ECLI:BE:GBAPD:2021:DEC.20210408.3

JUPORTAL Base de données publique de la jurisprudence belge

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

 
Autorité de protection des données

Décision du 08 avril 2021

No ECLI:

ECLI:BE:GBAPD:2021:DEC.20210408.3

No Rôle:

48/2021

Domaine juridique:

Droit civil

Date d’introduction:

2025-08-29

Consultations:

63 — dernière vue 2026-04-14 17:44

Fiche

LA CHAMBRE CONTENTIEUSE Décide — De prononcer à l'encontre de la
défenderesse une réprimande sur la base de l'article 100.1, 5°
LCA compte tenu du manquement constaté à l'article 6 du RGPD combiné
à l'article 5.1.a) du RGPD ; — De classer sans suite la plainte
pour le surplus sur la base de l'article 100.1.1° LCA.

Thésaurus UTU:

DROIT CIVIL — VIE PRIVÉE — Traitement données à caractère personnel — Autorité de protection des données (Commission de la protection de la vie privée)

Mots libres:

Plainte à l'encontre d'un notaire pour consultation illicite
du Registre national. (DOS-2020-02322)

Bases légales:

Loi — 03-12-2017 — 100.1.1° — 11
Lien ELI No pub 2017031916
Loi — 03-12-2017 — 100.1.1° — 11
Lien ELI No pub 2017031916

