ECLI:BE:GBAPD:2021:DEC.20211110.1

JUPORTAL Base de données publique de la jurisprudence belge

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

 
Autorité de protection des données

Décision du 10 novembre 2021

No ECLI:

ECLI:BE:GBAPD:2021:DEC.20211110.1

No Rôle:

125/2021

Domaine juridique:

Droit civil

Date d’introduction:

2025-08-08

Consultations:

63 – dernière vue 2026-04-14 13:25

Fiche

La Chambre Contentieuse de l'Autorité de protection des données
décide, après délibération : – de formuler une réprimande sur la
base de l'article 100, § 1er, 5° de LCA.

Thésaurus UTU:

DROIT CIVIL – VIE PRIVÉE – Traitement données à caractère personnel – Autorité de protection des données (Commission de la protection de la vie privée)

Mots libres:

Transmission de données à caractère personnel d'un membre d'un
club sportif à un tiers. (DOS-2020-00292)

Bases légales:

Loi – 03-12-2017 – 100,§1,5° – 11
Lien ELI No pub 2017031916

Texte de la décision

Chambre Contentieuse
Décision quant au fond 125/2021 du 10 novembre 2021
Numéro de dossier : DOS-2020-00292
Objet : transmission de données à caractère personnel d’un membre d’un club sportif à un tiers
La Chambre Contentieuse de l’Autorité de protection des données, constituée de Monsieur Hielke Hijmans, président, et de Messieurs Jelle Stassijns et Frank De Smet ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après “RGPD” ;
Vu la Loi du 3 décembre 2017 portant création de l’Autorité de protection des données, ci-après “LCA” ;
Vu le règlement d’ordre intérieur tel qu’approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
a pris la décision suivante concernant :
la plaignante : Madame X, ci-après “la plaignante” ; .
le défendeur : le club sportif Y, ci-après “le défendeur” .
I. Faits et procédure
1. Le 29 décembre 2019, la plaignante a introduit une plainte auprès de l’Autorité de protection des données contre le défendeur.
L’objet de la plainte concerne la transmission par le défendeur à un tiers des données à caractère personnel de la plaignante, parmi lesquelles ses nom, adresse, date de naissance, adresse e-mail et dates de ses dernières visites au club de fitness du défendeur. La plaignante est membre du club de fitness du défendeur. À un moment donné, la plaignante a été contactée par une personne qui indiquait être en possession de ses données à caractère personnel. Ce tiers, qui est également membre du club de fitness, avait alors signalé avoir reçu ces données à caractère personnel concernant la plaignante de la part du défendeur. Les données à caractère personnel de la plaignante ont été fournies par le défendeur à ce tiers après que ce tiers ait reçu une mise en demeure et qu’il ait été établi que son épouse payait à tort les frais d’abonnement de la plaignante (au lieu des siens). Le 23 janvier 2020, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l’article 62, § 1er de la LCA.
2. Le 12 août 2020, la Chambre Contentieuse décide, en vertu de l’article 95, § 1 er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond.
3. Le 12 août 2020, les parties concernées sont informées par envoi recommandé des dispositions visées à l’article 95, § 2 ainsi qu’à l’article 98 de la LCA. Elles sont également informées, en vertu de l’article 99 de la LCA, des délais pour transmettre leurs conclusions.
4. La date limite pour la réception des conclusions en réponse du défendeur a été fixée au 9 septembre 2020, celle pour les conclusions en réplique de la plaignante au 23 septembre 2020 et celle pour les conclusions en réplique du défendeur au 7 octobre 2020.
5. Les parties n’ont pas demandé à être entendues lors d’une audition.
6. Le 8 septembre 2020, la Chambre Contentieuse reçoit les conclusions en réponse du défendeur.
Le défendeur reconnaît que des données à caractère personnel de la plaignante ont été transmises à un tiers par l’un de ses collaborateurs au club de fitness de Y. Ce collaborateur n’a pas pu être interrogé par le défendeur car il ne travaille pas actuellement en raison de circonstances personnelles.
7. Le défendeur déclare déplorer cette situation et souligne que les directives internes n’autorisent en aucun cas les collaborateurs à fournir des données à caractère personnel à des tiers.
Le défendeur ajoute que le rôle des collaborateurs du club se réduit de plus en plus car les membres sont encouragés à recourir au principe du “self service” grâce auquel ils peuvent toujours contrôler certaines données et au besoin, les modifier. Par ailleurs, les mesures suivantes ont été prises : s’ils le souhaitent, les membres peuvent obtenir une aide du service clients ; les managers régionaux et les chefs d’équipe ont été informés de cet incident et il leur a été demandé d’en discuter avec tous leurs collaborateurs ; de nouveaux flyers ont été distribués aux collaborateurs avec les obligations du RGPD qu’ils sont tenus de respecter ; ces flyers seront mis à jour en permanence et redistribués afin d’entretenir la sensibilisation au respect de la vie privée ; le collaborateur du club qui a transmis les données à caractère personnel sera interrogé à son retour ; la procédure interne est en cours d’amélioration afin d’éviter ce genre de situation en cas d’erreurs de numéros de compte.
