ECLI:BE:GBAPD:2021:DEC.20211110.3

JUPORTAL Base de données publique de la jurisprudence belge

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

 
Autorité de protection des données

Décision du 10 novembre 2021

No ECLI:

ECLI:BE:GBAPD:2021:DEC.20211110.3

No Rôle:

124/2021

Domaine juridique:

Droit civil

Date d’introduction:

2025-08-08

Consultations:

67 – dernière vue 2026-04-14 13:25

Fiche

La Chambre Contentieuse de l'Autorité de protection des données
décide, après délibération, en vertu de l'article 100, § 1er,
1° de la LCA, de classer la présente plainte sans suite.

Thésaurus UTU:

DROIT CIVIL – VIE PRIVÉE – Traitement données à caractère personnel – Autorité de protection des données (Commission de la protection de la vie privée)

Mots libres:

Partage de données à caractère personnel concernant des locataires
d'un logement social dans le cadre d'une enquête patrimoniale.
(DOS-2018-05039) (DOS-2018-05524)

Bases légales:

Loi – 03-12-2017 – 100,§1,1° – 11
Lien ELI No pub 2017031916

Texte de la décision

Chambre Contentieuse
Décision quant au fond 124/2021 du 10 novembre 2021
Numéro de dossier : DOS-2018-05039 et DOS-2018-05524
Objet : Partage de données à caractère personnel concernant des locataires d’un logement social dans le cadre d’une enquête patrimoniale
La Chambre Contentieuse de l’Autorité de protection des données, constituée de Monsieur Hielke Hijmans, président, et de Messieurs Frank De Smet et Romain Robert ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après “RGPD” ;
Vu la Loi du 3 décembre 2017 portant création de l’Autorité de protection des données, ci-après “LCA” ;
Vu le règlement d’ordre intérieur tel qu’approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
a pris la décision suivante concernant :
Les plaignants : Madame et Monsieur X1, représentés par M. Özgür Balci (ci-après : ‘plaignant 1’), et Madame et Monsieur X2, représentés par M. Özgür Balci (ci-après : ‘plaignant 2’), ci-après appelés conjointement ‘les plaignants’.
Le défendeur : Y, représenté par Me Kris De Sager, ci-après “le défendeur”.
I. Faits et procédure
1. Le plaignant 1 et le plaignant 2 ont porté plainte auprès de l’Autorité de protection des données contre le défendeur, respectivement le 17 septembre 2018 et le 26 septembre 2018.
L’objet des plaintes concerne la communication à des tiers de données à caractère personnel concernant des locataires d’un logement social dans le cadre d’une enquête patrimoniale.
2. Le 5 octobre 2018 et le 15 octobre 2018 respectivement, les plaintes sont déclarées recevables par le Service de Première Ligne en vertu des articles 58 et 60 de la LCA et les plaintes sont transmises à la Chambre Contentieuse en vertu de l’article 62, § 1 er de la LCA. La Chambre Contentieuse traite les deux affaires dans une seule décision étant donné que l’objet de la plainte est comparable.
3. Le 18 octobre 2018, conformément à l’article 96, § 1er de LCA, la demande de la Chambre Contentieuse de procéder à une enquête est transmise au Service d’Inspection, de même que les plaintes et l’inventaire des pièces.
4. Le 21 octobre 2019, l’enquête du Service d’Inspection est clôturée, le rapport est joint au dossier et celui-ci est transmis par l’inspecteur général au président de la Chambre Contentieuse (art. 91, § 1 er et § 2 de la LCA).
Le rapport comporte des constatations relatives à l’objet de la plainte et conclut que :
• le défendeur n’a pas respecté les obligations imposées par les articles 5 et 6 du RGPD ; (principes relatifs au traitement des données à caractère personnel et licéité du traitement)
• le défendeur n’a pas respecté les obligations imposées par l’article 12, paragraphe 1 et les articles 13 et 14 du RGPD ;
(transparence des informations et des communications et modalités de l’exercice des droits des personnes concernées, et concernant les informations à fournir)
• le défendeur n’a pas respecté les obligations imposées par les articles 44 et 49 du RGPD.
(principe général applicable aux transferts et dérogations pour des situations particulières)
5. Le rapport comporte également des constatations dépassant l’objet de la plainte et conclut que :
• le défendeur n’a pas respecté les obligations imposées par l’article 30, paragraphe 1 du RGPD ; (registre des activités de traitement)
• le défendeur n’a pas respecté les obligations imposées par l’article 31 du RGPD ;
(coopération avec l’autorité de contrôle)
• le défendeur n’a pas respecté les obligations imposées par l’article 37, paragraphes 5 et 7 du RGPD et par l’article 38, paragraphe 1 du RGPD.
(désignation du délégué à la protection des données et sa position)
