ECLI:BE:GBAPD:2021:DEC.20210315.1

JUPORTAL Base de données publique de la jurisprudence belge

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

 
Autorité de protection des données

Décision du 15 mars 2021

No ECLI:

ECLI:BE:GBAPD:2021:DEC.20210315.1

No Rôle:

36/2021

Domaine juridique:

Droit civil

Date d’introduction:

2025-09-11

Consultations:

69 – dernière vue 2026-04-14 17:48

Fiche

La Chambre Contentieuse de l'Autorité de protection des données
décide, après délibération, de revoir sa décision 31/2020 du 16 juin
2020 et d'imposer au défendeur, en vertu de l'article 100,
§ 1 er, 13° de la LCA et de l'article 101 de la LCA, une amende
administrative de 1.000,00 € pour violation de l'article 5.1.c),
de l'article 6.1 et de l'article 8 du RGPD.

Thésaurus UTU:

DROIT CIVIL – VIE PRIVÉE – Traitement données à caractère personnel – Autorité de protection des données (Commission de la protection de la vie privée)

Mots libres:

Utilisation de Smartschool pour la réalisation d'une enquête "bien-être"
auprès d'élèves mineurs sans le consentement des parents (réexamen
après l'arrêt de la Cour des marchés) (DOS-2019-03499) Cette
décision a été annulée par l'arrêt AR/2021/576 de la Cour des
marchés du 6 octobre 2021 ; Par l'arrêt de la Cour de Cassation
C.22.0162.N du 9 janvier 2023, la Cour des marchés a été invitée à
reprendre la procédure ; Par l'arrêt 2023/AR/1186 de la Cour des
marchés du 27 février 2024 l'annulation de cette décision a été
confirmée.

Bases légales:

Loi – 03-12-2017 – 100,§1,13° – 11
Lien ELI No pub 2017031916
Loi – 03-12-2017 – 101 – 11
Lien ELI No pub 2017031916
Loi – 03-12-2017 – 108,§1 – 11
Lien ELI No pub 2017031916

