Le tribunal administratif fédéral autrichien a confirmé une lourde amende contre la poste autrichienne. L'entreprise a traité des données relatives aux opinions politiques ("affinités") sans base légale et les a utilisées à des fins de marketing direct. Ce jugement montre les erreurs que peuvent commettre les entreprises dans le traitement de données sensibles et les conséquences des violations du RGPD.
Faits et déroulement de la procédure
Österreichische Post AG exploitait une vaste base de données d'adresses de groupes cibles, qui était utilisée pour des mesures de marketing ciblées. Différentes caractéristiques personnelles étaient analysées et enregistrées afin de permettre des campagnes publicitaires personnalisées. Un élément central était le calcul des "affinités", qui indiquaient les probabilités qu'une personne s'intéresse à la publicité de certains partis politiques. Ces affinités étaient déduites de données sociodémographiques, de comportements d'achat antérieurs et d'autres critères, puis enregistrées dans la base de données. Les valeurs calculées n'étaient pas seulement utilisées à des fins d'analyse interne, mais également vendues à des entreprises tierces.
En outre, l'entreprise a collecté d'autres données à caractère personnel, notamment des informations sur la fréquence des colis, c'est-à-dire le nombre de fois qu'une personne a reçu des colis au cours d'une période donnée. Ces données ont été obtenues en établissant un lien avec les services logistiques. En outre, l'entreprise a analysé les probabilités de déménagement basées, entre autres, sur les demandes de réexpédition. Ces informations ont été utilisées pour segmenter davantage les groupes cibles.
L'autorité de protection des données s'est intéressée à l'entreprise après que les médias ont fait état d'une possible utilisation abusive de données sensibles. En janvier 2019, elle a lancé une procédure d'audit afin d'examiner la légalité du traitement des données. L'enquête a révélé que l'entreprise n'avait pas obtenu le consentement des personnes concernées pour le traitement de leurs données. Une analyse d'impact relative à la protection des données n'avait pas non plus été réalisée correctement.
Sur la base de ces constatations, une procédure de sanction administrative a été engagée, qui s'est soldée par une amende considérable. L'autorité de protection des données a imposé une amende de 18 millions d'euros pour violation du RGPD. L'entreprise a alors déposé un recours auprès de la Cour administrative fédérale, qui a réévalué l'affaire et examiné en détail le cadre juridique du traitement des données. Par la suite, le montant de l'amende a été ajusté, tandis que les violations de la protection des données constatées ont été confirmées pour l'essentiel.
Le traitement des affinités politiques est contraire au RGPD
Le tribunal a constaté que le traitement des affinités politiques était contraire à l'article 9 du RGPD. Cette disposition interdit en principe le traitement des données à caractère personnel qui révèlent des opinions politiques. Sauf s'il existe l'une des exceptions mentionnées à l'article 9, paragraphe 2, du RGPD. En l'absence de consentement explicite des personnes concernées et d'une autre base juridique légitime pour le traitement, celui-ci a été jugé illicite. L'entreprise avait calculé des probabilités de préférences politiques à l'aide de méthodes statistiques et les avait transmises à des tiers à des fins de publicité électorale ciblée. Cela constitue non seulement une violation de l'interdiction de traiter des données sensibles, mais aussi une violation du principe de transparence et du principe d'équité énoncés à l'article 5, paragraphe 1, du RGPD.
Une autre infraction grave concernait le traitement des fréquences de colis. L'entreprise a utilisé les données relatives aux colis reçus de sa division de livraison de colis afin de réaliser des projections à des fins de marketing. Ces données ont été traitées ultérieurement à l'insu ou sans le consentement des personnes concernées pour une nouvelle finalité non prévue à l'origine. Le tribunal a considéré qu'il s'agissait d'une modification illicite de la finalité au sens de l'article 6, paragraphe 4, du RGPD, car la nouvelle utilisation des données n'était pas compatible avec la finalité initiale de la livraison de colis.
La détermination de la probabilité de déménagement était tout aussi problématique. L'entreprise utilisait les données des demandes de réexpédition pour calculer les probabilités de futurs déménagements de certaines personnes ou ménages. Ces informations ont ensuite été utilisées pour un marketing direct ciblé. Étant donné que les personnes concernées n'avaient pas expressément consenti à ce traitement ultérieur et qu'aucune information claire ne leur avait été fournie sur l'utilisation des données, le tribunal a considéré qu'il s'agissait là aussi d'une violation du RGPD. L'article 14 du RGPD, qui oblige les entreprises à informer les personnes concernées de l'origine et de la finalité des données utilisées, dans la mesure où celles-ci n'ont pas été collectées directement auprès d'elles, était particulièrement pertinent dans ce contexte. L'information insuffisante des personnes concernées constituait donc une violation de l'obligation d'information.
