2024
L’APD sanctionne l’entreprise de gestion de données Black Tiger Belgium pour manque de transparence
L’APD a imposé aujourd’hui à Black Tiger Belgium (anciennement Bisnode Belgium), une entreprise spécialisée dans le big data et la gestion de données, un total de 174.640 euros d’amendes administratives ainsi que des mesures correctrices pour diverses infractions au RGPD. Cette sanction couvre entre-autres le traitement déloyal de données sans en avoir informé de manière proactive, individuelle et transparente les personnes dont les données sont traitées. L’APD constate également des manquements au niveau de l’exercice des droits des personnes concernées et de la tenue d’un registre d’activités de traitement.
Le contexte
L’APD a reçu une plainte concernant les traitements de données effectués par le «data broker» (courtier en données) Bisnode Belgium, entreprise ensuite rachetée et renommée Black Tiger Belgium. Les plaignants avaient exercé auprès de Bisnode Belgium ce qu’on appelle un « droit d’accès » qui permet à chacun de demander à tout moment à une organisation d’accéder aux données qu'elle conserve à son sujet.
À l’époque où les plaintes ont été déposées, Bisnode Belgium gérait une banque de données de consommateurs ( nommée « CMX ») et une de données d’entreprises (nommée « Spectron ») grâce auxquelles Bisnode Belgium proposait des services de « Data quality » (en vue d’améliorer la qualité des données de ses clients) et de « Data Delivery » (en vue de fournir des données à ses clients, notamment pour la mise en place de campagnes marketing). Ces banques de données étaient constituées de données personnelles provenant de diverses sources externes, telle que la Banque-Carrefour des Entreprises pour ce qui concerne la banque de données Spectron.
Suite à l’acquisition de l’entreprise par le groupe Black Tiger, seules les activités de « Data Quality » et la base de données Spectron ont été maintenues.
Traitement à grande échelle de données sans information suffisante aux personnes concernées
Le RGPD exige que les traitements de données personnelles reposent sur une base de licéité. Dans le cas présent, Black Tiger Belgium invoque son intérêt légitime à traiter les données. Or, pour être valable au sens du RGPD, l’intérêt légitime doit répondre à certaines conditions.
La Chambre Contentieuse de l’APD constate cependant que celles-ci ne sont pas remplies. Entre autres, elle rappelle qu’un intérêt ne peut être légitime s’il contrevient à la législation en vigueur. Or la loi interdit par exemple la redistribution des données de la Banque-Carrefour des Entreprises à des fins de marketing direct.
Elle souligne également le fait que l’entreprise collecte indirectement et traite à grande échelle des données personnelles, pendant une longue période (les données sont conservées 15 ans), sans que les personnes concernées ne soient informées individuellement de manière claire et proactive des traitements effectués. Or, ces traitements peuvent les impacter de manière significative. Par exemple, l’un des plaignants indique avoir fait l’objet d’un profilage par l’un des clients de Black Tiger Belgium, sur base des données fournies par l’entreprise. Pour l’APD, Black Tiger Belgium n’a pas suffisamment pris en compte ce genre de risques au moment de faire la balance entre son intérêt légitime et celui des personnes concernées. Par ailleurs, l’intérêt de Black Tiger Belgium ne peut primer sur celui des personnes concernées à partir du moment où, n’ayant pas été informées sur les traitements effectués, elles ne peuvent exercer un contrôle approprié sur leurs données personnelles.
L’APD estime qu’une conservation des données pendant 15 ans ne se justifie pas, en particulier dans le cadre de la fourniture de services de « Data Quality », qui ne nécessitent que la conservation des données les plus actuelles.
Hielke Hijmans, Président de la Chambre Contentieuse : « La transparence est la pierre angulaire sur laquelle repose le RGPD. C’est parce qu’elle est informée que ses données sont traitées qu’une personne peut exercer les droits que lui confère le RGPD, comme par exemple le droit de s’opposer à un traitement. Pour un data broker, il est primordial de respecter cette obligation, ce que Black Tiger Belgium n’a pas fait.»
De surcroit, l’APD a constaté que Black Tiger Belgium n’avait pas répondu de manière complète aux demandes d’accès des plaignants. Elle pointe également dans sa décision qu’il manque des informations dans le registre des activités de traitement de l’entreprise.
Sanctions : mesures correctrices et amendes administratives
Sur la base des infractions constatées, la Chambre Contentieuse de l’APD impose 3 amendes administratives distinctes à Black Tiger Belgium, qui s’élèvent ensemble à un total de 174.640 euros. Ces amendes portent d’une part sur le traitement illégal et déloyal de données personnelles sans informer les personnes concernées de manière proactive, individuelle et transparente, d’autre part sur l’absence de réponse appropriée aux demandes des personnes concernées d'exercer leur droit d’accès tel que conféré par le RGPD, et enfin sur les manquements liés au registre des activités de traitement.
Dans le calcul des amendes, la Chambre Contentieuse a pris en compte au titre de circonstance atténuante le fait que Black Tiger Belgium a mis un terme à ses services de fourniture de données (« Data Delivery ») et détruit sa base de données consommateurs (« CMX »).
En complément de ces amendes, la Chambre Contentieuse impose également à Black Tiger Belgium une série de mesures correctrices, dont l’arrêt du service B2B « Data Quality » jusqu’à ce que les personnes concernées pour lesquelles l’entreprise dispose de données de contact soient notifiées de manière proactive et individuelle des traitements de données effectués. L’entreprise devra notamment informer les personnes de leur droit de s’opposer au traitement de leurs données. En ce qui concerne les autres personnes, pour lesquelles Black Tiger Belgium ne disposerait pas de données de contact, la Chambre Contentieuse interdit définitivement le traitement de leurs données personnelles étant donné l’absence d’une base de licéité valable au sens du RGPD.
Hielke Hijmans : « Des manquements aux principes de licéité, loyauté et transparence sur plusieurs années dans le cadre du traitement et de la commercialisation de données sont des infractions graves, car elles privent les personnes concernées de leur pleine capacité à contrôler leurs données personnelles. C’est pourquoi il est important d’imposer une sanction forte mais proportionnée, dont le caractère dissuasif permettra d’améliorer durablement la protection des données des Belges. »
Les parties concernées par la décision disposent d’un délai de 30 jours pour faire appel.