ECLI:BE:GBAPD:2021:DEC.20210614.1

JUPORTAL Base de données publique de la jurisprudence belge

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

 
Autorité de protection des données

Décision du 14 juin 2021

No ECLI:

ECLI:BE:GBAPD:2021:DEC.20210614.1

No Rôle:

72/2021

Domaine juridique:

Droit civil

Date d’introduction:

2025-08-12

Consultations:

65 – dernière vue 2026-04-14 16:42

Fiche

LA CHAMBRE CONTENTIEUSE – Prononcer à l'encontre de la défenderesse
une réprimande sur la base de l'article 100.1, 5° LCA, pour violation
de l'article 15.1 du RGPD joint aux articles 12.3 et 13.1.c) et pour
violation de l'article 6.1.e) du RGPD. – Classer sans suite la plainte
pour les autres aspects sur la base de l'article 100.1, 1° LCA.

Thésaurus UTU:

DROIT CIVIL – VIE PRIVÉE – Traitement données à caractère personnel – Autorité de protection des données (Commission de la protection de la vie privée)

Mots libres:

Plainte contre une autorité publique pour transmission d'un rapport
à des tiers et absence de réponse dans le délai légal. (DOS-2019-02726)

Bases légales:

Loi – 03-12-2017 – 100.1,1° – 11
Lien ELI No pub 2017031916
Loi – 03-12-2017 – 100.1,5° – 11
Lien ELI No pub 2017031916

