L'APD met un frein au commerce de données à caractère personnel lié aux fameuses "boîtes roses"

---

Un manque de transparence quant au commerce de données des clients

L’APD a lancé une enquête suite à une plainte visant Family service, une entreprise de marketing qui propose des « boîtes roses » comprenant des échantillons, des offres spéciales et des fiches informatives aux futures mamans. La plainte portait notamment sur le transfert de données personnelles à des organisations tierces sans consentement valable de la part du client et sans fourniture d’information suffisante.

La Chambre Contentieuse de l’APD a en effet constaté que l’entreprise louait et/ou vendait des données personnelles dans un but commercial. Ces pratiques n’étaient cependant pas indiquées dans la communication aux clients de manière claire et compréhensible. Il est dans le cas d’espèce d’autant plus important pour l’entreprise de bien informer le client sur ces pratiques, sachant que les boites roses étaient distribuées via des gynécologues et des hôpitaux, ce qui aurait pu laisser croire aux clients que l’initiative provient du secteur public, et non pas d’une entreprise privée dont le cœur de l’activité est le commerce de données.  Celle-ci se présente en outre comme un « service national de promotion d’articles pour les enfants», ce qui augmente d’autant plus la confusion dans le chef des personnes concernées.

Les données des clients n’étaient pourtant pas seulement transférées à des prestataires qui offrent des services liés à de jeunes enfants, mais également à d’autres types de partenaires comme des commerçants de données.

Ce manque d’information résulte en un risque concret pour les clients, qui perdent ainsi le contrôle sur leurs données car ils se trouvent confrontés à des traitements imprévus de leurs données personnelles, effectués par des organisations tierces qu’ils ne connaissent pas, dans des buts qui ne leur ont pas été définis.

Les conditions pour un consentement valable non respectées

Par ailleurs, la Chambre Contentieuse rappelle qu’un consentement, pour être considéré comme valable au sens du RGPD (Règlement général sur la protection des données) doit répondre à un certain nombre de conditions. En plus d’être informé, le consentement doit  être librement donné, c’est-à-dire que la personne concernée doit pouvoir réellement choisir si elle souhaite ou non donner son accord au traitement de ses données. On ne peut ainsi pas considérer qu’un consentement est libre si le fait de ne pas consentir implique la perte des avantages liés à la réception de la boîte rose (comme par exemple les fiches d’information qu’elle propose).

De plus, un consentement doit être spécifique. La personne concernée doit donner son consentement pour une finalité qui est déterminée. Si une organisation demande le consentement d’un client pour plusieurs finalités, le client doit avoir la possibilité de consentir ou non de manière distincte pour chacune de celles-ci. Or l’APD a constaté que l’accord donné par un client pour recevoir les avantages liés à la « boite rose » impliquait dans le cas d’espèce automatiquement un accord pour des transferts de données.

La sanction : un signal clair pour les data brokers

Vu le nombre de personnes concernées (l’entreprise traite des données portant sur 21,10 % de la population belge), la gravité de l’infraction et la nature des données traitées (notamment des données concernant des enfants), l’APD a décidé d’imposer à l’entreprise qui distribue « les boîtes roses » une amende de 50.000 euros, et lui a ordonné de se mettre en conformité avec le RGPD. Il s’agit vu la taille de l’entreprise d’une somme importante, mais la Chambre Contentieuse de l’APD a estimé qu’une sanction forte était nécessaire. Le business model de Family Service n’est manifestement pas conforme au RGPD, et les infractions constatées sont graves.

Hielke Hijmans, Président de la Chambre Contentieuse : « On pourrait s’attendre de la part d’une entreprise dont le cœur d’activité est le traitement (et plus particulièrement ici le commerce) de données personnelles à ce qu’elle mette tout en œuvre pour respecter les principes de la protection des données et les règles édictées par le RGPD. Il est essentiel que ce qu’on appelle les data brokers (des commerçants de données), de par leur business model invasif, travaillent dans la transparence la plus totale, et de manière à ce que les citoyens puissent garder le contrôle sur les données qui les concernent. Présenter de manière incomplète et trompeuse comment des données vont être utilisées est contraire aux règles belges et européennes en matière de protection des données. C’est pourquoi la Chambre Contentieuse a imposé une sanction relativement élevée.»

David Stevens, Président de l’APD : « Le marketing direct et le commerce des données figurent tous les deux parmi nos priorités 2020-2025 (identifiées dans notre Plan Stratégique). Nous espérons que la décision d’aujourd’hui enverra un signal clair aux entreprises actives dans le commerce de données, afin que de telles pratiques ne se reproduisent plus. Cette décision est un bel exemple de notre nouvelle approche en tant qu’autorité : l’année passée nous avons publié une recommandation détaillée sur le marketing direct, dans laquelle nous avons clarifié autant que possible les règles en vigueur. Les acteurs concernés étaient donc très clairement prévenus, ou du moins auraient dû l’être. Aujourd’hui nous avons concrètement fait appliquer ces règles, avec la sanction qui s’impose. Clarifier et faire appliquer les règles sont les deux principaux moyens par lesquels nous pouvons assurer une meilleure protection de la vie privée.»

 

Le 7 juillet 2021, la Cour d’appel (section Cour des marchés) a statué concernant le recours introduit contre la décision 04/2021 de la Chambre Contentieuse. La Cour des marchés a déclaré le recours recevable, mais non fondé (lisez l’arrêt en néerlandais ici).