Demandes de droits RGPD : pas de formulaire apparaissant comme « obligatoire »

Par Bruno RASLE • Expert RGPD - Formateur de DPO • 29 juillet 2024 • LinkedIn

En Autriche, un responsable de traitement a été sanctionné principalement pour avoir fait croire aux personnes concernées qu'elles ne pouvaient utiliser qu'un formulaire en ligne pour exercer leurs droits RGPD. La Cour a considéré que cela contrevenait à l'article 12.2 du RGPD qui dispose que « Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée ». Mais la lecture du jugement soulève un certain nombre de questions, de nombreux sites Web donnant la furieuse impression que les demandes de droits ne peuvent être qu’ainsi formulées …

Les faits

La société (dont la raison sociale n'est pas dévoilée dans la décisionNo. W137 2248575-1/31Ede la Cour fédérale administrative autrichienne) est responsable de traitement.

Le document indique qu’en 2019, on a appris qu'elle avait affecté à 2,2 millions de personnes une classification marketing selon leur « affinité partisane/politique » supposée, à leur insu. Il ne faut pas chercher bien loin pour deviner qu'il s'agit de la Poste autrichienne (Österreichische Post, contrôlée à 52,8% par l'État autrichien). À l'époque, elle avait assuré ne rien voir d'illégal à cette pratique : elle avait développé un modèle permettant d'établir l'affinité partisane probable d'une personne afin de limiter les envois inutiles de courriers quand elle diffuse des campagnes pour le compte de partis politiques.

Quand cela s’est su, elle a reçu en l'espace de quelques mois plus de 30.000 demandes de droits RGPD. Pour faire face à cet afflux, la Poste a mis en place un formulaire en ligne.

Sur ce point précis, l'autorité de protection des données autrichienne (DSB) a reproché principalement à la Poste : de ne permettre aux personnes concernées d'exercer leurs droits RGPD que via le formulaire ; de ne rendre possible dans le formulaire que l'exercice de trois droits : ceux relatifs aux articles 15 (accès), 17 (effacement) et 21 (opposition) du RGPD.

De plus, l'autorité constate que la Poste : n'a pas toujours répondu aux demandes d'accès de façon totalement satisfaisante (quelques réponses hors délai ou incomplètes) ; n'a pas toujours communiqué aux personnes concernées d'informations sur son recours à la prolongation des délais tel que le prévoit l'article 12.3 du RGPD ; n'a pas toujours invité les demandeurs à prouver leur identité en présentant d'autres documents (ou informations) que leur pièce d'identité avec photo.

La Poste autrichienne a fait valoir qu'elle avait fait son possible pour répondre le plus rapidement et le plus efficacement possible à toutes les demandes reçues.

En proposant un formulaire en ligne, la Poste croyait sans doute bien faire

Concernant le formulaire en ligne, la Poste indique :

- que, préalablement (depuis 2018), les demandes pouvaient être formalisées par courrier postal, par fax, via le centre de service à la clientèle et enfin via une adresse électronique (mais pas par formulaire en ligne) ;

- qu'elle a mis en ligne le formulaire le 17 juillet 2019, quand elle a constaté une explosion du nombre de demandes (pour elle, le formulaire de contact mis en place constituait le meilleur moyen - au sens de l'article 12.2. du RGPD - de faire face à un grand nombre de demandes) ;

- que le choix de n'évoquer que trois droits des personnes concernées dans le formulaire a été fait en relevant les principaux droits invoqués par les premiers demandeurs ;

- que les autres demandes pouvaient toujours être formulés par courrier postal, fax ou via le centre de service à la clientèle ;

- que ce formulaire en ligne n'a jamais été obligatoire : les personnes concernées disposaient également d'une adresse électronique ;

- que les demandes qui ne pouvaient pas être traitées via le formulaire de contact [c'est à dire les autres droits RGPD] continuaient à être acceptées par les autres canaux, comme cela était indiqué dans les informations relatives à la protection des données et sur le formulaire.

En retour, l'autorité de contrôle remarquait que, quand les personnes concernées continuaient à utiliser l'ancienne adresse électronique, elles recevaient un message automatique qui leur indiquait qu'elles devaient utiliser le formulaire. De plus, à partir du 22 avril 2020, cette boîte email a été définitivement désactivée et un avis de non distribution a été envoyé aux personnes concernées qui se sont adressées à elle.

Il est précisé que la Poste n'a pas mis en œuvre d'espace en ligne sécurisé permettant aux personnes concernées, de façon autonome, de prendre connaissance des données que le responsable de traitement détient les concernant.

Convoqué, le responsable de traitement a indiqué qu'il n'avait jamais été tenté de restreindre les droits des personnes concernées et que l'afflux de demandes avait rendu ce changement absolument nécessaire. La Poste a également précisé qu'une copie de la carte d'identité lui semblait absolument nécessaire.

