{"id":693911,"date":"2026-04-26T15:23:54","date_gmt":"2026-04-26T13:23:54","guid":{"rendered":"https:\/\/kohenavocats.com\/jurisprudences\/eclibegbapd2021dec-20210426-1\/"},"modified":"2026-04-26T15:23:54","modified_gmt":"2026-04-26T13:23:54","slug":"eclibegbapd2021dec-20210426-1","status":"publish","type":"kji_decision","link":"https:\/\/kohenavocats.com\/zh-hans\/jurisprudences\/eclibegbapd2021dec-20210426-1\/","title":{"rendered":"ECLI:BE:GBAPD:2021:DEC.20210426.1"},"content":{"rendered":"
\n
JUPORTAL Base de donn\u00e9es publique de la jurisprudence belge<\/p>\n

<\/p>\n

<\/p>\n

Imprimer cette page
\n   <\/p>\n

Taille d’impression <\/p>\n

S
\n M
\n L
\n XL<\/p>\n

  <\/p>\n

Nouvelle recherche JUPORTAL
\n   <\/p>\n

Fermer l’onglet <\/p>\n

<\/p>\n

 
\nAutorit\u00e9 de protection des donn\u00e9es <\/p>\n

D\u00e9cision du 26 avril 2021 <\/p>\n

No ECLI:<\/p>\n

ECLI:BE:GBAPD:2021:DEC.20210426.1<\/p>\n

No R\u00f4le:<\/p>\n

56\/2021<\/p>\n

Domaine juridique:<\/p>\n

\n Droit civil<\/p>\n

Date d’introduction:<\/p>\n

2025-08-27<\/p>\n

Consultations:<\/p>\n

65 – derni\u00e8re vue 2026-04-14 17:36<\/p>\n

Fiche <\/p>\n

La Chambre Contentieuse de l'Autorit\u00e9 de protection des donn\u00e9es
\n d\u00e9cide, apr\u00e8s d\u00e9lib\u00e9ration : – d'ordonner \u00e0 la d\u00e9fenderesse,
\n conform\u00e9ment \u00e0 l'article 100, \u00a7 1er, 9\u00b0 de la LCA, de mettre
\n l'acc\u00e8s au registre CCP de la BNB par les employ\u00e9s cadres en conformit\u00e9
\n avec les articles 5.1.f et 32 du RGPD. \u00c0 cet effet, la Chambre Contentieuse
\n accorde \u00e0 la d\u00e9fenderesse un d\u00e9lai de trois mois et attend qu'elle
\n lui fasse un rapport dans le m\u00eame d\u00e9lai concernant la mise en conformit\u00e9
\n du traitement avec les dispositions susmentionn\u00e9es. – en vertu de l'article
\n 83 du RGPD et des articles 100, 13\u00b0 et 101 de la LCA, d'infliger
\n au d\u00e9fendeur une amende administrative de 100.000 euros pour violation
\n des articles susmentionn\u00e9s.\n <\/p>\n

Th\u00e9saurus UTU:<\/p>\n

DROIT CIVIL – VIE PRIV\u00c9E – Traitement donn\u00e9es \u00e0 caract\u00e8re personnel – Autorit\u00e9 de protection des donn\u00e9es (Commission de la protection de la vie priv\u00e9e)\n <\/p>\n

Mots libres:<\/p>\n

\nPlainte pour consultation illicite des donn\u00e9es personnelles et refus
\n de droit d'acc\u00e8s. (DOS-2019-02288)<\/p>\n

Bases l\u00e9gales:<\/p>\n

Loi – 03-12-2017 – 100,13\u00b0 – 11
\n Lien ELI No pub 2017031916
\nLoi – 03-12-2017 – 100,\u00a71,9\u00b0 – 11
\n Lien ELI No pub 2017031916
\nLoi – 03-12-2017 – 101 – 11
\n Lien ELI No pub 2017031916\n<\/p>\n

