ECLI:BE:GBAPD:2021:DEC.20210705.1

JUPORTAL Base de données publique de la jurisprudence belge

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

 
Autorité de protection des données

Décision du 05 juillet 2021

No ECLI:

ECLI:BE:GBAPD:2021:DEC.20210705.1

No Rôle:

57/2021

Domaine juridique:

Droit civil

Date d’introduction:

2025-08-27

Consultations:

70 – dernière vue 2026-04-14 13:25

Fiche

La Chambre Contentieuse de l'Autorité de protection des données
décide, après délibération, de revoir sa décision 24/2020 du 14 mai
2020 et, en vertu de l'article 100, § 1er, 13° de la LCA et de
l'article 101 de la LCA, d'infliger au défendeur une amende
administrative de 30.000,00 € en raison des violations des articles
5.1 a), 5.2, 6.1, 12.1, 13.1 c) et d) et 13.2 b) du RGPD.

Thésaurus UTU:

DROIT CIVIL – VIE PRIVÉE – Traitement données à caractère personnel – Autorité de protection des données (Commission de la protection de la vie privée)

Mots libres:

Manque de transparence dans la déclaration de confidentialité d'une
compagnie d'assurances (réexamen de la décision 24-2020). (DOS-2019-02902)

Bases légales:

Loi – 03-12-2017 – 100,§1,13° – 11
Lien ELI No pub 2017031916
Loi – 03-12-2017 – 101 – 11
Lien ELI No pub 2017031916

