finalités mentionnées au point 4.3 de la déclaration de confidentialité, des données à caractère personnel sont certes traitées, mais pas des données de santé.
25. La Chambre contentieuse constate que pour le traitement de données à caractère personnel autres que des données de santé, la licéité du traitement doit être analysée à la lumière de l’article 6.1 du RGPD, lequel prévoit six bases de traitement auxiliaires, dont l’intérêt légitime (art. 6.1.f) du RGPD), que le défendeur invoque en l’espèce.
26. À cet égard, la Chambre Contentieuse attire néanmoins l’attention sur le fait que lorsqu’un responsable du traitement se base sur l’intérêt légitime pour qualifier un traitement de licite, la jurisprudence de la Cour européenne de justice prévoit «trois conditions cumulatives pour qu’un traitement de données à caractère personnel soit licite, à savoir, premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et, troisièmement, la condition que les droits et les libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas.» 1
27. Dans ce contexte, il est nécessaire de mettre en balance les intérêts ou les libertés et droits fondamentaux de la personne concernée (art. 6.1.f) du RGPD) en tenant compte, lors de cette pondération, des considérants du RGPD liés à l’article 6.1.f) du RGPD, en particulier le considérant 47..2
28. Ainsi, la Chambre Contentieuse estime que pour chacune des finalités mentionnées au point 4.3. de la déclaration de confidentialité, il convient de vérifier dans quelle mesure le défendeur peut invoquer l’intérêt légitime comme fondement juridique sur lequel le traitement se base.
Le considérant 47 du RGPD met l’accent sur la nécessité d’une évaluation attentive afin de déterminer s’il existe un intérêt légitime et si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée.
29. Sur la base des éléments dont elle dispose, la Chambre Contentieuse estime que le défendeur peut baser le traitement de données sur l’intérêt légitime pour la finalité «la prévention des abus et de la fraude», telle que mentionnée dans la partie 5 du point 4.3. de la déclaration de confidentialité. Il est en effet établi que le traitement de données à caractère personnel pour cette finalité est nécessaire aux fins de l’intérêt légitime du défendeur et que cet intérêt prévaut sur l’intérêt du plaignant à la protection de ses données à caractère personnel. À cet égard, la Chambre Contentieuse renvoie au considérant 47 du RGPD qui énonce que le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue un intérêt légitime du responsable du traitement concerné.
30. La Chambre Contentieuse ajoute à cela qu’en dépit de l’affirmation du défendeur qu’aucune donnée de santé n’est traitée pour les finalités reprises au point 4.3. de la déclaration de confidentialité, dont la finalité «la prévention des abus et de la fraude», il ressort néanmoins clairement du formulaire de consentement que le consentement explicite est demandé pour le traitement de données de santé aux fins, entre autres, de «la prévention, la détection et la recherche de fraude à l’assurance». La Chambre Contentieuse constate ici qu’il existe une incohérence entre ce que le défendeur affirme dans ses conclusions et ce que le formulaire de consentement stipule, et revient sur ce point lors de l’analyse de l’obligation de transparence qui incombe au défendeur.
31. La finalité reprise dans la section 8 du point 4.3. de la déclaration de confidentialité «La diffusion d’informations, quels que soient les moyens de communication, sur les actions commerciales, les produits et les services de la compagnie d’assurances et du groupe auquel elle appartient», qui doit être qualifiée de prospection, est également possible sur la base de l’intérêt légitime 3, mais elle doit être lue conjointement avec l’article 21.2 du RGPD qui prévoit que la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. La Chambre Contentieuse reviendra également sur ce point lors de l’analyse de l’obligation de transparence dans le chef du défendeur.
32. Pour les autres finalités reprises au point 4.3. de la déclaration de confidentialité, la Chambre Contentieuse considère qu’il n’est pas question d’un intérêt légitime dans le chef du défendeur qui prévaudrait sur les intérêts et les droits fondamentaux du plaignant à la protection de ses données à caractère personnel.
