Autriche : Développements dans la jurisprudence autrichienne : Violations de la confidentialité des données et le GDPR

Dans une récente décision rendue le 26.11.2020^[1], la Cour administrative fédérale autrichienne (Bundesverwaltungsgericht, BVwG) a annulé une amende de 18 millions d'euros qui avait été imposée au service postal autrichien (APS) par l'autorité autrichienne de protection des données (DPA). L'affaire porte sur les mêmes faits que ceux examinés par le BVwG dans une décision distincte^[2], dans laquelle la Cour a confirmé la sanction administrative prononcée par l'autorité autrichienne de protection des données à l'encontre de l'APS, qui avait été accusée de traiter et de vendre illégalement à des tiers, à des fins de marketing, des données à caractère personnel concernant des clients, telles que des adresses privées et des allégeances politiques présumées.

Dans la décision en question, le BVwG a reconnu le caractère illégal du comportement de l'APS, mais a annulé la sanction de la DPA, au motif qu'elle n'avait pas établi que des personnes physiques et morales, agissant pour le compte de l'APS, avaient été responsables de la faute en question.

Les faits

Les origines factuelles de l'affaire remontent à un rapport de la plateforme journalistique Addendum en janvier 2019^[3], indiquant qu'en plus des informations sur les adresses privées, le sexe et l'âge, l'éducation ainsi que les préférences en matière d'investissements ou de dons, l'APS avait également recueilli des données sur les tendances politiques perçues d'environ 3 millions de clients^[4].

À l'issue d'une enquête menée d'office, le DPA :

• A conclu que la conduite consistant à s'enquérir de facteurs sociodémographiques et à traiter des informations concernant les préférences politiques d'une personne sans aucune base juridique, est qualifiée de catégorie spéciale de données à caractère personnel conformément à l'article 9, paragraphe 1, du règlement général sur la protection des données (règlement (UE) 2016/679) (RGPD), nécessitant ainsi l'approbation explicite préalable de la partie concernée (article 9, paragraphe 2, point a), du RGPD ; article 151, paragraphe 4, de la Gewerbeordnung, GewO) ;
• a ordonné qu'il soit mis fin au traitement des données et que les informations déjà recueillies soient supprimées dans un délai de deux semaines ;
• a estimé que l'APS n'avait pas effectué une analyse d'impact adéquate en matière de protection des données (avant le 25.05.2018), car elle avait omis à tort de considérer l'appartenance politique comme une catégorie spéciale de données à caractère personnel.

L'APS a répondu par voie d'appel, en faisant valoir que les informations sur les affinités politiques d'une personne privée ne constituaient pas des données à caractère personnel, étant donné que ces informations sont collectées par le biais de sondages anonymes délivrant des projections générales. Étant donné que ces calculs de probabilité ne peuvent être rectifiés (article 16 du RGPD), ils sont considérés comme des informations commerciales et sont classés conformément à l'article 151, paragraphe 6, du GewO. Toutefois, il a été ajouté que même s'ils étaient considérés comme des données à caractère personnel, ils ne pouvaient pas être considérés comme une catégorie spéciale.

Pas plus tard qu'en novembre, le BVwG a confirmé la décision de la DPA et a estimé que le traitement des données relatives aux affinités avec un parti politique constituait des données à caractère personnel au sens de l'article 4, paragraphe 1, du GDPR. Étant donné que les informations obtenues pourraient être attribuées à une personne physique spécifiquement identifiable, dont les convictions politiques doivent être protégées contre la discrimination conformément à l'article 9 du RGPD, elles doivent être traitées comme une catégorie spéciale de données à caractère personnel, ce qui nécessite un consentement préalable. Cette partie de la décision est actuellement pendante devant la Cour administrative suprême autrichienne (Verwaltungsgerichtshof, VwGH).

La question examinée dans le présent article concerne toutefois un aspect juridique différent de la même affaire.