Texte de la décision

Chambre Contentieuse
Décision quant au fond 57/2021 du 06 mai 2021
Numéro de dossier : DOS-2019-02902
Objet : Manque de transparence dans la déclaration de confidentialité d’une compagnie d’assurances (réexamen de la décision 24-2020)
La Chambre Contentieuse de l’Autorité de protection des données, constituée de Monsieur Hielke Hijmans, président, et de Messieurs Dirk Van Der Kelen et Jelle Stassijns, membres ;
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données, ci-après le “RGPD”) ;
Vu la loi du 3 décembre 2017 portant création de l’Autorité de protection des données , ci-après la “LCA” ;
Vu le règlement d’ordre intérieur tel qu’approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
a pris la décision suivante concernant :
– Monsieur X, ci-après “le plaignant” ;
– Y, représenté par Mes Benoit Van Asbroeck et Simon Mortier, ci-après “le défendeur”.
1. Faits et procédure
1. La présente décision est un réexamen de la décision 24/2020 de la Chambre Contentieuse du 14 mai 2020 et exécute l’arrêt de la Cour des marchés du 18 novembre 2020, portant le numéro de rôle 2020/AR/813.
2. La présente décision doit être lue conjointement avec la décision 24/2020 et contient un réexamen visant à offrir au défendeur la possibilité de se défendre concernant toutes les violations du RGPD pour lesquelles une sanction a été infligée dans la décision initiale, dans la mesure où ces violations sont contestées par Y. Dans ce réexamen, la Chambre Contentieuse reste donc dans le cadre de la décision initiale, également en ce qui concerne l’amende administrative qui ne peut dépasser l’amende définie initialement. En ce qui concerne les accusations pour lesquelles la Chambre Contentieuse a estimé dans la décision initiale qu’il n’y avait aucune violation du RGPD, elle maintient cette position. Les violations établies dans la décision initiale et non contestées par Y sont également maintenues.
3. Le 14 juin 2019, le plaignant a porté plainte auprès de l’Autorité de protection des données contre le défendeur.
L’objet de la plainte concerne l’utilisation de données de santé obtenues auprès de la personne concernée par la compagnie d’assurances dans le cadre d’une assurance hospitalisation à d’autres fins, sans le consentement explicite de la personne concernée assurée. Le plaignant affirme que le traitement de ses données de santé en vue de l’exécution d’obligations découlant de l’assurance hospitalisation conclue avec le défendeur ne lui pose aucun problème, mais qu’il en est autrement lorsque ces mêmes données de santé sont traitées pour les finalités énumérées au point 4.3. de la déclaration de confidentialité du défendeur et pour le transfert à des tiers comme mentionné au point 9 de cette même déclaration de confidentialité (il s’agit du point 6, la référence au point 9 est une erreur matérielle). Il demande que, spécifiquement pour ces finalités, ainsi que pour le transfert, le défendeur donne le choix à la personne concernée de consentir ou non au traitement de ses données de santé. Enfin, le plaignant exprime son souhait de recevoir du défendeur une analyse d’impact relative à la protection des données, vu qu’il est question d’un traitement de données impliquant un risque élevé pour les personnes concernées.
4. Le 26 juin 2019, la plainte est déclarée recevable sur la base des articles 58 et 60 de la LCA, le plaignant en est informé en vertu de l’article 61 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l’article 62, § 1er de la LCA.
5. Le 23 juillet 2019, la Chambre Contentieuse décide, en vertu de l’article 95, § 1 er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond.
6. Le 24 juillet 2019, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l’article 95, § 2 ainsi qu’à l’article 98 de la LCA. Conformément à l’article 99 de la LCA, les parties concernées ont également été informées des délais pour transmettre leurs conclusions. La date ultime pour recevoir les conclusions en réplique a ainsi été fixée au 7 octobre 2019 pour le plaignant et au 7 novembre 2019 pour le défendeur.
7. Le 29 juillet 2019, le défendeur signifie à la Chambre Contentieuse qu’il a pris connaissance de la plainte, il demande une copie du dossier (art. 95, § 2, 3° de la LCA) et il accepte de recevoir toute communication relative à l’affaire par voie électronique (art. 98, 1° de la LCA).
8. Le 30 juillet 2019, une copie du dossier est transmise au défendeur.
9. Le 2 août 2019, la Chambre Contentieuse reçoit un courrier dans lequel le défendeur exprime son souhait d’être entendu par la Chambre Contentieuse (art. 98, 2° de la LCA).
10. Le 6 septembre 2019, la Chambre Contentieuse reçoit les conclusions en réponse du défendeur.
Le défendeur affirme tout d’abord que le traitement de catégories particulières de données à caractère personnel, en l’espèce des données de santé, par l’organisme d’assurance soins de santé Y a lieu de manière licite. Le traitement de ces catégories particulières de données à caractère personnel (art. 9 du RGPD) est en principe interdit. Pour ce traitement, le défendeur invoque le motif d’exception de l’article 9, paragraphe 2, point a) du RGPD, le consentement explicite de la personne concernée. Deuxièmement, le défendeur argumente qu’un consentement distinct n’est pas nécessaire pour chaque transfert de données à caractère personnel. Troisièmement, le défendeur considère qu’il n’est pas question de demander le consentement pour le traitement d’autres données que des données de santé. Enfin, le défendeur estime qu’une analyse d’impact relative à la protection des données n’est pas nécessaire en l’occurrence, vu qu’il s’agit de traitements déjà existants et non pas de nouveaux traitements débutés après le 25 mai 2018.
11. Le plaignant n’a pas fait usage du droit d’introduire des conclusions en réplique.
12. Le défendeur n’introduit pas de nouvelles conclusions et fournit seulement, le 7 novembre 2019, des pièces pour appuyer les conclusions en réponse introduites le 6 septembre 2019.
13. Le 9 janvier 2020, les parties sont informées du fait que l’audition aura lieu le 28 janvier 2020.
14. Le 28 janvier 2020, le défendeur est entendu par la Chambre Contentieuse. Bien que dûment convoqué, le plaignant ne s’est pas présenté. Le défendeur répond entre autres aux questions de la Chambre Contentieuse sur le fondement juridique pour le traitement de données à caractère personnel qui ne sont pas des données de santé. Les débats sont ensuite clôturés.
15. Le 29 janvier 2020, le procès-verbal de l’audition est soumis aux parties.
16. Le 31 janvier 2020, comme cela lui avait été demandé lors de l’audition, le défendeur transmet le chiffre d’affaires annuel des trois derniers exercices. Pour les années 2016-2018, ce chiffre d’affaires s’élève toujours entre 500 et 600 millions d’euros.
17. Le 6 février 2020, la Chambre Contentieuse reçoit du défendeur quelques remarques relatives au procès-verbal qu’elle décide de reprendre dans sa délibération.
18. Le 25 mars 2020, la Chambre Contentieuse fait connaître au défendeur son intention de procéder à l’imposition d’une amende administrative ainsi que le montant de celle-ci, afin de donner au défendeur l’occasion de se défendre avant que la sanction soit effectivement infligée.
19. Le 8 mai 2020, la Chambre Contentieuse reçoit la réaction du défendeur concernant l’intention d’infliger une amende administrative et le montant de celle-ci.
Le défendeur avance que les infractions présumées telles qu’elles figurent dans l’intention de la Chambre Contentieuse sont totalement nouvelles et qu’il n’a pas pu se défendre à cet égard.
La Chambre Contentieuse constate toutefois qu’il ressort incontestablement des pièces du dossier que le défendeur a bien pu exercer pleinement ses droits de défense.
Le défendeur déclare ne pas être d’accord avec l’imposition d’une amende ou avec le montant envisagé de l’amende. Toutefois, il n’avance aucun (nouvel) argument pour étayer cette position.
Dès lors, aux yeux de la Chambre Contentieuse, la réaction du défendeur ne donne pas lieu à une adaptation de l’intention d’infliger une amende administrative, ni à une modification du montant de l’amende tel qu’envisagé.
20. Le 14 mai 2020, la Chambre Contentieuse estime ce qui suit dans sa décision quant au fond 24/2020 :
– en vertu de l’article 100, § 1er, 9° de la LCA, d‘ordonner au défendeur la mise en conformité du traitement avec l’article 5.1.a), l’article 5.2, l’article 6.1, l’article 12.1, l’article 13.1 c) et d) et l’article 13.2 b) du RGPD.
– en vertu de l’article 100, § 1er, 13° de la LCA, d’infliger une amende administrative de 50.000 euros suite aux violations de l’article 5.1. a), de l’article 5.2, de l’article 6.1, de l’article 12.1, de l’article 13.1 c) et d) et de l’article 13.2 b) du RGPD.
21. Le 17 juin 2020, la Chambre Contentieuse reçoit de la Cour d’appel de Bruxelles la notification d’une requête contre l’APD, déposée au greffe de la Cour.
22. Le 24 juin 2020, l’audience d’introduction a lieu devant la Cour des marchés, les délais pour les conclusions des parties sont fixés et l’affaire est inscrite à l’audience du 21 octobre 2020 pour les plaidoiries.
Le 18 novembre 2020, la Cour des marchés rend son arrêt.
L’arrêt1 comporte dans les grandes lignes les points d’attention suivants concernant l’évaluation de l’objet de la requête :
• Annulation de la décision quant au fond n° 24/2020 du 14 mai 2020 de la Chambre Contentieuse.
• La Cour des marchés affirme que le défendeur devait avoir la possibilité – une fois les griefs formulés clairement par écrit – de remettre des conclusions écrites à ce sujet. Le fait que lors de l’audition, il ait été demandé au défendeur (ce qui a été mentionné dans le procès-verbal de l’audition) de prendre position concernant la question générale relative à l’intérêt légitime sur lequel le défendeur se fonde pour traiter des données autres que celles concernant la santé et que le défendeur n’ait formulé qu’une réponse sommaire à cette question, sans réflexions ni objections, ne justifie pas suffisamment la décision n° 24/2020 du 14 mai 2020.
23. Suite à l’arrêt, la Chambre Contentieuse décide le 27 novembre 2020 de procéder au réexamen du dossier afin de prendre une nouvelle décision. La considération à l’origine de cette décision de réexamen réside dans le fait que nonobstant l’annulation de la décision précitée par la Cour des marchés, la Chambre Contentieuse est toujours saisie de la plainte initiale introduite le 14 juin 2019, telle que déclarée recevable par le Service de Première Ligne le 26 juin 2019. Il est donc procédé à la réouverture des débats et de nouveaux délais sont fixés pour les conclusions, afin que les parties puissent adopter un point de vue quant à l’intérêt légitime sur lequel le défendeur se fonde pour traiter des données autres que des données concernant la santé.
Les parties sont informées des délais suivants pour les conclusions :
• la date limite pour la réception des conclusions en réponse du plaignant est fixée au 8 janvier 2021 ;
• la date limite pour la réception des conclusions en réplique du défendeur est fixée au 19 février 2021.
La date de l’audition est également fixée, elle aura lieu le 22 mars 2021.
24. Le 27 novembre 2020, la Chambre Contentieuse reçoit du plaignant la communication qu’au vu de la clarté des arguments, il ne lui semble pas nécessaire de transmettre encore une argumentation supplémentaire. La Chambre Contentieuse informe le défendeur le même jour que le plaignant a fait savoir qu’il n’introduirait pas de conclusions. À la demande du défendeur, la Chambre Contentieuse confirme par ailleurs aussi que la date fixée initialement pour les conclusions en réplique du défendeur, ainsi que la date de l’audition sont maintenues.
25. Le 19 février 2021, la Chambre Contentieuse reçoit de la part du défendeur les conclusions avec des pièces y afférentes. Le défendeur y avance les moyens suivants :
• Le défendeur peut invoquer ses intérêts légitimes pour le traitement de données à caractère personnel pour des finalités conformément à l’article 4.3 de son ancienne déclaration de confidentialité (aucune violation des articles 5.1 a) ; 5.2, 6.1 f) et 13.1 c) et d) du RGPD.
• Le défendeur peut invoquer une base juridique applicable pour des transferts à des tiers, conformément à l’article 6 de l’ancienne déclaration de confidentialité (aucune violation des articles 5.1 a), 5.2, 6.1 et 13.1 c) et d) du RGPD).