Texte de la décision

Chambre contentieuse
Décision quant au fond 72/2021 du 14 juin 2021
N° de dossier : DOS-2019-02726
Objet : Plainte contre une autorité publique pour transmission d’un rapport à des tiers et absence de réponse dans le délai légal
La Chambre Contentieuse de l’Autorité de protection des données (ci-après APD), constituée de Monsieur Hielke Hijmans, président, et de Messieurs C. Boeraeve et R. Robert, membres.
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données), ci-après RGPD;
Vu la Loi du 3 décembre 2017 portant création de l’Autorité de protection des données (ci-après LCA);
Vu le règlement d’ordre intérieur de l’Autorité de protection des données tel qu’approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019;
Vu les pièces du dossier ;
A pris la décision suivante concernant :
Le plaignant : Monsieur X, (ci-après le plaignant), représenté par Me. Jean-Yves Gyselinx La défenderesse : Agence Y,
I. Faits et rétroactes de la procédure
1. Le 15 mai 2019, le plaignant introduit auprès de l’Autorité de protection des données (ci-après l’APD) un formulaire de requête/plainte dans lequel il critique la communication par le responsable de traitement d’un rapport du 3 avril 2019 aux représentants de syndicats, en raison du fait qu’il contient des données à caractère personnel à son sujet et notamment son salaire. Il se plaint notamment du fait que les représentants syndicaux auraient transféré l’information à de nombreux autres collègues syndicalistes, qui auraient utilisé l’information contre lui lors de réunions.
2. Le rapport, daté du 3 avril 2019 et intitulé « Rapport de conclusion de plainte » (ci-après, « le rapport d’audit » ou « le rapport ») provient de la Direction Audit & Contrôle, […]de la défenderesse. Le rapport concerne l’ASBL Z (ci-après l’ASBL), un établissement qui bénéficie d’une autorisation de prise en charge délivrée par Y pour 95 personnes en situation de handicap, en accueil de jour comme de nuit. Les bénéficiaires présentent une déficience intellectuelle ou des troubles psychiques, certains présentant un polyhandicap important. Une partie de la population présente des besoins complexes.
3. Le rapport d’audit fait suite à trois groupes de plaintes qui ont été déposées entre le 22 décembre 2018 et le 21 février 2019, contre l’ASBL de la part, respectivement, d’une vingtaine de travailleurs de l’ASBL, d’un collectif d’éducateurs et des syndicats […] et […].
4. L’audit se penche sur des griefs tels que le montage financier de l’institution, le manque d’encadrement, l’incompétence du management ainsi que des problématiques dans la qualité de prise en charge des résidents. Sur neuf griefs évoqués, le rapport considère que cinq sont fondés ou globalement fondés, les quatre autres faisant l’objet d’appréciations diverses. Le plaignant est renseigné comme étant le directeur de l’ASBL.
5. Ce rapport d’audit a été envoyé par courriel le 3 avril 2019 au plaignant et à deux représentants syndicaux (identifiés comme étant respectivement les gestionnaires et les plaignants). Le rapport est également adressé à la conciliatrice sociale « en vue de soutenir les pistes de réflexions qui seront discutées lors de la réunion de cet après-midi afin de tenter de solutionner ce litige »1.
6. Le même jour, le plaignant répond au courriel en indiquant avoir constaté différentes erreurs dans le rapport et vouloir rédiger un droit de réponse. Le 8 mai 2019, il envoie par courriel une série de griefs et de questions à la défenderesse concernant des éléments du rapport. Il se plaint également du fait que le rapport contient ses données salariales qui ont été transmises aux représentations syndicales. Il demande des explications sur ce qu’il estime être le non-respect de la confidentialité des données personnelles. Le 14 mai 2019, il envoie par courriel un document intitulé « Droit de réponse ».
7. Le 15 mai 2019, le plaignant introduit son formulaire de requête auprès de l’Autorité.
8. Dans un premier temps, l’Autorité, par le biais du Service de première ligne intervient auprès du plaignant dans une phase de médiation durant laquelle elle l’invite à exercer son droit d’accès auprès de la défenderesse (courrier du 27 mai 2019).
9. Le 14 juin 2019 le plaignant répond à l’APD qu’il n’a jamais reçu de réponse à ses communications du 8 et 14 mai 2019. Par un courrier daté du 22 juillet 2019, l’APD signale au plaignant que le courriel envoyé par le plaignant le 8 mai 2019 ne constitue pas véritablement une demande d’accès. Elle l’invite à exercer ce droit auprès de la défenderesse en demandant la base légale sur laquelle se fonde le transfert de données.
10. Le plaignant effectue cette demande auprès de la défenderesse le 23 juillet 2019. Le 26 août, il informe l’APD de l’absence de réponse de la défenderesse. Le 10 septembre 2019, l’APD envoie un courrier à la défenderesse en lui demandant de répondre au demandeur et de faire parvenir une copie de cette réponse à l’APD. La défenderesse confirme réception de la demande le 18 septembre 2019 et indique qu’une réponse suivra dans les plus brefs délais.
11. La réponse de la défenderesse est datée du 26 septembre 2019. Dans celle-ci, la défenderesse présente ses excuses pour sa réponse tardive. Elle indique ensuite que la finalité du traitement de données visait à instruire une plainte déposée à l’encontre du plaignant, conformément à l’article 1369.84 du Code réglementaire wallon de l’Action sociale et de la Santé du 4 juillet 2013 (ci-après : le code réglementaire). Elle renvoie le plaignant vers la Politique de confidentialité qui indique que les données sont transmises à des tiers lorsque la participation à l’instruction du dossier l’exige. La défenderesse apporte également des éléments de contextualisation de la situation en évoquant un conflit social anormalement long faisant peser des risques sur le bien-être des bénéficiaires de l’établissement.