Texte de la décision

Chambre Contentieuse
Décision quant au fond 48/2021 du 08 avril 2021
N° de dossier : DOS-2020-02322
Objet : Plainte à l’encontre d’un notaire pour consultation illicite du Registre national
La Chambre Contentieuse de l’Autorité de protection des données, constituée de Monsieur Hielke Hijmans, président, et de Messieurs Y. Poullet et C. Boeraeve, membres, reprenant l’affaire dans cette composition;
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données), ci-après RGPD;
Vu la Loi du 3 décembre 2017 portant création de l’Autorité de protection des données (ci-après LCA);
Vu la Loi du 8 août 1983 organisant un Registre national des personnes physiques (ci-après la Loi RN) ;
Vu le Règlement d’ordre intérieur tel qu’approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
A pris la décision suivante concernant :
La plaignante : Madame X. Ci-après « la plaignante ».
La défenderesse : Madame Y, Ayant pour conseil Maître Sari Depreeuw, avocate, dont le cabinet est établi avenue Louise, 81 à 1050 Bruxelles. Ci-après « la défenderesse ».
1. Rétroactes de la procédure
Vu la plainte déposée par la plaignante auprès de l’Autorité de protection des données (APD) le 14 mai 2020 ;
Vu la décision du 11 juin 2020 du Service de Première Ligne (SPL) de l‘APD déclarant la plainte recevable et la transmission de celle-ci à la Chambre Contentieuse;
Vu les courriers du 14 juillet et du 19 août 2020 de la Chambre Contentieuse informant les parties de sa décision de considérer le dossier comme étant prêt pour traitement au fond sur la base de l’article 98 LCA et leur communiquant un calendrier d’échange de conclusions ;
Vu les conclusions déposées par la défenderesse le 1er octobre 2020 ;
Vu les conclusions déposées par la plaignante le 21 octobre 2020;
Vu les conclusions finales déposées par la défenderesse le 13 novembre 2020;
Vu l’invitation à l’audition adressée par la Chambre Contentieuse aux parties le 20 janvier 2021;
Vu l’audition lors de la séance de la Chambre Contentieuse du 2 mars 2021 en présence de Maître S. DEPREEUW et de Maître O. BELLEFLAMME représentant la défenderesse ;
Vu le procès-verbal d’audition et les observations formulées sur celui — ci par les conseils de la défenderesse lesquelles ont été jointes à ce procès-verbal.
2. Les faits et l’objet de la demande
1. La défenderesse est notaire en Flandres.
2. La défenderesse a, dans le courant de l’année 2019, engagé la plaignante comme juriste notariale en son étude sous contrat à durée indéterminée ayant pris cours en août 2019. Aux termes du contrat, la plaignante est identifiée comme étant domiciliée en Wallonie. Un second contrat relatif à l’attribution d’écochèques a également été signé entre les parties. Aux termes de celui-ci, la plaignante est également identifiée comme étant domiciliée en Wallonie. Ce contrat prévoit en son article 4 que les écochèques seront mensuellement crédités sur le compte écochèques de la plaignante. Lors de l’audition (voy. infra), la défenderesse a toutefois indiqué qu’il y a toujours eu envoi des écochèques par voie postale pendant la durée du contrat avec la plaignante.
3. La défenderesse expose que la plaignante s’était installée en Flandres à proximité de l’étude pendant qu’elle travaillait auprès d’elle pour limiter le temps de trajet entre son lieu de travail et son lieu de résidence, tout en conservant son domicile en Wallonie.
4. Cette relation de travail a pris fin en février 2020 à la suite de la démission de la plaignante dans un climat que la défenderesse qualifie de tendu, toute confiance étant rompue entre les parties.
5. Au terme de cette relation de travail, la défenderesse demeurait redevable d’un montant de 56,07 euros d’écochèques vis-à-vis de la plaignante. Après un premier rappel, la plaignante a adressé un second rappel à la défenderesse par e-mail le 16 mars 2020.
6. Ces écochèques ont été envoyés par la défenderesse à l’adresse du domicile de la plaignante, soit en Wallonie, et ce par courrier recommandé du 16 mars 2020. Au préalable, la défenderesse indique avoir vérifié l’adresse de la plaignante au Registre national.
7. Le 19 avril 2020, la plaignante a adressé un courriel à la défenderesse se plaignant de cette consultation de son Registre national le 14 mars précédent.
8. En réponse, la défenderesse a exposé à la plaignante les motifs de cette consultation. La défenderesse a ainsi indiqué qu’elle avait voulu vérifier l’adresse exacte à laquelle elle devait adresser les écochèques à la plaignante et ce dès lors qu’elle savait que la plaignante avait plusieurs adresses, en Flandres et en Wallonie. La défenderesse a exposé qu’à l’issue de la relation contractuelle, elle n’avait pas de certitude quant à l’adresse à laquelle il convenait, à la veille de l’entrée en application des mesures de confinement, envoyer les écochèques à la plaignante.
9. Le 14 mai 2020, la plaignante a déposé plainte auprès de l’APD.