• Si le défendeur ne peut pas invoquer toutes les bases juridiques en vertu de l’article 6.1 du RGPD pour les finalités de traitement conformément à l’article 4.3 de l’ancienne déclaration de confidentialité et pour les transferts à des tiers conformément à l’article 6 de l’ancienne déclaration de confidentialité, cela constitue une violation de la liberté d’entreprise du défendeur.
• Le défendeur avance qu’une réprimande suffit et que l’amende administrative de 50.000,00 € est disproportionnée.
26. Le 22 mars 2020, les parties sont entendues par la Chambre Contentieuse. Bien que dûment convoqué, le plaignant ne s’est pas présenté. Lors de l’audition, le défendeur explique sa défense. À cet égard, aucun autre élément que ceux faisant partie du dossier n’est apporté.
Les débats sont ensuite clôturés.
27. Le 25 mars 2021, le procès-verbal d’audition est transmis aux parties, conformément à l’article 54 du règlement d’ordre intérieur. Le 5 avril 2021, la Chambre Contentieuse reçoit du défendeur quelques remarques relatives au procès-verbal qu’elle décide de reprendre dans sa délibération.
28. Le 6 avril 2021, la Chambre Contentieuse fait connaître au défendeur son intention de procéder à l’imposition d’une amende administrative ainsi que le montant de celle-ci, afin de donner au défendeur l’occasion de se défendre avant que la sanction soit effectivement infligée.
29. Le 27 avril 2021, la Chambre Contentieuse reçoit la réaction du défendeur concernant l’intention d’infliger une amende administrative, ainsi que le montant de celle-ci.
En réaction à l’intention d’infliger une amende administrative, le défendeur affirme en résumé ce qui suit :
– Concernant l’absence d’un intérêt légitime avéré en tant que base juridique pour les finalités “la formation du personnel” et “le stockage d’enregistrements de vidéosurveillance pendant la période légale”, le défendeur avance que lors de l’audition, aucune question n’a été posée au sujet de la licéité, de la nécessité ou de la proportionnalité de ces finalités de traitement.
À ce sujet, la Chambre Contentieuse fait remarquer que le défendeur a déjà abordé de manière détaillée dans ses conclusions la licéité, la nécessité et la proportionnalité de toutes les finalités de traitement, dont aussi celles de “la formation du personnel” et du “stockage d’enregistrements de vidéosurveillance pendant la période légale”, de sorte qu’aucune explication complémentaire n’a été demandée à ce sujet lors de l’audition. Lors d’une audition, seules des questions ponctuelles sont posées au sujet de points qui restent à éclaircir afin de permettre à la Chambre Contentieuse d’adopter un point de vue.
À présent, la Chambre Contentieuse peut seulement constater que la réaction du défendeur à l’intention d’infliger une amende administrative en raison de la violation de l’article 6.1 du RGPD en ce qui concerne les finalités “la formation du personnel” et “le stockage d’enregistrements de vidéosurveillance pendant la période légale” ne comporte pas de nouveaux éléments susceptibles de modifier le jugement de la Chambre Contentieuse, en l’absence d’un intérêt légitime avéré en tant que base juridique.
– En ce qui concerne le montant de l’amende, le défendeur estime qu’aucune amende ne peut être infligée pour le fait que les données à caractère personnel auraient été traitées sans disposer d’un intérêt légitime. Le défendeur estime pour le moins qu’un montant de 30.000 € est disproportionnellement élevé. Le défendeur avance qu’il est ressorti des conclusions écrites et de l’audition que le matériel de formation général est en principe toujours anonymisé et que pour ainsi dire, aucune donnée à caractère personnel de clients n’est traitée via une surveillance par caméra. Il n’apparaîtrait pas non plus des pièces du dossier que de quelconques données à caractère personnel du plaignant auraient été traitées pour ces finalités de traitement. Dès lors, le plaignant (et par extension les autres clients du défendeur) n’aurait en principe subi aucun préjudice personnel dû à une quelconque absence d’intérêts légitimes pour les activités de traitement “la formation du personnel” et “le stockage d’enregistrements de vidéosurveillance pendant la période légale”.
La Chambre Contentieuse souligne que le fait de subir ou non un quelconque préjudice personnel ne constitue pas un critère pour infliger une amende administrative, étant donné que cela n’est pas repris à l’article 83.2 du RGPD. Par conséquent, elle motive cette sanction ci-après dans sa décision sans tenir compte du fait que le plaignant ait ou non subi un préjudice personnel. Les critères destinés à infliger une amende administrative sont clairement définis à l’article 83.2 du RGPD, article sur lequel la Chambre Contentieuse se base pour sa décision relative à l’amende administrative.
Pour autant que ce soit nécessaire, la Chambre Contentieuse ajoute à cela que le plaignant a fourni ses données à caractère personnel au défendeur pour un traitement dans le cadre d’une assurance hospitalisation et que le défendeur a ensuite indiqué que, sur la base de l’ancienne déclaration de confidentialité, il traitait également les données à caractère personnel du plaignant pour toutes les finalités mentionnées dans la déclaration de confidentialité. Sur la base de l’ancienne déclaration de confidentialité, le défendeur a traité les données du plaignant pour chacune des finalités reprises dans la déclaration de confidentialité. Cela ressort également des conclusions qui sont à la base de la présente décision, dans lesquelles le défendeur cerne lui-même les accusations qui résultent de la plainte (voir point 33) et les accusations des points f), g) et h) constituent l’objet de sa défense. Les accusations résultant de la plainte et telles que décrites par le défendeur lui-même dans ses conclusions portent sur les lacunes dans la déclaration de confidentialité qui concernent le plaignant, ainsi que, ipso facto, tout autre client du défendeur qui souscrit une assurance hospitalisation. La déclaration de confidentialité n’a en effet pas été rédigée exclusivement pour le plaignant, mais pour tout client du défendeur qui souscrit une assurance hospitalisation. Cela explique aussi pourquoi le défendeur tente de démontrer dans ses conclusions la licéité, la nécessité et la proportionnalité de toutes les finalités de traitement, sans opérer aucune distinction selon qu’il s’agisse ou non d’une finalité de traitement pour laquelle des données à caractère personnel du plaignant sont traitées. Le défendeur vérifie s’il dispose d’un intérêt légitime pour toutes les finalités de traitement, parce que pour chacune de ces finalités de traitement, les données à caractère personnel du plaignant ont été traitées conformément à l’ancienne déclaration de confidentialité.
– Par ailleurs, le défendeur estime qu’un montant de 30.000 € n’est pas proportionné à la violation.
En ce qui concerne plus particulièrement la gravité de la violation, le défendeur n’est pas d’accord avec l’affirmation de la Chambre Contentieuse selon laquelle, en raison du simple fait qu’une violation des articles 5 et 6 du RGPD aurait été constatée, les violations seraient automatiquement “sérieuses” et “graves”. D’une part, le défendeur avance que ces articles sont à la base de quasiment tout le RGPD et que dès lors, presque toutes les violations des autres articles du RGPD peuvent être considérées comme une violation des articles 5 et 6 du RGPD.
D’autre part, une qualification de ces violations comme étant “sérieuses” et “graves” empêche une différenciation avec des violations qui sont réellement sérieuses et graves, comme par exemple l’absence totale de déclaration de confidentialité. Ce n’est toutefois absolument pas le cas en l’espèce.
Le défendeur affirme qu’il a bien mentionné ces finalités de traitement dans sa déclaration de confidentialité et qu’il a procédé avec la rigueur requise à une pondération d’intérêts approfondie afin de vérifier qu’il puisse invoquer ses intérêts légitimes.
Concernant l’affirmation du défendeur selon laquelle une violation des principes de base du RGPD repris aux articles 5 et 6 du RGPD ne devrait pas pouvoir être considérée automatiquement comme sérieuse et grave, la Chambre Contentieuse fait remarquer que l’article 83.5 du RGPD prévoit lui-même une sanction plus grave de cette violation pour laquelle l’amende maximale la plus élevée a été prévue, précisément en raison du fait qu’il s’agit de principes de base qui concernent le l’essence même d’un traitement de données. L’affirmation du défendeur selon laquelle toute violation du RGPD peut être réduite à une violation des principes de base n’est pas valable étant donné que la Chambre Contentieuse a été saisie par la plainte et qu’elle effectue la vérification de la conformité au RGPD dans cette limite.
Contrairement à ce que prétend le défendeur, toute violation ne pourrait aucunement être “réduite” à des violations des principes de base. Étant donné que la plainte porte précisément sur les principes de base, la Chambre Contentieuse se prononce en l’espèce quant à l’application de ces principes. À l’exemple cité par le défendeur selon lequel une absence totale de déclaration de confidentialité serait sérieuse et grave, la Chambre Contentieuse répond que l’absence totale de déclaration de confidentialité serait non seulement sérieuse et grave mais représenterait en outre une méconnaissance totale du RGPD. Il n’empêche qu’une déclaration de confidentialité lacunaire, comme en l’occurrence, qui ne respecte pas les principes de base du RGPD, doit être considérée comme un fait sérieux et grave.
En ce qui concerne la durée de la violation, le défendeur souligne qu’il a déjà adapté sa déclaration de confidentialité pendant la procédure initiale début 2020 et qu’il l’a une nouvelle fois adaptée lors de la décision initiale de la Chambre Contentieuse début 2021 et que cela doit être pris en considération comme circonstance atténuante. En ce qui concerne l’effet dissuasif, le défendeur souligne à nouveau être disposé à toujours adapter sa déclaration de confidentialité, ce qu’il a d’ailleurs effectué de manière très approfondie à deux reprises, de sorte que l’objectif de cette procédure a ainsi été atteint, selon le défendeur.
La Chambre Contentieuse a déjà indiqué dans le courrier communiquant l’intention d’infliger une amende administrative ainsi que le montant de cette amende qu’elle tenait compte des efforts déjà fournis par le défendeur pour mettre la nouvelle déclaration de confidentialité en conformité avec le RGPD, ce qui témoigne de sa bonne volonté. Par contre, force est de constater que bien que les modifications apportées dans la nouvelle déclaration de confidentialité constituent un élément favorable dans la détermination de l’amende administrative, elles n’ont pas pour effet de supprimer les violations constatées (voir le point 120).
La Chambre Contentieuse motive l’imposition de l’amende administrative de manière plus détaillée dans la partie 3 de la présente décision.
Il résulte de ce qui précède qu’aux yeux de la Chambre Contentieuse, la réaction du défendeur ne donne pas lieu à une adaptation de l’intention d’infliger une amende administrative, ni à une modification du montant de l’amende tel qu’envisagé.
2. Motivation
1. Intérêt légitime
a) Remarque préliminaire
30. Il résulte de l’arrêt de la Cour des marchés que la Chambre Contentieuse aurait statué, dans sa décision 24/2020 du 14 mai 2020, sans que le défendeur ait pu se défendre pleinement du fait que la décision de la Chambre Contentieuse ne se serait pas limitée aux accusations faisant l’objet de la plainte.
31. Le plaignant affirme toutefois explicitement dans la plainte que le client doit avoir le choix de marquer son accord sur les traitements énoncés aux points 4.3 et 6 et il n’a pas ce choix. En effet, le plaignant estime que dès qu’il a donné son consentement au traitement de ses données à caractère personnel dans le cadre d’une assurance hospitalisation, le traitement de données doit être limité à l’exécution des obligations qui résultent de cette assurance. Le plaignant soutient que le défendeur ne peut pas traiter ses données sans son consentement pour toute autre finalité, plus spécifiquement les finalités mentionnées aux points 4.3 et 6 de l’ancienne déclaration de confidentialité. Dans la plainte, la base juridique des traitements pour les finalités énoncées au point 4.3 est donc contestée. Le plaignant estime que pour ces finalités mentionnées au point 4.3, son consentement est requis et que le défendeur ne peut pas simplement utiliser les données obtenues sur la base du consentement dans le cadre d’une assurance hospitalisation pour d’autres finalités, pour lesquelles le défendeur se base sur son intérêt légitime.