Texte de la décision

Chambre Contentieuse
Décision quant au fond 36/2021 du 15 mars 2021
Cette décision a été annulée par l’arrêt AR/2021/576 de la Cour des marchés du 6 octobre 2021 ;
Par l’arrêt de la Cour de Cassation C.22.0162.N du 9 janvier 2023, la Cour des marchés a été invitée à reprendre la procédure ;
Par l’arrêt 2023/AR/1186 de la Cour des marchés du 27 février 2024 l’annulation de cette décision a été confirmée.
Numéro de dossier : DOS-2019-03499
Objet : Utilisation de Smartschool pour la réalisation d’une enquête “bien-être” auprès d’élèves mineurs sans le consentement des parents (réexamen après l’arrêt de la Cour des marchés)
La Chambre Contentieuse de l’Autorité de protection des données, constituée de Monsieur Hielke Hijmans, président, et de Messieurs Christophe Boeraeve et Jelle Stassijns, membres ;
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données, ci-après le “RGPD”) ;
Vu la loi du 3 décembre 2017 portant création de l’Autorité de protection des données , ci-après la “LCA” ;
Vu le règlement d’ordre intérieur tel qu’approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
a pris la décision suivante concernant :
– Monsieur X, ci-après “le plaignant”
– Les établissements d’enseignement Y, ci-après “le défendeur”.
1. Faits et procédure
1. La présente décision est un réexamen de la décision 31/2020 de la Chambre Contentieuse du 16 juin 2020 et exécute l’arrêt de la Cour des marchés du 18 novembre 2020 portant le numéro 2020/AR/990.
2. La présente décision doit être lue en lien avec la décision 31/2020 et contient un réexamen qui se limite aux éléments de ladite décision qui n’ont pas été annulés par la Cour des marchés.
3. Le 22 juillet 2019, le plaignant a porté plainte auprès de l’Autorité de protection des données contre le défendeur.
L’objet de la plainte concerne l’enquête “bien-être” qui a été soumise aux élèves mineurs de Z via le système Smartschool. Dans ce cadre, plusieurs dispositions du RGPD auraient été violées.
Le plaignant affirme qu’il y a un manque d’information, que le consentement des parents est requis pour réaliser l’enquête, qu’on a utilisé un service de la société de l’information et que le traitement concerne plus de données que nécessaire au regard des finalités pour lesquelles elles sont traitées.
Selon le plaignant, une analyse d’impact relative à la protection des données aurait également dû être réalisée par le défendeur mais cela n’a pas été fait.
4. Le 6 août 2019, la plainte est déclarée recevable sur la base des articles 58 et 60 de la loi du 3 décembre 2017, le plaignant en est informé en vertu de l’article 61 de la loi du 3 décembre 2017 et la plainte est transmise à la Chambre Contentieuse en vertu de l’article 62, § 1 er de la loi du 3 décembre 2017.
5. Le 27 août 2019, la Chambre Contentieuse décide, en vertu de l’article 95, § 1 er, 1° et de l’article 98 de la loi du 3 décembre 2017, que le dossier peut être traité sur le fond.
6. Le 28 août 2019, les parties concernées sont informées par envoi recommandé des dispositions visées à l’article 95, § 2 ainsi qu’à l’article 98 de la loi du 3 décembre 2017. En vertu de l’article 99 de la loi du 3 décembre 2017, les parties concernées ont également été informées des délais pour transmettre leurs conclusions. La date ultime pour recevoir les conclusions en réplique a ainsi été fixée au 7 octobre 2019 pour le plaignant et au 7 novembre 2019 pour le défendeur.
7. Le 9 septembre 2019, le défendeur informe la Chambre Contentieuse qu’il a pris connaissance de la plainte, il demande une copie du dossier (art. 95, § 2, 3° de la loi du 3 décembre 2017) et il accepte toutes les communications relatives à l’affaire par voie électronique (art. 98, 1° de la loi du 3 décembre 2017).
8. Le 11 septembre 2019, une copie du dossier est transmise au défendeur.
9. Le 26 septembre 2019, la Chambre Contentieuse reçoit les conclusions en réponse du défendeur.
Le défendeur déclare dans ses conclusions que pour l’enquête, il se base sur une obligation légale et qu’aucun consentement n’est requis, impliquant aussi, selon lui, que l’article 8 du RGPD ne serait pas applicable. Le défendeur nie également que des catégories particulières de données à caractère personnel au sens de l’article 9.1 du RGPD seraient traitées sur la base de l’enquête.
Le défendeur donne également une explication de la manière dont les données sont traitées après l’enquête (qui a accès à l’enquête individuelle, conservation des données générales (anonymisées) au niveau de la classe, suppression des enquêtes complétées à la fin de l’année scolaire).
L’enquête suivante serait basée sur le “questionnaire bien-être” utilisé par l’inspection de l’enseignement afin de respecter le principe de minimisation des données. Enfin, une proposition de courrier est jointe de manière à ce que l’école puisse à l’avenir mieux informer les parents et les élèves concernant la finalité de l’enquête.
10. Le 23 octobre 2019, la Chambre Contentieuse reçoit les conclusions en réplique de la part du plaignant. Il y répond de manière circonstanciée aux conclusions en réponse du défendeur et mentionne plusieurs nouveaux éléments qui ne figuraient pas encore dans la plainte :
• Selon le plaignant, Y est le pouvoir organisateur pour l’école Z et le Centre libre d’encadrement des élèves W, mais étant donné qu’un centre d’encadrement des élèves doit pouvoir intervenir en toute indépendance, ils semblent intervenir en tant que responsables conjoints du traitement.
• Le plaignant donne un relevé des dispositions qui ont, selon lui, été violées. Il demande également :
1. qu’une amende soit infligée au défendeur, 2. que toutes les personnes concernées soient informées des faits commis (en 2016 et en 2018, et le cas échéant aussi pour l’enquête de 2017) qui constitueraient une violation de données à caractère personnel, 3. et que la décision de la Chambre Contentieuse soit communiquée sur les sites Internet du défendeur et du Centre d’encadrement des élèves ainsi qu’à tous les parents via Smartschool.
11. Le 8 novembre 2019, la Chambre Contentieuse reçoit les conclusions en réplique du défendeur, qui abordent plus en détail la licéité du traitement, la désignation du responsable du traitement, l’exigence de consentement et la non applicabilité de l’article 8 du RGPD, le principe de minimisation des données, l’obligation du responsable du traitement de fournir des informations transparentes et une argumentation étayant la position selon laquelle aucune analyse d’impact relative à la protection des données n’est nécessaire.