Objet de la plainte de la plaignante
10. Aux termes de sa plainte, la plaignante se plaint « d’une consultation de son registre national par la défenderesse en dehors de tout consentement de sa part et de tout cadre légal » ainsi que « d’une utilisation de l’accès au registre de la population en dehors de la règlementation spécifique à l’obtention d’information des registres de la population ».
11. Aux termes de ses conclusions, la plaignante soulève également un défaut d’information dans le chef de la défenderesse en violation de l’article 14 du RGPD. Plus précisément la plaignante demande à la Chambre Contentieuse :
— de déclarer sa plainte recevable et fondée;
— de constater la violation de la Loi du 8 août 1983 organisant un Registre national des personnes physiques (Loi RN) et de l’Arrêté royal du 11 septembre 1986 autorisant l’accès des notaires au registre national des personnes physiques ;
— de constater la violation des principes fondamentaux de la protection des données personnelles ;
— de prononcer une sanction.
Position de la défenderesse
12. A titre principal, la défenderesse demande à la Chambre Contentieuse de se déclarer incompétente pour traiter la plainte de la plaignante et de la rejeter pour cause d’irrecevabilité.
13. En ordre subsidiaire, la défenderesse demande à la Chambre Contentieuse de déclarer la plainte non-fondée, considérant qu’elle n’a pas violé les principes fondamentaux de protection des données personnelles et par conséquent, d’ordonner un non-lieu.
14. A titre plus subsidiaire, si la Chambre Contentieuse devait constater une violation des principes fondamentaux de la protection des données à caractère personnel, la défenderesse sollicite la suspension du prononcé.
15. Enfin, à titre infiniment subsidiaire, la défenderesse demande qu’il soit tenu compte des circonstances atténuantes pour limiter la mesure correctrice prononcée à un avertissement, voire à une réprimande.
3. L’audition du 2 mars 2021
16. Au cours de l’audition dont un procès-verbal a été établi, les éléments suivants ont été mis en lumière par la défenderesse, la plaignante n’étant pas présente à l’audition :
— l’incompétence de la Chambre Contentieuse pour traiter la plainte ;
— les difficultés relationnelles rencontrées d’emblée avec la plaignante et la perte de confiance progressive de la défenderesse à l’égard de la plaignante, cette rupture trouvant son apogée au moment de la fin du contrat;
— le fait qu’il est inexact de prétendre que les notaires auraient accès à toutes les données à caractère personnel contenues dans le Registre national, leur consultation étant limitée aux données visées par l’Arrêté royal du 11 septembre 1986 d’une part et la mention que l’application à la disposition des notaires ne permet pas de consultation ciblant la seule donnée « adresse » à l’exclusion de toute autre d’autre part ;
— la bonne foi de la défenderesse qui, face à une situation conflictuelle, a agi dans le souci de se prémunir contre tout reproche d’envoi à une adresse qui n’aurait pas été la bonne ;
— la mise en place d’une série de mesures adoptées par la défenderesse visant à se mettre en conformité avec les obligations du RGPD qui découlent de sa qualité de responsable de traitement : politique de sécurité, registre des activités de traitement, désignation d’un délégué à la protection des données etc.
EN DROIT
4. Quant à la compétence de l’APD, en particulier de sa Chambre Contentieuse
17. L’APD est l’autorité belge notamment responsable du contrôle du respect du RGPD en application de l’article 8 de la Charte des droits fondamentaux de l’Union européenne (UE), de l’article 16 du Traité sur le Fonctionnement de l’Union Européenne (TFUE) et de l’article 51 du RGPD. S’agissant de l’article 51 du RGPD plus particulièrement, il exige en effet de chaque Etat membre de l’UE qu’il mette en place une ou plusieurs autorités publiques indépendantes, chargées de surveiller l’application du RGPD afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard des traitements de leurs données. Le RGPD ajoute à cet effet que chaque autorité doit bénéficier d’un certain nombre de missions (listées à l’article 57 du RGPD) dont celle de traiter des plaintes (article 57.1.f) du RGPD) ainsi qu’un certain nombre de pouvoirs (article 58 du RGPD).
18. Aux termes de l’article 3 LCA, le législateur belge a institué l’APD dont la Chambre Contentieuse est l’organe de contentieux administratif (article 32 LCA).
19. Ce contrôle par l’APD, via sa Chambre Contentieuse notamment, est un élément essentiel de la protection des personnes lors du traitement de données à caractère personnel qui les concernent.
