16 déc
2021

L’APD clarifie les règles en matière d’envois fréquents de mails par des plateformes de lancement de pétitions

L’Autorité de protection des données impose une réprimande à la plateforme de pétitions en ligne Change.org en lui ordonnant de faciliter l’accès à sa politique de confidentialité, aux données pour la contacter et aux modalités d’exercice des droits des destinataires des pétitions dès le premier mail qui leur est envoyé.  Pouvoir exercer son droit d’opposition dans ce cadre est essentiel pour s’opposer à l’envoi facile et fréquent d’emails non sollicités.


Un dirigeant d’une société de transports a introduit une plainte auprès de l'APD pour l’envoi répétitif d’emails concernant une pétition contre le développement d’une future ligne de métro à Bruxelles pour laquelle il était identifié comme destinataire. La plainte est dirigée contre un collectif d’associations ayant initié la pétition et contre la société Change.org. La partie plaignante dénonce l’absence de base légale pour l’utilisation de l’adresse mail du plaignant, une fréquence abusive d’envois de courriers électroniques, ainsi que le manque d’information et de transparence qui aurait empêché le plaignant d’exercer ses droits (aisément) comme le prévoit le RGPD.

Base légale pour le traitement de données

Change.org, considérée comme responsable conjoint du traitement par la Chambre Contentieuse, invoque l’intérêt légitime comme base légale pour le traitement des données. La Chambre Contentieuse estime que cette base légale ne peut être invoquée pour les emails envoyés au plaignant à l’époque des faits. En effet, même si elle est d’avis que la prise de contact avec l’autorité publique était légitime pour exercer le droit de pétition, le fait que le plaignant ait été contacté à de nombreuses reprises sur son adresse mail professionnelle nominative sans qu’il n’ait eu la possibilité de s’y opposer implique une entorse au RGPD.

Bien que le droit de pétition soit une liberté constitutionnelle, ce droit date de 1831 et ne prévoyait à l’époque pas nécessairement l’utilisation de plateformes automatisées et d’outils numériques pour faciliter l’envoi de pétitions de manière régulière.

Manque d’information et de transparence sur l’exercice des droits en matière de protection des données

Dès les premiers mails envoyés, la société de pétition en ligne n’a pas mentionné de lien vers sa politique de confidentialité, ni de données de contact. Aucune information concernant l’exercice du droit d’opposition pour limiter l’envoi de mails n’a donc été fournie.

La Chambre Contentieuse rappelle que le droit d’opposition est essentiel, surtout lorsque des communications non sollicitées sont envoyées. De ce fait, le RGPD impose un accès facile dès la première communication vers la politique de confidentialité ainsi qu’une procédure facile et claire pour l’exercice de ses droits, dont le droit d’opposition.

Décision

La Chambre Contentieuse impose une réprimande à Change.org en lui ordonnant de communiquer dès la première prise de contact, et de manière plus transparente, sur l’exercice des droits des personnes concernées, de mentionner un lien vers la politique de confidentialité et de lui soumettre une preuve de cette mise en conformité.  

Hielke Hijmans, Président de la Chambre Contentieuse : "Nous avons dû mettre en balance deux droits fondamentaux, notamment le droit à la pétition et le droit à la protection des données. Exercer son droit de pétition en envoyant des mails sans que les destinataires n'aient la possibilité de s'y opposer présente une réelle intrusion en matière du droit à la protection des données. C'est la raison pour laquelle nous avons décidé que l'intérêt légitime n'était pas une base légale légitime dans le cas d'espèce. D'autant plus que le droit à la pétition est un droit qui existe depuis tellement longtemps, à l’époque ce droit ne tenait pas compte des nouvelles technologies et plateformes etc qui permettent actuellement d'envoyer des courriels rapidement et facilement".

David Stevens, Président de l'APD: "Bien informer les citoyens au préalable sur ce qui compte être fait des données qui ont été récoltées à leur sujet est une condition primordiale pour tout traitement de données à caractère personnel. Les citoyens doivent pouvoir décider de manière informée s’ils sont d’accord ou pas avec les traitements envisagés les concernant".

Liens intéressants