32. La plainte porte donc essentiellement sur la base juridique que le défendeur peut invoquer pour traiter les données à caractère personnel obtenues du plaignant pour des finalités énoncées aux points 4.3 et 6 de l’ancienne déclaration de confidentialité du défendeur.
33. Dans les présentes conclusions du défendeur, les accusations sont énoncées aux points a) à h) inclus. [Tous les passages cités dans la présente décision ont été traduits librement par le Secrétariat Général de l’Autorité de protection des données, en l’absence de traduction officielle].
“a) Y obtiendrait sous la contrainte le consentement au traitement de données médicales dans le cadre de la souscription et de l’exécution de contrats d’assurance, rendant ce consentement invalide (violation des articles 5, premier alinéa, a) (principe de licéité) ; de l’article 6, premier alinéa, a) et de l’article 9, deuxième alinéa, a) du RGPD) ;
b) Y doit accorder au plaignant l’accès à l’analyse d’impact relative à la protection des données (“AIPD”) qu’il aurait effectuée pour le traitement de données médicales concernant l’exécution de contrats d’assurance avec ses clients (violation des articles 35 et 36 du RGPD) ;
c) dans les articles 4.3 et 6 de l’ancienne déclaration de confidentialité, Y doit faire une meilleure distinction entre le traitement de données médicales d’une part et le traitement d’autres données à caractère personnel “ordinaires” d’autre part (violation de l’article 13, premier alinéa, c) du RGPD) ;
d) Y doit prendre des mesures supplémentaires pour informer les personnes concernées de leur droit d’opposition en vertu de l’article 21, deuxième alinéa du RGPD (violation de l’article 12, premier alinéa en 13, deuxième alinéa, b) du RGPD) ;
e) Y doit préciser davantage, à l’article 6 de l’ancienne déclaration de confidentialité de Y, les bases juridiques pour le transfert de données à caractère personnel à des tiers (violation de l’article 13, premier alinéa, c) du RGPD) ;
f) Y traiterait des données à caractère personnel sans base juridique avérée (dont son intérêt légitime au sens de l’article 6, premier alinéa du RGPD) pour plusieurs finalités énoncées à l’article 4.3 de l’ancienne déclaration de confidentialité de Y et pour les transferts à des tiers énoncés à l’article 6 de l’ancienne déclaration de confidentialité de Y (violation de l’article 5, premier alinéa, a) (principe de licéité) et 6, premier alinéa du RGPD) ;
g) Y n’aurait pas fourni suffisamment d’informations dans son ancienne déclaration de confidentialité au sujet de ses intérêts légitimes, alors que Y se fonde sur cette base juridique (violation des articles 5, premier alinéa, a) (principe de transparence) et 13, premier alinéa, c) et d) du RGPD) ;
h) alors que Y se fonde sur cette base juridique, il n’aurait pas démontré suffisamment en quoi consistent ses intérêts légitimes et il aurait omis de démontrer dans quelle mesure ses intérêts prévalent sur les intérêts et droits fondamentaux du plaignant (violation de l’article 5, deuxième alinéa du RGPD).”
34. Le défendeur confirme également que les accusations telles que décrites aux points a) à h) inclus résultent de la plainte en affirmant ce qui suit en conclusion :
“Si la Chambre Contentieuse devait estimer que les accusations précitées et les violations alléguées du RGPD par Y (points a à h) ne résultent pas de la plainte […], la Chambre Contentieuse sera invitée à en informer Y […].”
35. La Chambre Contentieuse fait remarquer à ce sujet que les accusations telles que décrites à présent par le défendeur aux points a) à h) inclus ont déjà été mises en avant dans la plainte et qu’à ce sujet, le défendeur indique à présent qu’elles résultent bel et bien de la plainte, sans toutefois avoir avancé de défense en ce qui concerne les points f), g) et h) lors de la procédure préalable à la décision 24/2020 du 14 mai 2020.
En ce qui concerne les accusations des points a) à e) de ses conclusions, le défendeur indique qu’il a soit pu se défendre et que la Chambre Contentieuse lui a donné raison (il s’agit des accusations a) et b)), soit qu’il ‘a pas contesté les accusations et a procédé à des rectifications dans la nouvelle déclaration de confidentialité (il s’agit des accusations c), d) et e)). En ce qui concerne la violation constatée de l’article 13.1 c) du RGPD au sujet de l’accusation c), la violation de l’article 12.1 et de l’article 13.2 b) du RGPD au sujet de l’accusation d) et la violation de l’article 13.1 c) du RGPD au sujet de l’accusation e), la Chambre Contentieuse renvoie à sa motivation à ce sujet dans la décision 24/2020 du 14 mai 2020.
La défense dans les présentes conclusions ne vise que les accusations des points f), g) et h).
36. Dans la mesure où il y aurait quand même eu des imprécisions pour le défendeur quant à l’objet de la plainte préalablement à la décision 24/2020, la Chambre Contentieuse a offert au défendeur la possibilité d’encore se défendre et la Chambre Contentieuse vérifie ci-après si et, le cas échéant, dans quelle mesure le défendeur a violé le RGPD pour ce qui concerne les accusations telles que décrites aux points f), g) et h) de ses conclusions et si l’amende administrative doit être maintenue.
b) Base juridique pour les finalités mentionnées au point 4.3 de la déclaration de confidentialité
37. Le défendeur avance qu’il peut invoquer ses intérêts légitimes pour le traitement de données à caractère personnel non sensibles pour les finalités suivantes énoncées au point 4.3 de l’ancienne déclaration de confidentialité :
• la réalisation de tests informatisés ;
• le contrôle de la qualité du service ;
• la formation du personnel ;
• la surveillance et les rapports ;
• la conservation d’enregistrements de vidéosurveillances pendant la période légale ; et • l’établissement de statistiques de données codées, y compris de big data.
38. Pour chacune de ces finalités, le défendeur a réalisé une pondération d’intérêts. La Chambre Contentieuse évalue ci-après la pondération d’intérêts réalisée pour chacune de ces finalités, conformément au processus décisionnel constant2 auquel elle recourt pour vérifier l’intérêt légitime.
39. Conformément à l’article 6.1.f) du RGPD et à la jurisprudence de la Cour de Justice de l’Union européenne, trois conditions cumulatives doivent être remplies pour qu’un responsable du traitement puisse valablement invoquer ce fondement de licéité , “à savoir, premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et, troisièmement, la condition que les droits et les libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas” (arrêt “Rigas”3).
40. En d’autres termes, afin de pouvoir invoquer le fondement de licéité de l’ “intérêt légitime” conformément à l’article 6.1.f) du RGPD, le responsable du traitement doit démontrer que :
1) les intérêts qu’il poursuit avec le traitement peuvent être reconnus comme légitimes (le “test de finalité”) ;
2) le traitement envisagé est nécessaire pour réaliser ces intérêts (le “test de nécessité”) ; et 3) la pondération de ces intérêts par rapport aux intérêts, libertés et droits fondamentaux des personnes concernées pèse en faveur du responsable du traitement (le “test de pondération”).
41. En ce qui concerne la finalité “la réalisation de tests informatisés”, le défendeur affirme ce qui suit :
“Contexte de la finalité de traitement Cette finalité de traitement comprend les tests qui sont réalisés par des testeurs et développeurs IT :
• en ce qui concerne les “modifications”, il s’agit d’adaptations mineures ou concernant des aspects purement fonctionnels ; et
• dans le cadre d’éventuels projets d’automatisation.
Ces tests sont réalisés dans le cadre :
• de l’IT et de la sécurité réseau ;
• de l’entretien, de l’amélioration et du développement (de la qualité) des produits et services de Y ; ou • de l’amélioration de l’expérience client (par exemple pour rendre plus efficaces des processus et systèmes internes pour les activités back-office, pour améliorer la convivialité des canaux numériques de Y, etc.).
Ce processus ne comprend pas la phase d’acceptation et d’émulation, qui ne peut être réalisée que par l’équipe “activités spécialisées” avant que les modifications puissent être implémentées concrètement et être mises en production.”
42. En ce qui concerne la première condition (ce qu’on appelle le “test de finalité”), la Chambre Contentieuse estime que la finalité de traitement telle que décrite par le défendeur doit être considérée comme étant réalisée en vue d’un intérêt légitime. Conformément au considérant 47 du RGPD, l’intérêt que le défendeur poursuivait en tant que responsable du traitement peut en soi être considéré comme légitime. La première condition reprise à l’article 6.1.f) du RGPD est donc remplie.
43. Afin de remplir la deuxième condition, il faut démontrer que le traitement est nécessaire pour la réalisation des finalités poursuivies. Cela signifie plus précisément qu’il faut se demander si le même résultat ne peut pas être atteint avec d’autres moyens, sans traitement de données à caractère personnel ou sans traitement substantiel inutile pour les personnes concernées.
44. Partant de la finalité, c’est-à-dire la réalisation de tests informatiques, la Chambre Contentieuse doit constater que le défendeur fait valoir que quand c’est possible, des données de test ou des données anonymisées sont utilisées (par exemple pour des changements impliquant différents systèmes ou applications et qui requièrent une référence unique, comme par exemple le numéro de police). Ce n’est que lorsque l’on ne peut faire autrement que des données à caractère personnel sont utilisées afin de pouvoir réaliser le changement ou le développement souhaité.
D’éventuelles possibilités de limitation (accrue) du traitement de données sont recherchées en permanence et introduites progressivement dans le cadre du projet “anonymisation de données dans des environnements de non-production”. Par ailleurs, des contrôles d’accès stricts sont mis en place sur les environnements IT dans lesquels les tests IT sont réalisés. Des procédures sont également établies pour déterminer les modalités d’exécution de ces tests IT, procédures dont toutes les personnes concernées doivent tenir compte.
45. La Chambre Contentieuse fait remarquer que le défendeur indique n’utiliser des données à caractère personnel que lorsque l’on ne peut faire autrement . Lors de l’audition, Y déclare que les tests ont toujours lieu à l’aide de données de test, mais que la phase de test est déterminante pour la mesure dans laquelle on peut procéder aux tests avec de telles données. Dans certains cas, les limites des possibilités de masquer des données sont en effet atteintes. Cela est dû au cycle de vie des tests, à savoir que progressivement, des données de test peuvent être utilisées pour les tests IT, mais parfois le traitement de données à caractère personnel est requis afin de pouvoir assurer l’interaction entre les applications. La Chambre Contentieuse estime que le défendeur démontre de manière raisonnablement crédible que les systèmes informatiques ne peuvent pas toujours être testés sur la base de données anonymisées ou pseudonymisées. La deuxième condition est donc remplie du fait qu’il a été démontré que le principe de minimisation des données (article 5.1.c) du RGPD) a été respecté. Néanmoins, la Chambre Contentieuse fait remarquer qu’en vue d’une explication à l’égard des clients concernés, le défendeur pourrait envisager de fournir une explication succincte dans la déclaration de confidentialité concernant le cas dans lequel le défendeur n’a d’autre choix que de réaliser des tests informatiques avec des données à caractère personnel.