20. Comme la Chambre Contentieuse a déjà eu l’occasion de l’exprimer dans ses décisions 17/20201 et 80/20202 entre autres, les autorités de contrôle — telle l’APD — doivent exercer leurs compétences en vue d’une application efficace du droit européen en matière de protection des données. Garantir l’effet utile du droit européen est l’une des tâches majeures des autorités de protection des données des Etats membres en vertu du droit de l’UE. Le contrôle par la Chambre contentieuse constitue à cet égard l’un des instruments dont dispose l’APD pour veiller au respect des règles relatives à la protection des données, et ce, conformément aux dispositions des traités européens, du RGPD et de la LCA.
21. A l’article 4 LCA, il est prévu que l’APD est « responsable du contrôle du respect des principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel ».
22. L’exposé des motifs de la LCA a clairement, et sans équivoque aucune, précisé l’interprétation à donner à l’article 4 LCA et ce dans les termes suivants: « Art. 4 : L’Autorité de protection des données est compétente pour exercer les missions et mandats de contrôle du respect des principes fondamentaux de protection des données à caractère personnel tels qu’établis dans le Règlement 2016/679. L’Autorité de protection des données agit en ce qui concerne la règlementation qui contient des dispositions relatives au traitement de données à caractère personnel telles que, par exemple, la loi instituant un registre national, la loi relative à la banque-carrefour de la sécurité sociale, la loi relative à la banque carrefour des entreprises, etc. (…) »3 (C’est la Chambre Contentieuse qui souligne).
23. Au titre de ces « lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel », la Loi RN4 est donc explicitement mentionnée.
24. En conclusion, la mission de contrôle de l’APD englobe le respect du RGPD dans son intégralité.
Cette lecture est la seule qui donne un effet utile aux articles 3 et 4 LCA, qui doivent être lus en combinaison avec l’article 51 du RGPD. La compétence de l’APD (et de son organe de contentieux administratif – la Chambre Contentieuse) n’est donc, à l’appui de ce qui précède, nullement limitée par la notion de « principes fondamentaux de la protection des données » lus isolément, quel que soit le contenu que d’aucuns chercheraient à donner à cette notion pour les besoins de l’une ou l’autre cause ou tenter d’échapper au contrôle de l’APD (voy infra point 26) . De même, il est certain que la compétence de l’APD englobe également le contrôle du respect des dispositions de protection des données contenues dans des législations spécifiques telle que la Loi RN ou encore la « Loi Caméras »5 pour ne citer que ces deux exemples 6. Ici encore, l’intégralité de ces dispositions est visée et non uniquement celles qui participeraient des « principes fondamentaux de la protection des données ».
25. La Chambre Contentieuse attire enfin l’attention sur le fait que l’article 4.2 LCA exclut la compétence de l’APD dans un nombre très limité de cas, prévus spécifiquement par la LCA elle-même ou par une autre législation. L’APD est l’autorité de contrôle de protection des données compétente par défaut, tout vide juridique, toute absence de compétence de contrôle sur l’un ou l’autre traitement de données à caractère personnel devant être évités.
Application au cas d’espèce – la question de l’accès au Registre national (plutôt qu’à une autre base de données)
26. Tout en admettant la compétence de l’APD au regard de la Loi RN, la défenderesse indique toutefois que pour éviter des conflits de compétence (à l’égard du Ministre de l’Intérieur s’agissant de la Loi RN en l’espèce), le législateur aurait limité la compétence de l’APD au contrôle du respect « des principes fondamentaux de la protection des données ». Ces « principes fondamentaux de la protection des données » n’étant pas définis par le législateur national, il conviendrait selon la défenderesse de les comprendre comme étant limités aux principes énoncés à l’article 8 de la Charte des droits fondamentaux de l’Union et, eu égard à la structure du RGPD, au contenu du Chapitre II du RGPD et aux droits des personnes concernées.
27. A cet égard, la défenderesse met en avant le fait que « Si Me Y, [lisez la défenderesse], en tant que notaire avait accès au Registre national et, en tant qu’employeur, à la Banque-Carrefour de la Sécurité Sociale (BCSS) et si le Registre national et la BCSS contiennent tous les deux les mêmes informations relatives à l’adresse de Mme X [lisez la plaignante], la question pertinente devant l’APD n’est pas celle de la légitimité du traitement des données personnelles mais celle de l’accès aux bases de données respectives ». La défenderesse ajoute en conclusion que « ce qu’il reste à vérifier est le respect des conditions d’accès au registre national resp. la BCSS ». Cette vérification relèverait selon la défenderesse de la compétence du Ministre de l’Intérieur, l’’APD n’ayant pas la compétence de se prononcer sur la préférence pour l’accès à l’une ou l’autre base de données. La défenderesse considère en effet que cette préférence d’accès ne participe pas des « principes fondamentaux de la protection des données ».
