Pas de risque pour les droits et libertés lors de la transmission d’un courriel à 16 personnes sans l’utilisation de la fonction « copie cachée »

APD (Belgique), 29 avril 2022

Une autorité administrative flamande chargée de l’aide au logement des jeunes a transmis un courrier électronique à 16 parents en n’utilisant pas la fonction copie cachée, donnant ainsi accès aux adresses électroniques des autres destinataires.

Estimant cette communication contraire au RGPD, un des destinataires a déposé une plainte auprès de l’autorité de contrôle belge.

Cette dernière a estimé, au cours de son enquête, que « le [destinataire] a fourni ses coordonnées dans le cadre de sa relation avec [l’autorité administrative] et qu’il ne pouvait pas raisonnablement s’attendre à ce qu’elle partage ces coordonnées avec des tiers » qui, bien qu’étant parents d’autres jeunes, « sont en dehors de la relation entre [le destinataire] et [l’autorité administrative] ».

Ce faisant, l’autorité de contrôle a considéré que le traitement n’était fondé sur aucune base légale, et était constitutif d’une violation de donnée à caractère personnel.

Cependant, l’autorité de contrôle a estimé qu’« aucune violation de l’article 33 du RGPD ne peut être instaurée car il n’est pas établi que la violation de données résultant du courriel a présenté un risque pour les droits et libertés du plaignant ». Par conséquent, le responsable du traitement n’était pas tenu de notifier cette violation, mais uniquement de mettre à jour son registre des violations.

Pour parvenir à cette conclusion, l’autorité de contrôle a notamment considéré que :

• bien que les destinataires du message électronique aient pu prendre connaissance de l’identité et de l’adresse électronique des autres destinataires, le contenu du courriel ne contenait aucune donnée personnelle, et ;
• la fuite de données était limitée tant dans le nombre de destinataires (16 personnes) que dans les données personnelles exposées (l’adresse e-mail à partir de laquelle l’identité des destinataires pouvait éventuellement être établie), de sorte que l’e-mail en question n’a pu causer qu’un préjudice très limité au plaignant.

Compte tenu de ce qui précède, rappelant que les responsables du traitement doivent documenter toutes les violations de données dans un registre des violations conformément à l’article 33 du RGPD, l’autorité de contrôle, constatant que l’incident n’avait pas été documenté dans le registre des violations de l’administration, a uniquement rappelé à l’ordre  cette dernière et ordonné que l’incident soit ajouté audit registre.

Lien vers la décision : ici

• absence de notification,
• APD,
• Belgique,
• copie cachée,
• données personnelles,