12. Le 4 mai 2020, la Chambre Contentieuse fait connaître au défendeur son intention de procéder à l’imposition d’une amende administrative ainsi que le montant de celle-ci, afin de donner au défendeur l’occasion de se défendre avant que la sanction soit effectivement infligée.
13. Le 22 mai 2020, la Chambre Contentieuse reçoit la réaction du défendeur concernant l’intention d’infliger une amende administrative et le montant de celle-ci.
Le défendeur reprend l’argumentation exposée dans les conclusions en affirmant que le traitement est licite en vertu du décret du 27 avril 2018 relatif à l’encadrement des élèves dans l’enseignement fondamental, l’enseignement secondaire et dans les centres d’encadrement des élèves et que l’article 8.1 du RGPD ne s’appliquerait pas.
Le défendeur souligne également avoir déjà tenu compte de remarques antérieures.
Enfin, le défendeur avance aussi que la Chambre Contentieuse ne peut pas infliger d’amende administrative puisqu’étant un établissement d’enseignement financé par la Communauté flamande, le défendeur a pour objectif de dispenser un enseignement, ce qui est une mission d’intérêt public. Selon le défendeur, il en découle qu’il doit être considéré comme une “autorité publique” au sens de l’article 5 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et donc que l’article 221, § 2 de cette même loi serait d’application.
14. Le 16 juin 2020, la Chambre Contentieuse décide, dans sa décision quant au fond 31/2020 :
– en vertu de l’article 100, § 1er, 9° de la LCA, d’ordonner au défendeur la mise en conformité du traitement avec les articles 5.1.a), 12.1 et 13.1.c) et d) et 13.2.b) du RGPD.
– en vertu de l’article 100, § 1er, 13° de la LCA et de l’article 101 de la LCA, d’infliger une amende administrative de 2000 euros suite aux violations de l’article 5.1.a), de l’article 5.1.c), de l’article 6.1, de l’article 8, de l’article 12.1 et de l’article 13 du RGPD.
15. Le 23 juillet 2020, la Chambre Contentieuse reçoit de la Cour d’appel de Bruxelles la notification d’une requête contre l’APD, déposée au greffe de la Cour.
16. Le 2 septembre 2020, l’audience d’introduction a lieu devant la Cour des marchés, les délais pour les conclusions des parties sont fixés et les plaidoiries pour cette affaire ont été fixées à l’audience du 21 octobre 2020.
Le 18 novembre 2020, la Cour des marchés rend son arrêt.
L’arrêt1 comporte dans les grandes lignes les points d’attention suivants concernant l’évaluation de l’objet de la requête :
• Rejet des moyens avancés par le défendeur concernant les violations établies par la Chambre Contentieuse de l’article 6.1 du RGPD, ainsi que des articles 8 et 5.1.c) du RGPD ;
• Annulation de la décision quant au fond n° 31/2020 du 16 juin 2020, uniquement dans la mesure où il est recommandé au défendeur de mettre le traitement en conformité avec les articles 5.1.a), 12.1, 13.1.c) et d) et 13.2.b) du RGPD et qu’une amende administrative de 2000 euros est infligée.
Non seulement la Cour des marchés annule partiellement la décision du 16 juin 2020 de la Chambre Contentieuse, mais elle affirme également que dans un délai de quatre mois à compter de la date de l’arrêt, la Chambre Contentieuse devra réexaminer et motiver à nouveau la décision d’infliger une amende administrative.
La Cour inscrit l’affaire pour contrôle de la Cour des marchés en séance publique le 14 avril 2021.
17. Suite à l’arrêt, la Chambre Contentieuse décide à présent de vérifier si, et le cas échéant dans quelle mesure, l’amende administrative doit être maintenue.
2. Base juridique • Licéité du traitement
Article 6.1 du RGPD
1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
[…]
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
[…]
• Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information
Article 8 du RGPD
1. Lorsque l’article 6, paragraphe 1, point a), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.
2. Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.
3. Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d’un contrat à l’égard d’un enfant.
• Minimisation des données
Article 5.1.c) du RGPD
1. Les données à caractère personnel sont :
[…]
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
3. Motivation
A. Notion d’autorité publique
18. Suite à l’arrêt de la Cour des marchés du 18 novembre 2020, la contestation par le défendeur de la violation de l’article 6.1 du RGPD, ainsi que de l’article 8 et de l’article 5.1.c) du RGPD a été rejetée car non fondée, tandis que la contestation de la violation des articles 5.1.a), 12.1, 13.1.c) et d) et 13.2.b) du RGPD a été admise comme étant fondée. Cette annulation partielle amène la Cour des marchés à décider que l’Autorité de protection des données doit disposer de la possibilité de réexaminer et de motiver de nouveau la décision d’infliger une amende administrative.
19. Dans sa décision du 16 juin 2020, la Chambre Contentieuse a infligé une amende administrative pour l’ensemble des violations de l’article 5.1.a), de l’article 5.1.c), de l’article 6.1, de l’article 8, de l’article 12.1 et de l’article 13 du RGPD qu’elle a constatées. Étant donné que la Cour des marchés confirme uniquement les violations de l’article 5.1.c), de l’article 6.1. et de l’article 8 du RGPD, la Chambre Contentieuse vérifie si l’amende administrative de 2000 euros qui a été infligée est maintenue ou non et si elle doit le cas échéant être adaptée. En ce qui concerne les violations de l’article 5.1.c), de l’article 6.1 et de l’article 8 du RGPD, la Chambre Contentieuse renvoie à la motivation exposée aux points 20 à 42 inclus de sa décision quant au fond 31/2020 du 16 juin 2020.
20. Étant donné que l’imposition d’une amende administrative est directement liée à la qualité du défendeur en tant qu’établissement d’enseignement libre subventionné qui, selon la Chambre Contentieuse, ne relève pas de la dispense d’une amende administrative telle que définie à l’article 83.7 du RGPD et à l’article 221, § 2 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (ci-après la loi relative à la protection des données), la Chambre Contentieuse explique dans la présente décision son point de vue selon lequel le défendeur ne peut pas être considéré comme une autorité publique, ni comme préposé ou mandataire de l’autorité publique.