12. Par courriel du 27 septembre 2019, le plaignant répond au courrier de la défenderesse. Il conteste la légalité de la transmission de ses données aux syndicats, étant donné que ceux-ci sont également auteurs de la plainte auprès de Y et que le transfert ne s’est pas basé sur son consentement. Il indique que ce transfert a permis aux syndicats d’utiliser ses données pour une autre fin que celle pour laquelle elles avaient été collectées. Il soulève également le dépassement du délai légal pour répondre à sa demande d’accès. Il demande à l’APD d’acter sa plainte et la déclarer recevable.
13. Le 18 octobre 2019, le Service de première ligne de l’APD, vu la dernière communication du plaignant, constate que la médiation engagée n’a pas abouti et sollicite l’accord du plaignant pour que le dossier soit transmis comme plainte à la Chambre contentieuse. Le 5 novembre 2019, après avoir obtenu l’accord du plaignant, le Service de première ligne déclare la plainte recevable sur la base des articles 58 et 60 de la LCA et la transmet à la Chambre contentieuse en vertu de l’article 62, § 1er de la LCA.
14. Le 3 décembre 2019, la Chambre contentieuse décide que le dossier peut être traité sur le fond et en informe les parties. Elle établit que les griefs du plaignant à l’encontre de Y concernent d’une part, la conformité aux règles de protection des données de la communication du rapport contenant des données à caractère personnel le concernant (son salaire) à des représentants syndicaux, y compris au regard de l’information que Y communique aux personnes concernées à propos du traitement de leurs données à caractère personnel (articles 5 et 6 du RGPD et articles 12 à 14 du RGPD), et d’autre part, la conformité de la réponse donnée au plaignant par Y, suite à l’exercice par celui-ci, de son droit d’accès (articles 12 et 15 du RGPD).
15. Le même jour, la Chambre contentieuse informe les parties de sa décision de traiter le dossier sur le fond et établit un calendrier d’échange de conclusions.
16. Le 12 décembre 2019, la défenderesse confirme réception du courrier de la Chambre contentieuse et demande à recevoir une copie des pièces du dossier dont elle ne dispose pas encore. Le secrétariat de la Chambre contentieuse envoie les pièces demandées le même jour.
17. Le 24 décembre 2019, la défenderesse fait parvenir ces conclusions à la Chambre contentieuse. Elle y explique tout d’abord que normalement, les rapports d’analyse, tels que le rapport d’audit du 3 avril 2019, ne sont jamais communiqués aux plaignants.
Ceux-ci ne reçoivent qu’un courrier les informant du résultat de l’enquête. La défenderesse ajoute que le cas de l’ASBL est tout à fait particulier puisque celle-ci faisait l’objet d’un conflit social d’une grande ampleur, incluant une grève qui aurait duré sept semaines. Selon la défenderesse, le rôle de la concertation sociale était donc devenu essentiel pour espérer apporter une solution au conflit. Le rapport de la défenderesse était très attendu puisqu’il permettait d’objectiver les griefs apportés par les plaignants, au sein desquels figuraient les organisations syndicales. Ces griefs portaient entre autres sur le mode de gouvernance et les pratiques financières. C’est dans ce contexte que le rapport a été transmis à la conciliatrice et aux organisations syndicales afin qu’il puisse servir dans la réunion de conciliation qui avait lieu l’après-midi même. La défenderesse estime qu’il n’était pas possible pour elle de pas traiter du sujet de la rémunération du plaignant dans un tel contexte.
18. Quant à l’exercice du droit d’accès, la défenderesse reconnaît le caractère tardif de la réponse, en soulignant cependant qu’une réponse apportant les éléments nécessaires a finalement été transmise.
19. Au sujet de la divulgation du montant de la rémunération du plaignant, la défenderesse reconnait une maladresse et un manque de précaution mais précise plusieurs éléments. Elle rappelle le caractère exceptionnel de la situation et la nécessité de trouver des solutions, ce qui l’a poussée à effectuer une balance des intérêts, notamment eu égard à son rôle primordial dans ce secteur. Elle explique également ne pas se considérer responsable des actions opérées à postériori par les syndicats. Elle ajoute par ailleurs que son courriel d’envoi du 3 avril 2019 contenait une clause de non-responsabilité.
20. Le 3 janvier 2020, le plaignant informe la Chambre contentieuse et la défenderesse avoir donné mandat à Me. Gyselinx pour le représenter. Le 28 janvier 2020, ce dernier fait parvenir ses conclusions à la Chambre contentieuse et à la défenderesse 2. Il y explique que le rapport contenait non seulement le salaire du concluant mais également la facturation de [la société …] (un prestataire de service). Il souligne que la défenderesse a reconnu sa propre maladresse. Il argumente également que cette divulgation du salaire a causé un dommage énorme en terme d’images et a obligé le plaignant à se mettre en retrait puis quitter la direction de l’ASBL. Sur les principes, il souligne que la défenderesse ne s’appuie sur aucune base de licéité prévue par le RGPD (appelées causes de justification par le plaignant) et explique pourquoi il considère que ni l’article 6.1.d) ni l’article 6.1.e) ne s’appliquent en l’espèce.
21. Le 10 février 2020 la défenderesse transmet ses conclusions en réplique à la Chambre contentieuse. Au-delà des points déjà évoqués dans ses premières conclusions, la défenderesse considère que le plaignant minimise la situation dans laquelle se trouvait l’ASBL au moment des faits et souligne l’importance de se pencher sur la rémunération du dirigeant ainsi que d’autres aspects budgétaires. Elle ajoute que le plaignant ne démontre en rien le dommage qui lui aurait été causé et que la diffusion du rapport était encadrée et limitée aux seules parties prenantes identifiées.
22. En ce qui concerne la base de licéité, la défenderesse indique reposer sur l’article 6.1.d) puisque les conditions désastreuses de vie des bénéficiaires de l’établissement sont en lien avec la notion d’intérêt vital prévue dans cet article. La défenderesse indique également se baser sur l’article 6.1.e) du fait que la gravité des griefs impactait considérablement la qualité de vie et d’accueil des résidents ainsi que leur sécurité.