33. Le considérant 47 du RGPD, qui prévoit qu’un intérêt légitime peut être présent lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client, n’implique pas, selon la Chambre Contentieuse, que dans le cadre de la présente relation où le plaignant intervient en tant que client du défendeur, un traitement de données soit possible pour n’importe quelle finalité. Le défendeur ne démontre en aucune façon en quoi consisterait son intérêt légitime et omet également de démontrer dans quelle mesure son intérêt prévaudrait sur les intérêts et les droits fondamentaux du plaignant, bien qu’il y soit tenu en vertu de sa responsabilité (art. 5.2 du RGPD).
34. La Chambre Contentieuse estime dès lors que la violation de l’article 6.1 du RGPD est avérée, vu que sans aucun intérêt légitime démontré, le traitement de données pour les finalités mentionnées dans les sections 1, 2, 3, 4, 6 et 7 du point 4.3. de la déclaration de confidentialité doit se baser sur le consentement du plaignant, à défaut de tout autre fondement juridique potentiellement applicable à l’article 6.1 du RGPD. La diversité des finalités énumérées au point 4.3. de la déclaration de confidentialité amène la Chambre Contentieuse à conclure que la possibilité doit être offerte au plaignant, et par extension à toute personne concernée qui utilise le service proposé par le défendeur, de consentir ou non au traitement de ses données à caractère personnel pour chacune de ces finalités distinctement. La Chambre Contentieuse se réfère à cet égard aux Lignes directrices sur le consentement au sens du Règlement 2016/679 4, qui énoncent ce qui suit : Un service peut impliquer de multiples opérations de traitement à différentes fins. Dans de tels cas, les personnes concernées devraient être libres de choisir quelles finalités elles acceptent, plutôt que de devoir consentir à un ensemble de finalités de traitement. En vertu du RGPD, plusieurs consentements pourraient être nécessaires avant de pouvoir fournir un service dans un cas donné.
b) Finalités au point 6 de la déclaration de confidentialité — Fondement du traitement (art. 6.1 du RGPD)
35. Outre le point 4.3. de la déclaration de confidentialité, le plaignant déclare qu’un problème se pose également en ce qui concerne le point 6 de cette déclaration de confidentialité, qui traite du transfert de données à caractère personnel à des tiers, car là non plus, on ne lui offre pas le choix de consentir ou non au transfert de ses données à caractère personnel à des tiers. Le plaignant affirme que des transferts à des tiers ne sont pas autorisés sans consentement, sauf s’il existe une obligation légale de le faire.
36. Le défendeur argue invoquer non seulement le consentement comme fondement juridique pour le transfert de données à caractère personnel à des tiers, mais aussi, selon le cas, l’exécution du contrat, l’intérêt légitime et l’obligation légale et précise systématiquement pour chacune des catégories de tiers mentionnées au point 6 de la déclaration de confidentialité le fondement juridique sur lequel le transfert est basé.
37. Le défendeur affirme clairement que dans la mesure où il s’agit d’un transfert de données de santé, le consentement explicite de la personne concernée est requis. C’est uniquement le cas pour le transfert aux «intermédiaires d’assurances, pour les données relatives à la santé, les bilans d’indemnisation et dans la copie du contrat d’assurance avec d’éventuelles exclusions et/ou primes additionnelles, si la personne concernée leur a préalablement donné son consentement explicite et informé» (point 6, deuxième partie de la déclaration de confidentialité). Pour les autres transferts mentionnés au point 6 de la déclaration de confidentialité, le défendeur affirme qu’il s’agit d’autres données à caractère personnel que des données de santé, de sorte que pour ceux-ci le consentement de la personne concernée n’est pas requis.
