ECLI:BE:GBAPD:2021:DEC.20210714.1

JUPORTAL Base de données publique de la jurisprudence belge

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

 
Autorité de protection des données

Décision du 14 juillet 2021

No ECLI:

ECLI:BE:GBAPD:2021:DEC.20210714.1

No Rôle:

78/2021

Domaine juridique:

Droit civil

Date d’introduction:

2025-08-12

Consultations:

59 – dernière vue 2026-04-14 13:25

Fiche

La Chambre Contentieuse de l'Autorité de protection des données
décide, après délibération, en vertu de l'article 100, § 1er,
1° de la LCA, de classer la présente plainte sans suite.

Thésaurus UTU:

DROIT CIVIL – VIE PRIVÉE – Traitement données à caractère personnel – Autorité de protection des données (Commission de la protection de la vie privée)

Mots libres:

Transfert de données à caractère personnel d'un client, sans son
consentement, par une banque à un autre agent bancaire. (DOS-2019-05089)

Bases légales:

Loi – 03-12-2017 – 100,§1,1° – 11
Lien ELI No pub 2017031916

Texte de la décision

Chambre Contentieuse
Décision quant au fond 78/2021 du 14 juillet 2021
Numéro de dossier : DOS-2019-05089
Objet : Transfert de données à caractère personnel d’un client, sans son consentement, par une banque à un autre agent bancaire
La Chambre Contentieuse de l’Autorité de protection des données, constituée de Monsieur Hielke Hijmans, président, et de Messieurs Dirk Van Der Kelen et Romain Robert ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après “RGPD” ;
Vu la loi du 3 décembre 2017 portant création de l’Autorité de protection des données, ci-après LCA ;
Vu le règlement d’ordre intérieur tel qu’approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
a pris la décision suivante concernant :
La plaignante : Madame X, ci-après “la plaignante” ; .
Le défendeur : Y, ci-après “le défendeur”.
I. Faits et procédure
1. Le 4 octobre 2019, la plaignante a introduit une plainte auprès de l’Autorité de protection des données contre le défendeur.
L’objet de la plainte concerne le transfert par le défendeur de données client sans le consentement de la plaignante à un autre directeur d’agence, et ce suite à la décision du défendeur de mettre fin définitivement à la collaboration avec le directeur d’agence qui gérait le portefeuille bancaire de la plaignante.
2. Le 7 octobre 2019, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l’article 62, § 1er de la LCA.
3. Le 4 décembre 2019, la Chambre Contentieuse décide, en vertu de l’article 95, § 1 er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond.
4. Le 5 décembre 2019, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l’article 95, § 2 ainsi qu’à l’article 98 de la LCA. Elles sont également informées, en vertu de l’article 99 de la LCA, des délais pour transmettre leurs conclusions.
La date limite pour la réception des conclusions en réponse du défendeur a été fixée au 14 janvier 2020, celle pour les conclusions en réplique de la plaignante au 28 janvier 2020 et celle pour les conclusions en réplique du défendeur au 11 février 2020.
5. Le 9 décembre 2019, la plaignante demande une copie du dossier (art. 95, § 2, 3° de la LCA), qui lui a été transmise le 17 décembre 2019. La plaignante accepte toutes communications relatives à l’affaire par voie électronique.
6. Le 10 janvier 2020, le défendeur accepte toutes communications relatives à l’affaire par voie électronique.
7. Le 13 janvier 2020, la Chambre Contentieuse reçoit les conclusions en réponse de la part du défendeur, lequel affirme qu’il travaille avec un réseau d’agents bancaires indépendants, qu’il convient de distinguer des courtiers indépendants. Les agents bancaires indépendants travaillent au nom et pour le compte du défendeur et agissent en tant que sous-traitants, tous travaillant sur la plateforme IT de Y, selon les mêmes processus de Y et sont soumis aux mêmes procédures, règles de conduite et contrôles. De ce fait, le client n’est pas le client de l’agent bancaire indépendant, mais bien du défendeur.
Cela signifie qu’il n’y a pas de transfert de données d’un responsable du traitement à un autre responsable du traitement, car les données restent au sein de Y et donc auprès du même responsable du traitement. Les clients en sont informés dans le Règlement général des opérations bancaires, ainsi que dans la déclaration relative à la protection de la vie privée du défendeur.
La gestion des données de la plaignante a été transférée à une autre agence bancaire suite à la cessation de la collaboration avec l’agence gestionnaire de l’époque de la plaignante. Selon le défendeur, un tel transfert était nécessaire pour garantir la continuité du service. En temps normal, en cas de transfert de la gestion de portefeuilles clients, les clients sont informés quelques semaines au préalable et ont le temps de réagir. Dans le cas présent, la collaboration avec l’agent bancaire gestionnaire a été arrêtée à court terme ; la plaignante n’a donc pas eu le temps nécessaire pour réagir mais elle a toujours la possibilité de changer d’agent bancaire après le transfert. Le défendeur ajoute qu’au sein de Y, un groupe de travail veille à rendre le processus de transfert de portefeuille client et la communication plus conviviaux pour le client.