Le responsable de traitement est sanctionné

Le 28 septembre 2021, l'autorité autrichienne a rendu une décision de sanction (DSB D550.289) à l'encontre du responsable de traitement pour violation de son obligation de faciliter l'exercice des droits des personnes concernées.

Elle a ainsi motivé sa décision :

- En rendant le formulaire obligatoire, la Poste a violé le principe de facilitation et a rendu l'exercice de leurs droits plus difficile pour les personnes concernées ;

- Elle a notamment refusé d'accepter des demandes par d'autres canaux ou n'a traité des demandes qu'après le refus des personnes concernées d'utiliser le formulaire ;

- Dans la mesure où la Poste a prétendu autoriser d'autres canaux, elle n'a pas suffisamment informé les personnes concernées de ces possibilités : elle a plutôt donné l'impression que seule une prise de contact via le formulaire prévu était possible. Il s'agissait doncde factod'une utilisation obligatoire du formulaire de contact ;

- La limitation à trois droits de la personne concernée est « inadmissible » ;

- Reprenant son analyse précédente, l'information selon laquelle il était possible d'exercer les autres droits était présentée de manière non transparente (L'impression était donnée que seuls trois droits des personnes concernées pouvaient être exercés) ;

- Le formulaire prévoyait une identification exclusivement au moyen d'une pièce d'identité avec photo en cours de validité, les autres méthodes d'identification n'étant pas possibles.

L'autorité considère également que le responsable de traitement a commis une infraction en ne se préparant pas à un éventuel afflux de demandes, ce qui est à l'origine de la violation systématique des droits des personnes concernées.

L'autorité impute ce manque de diligence au conseil d'administration, qui n'a pas mis en œuvre un système de contrôle interne efficace et à la personne en charge du traitement des demandes, qui aurait dû se rendre compte que les mesures ne répondaient pas à l'article 12.2 du RGPD (facilitation des demandes de droits).

L'autorité n'a pas voulu entendre le responsable de traitement, qui indiquait en défense que «C'est précisément le risque d'une violation du RGPD, en raison du traitement manuel du très grand nombre de demandes, qui a rendu nécessaire l'automatisation partielle du processus par un formulaire en ligne».

Recours devant le tribunal administratif

La Poste a déposé un recours contre la décision devant le Tribunal administratif fédéral. Les audiences font apparaitre des points nouveaux ou des précisions de la part de la Poste :

- Bien qu’ayant traité plus de 30.000 demandes en l'espace de quelques mois, des complications ou erreurs ne sont survenues que dans moins de cent cas ;

- Au début, elle n'indiquait accepter comme preuve d'identité que la copie d'une pièce d'identité avec photo. Quand il a été constaté que des personnes concernées prenaient l'initiative de présenter d'autres moyens d'identification, des instructions ont été données aux personnels pour élargir la liste des moyens d'authentification acceptés (mais la mention d'information n'a pas été modifiée). En septembre 2020, la possibilité officielle pour les personnes concernées de s'identifier par signature numérique (signature au niveau du smartphone) a été ajoutée ;

- Toutes les demandes considérées comme incomplètes ou insuffisamment identifiées, n'ont pas été traitées ;

- Les mesures prises par la Poste n'étaient pas intentionnellement motivées par l'objectif d'une restriction des droits des personnes concernées, mais avaient pour but le traitement structuré et sécurisé des demandes ;

- Il n'y a pas eu de dommages significatifs pour les personnes concernées à cause des faits reprochés. Le traitement a été effectué dans le cadre d'unetaskforce spécialement mise en place par l'entreprise afin d'éviter toute conséquence négative pour les personnes concernées ;

- L'autorité ne peut prouver que la Poste a fait preuve d'une « négligence », car la plaignante a démontré de manière crédible dans ses mémoires que sa démarche était intentionnellement motivée par le souhait de sécuriser le traitement des demandes des personnes concernées et que des mesures correctives ont été prises à plusieurs reprises ;

- Le sérieux de la gestion de crise et la rapidité de l'intervention de la Poste sont également à prendre en compte.

La Poste est déboutée mais…

La Cour fédérale administrative a confirmé l'analyse de l'autorité de protection des données (Restriction de l'exercice des droits des personnes concernées) mais a réduit l'amende à 550.000 euros (au lieu de 1.050.000 euros), considérant que l'action de la Poste (concernant la gestion des demandes de droits RGPD) ne constitue qu'une négligence légère. Elle a tenu compte de la posture coopérative du responsable de traitement et du fait qu'il avait déjà procédé à des «améliorations» au cours de la procédure. Le tribunal a précisé que «Malgré cela, une amende était nécessaire en raison de l’importance économique du responsable de traitement, ainsi que de sa préparation inadéquate alors qu'il est éditeur d'adresses postales, un domaine d'activité particulièrement sensible s’agissant de protection des données personnelles».