38. La Chambre Contentieuse observe que des données de santé ne sont traitées que dans un seul cas et que le défendeur obtient à cet effet le consentement pour le transfert mentionné au point 6, deuxième section, de sorte qu’aucun problème ne se pose sur ce plan et que le défendeur agit conformément à l’article 9.2.a) du RGPD.
39. Le défendeur invoque l’exécution du contrat (art. 6.1.b) du RGPD) comme fondement juridique pour le transfert aux tiers suivants : «Les mutualités, pour permettre les remboursements ;
Une ou plusieurs compagnies d’assurances en cas de coassurance, d’assistance et/ou de recouvrement des coûts en cas de responsabilité d’un tiers lors de la survenance du dommage ; Des établissements bancaires ; Des entreprises postales, de transport et de livraison pour mieux envoyer notre courrier» (6, troisième, quatrième, huitième et neuvième sections de la déclaration de confidentialité). La Chambre Contentieuse estime que ces transferts sont basés sur un fondement juridique valable.
40. Il en va de même pour le cas des transferts à des tiers en vertu d’une obligation légale (art. 6.1.c) du RGPD), à savoir les transferts : «au médiateur des assurances en cas de litige ; aux administrations fiscales et sociales, en raison des obligations légales de l’assureur en soins de santé ; aux autorités publiques de surveillance et de contrôle, en raison des obligations statutaires de la compagnie d’assurances» (point 6, septième, dixième, onzième et douzième sections de la déclaration de confidentialité).
41. Pour le transfert aux «intermédiaires d’assurances, à des fins statistiques, de données codées qu’ils expliqueront et produiront à la demande de la personne concernée» (point 6, première section de la déclaration de confidentialité), le défendeur argumente qu’il s’agirait d’informations purement statistiques ne contenant pas de données à caractère personnel. La Chambre Contentieuse ne dispose d’aucun document attestant du contraire.
42. La Chambre Contentieuse constate toutefois que, tant pour le transfert aux «sociétés W auxquelles appartient la compagnie d’assurances, pour le suivi et les rapports» que pour le transfert aux «sous-traitants dans l’Union européenne ou en dehors, chargés des activités de traitement définies par la compagnie d’assurances», le défendeur invoque son intérêt légitime comme fondement juridique du traitement.
43. Le défendeur ne démontre toutefois en aucune façon en quoi consisterait son intérêt légitime et omet également de démontrer dans quelle mesure son intérêt prévaudrait sur les intérêts et les droits fondamentaux du plaignant, bien qu’il y soit tenu en vertu de sa responsabilité (art. 5.2 et 24 du RGPD). La Chambre Contentieuse attire également à nouveau l’attention à cet égard sur les exigences relatives à l’utilisation du fondement du traitement «intérêt légitime», qui découlent de la jurisprudence susmentionnée de la Cour de justice européenne. 5
44. La Chambre Contentieuse estime par conséquent qu’en ce qui concerne également le transfert de données à caractère personnel à des tiers, la violation de l’article 6.1 du RGPD est avérée, vu qu‘en l’absence de tout intérêt légitime démontré, le traitement de données pour les transferts à des tiers mentionnés dans les sections 5 et 6 reprises au point 6 de la déclaration de confidentialité doit se baser sur le consentement du plaignant, à défaut de tout autre fondement juridique potentiellement applicable dans l’article 6.1 du RGPD.
c) Information transparente (art. 5.1.a), art. 12.1 et art. 13.1 et 13.2 du RGPD)
— Point 4.3. de la déclaration de confidentialité
45. En vertu du RGPD, le responsable du traitement est tenu d’informer la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples» (art. 5.1.a), art. 12.1 et art. 13.1 du RGPD). La Chambre Contentieuse constate qu’en ce qui concerne les points 4.3. et 6 de la déclaration de confidentialité, le défendeur ne remplit pas cette obligation.