46. Afin de vérifier si la troisième condition de l’article 6.1.f) du RGPD – ce qu’on appelle le “test de pondération” entre les intérêts du responsable du traitement d’une part et les libertés et droits fondamentaux de la personne concernée d’autre part – peut être remplie, il faut d’abord tenir compte des attentes raisonnables de la personne concernée, conformément au considérant 47 du RGPD. Il faut plus spécialement évaluer si “la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée ”4.
47. La Chambre Contentieuse estime que lors de la collecte de données à caractère personnel dans le cadre de la souscription d’une assurance, on peut partir du principe que le preneur d’assurance peut raisonnablement s’attendre à ce que ses données soient utilisées pour réaliser des tests informatiques. Les clients attendent en effet une exécution correcte de leurs contrats d’assurance, ce qui va de pair avec une gestion sûre et correcte des systèmes IT. L’intérêt des clients requiert donc que les fonctionnalités de l’environnement IT soient testées à cet effet.
48. Dès lors, la Chambre Contentieuse conclut que le défendeur peut invoquer la base juridique reprise à l’article 6.1 f) du RGPD pour les traitements en vue de la finalité “la réalisation de tests informatisés”.
49. En ce qui concerne la finalité “le contrôle de la qualité du service” et “l’établissement de statistiques de données codées, y compris de big data”, le défendeur affirme qu’elle comporte trois parties et affirme ce qui suit :
– Pour la partie “Statistiques et tests de qualité”
“Contexte de la finalité de traitement Y est, en tant qu’assureur, soumis à un contrôle prudentiel. Cela implique notamment qu’il est tenu à un contrôle global de son entreprise et de ses prestations, incluant, sans s’y limiter, le contrôle des prestations de vente, les prestations et honoraires de certains réseaux hospitaliers et les couvertures/remboursements. Cela concerne le contrôle général de la qualité des services et prestations de l’entreprise d’assurance afin d’en garantir la continuité.
Cette finalité de traitement comprend des rapports tant uniques que récurrents, en recourant ou non à des méthodes de big data. À cet effet, ce sont principalement des rapports agrégés ou anonymisés qui sont établis, sauf si des statistiques spécifiques sont nécessaires (par catégorie comme par exemple par groupe d’âge).”
50. En ce qui concerne la première condition (ce qu’on appelle le “test de finalité”), la Chambre Contentieuse estime que la finalité de traitement telle que décrite par le défendeur doit être considérée comme étant réalisée en vue d’un intérêt légitime. Conformément au considérant 47 du RGPD, l’intérêt que le défendeur poursuivait en tant que responsable du traitement peut en soi être considéré comme légitime. La première condition reprise à l’article 6.1.f) du RGPD est donc remplie.
51. Afin de remplir la deuxième condition, il faut démontrer que le traitement est nécessaire pour la réalisation des finalités poursuivies. Cela signifie plus précisément qu’il faut se demander si le même résultat ne peut pas être atteint avec d’autres moyens, sans traitement de données à caractère personnel ou sans traitement substantiel inutile pour les personnes concernées.
52. La Chambre Contentieuse fait remarquer que le défendeur justifie uniquement qu’il est nécessaire pour lui d’établir des statistiques et d’exécuter des tests de qualité, étant donné que la viabilité financière, la qualité du service, la fixation de primes et les prestations ne peuvent pas être déterminées sans les mesurer activement. La Chambre Contentieuse n’ignore aucunement la nécessité pour le défendeur de disposer de statistiques et de tests de qualité, mais le défendeur se limite à affirmer que ce sont principalement des rapports agrégés ou anonymisés qui sont établis, sauf si des statistiques spécifiques sont nécessaires (par catégorie comme par exemple par groupe d’âge). En outre, le défendeur affirme que pour établir ces rapports, on peut utiliser des méthodes de big data.
53. La mesure dans laquelle les statistiques comportent encore des données à caractère personnel ou permettent de procéder à la réidentification d’une personne concernée est détaillée lors de l’audition. Le défendeur affirme qu’il y a encore très peu de statistiques qui contiennent des données à caractère personnel. Les statistiques ne contiennent en aucun cas des noms et certainement pas des données concernant la santé. Les statistiques contiennent certes des codes, mais il s’agit majoritairement de données agrégées et segmentées.
La Directive (EU) 2016/97 sur la distribution d’assurances5 et la législation d’exécution belge de cette directive exigent également pour des rapports spécifiques que des données à caractère personnel déterminées soient traitées. Parfois, des données de polices sont traitées dans les rapports, mais aucun traitement n’est réalisé à l’aide de celles-ci dans les statistiques. Chaque rapport a une finalité et le traitement ne peut pas dépasser le cadre de celle-ci. Un registre est tenu de ces rapports et de leur finalité, qui sont réglementés de manière stricte via l’entrepôt de données et qui nécessitent des approbations pour s’en écarter.
54. La Chambre Contentieuse conclut que le défendeur a fourni les efforts nécessaires pour limiter le traitement de données pour cette finalité à ce qui est strictement nécessaire. La deuxième condition est donc remplie du fait qu’il a été démontré que le principe de minimisation des données (article 5.1.c) du RGPD) a été respecté.
55. Afin de vérifier si la troisième condition de l’article 6.1.f) du RGPD – ce qu’on appelle le “test de pondération” entre les intérêts du responsable du traitement d’une part et les libertés et droits fondamentaux de la personne concernée d’autre part – peut être remplie, il faut d’abord tenir compte des attentes raisonnables de la personne concernée, conformément au considérant 47 du RGPD. Il faut plus spécialement évaluer si “la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée”.
56. La Chambre Contentieuse suit le point de vue du défendeur qui affirme que si une personne souscrit un contrat d’assurance avec Y, celle-ci peut raisonnablement s’attendre à ce que Y effectue des contrôles internes et établisse des statistiques afin de veiller à ce que Y puisse respecter ses obligations contractuelles.
57. Dès lors, la Chambre Contentieuse conclut que pour les traitements pour la finalité “Statistiques et exigences de qualité”, le défendeur peut invoquer la base juridique reprise à l’article 6.1 f) du RGPD.
– Pour la partie “Enquêtes de satisfaction”
“Contexte de la finalité de traitement Cette finalité de traitement comporte la détermination du NPS (“Net Promotor Score”), le facteur de satisfaction des clients sur la base d’une consultation externe par un tiers afin de préserver l’anonymat de la consultation. Ce facteur est calculé au sujet du suivi par le Contact Center de Y et le département “claims” (traitements des sinistres).
58. En ce qui concerne la première condition (ce qu’on appelle le “test de finalité”), la Chambre Contentieuse estime que la finalité de traitement telle que décrite par le défendeur doit être considérée comme étant réalisée en vue d’un intérêt légitime. Conformément au considérant 47 du RGPD, l’intérêt que le défendeur poursuivait en tant que responsable du traitement peut en soi être considéré comme légitime. La première condition reprise à l’article 6.1.f) du RGPD est donc remplie.
59. Afin de remplir la deuxième condition, il faut démontrer que le traitement est nécessaire pour la réalisation des finalités poursuivies. Cela signifie plus précisément qu’il faut se demander si le même résultat ne peut pas être atteint avec d’autres moyens, sans traitement de données à caractère personnel ou sans traitement substantiel inutile pour les personnes concernées.
60. Partant de la finalité, à savoir la réalisation d’enquêtes de satisfaction, la Chambre Contentieuse constate que le défendeur fait valoir que le client peut donner son opinion de manière anonyme via cette consultation et donc qu’il peut faire valoir ses intérêts. Les résultats sont agrégés et traités par une société externe afin que l’anonymat des personnes concernées puisse être préservé. Lors de l’audition, le défendeur ajoute que les clients ont toujours le choix de participer ou non à l’enquête, étant donné qu’ils disposent toujours du droit d’opposition. La Chambre Contentieuse constate que les clients disposent ainsi de la liberté de choix requise et que les résultats de ceux qui participent à l’enquête sont mis à la disposition du défendeur sous forme anonyme.
La deuxième condition est donc remplie du fait qu’il a été démontré que le principe de minimisation des données (article 5.1.c) du RGPD) a été respecté..
61. Afin de vérifier si la troisième condition de l’article 6.1.f) du RGPD – ce qu’on appelle le “test de pondération” entre les intérêts du responsable du traitement d’une part et les libertés et droits fondamentaux de la personne concernée d’autre part – peut être remplie, il faut d’abord tenir compte des attentes raisonnables de la personne concernée, conformément au considérant 47 du RGPD. Il faut plus spécialement évaluer si “la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée ”6.
62. La Chambre Contentieuse estime que lors de la collecte de données à caractère personnel dans le cadre de la souscription d’une assurance, on peut partir du principe que le preneur d’assurance peut raisonnablement s’attendre à ce moment-là à ce que ses données soient utilisées par le défendeur afin d’évaluer la satisfaction du service du défendeur.
63. La Chambre Contentieuse conclut dès lors que pour les traitements pour la finalité “la réalisation d’enquêtes de satisfaction”, le défendeur peut invoquer la base juridique reprise à l’article 6.1 f) du RGPD.
– Pour la partie “Opérations de tests de qualité”
“Contexte de la finalité de traitement Cette finalité de traitement concerne le contrôle général de la qualité des services opérationnels et des prestations de Y. Il s’agit de contrôles de qualité pour lesquels chaque collaborateur concerné doit réaliser chaque semaine 2 contrôles aléatoires au sujet de la souscription ou de l’exécution correctes du contrat d’assurance ainsi que des instructions et procédures en vigueur à cet égard.”
64. En ce qui concerne la première condition (ce qu’on appelle le “test de finalité”), la Chambre Contentieuse estime que la finalité de traitement telle que décrite par le défendeur doit être considérée comme étant réalisée en vue d’un intérêt légitime. Conformément au considérant 47 du RGPD, l’intérêt que le défendeur poursuivait en tant que responsable du traitement peut en soi être considéré comme légitime. La première condition reprise à l’article 6.1.f) du RGPD est donc remplie.
65. Afin de remplir la deuxième condition, il faut démontrer que le traitement est nécessaire pour la réalisation des finalités poursuivies. Cela signifie plus précisément qu’il faut se demander si le même résultat ne peut pas être atteint avec d’autres moyens, sans traitement de données à caractère personnel ou sans traitement substantiel inutile pour les personnes concernées.
66. Partant de la finalité, à savoir le contrôle général de la qualité des services opérationnels et des prestations de Y, la Chambre Contentieuse constate que le défendeur fait valoir que Y est soumis à la Directive (EU) 2016/97 sur la distribution d’assurances et à la législation d’exécution belge qui obligent les compagnies d’assurance à adapter leurs services aux exigences et aux besoins de leurs clients. Comme indiqué lors de l’audition, le défendeur n’invoque pas son obligation légale (article 6.1 c) du RGPD) comme base juridique pour le traitement, étant donné que la nature et l’ampleur du rapport ne sont pas imposées explicitement en tant que telles par la loi.
C’est pourquoi le défendeur fait valoir pour ces traitements son “intérêt légitime dans le cadre de cette législation” en tant que fondement juridique. La deuxième condition est donc remplie du fait qu’il a été démontré que le principe de minimisation des données (article 5.1.c) du RGPD) a été respecté. Le traitement de données à caractère personnel est nécessaire afin de mesurer activement la qualité du service.
