CONTACT

Pas de risque pour les droits et libertés lors de la transmission d’un courriel à 16 personnes sans l’utilisation de la fonction « copie cachée »

04 août 2022 | Derriennic Associés|

APD (Belgique), 29 avril 2022

Une autorité administrative flamande chargée de l’aide au logement des jeunes a transmis un courrier électronique à 16 parents en n’utilisant pas la fonction copie cachée, donnant ainsi accès aux adresses électroniques des autres destinataires.

Estimant cette communication contraire au RGPD, un des destinataires a déposé une plainte auprès de l’autorité de contrôle belge.

Cette dernière a estimé, au cours de son enquête, que « le [destinataire] a fourni ses coordonnées dans le cadre de sa relation avec [l’autorité administrative] et qu’il ne pouvait pas raisonnablement s’attendre à ce qu’elle partage ces coordonnées avec des tiers » qui, bien qu’étant parents d’autres jeunes, « sont en dehors de la relation entre [le destinataire] et [l’autorité administrative] ».

Ce faisant, l’autorité de contrôle a considéré que le traitement n’était fondé sur aucune base légale, et était constitutif d’une violation de donnée à caractère personnel.

Cependant, l’autorité de contrôle a estimé qu’« aucune violation de l’article 33 du RGPD ne peut être instaurée car il n’est pas établi que la violation de données résultant du courriel a présenté un risque pour les droits et libertés du plaignant ». Par conséquent, le responsable du traitement n’était pas tenu de notifier cette violation, mais uniquement de mettre à jour son registre des violations.

Pour parvenir à cette conclusion, l’autorité de contrôle a notamment considéré que :

  • bien que les destinataires du message électronique aient pu prendre connaissance de l’identité et de l’adresse électronique des autres destinataires, le contenu du courriel ne contenait aucune donnée personnelle, et ;
  • la fuite de données était limitée tant dans le nombre de destinataires (16 personnes) que dans les données personnelles exposées (l’adresse e-mail à partir de laquelle l’identité des destinataires pouvait éventuellement être établie), de sorte que l’e-mail en question n’a pu causer qu’un préjudice très limité au plaignant.

Compte tenu de ce qui précède, rappelant que les responsables du traitement doivent documenter toutes les violations de données dans un registre des violations conformément à l’article 33 du RGPD, l’autorité de contrôle, constatant que l’incident n’avait pas été documenté dans le registre des violations de l’administration, a uniquement rappelé à l’ordre  cette dernière et ordonné que l’incident soit ajouté audit registre.

Lien vers la décision : ici

Personnalisation des cookies

Cookies de mesures d'audience

Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

Il s’agit des cookies suivants :

_ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

_gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

_gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

Vous pouvez consulter la page dédié à la protection des données de Matomo