46. Tout d’abord, le défendeur n’établit pas de distinction claire entre le traitement de données de santé d’une part et le traitement des autres données à caractère personnel «ordinaires»
d’autre part, et ce tant pour chacune des finalités du point 4.3. de la déclaration de confidentialité que pour chacun des transferts mentionnés au point 6 de la déclaration de confidentialité. Une telle distinction est néanmoins d’une importance fondamentale pour déterminer le fondement juridique sur lequel le traitement peut se baser pour une finalité déterminée ou un transfert à un tiers (art. 13.1.c) du RGPD).
47. Le défendeur stipule au point 4 de la déclaration de confidentialité : «Des données à caractère personnel peuvent être traitées pour les finalités suivantes :» Les données de santé sont toutefois aussi des données à caractère personnel, de sorte que l’on peut en effet en déduire, comme l’affirme le plaignant, que la section 4.3. concerne dès lors des données de santé. Le consentement est en effet demandé pour le traitement de données de santé et le défendeur invoque ensuite «l’intérêt légitime» au point 4.3. de la déclaration de confidentialité afin de traiter des «données à caractère personnel» pour les finalités qui y sont mentionnées. Dans la section 4.3., le défendeur ne fait aucune distinction entre les données à caractère personnel «ordinaires» et les données de santé.
48. Le défendeur crée en outre la confusion en affirmant ne pas traiter de données de santé pour la finalité visée dans la section 4.3. «la prévention des abus et de la fraude», alors que le formulaire de consentement mentionne néanmoins que le consentement explicite est demandé pour traiter des données de santé aux fins notamment de «la prévention, la détection et la recherche de fraude à l’assurance».
49. Par ailleurs, la déclaration de confidentialité mentionne uniquement que pour les finalités mentionnées au point 4.3., des données à caractère personnel sont traitées sur la base de l’intérêt légitime du défendeur, sans démontrer en quoi consisterait précisément cet intérêt légitime, alors que l’article 13.1.d) du RGPD exige bel et bien que le responsable du traitement informe la personne concernée à propos de ses intérêts légitimes, si le traitement repose sur l’article 6, paragraphe 1, point f).
50. La Chambre Contentieuse se réfère également aux Lignes directrices sur la transparence au sens du Règlement (UE) 2016/ 6679, qui soulignent que l’intérêt spécifique en question doit être déterminé dans l’intérêt de la personne concernée.
51. À titre de bonne pratique, le responsable du traitement peut également, avant la collecte de données à caractère personnel de la personne concernée, fournir à cette dernière des informations sur la pondération qu’il convient de faire afin de pouvoir utiliser l’article 6, paragraphe 1, sous f), comme fondement juridique du traitement. Afin d’éviter de noyer d’informations la personne concernée, ces informations peuvent être reprises dans des avis/déclarations sur la protection de 7 la vie privée à différents niveaux. Les informations fournies aux personnes concernées doivent mettre en évidence qu’elles peuvent recevoir des informations sur la pondération sur demande. Il s’agit d’un aspect essentiel pour une transparence efficace lorsque des personnes concernées ont des doutes quant à l’équité de la pondération effectuée ou souhaitent introduire une plainte auprès d’une autorité de contrôle.
52. La Chambre Contentieuse constate en outre que la déclaration de confidentialité ne mentionne pas la possibilité pour la personne concernée d’exercer son droit d’opposition. Cela constitue une violation de l’article 12.1 du RGPD qui prévoit que le responsable du traitement doit prendre des mesures appropriées pour informer la personne concernée notamment de son droit d’opposition garanti à l’article 21.2 du RGPD.
53. Pour la finalité reprise à la section 8 du point 4.3. de la déclaration de confidentialité «La diffusion d’informations, quels que soient les moyens de communication, sur les actions commerciales, les produits et les services de la compagnie d’assurances et du groupe auquel elle appartient», qui doit être qualifiée de prospection, l’article 21.2 du RGPD prescrit que la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. Il ne ressort d’aucune pièce que le plaignant a été informé de son droit de s’opposer au traitement de ses données à caractère personnel à des fins de prospection. Cela constitue une violation de l’article 13.2.b) du RGPD..