Négligence des bases du RGPD
En outre, le tribunal a constaté que l'entreprise n'avait pas tenu un registre complet des activités de traitement conforme aux exigences. En vertu de l'article 30 du RGPD, les responsables doivent mettre à disposition une documentation complète sur leurs activités de traitement des données. Le registre en question présentait des lacunes importantes, notamment en ce qui concerne la description des catégories de données et de leurs finalités. Une documentation erronée ou incomplète complique non seulement le contrôle par les autorités de surveillance, mais contrevient également à l'obligation de rendre compte visée à l'article 5, paragraphe 2, du RGPD.
L'analyse d'impact relative à la protection des données, requise par l'article 35 du RGPD pour les traitements de données présentant un risque particulièrement élevé, a également été jugée insuffisante. L'évaluation de l'entreprise selon laquelle il n'y avait pas de risque élevé pour les droits et libertés des personnes concernées n'a pas été partagée par le tribunal. En particulier, le traitement des affinités politiques a été considéré comme présentant un risque élevé, étant donné qu'il est susceptible de permettre une influence politique ciblée et qu'il peut avoir un impact considérable sur la vie privée des personnes concernées en cas de divulgation non autorisée. L'absence d'une analyse de risque complète et appropriée a donc été considérée comme une autre violation du RGPD.
Conséquences pour les entreprises
L'arrêt montre que les violations de la protection des données peuvent avoir des conséquences juridiques et économiques considérables. En particulier, le traitement de données sensibles (par exemple, les affinités politiques) sans base juridique claire comporte des risques considérables pour les entreprises. Dans le cas présent, l'autorité de protection des données a infligé une amende de 18 millions d'euros, confirmée par le BVwG, mais réduite à 16 millions d'euros. L'amende a été infligée en raison de plusieurs violations graves du RGPD : notamment en ce qui concerne le traitement illégal de données relatives aux inclinations politiques, le traitement ultérieur de la fréquence des colis et des probabilités de déménagement, ainsi que l'analyse d'impact relative à la protection des données déficiente.
Les entreprises doivent s'assurer que leurs analyses d'impact sur la protection des données couvrent des risques réalistes et reposent sur une base juridique solide. Dans ce contexte, une information transparente des personnes concernées est indispensable pour répondre aux exigences du RGPD. Le règlement exige une base juridique claire et démontrable pour toute modification de la finalité du traitement des données. Si des données à caractère personnel sont traitées sans consentement valable ou sans autre base juridique autorisée, les personnes concernées s'exposent à de lourdes amendes ainsi qu'à d'éventuelles actions civiles.
Le BVwG a également établi que les entreprises peuvent être tenues responsables des violations du RGPD sans que ces violations puissent être directement attribuées à une personne physique. Cette décision suit la jurisprudence de la Cour de justice des Communautés européennes (CJCE) et précise que les personnes morales peuvent être tenues pleinement responsables des violations de la protection des données, même si aucune personne physique responsable ne peut être identifiée. Cela souligne la nécessité pour les entreprises d'adopter une stratégie globale et préventive de protection des données afin d'éviter d'éventuelles amendes et une perte de réputation.
Conseil de lecture : Voici les amendes les plus élevées du RGPD en janvier 2025
Exigences élevées du RGPD en matière de marketing direct
Cet arrêt souligne les exigences élevées en matière de traitement des données dans le domaine du marketing direct et met en évidence les graves conséquences en cas de non-respect du règlement général sur la protection des données (RGPD). Les entreprises doivent non seulement s'assurer que leurs processus de traitement des données sont conformes aux exigences légales, mais également vérifier et adapter en permanence leurs mesures de protection des données.
Les infractions au RGPD peuvent non seulement entraîner des amendes élevées, mais aussi causer de graves dommages à la réputation, ce qui affecte durablement la confiance des clients et des partenaires commerciaux. Le traitement illégal de données sensibles, telles que les affinités politiques ou les informations personnelles issues de demandes de réexpédition, est particulièrement problématique, car il peut porter gravement atteinte à la vie privée des personnes concernées.
Les entreprises devraient donc agir de manière proactive et réaliser des analyses d'impact complètes sur la protection des données afin d'identifier et de minimiser les risques potentiels à un stade précoce. Une communication transparente avec les personnes concernées et le respect de toutes les obligations d'information sont indispensables à cet égard. En outre, des politiques internes claires et une formation des employés sont nécessaires pour garantir la bonne mise en œuvre des règles de protection des données.
En fin de compte, ce jugement montre que la protection des données n'est pas un simple sujet de conformité, mais qu'elle représente un défi stratégique pour les entreprises. Seule une mise en œuvre cohérente et responsable du RGPD permettra aux entreprises de conserver à long terme la confiance de leurs clients et d'éviter des sanctions juridiques.
Source : Arrêt (W258 2227269-1/39E) de la Cour administrative fédérale autrichienne
French 
German 
English 
Italian