8. Le 17 décembre 2020, la Chambre Contentieuse reçoit les conclusions en réplique de la part de la plaignante. Elle y indique qu’elle trouve positives les mesures proposées pour éviter que de tels événements ne se reproduisent. Elle souligne toutefois que le traitement de données à caractère personnel de décembre 2019 a manifestement enfreint le RGPD. La plaignante demande à la Chambre Contentieuse d’infliger une sanction adéquate au défendeur.
II. Motivation
9. Tout traitement de données à caractère personnel doit reposer sur une base juridique au sens de l’article 6 du RGPD. La plaignante était membre du club de fitness du défendeur et lui avait dès lors transmis ses données à caractère personnel dans le cadre de l’exécution du contrat. Le défendeur était donc habilité, dans le cadre de ce même contrat, à traiter ces données (article 6.1 b) du RGPD).
10. Comme déjà expliqué ci-avant, un collaborateur du défendeur a fourni à un tiers les données à caractère personnel de la plaignante, dont ses nom, adresse, date de naissance, numéro de GSM, adresse e-mail ainsi que les date de ses dernières visites au club de fitness, car ce tiers payait – certes par erreur – les frais de l’abonnement pour la plaignante. D’après les e-mails échangés entre un collaborateur du défendeur et le tiers, il apparaît que le collaborateur a conseillé au tiers de faire une déclaration de vol à la police à l’encontre de la plaignante et de fournir la preuve de la déclaration au défendeur. Ce conseil a été suivi par le tiers qui a fait une déclaration à l’encontre de la plaignante.
11. L’article 5.1.b) du RGPD définit le principe de limitation des finalités en vertu duquel les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités. 1
La plaignante a fourni ses données à caractère personnel dans le cadre d’une relation contractuelle, confiante dans le fait que ces données seraient uniquement traitées en tant qu’éléments nécessaires de cette relation. La Chambre Contentieuse estime qu’en transmettant ces données à caractère personnel de la plaignante à un tiers, le défendeur a agi en violation des principes du traitement de données. Il a en effet transmis les données à caractère personnel à un tiers sans base juridique valable à cet effet. Le fait que le tiers ait payé par erreur les frais d’abonnement pour la plaignante ne justifie en aucun cas la transmission à ce tiers des données à caractère personnel concernant la plaignante. La plaignante a en effet fourni ses données à caractère personnel afin d’exécuter le contrat entre elle-même et le club de fitness, dans l’unique but de pouvoir utiliser les infrastructures sportives. C’est le défendeur qui aurait dû réparer l’erreur administrative en prenant tout d’abord lui-même contact avec la plaignante et pas en transmettant ses données à caractère personnel au tiers.
12. En agissant comme décrit ci-avant, le défendeur a transmis et dès lors traité les données à caractère personnel qu’il a obtenues dans le cadre de l’exécution du contrat pour des finalités contraires à la finalité initiale pour laquelle il avait obtenu ces données à caractère personnel, à savoir pour l’exécution du contrat. En vertu de l’article 6, paragraphe 4 du RGPD, il est toutefois permis dans certains cas que des données à caractère personnel ayant été initialement collectées pour une finalité déterminée soient traitées pour d’autres finalités compatibles (sans qu’une base juridique distincte soit requise à cet effet). Pour le déterminer, il est tenu compte : d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ; du contexte dans lequel les données à caractère personnel ont été collectées et de la relation entre les personnes concernées et le responsable du traitement ; de la nature des données à caractère personnel ; des conséquences du traitement ultérieur pour la personne concernée ; et de l’existence de garanties appropriées. La Chambre Contentieuse estime que le test par rapport aux éléments ci-dessus ne permet pas de supposer qu’en l’occurrence, il était question d’un traitement ultérieur et compatible, conformément à l’article 6, paragraphe 4 du RGPD. Aucun lien ne peut non plus être établi entre les finalités pour lesquelles les données ont été collectées et les finalités de traitement ultérieur, tout comme aucun autre point de rattachement ne peut être trouvé qui pourrait justifier le traitement ultérieur. Vu qu’il s’agit donc ici d’un traitement non compatible avec les finalités initiales, la Chambre Contentieuse examinera ci-après s’il existe éventuellement une base juridique distincte en vertu de laquelle le traitement ultérieur aurait quand même pu être autorisé. La seule base juridique qui pourrait encore être prise en considération en l’espèce à cette fin est l’intérêt légitime. En effet, il est établi que la personne concernée n’a pas donné son consentement.
13. L’article 6, paragraphe 1, f) du RGPD établit l’intérêt légitime comme base juridique. La Chambre Contentieuse vérifiera donc si le traitement ultérieur des données à caractère personnel de la plaignante étaient éventuellement légitime dans ce cas en vertu de la disposition susmentionnée. 2
Afin de pouvoir le déterminer, le responsable du traitement doit démontrer, conformément à la jurisprudence de la Cour de Justice, que :