— Point 6 de la déclaration de confidentialité
54. Le point 6 de la déclaration de confidentialité ne mentionne pas non plus toujours le fondement juridique du transfert à chacune des différentes catégories de tiers. À titre de fondement juridique, on mentionne seulement le consentement (art. 6.1.a) du RGPD) au point 6, deuxième section ; on renvoie aux obligations légales du défendeur au point 6, dixième et onzième sections ; on se réfère à l’obligation légale à laquelle la personne concernée est soumise, le cas échéant, pour le paiement de l’impôt international (art. 6.1.c) du RGPD) au point 6, douzième section.
55. Pour les autres cas de transferts à des tiers, le point 6 de la déclaration de confidentialité ne mentionne aucun fondement juridique.
56. C’est par contre le cas dans les conclusions fournies par le défendeur dans le cadre de la procédure devant la Chambre Contentieuse, où le fondement du traitement est indiqué pour chaque transfert mentionné au point 6 de la déclaration de confidentialité. Dans un souci de transparence, le fondement du traitement de l’ensemble des transferts doit être mentionné dans la déclaration de confidentialité afin que le défendeur respecte son obligation en vertu de l’article 13.1.c) du RGPD. Tel n’est toutefois pas le cas, de sorte que la Chambre Contentieuse considère qu’il est question d’une violation de l’article 13.1.c) du RGPD..
57. Toujours en ce qui concerne le point 6 de la déclaration de confidentialité, le défendeur n’indique pas dans son argumentation quel serait son intérêt légitime, qu’il invoque, à traiter les données à caractère personnel du plaignant aux fins de leur transfert aux «compagnies de W auxquelles la compagnie d’assurances appartient, à des fins de contrôle et de rapport» et aux «sous-traitants dans l’Union européenne ou en dehors, responsables des activités de traitement définies par la compagnie d’assurances». L’article 13.1.d) du RGPD exige néanmoins que le responsable du traitement informe la personne concernée à propos de son intérêt légitime si le traitement se fonde sur l’article 6, paragraphe 1, point f). À cet égard, la Chambre Contentieuse se réfère à nouveau aux Lignes directrices sur la transparence au sens du Règlement (UE) 2016/ 8679 et aux éléments précités en la matière.
58. Toutes ces constatations amènent la Chambre Contentieuse à considérer que le défendeur n’a pas rempli ses obligations en vertu de l’article 13.1.c) et d) du RGPD ainsi que de l’article 13.2.b) du RGPD car il n’a pas fourni les informations requises au plaignant et il n’a pas pris les mesures adéquates afin que le plaignant reçoive les informations relatives au traitement visées aux articles 13 et 21.2 du RGPD, comme prescrit par l’article 12.1 du RGPD.
59. Il en découle que le défendeur n’a pas respecté le principe de base selon lequel les données à caractère personnel doivent être traitées d’une manière loyale, licite et transparente à l’égard de la personne concernée (article 5.1.a) du RGPD). En outre, dans la mesure où le défendeur invoque son intérêt légitime comme fondement juridique pour les traitements de données précités, il ne satisfait pas à sa responsabilité (art. 5.2 du RGPD) et l’intérêt légitime ne peut donc pas être considéré comme un fondement juridique valable au sens de l’article 6.1 du RGPD.
d) Analyse d’impact relative à la protection des données
60. Le plaignant souhaite avoir accès à l’analyse d’impact relative à la protection des données (ci-après AIPD) du défendeur. Le plaignant considère qu’une AIPD est obligatoire pour le défendeur, vu qu’il est question de traitements impliquant un risque élevé pour les droits et libertés de personnes physiques.