Sur la base des faits décrits ci-dessus, l'affaire porte sur la violation alléguée par l'APS de l'article 5, paragraphe 1, de l'article 6, paragraphe 2, de l'article 6, paragraphe 4, de l'article 9, de l'article 14, de l'article 30, de l'article 35 et de l'article 36 du RGPD. Elle fait suite à un appel interjeté par l'APS sur la base de l'argument selon lequel l'amende a été émise sans établir la culpabilité des personnes physiques agissant en son nom (article 4, paragraphe 7, du GDPR).

Les paragraphes qui suivent se concentrent sur la récente décision du BVwG d'annuler l'amende infligée par la DPA à la lumière des conclusions antérieures tirées par le VwGH. Dans cette décision, la Cour a estimé que le comportement factuel, illégal et coupable allégué devait également être imputable à une personne physique (article 44a du VStG) pour qu'une personne morale puisse être tenue pour responsable^[5].

La question

Étant donné que le GDPR vise et prévoit effectivement la responsabilité directe des personnes morales sans qu'il soit nécessaire de prouver qu'une personne privée a commis un acte répréhensible, le BVwG a dû examiner les points suivants :

1. La DPA était-elle en droit d'imposer une amende en vertu de l'article 83 du GDPR à une personne morale en l'absence de preuve d'un comportement coupable de la part d'une personne physique agissant pour le compte d'une entité juridique ?

2. Si les règles nationales du droit pénal administratif s'appliquent ou si la question en cause doit être examinée à la lumière des règles du GDPR.

Décision

La Cour a estimé que l'amende imposée par la DPA sur la base des dispositions de l'article 83 du GDPR relève des dispositions de la loi autrichienne sur les sanctions administratives (Verwaltungsstrafgesetz, VStG) ainsi que de la loi autrichienne sur la protection des données (Datenschutzgesetz, DSG). Les règles de procédure nationales sont applicables dans le contexte des amendes imposées en raison d'une violation du GDPR puisque l'article 83(8) stipule : "L'exercice par l'autorité de contrôle de ses pouvoirs [...] est soumis à des garanties procédurales appropriées conformément au droit de l'Union et des États membres, y compris un recours juridictionnel effectif et une procédure régulière"^[6].

Elle a également établi que l'autorité de protection des données n'avait pas agi conformément aux articles 44a et 45 du VStG ainsi qu'à l'article 30 du DSG en négligeant de prouver la culpabilité des personnes physiques qui avaient agi au nom de l'APS, telles que les personnes représentant cette dernière, exerçant un contrôle en son sein ou prenant des décisions en son nom.

Commentaire

Bien que la sanction imposée à l'APS ait été annulée par le BVwG, sa décision est basée sur une erreur de formalité de la part du DPA. En tant que telle, elle doit être traitée séparément et n'est pas en contradiction avec la décision antérieure du BVwG, dans laquelle il a été conclu que la conduite du traitement des données concernant l'affinité personnelle pour un parti politique donne lieu à une responsabilité.

Ressources

1. Numéro de dossier : Numéro de dossier W258 2217446-1/14E. Disponible via : https://www.ris.bka.gv.at/Dokument.wxe ?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Numéro de dossier : Numéro de dossier W258 2217446-1/35E. Disponible via : https://www.ris.bka.gv.at/Dokument.wxe ?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift ", Addendum, 28 juillet 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [consulté le 10.12.2020].
4. Pour de plus amples informations, veuillez vous référer aux communiqués de presse du service postal autrichien intitulé " Milestones and outlook for 2019 and 2020 " (29.10.2019) ainsi que du Comité européen de la protection des données intitulé " Administrative criminal proceedings of the Austrian data protection authority against Österreichische Post AG (23.10.2019) ", disponibles via : https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Numéro de dossier R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. " Art. 83 GDPR - Conditions générales pour l'imposition d'amendes administratives ", Règlement général sur la protection des données (RGPD), 29 mars 2018, gdpr-info.eu/art-83-gdpr/ [consulté le 14.12.2020].

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Il convient de demander l'avis d'un spécialiste sur votre situation particulière.