67. Afin de vérifier si la troisième condition de l’article 6.1.f) du RGPD – ce qu’on appelle le “test de pondération” entre les intérêts du responsable du traitement d’une part et les libertés et droits fondamentaux de la personne concernée d’autre part – peut être remplie, il faut d’abord tenir compte des attentes raisonnables de la personne concernée, conformément au considérant 47 du RGPD. Il faut plus spécialement évaluer si “la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée ”7.
68. La Chambre Contentieuse estime que lors de la collecte de données à caractère personnel dans le cadre de la souscription d’une assurance, on peut partir du principe que le preneur d’assurance peut raisonnablement s’attendre à ce moment-là à ce que ses données soient utilisées pour réaliser des contrôles de qualité internes afin de veiller à ce que Y puisse respecter ses obligations légales et contractuelles.
69. Par conséquent, la Chambre Contentieuse conclut que le défendeur peut invoquer la base juridique reprise à l’article 6.1 f) du RGPD pour les traitements réalisés en vue de la finalité “opérations de tests de qualité”.
70. En ce qui concerne la finalité “la formation du personnel”, le défendeur affirme ce qui suit :
“Contexte de la finalité de traitement Cela inclut l’organisation et le suivi de formations ainsi que des sessions de conscientisation (“awareness”) pour les employés de Y qui sont en contact avec des (données à caractère personnel de) clients. Ces formations comprennent entre autres :
• des aspects techniques des assurances (par exemple au sujet des produits de Y) ;
• des aspects techniques (par exemple l’utilisation d’applications Office 365, des formations concernant la sécurité de l’information, etc.) ;
• des formations “on the job” (des formations pour les nouveaux collaborateurs ainsi que des formations visant l’amélioration continue de la qualité du service) ; et
• des aspects plus généraux comme les sujets de compliance (par exemple RGPD, IDD, etc.).”
71. En ce qui concerne la première condition (ce qu’on appelle le “test de finalité”), la Chambre Contentieuse estime que la finalité de traitement telle que décrite par le défendeur doit être considérée comme étant réalisée en vue d’un intérêt légitime. Conformément au considérant 47 du RGPD, l’intérêt que le défendeur poursuivait en tant que responsable du traitement peut en soi être considéré comme légitime. La première condition reprise à l’article 6.1.f) du RGPD est donc remplie.
72. Afin de remplir la deuxième condition, il faut démontrer que le traitement est nécessaire pour la réalisation des finalités poursuivies. Cela signifie plus précisément qu’il faut se demander si le même résultat ne peut pas être atteint avec d’autres moyens, sans traitement de données à caractère personnel ou sans traitement substantiel inutile pour les personnes concernées.
73. Partant de la finalité, à savoir la formation du personnel, la Chambre Contentieuse constate que le défendeur affirme qu’à titre exceptionnel, les cas qui sont utilisés pour les formations contiennent des données à caractère personnel de clients ou que des données à caractère personnel de clients sont utilisées pour préparer le matériel de formation. Le défendeur indique que ce matériel (les cas) est toutefois en général entièrement anonymisé.
74. La Chambre Contentieuse fait remarquer que le défendeur indique que dans le cadre de formations, les cas ne contiennent des données à caractère personnel de clients qu’ à titre exceptionnel ou que des données à caractère personnel de clients sont utilisées pour préparer le matériel de formation. Le défendeur omet toutefois de préciser les cas dans lesquels il est contraint de proposer des formations au personnel à l’aide de données à caractère personnel de clients. Le défendeur ne démontre pas de manière raisonnablement crédible que les formations du personnel ne peuvent pas toujours être dispensées sur la base de données anonymisées.
La deuxième condition n’est donc pas remplie du fait qu’il n’a pas été démontré que le principe de minimisation des données (article 5.1.c) du RGPD) a été respecté.
75. Afin de vérifier si la troisième condition de l’article 6.1.f) du RGPD – ce qu’on appelle le “test de pondération” entre les intérêts du responsable du traitement d’une part et les libertés et droits fondamentaux de la personne concernée d’autre part – peut être remplie, il faut d’abord tenir compte des attentes raisonnables de la personne concernée, conformément au considérant 47 du RGPD. Il faut plus spécialement évaluer si “la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée ”8.
76. La Chambre Contentieuse estime que lors de la collecte de données à caractère personnel dans le cadre de la souscription d’une assurance, on ne peut pas partir du principe que le preneur d’assurance peut raisonnablement s’attendre à ce moment-là à ce que ses données soient utilisées pour la formation du personnel. Un preneur d’assurance ne peut s’attendre qu’à une gestion normale de son dossier client, ce qui ne requiert que l’accès aux informations qui y sont reprises par le personnel qui doit y réaliser des tâches pour le compte du client concerné. Lorsque dans le cadre d’une formation, des informations de dossiers concrets sont partagées, le traitement de ces informations ne reste pas limité aux personnes qui doivent réaliser des tâches dans le dossier en question.
77. La Chambre Contentieuse conclut dès lors que pour les traitements pour la finalité “la formation du personnel”, le défendeur ne peut pas invoquer la base juridique ‘intérêt légitime’ et qu’il est donc question d’une violation de l’article 6.1 f) du RGPD. La Chambre Contentieuse fait en outre remarquer que si le défendeur souhaite quand même utiliser des données à caractère personnel de clients pour la formation du personnel, il peut invoquer une autre base juridique, à savoir le consentement (article 6.1 a) du RGPD).
78. Concernant la finalité “monitoring et rapport”, le défendeur affirme ce qui suit :
“Contexte de la finalité de traitement Cette finalité de traitement comporte entre autres l’établissement de rapports afin de pouvoir réaliser des contrôles dans le cadre :
• des normes comptables IFRS 17 pour contrats d’assurance et des règles comptables belges généralement admises (“Belgian GAAP”) ;
• du calcul des réserves (par exemple dans le cadre de la loi du 13 mars 2016 relative au statut et au contrôle des entreprises d’assurance ou de réassurance (loi Solvency II), etc.) ; ou
• du monitoring et des rapports de rentabilité dans le cadre de grands sinistres.
Ces rapports sont établis tant pour des finalités de contrôle interne que pour le rapport au groupe Y1 Re (dont Y fait partie). Cela implique aussi bien des rapports récurrents que des rapports ad hoc uniques. À cet effet, seuls des rapports entièrement agrégés, anonymisés ou, si ce n’est pas possible autrement, pseudonymisés sont établis dans le cadre de grands sinistres ou de rapports ad hoc concernant des cas spécifiques ou des aberrances.”
79. En ce qui concerne la première condition (ce qu’on appelle le “test de finalité”), la Chambre Contentieuse estime que la finalité de traitement telle que décrite par le défendeur doit être considérée comme étant réalisée en vue d’un intérêt légitime. Conformément au considérant 47 du RGPD, l’intérêt que le défendeur poursuivait en tant que responsable du traitement peut en soi être considéré comme légitime. La première condition reprise à l’article 6.1.f) du RGPD est donc remplie.
80. Afin de remplir la deuxième condition, il faut démontrer que le traitement est nécessaire pour la réalisation des finalités poursuivies. Cela signifie plus précisément qu’il faut se demander si le même résultat ne peut pas être atteint avec d’autres moyens, sans traitement de données à caractère personnel ou sans traitement substantiel inutile pour les personnes concernées.
81. Partant de la finalité, à savoir le monitoring et le rapport, la Chambre Contentieuse constate que le défendeur fait valoir que les diverses réglementations générales en matière de finances et du droit des assurances (dans le cadre par exemple de la loi du 13 mars 2016 relative au statut et au contrôle des entreprises d’assurance ou de réassurance (loi Solvency II)) ne peuvent pas être respectées sans établir les rapports utiles à cet effet ni sans faire de monitoring. Comme indiqué lors de l’audition, le défendeur n’invoque pas non plus son obligation légale (article 6.1 c) du RGPD) comme base juridique pour le traitement, étant donné que la nature et l’ampleur du rapport ne sont pas imposées explicitement en tant que telles par la loi. C’est pourquoi le défendeur fait valoir pour ces traitements son “intérêt légitime dans le cadre de cette législation” en tant que fondement juridique. La deuxième condition est donc remplie du fait qu’il a été démontré que le principe de minimisation des données (article 5.1.c) du RGPD) a été respecté.
Le traitement de données à caractère personnel est en effet nécessaire étant donné que la législation ne peut pas être respectée sans établir à cet effet les rapports nécessaires ni sans faire de monitoring.
82. Le défendeur ajoute que seuls des rapports entièrement agrégés, anonymisés ou, si ce n’est pas possible autrement, pseudonymisés sont établis dans le cadre de grands sinistres ou de rapports ad hoc concernant des cas spécifiques ou des aberrances. La deuxième condition est donc remplie du fait qu’il a été démontré que le principe de minimisation des données (article 5.1.c) du RGPD) a été respecté.
83. Afin de vérifier si la troisième condition de l’article 6.1.f) du RGPD – ce qu’on appelle le “test de pondération” entre les intérêts du responsable du traitement d’une part et les libertés et droits fondamentaux de la personne concernée d’autre part – peut être remplie, il faut d’abord tenir compte des attentes raisonnables de la personne concernée, conformément au considérant 47 du RGPD. Il faut plus spécialement évaluer si “la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée ”9.
84. La Chambre Contentieuse estime que lors de la collecte de données à caractère personnel dans le cadre de la souscription d’une assurance, on peut partir du principe que le preneur d’assurance peut raisonnablement s’attendre à ce moment-là à ce que ses données soient utilisées pour respecter les obligations légales et contractuelles du défendeur.
85. Dès lors, la Chambre Contentieuse conclut que le défendeur peut invoquer la base juridique reprise à l’article 6.1 f) du RGPD pour les traitements en vue de la finalité “monitoring et rapport”.
86. En ce qui concerne la finalité “le stockage d’enregistrements de vidéosurveillance pendant la période légale”, le défendeur affirme ce qui suit :
“Contexte de la finalité de traitement Il s’agit du traitement de données à caractère personnel au moyen des caméras qui se trouvent dans les locaux de Y afin de préserver la sécurité des clients, la sécurité des données et la protection des biens de l’entreprise.”
87. En ce qui concerne la première condition (ce qu’on appelle le “test de finalité”), la Chambre Contentieuse estime que la finalité de traitement telle que décrite par le défendeur doit être considérée comme étant réalisée en vue d’un intérêt légitime. Conformément au considérant 47 du RGPD, l’intérêt que le défendeur poursuivait en tant que responsable du traitement peut en soi être considéré comme légitime. La première condition reprise à l’article 6.1.f) du RGPD est donc remplie.
88. Afin de remplir la deuxième condition, il faut démontrer que le traitement est nécessaire pour la réalisation des finalités poursuivies. Cela signifie plus précisément qu’il faut se demander si le même résultat ne peut pas être atteint avec d’autres moyens, sans traitement de données à caractère personnel ou sans traitement substantiel inutile pour les personnes concernées.
89. Partant de la finalité, à savoir prévoir une vidéosurveillance, la Chambre Contentieuse constate que le défendeur fait valoir que les images sont enregistrées dans un environnement sécurisé.
Tant les locaux que les serveurs IT concernés sont soumis à des sécurisations d’accès strictes.
L’accès aux images a lieu selon des procédures strictes. L’enregistrement des images est également limité au délai de conservation légal (en principe 30 jours).
90. La deuxième condition est donc remplie du fait qu’il a été démontré que le principe de minimisation des données (article 5.1.c) du RGPD) a été respecté.