61. Le défendeur souligne toutefois ne pas être tenu de réaliser une AIPD, vu qu’il traite déjà des données de santé dans le cadre de ses activités de traitement depuis des années et que pour les traitements déjà existants, une AIPD n’est en principe requise que si les risques pour les droits et libertés des personnes physiques changent après le 25 mai 2018. Le défendeur affirme qu’aucun changement en ce sens n’a eu lieu. Le défendeur se base à cet égard sur la Recommandation de l’Autorité de protection des données n° 01/2018 du 28 février 2018 concernant l’analyse d’impact relative à la protection des données et la consultation préalable 9 et sur les Lignes directrices concernant l’analyse d’impact relative à la protection des données et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679. 10.
62. La Chambre Contentieuse considère que dans la mesure où le défendeur traite des données de santé, il s’agit en effet d’un traitement existant présentant un risque élevé, mais qu’il n’existe aucune indication que les risques pour les droits et les libertés des personnes physiques aient changé après le 25 mai 2018, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ce qui nécessiterait une AIPD. Aucune violation de l’article 35 et/ou 36 du RGPD ne peut donc être constatée.
63. La Chambre Contentieuse ajoute toutefois à cela qu’elle suit également sur ce point les Lignes directrices susmentionnées concernant l’analyse d’impact relative à la protection des données, qui stipulent qu’il est de bonne pratique de revoir en permanence et de réévaluer régulièrement une analyse d’impact relative à la protection des données. Même si une AIPD n’est pas requise au 25 mai 2018, il est dès lors nécessaire que le responsable du traitement réalise une AIPD au bon moment dans le cadre de sa responsabilité générale.
64. Concernant la demande du plaignant d’obtenir l’AIPD en question, la Chambre Contentieuse souligne que le RGPD ne prévoit pas d’obligation pour le responsable du traitement de publier une AIPD. Le responsable du traitement décide de manière autonome de publier ou non l’AIPD, en vue de susciter la confiance dans les traitements qu’il effectue et pour faire preuve de responsabilité et de transparence sans toutefois publier à cette fin l’intégralité de l 11’AIPD.
La Chambre Contentieuse estime toutefois qu’il est particulièrement de bonne pratique que les responsables du traitement envisagent de publier au moins certaines parties de leur AIPD, telles qu’un résumé ou une conclusion.
65. Vu qu’il n’existe aucune obligation de communication de l’AIPD dans le chef du défendeur et, partant, qu’il n’y a aucun droit pour le plaignant d’accéder à une AIPD, la Chambre Contentieuse ne peut dès lors pas accéder à la demande du plaignant d’obtenir l’AIPD.
e) Violations du RGPD et sanctions à infliger
66. Les conséquences du non respect des responsabilités en tant que responsable du traitement constituent un risque pour les droits et libertés du plaignant. Le considérant 75 du RGPD dispose que tout «dommage social» résultant du traitement de données à caractère personnel peut être considéré comme pertinent en vertu du RGPD.
67. La Chambre Contentieuse constate que la violation des articles 5.1.a), 5.2, 6.1, 12.1, 13.1.c) et d) et 13.2.b) du RGPD, est avérée et qu’il convient d’ordonner une mise en conformité du traitement avec ces articles du RGPD (art. 58.2.d) du RGPD et art. 100, § 1er, 9° de la LCA), et d’assortir ces mesures correctrices d’une amende administrative (art. 83.2 du RGPD ; art. 100, § 1er, 13° de la LCA et art. 101 de la LCA).
68. La Chambre Contentieuse constate plus particulièrement les violations suivantes :
• Violation de l’article 6.1 du RGPD :
o le traitement de données pour les finalités mentionnées aux sections 1, 2, 3, 4, 6 et 7 du point 4.3. de la déclaration de confidentialité, sans aucun intérêt légitime démontré, n’est pas basé, à tort, sur le consentement du plaignant, à défaut de tout autre fondement juridique potentiellement applicable à l’article 6.1 du RGPD.
o le traitement de données pour les transferts à des tiers mentionnés aux sections 5 et 6 reprises au point 6 de la déclaration de confidentialité, sans aucun intérêt légitime démontré, n’est pas basé, à tort, sur le consentement du plaignant à défaut de tout autre fondement juridique potentiellement applicable à l’article 6.1 du RGPD.