28. La Chambre Contentieuse réfute l‘argumentation développée par la défenderesse au regard de sa compétence. Comme elle l’a exposé ci-dessus aux points 21-24, sa compétence n’est nullement limitée au contrôle du respect « des principes fondamentaux de la protection des données » tels que restrictivement interprétés par la défenderesse.
29. La Chambre Contentieuse démontrera également qu’il n’y a pas, et ne peut y avoir, de conflit de compétence avec le Ministre de l’Intérieur (point 35).
30. La Chambre Contentieuse est dès lors d’avis que c’est à juste titre que la plainte a été déclarée recevable par le SPL sur la base de l’article 60.1. LCA pour les motifs ci-après.
31. La Chambre relève d’une part qu’aux termes de sa plainte, la plaignante reproche à la défenderesse d’avoir consulté ses données dans le Registre national en-dehors de tout cadre légal et en l’absence de base de licéité. L’accès au Registre national étant strictement réglementé comme il sera détaillé ci-après, sa consultation (laquelle constitue un traitement au sens de l’article 4.2. du RGPD) doit, pour pouvoir être qualifiée de licite, satisfaire à toutes les conditions requises tant par le RGPD que par la Loi RN (voy. le point 35 et le titre 5 ci-dessous).7
32. La Chambre Contentieuse rappelle l’article 5.1 de la Loi RN qui liste en son alinéa 4 les notaires parmi les professionnels autorisés à accéder aux données du Registre national, dont l’adresse, moyennant autorisation.8 Cette autorisation, aujourd’hui délivrée par le Ministre de l’Intérieur, l’était par le passé soit par le Comité sectoriel du Registre national (CSRN) soit par la voie d’un arrêté royal.9
33. La Chambre Contentieuse souligne qu’en l’espèce, l’Arrêté royal du 11 septembre 1986 précise en son article 1er que c’est pour l’accomplissement des tâches qui relèvent de leur compétence que les notaires sont autorisés à accéder aux informations visées à l’article 3, alinéa 1er, 1° à 9°, et alinéa 2, de la Loi RN parmi lesquelles figure la donnée « adresse » (M.B., 2 octobre 1986).
34. Dès lors, il n’est pas indifférent de consulter le Registre national plutôt qu’une autre base de données même si l’une et l’autre contiennent, pour partie, des données similaires. L’accès légalement encadré à une base de données telle le Registre national ne peut être détourné de sa finalité sous prétexte que celui ou celle qui le consulte a, en toute hypothèse, un accès autorisé aux données consultées (l’adresse de la plaignante en l’espèce) via une autre base de données (la BCSS en l’espèce). En cela, la consultation du Registre national par la défenderesse doit être examinée sous l’angle de sa licéité, examen qui relève incontestablement de la compétence de l’APD.
35. Quant à la répartition de compétence avec le Ministère de l’Intérieur invoquée par la défenderesse, la Chambre Contentieuse note que depuis la suppression du CSRN en application de l’article 109 LCA, c’est effectivement au Ministre de l’Intérieur qu’il incombe de délivrer les autorisations d’accès au Registre national. Cette compétence d’autorisation n’exclut en rien la compétence de contrôle de l’APD. L’accès au Registre national constitue, comme il a déjà été mentionné au point 31 ci-dessus, un traitement au sens de l’article 4.2. du RGPD, par définition soumis au contrôle d’une autorité indépendante au sens de l’article 8 de la Charte des droits fondamentaux de l’UE, de l’article 16 du TFUE et de l’article 51 du RGPD (voy. supra). Cette compétence de contrôle, outre le fait qu’elle n’est, in concreto, pas accordée par la loi au Ministre de l’Intérieur10, ne peut en toute hypothèse être exercée par un Ministre qui, par définition, ne remplit pas les conditions requises pour exercer les missions d’une autorité indépendante de protection des données au sens de l’article 51 du RGPD (et qui plus généralement doit satisfaire à l’ensemble des conditions posées au Chapitre VI du RGPD). Il n’est donc pas question ici de « conflit de compétence avec le Ministère de l’intérieur » contrairement à ce qu’invoque la défenderesse. Bien au contraire, l’article 17 de la Loi RN elle-même renvoie à la compétence de l’APD.
36. Ainsi, l’article 17 exige que chaque autorité publique, organisme public ou privé ayant obtenu l’autorisation d’accéder aux informations du Registre national soit en mesure de justifier les consultations effectuées et qu’à cet effet, afin d’assurer la traçabilité des consultations, chaque utilisateur tient un registre des consultations.
37. Cet article 17 précise encore que ce registre doit contenir : (1) l’identification de l’utilisateur individuel (ou du processus ou du système) qui a accédé aux données, (2) les données qui ont été consultées, (3) la façon dont elles ont été consultées, à savoir en lecture ou pour modification, (4) la date et l’heure de la consultation ainsi que (5) la finalité pour laquelle les données ont été consultées.