21. Selon le point de vue de la Chambre Contentieuse dans sa décision du 16 juin 2020, une organisation de droit privé telle qu’Y ne bénéficie pas de la dispense d’une amende administrative conformément à l’article 221, § 2 de la loi relative à la protection des données, même si cette organisation réalise des tâches d’intérêt public dans le domaine de l’enseignement. La Cour des marchés a estimé que la Chambre Contentieuse n’avait pas réfuté les arguments du défendeur selon lesquels les sanctions n’étaient pas applicables aux autorités publiques et qu’il satisfaisait à toutes les exigences de l’article 5, 3° de la loi relative à la protection des données et que, par conséquent, en vertu de la dispense prévue à l’article 221, § 2 de la loi relative à la protection des données, la sanction prévue à l’article 83.7 du RGPD ne pouvait lui être infligée. La Cour des marchés ajoute que la Chambre Contentieuse n’a pas non plus vérifié si le défendeur n’était pas au moins un préposé ou un mandataire des autorités publiques lorsqu’il assurait les tâches de l’autorité publique (consistant à la dispense d’un enseignement).
22. La Chambre Contentieuse précise ci-après son point de vue selon lequel le défendeur n’entre pas en considération pour la dispense d’une amende administrative conformément à l’article 221, § 2 de la loi relative à la protection des données.
L’article 83.7 du RGPD dispose que :
“Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d’adoption de mesures correctrices en vertu de l’article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.”
23. L’article 83.7 du RGPD offre donc aux États membres la possibilité de déterminer que des amendes administratives ne peuvent pas être infligées (ou ne peuvent être infligées que dans une mesure limitée) à des “autorités publiques et à des organismes publics”. Le RGPD ne définit pas davantage la notion d’ “autorités publiques et organismes publics”.
À moins que le droit de l’Union renvoie lui-même expressément au droit des États membres pour la définition d’une notion, les notions qui figurent dans le droit de l’Union doivent être interprétées de manière autonome et uniforme dans toute l’Union2. Le contenu de cette interprétation est (en principe) défini par la Cour de justice sur la base du contexte de la disposition en question et de la finalité du règlement concerné.
24. À cet égard, la compétence discrétionnaire nationale que l’article 83.7 du RGPD attribue aux États membres porte uniquement sur l’autonomie de :
• dispenser ou non les autorités publiques et les organismes publics d’amendes administratives, et
• en cas de dispense, déterminer si celle-ci est de nature intégrale ou partielle ; une dispense partielle peut par exemple consister en des montants d’amende maximaux moins importants pour les autorités publiques et organismes publics, ou en une dispense qui ne vaut que pour certaines autorités publiques et certains organismes publics.
25. L’article 83.7 du RGPD n’autorise pas explicitement les États membres à définir la notion d’ “autorités publiques et organismes publics”. Il s’agit dès lors d’une notion du droit de l’Union qui doit revêtir une signification autonome et uniforme. Il appartient donc uniquement aux institutions de l’Union, à savoir la Cour de justice, de définir les limites de cette notion. Moyennant le respect du principe d’égalité, un État membre peut certes déterminer de manière autonome lesquel(le)s de ces “autorités publiques et organismes publics” il dispense, mais il incombe uniquement à la Cour de justice de déterminer les limites ultimes de cette notion du droit de l’Union. Jusqu’à présent, la Cour de justice n’a pas encore dû se prononcer quant à l’interprétation de la notion de “public” de l’article 83.7 du RGPD, mais il est un fait que pour son interprétation, il faut tenir compte du contexte de l’article 83.7 du RGPD et de la finalité du RGPD.
26. À l’article 221, § 2 de la loi relative à la protection des données, le législateur belge a utilisé la possibilité offerte aux États membres par l’article 83.7 du RGPD. L’article 221, § 2 de la loi relative à la protection des données dispose que :
“L’article 83 du Règlement ne s’applique pas aux autorités publiques et leurs préposés ou mandataires sauf s’il s’agit de personnes morales de droit public qui offrent des biens ou des services sur un marché.”
27. La notion d’ “autorité publique” est définie plus avant à l’article 5, deuxième alinéa de la loi relative à la protection des données :
“Pour l’application de la présente loi, on entend par “autorité publique” :
1° l’État fédéral, les entités fédérées et les autorités locales ;
2° les personnes morales de droit public qui dépendent de l’État fédéral, des entités fédérées ou des autorités locales ;
3° les personnes, quelles que soient leur forme et leur nature qui :
– ont été créées pour satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial ; et
– sont dotées de la personnalité juridique ; et
– dont soit l’activité est financée majoritairement par les autorités publiques ou organismes mentionnés au 1° ou 2°, soit la gestion est soumise à un contrôle de ces autorités ou organismes, soit plus de la moitié des membres de l’organe d’administration, de direction ou de surveillance sont désignés par ces autorités ou organismes ;
4° les associations formées par une ou plusieurs autorités publiques visées au 1°, 2° ou 3°. ”
28. La Chambre Contentieuse affirme que les établissements d’enseignement libre subventionné, comme le défendeur, répondent au critère de la notion d’ “autorité publique” telle que définie à l’article 5, deuxième alinéa de la loi relative à la protection des données. Le défendeur fait partie du réseau d’enseignement catholique et donc pas de l’enseignement “libre” (c’est-à-dire non officiel) et adopte dès lors la forme d’une ASBL privée. Il a néanmoins été créé dans le but spécifique de satisfaire le besoin d’intérêt public qui n’est pas de nature industrielle ou commerciale (à savoir dispenser un enseignement primaire et secondaire), il a la personnalité juridique, ses activités sont financées principalement par l’Autorité flamande et il est également soumis à son contrôle. En vertu de l’article 5, deuxième alinéa, 3° de la loi relative à la protection des données, le défendeur est donc une “autorité publique” au sens de cette loi. 3