• Violation de la responsabilité établie à l’article 5.2 du RGPD, dans la mesure où le défendeur invoque son intérêt légitime comme fondement juridique pour les traitements de données précisés ci-dessus.
• Violation des articles 12.1, 13.1.c) et d) du RGPD ainsi que de l’article 13.2.b) du RGPD, dans la mesure où le défendeur n’a pas fourni les informations requises au plaignant et a omis de prendre les mesures appropriées afin que le plaignant reçoive les informations visées à l’article 13 et la communication visée à l’article 21.2 du RGPD relatives au traitement, en particulier.
o les points 4.3. et 6 de la déclaration de confidentialité n’établissent pas de distinction claire entre le traitement de données de santé d’une part et le traitement d’autres données à caractère personnel «ordinaires» d’autre part.
o aucune information n’est fournie à la personne concernée à propos de ses intérêts légitimes.
o aucune mesure appropriée n’est prise afin d’informer la personne concernée notamment du droit d’opposition garanti à l’article 21.2 du RGPD.
o la déclaration de confidentialité ne mentionne pas la base de traitement pour tous les transferts.
• Violation du principe de base établi à l’article 5.1.a) du RGPD selon lequel les données à caractère personnel doivent être traitées d’une manière loyale, licite et transparente à l’égard de la personne concernée
69. Outre la mesure correctrice visant à mettre le traitement en conformité avec l’article 5.1.a), l’article 5.2, l’article 6.1, l’article 12.1, l’article 13.1.c) et d) et l’article 13.2.b) du RGPD, la Chambre Contentieuse décide également d’infliger une amende administrative dont le but n’est pas de mettre fin à une infraction commise mais bien de faire appliquer efficacement les règles du RGPD. Comme cela ressort du considérant 148, le RGPD souhaite que des sanctions, y compris des amendes administratives, soient infligées en cas de violations sérieuses, en complément ou à la place des mesures appropriées qui sont imposées. 12 La Chambre Contentieuse agit ainsi en application de l’article 58.2.i) du RGPD. L’instrument de l’acte administrative n’a donc nullement pour but de mettre fin aux violations. À cet effet, le RGPD et la LCA prévoient plusieurs mesures correctrices, dont les ordres cités à l’article 100, § 1er, 8° et 9° de la LCA.
70. Vu l’article 83 du RGPD et la jurisprudence de la Cour 13 des marchés, la Chambre Contentieuse motive l’imposition d’une sanction administrative de manière concrète.:
— La gravité de l’infraction :
la motivation exposée ci-avant démontre la gravité de l’infraction.
— La durée de l’infraction: il ne ressort pas de ce que le défendeur a avancé dans la procédure devant la Chambre Contentieuse que l’infraction a cessé et elle s’est donc poursuivie jusqu’au 25 janvier 2020. À cet égard, la Chambre Contentieuse ne prend pas en compte les ajustements effectués après la clôture des débats concernant les constatations.
— L’effet dissuasif nécessaire en vue de prévenir de nouvelles infractions.
71. En ce qui concerne la gravité de l’infraction (art. 83.2.a) du RGPD), la Chambre Contentieuse souligne que le respect des principes établis à l’article 5 du RGPD — en l’espèce particulièrement les principes de transparence et de licéité ainsi que la responsabilité — est essentiel car cela relève des principes fondamentaux de la protection des données. La Chambre Contentieuse considère dès lors les violations du défendeur au principe de licéité qui est précisé à l’article 6 du RGPD et au principe de transparence qui est établi aux articles 12 et du 13 du RGPD comme des violations graves.
