Menu

Parce que les besoins de conformité diffèrent d’une structure à l’autre,
DATACY propose des solutions adaptées à votre organisation et à votre secteur d’activité.  

Votre devis en un clic

Menu
Vous êtes ici : Accueil > Actualités > Cas pratique : Pass’ Région : Pourquoi Laurent Wauquiez est-il épinglé par la CNIL ?

Cas pratique : Pass’ Région : Pourquoi Laurent Wauquiez est-il épinglé par la CNIL ?

Le 18 juillet 2019
Cas pratique : Pass’ Région : Pourquoi Laurent Wauquiez est-il épinglé par la CNIL ?

A l'occasion d'actualités récentes, Datacy vous propose des mises en situation pratique autour de la protection des données personnelles. La notion clé du jour est le détournement de données personnelles.

Le 6 juin 2019, la CNIL a rappelé à l’ordre Laurent Wauquiez, président de la région Auvergne-Rhône-Alpes, pour l’envoi d’un texto de rentrée le 4 septembre 2018 aux lycéens bénéficiaires de la carte « Pass’Région ».

Ce contrôle de la CNIL est intervenu à la suite de plaintes de parents qui avaient dénoncé l’utilisation illégale des données personnelles du fichier Pass’Région à des fins de communication.

Alors, qu’en est-il vraiment ? Un SMS envoyé aux élèves membres d’un fichier d’un Pass’Jeune Région est-il illégal au regard du RGPD ? Est-il constitutif d’un détournement de données personnelles ?

 

I/ La collecte des données doit respecter le principe de finalité

Le Pass’Région est une carte offrant des avantages aux 15-25 ans en Auvergne-Rhône-Alpes. Ce Pass’Région est accessible via le site internet https://jeunes.auvergnerhonealpes.fr/106-pass-region.htm.

Pour créer leur compte, les jeunes inscrivent leurs données personnelles et notamment leurs noms, prénoms, adresse e-mail et numéro de téléphone.

Lors de l’inscription, les élèves sont invités à :

- lire et à accepter la Charte d’engagement du Pass’Région
- autoriser la Région à l’envoi de bons plans Pass’Région (places gratuites, tarifs préférentiels, etc.)
- autoriser la Région à l’envoi d’informations liées aux dispositifs régionaux (événements, actualités, questionnaires).

La collecte et l’utilisation des données personnelles des jeunes sont ainsi strictement limitées à ces finalités visées.

II/ L’utilisation des données pour une autre finalité : le test de comptabilité 

Envoyer un SMS « Je vous souhaite à tous une excellente rentrée, et que cette année vous réserve à tous de belles réussites ! » Est-ce incompatible avec les finalités visées ?

Or, a priori, ce message ne correspond ni à un envoi de « bons plans Pass’Région », ni à la délivrance d’« informations liées aux Dispositifs régionaux ».

Alors, ce message constitue-t-il un détournement de données personnelles ?

Le détournement de données personnelles est défini par l’article 226-21 du code pénal comme étant « le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité ». Ce détournement est puni de 5 ans d’emprisonnement et de 300 000 euros d’amende [1].

Pour ce faire, et afin d’examiner la licéité du traitement, le RGPD propose la mise en œuvre d’un test de comptabilité d’un traitement ultérieur (article 6.4 du RGPD).


Cet article dispose que lorsque le traitement est mis en œuvre « à une fin autre que celle pour laquelle les données ont été collectées » et, en l’absence de consentement ou d’obligation légale, « le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres (5 critères) :

- de l’existence d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
- du contexte dans lequel les données à caractère personnel ont été collectées […] ;
- de la nature des données à caractère personnel […] ;
- des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
- de l'existence de garanties appropriées […]. »

 

Appliquons maintenant ces critères

Cette communication est un message de communication (personnelle, même considérée comme politique) qui ne correspond pas aux hypothèses pour lesquelles les jeunes ont accepté de recevoir de la communication. En effet, il n’existe pas de lien entre les finalités.

Dès lors, le traitement est-il compatible ?

- Le SMS ne porte pas sur des catégories particulières ( ou « données sensibles) ;
- Les conséquences pour les personnes concernées semblent nulles ;
- Il n’y a pas d’information relative à des garanties appropriées mises en œuvre.

Bien que cette utilisation détournée d’un fichier de données personnelles pour des fins de communication semble, en l’espèce, sans gravité, la CNIL se doit de rappeler la nécessité du respect du principe de finalité.

Une des solutions pour se mettre en conformité serait de prévoir une nouvelle case avec le recueil du consentement pour des messages d’information ou de communication émanant de « partenaires », que les jeunes pourront accepter ou bien refuser !

 

 

 



[1] https://www.cnil.fr/fr/les-sanctions-penales