8. Suite à ces conclusions en réponse, la Chambre Contentieuse n’a pas reçu de conclusions en réplique de la plaignante, ni de conclusions en réplique du défendeur.
II. Motivation
II.1. Relation réciproque entre le responsable du traitement et le sous-traitant
9. La Chambre Contentieuse constate que le défendeur doit être qualifié de responsable du traitement au sens de l’article 4. 7) du RGPD 1. À cet égard, le défendeur se réfère notamment au Règlement général des opérations bancaires de Y, plus particulièrement au point 1.7.2. : “La banque intervient comme responsable du traitement pour le traitement des données à caractère personnel du client”.
La déclaration relative à la protection de la vie privée mentionne également explicitement que Y est le responsable du traitement et qu’elle traite les données à caractère personnel pour la gestion de la base de données clients, de la vision globale du client, des comptes et des transactions, des placements et des crédits. Le point 1.1.1 du Règlement général des opérations bancaires précise que le défendeur exerce notamment ces activités par le biais d’un réseau d’agents bancaires indépendants qui travaillent au nom et pour le compte du défendeur. Cela signifie que les directeurs d’agence qui agissent comme agents bancaires indépendants pour le défendeur doivent être qualifiés de sous-traitants au sens de l’article 4. 8) du RGPD2.
10. En l’occurrence, les données à caractère personnel de la plaignante qui était cliente d’un agent bancaire du défendeur ont été transférées à un autre agent bancaire dans le cadre de la cessation d’activités du premier agent bancaire, ce afin de garantir la continuité du service financier.
II.2. Licéité du traitement
11. La Chambre Contentieuse souligne que la communication des données à caractère personnel de la plaignante au sein de l’organisation du défendeur a eu lieu entre deux sous-traitants, à savoir l’ancien et le nouvel agent bancaire, tous deux agissant pour le défendeur. Il n’est donc aucunement question d’un quelconque transfert des données de la plaignante à un tiers3.
12. Le nouvel agent bancaire a simplement reçu les données de la plaignante en sa qualité de sous-traitant.
Il en découle que les données sont restées au sein de l’organisation du défendeur qui est le responsable du traitement, ce dernier étant resté inchangé.
13. Le traitement de données, plus particulièrement le transfert au nouvel agent bancaire, intervient pour les finalités telles que mentionnées au point 4 de la déclaration relative à la vie privée précitée du défendeur :
“- la gestion de la base de données clients et la vision globale du client ;
– la gestion des comptes et des transactions ;
– la gestion des placements et instruments financiers souscrits par le client ;
– pour assurer l’octroi et la gestion du crédit demandé ;
– pour assurer l’octroi et la gestion de produits d’assurance ;
– pour établir un profil permettant de recommander certains produits.”
14. La base juridique sur laquelle se fonde le traitement de données de la plaignante est également restée inchangée. Partant de l’article 6.1 du RGPD4, la Chambre Contentieuse constate que la déclaration de confidentialité5 du défendeur indique que les données à caractère personnel des clients sont traitées selon les fondements juridiques suivants :
“- dans le cadre de l’exécution d’un contrat ou de la prise de mesures précontractuelles ;
– pour satisfaire à des dispositions légales ou réglementaires auxquelles nous sommes soumis ;
– pour des motifs tenant à l’intérêt légitime de la banque. […]”
15. Le fondement juridique sur la base duquel la plaignante a communiqué ses données à caractère personnel à l’ancien agent bancaire et que ce dernier pouvait traiter est resté identique, comme décrit dans la déclaration de confidentialité. Aucun élément factuel du dossier n’indique que – contrairement à ce que soutient la plaignante – le consentement de la plaignante (article 6.1 a) du RGPD) aurait été requis pour le transfert des données à caractère personnel au nouvel agent bancaire.
16. Compte tenu de ce qui précède, la Chambre Contentieuse procède à un classement sans suite pour motif technique et de ce fait, aucune suite n’est donnée à cette plainte, vu l’absence de violation du RGPD.
III. Publication de la décision
17. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l’Autorité de protection des données. Toutefois, il n’est pas nécessaire à cette fin que les données d’identification des parties soient directement communiquées.
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
PAR CES MOTIFS,
la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération, en vertu de l’article 100, § 1er, 1° de la LCA, de classer la présente plainte sans suite.
En vertu de l’article 108, § 1er de la LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des marchés dans un délai de trente jours à compter de sa notification, avec l’Autorité de protection des données en qualité de défenderesse.
(sé.) Hielke Hijmans
Président de la Chambre Contentieuse

Document PDF ECLI:BE:GBAPD:2021:DEC.20210714.1

Publication(s) liée(s)

précédé par:

ECLI:BE:GBAPD:2021:AVIS.20210521.13

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

✉ [email protected]

©  2017-2026 Service ICT – SPF Justice

Powered by PHP 8.5.0

Server Software Apache/2.4.66

== Fluctuat nec mergitur ==