91. Afin de vérifier si la troisième condition de l’article 6.1.f) du RGPD – ce qu’on appelle le “test de pondération” entre les intérêts du responsable du traitement d’une part et les libertés et droits fondamentaux de la personne concernée d’autre part – peut être remplie, il faut d’abord tenir compte des attentes raisonnables de la personne concernée, conformément au considérant 47 du RGPD. Il faut plus spécialement évaluer si “la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée ”10.
92. La Chambre Contentieuse estime que lors de la collecte de données à caractère personnel dans le cadre de la souscription d’une assurance, on ne peut pas partir du principe que le preneur d’assurance peut raisonnablement s’attendre à ce moment-là à ce que ses données soient utilisées pour la vidéosurveillance. La finalité de vidéosurveillance n’a aucun rapport avec la souscription d’un contrat d’assurance, de sorte que le preneur d’assurance ne peut pas non plus s’attendre à ce que ses données à caractère personnel fournies dans le cadre d’un contrat d’assurance soient utilisées pour la vidéosurveillance. Il n’y a de vidéosurveillance que lors de l’accès physique aux locaux du défendeur et il suffit alors que la loi caméras soit respectée, en ce compris l’obligation d’apposer un pictogramme reprenant des informations destinées à informer la personne concernée.
93. Dès lors, la Chambre Contentieuse conclut que le défendeur ne peut pas invoquer la base juridique ‘intérêt légitime’ pour les traitements en vue de la finalité “le stockage d’enregistrements de vidéosurveillance pendant la période légale” et qu’il y a donc une violation de l’article 6.1 f) du RGPD..
94. Par souci d’exhaustivité, la Chambre Contentieuse ajoute que si un responsable du traitement souhaite utiliser des caméras de surveillance, ce dernier doit respecter ses obligations légales découlant de la loi du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance. Dès qu’un responsable du traitement utilise des caméras de surveillance, il est soumis à des obligations découlant de la loi précitée en matière de traitement de données, de sorte que le responsable du traitement peut invoquer l’article 6.1 c) du RGPD. À cet égard, le défendeur a déclaré lors de l’audition que conformément à cette loi, les pictogrammes nécessaires ont été apposés.
c) Modèle de pondération d’intérêts
95. Pour chacune des finalités précitées, le défendeur argumente que la finalité de traitement est admissible du fait que le score quantitatif calculé par le modèle de pondération d’intérêts que Y utilise est inférieur à 30. Le défendeur affirme que sur la base de ce modèle, les finalités de traitement peuvent reposer sur les intérêts légitimes du responsable du traitement pour autant que ce score ne soit pas supérieur à 30.
96. À cet égard, la Chambre Contentieuse se doit de constater que le modèle utilisé par Y est un instrument purement interne qui peut tout au plus servir de fil conducteur au sein de l’entreprise, mais qui ne permet pas de constituer des arguments juridiques pour vérifier la base juridique de l’article 6.1 f) du RGPD. On ne peut donc attribuer aucune valeur juridique aux scores calculés sur la base de ce modèle.
d) Toutes les bases juridiques reprises à l’article 6.1 du RGPD
97. Le défendeur estime que dans la décision 24/2020, la Chambre Contentieuse aurait affirmé qu’il ne pouvait invoquer que le consentement comme base juridique (article 6.1 a) du RGPD) pour les finalités de traitement reprises au point 4.3. de l’ancienne déclaration de confidentialité, et pas les autres bases juridiques de l’article 6.1 du RGPD.
98. La Chambre Contentieuse explique qu’à cet égard, la décision 24/2020 mentionnait ce qui suit :
“La Chambre Contentieuse estime dès lors que la violation de l’article 6.1 du RGPD est avérée, étant donné que le traitement de données pour les finalités mentionnées aux sections 1, 2, 3, 4, 6 et 7 du point 4.3. de la déclaration de confidentialité, sans aucun intérêt légitime démontré, doit être basé sur le consentement du plaignant, à défaut de tout autre fondement juridique potentiellement applicable de l’article 6.1 du RGPD”.
99. Le défendeur en déduit, certes à tort, que la Chambre Contentieuse avance le consentement comme seule base juridique pour les finalités qui y sont définies. Le défendeur oublie toutefois le fait que la Chambre Contentieuse en arrive à cette conclusion précisément parce que le défendeur omet de démontrer qu’il dispose d’un quelconque intérêt légitime et ne peut ainsi pas démontrer que les conditions applicables sont remplies pour pouvoir invoquer cette base juridique de l’article 6.1 f) du RGPD. La Chambre Contentieuse a en effet affirmé explicitement dans sa décision que le défendeur ne démontrait en aucune manière en quoi son intérêt légitime consistait et qu’il avait omis de démontrer dans quelle mesure son intérêt l’emportait sur les intérêts et les droits fondamentaux du plaignant, bien que le défendeur y soit tenu en vertu de sa responsabilité (article 5.2 du RGPD). La Chambre Contentieuse ne pouvait donc pas retenir l’article 6.1 f) du RGPD comme base juridique valable. Sur la base des éléments de fait qui ont conduit à la décision 24/2020, la seule base juridique résiduaire était le consentement.
100. La Chambre Contentieuse souligne que tout responsable du traitement, et donc aussi le défendeur, peut invoquer toute base juridique possible de l’article 6.1 du RGPD, mais que les conditions applicables pour la base juridique que l’on invoque doivent être remplies.
2. Base juridique pour les transferts à des tiers
101. Avant tout, le défendeur prétend qu’un transfert à des tiers n’est pas une finalité de traitement en soi, mais tout au plus une forme de traitement de données à caractère personnel au sens de l’article 4.2 du RGPD. Le défendeur déclare qu’il établit seulement des pondérations d’intérêts par finalité de traitement, mais pas par traitement.
102. La Chambre Contentieuse affirme qu’il résulte de l’article 5.1 a) du RGPD que les données à caractère personnel doivent être traitées pour une finalité déterminée et que ce traitement doit être licite au sens de l’article 6.1 du RGPD. Il est donc clair que tout traitement doit se faire dans le cadre d’une finalité déterminée, explicite et légitime et que ce traitement doit se fonder sur une base juridique pour pouvoir être considéré comme licite. Il est bien entendu possible de réaliser plusieurs traitements au sens de l’article 4.2 du RGPD en vue d’une même finalité, mais cela n’empêche pas que les traitements de données pour une finalité déterminée ne puissent être qualifiés de licites que s’il existe une base juridique à cet effet.
103. La Chambre Contentieuse fait remarquer que pour tout transfert à des tiers, il faut déterminer la finalité en vue de laquelle ce transfert a lieu. Pour pouvoir vérifier si le transfert à des tiers peut être qualifié de licite, il faut donc déterminer pour quelle finalité ce transfert à des tiers a lieu.
104. Comme le défendeur l’affirme à juste titre, la base juridique pour le transfert à des sous-traitants (qui ne sont toutefois pas des tiers au sens de l’article 4, 10) du RGPD) est la même que pour le traitement de données effectué par le défendeur lui-même. La finalité de traitement reste en effet inchangée, étant donné que le sous-traitant traite simplement les données à caractère personnel pour le compte du défendeur en tant que responsable du traitement.
105. Si les données à caractère personnel sont transférées à un tiers au sens de l’article 4. 10) du RGPD en vue de la finalité qui permet au tiers de traiter les données à caractère personnel en question pour des finalités propres, ce transfert doit être considéré en soi pour cette finalité spécifique et une base juridique distincte est alors nécessaire. Dans un souci de transparence, le fondement du traitement de l’ensemble des transferts doit être mentionné dans la déclaration de confidentialité afin que le défendeur respecte son obligation en vertu de l’article 13.1.c) du RGPD. Tel n’est toutefois pas le cas, de sorte que la Chambre Contentieuse considère qu’il est question d’une “violation de l’article 13.1. c) du RGPD juncto l’article 5.1 a) du RGPD et de l’article 5.2 du RGPD.
3. Principe de transparence
106. Malgré le fait que l’article 13.1 d) du RGPD requiert que le responsable du traitement informe la personne concernée quant à ses intérêts légitimes si le traitement est basé sur l’article 6, premier alinéa, point f), le défendeur soutient qu’il peut se contenter de mentionner, pour les finalités indiquées au point 4.3 de la déclaration de confidentialité, ainsi que pour les transferts indiqués au point 6 de la déclaration de confidentialité qui sont basés sur l’article 6, premier alinéa, point f) du RGPD, que les données à caractère personnel sont traitées sur la base de l’intérêt légitime du défendeur sans indiquer en quoi cet intérêt légitime consisterait précisément.
107. Le défendeur affirme que la pondération d’intérêts concerne des documents internes qui ne sont pas rendus publics par Y ni repris dans sa déclaration de confidentialité, vu les informations professionnelles sensibles qu’ils contiennent. En outre, il s’agit de documents volumineux et plutôt techniques en matière de protection de la vie privée, qui ne sont généralement pas repris dans une déclaration de confidentialité.
108. Pour le transfert aux “sociétés du groupe Y1 Re dont Y fait partie, pour le monitoring et le rapport”, le défendeur confirme qu’il s’agit d’un transfert à un autre responsable du traitement, il indique en quoi son intérêt légitime consiste dans ses conclusions pour la finalité de traitement “monitoring et rapport”, mais il omet de préciser son intérêt légitime dans la déclaration de confidentialité.
109. Par ailleurs, le défendeur se réfère aussi au considérant 48 du RGPD qui dispose que les responsables du traitement qui font partie d’un groupe d’entreprises ou d’établissements affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à caractère personnel au sein du groupe d’entreprises à des fins administratives internes, y compris le traitement de données à caractère personnel relatives à des clients ou des employés.
110. La Chambre Contentieuse reconnaît que le considérant 48 s’applique au défendeur, mais cela n’empêche pas que le défendeur se doit d’être transparent à cet égard dans sa déclaration de confidentialité et doit également, dans un tel cas, indiquer la base juridique ainsi que ce en quoi consiste son intérêt légitime, ce qui n’est pas le cas dans l’ancienne déclaration de confidentialité.
111. Pour le transfert à des “sous-contractants dans l’Union européenne ou en dehors, responsables des activités de traitement définies par Y”, le défendeur avance qu’il s’agit de sous-traitants de Y.
112. La Chambre Contentieuse reprend dès lors la motivation à cet égard dans sa décision 24/2020 pour conclure à une violation de l’article 13.1 d) du RGPD juncto l’article 5.1 a) du RGPD et l’article 5.2 du RGPD. La déclaration de confidentialité mentionne uniquement que pour les finalités mentionnées au point 4.3., des données à caractère personnel sont traitées sur la base de l’intérêt légitime du défendeur, sans démontrer en quoi consisterait précisément cet intérêt légitime, alors que l’article 13.1.d) du RGPD exige bel et bien que le responsable du traitement informe la personne concernée à propos de ses intérêts légitimes, si le traitement repose sur l’article 6, paragraphe 1, point f).
113. La Chambre Contentieuse se réfère également aux Lignes directrices sur la transparence au sens du Règlement (UE) 2016/67911, qui soulignent que l’intérêt spécifique en question doit être déterminé dans l’intérêt de la personne concernée.
114. Toujours en ce qui concerne le point 6 de la déclaration de confidentialité, le défendeur n’indique pas quel serait son intérêt légitime, qu’il invoque, à traiter les données à caractère personnel du plaignant aux fins de leur transfert aux “compagnies du groupe Y1 RE auxquelles la compagnie d’assurances appartient, à des fins de contrôle et de rapport” et aux “sous-traitants dans l’Union européenne ou en dehors, responsables des activités de traitement définies par Y”. L’article 13.1.d) du RGPD exige néanmoins que le responsable du traitement informe la personne concernée à propos de son intérêt légitime si le traitement se fonde sur l’article 6, paragraphe 1, point f). À cet égard, la Chambre Contentieuse se réfère à nouveau aux Lignes directrices sur la transparence au sens du Règlement (UE) 2016/679 et aux éléments précités en la matière.