23. Le 1er juillet, l’avocat du plaignant écrit à la Chambre contentieuse pour s’enquérir de l’état du dossier. La défenderesse pose une question similaire le 25 novembre 2020.
Le 10 décembre 2020, la Chambre contentieuse répond aux deux parties que le dossier est encore en cours de traitement et que la décision sera communiquée lorsqu’elle aura été adoptée. La Chambre contentieuse regrette le retard qu’elle a mis à adresser une réponse aux parties.
EN DROIT
II. Sur les motifs de la décision
1) Quant aux griefs
24. Conformément aux griefs énoncés par le plaignant, ainsi qu’aux échanges de conclusions entre les parties, la Chambre contentieuse estime que plusieurs questions doivent être analysées.
25. La première question porte sur la base de licéité du traitement de données personnelles du plaignant (articles 5 et 6 du RGPD). La seconde porte sur le traitement ultérieur des donnés qui aurait été effectuée par certains destinataires du rapport d’audit. La dernière question porte sur l’exercice du droit d’accès par le plaignant et la réponse apportée par la défenderesse (articles 12 et 15 du RGPD).
26. Au-delà de ces questions, dans son procès-verbal du 3 décembre 2019, la Chambre contentieuse avait estimé que l’affaire portait également sur l’information que la défenderesse communique aux personnes concernées à propos du traitement de leurs données à caractère personnel (articles 12 à 14 du RGPD). Ces griefs n’ayant été abordés ni par le plaignant, ni par la défenderesse lors des échanges de conclusion, la Chambre contentieuse dispose de peu d’éléments lui permettant de se pencher sur cette question. Elle ne sera par conséquent pas examinée par la Chambre contentieuse.
2) Quant aux traitements de données litigieux
27. Il ressort des pièces du dossier que le plaignant s’oppose au fait que le rapport d’audit contienne certaines de ses données personnelles. Selon la demande d’accès du plaignant, ces données personnelles portent sur :
– les données concernant son salaire ;
– des informations concernant la société […] (le fait que le plaignant est également le gérant de ce prestataire de service de l’institution ainsi que les honoraires et montant globaux de facturation) ;
– des « conclusions hâtives » sur le management.
28. Dans ses conclusions le plaignant ne fait référence plus qu’aux deux premiers éléments. La Chambre contentieuse estime donc que le litige porte sur ces deux données différentes dans le rapport.
29. Dans ses conclusions en réplique, la partie défenderesse s’oppose à ce que la question des données concernant la société […] soit abordée, et ce pour deux motifs.
Tout d’abord, elle estime qu’il s’agit d’une personne morale dont les données ne sont donc pas couvertes par la définition de données à caractère personnel de l’article 4.1 du RGPD. Ensuite, elle estime que cet élément n’a jamais été porté à son attention avant les conclusions du plaignant.
30. Les données concernant la société […] apparaissent dans le rapport d’audit sous le grief « montage financier ». Il y a est notamment indiqué que « La désignation de Monsieur X a coïncidé avec l’arrivée d’un nouveau sous-traitant dont il n’est autre que le gérant. ». Cette phrase est suivie de plusieurs autres qui décrivent les tâches de cette société au sein de l’ASBL ainsi que des éléments relatifs à la facturation. En ce que la phrase citée se réfère directement au plaignant, qui est une personne physique identifiée, et au fait qu’il est gestionnaire de cette société, la Chambre contentieuse estime qu’il s’agit bien de données à caractère personnel au sens de l’article 4.1 du RGPD. En revanche, les montants des honoraires et de facturation annuelle globale ne peuvent être compris comme des données à caractère personnel puisqu’elles ne se réfèrent pas à une personne physique identifiée ou identifiable. La Chambre contentieuse souligne par ailleurs que cette information figurait déjà dans la demande d’accès du plaignant du 23 juillet 2019. La défenderesse ne peut donc soutenir qu’elle ignorait qu’il s’agissait d’une donnée faisant l’objet du litige.
31. La Chambre contentieuse estime par ailleurs que les traitements litigieux portent d’une part sur la collecte et l’intégration des données personnelles susmentionnées dans le rapport d’audit et d’autre part sur la transmission de ce rapport d’audit aux délégués syndicaux. Même si cela ne fait pas partie des griefs avancé par le plaignant, la Chambre contentieuse note que le second traitement (la transmission du rapport) concerne non-seulement les délégués syndicaux mais également la conciliatrice sociale. L’analyse de la Chambre contentieuse portera donc sur ces deux traitements.
3) Quant à la licéité du traitement (article 6 du RGPD)
Article 6
Licéité du traitement
1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:
a) le droit de l’Union; ou b) le droit de l’État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l’objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.
[…] »
32. Lors de l’exercice du droit d’accès par le plaignant, celui-ci a sollicité de la part de la défenderesse, la base légale du traitement de ces données. Dans sa réponse au droit d’accès datée du 26 septembre 2019, la défenderesse a expliqué que la finalité du traitement « visait à instruire une plainte déposée à votre encontre, conformément à l’article 1369/84 du Code réglementaire wallon de l’Action sociale et de la Santé du 4 juillet 2013. »
33. Dans les échanges de conclusions, il est apparu que la défenderesse revendique les articles 6.1.d) et 6.1.e) du RGPD comme bases de licéité du traitement (appelées causes de justification tant par le plaignant que par la défenderesse). Le plaignant a quant à lui eu l’opportunité de contester l’applicabilité de ses bases de licéité.
34. Il ressort du considérant 46 que « le traitement de données à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique.» 3
35. La Chambre contentieuse examinera donc la base de licéité de l’article 6.1.e) dans un premier lieu. Elle n’examinera celle de l’article 6.1.d) que si l’article 6.1.e) s’avère inapplicable au cas d’espèce.