6. Dans son rapport, le Service d’Inspection formule une considération supplémentaire concernant l’application temporelle du RGPD aux faits précités. Il se réfère à cet égard au fait que par un courrier du 11 avril 2018, le défendeur a demandé aux plaignants de “quitter au plus tard le 31 octobre 2018 […] le logement et le garage et de les mettre à la libre disposition de Y”. Le Service d’Inspection indique que le RGPD s’applique aux faits précités étant donné que le délai pour quitter le logement et le garage arrive à échéance au 31 octobre 2018, et donc après la mise en application du RGPD le 25 mai 20181.
7. Par ailleurs, le Service d’Inspection affirme que le RGPD est déjà entré en vigueur le 24 mai 2016, conformément à l’article 99, paragraphe 1 du RGPD, et de ce fait le défendeur aurait déjà dû entreprendre les démarches nécessaires pour mettre le traitement de données à caractère personnel en conformité avec le RGPD.
8. Le 14 janvier 2020, la Chambre Contentieuse décide, en vertu de l’article 95, § 1 er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond.
9. Sur la base du rapport du Service d’Inspection, la Chambre Contentieuse décide de scinder le dossier en deux parties distinctes.
10. Le 14 janvier 2020, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l’article 95, § 2 ainsi qu’à l’article 98 de la LCA. Elles sont également informées, en vertu de l’article 99 de la LCA, des délais pour transmettre leurs conclusions.
Pour les constatations relatives à l’objet de la plainte, la date limite pour la réception des conclusions en réponse des plaignants a été fixée au 28 janvier 2020, celle pour les conclusions en réplique du défendeur au 11 février 2020. En ce qui concerne les constatations allant au-delà de l’objet de la plainte, la date limite pour la réception des conclusions en réponse du défendeur a été fixée au 28 janvier 2020.
11. Sur demande du défendeur, la Chambre Contentieuse a décidé d’accorder exceptionnellement une prolongation des délais pour les conclusions. En ce qui concerne les constatations quant à l’objet de la plainte (art. 98, 1° de la LCA), le délai pour les conclusions des plaignants a été fixé au 31 janvier 2020 et celui pour les conclusions en réplique du défendeur au 14 février 2020. En ce qui concerne les constatations allant au-delà de l’objet de la plainte, la date limite pour la réception des conclusions du défendeur a été fixée au 31 janvier 2020.
12. Le 14 janvier 2020, le défendeur demande une copie du dossier (art. 95, § 2, 3° de la LCA), qui lui a été transmise le 22 janvier 2020.
13. Le 29 janvier 2020, les plaignants déposent leurs conclusions en réplique, lesquelles contiennent trois moyens :
• Dans le premier moyen, les plaignants concluent à une violation des articles 5 et 6 du RGPD. Le défendeur ne justifie pas le fondement juridique sur lequel il a communiqué les données des plaignants à Z. Aucun document n’indique que les plaignants ont donné leur consentement pour la communication des données à caractère personnel à Z.
• Dans le deuxième moyen, les plaignants concluent à une violation des articles 12, 13 et 14 du RGPD. Les informations fournies sur le site Internet du défendeur ne sont pas transparentes, cohérentes et compréhensibles pour les personnes concernées.
• Dans le troisième moyen, les plaignants concluent à une violation des articles 44 et 49 du RGPD. Eu égard au rapport d’inspection, les conditions de l’article 49 ne sont pas respectées.
14. Le 31 janvier 2020, la Chambre Contentieuse reçoit les conclusions en réponse du défendeur concernant les constatations allant au-delà de l’objet de la plainte. Dans ces conclusions, le défendeur souhaite faire valoir ses moyens de défense dans le dossier en ce qui concerne les constatations qui ont été faites par le Service d’Inspection en dehors du cadre de la plainte (art. 92, 3° de la LCA) ainsi qu’au sujet des infractions auxquelles ce dernier estime devoir conclure sur la base de ces constatations.
• En ce qui concerne les constatations concernant le registre des activités de traitement, le défendeur estime qu’il a en tout cas toujours été transparent dans toutes ses communications à l’égard du Service d’Inspection et qu’il a respecté toutes ses obligations.
Le défendeur affirme que dès lors, on ne peut pas conclure qu’il a commis une violation de l’article 30, paragraphe 1 du RGPD.
• En ce qui concerne la constatation relative à la coopération avec l’autorité de contrôle, le défendeur estime qu’il n’a jamais manqué délibérément au respect de ses obligations en vertu de l’article XX? du RGPD et qu’il n’a donc pas commis de violation de l’article 31 du RGPD.