Texte de la d\u00e9cision <\/p>\n

\n Chambre Contentieuse
\n D\u00e9cision quant au fond 56\/2021 du 26 avril 2021
\n N\u00b0 de dossier : DOS-2019-02288
\n Objet : Plainte pour consultation illicite des donn\u00e9es personnelles et refus de droit d’acc\u00e8s
\n La Chambre Contentieuse de l’Autorit\u00e9 de protection des donn\u00e9es, constitu\u00e9e de Monsieur Hielke Hijmans, pr\u00e9sident, et de Messieurs Yves Poullet et Christophe Boeraeve, membres, reprenant l\u2019affaire en cette composition ;
\n Vu le R\u00e8glement (UE) 2016\/679 du Parlement europ\u00e9en et du Conseil du 27 avril 2016 relatif \u00e0 la protection des personnes physiques \u00e0 l’\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel et \u00e0 la libre circulation de ces donn\u00e9es, et abrogeant la directive 95\/46\/CE (r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es), ci-apr\u00e8s RGPD;
\n Vu la loi du 3 d\u00e9cembre 2017 portant cr\u00e9ation de l’Autorit\u00e9 de protection des donn\u00e9es (ci-apr\u00e8s LCA);
\n Vu le r\u00e8glement d’ordre int\u00e9rieur tel qu’approuv\u00e9 par la Chambre des repr\u00e9sentants le 20 d\u00e9cembre 2018 et publi\u00e9 au Moniteur belge le 15 janvier 2019 ;
\n Vu les pi\u00e8ces du dossier ;
\n A pris la d\u00e9cision suivante concernant :
\n – La plaignante : Mme X, repr\u00e9sent\u00e9e par son conseil Ma\u00eetre Victor Rouard, Avenue des arts 46, \u00e0 1000 Bruxelles,
\n – La d\u00e9fenderesse : La Y, repr\u00e9sent\u00e9e par ses conseils, Ma\u00eetre Didier Putzeys et Me Bernadette De Graeuwe, avenue Brigade Piron 132 \u00e0 1080 Bruxelles.
\n 1. R\u00e9troactes de la proc\u00e9dure
\n 1. Vu la premi\u00e8re plainte d\u00e9pos\u00e9e le 15 avril 2019 par la plaignante \u00e0 l\u2019Autorit\u00e9 de protection des donn\u00e9es (APD), suivie d\u2019une seconde plainte d\u00e9pos\u00e9e le 20 avril 2020 ;
\n 2. Vu la d\u00e9cision du 21 avril 2020 du Service de premi\u00e8re ligne de l\u2019Autorit\u00e9 de protection des donn\u00e9es (ci-apr\u00e8s \u00ab APD \u00bb) d\u00e9clarant la plainte recevable et la transmission de celle-ci \u00e0 la Chambre Contentieuse \u00e0 cette m\u00eame date ;
\n Vu la communication du 31 juillet 2020 de la Chambre Contentieuse informant les parties de sa d\u00e9cision de consid\u00e9rer le dossier comme \u00e9tant pr\u00eat pour traitement au fond sur la base de l\u2019article 98 LCA, et l\u2019envoi du calendrier d\u2019\u00e9change de conclusions ;
\n 3. Vu les conclusions de la d\u00e9fenderesse, re\u00e7ues le 8 septembre 2020 ;
\n 4. Vu les conclusions du plaignant, re\u00e7ues le 30 septembre 2020 ;
\n 5. Vu les conclusions de synth\u00e8se de la d\u00e9fenderesse, re\u00e7ues le 21 octobre 2020.
\n 6. Vu l\u2019audition du 07 janvier 2021 en pr\u00e9sence de la plaignante, son conseil Me Rouard, ainsi que la d\u00e9fenderesse repr\u00e9sent\u00e9e par son conseil Me De Graeuwe, de m\u00eame que la DPO, Mme Z1 , et le Compliance Officer, M.Z2 ;
\n 7. Vu l\u2019envoi aux parties du PV d\u2019audition et les commentaires des parties ;
\n 8. Vu la disjonction des proc\u00e9dures contre l\u2019ex-mari de la plaignante et contre la d\u00e9fenderesse ;
\n 9. Vu le formulaire d\u2019amende envoy\u00e9 \u00e0 la partie d\u00e9fenderesse et ses observations.
\n 2. Les faits et l\u2019objet de la plainte
\n 10. La plaignante apprend en avril 2019 que vingt consultations ont \u00e9t\u00e9 faites de ses donn\u00e9es \u00e0 caract\u00e8re personnel h\u00e9berg\u00e9es dans son fichier \u00e0 la Centrale des Cr\u00e9dits aux Particuliers (ci-apr\u00e8s CCP) \u00e0 la Banque Nationale Belge (ci-apr\u00e8s BNB) par la d\u00e9fenderesse entre 2016 et 2018.
\n 11. La d\u00e9fenderesse est active dans le secteur des services financiers, dont les cr\u00e9dits aux particuliers.
\n L\u2019ex-\u00e9poux de la plaignante, avec lequel elle \u00e9tait en instance de sortie d\u2019indivision suite \u00e0 leur divorce depuis 2015, est employ\u00e9 par la d\u00e9fenderesse. La plaignante avance qu\u2019en consultant ses donn\u00e9es dans son fichier \u00e0 la BNB et ainsi les informations relatives \u00e0 ses cr\u00e9dits, son ex-mari a pris l\u2019ascendant dans l\u2019indivision et lui aurait caus\u00e9 un pr\u00e9judice financier et moral.
\n 12. L\u2019ex-mari de la plaignante a par ailleurs reconnu avoir consult\u00e9 abusivement les donn\u00e9es de celle-ci1.
\n 13. Le 14 novembre 2018 la plaignante s\u2019adresse \u00e0 la BNB afin de demander la liste des organismes financiers qui ont consult\u00e9 le fichier de la CCP \u00e0 son nom.
\n 14. Le 24 janvier 2019 la plaignante s\u2019adresse \u00e0 la d\u00e9fenderesse afin de demander \u00ab quels sont vos crit\u00e8res pour consulter les fichiers de la Banque Nationale de vos clients et savoir si Y ou toute autre personne est autoris\u00e9 \u00e0 les consulter sans demande sp\u00e9cifique de financement. \u00bb
\n 15. Le 1 f\u00e9vrier 2019, l\u2019ancien Data Protection Officer (DPO) de la d\u00e9fenderesse, lui r\u00e9pond que les fichiers de la CCP \u00absont uniquement consult\u00e9s dans le cadre de l\u2019octroi ou de la gestion de cr\u00e9dits ou de services de paiement, susceptibles de grever le patrimoine priv\u00e9 d\u2019une personne physique et dont l\u2019ex\u00e9cution peut \u00eatre poursuivi (sic) sur le patrimoine priv\u00e9 de cette personne. \u00bb.
\n 16. Or, la plaignante explique n\u2019avoir aucun dossier de cr\u00e9dit ouvert chez la d\u00e9fenderesse. Lors de l\u2019audition du 7 janvier 2021, la DPO de la d\u00e9fenderesse a confirm\u00e9 que la plaignante n\u2019a pas de dossier en cours, mais bien un dossier cl\u00f4tur\u00e9 chez elle, ce qui explique d\u2019un point de vue technique que l\u2019ex-\u00e9poux ait pu acc\u00e9der au fichier CCP.
\n 17. Le 13 mars 2019 la plaignante demande quelles sont les sanctions encourues par un employ\u00e9 qui ne respecte pas les r\u00e8gles en mati\u00e8re de protection des donn\u00e9es. Le DPO r\u00e9pond le 21 mars 2019 en demandant un compl\u00e9ment d\u2019informations. Il propose un entretien t\u00e9l\u00e9phonique afin de faciliter la communication.
\n 18. La plaignante r\u00e9pond en acceptant mais en pr\u00e9cisant que \u00ab c\u2019est tr\u00e8s d\u00e9licat, car dans un premier temps je n\u2019ai pas envie de porter pr\u00e9judice \u00e0 qui que ce soit m\u00eame si j\u2019ai des preuves officielles \u00bb.
\n L\u2019entretien t\u00e9l\u00e9phonique entre la nouvelle DPO de la d\u00e9fenderesse et la plaignante a bien eu lieu.
\n 19. Dans un mail du 5 avril 2019 la plaignante fait \u00e9tat du d\u00e9tail des consultations de son fichier \u00e0 la CCP, re\u00e7u de la BNB le 14 novembre 2018, qui porte sur une p\u00e9riode allant d\u2019avril 2016 \u00e0 ao\u00fbt 2018.