1) les intérêts qu’il poursuit avec le traitement peuvent être reconnus comme légitimes (le “test de finalité”)
2) le traitement envisagé est nécessaire pour réaliser ces intérêts (le “test de nécessité”)
3) la pondération de ces intérêts par rapport aux intérêts, libertés et droits fondamentaux des personnes concernées pèse en faveur des responsables du traitement ou d’un tiers (le “test de pondération”).
14. Il convient tout d’abord de s’interroger sur l’intérêt et la finalité poursuivis par le responsable du traitement avec le traitement ultérieur des données à caractère personnel (test de finalité).
En transmettant les données à caractère personnel de la plaignante à un tiers, le responsable du traitement a répondu à la demande du tiers qui souhaitait savoir à la place de qui il avait payé les frais d’abonnement afin de veiller ensuite à ce que cette erreur puisse être rectifiée. L’intérêt du responsable du traitement était de pouvoir modifier l’affiliation du membre dans le système afin que désormais, le paiement puisse s’effectuer au nom de la bonne personne et que le client puisse être conservé. La conservation du client peut être qualifiée d’intérêt légitime.
15. Afin de remplir la deuxième condition, il faut démontrer que le traitement était nécessaire à la réalisation des finalités poursuivies (test de nécessité). Cela signifie qu’il faut se demander si le même résultat ne peut pas être atteint avec d’autres moyens, sans traitement de données à caractère personnel ou sans traitement substantiel inutile pour les personnes concernées.
Les données à caractère personnel de la plaignante qui ont été transmises au tiers par le défendeur concernent, comme déjà précisé, le nom, le numéro de GSM, l’adresse e-mail, la date de naissance ainsi que les dates des dernières visites aux installations du défendeur. La finalité qui était poursuivie était l’identification de la personne au nom de laquelle les frais d’abonnement étaient payés au lieu des propres frais d’abonnement. La Chambre Contentieuse constate qu’il n’était nullement nécessaire de transmettre les données à caractère personnel de la plaignante (dont notamment les dates auxquelles la plaignante avait fréquenté les installations) à un tiers, vu que le défendeur aurait pu prendre contact lui-même avec la plaignante. La deuxième condition n’est dès lors pas remplie.
16. La troisième condition concerne le “test de pondération” entre les intérêts du responsable du traitement d’une part et les libertés et droits fondamentaux de la personne concernée d’autre part.
En vertu du considérant 47 du RGPD, il convient, pour le déterminer, d’évaluer si “la personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée”.
17. Ce qui précède est également souligné par la Cour dans son arrêt “TK c/ Asociaţia de Proprietari bloc M5A-ScaraA” du 11 décembre 2019, qui précise ce qui suit :
“Sont également pertinentes aux fins de cette pondération les attentes raisonnables de la personne concernée à ce que ses données à caractère personnel ne seront pas traitées lorsque, dans les circonstances de l’espèce, cette personne ne peut raisonnablement s’attendre à un traitement ultérieur de celles-ci.”
18. La Chambre Contentieuse constate que la plaignante n’aurait pas pu s’attendre à ce que ses données à caractère personnel, y compris ses déplacements, puissent être transmises à un tiers.
La troisième condition n’est dès lors pas remplie. Compte tenu de ce qui précède, la Chambre Contentieuse constate que l’intérêt légitime ne constituait pas une base juridique valable pour le traitement ultérieur des données de la plaignante. La Chambre Contentieuse est dès lors parvenue à la constatation qu’il est question d’une violation des articles 5, paragraphe 1, b) et 6 du RGPD.
19. Compte tenu du fait qu’il s’agit ici d’un traitement illicite unique, qui est même probablement imputable à une erreur humaine, et compte tenu du fait qu’entre-temps, des mesures ont été prises qui paraissent appropriées afin d’éviter une récidive, la Chambre Contentieuse décide qu’il n’est pas nécessaire dans ce cas d’infliger une amende et qu’une simple réprimande suffit.
III. Publication de la décision
20. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l’Autorité de protection des données. Toutefois, il n’est pas nécessaire à cette fin que les données d’identification des parties soient directement communiquées.
PAR CES MOTIFS,
la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération :
– de formuler une réprimande sur la base de l’article 100, § 1 er, 5° de LCA.
En vertu de l’article 108, § 1er de la LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des marchés dans un délai de trente jours à compter de sa notification, avec l’Autorité de protection des données en qualité de défenderesse.
(sé.) Hielke Hijmans
Président de la Chambre Contentieuse

Document PDF ECLI:BE:GBAPD:2021:DEC.20211110.1

Publication(s) liée(s)

précédé par:

ECLI:BE:GBAPD:2021:AVIS.20210728.2

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

✉ [email protected]

©  2017-2026 Service ICT – SPF Justice

Powered by PHP 8.5.0

Server Software Apache/2.4.66

== Fluctuat nec mergitur ==