38. Enfin, le même article 17 prévoit encore que ce registre des consultations est tenu à la disposition de l’Autorité de protection des données (APD) et ce, de l’avis de la Chambre Contentieuse, pour lui permettre d’exercer sa mission de contrôle. Il appartient en effet aux responsables de traitement autorisés à consulter le Registre national de mettre en œuvre les conditions de l’autorisation dans le respect des prescrits de celle-ci et ce conformément au principe d’accountability énoncé aux articles 5.2. et 24 du RGPD dont le contrôle du respect revient à l’APD. 11
39. En conclusion de ce qui précède, la Chambre Contentieuse rejette l’argument d’irrecevabilité invoqué à titre principal par la défenderesse et poursuit l’examen au fond de la plainte ci-dessous.
5. Quant aux manquements dans le chef de la défenderesse
40. Ainsi que la Chambre Contentieuse l’a souligné au point 32 ci-dessus, l’article 5.1 de la Loi RN liste en son alinéa 4 les notaires parmi les professionnels autorisés à accéder aux données du Registre national, dont l’adresse, moyennant autorisation.
41. L’arrêté royal du 11 septembre 1986 précise quant à lui en son article 1 que c’est pour l’accomplissement des tâches qui relèvent de leur compétence que les notaires sont autorisés à accéder aux informations visées à l’article 3, alinéa 1er, 1° à 9°, et alinéa 2, de la Loi RN parmi lesquelles figure la donnée « adresse » (M.B., 2 octobre 1986) (point 33).
42. La Chambre Contentieuse est d’avis qu’en consultant la donnée « adresse » de la plaignante, soit d’une employée, la défenderesse n’a pas procédé à une consultation dans le cadre de l’accomplissement d’une tâche qui relève de sa compétence de notaire. Ces tâches doivent en effet être comprises comme étant limitées à ce qui relève de l’exécution spécifique de la profession de notaire et non de tâches qui sont communes à tout employeur, quel qu’il soit, comme celle d’envoyer l’un ou l’autre courrier à ses employés.
43. Du fait de sa fonction, et pour le seul accomplissement des tâches qui en relèvent, le notaire dispose d’un accès à certaines données du Registre national. Il lui incombe de respecter scrupuleusement les finalités de cet accès dont il privilégie en raison de sa profession. La circonstance qu’en toute hypothèse, la défenderesse aurait eu accès à la donnée adresse via une autre source (soit la BCSS en l’espèce) est sans pertinence à cet égard. En effet, les bases de légitimité autorisant, au titre de l’article 6 du RGPD, l’accès à ces bases de données sont distinctes de même que les données auxquelles l’accès est dès lors autorisé sont différentes. C’est ainsi à juste titre que la plaignante met en évidence le fait que les données contenues dans la BCSS et dans le Registre national (article 3 Loi RN) ne sont pas identiques — même si il y a des données communes aux deux bases de données et que les notaires n’ont pas accès à l’intégralité des données contenues dans le Registre national — et que la base de légitimité pour y accéder leur est propre. Tout au plus, le fait que la défenderesse aurait, en toute hypothèse, eu accès à la donnée « adresse » via une autre source pourrait-il entrer en ligne de compte dans l’appréciation de la sanction que la Chambre Contentieuse déciderait d’imposer (voy. infra).
44. En omettant de respecter la finalité de l’accès qui lui avait été attribué, la défenderesse a consulté le Registre national sans fondement légal adéquat. Partant, elle a procédé à un traitement de données au regard duquel elle n’est en mesure d’invoquer valablement aucune base de licéité requise par l’article 6 RGPD. Ce faisant, la défenderesse s’est rendue coupable d’un manquement à l’article 6 du RGPD. Ce manquement est combiné à un manquement à l’article 5.1.a) du RGPD aux termes duquel le traitement de données à caractère personnel doit, notamment, être licite. Cette exigence, si elle n’est pas limitée au respect de l’article 6, l’englobe indubitablement.
45. Il n’apparait pas non plus à la Chambre Contentieuse que la consultation du Registre national ou de la BCSS par ailleurs, aurait été nécessaire en l’espèce. En effet, l’adresse officielle de la plaignante figurait dans les deux contrats qui la liaient à la défenderesse. Cette adresse avait été rappelée par deux fois par e-mail du 23 janvier et du 2 février 2020 par la plaignante. Le jour même de l’envoi des écochèques par la poste le 16 mars 2020, la plaignante avait écrit à la défenderesse. Cette dernière aurait pu, en réponse, s’enquérir de l’adresse à laquelle envoyer les écochèques réclamés.
Compte tenu du contexte décrit par la défenderesse, la Chambre Contentieuse se limite ici à rappeler que le principe de minimisation exprimé à l’article 5.1.c) du RGPD aux termes duquel seul le traitement de données nécessaire à la réalisation de la finalité poursuivie doit être respecté.
6. Quant aux mesures correctrices et aux sanctions