36. La défenderesse argumente que les griefs évoqués contre l’ASBL et leur impact sur la qualité de vie et l’accueil des résidents justifiaient son intervention. Le plaignant estime que le traitement des données personnelles du plaignant n’était nullement utile à l’exécution de la mission.
37. La défenderesse est une autorité publique régionale responsable pour [des matières dans le secteur social et de la santé]. A ce titre, elle a notamment délivré une autorisation de prise en charge au bénéfice de l’ASBL. Dans le contexte du litige à l’examen, la défenderesse a instruit une plainte déposée à l’encontre de la défenderesse, ce qui a mené à la conclusion du rapport d’audit. Il est donc établit que la défenderesse exerce l’autorité publique, dans le sens où elle est l’institution publique en charge de larges pans de l’action sociale au niveau régional et que par exemple, à ce titre, elle délivre des autorisations et instruit des plaintes. La partie défenderesse argumente donc à juste titre que le traitement peut se baser sur l’article 6.1.e) du RGPD.
38. Comme elle l’a déjà expliqué dans sa décision 55/20214, la Chambre contentieuse doit toutefois vérifier que les conditions prévues par l’article 6.1.e) sont bien remplies en l’espèce. En vertu de l’article 6.3.b) et du considérant 45 du RGPD, un traitement fondé sur l’article 6.1.e) doit remplir deux conditions :
o Le responsable de traitement doit être investi de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique en vertu d’une base légale, que ce soit en droit de l’Union européenne ou en droit de l’Etat membre ;
o Le traitement doit être nécessaire à l’exécution de la mission d’intérêt public ou de l’exercice de l’autorité publique.
Une base légale
39. Il ressort des pièces du dossier que le rapport d’audit de la défenderesse a été rédigé sur base de l’article 1369/84 du Code réglementaire. Cet article est rédigé comme suit :
«Article 1369/84. Toute plainte relative à la prise en charge dans un service peut être formulée par écrit à l’Agence. L’Agence en informe aussi rapidement que possible le pouvoir organisateur en tenant compte des besoins de l’examen de cette requête.
L’Agence procède à cet examen dès réception de la plainte et formule ses conclusions dans un délai maximum de six mois. L’Agence en informe le plaignant, la direction, le gestionnaire du service et les autorités responsables du placement et/ou du financement, de la suite réservée à cette plainte. »
40. La Chambre contentieuse estime donc que cet article établit une base légale qui cadre l’exercice de l’autorité publique de la défenderesse pour les traitements litigieux, étant étendu que le cadre général de l’exercice de l’autorité publique de la plaignante est bien plus large. Pour la Chambre contentieuse, il apparait donc bien que l’exercice de l’autorité publique dispose d’une base légale en droit national. La Chambre contentieuse va donc examiner si cette base légale remplit bien les prescrits du RGPD.
Un traitement nécessaires à l’exercice de l’autorité publique
41. Afin que le traitement soit licite sur base de l’article 6.1.e), les finalités du traitement doivent donc être nécessaires à l’exercice de l’autorité publique. Ainsi qu’elle l’a déjà développé dans sa décision quant au fond 38/2021 5, le critère de nécessité est essentiel.
42. Dans son arrêt Huber, la Cour de Justice de l’Union européenne (CJUE) a, au regard de cette condition de nécessité, spécifié: qu’«eu égard à l’objectif consistant à assurer un niveau de protection équivalent dans tous les États membres, la notion de nécessité telle qu’elle résulte de l’article 7, sous e) 6, de la directive 95/46, qui vise à délimiter précisément une des hypothèses dans lesquelles le traitement de données à caractère personnel est licite, ne saurait avoir un contenu variable en fonction des États membres. Partant, il s’agit d’une notion autonome du droit communautaire qui doit recevoir une interprétation de nature à répondre pleinement à l’objet de cette directive tel que défini à l’article 1er, paragraphe 1, de celle-ci»7.
43. Aux termes des conclusions8 qu’il a déposées dans cette affaire, l’avocat général explicite à cet égard que «le concept de nécessité a une longue histoire en droit communautaire et il est bien établi en tant que partie intégrante du critère de proportionnalité. Il signifie que l’autorité qui adopte une mesure qui porte atteinte à un droit fondamental en vue de réaliser un objectif justifié doit démontrer que cette mesure est la moins restrictive permettant d’atteindre cet objectif. Par ailleurs, si le traitement de données personnelles peut être susceptible d’enfreindre le droit fondamental au respect de la vie privée, l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (CEDH) qui garantit le respect de la vie privée et familiale, devient lui aussi pertinent. Comme l’a Cour l’a énoncé dans l’arrêt Österreichischer Rundfunk e.a., si une mesure nationale est incompatible avec l’article 8 de la CEDH, cette mesure ne peut pas satisfaire à l’exigence de l’article 7, sous e), de la directive. L’article 8, paragraphe 2, de la CEDH prévoit qu’une ingérence dans la vie privée peut être justifiée si elle vise l’un des objectifs qui y sont énumérés et «dans une société démocratique, est nécessaire» à l’un de ces objectifs. La Cour européenne des droits de l’homme a jugé que la notion de «nécessité» implique qu’un «besoin social impérieux» soit en cause».
44. Le Groupe de l’Article 29 a également fait référence à la jurisprudence de la Cour européenne des droits de l’homme (Cour eur. D.H.) pour cerner l’exigence de nécessité9 et conclut que l’adjectif «nécessaire» n’a ainsi pas la souplesse de termes tels que «admissible», «normal», «utile», «raisonnable» ou «opportun». 10
45. Dans son arrêt Michael Schwarz c. Stadt Bochum, la Cour de justice de l’Union européenne, considère qu’en ce qui concerne « l’examen du caractère nécessaire d’un tel traitement, le législateur est notamment tenu de vérifier si des mesures moins attentatoires aux droits reconnus par les articles 7 et 8 de la Charte sont concevables tout en contribuant de manière efficace aux buts de la réglementation de l’Union en cause »11
