La Cour administrative suprême a rejeté hier le pourvoi en cassation de la société Bisnode* (aujourd’hui Dun & Bradstreet) contre le jugement du tribunal administratif de la voïvodie de Varsovie.
Après plus de quatre ans, l’affaire relative à l’imposition de la première amende par l’autorité de contrôle polonaise s’achève. C’est le temps qu’il a fallu pour imposer une amende d’un peu plus de 943 000 PLN à Bisnode, qui a obtenu des données à partir de registres publics accessibles au public, mais n’a pas informé les personnes dont elle a traité les données. Par conséquent, ces personnes ne savaient même pas que le responsable du traitement traitait leurs données à caractère personnel et ne pouvaient donc pas exercer leurs droits, par exemple celui de rectifier les données ou de s’opposer à leur traitement ultérieur.
Cette affaire a suscité de vives émotions dès le début. Certains ont accusé l’Office de protection des données personnelles de frapper, par cette décision, des courtiers en données, engagés dans l’obtention et le traitement de données en vue de leur revente. Cependant, l’UODO n’a pas remis en question l’obtention de données à partir de registres publics disponibles en soi, mais, après avoir mené une procédure administrative, il a constaté que la société n’avait pas informé la grande majorité des personnes dont elle avait obtenu les données du fait qu’elle était devenue le responsable du traitement de leurs données et de la manière dont elle avait l’intention de les traiter par la suite. Ces informations n’ont été reçues que par les personnes dont l’entreprise possédait l’adresse électronique.
De l’avis de l’Office de protection des données personnelles, une entreprise qui obtient des données personnelles à partir de registres publics accessibles au public (par exemple, le Registre national des tribunaux [KRS], le Registre central d’enregistrement et d’information sur les entreprises [CEIDG], le Registre national des entreprises [REGON]) doit se conformer à l’obligation d’information à l’égard de ces personnes prévue à l’article 14 du GDPR, c’est-à-dire le Règlement général sur la protection des données, en fournissant directement des informations à la personne concernée.
La société a fait appel de cette décision auprès du tribunal administratif de la voïvodie de Varsovie, qui a partiellement donné raison à l’autorité (réf. n° II SA/Wa 1030/19). Le tribunal a estimé que l’entreprise était tenue de respecter l’obligation d’information prévue à l’article 14 du GDPR, mais uniquement à l’égard des personnes qui exerçaient activement une activité économique ou qui l’avaient suspendue au moment de l’adoption de la décision. Cependant, la décision de l’UODO se référait non seulement à ces personnes, mais aussi à celles qui avaient exercé une telle activité dans le passé, et le tribunal administratif de la voïvodie a annulé la décision en ce qui concerne l’ordre de se conformer à l’obligation d’information à l’égard de ce groupe de personnes. Le nombre de personnes dont les droits ont été violés ayant une incidence sur le montant de l’amende, la Cour a également annulé la décision dans la partie concernant l’imposition d’une amende administrative.
La Cour a souligné, en particulier, que dans le contexte de la circonstance soulevée par la société dans sa plainte concernant l’absence d’adresses actuelles de personnes physiques qui étaient des propriétaires uniques dans le passé (ayant cessé leur activité), les conclusions de l’autorité quant à la possibilité de remplir l’obligation de fournir à ces personnes les informations pertinentes nécessiteraient des conclusions préalables quant à la conformité du traitement (stockage, utilisation, divulgation, accès) de ces données avec le droit de l’UE, c’est-à-dire avec le GDPR. Étant donné que la société affirme ne pas disposer d’adresses actualisées des personnes physiques dont elle traite les données, il convient de tenir compte du fait que le GDPR exige notamment que les données à caractère personnel soient traitées licitement, loyalement et de manière transparente à l’égard de la personne concernée, et qu’elles soient exactes et, si nécessaire, mises à jour. Selon la Cour, ce qui précède est étroitement lié à l’obligation d’information et l’autorité, lorsqu’elle réexaminera l’affaire, sera obligée de tenir compte de ces indications de la Cour.
Cependant, la société s’est pourvue en cassation contre ce jugement, soulignant qu’elle n’avait pas à remplir l’obligation d’information en utilisant la correspondance traditionnelle ou les appels téléphoniques en raison de l’exemption de cette obligation pour cause d' »effort disproportionné ». Cependant, la Cour administrative suprême a confirmé la justesse de la position présentée dans la décision du président de l’Office de protection des données personnelles, ainsi que dans le jugement du tribunal administratif de la voïvodie, selon laquelle la société devait remplir l’obligation d’information à l’égard des personnes exerçant une activité économique dont elle avait obtenu les données. La Cour administrative suprême a souligné qu’en vertu du GDPR, la transparence du traitement est une règle et que toute exception à cette règle, y compris l’exception concernant l’exemption de l’obligation d’informer les personnes en raison d’un « effort disproportionné », doit être interprétée de manière restrictive et, en règle générale, doit être appliquée au traitement des données à des fins publiques, en particulier à des fins statistiques, de recherche, d’archivage ou d’histoire.
Actuellement, le président de l’Office de protection des données personnelles est tenu de réexaminer l’affaire dans le cadre où la Cour a annulé la décision administrative, c’est-à-dire dans le cadre du traitement des données des personnes qui ont exercé une activité économique dans le passé et dans le cadre du montant de l’amende administrative imposée.