\n 20. Elle joint ce document \u00e0 son mail. Dans ce mail, elle accuse son ex-mari d\u2019\u00eatre l\u2019auteur des 20 consultations par la d\u00e9fenderesse de son fichier \u00e0 la CCP depuis 2016.
\n 21. Elle ne demande pas confirmation de ses all\u00e9gations mais avant de d\u00e9poser plainte contre son ex-mari, elle demande les sanctions encourues par celui-ci pour avoir commis cette intrusion dans sa vie priv\u00e9e.
\n 22. Le 11 avril 2019, la nouvelle DPO de la d\u00e9fenderesse
\n – r\u00e9pond qu\u2019elle ne dispose pas des \u00e9l\u00e9ments lui permettant de justifier toutes les consultations reprises dans la liste fournie par la BNB,
\n – confirme les r\u00e8gles de consultation du registre de la BNB applicables aux employ\u00e9s de la d\u00e9fenderesse,
\n – confirme l\u2019existence de mesures disciplinaires \u00e0 l\u2019encontre des employ\u00e9s ne respectant pas ces r\u00e8gles, et
\n – refuse de r\u00e9pondre aux questions de la plaignante sur la nature de la sanction inflig\u00e9e \u00e0 son ex-mari, au titre de la vie priv\u00e9e des employ\u00e9s de la SA.
\n 23. Le 15 avril 2019, la plaignante introduit une premi\u00e8re plainte aupr\u00e8s de l\u2019APD pour consultations illicites de ses donn\u00e9es \u00e0 la BNB par son ex-mari, via ses fonctions chez la d\u00e9fenderesse, et demande \u00e0 \u00eatre inform\u00e9e des sanctions encourues par son ex-mari.
\n 24. Le 5 septembre 2019 le Service de Premi\u00e8re Ligne (\u00ab SPL \u00bb) de l\u2019APD prend contact avec la d\u00e9fenderesse pour l\u2019avertir qu\u2019elle avait \u00e9t\u00e9 saisie d\u2019une plainte par la plaignante et demandant la base l\u00e9gale et la justification de la consultation \u00e0 20 reprises, par la d\u00e9fenderesse, des donn\u00e9es de la plaignante dans la banque de donn\u00e9es de la BNB. Elle lui demande \u00e9galement de communiquer \u00e0 la plaignante la liste de toutes les consultations de la base de donn\u00e9es de la CCP, l\u2019identit\u00e9 des personnes ayant consult\u00e9, ainsi que les donn\u00e9es consult\u00e9es.
\n 25. Le 13 septembre 2019 la d\u00e9fenderesse r\u00e9pond \u00e0 l\u2019APD :
\n – qu\u2019elle n\u2019a jamais approuv\u00e9, ni tol\u00e9r\u00e9 la consultation faite par l\u2019un de ses employ\u00e9s, des donn\u00e9es relatives \u00e0 la plaignante se trouvant dans la CCP ;
\n – que toute consultation faite en dehors du cadre de la conclusion d\u2019un contrat de cr\u00e9dit \u00e0 la consommation ou de la gestion de celui-ci est interdite ;
\n – que des mesures de contr\u00f4le et une proc\u00e9dure disciplinaire existent pour \u00e9viter et sanctionner de tels agissements et que l\u2019auteur de ces consultations illicites a \u00e9t\u00e9 sanctionn\u00e9 ;
\n – qu\u2019elle ne peut pas donner de base l\u00e9gale, ces consultations ayant \u00e9t\u00e9 faites en dehors des proc\u00e9dures normales, elle ne peut pas non plus indiquer les noms des personnes ayant consult\u00e9, ni les donn\u00e9es consult\u00e9es, ni communiquer la liste de ces consultations car le syst\u00e8me informatique ne permet pas de garder des traces du traitement tel qu\u2019effectu\u00e9 par l\u2019ex-mari de la plaignante En effet, l\u2019ex-mari de la plaignante, en sa qualit\u00e9 de cadre, dispose d\u2019un acc\u00e8s diff\u00e9rent de celui des employ\u00e9s non cadres (\u00ab collaborateurs \u00bb) au registre de la BNB. Les sp\u00e9cificit\u00e9s techniques de ce syst\u00e8me d\u2019acc\u00e8s emp\u00eachent, selon la d\u00e9fenderesse, la conservation de toute trace des consultations qu\u2019il a faites2.
\n 26. Le 21 octobre 2019 le SPL r\u00e9pond qu\u2019il revient au responsable du traitement d\u2019assurer la s\u00e9curit\u00e9 et la confidentialit\u00e9 des donn\u00e9es qu\u2019il collecte et doit r\u00e9pondre \u00e0 la demande d\u2019acc\u00e8s conform\u00e9ment \u00e0 l\u2019article 15 RGPD. La plaignante a d\u00e8s lors le droit d\u2019obtenir la liste des donn\u00e9es qui ont \u00e9t\u00e9 consult\u00e9es, l\u2019identit\u00e9 des personnes ayant consult\u00e9, la finalit\u00e9 et la base l\u00e9gale. Ces informations ne sont pas transmises \u00e0 la plaignante.
\n 27. Le 20 avril 2020 la plaignante d\u00e9pose une nouvelle plainte \u00e0 l\u2019APD contre son ex-mari et contre la d\u00e9fenderesse pour consultation abusive de ses fichiers personnels aupr\u00e8s de la BNB via les fonctions de son ex-mari au sein de la d\u00e9fenderesse. Elle demande aussi \u00e0 ce que son ex-mari soit sanctionn\u00e9 de mani\u00e8re ad\u00e9quate et \u00eatre inform\u00e9e de cette sanction.
\n 28. Suite \u00e0 la disjonction des proc\u00e9dures, les parties ont \u00e9t\u00e9 inform\u00e9es que le volet de la plainte relatif \u00e0 l\u2019ex-mari de la plaignante sera examin\u00e9 dans un dossier s\u00e9par\u00e9. La pr\u00e9sente d\u00e9cision couvre uniquement le volet de la plainte relatif \u00e0 la d\u00e9fenderesse.
\n 29. L\u2019analyse juridique de la plainte – corrobor\u00e9e par les conclusions d\u00e9pos\u00e9es par la plaignante – indique que celle-ci soul\u00e8ve :
\n -la violation des principes de finalit\u00e9, loyaut\u00e9, transparence, et information (articles 5,12,13,14 RGPD) ;
\n – la violation des obligations de s\u00e9curit\u00e9 (article 32, combin\u00e9 aux articles 5.2 et 24 du RGPD
\n – l\u2019absence d\u2019ind\u00e9pendance du DPO (article 38 RGPD) ;
\n – l\u2019absence de facilitation par Y dans l\u2019exercice par la demanderesse de ses droits et violation de son droit d\u2019acc\u00e8s.
\n 30. La plaignante invite dans ses conclusions la Chambre Contentieuse \u00e0 :
\n – ordonner \u00e0 la d\u00e9fenderesse de lui transmettre un relev\u00e9 de l\u2019ensemble des consultations de ses donn\u00e9es par la d\u00e9fenderesse (avec la date, identit\u00e9 de la personne ayant consult\u00e9, lic\u00e9it\u00e9 ou non de la consultation) ;
\n – ordonner \u00e0 la d\u00e9fenderesse de mettre en conformit\u00e9 le traitement des donn\u00e9es consult\u00e9es dans le cadre de ses activit\u00e9s et lui faire parvenir les mesures correctives instaur\u00e9es afin d\u2019assurer la s\u00e9curisation des traitements ;
\n – imposer une amende \u00e0 la d\u00e9fenderesse en tenant compte de la gravit\u00e9 des violations, de sa dur\u00e9e, du nombre de personnes concern\u00e9es, et de l\u2019attitude de la d\u00e9fenderesse.
\n 31. La d\u00e9fenderesse r\u00e9fute les griefs.
\n 3- Quant aux motifs de la d\u00e9cision
\n I- Sur la comp\u00e9tence de l\u2019APD
\n 32. En application de l\u2019article 4.1 LCA, l’APD est responsable du contr\u00f4le des principes de la protection des donn\u00e9es, tels qu\u2019affirm\u00e9s par le RGPD et d\u2019autres lois contenant des dispositions relatives \u00e0 la protection du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel.