29. Toutefois, cette donnée ne suffit pas à elle seule pour appliquer la dispense de l’article 221, § 2 de la loi relative à la protection des données. Cette dispense ne s’applique pas si une “autorité publique” au sens de l’article 5 de la loi relative à la protection des données offre “des biens ou des services sur un marché”. Cela démontre que le législateur entend limiter les autorités publiques dispensées aux autorités publiques classiques. La Chambre Contentieuse fait remarquer par souci d’exhaustivité qu’il est également question d’un marché dans l’enseignement. En effet, l’offre en Belgique comprend également l’enseignement privé agréé (et même non agréé), ne limitant pas ainsi la concurrence sur ce marché de services uniquement à l’enseignement officiel et à l’enseignement libre.
30. La loi relative à la protection des données ne précise pas davantage ce qu’il faut entendre par “l’offre de biens ou de services sur un marché”. Mais tant (1) les travaux parlementaires que (2) l’interprétation stricte requise de l’article 83.7 du RGPD, que l’article 221, § 2 de la loi relative à la protection des données exécute, indiquent clairement que les établissements d’enseignement libre subventionné ne relèvent pas de la dispense de l’article 221, § 2 de la loi relative à la protection des données.
1. La volonté du législateur belge
31. Il ressort des travaux parlementaires que les termes “sauf s’il s’agit de personnes morales de droit public qui offrent des biens ou des services sur un marché ” ont été ajoutés après un avis négatif de la section de législation du Conseil d’État sur le projet initial de dispense d’amendes administratives pour les autorités publiques. Dans le projet initial, la dispense était formulée de manière plus large : elle s’appliquait à tous les responsables du traitement ayant la qualité d’autorité publique ou d’organisme public. Le Conseil a estimé que cette distinction entre le secteur public et le secteur privé n’était pas raisonnablement justifiée et était donc contraire aux articles 10 et 11 de la Constitution. Le Conseil a suggéré aux auteurs du projet d’appliquer également des amendes administratives au secteur public, mais d’établir des maxima moins élevés pour ces amendes, afin de ne pas compromettre la continuité du service public. 4
32. La suggestion du Conseil d’État n’a finalement pas été suivie par le législateur, mais le projet de loi initial a toutefois été amendé. Les autorités publiques restent en principe dispensées d’amendes administratives, sauf s’il s’agit d’une personne morale de droit public qui offre des biens et des services sur un marché.5 Lors des débats parlementaires6, il a été expliqué que le but était en particulier de dispenser les services publics fédéraux (SPF) et les services publics de programmation (SPP) d’amendes administratives.7 Seules les autorités publiques classiques devaient donc encore bénéficier de la dispense. Lors des débats parlementaires, il a été renvoyé spécifiquement aux écoles communales comme exemple d’instances qui, grâce à l’amendement, ne peuvent plus bénéficier de la dispense. Une école communale pourrait aussi se voir infliger une amende administrative, tout comme une école libre, car elle “offre un service” aux citoyens” 8.
33. Il ressort donc indéniablement des travaux parlementaires que la volonté explicite du législateur belge était aussi que les écoles, tant de l’enseignement officiel que de l’enseignement libre, puissent être soumises à des amendes administratives. Étant donné qu’en vertu de la jurisprudence constante de la Cour constitutionnelle, une disposition légale imprécise ou vague doit être interprétée à la lumière de la volonté du législateur 9, le défendeur ne peut pas, pour cette seule raison, invoquer la dispense de l’article 221, § 2 de la loi relative à la protection des données.
2. Article 83.7 du RGPD
34. La deuxième raison pour laquelle l’article 221, § 2 de la loi relative à la protection des données ne peut pas être interprété de manière si large qu’il dispenserait également les établissements de l’enseignement libre tels que le défendeur d’une amende administratives est que l’article 221, § 2 de la loi relative à la protection des données doit être interprété conformément au RGPD, et notamment à l’article 83.7, la disposition qu’il exécute. L’article 83.7 du RGPD laisse la liberté aux États membres de déterminer eux-mêmes si et dans quelle mesure les “autorités publiques et organismes publics” peuvent également être soumis à des amendes administratives (voir également le considérant 150 du RGPD).
35. La dispense facultative d’amendes administratives pour les autorités et organismes publics n’était pas reprise dans la proposition initiale de la Commission, mais a été insérée ensuite dans le RGPD, sur impulsion du Conseil10. Dans la proposition initiale de la Commission, les maxima prévus pour les amendes administratives étaient bien inférieurs (à savoir respectivement 250.000 EUR, 500.000 EUR et 1.000.000 EUR)11. Ces maxima ont été majorés sensiblement par le Conseil (jusqu’à 20.000.000 EUR) afin d’être suffisamment dissuasifs pour de grandes entreprises telles que Facebook et Google. En guise de compensation, les États membres se sont vu accorder la liberté de dispenser leurs autorités publiques et organismes publics de telles amendes administratives élevées.
36. Le RGPD ne précise pas davantage ce qu’il y a lieu d’entendre par “autorités publiques et organismes publics”. Comme souligné plus haut (point 25), cela ne signifie nullement qu’il incombe aux États membres de déterminer eux-mêmes les limites de la notion de public reprise à l’article 83.7 du RGPD. Il s’agit d’une notion du droit de l’Union qui doit revêtir une signification autonome et uniforme, compte tenu du contexte de l’article 83.7 du RGPD et de l’objectif du RGPD.
37. Le contexte de l’article 83.7 du RGPD et l’objectif du RGPD incitent à une interprétation restrictive de la notion de public dans cette disposition. L’article 83.7 du RGPD prévoit en effet pour les autorités publiques une exception à la règle générale selon laquelle des violations du RGPD peuvent être sanctionnées, au besoin, d’une amende administrative (art. 58.2.i) du RGPD).
Selon la jurisprudence constante de la Cour de justice, les dispositions d’exception doivent être interprétées de manière stricte12. En ce qui concerne en particulier les règles européennes de protection des données, la Cour de justice a déjà estimé à plusieurs reprises que les exceptions prévues dans la législation européenne devaient être interprétées de manière restrictive, ” En tant qu’elles rendent inapplicables le régime de protection des données à caractère personnel prévu par [cette] directive [à présent règlement] et s’écartent ainsi de l’objectif sous-jacent à celle-ci, consistant à assurer la protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel, tels que le droit au respect de la vie privée et familiale ainsi que le droit à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (…). “”13