46. En suivi de ce qui précède, il appartient donc à la Chambre contentieuse de déterminer si le traitement était nécessaire à l’exercice de l’autorité publique. Ainsi qu’elle l’a établi préalablement (voir point 31), pour la Chambre contentieuse le litige en question porte sur deux traitements : le traitement des données personnelles du plaignant à des fin de rédaction du rapport d’audit, ainsi que l’envoi du rapport d’audit à différentes parties, dont les représentants syndicaux et la conciliatrice sociale.
. 47. En ce qui concerne le traitement des données personnelles du plaignant pour la rédaction du rapport, la Chambre contentieuse note que celui-ci concerne uniquement le salaire du plaignant comme directeur de l’ASBL et sa position de gérant d’un sous-traitant (voir points 27 et 28). Ces données ont été abordées dans le rapport lors de l’analyse du grief évoqué « montage financier » qui se trouve sous le titre A « Management ».
48. Pour la Chambre contentieuse, il ne fait aucun doute que le traitement de données salariales du directeur ainsi que sa position de gérant d’un sous-traitant sont des informations qu’il est nécessaire d’examiner lors d’un audit portant entre autre sur le management et le montage financier d’une institution. Partant, le traitement de ces données est nécessaire à l’exercice de l’autorité publique de la défenderesse qui consiste à traiter les plaintes reçues à l’encontre de l’ASBL.
49. Le second traitement soumis à l’examen de la Chambre contentieuse consiste en l’envoi du rapport d’audit à différentes parties, dont des délégués syndicaux de l’ASBL, qui faisaient partie des personnes ayant introduit une plainte auprès de la défenderesse, ainsi qu’à la conciliatrice sociale. Il s’agit du traitement qui est principalement contesté par le plaignant dans la présente affaire. Le plaignant considère que ce traitement n’était nullement nécessaire à la mission de la défenderesse.
50. La défenderesse quant à elle considère que cet envoi était tout à fait justifié au regard des circonstances particulières de l’ASBL et du conflit social en cours. Le transfert du rapport aux délégués syndicaux et à la conciliatrice avait pour but de favoriser la concertation et d’apporter une solution au litige (voir point 17).
51. Pour ce traitement également, la Chambre contentieuse doit examiner s’il était nécessaire à la l’exercice de l’autorité publique de la défenderesse. Le critère de « nécessité » tel qu’il a déjà été précisé (voir points 41 et s.) restreint la marge d’appréciation du responsable de traitement, puisqu’il ne l’autorise pas à effectuer des traitements qui seraient uniquement utiles ou souhaitables.
52. Il ressort des conclusions de la défenderesse que la finalité de ce traitement était de permettre l’utilisation du rapport lors de la réunion de conciliation sociale afin que celui-ci puisse objectiver la situation. Le but était donc de favoriser la résolution du conflit social en cours.
53. La défenderesse justifie le traitement en question par la situation exceptionnelle dans laquelle se trouvait l’ASBL, en raison d’un conflit social anormalement long. La Chambre contentieuse note que l’ampleur du conflit social est soulignée dans les conclusions du rapport d’audit. Il apparaît également des conclusions de la défenderesse, que « l’analyse et les conclusions que l’agence apporterait à la plainte déposée par les organisations syndicales en front commun, devenaient essentielles puisqu’elles donneraient un regard neutre sur les faits reprochés » et que « les conclusions de l’agence étaient attendues impatiemment afin de mener une dernière tentative de conciliation ». La finalité de ce traitement précis était donc de faciliter la conciliation sociale en cours.
54. Il ressort également des explications de la défenderesse que ce traitement ne correspondait pas à un exercice ordinaire de son autorité publique, puisque celle-ci souligne que « le cas de l’institution du plaignant est tout à fait particulier et heureusement exceptionnel ».
55. La Chambre contentieuse rappelle que la base légale cadrant l’exercice de l’autorité publique de la défenderesse limite celle-ci à la réception et au traitement de plaintes.
Il n’apparait pas de cette base légale que l’appui à la conciliation sociale ou la résolution de conflits sociaux fasse partie l’exercice de l’autorité publique de la défenderesse. Il en résulte que le traitement litigieux, consistant à transférer le rapport d’audit aux représentants syndicaux et à la conciliatrice sociale, ne peut être considéré comme nécessaire à l’exercice de l’autorité publique de la défenderesse.
56. Même si la défenderesse justifie le traitement par sa volonté d’appuyer le processus de conciliation sociale en cours, la Chambre contentieuse note toute de même que la base légale prévoit que la défenderesse « informe le plaignant, la direction, le gestionnaire du service et les autorités responsables du placement et/ou du financement, de la suite réservée à cette plainte », ce qui aurait pu être utilisé par la défenderesse pour justifier l’envoi du rapport d’audit aux représentants syndicaux notamment, puisque ceux-ci étaient également plaignants. Force est cependant de constater que selon les propres conclusions de la défenderesse, « les rapports d’analyse ne sont jamais communiqués aux plaignants ». Il semble donc que cette disposition oblige uniquement la défenderesse à informer certaines catégories de personnes « de la suite réservée à la plainte » et n’oblige aucunement la défenderesse a transférer le rapport en question. Il en découle que le traitement en question ne peut non plus être justifié par cette obligation d’information prévue dans la base légale et qu’il n’est donc pas nécessaire à l’exercice de l’autorité publique de la défenderesse.
57. Sur base des éléments ci-dessus, la Chambre contentieuse considère que la défenderesse ne peut se prévaloir de l’article 6.1.e) comme base de licéité pour le traitement consistant en l’envoi du rapport à différents destinataires, puisque celui-ci n’était pas nécessaire à l’exercice de son autorité publique.