\n 33. En application de l\u2019article 33.1 LCA, la Chambre Contentieuse est l\u2019organe de contentieux administratif de l\u2019APD3. Elle est saisie des plaintes que le SPL lui transmet en application de l\u2019article 62.1 LCA, soit des plaintes recevables d\u00e8s lors que conform\u00e9ment \u00e0 l\u2019article 60 alin\u00e9a 2 LCA, ces plaintes sont r\u00e9dig\u00e9es dans l’une des langues nationales, contiennent un expos\u00e9 des faits et les indications n\u00e9cessaires pour identifier le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel sur lequel elles portent et rel\u00e8vent de la comp\u00e9tence de l’APD.
\n 34. En application des articles 51 et s. du RGPD et de l\u2019article 4.1 LCA, il revient \u00e0 la Chambre Contentieuse en tant qu\u2019organe de contentieux administratif de l\u2019APD, d\u2019exercer un contr\u00f4le effectif de l\u2019application du RGPD et de prot\u00e9ger les libert\u00e9s et droits fondamentaux des personnes physiques \u00e0 l’\u00e9gard du traitement et de faciliter le libre flux des donn\u00e9es \u00e0 caract\u00e8re personnel au sein de l’Union.
\n 35. Comme la Chambre Contentieuse a d\u00e9j\u00e0 eu l\u2019occasion de l\u2019\u00e9noncer 4, des traitements de donn\u00e9es sont op\u00e9r\u00e9s dans de multiples secteurs d\u2019activit\u00e9, notamment dans le cadre professionnel comme dans le cas d\u2019esp\u00e8ce. Il n\u2019en demeure pas moins que la comp\u00e9tence de l\u2019APD en g\u00e9n\u00e9ral, et de la Chambre Contentieuse en particulier, est limit\u00e9e au contr\u00f4le du respect de la r\u00e8glementation applicable aux traitements de donn\u00e9es, quel que soit le secteur d\u2019activit\u00e9 dans lequel ces traitements de donn\u00e9es interviennent. Son r\u00f4le n\u2019est pas de se substituer aux juridictions de l\u2019ordre judiciaire dans l\u2019exercice des comp\u00e9tences qui sont les leurs. D\u00e8s lors, comme la d\u00e9fenderesse rel\u00e8ve par ailleurs dans ses conclusions, la Chambre Contentieuse n\u2019est pas comp\u00e9tente pour se prononcer sur la teneur de la sanction disciplinaire impos\u00e9e par la d\u00e9fenderesse \u00e0 l\u2019ex-\u00e9poux de la plaignante, suite aux consultations illicites qu\u2019il a op\u00e9r\u00e9es. N\u00e9anmoins, conform\u00e9ment \u00e0 l\u2019article 51 RGPD, l\u2019APD demeure comp\u00e9tente pour v\u00e9rifier l\u2019effectivit\u00e9 des mesures organisationnelles mises en place en cas de violation des dispositions du RGPD, notamment celles relatives \u00e0 la s\u00e9curit\u00e9 des traitements. Dans cette mesure, l\u2019APD se r\u00e9serve le droit d\u2019obtenir la communication par la d\u00e9fenderesse de la nature de la sanction disciplinaire impos\u00e9e \u00e0 l\u2019ex-mari de la plaignante, ainsi que toute autre mesure mise en place pour \u00e9viter de nouveaux traitements illicites par les employ\u00e9s de la d\u00e9fenderesse.
\n 36. Comme indiqu\u00e9 supra, suite \u00e0 la d\u00e9cision de la Chambre Contentieuse de disjoindre les proc\u00e9dures, la pr\u00e9sente d\u00e9cision n\u2019examine pas le volet de la plainte relatif \u00e0 l\u2019ex-mari de la plaignante, mais uniquement le volet relatif \u00e0 la d\u00e9fenderesse. Dans la mesure o\u00f9 la d\u00e9fenderesse est active dans le secteur bancaire et traite des volumes importants de donn\u00e9es financi\u00e8res sensibles, et prenant en consid\u00e9ration qu\u2019elle fait partie d\u2019une multinationale occupant plus de 10.000 employ\u00e9s en Belgique , ainsi qu\u2019au vu du fait que l\u2019exercice effectif des droits des personnes concern\u00e9es (dont le droit d\u2019acc\u00e8s) fait partie des priorit\u00e9s th\u00e9matiques de l\u2019APD 5, la Chambre Contentieuse estime opportun d\u2019examiner par priorit\u00e9 ce volet de la plainte.
\n 37. La Chambre rel\u00e8ve aussi que le conflit entre la plaignante et son ex-mari est li\u00e9 au divorce entre eux et \u00e0 leur sortie d\u2019indivision, aspects qui ne rel\u00e8vent pas du droit \u00e0 la protection des donn\u00e9es.
\n 38. Pour le surplus, la Chambre Contentieuse note que si elle n\u2019est pas comp\u00e9tente pour les consultations illicites ayant eu lieu avant le 25 mai 2018, date d\u2019entr\u00e9e en vigueur du RGPD, elle l\u2019est bien pour les consultations ult\u00e9rieures. Dans la mesure o\u00f9 les consultations se sont \u00e9tendues jusqu\u2019en ao\u00fbt 2018, la Chambre Contentieuse est bien comp\u00e9tente.
\n II- Sur le fond
\n II.1- Quant \u00e0 la qualit\u00e9 de responsable du traitement et de sous-traitant
\n II.1.1- D\u00e9finitions et qualit\u00e9 de responsable du traitement et de sous-traitant
\n 39. Conform\u00e9ment \u00e0 l\u2019article 4.7 du RGPD, il y a lieu de consid\u00e9rer comme le responsable du traitement: \u00ab la personne physique ou morale, l’autorit\u00e9 publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, d\u00e9termine les finalit\u00e9s et les moyens du traitement. \u00bb
\n 40. L\u2019article 4.8 du RGPD stipule qu\u2019il y a lieu de consid\u00e9rer comme le sous-traitant : \u00ab la personne physique ou morale, l’autorit\u00e9 publique, le service ou un autre organisme qui traite des donn\u00e9es \u00e0 caract\u00e8re personnel pour le compte du responsable du traitement. \u00bb
\n 41. L\u2019Autorit\u00e9 de Protection des Donn\u00e9es a par ailleurs sp\u00e9cifi\u00e9 les aspects suivants sur la qualit\u00e9 de sous-traitant :\u00ab L\u2019existence de la sous-traitance d\u00e9pend du responsable de traitement qui doit avoir d\u00e9cid\u00e9 de ne pas r\u00e9aliser lui-m\u00eame le traitement dont il maitrise la ou les finalit\u00e9s et\/ou moyens mais d\u2019en d\u00e9l\u00e9guer tout ou une partie des op\u00e9rations \u00e0 une autre personne ou organisation ext\u00e9rieure que la sienne. Cette autre personne doit \u00eatre juridiquement distincte de l\u2019organisation du responsable de traitement et doit r\u00e9aliser les op\u00e9rations de traitement de donn\u00e9es \u00e0 caract\u00e8re personnel d\u00e9l\u00e9gu\u00e9es pour le compte de ce dernier et conform\u00e9ment \u00e0 ses instructions document\u00e9es. \u00bb6 (nous soulignons).
\n 42. Conform\u00e9ment aux Lignes directrices 07\/2020 de l\u2019EDPB7, la Chambre Contentieuse \u00e9value concr\u00e8tement le r\u00f4le et la qualit\u00e9 du (des) responsable(s) du traitement concern\u00e9(s).
\n 43. En l\u2019occurrence, la Chambre Contentieuse constate que c\u2019est bien la d\u00e9fenderesse qui d\u00e9termine les finalit\u00e9s et les moyens du traitement. En effet, les consultations de la CCP de la BNB sont effectu\u00e9es uniquement dans le cadre de l\u2019octroi de cr\u00e9dit aux particuliers ou dans la gestion de ces dossiers. C\u2019est par ailleurs la d\u00e9fenderesse qui met \u00e0 disposition les moyens pour effectuer ce traitement (via ses syst\u00e8mes informatiques). Elle doit donc \u00eatre consid\u00e9r\u00e9e comme un responsable de traitement.