• En ce qui concerne les constatations relatives à la désignation du délégué à la protection des données et à sa position, le défendeur estime que toutes les exigences ont toujours été respectées et que les qualités professionnelles et les connaissances spécialisées en matière de protection des données ne font aucun doute.
Selon le défendeur, aucune violation des articles 37 et 38 du RGPD n’a donc été commise.
15. Le 14 février 2020, la Chambre Contentieuse a reçu les conclusions en réplique du défendeur en ce qui concerne les constatations dans le cadre de la plainte. Dans son premier moyen, le défendeur affirme que seuls les actes posés à partir de la date à laquelle le RGPD est entré en application peuvent passer le test du RGPD. Aucun acte faisant l’objet de la discussion n’aurait été posé à partir du 25 mai 2018.
Dans son deuxième moyen, le défendeur indique que les obligations imposées par les articles 5 et 6 ont été respectées. Le défendeur affirme à cet égard qu’il est une société de logement social agréée par le Gouvernement flamand et par la Vlaamse Huisvestingsmaatschappij (Société flamande du logement) dont l’objectif spécifique est d’améliorer les conditions de logement (des plus démunis et des personnes isolées) en veillant à une offre suffisante de logements sociaux mis en vente ou en location. Dans son action, il est tenu par le cadre légal relatif à la location sociale. Le défendeur argumente par ailleurs que le traitement des données à caractère personnel doit être conforme au RGPD, mais que ce traitement trouve son fondement dans le consentement des plaignants, ce qui est également prévu dans l’arrêté du Gouvernement flamand du 12 octobre 2007 réglementant le régime de location sociale et portant exécution du titre VII du Code flamand du Logement (ci-après “l’Arrêté-cadre location sociale”). En outre, le défendeur se réfère au considérant 47 du RGPD qui dispose que le traitement de données à caractère personnel strictement nécessaires à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement. Le défendeur affirme également que l’absence de procédure détaillée concernant le contrôle de la condition de propriété à l’étranger et les échanges de ces informations ne signifie nullement que l’on ne peut pas chercher et obtenir des informations d’une autre manière.
En ce qui concerne les articles 13 et 14 du RGPD, le défendeur soutient que le RGPD n’était pas encore d’application.
En ce qui concerne la déclaration de confidentialité, le défendeur affirme, en se référant à sa lettre de réponse du 1er octobre 2019, que celle-ci a été élaborée sur avis du délégué à la protection des données et qu’elle doit encore être révisée et retravaillée.
Pour ce qui est de la formulation, le défendeur indique que le texte est clair et que les abréviations sont également claires lorsqu’elles sont lues dans leur contexte.
II. Motivation
II.1. Compétence de la Chambre Contentieuse
16. Sur la base des informations dont la Chambre Contentieuse dispose actuellement, et notamment eu égard au fait que les traitements contestés ont été réalisés à une date antérieure à la mise en application du RGPD, la Chambre Contentieuse s’estime incompétente ratione temporis pour traiter cette plainte sur le fond et décide dès lors de la classer sans suite en vertu de l’article 95, § 1er, 3° de la LCA.
17. Pour que la Chambre Contentieuse soit compétente, il est nécessaire que le RGPD s’applique aux traitements de données à caractère personnel faisant l’objet de la plainte. Selon l’article 4, paragraphe 2 du RGPD, le traitement de données à caractère personnel est : “toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.”
Les traitements dans cette affaire et leur date d’incidence peuvent être résumés comme suit :
la mission d’enquête de vérification confiée à la société néerlandaise Z date du 7 mars 2018.
L’enquête de la société Z a été clôturée et un rapport a été rédigé le 28 mars 2018. Ensuite, par lettre du 11 avril 2018, il a été mis fin au contrat de location et les plaignants ont été priés de quitter le logement et le garage au plus tard le 31 octobre 2018.
Dans la lettre du défendeur, un délai est accordé aux plaignants pour quitter le logement et le garage. Ce délai vient à échéance le 31 octobre 2018, donc après la mise en application du RGPD le 25 mai 20182. Le défendeur argumente dans ses conclusions que les traitements de données en question ont eu lieu avant le 25 mai 2018, de sorte que le RGPD ne s’applique pas dans cette affaire.
Le Service d’Inspection avance dans son rapport que le RGPD s’applique bel et bien car le délai précité vient à échéance le 31 octobre 2018, donc après la mise en application du RGPD. En outre, aux dires du Service d’Inspection, le RGPD est déjà entré en vigueur le 24 mai 2016, conformément à l’article 99, paragraphe 1 du RGPD, de sorte que le défendeur aurait déjà dû entreprendre les démarches nécessaires pour veiller à ce que les traitements soient conformes au RGPD.