46. Aux termes de l’article 100 LCA, la Chambre Contentieuse a le pouvoir de :
1° classer la plainte sans suite ;
2° ordonner le non-lieu ;
3° prononcer une suspension du prononcé ;
4° proposer une transaction ;
5° formuler des avertissements ou des réprimandes ;
6° ordonner de se conformer aux demandes de la personne concernée d’exercer ces droits;
7° ordonner que l’intéressé soit informé du problème de sécurité;
8° ordonner le gel, la limitation ou l’interdiction temporaire ou définitive du traitement;
9° ordonner une mise en conformité du traitement;
10° ordonner la rectification, la restriction ou l’effacement des données et la notification de celles-ci aux récipiendaires des données;
11° ordonner le retrait de l’agréation des organismes de certification;
12° donner des astreintes;
13° donner des amendes administratives;
14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international;
15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l’informe des suites données au dossier;
16° décider au cas par cas de publier ses décisions sur le site internet de l’Autorité de protection des données.
47. ll importe de contextualiser les manquements dont la défenderesse s’est rendue responsable en vue d’identifier les mesures correctrices et sanctions les plus adaptées.
48. Dans ce cadre, la Chambre Contentieuse tiendra compte de l’ensemble des circonstances de l’espèce.
49. La Chambre Contentieuse a constaté un manquement à l’article 6 combiné à l’article 5.1.a) du RGPD dans le chef de la défenderesse, soit un manquement à l’un des principes fondateurs de la protection des données consacré au Chapitre II « Principes » du RGPD : le principe de licéité (article 5. 1. a) du RGPD. A défaut de base de licéité, le traitement de données ne peut tout simplement pas avoir lieu (article 6 du RGPD).
50. Sans que cette circonstance ne fonde à elle seule la gravité du manquement, la Chambre Contentieuse rappelle que la violation des dispositions listées à l’article 83. 5 du RGPD (dont les articles 5 et 6 du RGPD) peut entrainer une amende susceptible de s’élever jusqu’à 20.000.000 d’euros ou dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaire annuel mondial total de l‘exercice précédent. Les montants maxima d’amende pouvant être appliqués en cas de violation de ces dispositions sont supérieurs à ceux prévus pour d’autres types de manquements listés à l’article 83.4. du RGPD.
51. La qualité de la défenderesse est un facteur qui participe de la gravité du manquement. En effet, ainsi que la Chambre Contentieuse l’a exposé ci-dessus, l’accès au Registre national est strictement règlementé et limité à certaines professions notamment. En effet, le Registre national n’est pas une base de données anodine. Comme la Chambre Contentieuse a eu l’occasion de le souligner dans sa Décision 19/2020, cette base de données comprenant un certain nombre d’informations – certes limitées – relatives à plus de 11 millions de personnes, elle nécessite, par nature, un encadrement particulièrement rigoureux, non seulement compte tenu de son ampleur, mais également de par sa vocation même d’enregistrement, de mémorisation et de communication d’informations relatives à l’identification (unique) des personnes physiques12. Il est donc tout à fait essentiel que ceux qui bénéficient d’un accès au Registre national en respectent scrupuleusement les conditions. Le notaire est un officier public, nommé par le Roi. Il exerce cette fonction publique dans le cadre d’une profession libérale strictement règlementée. Il exerce un pouvoir public en établissant des actes authentiques qui ont la force d’un jugement notamment. Le notaire est par ailleurs soumis à un Code de déontologie. Tous ces éléments requièrent qu’il adopte une attitude exemplaire au regard du respect de la loi, en ce compris des règles de protection des données. La Chambre Contentieuse a déjà eu l’occasion de souligner cette exigence à l’égard de mandataires publics tels que des bourgmestres et échevins13, mais également de sociétés bénéficiant de concessions publiques de stationnement ou encore à l’égard d’huissiers de justice 14. Il en va de même pour les notaires.
52. La Chambre Contentieuse constate par ailleurs qu’il s’agit d’un manquement a priori isolé, commis par une notaire dans le cadre des activités de son étude, laquelle peut être qualifiée de PME. Lesdits manquements ne concernent qu’une employée dans un contexte spécifique, ponctuel, empreint de perte de confiance et de craintes. Ces craintes étaient liées à la fois au climat tendu entre les parties et aux difficultés potentielles de déplacement dans le cas d’un envoi à une adresse erronée dans le contexte du confinement naissant consécutif à la pandémie du covid-19. Rien ne permet à la Chambre Contentieuse de penser que le traitement litigieux s’inscrit structurellement dans la pratique professionnelle de la défenderesse.