\n 44. Il convient n\u00e9anmoins de souligner d\u2019embl\u00e9e que, comme le rappelle la CJUE dans son arr\u00eat Wirtschaftsakademie du 5 juin 2018, \u00ab la notion de \u00ab responsable du traitement \u00bb vise l\u2019organisme qui, \u00ab seul ou conjointement avec d\u2019autres \u00bb, d\u00e9termine les finalit\u00e9s et les moyens du traitement de donn\u00e9es \u00e0 caract\u00e8re personnel, cette notion ne renvoie pas n\u00e9cessairement \u00e0 un organisme unique et peut concerner plusieurs acteurs (\u2026)\u00bb8. Que la d\u00e9fenderesse soit responsable de traitement pour les consultations de ses employ\u00e9s au registre CCP ne signifie donc pas, dans le cas d\u2019esp\u00e8ce, qu\u2019elle seule corresponde \u00e0 cette qualit\u00e9. Il convient en effet de distinguer les consultations au registre CCP dans le cadre des finalit\u00e9s de la d\u00e9fenderesse (octroi ou gestion de cr\u00e9dits), des consultations abusives op\u00e9r\u00e9es \u00e0 des fins priv\u00e9es par l\u2019ex-mari de la plaignante.
\n Comme il est indiqu\u00e9 ci-dessous, bien qu\u2019il ait utilis\u00e9 les moyens mis \u00e0 sa disposition par la d\u00e9fenderesse, dans la mesure o\u00f9 l\u2019ex-mari de la d\u00e9fenderesse a op\u00e9r\u00e9 les consultations litigieuses en dehors du cadre de ses t\u00e2ches en tant qu\u2019employ\u00e9 de la d\u00e9fenderesse, il doit \u00eatre consid\u00e9r\u00e9 comme responsable de traitement pour ces consultations abusives sp\u00e9cifiquement.
\n 45. Comme l\u2019indique l\u2019EDPB, ceci n\u2019exempte n\u00e9anmoins en rien la d\u00e9fenderesse, en tant que responsable du traitement, des consultations au registre de la CCP, de son obligation d\u2019assurer la s\u00e9curit\u00e9 des traitements9. Cet aspect est d\u00e9velopp\u00e9 infra (voir II.1.2- Sur la responsabilit\u00e9 du responsable de traitement).
\n 46. En ce qui concerne la qualit\u00e9 de sous-traitant, la Chambre Contentieuse estime que la plaignante ne peut \u00eatre suivie dans son argumentation selon laquelle l\u2019ex-mari de la plaignante est sous-traitant de la d\u00e9fenderesse. En effet, les deux conditions mentionn\u00e9es supra ne sont pas remplies.
\n L\u2019ex-mari de la plaignante, en tant qu\u2019employ\u00e9, n\u2019est pas une entit\u00e9 juridique distincte de la d\u00e9fenderesse, et il n\u2019 a pas effectu\u00e9 le traitement pour le compte et sur base des instructions de la d\u00e9fenderesse.
\n 47. D\u00e8s lors, le grief du non-respect des obligations relatives \u00e0 la sous-traitance (article 28 RGPD) tel que d\u00e9velopp\u00e9 par la plaignante est non pertinent, et n\u2019est pas examin\u00e9 plus avant dans le cadre de cette d\u00e9cision.
\n II.1.2- Sur la responsabilit\u00e9 du responsable de traitement
\n 48. La d\u00e9fenderesse se r\u00e9f\u00e8re \u00e0 l\u2019avis 1\/2010 du Groupe 29 sur les notions de \u00ab responsable du traitement \u00bb et de \u00ab sous-traitant \u00bb10, pour affirmer qu\u2019elle n\u2019est pas responsable de traitement et que cette qualit\u00e9 doit \u00eatre reconnue dans le chef de l\u2019ex-mari de la plaignante.
\n 49. La Chambre souligne les passages suivants de cet avis (p16-19) :
\n \u00ab Dans la perspective strat\u00e9gique d\u2019attribution des responsabilit\u00e9s, et afin que les personnes concern\u00e9es puissent s’adresser \u00e0 une entit\u00e9 plus stable et plus fiable lorsqu\u2019elles exercent les droits qui leurs sont conf\u00e9r\u00e9s par la directive, il serait pr\u00e9f\u00e9rable de consid\u00e9rer comme responsable du traitement la soci\u00e9t\u00e9 ou l\u2019organisme en tant que tel, plut\u00f4t qu\u2019une personne en son sein. C\u2019est en effet la soci\u00e9t\u00e9 ou l\u2019organisme qu’il convient de consid\u00e9rer, en dernier ressort, comme responsable du traitement des donn\u00e9es et des obligations \u00e9nonc\u00e9es par la l\u00e9gislation relative \u00e0 la protection des donn\u00e9es, \u00e0 moins que certains \u00e9l\u00e9ments pr\u00e9cis n’indiquent qu\u2019une personne physique doit \u00eatre responsable.
\n D\u2019une mani\u00e8re g\u00e9n\u00e9rale, on partira du principe qu\u2019une soci\u00e9t\u00e9 ou un organisme public est responsable en tant que tel des op\u00e9rations de traitement qui se d\u00e9roulent dans son domaine d\u2019activit\u00e9s et de risques.
\n 50. Parfois, les soci\u00e9t\u00e9s et les organismes publics d\u00e9signent une personne pr\u00e9cise pour \u00eatre responsable de l’ex\u00e9cution des op\u00e9rations de traitement. Cependant, m\u00eame lorsqu\u2019une personne physique est d\u00e9sign\u00e9e pour veiller au respect des principes de protection des donn\u00e9es ou pour traiter des donn\u00e9es \u00e0 caract\u00e8re personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (soci\u00e9t\u00e9 ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualit\u00e9 de responsable du traitement. \u00bb (nous soulignons)
\n 51. La d\u00e9fenderesse se r\u00e9f\u00e8re plus sp\u00e9cifiquement au paragraphe suivant de l\u2019avis :
\n \u00ab Une analyse distincte s’impose dans le cas o\u00f9 une personne physique agissant au sein d\u2019une personne morale utilise des donn\u00e9es \u00e0 des fins personnelles, en dehors du cadre et de l\u2019\u00e9ventuel contr\u00f4le des activit\u00e9s de la personne morale. Dans ce cas, la personne physique en cause serait responsable du traitement d\u00e9cid\u00e9, et assumerait la responsabilit\u00e9 de cette utilisation de donn\u00e9es \u00e0 caract\u00e8re personnel. Le responsable du traitement initial pourrait n\u00e9anmoins conserver une certaine part de responsabilit\u00e9 si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de s\u00e9curit\u00e9. \u00bb
\n 52. La Chambre Contentieuse souligne la partie suivante du m\u00eame avis :
\n \u00ab Pour r\u00e9sumer les r\u00e9flexions qui viennent d’\u00eatre expos\u00e9es, il appara\u00eet que la personne responsable en cas de non-respect de la protection des donn\u00e9es est toujours le responsable du traitement, \u00e0 savoir la personne morale (soci\u00e9t\u00e9 ou organisme public) ou la personne physique formellement identifi\u00e9e selon les crit\u00e8res de la directive. Si une personne physique travaillant dans une soci\u00e9t\u00e9 ou un organisme public utilise des donn\u00e9es \u00e0 des fins personnelles, en dehors des activit\u00e9s de la soci\u00e9t\u00e9, elle doit \u00eatre consid\u00e9r\u00e9e comme un responsable du traitement de fait et assumer la responsabilit\u00e9 p\u00e9nale en tant que tel. \u00bb (p18) (nous soulignons)
\n 53. Le Groupe de Travail cite de m\u00eame un exemple :
\n \u00ab Exemple n\u00b0 4: Surveillance secr\u00e8te des employ\u00e9s