18. La Chambre Contentieuse constate que les traitements de données à caractère personnel précités ont eu lieu avant la mise en application du RGPD le 25 mai 2018. Bien que le délai accordé aux plaignants pour quitter le logement et le garage arrive en effet à échéance au 31 octobre 2021, les traitements faisant l’objet de cette affaire n’ont pas eu lieu au cours de cette période. La Chambre Contentieuse n’est donc pas autorisée à en connaître. En effet, la Chambre Contentieuse trouve le fondement légal de sa compétence dans la loi du 3 décembre 2017 portant création de l’Autorité de protection des données (LCA) dont l’entrée en vigueur a été fixée, sauf exceptions, à la date du 25 mai 2018 (article 110 de la LCA). Bien que la Chambre Contentieuse soit compétente pour les traitements de données qui ont certes débuté avant le 25 mai 2018 mais qui se sont poursuivis par la suite3, elle n’est pas compétente pour des traitements uniques qui auraient eu lieu avant le 25 mai 2018 ou pour des traitements multiples qui ont pris fin avant le 25 mai 2018. 4
La Chambre Contentieuse ne peut pas établir que des traitements auxquels cette affaire se rapporte ont encore eu lieu après le 25 mai 2018.
19. Compte tenu de ce qui précède, la Chambre Contentieuse procède à un classement sans suite pour motif technique5 et de ce fait, aucune suite n’est donnée à cette plainte, vu l’absence de violation du RGPD.
II.2. Cadre législatif : rapport entre le traitement de données à caractère personnel et les conditions d’admission dans le cadre de la location sociale
20. Par souci d’exhaustivité, la Chambre Contentieuse souhaite attirer l’attention sur la problématique plus large liée à la plainte, à savoir le traitement de données à caractère personnel en vue du contrôle des conditions d’inscription et d’admission dans le cadre de la location sociale.
21. Dans ce cadre, la Chambre Contentieuse souligne avant tout qu’en vertu de l’article 13.1.c) du RGPD, le responsable du traitement doit, dès la collecte de données à caractère personnel au sujet d’une personne concernée, informer cette personne concernée notamment des finalités du traitement auxquelles les données à caractère personnel sont destinées, ainsi que de la base juridique du traitement6. Le responsable du traitement doit donc, préalablement au traitement, définir la base juridique de manière transparente. Il n’y a pas de possibilité de système de cascade lors de la détermination de la base juridique du traitement applicable, où le responsable du traitement désigne des bases juridiques alternatives, étant donné que différentes obligations dans le chef du responsable du traitement sont liées à chaque base juridique.
22. Au moment des faits en question, les conditions d’inscription et d’admission dans le cadre de la location sociale ont été définies par l’Arrêté-cadre location sociale. L’article 3, 1 de l’Arrêté-cadre dispose qu’une personne physique peut se faire inscrire dans le registre visé à l’article 7 7, si elle répond à différentes conditions, dont la suivante :
“3° [le (candidat) locataire] et les membres du ménage n’ont pas la propriété pleine ou l’usufruit complet d’une habitation ou parcelle destinée à la construction d’habitations en Belgique ou à l’étranger, à moins qu’il s’agisse d’une résidence de camping située en Région flamande”.
23. En vertu de l’article 52, § 1er de l’Arrêté-cadre, le locataire donne au bailleur, par sa demande d’inscription au registre, d’inscription en tant que candidat locataire ou locataire, le consentement d’obtenir auprès des autorités et instances compétentes et des administrations locales, les documents ou données nécessaires relatifs aux conditions et obligations imposées par cet arrêté. 8
Ces autorités et instances compétentes sont énoncées de manière non limitative au § 2 du même article, comme suit9 :
1° le Registre national des personnes physiques, visé à la loi du 8 août 1983 organisant un registre national des personnes physiques ;
2° les institutions de la sécurité sociale, mentionnées aux articles 1 er et 2, premier alinéa, 2° de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale et les personnes auxquelles le réseau de la sécurité sociale a été étendu en application de l’article 18 de la même loi ;
3° le Service public fédéral des Finances ;
4° la Banque-carrefour d’Intégration civique ;
5° les ″Huizen van het Nederlands″ (Maisons du néerlandais) ;
6° les bureaux d’accueil ;