38. En modérant les sanctions pour les autorités et organismes publics, l’article 83.7 du RGPD déroge indéniablement à l’objectif qui sous-tend le RGPD, à savoir la protection du droit des personnes physiques à la protection des données à caractère personnel (art. 1.2 du RGPD). La sanction de l’amende administrative offre en effet un moyen de pression efficace et donc une garantie supplémentaire pour le citoyen que les règles en matière de protection des données seront respectées.
39. C’est précisément pour renforcer l’application des règles de protection des données 14 que le législateur de l’Union a établi explicitement dans le RGPD que des amendes administratives doivent au besoin être infligées pour des violations de ce règlement. L’ancienne directive relative à la protection des données, abrogée par le RGPD, n’infligeait pas explicitement une telle sanction.
L’article 24 de cette directive disposait seulement de manière générale que les États membres “prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive” (soulignement propre). Il s’agit également de la méthode habituelle du législateur de l’Union concernant l’application de la réglementation qu’il promulgue15. De manière générale16, les actes législatifs européens exigent seulement que les États membres appliquent aux violations des sanctions qui sont “effectives, proportionnées et dissuasives”, mais laissent les États membres déterminer eux-mêmes la nature de ces sanctions (par exemple indemnisation de la victime, amende administrative, sanction pénale, …)17. L’organisation de la mise en application des règles européennes dans un État membre relève donc en principe de l’autonomie des États membres.
40. Selon le législateur de l’Union, la mise en application de l’ancienne directive relative à la protection des données laissait toutefois à désirer dans certains États membres. Pour renforcer et harmoniser cette mise en application des règles de protection des données18, le RGPD prévoit quant à lui un système d’amendes administratives pour l’ensemble de l’Union 19 (art. 83 du RGPD). Le RGPD a donc fortement limité l’autonomie procédurale nationale.
41. En prévoyant une exception (facultative) à ce système de mise en application, l’article 83.7 du RGPD déroge à l’objectif du règlement et il convient de l’interpréter de manière restrictive conformément à la jurisprudence constante de la Cour de justice. Cela vaut a fortiori dès lors que l’objectif du RGPD consiste à protéger un droit fondamental, à savoir le droit à la protection des données à caractère personnel (art. 1 er, paragraphe 2 du RGPD) et que le législateur de l’Union s’est fixé pour objectif particulier de renforcer et d’harmoniser la mise en application des règles quant à ce droit fondamental.
42. Il en découle que les notions d’ “autorités publiques et organismes publics” à l’article 83.7 du RGPD doivent être interprétées de manière restrictive. Cela signifie concrètement que le législateur de l’Union ne peut pas avoir eu pour objectif de permettre aux États membres d’élargir également la dispense facultative de l’article 83.7 du RGPD à toutes les organisations de droit privé qui accomplissent une mission d’intérêt public et qui, en compensation, reçoivent une aide publique, comme le défendeur. Si de telles organisations de droit privé devaient par définition échapper au moyen de pression que constitue l’amende administrative, cela pourrait en effet compromettre gravement la réalisation de l’objectif du RGPD.
43. La large définition que le législateur belge a donnée à la notion de public à l’article 5, deuxième alinéa de la loi relative à la protection des données ne peut dès lors clairement pas être conciliée avec l’interprétation stricte que requiert l’article 83.7 du RGPD. La définition de la notion de public à l’article 5 de la loi relative à la protection des données correspond quasiment littéralement à la définition de la notion d’ “organisme du secteur public” dans la Directive 2003/98/CE concernant la réutilisation des informations du secteur public 20et de la notion de “pouvoir adjudicateur” dans la législation européenne relative aux marchés publics 21. Mais l’objectif de ces actes législatifs européens prend justement tout son sens avec une interprétation la plus large possible de la notion de public qui détermine en effet le champ d’application de ces actes législatifs. Dès lors, selon la jurisprudence constante de la Cour de justice, la notion de “pouvoir adjudicateur” dans les directives relatives aux marchés publics “doit recevoir une interprétation tant fonctionnelle que large”, “à la lumière du double objectif d’ouverture à la concurrence et de transparence poursuivi par ladite directive”. Selon la Cour de justice, une telle interprétation large est “la seule susceptible de préserver pleinement l’effet utile de la directive [relative aux marchés publics] (…)” .22
44. Il en va de même pour l’interprétation de la notion d’ “autorité publique ou organisme public” dans le contexte de l’article 37.1.a) du RGPD, qui prévoit l’obligation de désigner un délégué à la protection des données lorsque le traitement de données est réalisé par une autorité publique ou un organisme public. L’objectif du RGPD, à savoir la protection des données à caractère personnel, est justement servi par une large obligation de désigner un délégué à la protection des données, et donc par une large interprétation de la notion de public à l’article 37.1.a) du RGPD.
45. Le contexte de la notion d’ “autorités publiques et organismes publics” à l’article 83.7 du RGPD est en effet tout à fait autre dès lors qu’il ne détermine pas le champ d’application personnel du RGPD mais établit bien une exception à une règle générale du RGPD, à savoir que les violations du RGPD peuvent être sanctionnées par une amende administrative. En tant qu’exception à cette règle générale, l’article 83.7 du RGPD doit être interprété de manière stricte (voir point 37 ci-dessus).