\n Un membre du conseil d\u2019administration d\u2019une soci\u00e9t\u00e9 d\u00e9cide de surveiller secr\u00e8tement les employ\u00e9s de la soci\u00e9t\u00e9, alors que cette d\u00e9cision n\u2019a pas officiellement re\u00e7u l\u2019aval du conseil d\u2019administration. La soci\u00e9t\u00e9 doit \u00eatre consid\u00e9r\u00e9e comme responsable du traitement et faire face aux \u00e9ventuelles r\u00e9clamations et poursuites des employ\u00e9s dont les donn\u00e9es \u00e0 caract\u00e8re personnel ont \u00e9t\u00e9 utilis\u00e9es abusivement.
\n La responsabilit\u00e9 juridique de la soci\u00e9t\u00e9 est notamment due au fait qu\u2019en tant que responsable du traitement, elle a l\u2019obligation de garantir le respect des r\u00e8gles de s\u00e9curit\u00e9 et de confidentialit\u00e9. Une utilisation abusive par un dirigeant de la soci\u00e9t\u00e9 ou un employ\u00e9 pourrait \u00eatre consid\u00e9r\u00e9e comme le r\u00e9sultat de mesures de s\u00e9curit\u00e9 inappropri\u00e9es.
\n Il importe \u00e0 cet \u00e9gard que le membre du conseil d\u2019administration ou d\u2019autres personnes physiques dans la soci\u00e9t\u00e9 soient ult\u00e9rieurement tenues pour responsables, tant en mati\u00e8re civile (\u00e9galement envers la soci\u00e9t\u00e9) que p\u00e9nale. Cela pourrait notamment \u00eatre le cas si le membre du conseil s’est servi des donn\u00e9es collect\u00e9es pour obtenir des faveurs personnelles des employ\u00e9s: il devrait alors \u00eatre consid\u00e9r\u00e9 comme \u00abresponsable du traitement\u00bb et voir sa responsabilit\u00e9 engag\u00e9e pour cette utilisation des donn\u00e9es. \u00bb (p18-19)
\n 54. Cet avis 1\/2010 a \u00e9t\u00e9 remplac\u00e9 par des Lignes directrices 07\/2020 de l\u2019EDPB (successeur du Groupe 29), selon lesquelles :
\n \u201cWhereas the terms \u201cpersonal data\u201d, \u201cdata subject\u201d, \u201ccontroller\u201d and \u201cprocessor\u201d are defined in the Regulation, the concept of \u201cpersons who, under the direct authority of the controller or processor, are authorised to process personal data\u201d is not. It is, however, generally understood as referring to persons that belong to the legal entity of the controller or processor (an employee or a role highly comparable to that of employees, e.g. interim staff provided via a temporary employment agency) but only insofar as they are authorized to process personal data.\u201d11
\n (traduction libre:
\n 55. Alors que les termes “donn\u00e9es \u00e0 caract\u00e8re personnel”, “personne concern\u00e9e”, “responsable du traitement” et “sous-traitant” sont d\u00e9finis dans le r\u00e8glement, la notion de “personnes qui, sous l’autorit\u00e9 directe du responsable du traitement ou du sous-traitant, sont autoris\u00e9es \u00e0 traiter des donn\u00e9es \u00e0 caract\u00e8re personnel” ne l’est pas. Ce concept est toutefois g\u00e9n\u00e9ralement entendu comme faisant r\u00e9f\u00e9rence aux personnes qui appartiennent \u00e0 l’entit\u00e9 juridique du responsable du traitement ou du sous-traitant (un employ\u00e9 ou un r\u00f4le hautement comparable \u00e0 celui des employ\u00e9s, par exemple le personnel int\u00e9rimaire fourni par l’interm\u00e9diaire d’une agence de travail temporaire) mais uniquement dans la mesure o\u00f9 elles sont autoris\u00e9es \u00e0 traiter des donn\u00e9es \u00e0 caract\u00e8re personnel”.)
\n 56. Une lecture attentive de l\u2019avis montre qu\u2019\u00e0 l\u2019inverse, un employ\u00e9 n\u2019ayant pas acc\u00e8s dans le cadre de ses fonctions \u00e0 des donn\u00e9es \u00e0 caract\u00e8re personnel, qu\u2019il utiliserait \u00e0 ses propres fins, doit \u00eatre consid\u00e9r\u00e9 comme une tierce partie, c\u2019est-\u00e0-dire comme une entit\u00e9 distincte de son employeur :
\n 57. \u00ab An employee etc. who obtains access to data that he or she is not authorised to access and for other purposes than that of the employer does not fall within this category. Instead, this employee should be considered as a third party vis-\u00e0-vis the processing undertaken by the employer. Insofar as the employee processes personal data for his or her own purposes, distinct from those of his or her employer, he or she will then be considered a controller and take on all the resulting consequences and liabilities in terms of personal data processing\u201d. 12
\n (traduction libre:
\n 58. Un employ\u00e9, etc. qui obtient l’acc\u00e8s \u00e0 des donn\u00e9es auxquelles il n’est pas autoris\u00e9 \u00e0 acc\u00e9der et \u00e0 des finalit\u00e9s autres que celles de l’employeur n’entre pas dans cette cat\u00e9gorie. Cet employ\u00e9 doit plut\u00f4t \u00eatre consid\u00e9r\u00e9 comme un tiers vis-\u00e0-vis du traitement effectu\u00e9 par l’employeur. Dans la mesure o\u00f9 l’employ\u00e9 traite des donn\u00e9es \u00e0 caract\u00e8re personnel pour ses propres finalit\u00e9s, distinctes de celles de son employeur, il sera alors consid\u00e9r\u00e9 comme responsable du traitement et assumera toutes les cons\u00e9quences et responsabilit\u00e9s qui en d\u00e9coulent en termes de traitement des donn\u00e9es \u00e0 caract\u00e8re personnel.)
\n 59. Dans le cas d\u2019esp\u00e8ce, bien que l\u2019ex-mari de la plaignante avait acc\u00e8s \u00e0 la CCP sur base de sa mission de contr\u00f4le des dossiers de cr\u00e9dit, les consultations litigieuses ont \u00e9t\u00e9 op\u00e9r\u00e9es en dehors du cadre de ses t\u00e2ches en tant qu\u2019employ\u00e9. Il convient de suivre le raisonnement adopt\u00e9 par l\u2019EDPB dans les Lignes directrices 07\/2020, et par cons\u00e9quent de consid\u00e9rer l\u2019ex-mari comme tierce partie distincte de la d\u00e9fenderesse pour les consultations abusives sp\u00e9cifiquement.
\n 60. La d\u00e9fenderesse doit donc \u00eatre suivie dans son argument selon lequel l\u2019ex-mari est responsable de traitement pour les consultations abusives.
\n 61. La Chambre rel\u00e8ve n\u00e9anmoins que la responsabilit\u00e9 de l\u2019ex-mari n\u2019est pas examin\u00e9e dans la pr\u00e9sente d\u00e9cision, mais uniquement celle de la d\u00e9fenderesse, dans la mesure o\u00f9 les proc\u00e9dures envers ces deux parties ont \u00e9t\u00e9 disjointes.
\n 62. La Chambre distingue donc les traitements op\u00e9r\u00e9s dans le cadre des consultations du registre CCP telles que pr\u00e9vues par les finalit\u00e9s de la d\u00e9fenderesse, des consultations abusives op\u00e9r\u00e9es par l\u2019ex-\u00e9poux de la plaignante. Bien que celui-ci soit responsable de traitement pour les consultations abusives, la d\u00e9fenderesse reste responsable de traitement pour les consultations au registre CCP dans le cadre des finalit\u00e9s qu\u2019elle d\u00e9termine (octroi ou gestion des cr\u00e9dits des particuliers). Dans ce cadre, elle reste soumise au principe de responsabilit\u00e9 (articles 5.2 et 24 RGPD) en tant que responsable de traitement et employeur, ainsi qu\u2019aux articles 29 RGPD13 et 32 RGPD, en particulier en son paragraphe 414.