72. Bien qu’aucune donnée de santé des personnes concernées ne soit traitée sans le consentement explicite requis à cet effet et bien que le défendeur invoque un autre fondement juridique pour le traitement des données qui ne relèvent pas d’un régime particulier de protection en vertu du RGPD, la Chambre Contentieuse estime que l’impact relativement important des infractions constatées, qui concernent tous les assurés affiliés à la compagnie d’assurances via une assurance hospitalisation, doit être pris en considération pour fixer l’amende administrative.
73. L’ensemble des éléments exposés ci-dessus justifie une sanction effective, proportionnée et dissuasive, telle que visée à l’article 83 du RGPD, compte tenu des critères d’appréciation qu’il contient. La Chambre Contentieuse attire l’attention sur le fait que les autres critères de l’article 83.2 du RGPD ne sont pas, dans ce cas, de nature à conduire à une autre amende administrative que celle définie par la Chambre Contentieuse dans le cadre de la présente décision.
f) Cadre législatif : relation entre consentement libre et communication de données de santé dans le cadre d’une assurance hospitalisation
74. Par souci d’exhaustivité, la Chambre Contentieuse souhaite attirer l’attention sur la problématique plus large qui doit être analysée en lien avec la plainte, à savoir la collecte de données de santé par les assureurs auprès d’assurés potentiels via leur consentement explicite (art. 9.2.a) du RGPD) dans le cadre de la souscription et de l’exécution d’une assurance hospitalisation et la question connexe de savoir dans quelle mesure le consentement de ces assurés peut être libre. La question se pose de savoir si, outre le consentement explicite, il existe d’autres fondements de traitement possibles sur la base desquels les données de santé peuvent être traitées par le défendeur lors de l’exécution de l’assurance hospitalisation.
75. L’article 9, paragraphe 4 du RGPD dispose que les États membres peuvent introduire des conditions supplémentaires en ce qui concerne le traitement notamment de données concernant la santé. La loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, qui porte exécution du RGPD, ne contient pas de dispositions spécifiques régissant plus en détail le traitement de données à caractère personnel sensibles dans le cadre des assurances. Le défendeur fait remarquer qu’un cadre législatif national en la matière fait défaut. À l’heure actuelle, la Chambre Contentieuse ne peut que se rallier à cette position et noter que le législateur devrait intervenir à cet égard afin de prévoir une base légale spécifique au secteur des assurances qui permette la collecte de données de santé dans des limites bien définies dans le cadre de la relation (pré)contractuelle entre l’assureur et l’assuré.
g) Publication de la décision
76. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l’Autorité de protection des données. Toutefois, il n’est pas nécessaire à cette fin que les données d’identification des parties soient directement communiquées.
PAR CES MOTIFS,
la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération :
— en vertu de l’article 100, § 1er, 9° de la LCA, d‘ordonner au défendeur la mise en conformité du traitement avec les articles 5.1.a), 5.2, 6.1, 12.1, 13.1.c) et d) et 13.2.b) du RGPD.
Décision quant au fond 24/20201717
— en vertu de l’article 100, § 1er, 13° de la LCA et de l’article 101 de la LCA d’infliger une amende administrative de 50.000 euros.
En vertu de l’article 108, § 1er de la LCA, cette décision peut faire l’objet d’un recours dans un délai de trente jours, à compter de la notification, à la Cour des marchés, avec l’Autorité de protection des données comme défendeur.
(sé.) Hielke Hijmans
Président de la Chambre Contentieuse

Document PDF ECLI:BE:GBAPD:2020:DEC.20200514.13

Publication(s) liée(s)

précédé par:

ECLI:BE:GBAPD:2020:ARR.20200313.7

suivi par:

ECLI:BE:GBAPD:2021:DEC.20210705.1

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

✉ [email protected]

©  2017-2026 Service ICT — SPF Justice

Powered by PHP 8.5.0

Server Software Apache/2.4.66

== Fluctuat nec mergitur ==