46. Par analogie, on peut se référer à la jurisprudence de la Cour de justice concernant la notion d’ “autres organismes de droit public” à l’article 13.1 de la directive 2006/112 relative au système commun de taxe sur la valeur ajoutée 23. Cette disposition établit une exception à la règle générale sur laquelle se fonde le système commun de la TVA, à savoir la règle selon laquelle le champ d’application de la TVA s’étend à tous les services effectués à titre onéreux. L’article 13.1 prévoit une exception à cette règle pour les activités que les “organismes de droit public” accomplissent “en tant qu’autorités publiques”. La Cour de justice a estimé explicitement dans l’arrêt Saudaçor que la notion d’ “organismes de droit public” dans cette disposition d’exception ne pouvait pas être interprétée de manière aussi large que la notion de “pouvoir adjudicateur” dans les directives relatives aux marchés publics (soulignement propre) :24
“44 Dans ce contexte, la juridiction de renvoi demande si, ainsi que le soutient Saudaçor, la notion d’ “autres organismes de droit public”, au sens de l’article 13, paragraphe 1, de ladite directive, doit être interprétée en ayant recours à la définition de la notion d’ “organisme de droit public” énoncée à l’article 1er, paragraphe 9, de la directive 2004/18.
45 Une telle interprétation de l’article 13, paragraphe 1, de la directive 2006/112 ne saurait être retenue.
46 En effet, en définissant de manière large la notion d’ “organisme de droit public” et, par voie de conséquence, celle de “pouvoirs adjudicateurs”, l’article 1 er, paragraphe 9, de la directive 2004/18 vise à délimiter le champ d’application de cette directive de manière suffisamment étendue afin d’assurer que les règles en matière, notamment, de transparence et de non‑discrimination s’imposant dans le cadre de la passation de marchés publics s’appliquent à un ensemble d’entités étatiques qui ne font pas partie de l’administration publique mais qui sont néanmoins contrôlées par l’État, notamment au moyen de leur financement ou de leur gestion.
47 Or, le contexte dans lequel s’insère la notion d’ “autres organismes de droit public” figurant à l’article 13, paragraphe 1, de la directive 2006/112 est foncièrement différent.
48 En effet, cette notion ne vise pas à définir le champ d’application de la TVA mais opère au contraire une dérogation à la règle générale sur laquelle se fonde le système commun de cette taxe, à savoir celle selon laquelle le champ d’application de ladite taxe est défini de manière très large comme couvrant toutes les prestations de services fournies à titre onéreux, y compris celles fournies par les organismes de droit public (voir, en ce sens, arrêt Commission/Pays‑Bas, C‑79/09, EU:C:2010:171, points 76 et 77).
49 En tant que dérogation à la règle générale de l’assujettissement à la TVA de toute activité de nature économique, l’article 13, paragraphe 1, de la directive 2006/112 est d’interprétation stricte (voir, notamment, arrêt Isle of Wight Council e.a., C‑288/07, EU:C:2008:505, point 60, ainsi que ordonnance Gmina Wrocław, C‑72/13, EU:C:2014:197, point 19).” ”
47. Par analogie avec cette jurisprudence, la notion de public à l’article 83.7 du RGPD doit aussi être interprétée de manière stricte. Cette notion ne peut en aucun cas être interprétée de manière aussi large que les notions de “pouvoir adjudicateur” et d’ “organisme public” reprises respectivement dans les directives relatives aux marchés publics et dans les directives relatives à l’accès aux informations du secteur public.25 A fortiori, dès lors que le RGPD (contrairement à la Directive TVA précitée) vise à protéger un droit fondamental, l’article 83.7 du RGPD ne peut pas être interprété d’une manière aussi large qui permettrait aux États membres de dispenser toutes les personnes morales de droit privé accomplissant une mission d’intérêt public (et qui sont financées principalement par les autorités publiques et/ou sont soumises à un contrôle public) d’amendes administratives pour violation du RGPD.
48. La Chambre Contentieuse souligne qu’évoquer l’analogie précitée quant à l’interprétation restrictive de dispositions d’exception ne signifie pas que le défendeur soit considéré par la Chambre Contentieuse comme une “personne morale de droit public”.
49. Vu les principes de primauté et de pleine effectivité du droit de l’Union, l’article 221, § 2 de la loi relative à la protection des données doit être compris dans l’interprétation restrictive qu’il convient de donner à l’article 83.7 du RGPD. Cela signifie que l’article 221, § 2 de la loi relative à la protection des données ne peut pas être interprété de manière si large qu’il permettrait par définition de dispenser également les établissements de l’enseignement libre, comme le défendeur, d’amendes administratives.
50. Étant donné que la Chambre Contentieuse estime que le défendeur ne relève pas de l’application de l’article 83.7 du RGPD du fait qu’il n’est pas une “autorité publique ou un organisme public” au sens de cette disposition et qu’elle en conclut dès lors que l’article 83.7 du RGPD n’est pas d’application, la Chambre Contentieuse estime en effet également inéluctable que l’article 221, § 2 de la loi relative à la protection des données, qui transpose en droit belge l’article 83.7 du RGPD, ne soit pas non plus d’application. En raison précisément de cette transposition, la notion d’ “autorité publique ou organisme public” de l’article 83.7 du RGPD correspond au cadre notionnel “autorités publiques et leurs préposés ou mandataires” utilisé à l’article 221, § 2 de la loi relative à la protection des données. Du fait que le défendeur ne puisse pas être qualifié d’ “autorité publique ou organisme public”, il n’est pas non plus ipso facto une “autorité, un préposé ou un mandataire d’une autorité publique”.
51. La Chambre Contentieuse conclut que :
– le RGPD ne définit pas la notion d’ “autorités publiques et organismes publics” au sens de l’article 83.7 du RGPD ;
– il découle de la jurisprudence constante de la Cour de justice que la notion d’ “autorités publiques et organismes publics” à l’article 83.7 du RGPD est une notion autonome du droit de l’Union, qui doit être interprétée en tenant compte du contexte de cette disposition et de l’objectif du RGPD ; qu’étant donné que l’article 83.7 du RGPD est une disposition d’exception, la notion de public doit plus particulièrement être interprétée de manière restrictive en l’espèce ;
– la notion d’ “autorités publiques et organismes publics” à l’article 83.7 du RGPD ne peut en tout état de cause être interprétée d’une manière si large qu’elle inclurait également des personnes morales de droit privé qui accomplissent une mission d’intérêt public, comme des établissements de l’enseignement libre ;