7° la cellule de coordination flamande ″E-government″ ;
8° les organisations et les institutions, visées à l’article 4, alinéa premier, y compris le domaine politique Enseignement et Formation de la communauté flamande.
24. Ces sources peuvent être consultées aisément pour des biens immobiliers en Belgique.
Des enquêtes sur des biens immobiliers dans des pays de l’UE ou en dehors de l’UE sont toutefois moins évidentes. Le défendeur fait remarquer qu’au moment des faits, aucune procédure concernant des enquêtes dans les pays en dehors de l’UE n’était prévue, mais que cela n’exclut pas de pouvoir faire appel à des bureaux d’enquête privés afin de respecter l’obligation de contrôle concernant la condition précitée de propriété.
25. L’Arrêté-cadre location sociale a été abrogé par l’arrêté du Gouvernement flamand du 11 septembre 2020 portant exécution du Code flamand du Logement. L’article 52, §§ 1er et 2 précité de l’Arrêté-cadre location sociale a été repris intégralement à l’article 5.246, § 1 er de cet arrêté du Gouvernement flamand du 11 septembre 2020. Les bailleurs sociaux peuvent dès lors toujours enquêter sur des biens immobiliers via les mêmes sources énoncées ci-avant de manière non limitative. Pour répondre à l’absence de procédure efficace pour les enquêtes sur des biens immobiliers à l’étranger, la Vlaamse Maatschappij voor Sociaal Wonen (Société flamande du logement social, ci-après : “VMSW”) a conclu un contrat-cadre avec des bureaux d’enquête privés spécialisés dans les enquêtes sur les biens immobiliers à l’étranger. Les bailleurs sociaux peuvent faire appel à ces bureaux d’enquête lorsqu’il y a un risque d’existence de propriétés immobilières étrangères dans le patrimoine de (candidats) locataires.
26. Dans ses conclusions, le défendeur se réfère au fait qu’il est une société de logement social agréée par le Gouvernement flamand et par la Vlaamse Huisvestingsmaatschappij dont l’objectif est, de par la location ou la vente de logements sociaux, d’améliorer les conditions de logement des familles nécessitant un logement et des personnes isolées, en particulier les plus nécessiteuses d’entre elles, en veillant à une offre suffisante de logements sociaux mis en vente ou en location.
Cette société de logement social y parvient notamment en contrôlant les conditions d’inscription (comme expliqué ci-dessus).
27. Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable du traitement est soumis 10 ou lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique11, le traitement devrait avoir un fondement dans le droit de l’Union ou dans le droit d’un État membre.12
28. Conformément à l’article 6.3 du RGPD, “Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement”. Par ailleurs, aux termes de l’article 6.3 du RGPD, le fondement juridique peut aussi “contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement (…)”.
29. La Chambre Contentieuse souligne à cet égard que conformément à l’article 6.3 du RGPD précité, lu conjointement avec l’article 22 de la Constitution, et à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, une norme législative doit définir les caractéristiques essentielles d’un traitement de données, nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.13 La Chambre Contentieuse souligne que le traitement en question doit être encadré par une norme suffisamment claire et précise dont l’application doit être prévisible pour les personnes concernées. Conformément à l’article 6.3 du RGPD, la ou les finalités précises du traitement doivent être reprises dans la norme légale proprement dite. En outre, les éléments suivants doivent être prévisibles : l’identité du (ou des) responsable(s) du traitement ; les catégories de données traitées, étant entendu que celles-ci doivent s’avérer – conformément à l’article 5.1 du RGPD, “adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées” ; les catégories de personnes concernées dont les données seront traitées ; la durée de conservation des données ; les destinataires ou catégories de destinataires auxquels leurs données sont communiquées et les circonstances dans lesquelles et les raisons pour lesquelles elles seront communiquées ainsi que l’éventuelle limitation des obligations et/ou des droits visé(e)s au articles 5, 12 à 22 inclus et 34 du RGPD.