\n 63. Dans la mesure o\u00f9 il revient au responsable de traitement de garantir la s\u00e9curit\u00e9 des traitements (y compris l\u2019acc\u00e8s aux donn\u00e9es en conformit\u00e9 avec le GDPR par ses employ\u00e9s), il revenait \u00e0 la d\u00e9fenderesse d\u2019impl\u00e9menter les mesures techniques et organisationnelles appropri\u00e9es pour \u00e9viter des traitements abusifs par ses employ\u00e9s, comme en l\u2019esp\u00e8ce (cet aspect est d\u00e9velopp\u00e9 infra).
\n Ceci est d\u2019autant plus d\u2019application au vu de la nature sensible des donn\u00e9es auxquelles les employ\u00e9s de la d\u00e9fenderesse ont acc\u00e8s (donn\u00e9es financi\u00e8res). Cette position est aussi celle d\u00e9fendue dans la doctrin
\n 64. Si \u00e0 l\u2019inverse, et comme l\u2019avance la partie d\u00e9fenderesse, l\u2019employeur devait \u00eatre exempt\u00e9 de toute responsabilit\u00e9 de s\u00e9curit\u00e9 pour les traitements irr\u00e9guliers de ses employ\u00e9s effectu\u00e9s dans le cadre de leurs fonctions, m\u00eame \u00e0 des fins propres, ceci enl\u00e8verait une partie de son effet utile du RGPD et de la protection des donn\u00e9es \u00e0 caract\u00e8re personnel.
\n 65. La Chambre souligne n\u00e9anmoins qu\u2019ind\u00e9pendamment de la question de savoir qui est responsable de traitement pour les consultations abusives, c\u2019est l\u2019obligation de la d\u00e9fenderesse en sa qualit\u00e9 de responsable de traitement d\u2019assurer la s\u00e9curit\u00e9 des donn\u00e9es et des traitements qui constitue le c\u0153ur de cette d\u00e9cision. Dans le cas d\u2019esp\u00e8ce, la d\u00e9fenderesse ne conteste pas son obligation d\u2019assurer la s\u00e9curit\u00e9 des acc\u00e8s par ses employ\u00e9s au registre CCP et plus largement aux donn\u00e9es de la BNB. Cet aspect sera d\u00e9velopp\u00e9 ci-dessous.
\n II.2- Quant au principe de responsabilit\u00e9 et \u00e0 l\u2019obligation d\u2019assurer la s\u00e9curit\u00e9 des donn\u00e9es \u00e0 caract\u00e8re personnel
\n II.2.1- Principe de responsabilit\u00e9
\n 66. L\u2019article 24.1 RGPD stipule que \u00ab compte tenu de la nature, de la port\u00e9e, du contexte et des finalit\u00e9s du traitement ainsi que des risques, dont le degr\u00e9 de probabilit\u00e9 et de gravit\u00e9 varie, pour les droits et libert\u00e9s de personnes physiques, le responsable du traitement met en \u0153uvre les mesures techniques et organisationnelles appropri\u00e9es pour s\u2019assurer et \u00eatre en mesure de d\u00e9montrer que le traitement est effectu\u00e9 conform\u00e9ment au pr\u00e9sent r\u00e8glement. Ces mesures sont r\u00e9examin\u00e9es et actualis\u00e9es si n\u00e9cessaire. \u00bb. Cet article traduit le principe de responsabilit\u00e9, ou d\u2019 \u00ab accountability \u00bb \u00e9nonc\u00e9 \u00e0 l\u2019article 5.2. RGPD, selon lequel \u00ab Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de d\u00e9montrer que celui-ci est respect\u00e9 (responsabilit\u00e9). \u00bb
\n 67. L\u2019article 24.2. du RGPD pr\u00e9cise que lorsque cela est proportionn\u00e9 au regard des activit\u00e9s de traitement, les mesures \u00e9voqu\u00e9es \u00e0 l\u2019article 24.1. du RGPD ci-dessus comprennent la mise en \u0153uvre de politiques appropri\u00e9es en mati\u00e8re de protection des donn\u00e9es par le responsable de traitement.
\n 68. Le consid\u00e9rant 74 du RGPD ajoute qu\u2019 \u00ab Il y a lieu d’instaurer la responsabilit\u00e9 du responsable du traitement pour tout traitement de donn\u00e9es \u00e0 caract\u00e8re personnel qu’il effectue lui-m\u00eame ou qui est r\u00e9alis\u00e9 pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en \u0153uvre des mesures appropri\u00e9es et effectives et soit \u00e0 m\u00eame de d\u00e9montrer la conformit\u00e9 des activit\u00e9s de traitement avec le pr\u00e9sent r\u00e8glement, y compris l’efficacit\u00e9 des mesures. Ces mesures devraient tenir compte de la nature, de la port\u00e9e, du contexte et des finalit\u00e9s du traitement ainsi que du risque que celui-ci pr\u00e9sente pour les droits et libert\u00e9s des personnes physiques \u00bb.
\n 69. Il lui incombe \u00e9galement, en application de l\u2019article 25 du RGPD (protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut), d\u2019int\u00e9grer le n\u00e9cessaire respect des r\u00e8gles du RGPD en amont de ses actes et proc\u00e9dures (par exemple s\u2019assurer de l\u2019existence et l\u2019effectivit\u00e9 de proc\u00e9dures de contr\u00f4le pour les collaborateurs mais aussi les cadres dans leur acc\u00e8s aux donn\u00e9es de la CCP).
\n 70. Par ailleurs, le responsable de traitement est tenu, sur base de l\u2019article 32 RGPD, d\u2019assurer la s\u00e9curit\u00e9 des traitements, \u00ab compte tenu de l’\u00e9tat des connaissances, des co\u00fbts de mise en \u0153uvre et de la nature, de la port\u00e9e, du contexte et des finalit\u00e9s du traitement ainsi que des risques, dont le degr\u00e9 de probabilit\u00e9 et de gravit\u00e9 varie, pour les droits et libert\u00e9s des personnes physiques \u00bb.
\n Or, la Chambre Contentieuse constate un manque de respect de l\u2019obligation d\u2019assurer le s\u00e9curit\u00e9 de traitement dans le chef de la d\u00e9fenderesse, qui fait partie du principe de responsabilit\u00e9. Ce manquement est d\u00e9velopp\u00e9 infra.
\n 71. Ce manquement \u00e0 l\u2019obligation d\u2019assurer la s\u00e9curit\u00e9 des traitements constitue le point d\u2019ancrage de la pr\u00e9sente d\u00e9cision et des sanctions qu\u2019elle impose. L\u2019absence des mesures techniques et organisationnelles permettant de limiter l\u2019acc\u00e8s non justifi\u00e9 et insuffisamment s\u00e9curis\u00e9 par un employ\u00e9 \u00e0 la base de donn\u00e9es CCP de la BNB, et a fortiori l\u2019absence d\u2019un syst\u00e8me de contr\u00f4le ex post sur les acc\u00e8s ayant eu lieu, est consid\u00e9r\u00e9 comme une infraction s\u00e9rieuse. Le poste de cadre occup\u00e9 par cet employ\u00e9 ne peut justifier cette absence de mesures de s\u00e9curit\u00e9.
\n II.2.2-L\u2019obligation de s\u00e9curit\u00e9 des donn\u00e9es \u00e0 caract\u00e8re personnel et la journalisation des logs IT
\n a- Les contours de l\u2019obligation de s\u00e9curit\u00e9
\n 72. Sur base de l\u2019article 5.1.f) RGPD, les donn\u00e9es \u00e0 caract\u00e8re personnel doivent \u00eatre trait\u00e9es de fa\u00e7on \u00e0 garantir une s\u00e9curit\u00e9 appropri\u00e9e, \u00ab y compris la protection contre le traitement non autoris\u00e9 ou illicite et contre la perte, la destruction ou les d\u00e9g\u00e2ts d\u2019origine accidentelle, \u00e0 l\u2019aide de mesures techniques ou organisationnelles appropri\u00e9es\u00bb. En l\u2019absence de mesures appropri\u00e9es pour s\u00e9curiser les donn\u00e9es \u00e0 caract\u00e8re personnel des personnes concern\u00e9es, l\u2019effectivit\u00e9 des droits fondamentaux \u00e0 la vie priv\u00e9e et \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel ne peut \u00eatre garantie16, \u00e0 fortiori au vu du r\u00f4le crucial jou\u00e9 par les technologies de l\u2019information et de la communication dans notre soci\u00e9t\u00e9.