– l’interprétation large de l’article 221, § 2 de la loi relative à la protection des données serait contraire d’une part à la volonté explicite du législateur belge de ne pas dispenser les écoles d’amendes administratives et d’autre part à l’interprétation restrictive que requiert l’article 83.7 du RGPD en tant que disposition d’exception ;
– l’article 221, § 2 de la loi relative à la protection des données doit dès lors aussi être interprété de manière à ce que les établissements de l’enseignement libre ne soient pas dispensés d’amendes administratives pour violation du RGPD.
B. Amende administrative
52. Le fait que le défendeur, en tant qu’établissement de l’enseignement libre subventionné, puisse se voir infliger une amende administrative amène la Chambre Contentieuse à maintenir l’amende administrative. Cette sanction ne vise pas à mettre fin à une infraction commise, mais bien à renforcer l’application des règles du RGPD. Comme il ressort clairement du considérant 148 du RGPD, le RGPD pose en effet comme principe que pour toute violation grave – donc aussi lors d’une première constatation d’une violation –, des sanctions, y compris des amendes administratives, devraient être infligées, en complément ou à la place des mesures appropriées 26.
La Chambre Contentieuse démontre ci-après que les violations des articles 5.1.c), 6.1 et 8 du RGPD que le défendeur a commises ne sont en aucun cas de petites violations et que l’amende ne constitue pas une charge disproportionnée pour une personne physique telle que visée au considérant 148 du RGPD, deux cas dans lesquels on peut renoncer à infliger une amende. La Chambre Contentieuse inflige l’amende administrative en application de l’article 58.2.i) du RGPD.
L’instrument de l’amende administrative n’a donc nullement pour but de mettre fin aux violations.
À cet effet, le RGPD et la LCA prévoient plusieurs mesures correctrices, dont les ordres cités à l’article 100, § 1er, 8° et 9° de la LCA.
53. Compte tenu de l’article 83 du RGPD et de la jurisprudence 27 de la Cour des marchés, la Chambre Contentieuse motive l’imposition d’une sanction administrative de manière concrète:
– La gravité de l’infraction : la motivation exposée ci-après démontre la gravité de l’infraction.
– La durée de l’infraction: depuis que le RGPD est d’application, l’enquête “bien-être” faisant l’objet de la plainte n’a été organisée qu’une seule fois.
– L’effet dissuasif nécessaire en vue de prévenir de nouvelles infractions.
54. En ce qui concerne la nature et la gravité de la violation (art. 83.2.a) du RGPD), la Chambre Contentieuse souligne que le respect des principes énoncés à l’article 5 du RGPD – en particulier ici le principe de licéité ainsi que le principe de minimisation des données – est essentiel, parce qu’il s’agit de principes fondamentaux de protection des données. La Chambre Contentieuse considère que la violation du principe de licéité de l’article 6 du RGPD qui est commise par le défendeur constitue dès lors une violation grave. En outre, une violation de l’article 8 du RGPD est commise, article visant une protection particulière des jeunes, ce qui constitue donc aussi une violation grave.
55. Malgré une plainte antérieure introduite contre le défendeur en 2016 auprès de la Commission de la protection de la vie privée de l’époque concernant la même enquête, le défendeur a quand même organisé une nouvelle enquête en 2018. La Chambre Contentieuse ne tient toutefois pas compte de la plainte de 2016 pour déterminer l’amende administrative. Tout d’abord, aucune suite n’a été associée à la plainte de 2016 par la Commission de la protection de la vie privée et à ce moment-là, le RGPD n’était pas encore d’application.
56. Pour fixer l’amende administrative, la Chambre Contentieuse tient toutefois compte du fait que le défendeur se déclare disposé à prévoir une enquête pouvant à l’avenir être organisée sous une forme anonyme et a déjà fourni des efforts en ce sens, à condition que le défendeur prenne les mesures nécessaires pour assurer l’anonymat de l’enquête (comme exposé aux points 39-40 de la décision quant au fond 31/2020 du 16 juin 2020). En outre, au moment de définir le montant de l’amende, la Chambre Contentieuse tient aussi compte du fait qu’il s’agit ici d’un établissement scolaire, sans but lucratif.
57. Un autre élément important dans la détermination du montant de l’amende réside dans le fait qu’à la suite de l’arrêt de la Cour des marchés du 18 novembre 2020, les violations ne concernent que l’article 5.1.c), l’article 6.1 et l’article 8 du RGPD, et donc pas l’article 5.1 a), l’article 12.1 et l’article 13 du RGPD, ce qui amène la Chambre Contentieuse à reconsidérer le montant de l’amende et de le ramener à 1.000,00 €.
58. L’ensemble des éléments exposés ci-dessus justifie une sanction effective, proportionnée et dissuasive, telle que visée à l’article 83 du RGPD, compte tenu des critères d’appréciation qu’il contient. La Chambre Contentieuse attire l’attention sur le fait que les autres critères de l’article 83.2 du RGPD ne sont pas, dans ce cas, de nature à conduire à une autre amende administrative que celle définie par la Chambre Contentieuse dans le cadre de la présente décision.
C. Publication de la décision
59. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l’APD. Toutefois, il n’est pas nécessaire à cette fin que les données d’identification des parties soient directement communiquées.
PAR CES MOTIFS,
la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération, de revoir sa décision 31/2020 du 16 juin 2020 et d’imposer au défendeur, en vertu de l’article 100, § 1 er, 13° de la LCA et de l’article 101 de la LCA, une amende administrative de 1.000,00 € pour violation de l’article 5.1.c), de l’article 6.1 et de l’article 8 du RGPD.
En vertu de l’article 108, § 1er de la LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des marchés dans un délai de trente jours à compter de sa notification, avec l’Autorité de protection des données en qualité de défenderesse.
(sé.) Hielke Hijmans
Président de la Chambre Contentieuse

Document PDF ECLI:BE:GBAPD:2021:DEC.20210315.1

Publication(s) liée(s)

suivi par:

ECLI:BE:GBAPD:2021:AVIS.20210319.7

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

✉ [email protected]

©  2017-2026 Service ICT – SPF Justice

Powered by PHP 8.5.0

Server Software Apache/2.4.66

== Fluctuat nec mergitur ==