58. La défenderesse a également indiqué se prévaloir de l’article 6.1.d) comme base de licéité du traitement, ce qui impliquerait que le traitement soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. La Chambre contentieuse rappelle à cet égard que cette base de licéité se réfère aux traitements qui sont clairement et directement nécessaires pour préserver la santé d’une personne concernée 12. Un traitement ayant pour but d’aider à la résolution d’un conflit social ne peut par conséquent se prévaloir de cette base de licéité.
Remarques additionnelles concernant la transmission du rapport
59. Si la défenderesse estimait que son intervention dans la conciliation était absolument indispensable, il lui eût été tout à fait loisible de transmettre aux syndicats et à la conciliatrice sociale une version du rapport expurgée des données à caractère personnel, ou la simple constatation que le niveau de salaire « est quelque peu supérieur au barème maximum de l’échelle 29 (directeur >60) de la C.P. […] »13 . A tout le moins, la défenderesse aurait pu veiller à respecter le principe de minimisation de données (article 5.1.c) du RGPD) lors de la transmission du rapport. Une piste de ce type a d’ailleurs été évoquée par la défenderesse elle-même dans ses conclusions, puisqu’elle indique par exemple qu’il eut été « plus judicieux de ne pas mentionner précisément le montant du salaire ».
4) Quant au traitement ultérieur des données personnelles du plaignant par le syndicat
60. Dans sa demande d’information du 15 mai 2019, ainsi que dans des courriers subséquents, le plaignant indique que les membres des syndicats auxquels le rapport d’audit a été envoyé ont fait parvenir ce même document à des collègues qui l’ont finalement transmis au personnel de l’ASBL. Le plaignant estime que ceci lui a causé « une situation extrêmement complexe » lors de la commission paritaire qui avait lieu peu après l’envoi du rapport. Le plaignant indique également avoir subi des dommages suite à ce traitement ultérieur de ces données (voir point 20).
61. La défenderesse soutient dans ses conclusions qu’elle ne peut contrôler ni a fortiori être responsable des actions des syndicats et qu’elle ne cautionne pas celles-ci. Elle attire l’attention sur la clause de non-responsabilité présente dans l’email (voir point 19). Dans ses conclusions en réplique, elle estime que le plaignant ne démontre aucunement son dommage, ni leur lien éventuel avec la transmission du rapport.
62. Sur base des éléments décrits ci-dessus, la Chambre contentieuse arrive à plusieurs conclusions. Tout d’abord, elle constate que le plaignant n’apporte aucune preuve de ce traitement ultérieur par les syndicats. En effet, il indique à plusieurs reprises que les syndicats auraient transféré le rapport à leur collègues, qui l’auraient à leur tour transféré (voir point 1). Ce récit n’est cependant soutenu par aucun élément du dossier, hormis les dires du plaignant.
63. Par ailleurs, quand bien même ce traitement ultérieur serait prouvé, la Chambre contentieuse note que le plaignant ne lie celui-ci à aucune violation spécifique du RGPD. Or, la Chambre contentieuse estime, de prime abord et en l’absence d’éléments contraires apportés par le plaignant, que la défenderesse ne semble pas pouvoir être considérée comme responsable d’un traitement ultérieur effectué par un ou plusieurs des destinataires du rapport.
64. En effet, la Cour de Justice a confirmé que pour l’identification du ou des responsables du traitement, il fallait une évaluation factuelle de la ou des personnes physiques ou de la ou des personnes morales qui déterminent “la finalité” et “les moyens” du traitement, la notion étant définie de manière large en vue de protéger les personnes concernées 14. La Cour a également estimé qu’une personne physique qui, pour des raisons la concernant, exerce une influence sur le traitement de données à caractère personnel et participe ainsi à la détermination de la finalité et des moyens de ce traitement peut être considérée comme un responsable du traitement15. En l’espèce, ce sont bien les délégués syndicaux destinataires du rapport d’audit qui l’auraient transmis à d’autres collègues. Ils ont par-là eux-mêmes déterminé les finalités et les moyens de ce nouveau traitement. Ils seraient donc devenus responsables de traitement au sens de l’article 4.7) du RGPD.
65. La Chambre contentieuse ne peut donc examiner d’éventuelles infractions dans le chef de la défenderesse quant à ce traitement additionnel. Elle relève cependant deux éléments additionnels. Tout d’abord, si l’email d’envoi du rapport d’audit, contient bien une clause de confidentialité prévoyant spécifiquement cette interdiction de transfert aux tiers, ceci n’affranchit en rien le responsable de traitement d’une éventuelle responsabilité. Ensuite, le respect du principe de minimisation des données (voir point 59) aurait pu limiter les risques portant sur les données personnelles du plaignant.
5) Quant à la réponse à l’exercice du droit d’accès par le plaignant
66. Aux termes de l’article 15.1 du RGPD, la personne concernée a le droit d’obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque c’est le cas, la personne concernée a le droit d’obtenir l’accès auxdites données à caractère personnel ainsi qu’à une série d’informations listées à l’article 15.1 a)-h) telles que la finalité du traitement de ses données, les destinataires éventuels de ses données ainsi que des informations relatives à l’existence de ses droits dont celui de demander la rectification ou l’effacement de ses données ou encore celui de déposer plainte auprès de l’APD.
67. La Chambre contentieuse rappelle, comme elle l’avait déjà établi dans sa décision 15/202116, que le droit d’accès est une des exigences essentielles du droit à la protection des données, puisqu’il constitue la « porte d’entrée » qui permet l’exercice des autres droits que le RGPD confère à la personne concernée.