53. La circonstance que la donnée « adresse » est relativement anodine, jugée non particulièrement sensible par la défenderesse ainsi que le fait qu’elle était déjà en possession de la défenderesse et que cette donnée lui était en toute hypothèse accessible via la BCSS sont également pris en compte, dans une certaine mesure, par la Chambre Contentieuse dans son appréciation de la sanction adéquate. En effet, en consultant le Registre national, la défenderesse n’en a pas moins également accès à un certain nombre d’autres données – certes limitées par l’arrêté royal du 11 septembre 1986 déjà cité – relatives à la plaignante. La défenderesse expose par ailleurs à cet égard qu’elle n’a d’autre choix que d’accéder à l’ensemble de ces données, l’application disponible ne lui permettent pas de cibler sa consultation sur l’unique donnée « adresse ». La Chambre Contentieuse prend acte de cette double considération.
54. La Chambre Contentieuse tient à souligner qu’il ne faut pas, pour autant, se méprendre sur la portée de la présente décision quant au fond et quant au manquement sanctionné. C’est, comme il a été exposé ci-dessus, l’accès à une donnée X (en l’espèce l’adresse) contenue dans une base de données à l’accès strictement réservé intervenu en dehors des conditions légales qui est au cœur de la présente décision et ici sanctionné ; et ce, bien plus que la prise de connaissance de la donnée « adresse » en tant que telle. Pour autant, la Chambre Contentieuse n’en est pas moins sensible au fait qu’en l’espèce, l’impact de cette consultation sur la plaignante est faible et un éventuel préjudice dans son chef non démontré.
55. Enfin, la Chambre Contentieuse tient également compte des mesures mises en place par la défenderesse pour se conformer aux obligations qui lui incombent en sa qualité de responsable de traitement : désignation d’un délégué à la protection des données (article 37-39 du RGPD), établissement d’un registre des activités de traitement (article 30 du RGPD), adoption d’une politique de protection des données personnelles destinées aux citoyens, adoption d’une politique de sécurité de l’information assortie d’une procédure en cas de violation de données ainsi que la mise en place d’une procédure de gestion de droits des personnes concernées.
56. En conclusion de ce qui précède, et au vu de toutes les circonstances de l’espèce, tantôt aggravantes, tantôt atténuantes, la Chambre Contentieuse estime que la réprimande (soit le rappel à l’ordre visé à l’article 58.2.b) du RGPD)15 est en l’espèce, la sanction effective, proportionnée et dissuasive qui s’impose à l’égard de la défenderesse.
57. Enfin, s’agissant du manquement à l’article 14 du RGPD invoqué par la plaignante par la voie de conclusions, la Chambre Contentieuse décide de classer sans suite la plainte au regard de ce grief.
La Chambre Contentieuse est en effet d’avis que ce grief venu se greffer sur celui de l’absence de base de licéité de la consultation du Registre national n’est pas de nature à modifier sa décision. La défenderesse a exposé aux termes de ses conclusions que le règlement de travail signé par la plaignante contient un certain nombre d’informations relatives aux traitements de données effectués par la défenderesse à l’égard de ses employés (titre VIII). La défenderesse précise à cet égard que ce règlement date de 2016 et qu’il est en cours d’actualisation. La Chambre Contentieuse rappelle ici le nécessaire respect de l’obligation de transparence et des articles 12, 13 et 14 du RGPD en termes d’information aux personnes concernées, en ce compris par un employeur à ses employés.
7. Quant à la publicité et à la transparence
58. Compte tenu de l’importance de la transparence en ce qui concerne le processus décisionnel et les décisions de la Chambre Contentieuse, cette décision sera publiée sur le site Internet de l’APD moyennant la suppression des données d’identification directe des parties et des personnes physiques citées.
POUR CES MOTIFS,
LA CHAMBRE CONTENTIEUSE
Décide
— De prononcer à l’encontre de la défenderesse une réprimande sur la base de l’article 100.1, 5°
LCA compte tenu du manquement constaté à l’article 6 du RGPD combiné à l’article 5.1.a) du RGPD ;
— De classer sans suite la plainte pour le surplus sur la base de l’article 100.1.1° LCA.
En vertu de l’article 108.1 LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des marchés (Cour d’appel de Bruxelles) dans un délai de 30 jours à compter de sa notification, avec l’Autorité de protection des données en qualité de défenderesse.
(Sé) Hielke Hijmans
Président de la Chambre Contentieuse

Document PDF ECLI:BE:GBAPD:2021:DEC.20210408.3

Publication(s) liée(s)

précédé par:

ECLI:BE:GBAPD:2021:AVIS.20210402.11

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

✉ [email protected]

©  2017-2026 Service ICT — SPF Justice

Powered by PHP 8.5.0

Server Software Apache/2.4.66

== Fluctuat nec mergitur ==