Il arrive régulièrement que des annuaires de services professionnels proposent des coordonnées de personnes exerçant une profession libérale en les classant par région ou spécialisation. Depuis l’entrée en vigueur du Règlement général de protection des données personnelles tout n’est toutefois plus permis et l’O.B.F.G. entend bien faire respecter les droits des avocats qui y sont parfois repris à leur insu.
L’Ordre des barreaux francophones et germanophone et un ancien bâtonnier du Barreau de Bruxelles ont ainsi exercé un recours contre une société qui mentionnait sur deux sites de référencement, des coordonnées d’avocats sans base légale, sans leur consentement ni même sans qu’ils en soient informés. Les informations publiées étaient en outre souvent erronées alors que les témoignages publiés n’avaient jamais existé.
Après avoir adressé une mise en demeure qui resta sans réponse, les plaignants saisirent l’Autorité de protection des données qui n’eut aucun mal à trancher tant les manquements étaient évidents et la matière méconnue par la défenderesse. Par décision du 24 mai 2022 (DOS-2020-02294), celle-ci fut donc condamnée à l’obligation de corriger ses erreurs et à une amende de 5.000€.
Si l’affaire démontre que l’O.B.F.G. n’hésite pas à saisir les autorités lorsqu’il s’agit de protéger les droits des avocats, d’autres enseignements peuvent être retirés de cette décision. Le premier concerne précisément la compétence à agir d’AVOCATS.BE puisqu’en vertu de l’article 220 de la loi du 30 juillet 2018 relative à la protection des données à caractère personnel : « La personne concernée a le droit de mandater un organe, une organisation ou une association à but non lucratif, pour qu’il introduise une réclamation en son nom et exerce en son nom les recours administratifs ou juridictionnels soit auprès de l’autorité de contrôle compétente soit auprès de l’Ordre judiciaire (…) ».
Les conditions reprises au 2ème§ imposent à cette organisation d’être valablement constituée conformément au droit belge, d’avoir la personnalité juridique, d’avoir des objectifs statutaires d’intérêt public et d’être active dans le domaine du R.G.P.D. depuis au moins 3 ans. Quant à cette dernière condition, l’Autorité a retenu les recours exercés en cette matière par AVOCATS.BE devant la Cour constitutionnelle depuis 2016.
L’Autorité a ensuite relevé plusieurs manquements dans le chef de la défenderesse, dont le premier est l’absence d’une des bases de licéité visées à l’article 6 du R.G.P.D. en soulignant « qu’il n’est pas admis que le responsable de traitement se fonde, pour une finalité déterminée, sur l’une ou l’autre base de licéité au gré des circonstances. »
Il faut rappeler que l’article 6 du R.G.P.D. visant le traitement des données ordinaires, définit les bases de licéité dont l’une au moins doit exister pour justifier celui-ci. Obligation légale, nécessité pour remplir des obligations contractuelles ou pour rencontrer les intérêts légitimes du responsable de traitement ou consentement de la personne concernée : l’existence de l’un de ces quatre éléments doit être démontrée.
Si un des trois premiers ne peut l’être, le consentement de la personne concernée reste le dernier refuge pour le responsable du traitement mais en l’espèce : « La défenderesse a par ailleurs expliqué lors de son audition du 28 mars 2022 avoir demandé à un stagiaire qu’elle employait en 2016 de reprendre la liste des avocats et leurs données personnelles disponibles sur le site du Barreau de Bruxelles, sans contact ni demande préalable de consentement des avocats concernés. »
Allant jusqu’au bout de sa confusion, la défenderesse tenta de démontrer que le traitement des données représentait un intérêt légitime pour la personne concernée - soit l’intérêt d’être publiée – mais l’Autorité a souligné qu’elle confondait l’intérêt légitime avec le consentement. L’intérêt légitime doit en effet être celui du responsable de traitement et non celui de la personne concernée.
L’Autorité a ensuite rappelé que pour prouver l’intérêt légitime, le responsable de traitement doit démontrer que :
« a) les intérêts qu’il poursuit avec le traitement peuvent être reconnus comme légitime (test de finalité),
b) le traitement envisagé est nécessaire pour réaliser ces intérêts (test de nécessité),
c) la pondération de ces intérêts par rapport aux intérêts, libertés et droits fondamentaux des personnes concernées pèse en faveur du responsable du traitement (test de pondération) »
Si en l’espèce, on peut admettre que les deux premières conditions étaient éventuellement rencontrées, il est évident que les droits fondamentaux des avocats n’étaient par contre pas respectés en ce qu’ils étaient répertoriés à leur insu et à l’aide d’informations parfois fausses ou inexactes (notamment quant aux domaines de spécialisation, au caractère actuel de l’inscription au barreau ou concernant les témoignages non rédigés par les avocats concernés).
Par ailleurs, l’Autorité a relevé plusieurs manquements quant aux droits à l’information de la personne concernée consacrés par les articles 13 et 14 du R.G.P.D. Ainsi, même si la défenderesse a modifié en cours de procédure son document de politique vie privée et ajouté une charte cookies, il a été constaté que l’identification du responsable de traitement était insuffisante, que la liste des finalités de traitements était incomplète, que la durée de conservation des données personnelles était peu claire et contestable, qu’il n’était fait aucune mention des destinataires ou catégories de destinataires des données personnelles traitées et que le document n’indiquait rien sur les finalités de traitement des données concernant les avocats.
Dans son appréciation de la gravité de l’infraction, l’Autorité a estimé que l’absence de réponse à la mise en demeure des plaignants du 27 septembre 2019 traduisait une intention délibérée de violer le R.G.P.D.
Certes on ne peut que se réjouir de l’initiative prise par l’O.B.F.G. et de la décision protégeant les droits fondamentaux des avocats mais cette condamnation a également quelque chose de glaçant…
Combien d’avocats en effet peuvent actuellement passer le test du contrôle de l’Autorité de protection des données sans risquer une amende ? Voire, appréhendent suffisamment la matière pour comprendre toutes les nuances de leurs obligations ?
A cet égard, l’O.B.F.G. vient d’arrêter les dernières lignes de son guide de bonnes pratiques en concertation avec l’O.V.B. Il sera prochainement mis en ligne sur l'extranet d’AVOCATS.BE avec l’ensemble des outils – dont la plupart sont déjà disponibles – dont un avocat a besoin pour assurer la conformité de son cabinet. Ce guide fera en outre l’objet d’une présentation lors des Universités d’été à la fin du mois d’août.
Alors n’hésitez pas à le consulter, à télécharger et à adapter les outils qui vous seront proposés.