68. Bien qu’elle ne soit pas expressément énumérée à l’article 15.1, la base de licéité constitue indéniablement une information que la personne concernée peut solliciter de la part du responsable de traitement, étant spécifiquement reprise à l’article 13.1.c) comme information à fournir à la personne concernée au moment de la collecte de ses données.
69. Comme elle a déjà eu l’occasion de l’expliquer dans sa décision 41/2020 17, la Chambre contentieuse rappelle que l’article 12 du RGPD relatif aux modalités d’exercice de leurs droits par les personnes concernées prévoit quant à lui notamment que le responsable du traitement doit faciliter l’exercice de ses droits par la personne concernée (article 12.2 du RGPD) et lui fournir des informations sur les mesures prises à la suite de sa demande dans les meilleurs délais et au plus tard dans le délai d’un mois à compter de sa demande (article 12.3 du RGPD). Selon ce même article, le délai peut être prolongé d’un mois additionnel, à la demande du responsable de traitement.
70. Bien qu’il n’en fasse pas mention dans ses conclusions, le plaignant a reproché à plusieurs reprises à la défenderesse le caractère tardif de sa réponse à sa demande d’accès, exercé sur base de l’article 15.1 du RGPD (voir point 12). Il apparaît des pièces du dossier que la réponse de la défenderesse a été envoyé plus de deux mois après la demande (voir points 10 et 11).
71. Dans la présente affaire, la défenderesse n’a pas fait usage de cette possibilité d’étendre le délai de réponse. Dans ses conclusions la défenderesse a reconnu qu’elle n’avait pas respecté ce délai, puisqu’elle a indiqué qu’elle « ne peut remettre en cause la prétention du plaignant quant au délai tardif dans lequel la réponse a été communiquée », même si elle souligne qu’une réponse à in fine été apportée.
Sur base de ces éléments, la Chambre contentieuse constate une violation de l’article 15.1 du RGPD joint aux articles 12.3 et 13.1c).
6) Quant aux mesures correctrices et aux sanctions
72. Aux termes de l’article 100 LCA, la Chambre Contentieuse a le pouvoir de:
1° classer la plainte sans suite;
2° ordonner le non-lieu;
3° prononcer une suspension du prononcé;
4° proposer une transaction;
5° formuler des avertissements ou des réprimandes;
6° ordonner de se conformer aux demandes de la personne concernée d’exercer ces droits;
7° ordonner que l’intéressé soit informé du problème de sécurité;
8° ordonner le gel, la limitation ou l’interdiction temporaire ou définitive du traitement;
9° ordonner une mise en conformité du traitement;
10° ordonner la rectification, la restriction ou l’effacement des données et la notification de celles-ci aux récipiendaires des données;
11° ordonner le retrait de l’agréation des organismes de certification;
12° donner des astreintes;
13° donner des amendes administratives;
14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international;
15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l’informe des suites données au dossier;
16° décider au cas par cas de publier ses décisions sur le site internet de l’Autorité de protection des données.
73. La Chambre contentieuse souligne qu’en vertu de l’article 221.2° de la Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, elle ne peut imposer d’amende à la défenderesse, puisque celle-ci est une autorité publique au sens de l’article 5.1° de cette même loi.
74. La Chambre contentieuse a constaté que la défenderesse avait violé l’article 15.1 du RGPD joint aux articles 12.3 et 13.1.c) en ne répondant pas à la demande d’accès du plaignant dans le délai légal. Ce point a par ailleurs été explicitement reconnu par la défenderesse.
75. La Chambre a également constaté que la défenderesse avait violé l’article 6.1.e) du RGPD en effectuant un traitement de données, consistant en l’envoi du rapport d’audit aux représentant syndicaux et à la conciliatrice sociale, alors que celui-ci n’était pas nécessaire à l’exercice de son autorité publique.
76. En conclusion de ce qui précède, et au vu de toutes les circonstances de l’espèce, la Chambre Contentieuse estime que la réprimande (soit le rappel à l’ordre visé à l’article 58.2.b) du RGPD) est en l’espèce, la sanction effective, proportionnée et dissuasive qui s’impose à l’égard de la défenderesse 18.
77. Elle rappelle qu’en sa qualité de responsable de traitement, la défenderesse est tenue de respecter les principes de protection des données et doit être en mesure de démontrer que ceux-ci sont respectés. Elle doit par ailleurs mettre en œuvre toutes les mesures nécessaires à cet effet (principe de responsabilité – articles 5.2. et 24 du RGPD)19. La Chambre contentieuse invite donc la défenderesse à s’assurer que les processus mis en place pour traiter les demandes d’exercice de droits prévus par le RGPD assurent une réponse dans les délais légalement prévus.
7) Publication de la décision
78. Compte tenu de l’importance de la transparence en ce qui concerne le processus décisionnel et les décisions de la Chambre Contentieuse, cette décision sera publiée sur le site Internet de l’Autorité de protection des données moyennant la suppression des données d’identification directe des parties et des personnes citées, qu’elles soient physiques ou morales.
POUR CES MOTIFS,
LA CHAMBRE CONTENTIEUSE
– Prononcer à l’encontre de la défenderesse une réprimande sur la base de l’article 100.1, 5° LCA, pour violation de l’article 15.1 du RGPD joint aux articles 12.3 et 13.1.c) et pour violation de l’article 6.1.e) du RGPD.
– Classer sans suite la plainte pour les autres aspects sur la base de l’article 100.1, 1° LCA.
En vertu de l’article 108 § 1 LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des marchés (Cour d’appel de Bruxelles) dans un délai de 30 jours à compter de sa notification, avec l’Autorité de protection des données en qualité de défenderesse.
(Sé). Hielke Hijmans
Président de la Chambre Contentieuse

Document PDF ECLI:BE:GBAPD:2021:DEC.20210614.1

Publication(s) liée(s)

précédé par:

ECLI:BE:GBAPD:2021:AVIS.20210521.7

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

✉ [email protected]

©  2017-2026 Service ICT – SPF Justice

Powered by PHP 8.5.0

Server Software Apache/2.4.66

== Fluctuat nec mergitur ==