Pour le tribunal, les personnes concernées doivent être informées de leurs droits liés au traitement, ainsi que de la manière de faire valoir ces droits. Ces informations doivent être précises, facilement accessibles et compréhensibles, et rédigées dans un langage clair et simple. Or, en n’informant pas suffisamment (ou pas assez clairement) les personnes concernées des possibilités alternatives pour déposer leurs demandes de droit, le responsable de traitement a dressé un obstacle supplémentaire. De plus, la formulation présente dans le formulaire a pu donner aux personnes concernées l'impression - trompeuse - qu'elles ne pouvaient exercer que trois droits : «Dans l'ensemble, les informations délivrées se sont avérées déroutantes pour les personnes concernées». Un soupçon deDark pattern?

Le jugement précise que «Le responsable doit organiser sa communication avec les personnes concernées de manière à ce que leurs droits puissent être effectivement respectés sans effort excessif. Il n'est donc pas admissible de renvoyer les personnes concernées à certains canaux de communication pour exercer leurs droits, en particulier lorsque le responsable propose des services personnalisés».

Réflexions et enseignements

Pour l’essentiel, on comprend que l’autorité de protection des données autrichiennes a surtout sanctionné le fait de laisser croire que le formulaire en ligne était obligatoire, mais pas le fait de proposer un formulaire en ligne pour exercer ses droits RGPD. Pourtant, plusieurs passages de la décision montrent que l’autorité a considéré que le responsable de traitement n’avait pas « facilité » l’exercice des droits des personnes (elle utilise même le mot « obstacle »).

Dans les «Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès»[1], le CEPD «encourage les responsables du traitement à fournir les canaux de communication les plus appropriés et les plus conviviaux …/…afin de permettre à la personne concernée de présenter une demande effective». Un formulaire en ligne (s’il est pertinent et clair) ne constitue-t-il pas un moyen «approprié et convivial» ? Qui détermine qu’un formulaire en ligne est (ou n’est pas) une modalité facilitant l'exercice des droits conférés à la personne concernée, comme le demande l’article 12.2 du RGPD ?

Il va être intéressant de voir comment les autorités de contrôle européennes vont se saisir de cette décision, vu le nombre important de responsables de traitement dont les sites web donnent la furieuse impression que les demandes de droits RGPD ne peuvent être formulées que via un formulaire en ligne … sans compter les acteurs qui renvoient systématiquement vers les espaces personnels, considérant que donner à l'utilisateur l'accès direct à ses données (principe duSelf data) revient à répondre à l'article 15. du RGPD !

Dans cette attente, voici quelques recommandations qui peuvent être étudiées par les DPO :

- Il est possible « d'aiguiller » le demandeur vers un canal (par exemple un formulaire en ligne), mais tout en assurant la bonne réception (et la bonne gestion) des demandes envoyées via au moins une autre modalité, du moment que celui-ci permet d'obtenir une assurance raisonnable de l'identité réelle du demandeur (Question qui peut se poser, par exemple, dans le cas du téléphone ou de l'email). Voir, par exemple, le texte présent sur le site de la CNIL : «Pour toute information ou exercice de vos droits Informatique et Libertés sur les traitements de données personnelles gérés par la CNIL, vous pouvez contacter son délégué à la protection des données (DPO) : par ce formulaire ou par courrier (avec copie de votre pièce d’identité en cas d'exercice de vos droits, sauf si les éléments communiqués dans votre demande permettent de vous identifier de façon certaine) à l'adresse suivante ...». Dans les lignes directrices du CEPD évoquéessupra, on relève les passages suivants : «Il n’existe aucune exigence au titre du RGPD que les personnes concernées doivent respecter lorsqu’elles choisissent un canal de communication par lequel elles entrent en contact avec le responsable du traitement.» et «Si une personne concernée présente une demande en utilisant un canal de communication différent de celui indiqué comme étant préférable, cette demande est généralement considérée comme effective et le responsable du traitement devrait traiter cette demande en conséquence». Le Comité précise tout de même (en fournissant un exemple et un contre-exemple) qu’est exclu «tout moyen de communication qui n’est manifestement pas destiné à recevoir des demandes concernant les droits de la personne concernée si le responsable du traitement a fourni un canal de communication approprié» ;

  • Dans le cadre d'un contrôle, une autorité de protection des données peut demander communication de la procédure de gestion des demandes de droits RGPD pour s'en assurer ;

  • Il convient également de mettre l'organisme en position de détecter toute demande de droits RGPD qui aurait été formalisée par un autre canal (on pense notamment aux demandes exercées sur place) ;

  • Pour éviter que les initiatives du responsable de traitement (croyant bien faire) soient mal interprétées, il est bon de faire tester les parcours numériques par un panel de personnes concernées afin de vérifier l'absence de tout biais ou d’interprétation erronée.

Merci !


Votre demande nous a bien été envoyée

Merci !


Votre demande nous a bien été envoyée