115. À titre de bonne pratique, la Chambre Contentieuse a affirmé dans sa décision 24/2020 que le responsable du traitement peut également, avant la collecte de données à caractère personnel de la personne concernée, fournir à cette dernière des informations sur la pondération qu’il convient de faire afin de pouvoir utiliser l’article 6, paragraphe 1, sous f), comme fondement juridique du traitement. Afin d’éviter de noyer d’informations la personne concernée, ces informations peuvent être reprises dans des avis/déclarations sur la protection de la vie privée 12.
Les informations fournies aux personnes concernées doivent mettre en évidence qu’elles peuvent recevoir des informations sur la pondération sur demande. Il s’agit d’un aspect essentiel pour une transparence efficace lorsque des personnes concernées ont des doutes quant à l’équité de la pondération effectuée ou souhaitent introduire une plainte auprès d’une autorité de contrôle.
116. Comme l’indique le défendeur, il n’est pas disposé à appliquer la bonne pratique précitée car selon lui, il s’agit de documents internes techniques en matière de protection de la vie privée qui contiennent des informations professionnelles sensibles.
117. La Chambre Contentieuse affirme que même si le défendeur refuse de suivre cette bonne pratique, il est au moins tenu, en vertu de l’article 12.1 du RGPD, d’informer la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples au sujet de son intérêt légitime, et ce pour chacune des finalités pour lesquelles il se fonde sur cette base juridique. Pour y parvenir, il n’est nullement requis que des documents techniques relatifs à la protection de la vie privée soient rendus publics, mais il est cependant requis que des informations quant à l’intérêt légitime soient fournies en des termes aisément compréhensibles par un client (potentiel) du défendeur.
118. La Chambre Contentieuse constate que le défendeur ne met les informations requises par l’article 13.1 d) du RGPD en aucune manière à disposition, de sorte que la violation de l’article 13.1 d) du RGPD juncto l’article 5.1 a) du RGPD et l’article 5.2 du RGPD est établie.
4. Sanction administrative
119. Le fait que le défendeur a bel et bien commis les violations des articles 5.1 a), 5.2, 6.1, 12.1, 13.1 c) et d) et 13.2 b) du RGPD conduit la Chambre Contentieuse à maintenir l’amende administrative. Cette sanction ne vise pas à mettre fin à une infraction commise, mais est destinée à renforcer l’application des règles du RGPD. Comme il ressort clairement du considérant 148 du RGPD, le RGPD met en effet en avant que pour toute violation grave – donc aussi lors de la première constatation d’une violation –, des sanctions, y compris des amendes administratives, devraient être infligées en complément ou à la place des mesures appropriées 13.
La Chambre Contentieuse démontre ci-après que les violations des articles 5.1 a), 5.2, 6.1, 12.1, 13.1 c) et d) et 13.2 b) du RGPD que le défendeur a commises ne sont en aucun cas des violations légères et que l’amende ne constitue pas une charge disproportionnée pour une personne physique, comme visé au considérant 148 du RGPD, deux cas dans lesquels on peut renoncer à infliger une amende. Le fait qu’il s’agisse d’une première constatation d’une violation du RGPD commise par le défendeur n’affecte en rien la possibilité pour la Chambre Contentieuse d’infliger une amende administrative. La Chambre Contentieuse inflige une amende administrative en application de l’article 58.2 i) du RGPD.
120. La Chambre Contentieuse souligne de nouveau que l’instrument de l’amende administrative ne vise aucunement à mettre fin aux infractions. À cet effet, le RGPD et la LCA prévoient plusieurs mesures correctrices, dont les ordres cités à l’article 100, § 1er, 8° et 9° de la LCA. Elle souligne par ailleurs que l’amende administrative est une des sanctions prévues à l’article 58.2 du RGPD et à l’article 100 de la LCA. Ni le droit de l’UE, ni le droit national belge ne prévoient une hiérarchie à l’égard des sanctions à infliger. En tant qu’organe d’une autorité indépendante de protection des données telle que visée à l’article 51 du RGPD, la Chambre Contentieuse est libre de choisir la sanction la plus appropriée. La Chambre Contentieuse estime que vu la responsabilité du responsable du traitement, l’imposition d’une amende administrative en cas de violation du RGPD était prévisible.14
121. Compte tenu de l’article 83 du RGPD et de la jurisprudence 15 de la Cour des marchés, la Chambre Contentieuse motive l’imposition d’une sanction administrative de manière concrète:
– La gravité de l’infraction : la motivation exposée ci-avant démontre la gravité de l’infraction.
– La durée de l’infraction : pour ce qui concerne cet aspect, les infractions sont évaluées à la lumière de la date à laquelle le RGPD est entré en vigueur, à savoir le 25 mai 2018.
La déclaration de confidentialité du défendeur semble être restée inchangée depuis l’entrée en vigueur du RGPD jusqu’au moment où, suite à la plainte, une nouvelle déclaration de confidentialité a été rédigée. La nouvelle déclaration de confidentialité ne constitue toutefois pas l’objet de l’évaluation par la Chambre Contentieuse, de sorte qu’elle ne se prononce pas sur la mesure dans laquelle la nouvelle déclaration de confidentialité est conforme au RGPD.
– L’effet dissuasif nécessaire en vue de prévenir de nouvelles infractions.
122. En ce qui concerne la nature et la gravité de la violation (art. 83.2.a) du RGPD), la Chambre Contentieuse souligne que le respect des principes énoncés à l’article 5 du RGPD – en particulier ici le principe de transparence, y compris le principe de responsabilité et le principe de licéité – est essentiel, parce qu’il s’agit de principes fondamentaux de protection des données.
La Chambre Contentieuse considère dès lors les violations du défendeur au principe de licéité qui est précisé à l’article 6 du RGPD et au principe de transparence qui est établi aux articles 12 et du 13 du RGPD comme des violations graves.
123. Un élément important dans la détermination du montant de l’amende réside dans le fait que le défendeur ne conteste pas les violations suivantes telles que motivées dans la décision 24/2020 et qu’en conséquence, il a déjà fourni des efforts pour mettre la déclaration de confidentialité en conformité avec le RGPD pour ces points :
– Violation de l’article 13.1 c) du RGPD pour cause d’absence de distinction claire entre le traitement de données concernant la santé d’une part et le traitement des autres données à caractère personnel “ordinaires” d’autre part, et ce tant pour chacune des finalités du point 4.3. de la déclaration de confidentialité que pour chacun des transferts du point 6 de la déclaration de confidentialité.
– Violation de l’article 12.1 et de l’article 13.2 b) du RGPD pour l’absence de mention dans la déclaration de confidentialité de la possibilité pour la personne concernée d’exercer son droit d’opposition.
– Violation de l’article 13.1 c) du RGPD pour l’absence de mention de la base juridique pour le transfert à chacune des catégories distinctes de tiers au point 6. de la déclaration de confidentialité.
124. Bien que les modifications apportées dans la nouvelle déclaration de confidentialité constituent un élément favorable dans l’évaluation de l’amende administrative, la Chambre Contentieuse estime que celles-ci ne visent pas à annuler les violations constatées. Les violations ont été constatées et ne peuvent pas être annulées rétroactivement par le responsable du traitement qui met son traitement de données en conformité avec les exigences du RGPD (mais trop tard).
125. Par ailleurs, des violations sont également constatées dans la présente décision :
– Violation de l’article 6.1 du RGPD pour ce qui concerne les finalités “la formation du personnel” et “le stockage d’enregistrements de vidéosurveillance pendant la période légale”..
– Violation de l’article 13.1. c) du RGPD juncto l’article 5.1 a) du RGPD et l’article 5.2 du RGPD.
– Violation de l’article 13.1 d) du RGPD juncto l’article 5.1 a) du RGPD et l’article 5.2 du RGPD.
En outre, la Chambre Contentieuse tient également compte du constat selon lequel la violation de l’article 6.1 du RGPD est limitée à deux finalités de traitement “la formation du personnel” et “le stockage d’enregistrements de vidéosurveillance pendant la période légale” et est donc de nature à justifier une diminution du montant de l’amende. Par ailleurs, les violations du principe de transparence ainsi que du principe de responsabilité qui sont constatées sont telles qu’une amende substantielle s’impose. Cela vaut d’autant plus au vu de l’ampleur du traitement de données autres que des données concernant la santé que le défendeur réalise, avec un impact considérable pour tous les assurés qui se sont affiliés à Y via une assurance hospitalisation, ce qui concerne un nombre important de personnes concernées. Autre élément décisif dans ce cadre : le fait que Y est un acteur important sur le marché des assurances, dont on peut s’attendre qu’il aligne sa politique de confidentialité sur le RGPD de manière appropriée et avec la rigueur nécessaire..
126. Concernant le manque de transparence, la Chambre Contentieuse souligne également que le RGPD a précisément prévu une période de transition de 2 ans 16 afin de donner à chaque responsable du traitement le temps nécessaire pour se préparer et s’adapter aux exigences posées par le RGPD. L’argument avancé par le défendeur lors de l’audition selon lequel les modifications apportées par le RGPD par rapport à l’ancienne Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données sont à la base du manque de transparence ne peut dès lors pas être accepté. Le défendeur affirme que les articles 13 et 14 du RGPD, juncto l’article 12 du RGPD, et la manière précise d’interpréter ces articles ont créé la difficulté. Les lignes directrices relatives à la transparence du Groupe 29 (devenu l’EDPB) étaient un instrument d’aide. Ici aussi, la Chambre Contentieuse constate que ces lignes directrices datent déjà du 29 novembre 2017, ont été revues et approuvées le 11 avril 2018 et n’ont plus changé depuis. Le défendeur disposait donc de suffisamment de temps pour aligner sa déclaration de confidentialité sur le RGPD, comme l’exige le principe de responsabilité (article 5.2 du RGPD).
127. Cela conduit la Chambre Contentieuse à reconsidérer l’amende et à la ramener à 30.000 €.
128. L’ensemble des éléments exposés ci-dessus justifie une sanction effective, proportionnée et dissuasive, telle que visée à l’article 83 du RGPD, compte tenu des critères d’appréciation qu’il contient. La Chambre Contentieuse attire l’attention sur le fait que les autres critères de l’article 83.2 du RGPD ne sont pas, dans ce cas, de nature à conduire à une autre amende administrative que celle définie par la Chambre Contentieuse dans le cadre de la présente décision.
5. Publication de la décision
129. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l’APD. Toutefois, il n’est pas nécessaire à cette fin que les données d’identification des parties soient directement communiquées.
PAR CES MOTIFS,
la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération, de revoir sa décision 24/2020 du 14 mai 2020 et, en vertu de l’article 100, § 1er, 13° de la LCA et de l’article 101 de la LCA, d’infliger au défendeur une amende administrative de 30.000,00 € en raison des violations des articles 5.1 a), 5.2, 6.1, 12.1, 13.1 c) et d) et 13.2 b) du RGPD.
En vertu de l’article 108, § 1er de la LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des marchés dans un délai de trente jours à compter de sa notification, avec l’Autorité de protection des données en qualité de défenderesse.
(sé) Hielke Hijmans
Président de la Chambre Contentieuse

Document PDF ECLI:BE:GBAPD:2021:DEC.20210705.1

Publication(s) liée(s)

précédé par:

ECLI:BE:GBAPD:2020:DEC.20200514.13

 

ECLI:BE:GBAPD:2021:AVIS.20210423.9

 

ECLI:BE:GBAPD:2021:DEC.20210506.1

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

✉ [email protected]

©  2017-2026 Service ICT – SPF Justice

Powered by PHP 8.5.0

Server Software Apache/2.4.66

== Fluctuat nec mergitur ==