< Retour au sommaire

Déclaration de confidentialité: attention au manque de transparence!

Le 14 mai 2020 (décision n° 24/2020), l’Autorité de protection des données (APD) s'est prononcée sur la conformité au RGPD de la déclaration de confidentialité d’un assureur et, plus particulièrement, sur l’obligation de transparence imposée par le RGPD. La déclaration de confidentialité est un document que la personne responsable d'un traitement de données à caractère personnel doit établir afin d’informer les individus dont les données sont traitées (personnes concernées) de ce traitement.

Le Règlement Général sur la Protection des Données (RGPD) encadre cette déclaration de confidentialité en imposant certaines obligations au responsable du traitement.

Les faits

Dans cette affaire, un affilié à une assurance hospitalisation affirmait que le traitement de ses données de santé en vue de l'exécution d'obligations découlant de cette assurance ne lui posait pas de problème. Cet affilié soutenait, en revanche, qu’il en était autrement pour un traitement en vue d'autres finalités ou pour le transfert de données à des tiers, pourtant également mentionnés dans la déclaration. Pour ces autres finalités et ce transfert, l'affilié soutenait que l'assureur devait lui donner le choix de consentir ou non. De par son manque de précision, la déclaration de confidentialité manquait donc de transparence.

La décision de l’APD quant au manque de transparence

Dans sa décision, de manière générale, l’APD retient un manque de transparence de la déclaration de confidentialité en cause. Elle déclare, par conséquent, cette dernière contraire au RGPD. L’assureur est condamné à la mise en conformité de sa déclaration de confidentialité avec l’obligation de transparence imposée par le RGPD et à une amende administrative de 50.000 euros. L’APD motive sa décision par différentes considérations qu'il nous semble intéressant de reprendre car pouvant être utiles pour d'autres responsables de traitement, comme un employeur.

(1) Le RGPD impose au responsable du traitement d'indiquer le fondement juridique de tout traitement de données auquel il procède. Dès lors, l’un des points de la déclaration de confidentialité de l’assureur indiquait un traitement de données à caractère personnel, sur la base de l’intérêt légitime de l’assureur, pour toute une série de finalités listées sous ce point.

En revanche, sous ce point, l’assureur ne faisait aucune distinction claire entre les données à caractère personnel « ordinaires » et les données de santé. Pour rappel, ces dernières sont des données à caractère personnel dites « sensibles » et dont le RGPD n’autorise le traitement que sur la base du consentement explicite de la personne concernée. L’assureur ne précisait donc en aucune façon quelles données étaient traitées pour quelles finalités.
Dans sa décision, l’APD reproche à l’assureur la confusion que ces imprécisions peuvent causer.

En effet, selon l’APD, le manque de transparence de ce point pouvait conduire le plaignant en l’espèce à penser que ses données de santé étaient traitées, sans son accord explicite, pour toutes les finalités reprises sous ce point de la déclaration de confidentialité.

(2) Dans sa décision, l’APD reproche également à l’assureur le fait de ne pas toujours mentionner le fondement juridique qui justifie chaque activité de traitement. Or, l’APD rappelle que, dans un souci de transparence, la déclaration de confidentialité doit toujours mentionner le fondement juridique de chaque activité de traitement.
Enfin, l’APD remarque que la possibilité, pour la personne concernée, d’exercer son droit d’opposition au traitement de ses données à caractère personnel n’est pas mentionnée dans la déclaration de confidentialité.
Or, le RGPD impose au responsable du traitement une telle mention.

Conclusion

En tant que responsable du traitement, il est important de veiller à la transparence de sa déclaration de confidentialité et à sa conformité au RGPD notamment en (i) faisant une distinction claire entre les différents types de données traitées, (ii) en mentionnant le fondement juridique justifiant chaque activité de traitement différente et, lorsque le traitement se fonde sur l’intérêt légitime, quel est cet intérêt légitime et (iii) en n’oubliant pas de mentionner, à chaque fois que cela est requis, la possibilité, pour la personne concernée, d’exercer son droit d’opposition.

Caroline Huart
Avocat Claeys & Engels
Source : Autorité de Protection des Données, décision du 14 mai 2020 (24/2020)

Sur le même sujet


< Retour au sommaire

Vous cherchez, vous trouvez!

HR Square | Revue, Infolettre, Réseau, Site web, Séminaires,...

Devenez membre maintenant!
Bénéficiez des avantages