L’autorité hongroise de protection des données a infligé une amende de 80 millions HUF (environ 195 000 €) à une entreprise pour avoir utilisé des données destinées à des recherches de marché à des fins de marketing direct.
La DPA hongroise a répondu aux plaintes de plusieurs personnes concernées qui avaient reçu une invitation non sollicitée de l’entreprise à un test de dépistage.
Aucun consentement n’avait été obtenu des plaignants (I), et ceux-ci n’avaient pas non plus été informés de la finalité et de la base légale du traitement des données (II).
Les faits
L'entreprise demandait régulièrement au ministère de l'Intérieur les noms et adresses des personnes concernées afin de les contacter. Elle affirmait, dans la demande, que la finalité du traitement des données était, d'une part, la prise et le maintien de contacts à des fins de marketing direct et, d'autre part, à des fins d'études de marché.
Toutefois, il a été démontré que dans les dernières demandes de l'entreprise, elle ne mentionnait plus la finalité de marketing direct, mais seulement la seconde finalité, relative à des fins d'études de marché.
De plus, elle considérait que le consentement était donné de façon automatique. Elle fonde l'existence du consentement au traitement sur le fait de l'inscription dans un registre public.
La décision de la DPA hongroise
I - Le consentement de personnes inscrites dans un registre public
Pour rappel, selon le considérant 42 et l'article 7 du règlement général sur la protection des données (RGPD), lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement.
La DPA hongroise considère que les citoyens inscrits dans un registre public n'ont pas le choix d'être inscrits ou non dans ce registre. Il ne peut donc être basé sur le consentement volontaire des personnes concernées. De ce fait, le « silence » de la personne concernée ne signifie pas qu'elle a consenti à la divulgation de ses données personnelles.
De plus, le consentement est étroitement lié à une information préalable adéquate : la personne concernée doit disposer d'informations adéquates sur les circonstances du traitement avant que la décision de donner son consentement ne soit prise.
Dans cette affaire, tous les éléments du consentement font défaut, et l'entreprise ne démontre pas que la personne a donné son consentement au traitement. Elle viole ainsi l'article 7 du RGPD.
II - La finalité de la collecte des données
Le principe est que la collecte de données à caractère personnel ne doit être effectuée que pour des finalités déterminées, explicites et précises, à des fins légitimes, et ne pas être traité d'une manière incompatible avec ces fins, conformément à l'article 5.1 du RGPD. Elles doivent être déterminées au moment de la collecte des données personnelles.
Selon la déclaration de l'entreprise, l'utilisation des données demandées a pour but de contacter et de maintenir le contact dans le cadre d'études de marché et d'opinion publique. Il convient toutefois de noter que, malgré la nouvelle finalité de l'utilisation des données (étude de marché) indiquée dans la déclaration, la pratique réelle de l'utilisation des données par l'entreprise n'a pas changé jusqu'en juillet 2021.
De ce fait, « l'étude de marché » en tant que finalité du traitement des données indiquée dans le prospectus masque la finalité réelle.
En conclusion, l'entreprise a violé le principe de limitation des finalités, conformément à l'article 5.1 du RGPD.
Pour en savoir plus sur comment optimiser la gestion du registre des traitements RGPD, cliquez sur le lien ci-dessous :