30. À cet égard, la Chambre Contentieuse souligne toutefois que les missions d’intérêt public ou relevant de l’exercice de l’autorité publique dont sont investis les responsables du traitement ne sont souvent pas basées sur des obligations ou des normes législatives circonscrites avec précision répondant aux exigences mentionnées au point 28, plus précisément la définition des caractéristiques essentielles du traitement de données. Les traitements ont plutôt lieu sur la base d’une autorisation d’agir plus générale, tel que c’est nécessaire pour l’accomplissement de la mission. Il en résulte que dans la pratique, la base légale en question ne contient souvent aucune disposition décrivant concrètement les traitements de données nécessaires. Les responsables du traitement qui souhaitent invoquer l’article 6.1.e) du RGPD sur la base d’une telle base légale doivent alors effectuer eux-mêmes une pondération entre la nécessité du traitement pour la mission d’intérêt public et les intérêts des personnes concernées.
31. Le défendeur se réfère également au considérant 47 du RGPD qui dispose que les traitements de données à caractère personnel strictement nécessaires à des fins de prévention de la fraude constituent également un intérêt légitime du responsable du traitement. La Chambre Contentieuse souligne que la base juridique ‘intérêt légitime’ telle que prévue à l’article 6.1.f) du RGPD ne s’applique pas aux traitements réalisés par des organismes ayant une fonction de droit public dans le cadre de l’exécution de leurs tâches.14
32. Enfin, le défendeur avance que le traitement en question trouve son fondement dans le consentement des plaignants et que le traitement est dès lors licite en vertu de l’article 6.1.a) du RGPD. Ce consentement découlerait de la signature d’une déclaration sur l’honneur dans laquelle le locataire confirme ne détenir aucun bien immobilier. Cette déclaration, qui a été rédigée par la VMSW, prévoit plus particulièrement ce qui suit :
“La présente déclaration sur l’honneur sert à vérifier si la condition de propriété imposée est respectée. La déclaration faite sera contrôlée par le service public compétent.” [Traduction libre réalisée par le Secrétariat Général de l’Autorité de protection des données, en l’absence de traduction officielle].
33. La Chambre Contentieuse affirme que le consentement peut certes constituer un fondement licite pour le traitement, comme défini à l’article 6.1.a) du RGPD, mais ajoute qu’à partir du moment où les traitements sont basés sur le consentement de la personne concernée, plusieurs conditions s’appliquent à ce consentement. Le consentement doit être libre, spécifique, éclairé et enfin univoque15. Dans ce cadre, le considérant 43 du RGPD dispose qu’il n’est pas question d’un consentement libre en cas de déséquilibre manifeste entre les parties ou si le fait de ne pas donner son consentement génère un désavantage évident pour les personnes concernées. En l’espèce, il y a un déséquilibre manifeste entre la personne concernée et la société de logement social ayant un statut spécifique de droit public en tant que responsable du traitement. En outre, le (candidat) locataire social n’a pas réellement le choix de refuser sans subir de conséquences négatives. En cas de refus, il n’entre en effet plus en ligne de compte pour un logement social. La Chambre Contentieuse souligne qu’un consentement requis légalement ne peut pas constituer un fondement licite du traitement, conformément à l’article 6.1.a) du RGPD étant donné qu’il ne peut pas être donné librement par la personne concernée.
34. Vu ce qui précède, la Chambre Contentieuse constate que le consentement ne peut pas constituer la base de licéité pour les traitements en question.
35. Dans la présente décision, la Chambre Contentieuse se limite à ces considérations générales à propos du fondement juridique. La Chambre Contentieuse a observé cette problématique sociale et l’analysera plus avant lorsqu’elle sera saisie d’autres procédures à ce sujet.
III. Publication de la décision
36. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l’Autorité de protection des données. Toutefois, il n’est pas nécessaire à cette fin que les données d’identification des parties soient directement communiquées.
PAR CES MOTIFS,
la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération, en vertu de l’article 100, § 1er, 1° de la LCA, de classer la présente plainte sans suite.
En vertu de l’article 108, § 1er de la LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des marchés dans un délai de trente jours à compter de sa notification, avec l’Autorité de protection des données en qualité de défenderesse.
(sé.) Hielke Hijmans
Président de la Chambre Contentieuse

Document PDF ECLI:BE:GBAPD:2021:DEC.20211110.3

Publication(s) liée(s)

précédé par:

ECLI:BE:GBAPD:2021:AVIS.20210712.1

Imprimer cette page
 

Taille d’impression

S
M
L
XL

 

Nouvelle recherche JUPORTAL
 

Fermer l’onglet

✉ [email protected]

©  2017-2026 Service ICT – SPF Justice

Powered by PHP 8.5.0

Server Software Apache/2.4.66

== Fluctuat nec mergitur ==