2022
Contrôles de température : l’APD met les aéroports de Zaventem et Charleroi à l’amende*
*La décision a été partiellement annulée par les arrêts 2022/AR/560 & 2022/AR/564 en ce qui concerne l'aéroport de Zaventem, et entièrement annulée en ce qui concerne Ambuce Rescue Team. La décision a été partiellement annulée par l'arrêt 2022/AR/556 en ce qui concerne l'aéroport de Charleroi.
L’APD a imposé une amende de 200.000 euros à Brussels Airport Zaventem, et de 100.000 euros à l’aéroport Brussels South Charleroi pour les contrôles de température des passagers effectués dans le cadre de la lutte contre le COVID-19. Pour l’APD, ces aéroports ne disposaient pas d’une base légale valable pour traiter ces données de santé des voyageurs.
Traitement de données sensibles sans base légale valable
En 2020, après avoir appris par voie de presse que Brussels Airport mesurait la température des passagers, le comité de direction de l’APD avait décidé de saisir son Service d’Inspection. En parallèle, le Service d’Inspection lui-même commençait une enquête de sa propre initiative sur un traitement de données similaire à l’aéroport de Charleroi. L’APD s’interrogeait principalement sur la base légale sur laquelle reposait ce traitement de données liées à la santé des passagers.
Dans ces deux aéroports, des caméras thermiques permettaient de filtrer des personnes ayant plus de 38°C de température. A Zaventem, ces personnes se voyaient ensuite soumettre un questionnaire sur de possibles symptômes liés au coronavirus. Ce second contrôle était effectué par l’entreprise Ambuce Rescue Team.
Ces contrôles de température ont eu lieu de juin 2020 à mars 2021 dans le cas de l’aéroport de Charleroi, et de juin 2020 à janvier 2021 à l’aéroport de Zaventem.
Au terme de son analyse, la Chambre Contentieuse a constaté, rapport du Service d’Inspection à l’appui, que les aéroports manquaient d’une base légale valable pour traiter des données liées à la température des voyageurs, et ce en particulier vu qu’il s’agit de données de santé. Des données de ce type étant des données sensibles, elles ne peuvent en principe pas être traitées, sauf dans un nombre très limité d’exceptions (listées à l’article 9.2 du RGPD). Un traitement pour des motifs de santé publique ou d’intérêt public important font par exemple partie de ces exceptions, à condition qu’il se base sur une norme de droit claire, précise et dont l’application est prévisible pour les personnes concernées, or les contrôles de température reposaient ici principalement sur un protocole, qui ne satisfait pas à ces exigences.
De surcroit, l’APD a observé des manquements en termes d’information fournie aux voyageurs, et de qualité des analyses d’impact (c’est-à-dire l’analyse des risques liés au traitement de données).
David Stevens, Président de l’APD : «Cette décision met en exergue l’importance de réaliser une analyse d’impact de manière rigoureuse et complète, et ce avant de mettre en place un traitement de données susceptible d’engendrer un risque pour les individus. Mieux vaut prévenir que guérir est un principe qui a également toute son importance dans le domaine de la protection des données. »
Sanctions pour une mesure prise dans le cadre de la lutte contre le Covid-19
Pour ces manquements, la Chambre Contentieuse impose une réprimande, ainsi qu’une amende à chacun des aéroports, à savoir :
- 200.000 euros d’amende à Brussels Airport Zaventem ;
- 100.000 euros d’amende à Brussels South Charleroi Airport.
Elle impose également 20.000 euros d’amende à Ambuce Rescue Team.
L’APD souligne que dans sa décision, elle a pris en compte le contexte de la crise sanitaire. Elle rappelle que dès le début de la pandémie du Covid-19, elle a tenu à informer de manière proactive les organisations sur les règles applicables aux traitements de données effectués dans le cadre de la crise Covid-19, dont notamment les contrôles de température.
Les organisations concernées peuvent déposer un recours contre cette décision auprès de la Cour des marchés.
Hielke Hijmans, Président de la Chambre Contentieuse : « Nous entendons bien que les entreprises ont été touchées de plein fouet par la pandémie, et qu’elles ont dû mettre en place dans l’urgence des mesures encore jamais vues auparavant. Cependant, les règles en matière de vie privée sont une protection essentielle pour les droits et libertés des personnes, et doivent donc être respectées. Il est de notre devoir, en tant qu’Autorité chargée de la protection des données, de les faire appliquer. Notre décision aujourd’hui est d’autant plus importante qu’elle pourra servir de guide pour d’éventuels traitements de données similaires, que ce soit ou non dans le cadre de la crise sanitaire.»