Hongrie : Sanction d'une entreprise pour avoir utilisé des données destinées à des recherches de marché à des fins de marketing direct

Hongrie : Sanction d'une entreprise pour avoir utilisé des données destinées à des recherches de marché à des fins de marketing direct
Maëva Vidal

L’autorité hongroise de protection des données a infligé une amende de 80 millions HUF (environ 195 000 €) à une entreprise pour avoir utilisé des données destinées à des recherches de marché à des fins de marketing direct.

La DPA hongroise a répondu aux plaintes de plusieurs personnes concernées qui avaient reçu une invitation non sollicitée de l’entreprise à un test de dépistage.

Aucun consentement n’avait été obtenu des plaignants (I), et ceux-ci n’avaient pas non plus été informés de la finalité et de la base légale du traitement des données (II).

Les faits

L'entreprise demandait régulièrement au ministère de l'Intérieur les noms et adresses des personnes concernées afin de les contacter. Elle affirmait, dans la demande, que la finalité du traitement des données était, d'une part, la prise et le maintien de contacts à des fins de marketing direct et, d'autre part, à des fins d'études de marché.

Toutefois, il a été démontré que dans les dernières demandes de l'entreprise, elle ne mentionnait plus la finalité de marketing direct, mais seulement la seconde finalité, relative à des fins d'études de marché.

De plus, elle considérait que le consentement était donné de façon automatique. Elle fonde l'existence du consentement au traitement sur le fait de l'inscription dans un registre public.

La décision de la DPA hongroise

I - Le consentement de personnes inscrites dans un registre public

Pour rappel, selon le considérant 42 et l'article 7 du règlement général sur la protection des données (RGPD), lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement.

La DPA hongroise considère que les citoyens inscrits dans un registre public n'ont pas le choix d'être inscrits ou non dans ce registre. Il ne peut donc être basé sur le consentement volontaire des personnes concernées. De ce fait, le « silence » de la personne concernée ne signifie pas qu'elle a consenti à la divulgation de ses données personnelles.

De plus, le consentement est étroitement lié à une information préalable adéquate : la personne concernée doit disposer d'informations adéquates sur les circonstances du traitement avant que la décision de donner son consentement ne soit prise.

Dans cette affaire, tous les éléments du consentement font défaut, et l'entreprise ne démontre pas que la personne a donné son consentement au traitement. Elle viole ainsi l'article 7 du RGPD.

II - La finalité de la collecte des données

Le principe est que la collecte de données à caractère personnel ne doit être effectuée que pour des finalités déterminées, explicites et précises, à des fins légitimes, et ne pas être traité d'une manière incompatible avec ces fins, conformément à l'article 5.1 du RGPD. Elles doivent être déterminées au moment de la collecte des données personnelles.

Selon la déclaration de l'entreprise, l'utilisation des données demandées a pour but de contacter et de maintenir le contact dans le cadre d'études de marché et d'opinion publique. Il convient toutefois de noter que, malgré la nouvelle finalité de l'utilisation des données (étude de marché) indiquée dans la déclaration, la pratique réelle de l'utilisation des données par l'entreprise n'a pas changé jusqu'en juillet 2021.

De ce fait, « l'étude de marché » en tant que finalité du traitement des données indiquée dans le prospectus masque la finalité réelle.

En conclusion, l'entreprise a violé le principe de limitation des finalités, conformément à l'article 5.1 du RGPD.

Pour en savoir plus sur comment optimiser la gestion du registre des traitements RGPD, cliquez sur le lien ci-dessous :


newsletter

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution *

*Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.

Renforcement de la cybersécurité en Europe par la Directive NIS 2

La Directive NIS2 sur la cybersécurité vise à harmoniser les règles nationales en matière de cybersécurité et à établir un cadre réglementai...

Maëva Vidal

Nouvelle version 1.5.1 : planification et domaines e-mails

L'équipe R&D de Dastra s'est focalisée sur de nombreuses nouveautés.

Antoine Bidault

La protection des données personnelles : une défense nécessaire pour l'individu en cas d'abus

L'AEPD a sanctionné un syndicat de copropriété pour avoir inclus, sans le consentement de la personne concernée, le numéro de téléphone dans...

Maëva Vidal

Procédure simplifiée de la CNIL : les premières sanctions déjà en 2022 !

La CNIL inflige les premières sanctions sur la base de la procédure simplifiée.

Jérôme  de Mercey

Envie de vous lancer ?

Découvrez Dastra en créant un compte en quelques minutes et commencez à cartographier vos traitements, faire des audits... Vous pouvez également nous contacter pour une démonstration adaptée à vos besoins.

Essayez gratuitement Demander une démo

Essai gratuit 30 jours - Sans carte bleue - Sans engagement