\n 73. Comme indiqu\u00e9 supra, le manquement \u00e0 l\u2019obligation d\u2019assurer la s\u00e9curit\u00e9 des traitements constitue le c\u0153ur de d\u00e9cision. L\u2019impact en termes de respect du droit \u00e0 la protection de la vie priv\u00e9e de la plaignante li\u00e9 \u00e0 l\u2019absence des mesures techniques et organisationnelles permettant de limiter l\u2019acc\u00e8s non justifi\u00e9 et insuffisamment s\u00e9curis\u00e9 par un employ\u00e9 \u00e0 la base de donn\u00e9es CCP de la BNB se voit par ailleurs renforc\u00e9 par l\u2019absence de possibilit\u00e9 de tra\u00e7abilit\u00e9 ex post des consultations op\u00e9r\u00e9es. La Chambre Contentieuse rappelle que la lecture combin\u00e9e des articles 32 (obligation d\u2019assurer la s\u00e9curit\u00e9 des traitements), ainsi que 5.2 et 24 RGPD (soumettant le responsable du traitement au principe de responsabilit\u00e9) impose au responsable du traitement de d\u00e9montrer son respect de l\u2019article 32, en prenant des mesures techniques et organisationnelles appropri\u00e9es, de fa\u00e7on transparente et tra\u00e7able. La tenue d\u2019un registre journal des logs IT, ou \u00ab journalisation \u00bb s\u2019articule autour de ces obligations, plus particuli\u00e8rement de la tra\u00e7abilit\u00e9 des traitements, et contribue \u00e0 la n\u00e9cessaire \u00ab disponibilit\u00e9 \u00bb17 des donn\u00e9es trait\u00e9es.
\n 74. La Chambre Contentieuse rappelle par ailleurs, le prescrit de l\u2019article 25 (protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut), qui impose au responsable de traitement d\u2019int\u00e9grer le n\u00e9cessaire respect des r\u00e8gles du RGPD en amont de ses actes et proc\u00e9dures (par exemple s\u2019assurer de l\u2019existence et l\u2019effectivit\u00e9 de proc\u00e9dures de contr\u00f4le pour les collaborateurs mais aussi les cadres dans leur acc\u00e8s aux donn\u00e9es de la CCP).
\n 75. Il convient de relever que le principe de s\u00e9curit\u00e9 avec ses diff\u00e9rentes composantes d\u2019int\u00e9grit\u00e9, confidentialit\u00e918 et disponibilit\u00e919 est repris aux articles 5.1.f) et 32 du RGPD et est d\u00e9sormais \u00e9rig\u00e9 dans le RGPD au m\u00eame rang que les principes fondamentaux de lic\u00e9it\u00e9, transparence et loyaut\u00e9.
\n 76. Les obligations des responsables de traitement quant \u00e0 la s\u00e9curit\u00e9 des traitements reposent dans les articles 32 et suivants du RGPD.
\n 77. Les composantes classiques des recommandations en termes de s\u00e9curit\u00e9 de l\u2019information, telles que pr\u00e9conis\u00e9es par la suite ISO27xxx20 sont la confidentialit\u00e9 des donn\u00e9es, leur int\u00e9grit\u00e9 et leur disponibilit\u00e9. A celles-ci s\u2019ajoute la notion d\u2019imputabilit\u00e9, \u00ab qui permet de pouvoir identifier, pour toutes les actions accomplies, les personnes, les syst\u00e8mes ou les processus qui les ont initi\u00e9es (identification) et de garder trace de l\u2019auteur et de l\u2019action (tra\u00e7abilit\u00e9) \u00bb21 .
\n 78. L\u2019imputabilit\u00e9 s\u2019exprime notamment de fa\u00e7on concr\u00e8te par la tenue d\u2019un registre des log files.
\n 79. La journalisation consiste donc \u00e0 l\u2019enregistrement des informations pertinentes concernant les \u00e9v\u00e8nements d\u2019un syst\u00e8me informatique (acc\u00e8s au syst\u00e8me ou \u00e0 un de ses dossiers, modification d\u2019un fichier, transfert de donn\u00e9es\u2026) dans des fichiers appel\u00e9s \u00ab log files \u00bb. Les informations reprises sont entre autres les donn\u00e9es consult\u00e9es, la date, le type d\u2019\u00e9v\u00e8nement, les donn\u00e9es permettant d\u2019identifier l\u2019auteur de l\u2019\u00e9v\u00e8nement, ainsi que le motif de cet acc\u00e8s. Ceci permet notamment d\u2019identifier toute consultation des donn\u00e9es personnelles abusive ou pour une finalit\u00e9 non l\u00e9gitime, ou encore de d\u00e9terminer l\u2019origine d\u2019un accident.
\n 80. Bien que la journalisation ne soit pas express\u00e9ment mentionn\u00e9e dans le RGPD 22, la tenue d\u2019un journal des log files constitue une mesure technique et organisationnelle envisag\u00e9e dans l\u2019article 32 RGPD. Elle constitue une bonne pratique, recommand\u00e9e par la Chambre Contentieuse \u00e0 tout responsable de traitement. Ces mesures doivent \u00eatre adapt\u00e9es aux risques.
\n 81. L\u2019institution pr\u00e9d\u00e9cesseur de l\u2019APD (la Commission de la Vie Priv\u00e9e ; ci-apr\u00e8s CPVP ) indiquait d\u00e9j\u00e0 dans ses Lignes directrices pour la s\u00e9curit\u00e9 de l’information de donn\u00e9es \u00e0 caract\u00e8re personnel 23 ainsi que dans sa Recommandation24 aux villes et communes25 concernant les registres de logs IT que la journalisation constitue un \u00e9l\u00e9ment incontournable de toute politique de s\u00e9curit\u00e9 de l’information, en ce qu\u2019elle permet la tra\u00e7abilit\u00e9 des acc\u00e8s aux syst\u00e8mes informatiques 26.
\n b- Lien entre les obligations de s\u00e9curit\u00e9 des responsables de traitement et les principes de responsabilit\u00e9 et transparence
\n 82. La Chambre Contentieuse rappelle que l\u2019article 32 RGPD doit \u00eatre lu en combinaison avec l\u2019article 5.2 RGPD et l\u2019article 24 RGPD pr\u00e9cit\u00e9s, soumettant le responsable du traitement au principe de responsabilit\u00e9. Il incombe au responsable du traitement de d\u00e9montrer son respect des dispositions du RGPD, en prenant des mesures techniques et organisationnelles appropri\u00e9es, de fa\u00e7on transparente et tra\u00e7able, permettant en cas de contr\u00f4le d’apporter la preuve des garanties appliqu\u00e9es.
\n 83. Le principe de responsabilit\u00e9, lu en conjonction avec le principe de transparence (article 5.1.a RGPD), permet aux personnes concern\u00e9es d’exercer leurs droits et de contr\u00f4ler la conformit\u00e9 des traitements op\u00e9r\u00e9s sur leurs donn\u00e9es \u00e0 caract\u00e8re personnel. Elle permet ainsi d’assumer la responsabilit\u00e927.
\n 84. Le consid\u00e9rant 63 du RGPD ajoute en outre \u00e0 cela que ce droit d’acc\u00e8s doit \u00eatre consid\u00e9r\u00e9 comme un m\u00e9canisme de contr\u00f4le : “Une personne concern\u00e9e devrait avoir le droit d’acc\u00e9der aux donn\u00e9es \u00e0 caract\u00e8re personnel qui ont \u00e9t\u00e9 collect\u00e9es \u00e0 son sujet et d’exercer ce droit facilement et \u00e0 des intervalles raisonnables, afin de prendre connaissance du traitement et d\u2019en v\u00e9rifier la lic\u00e9it\u00e9.”
\n 85. Ces principes de responsabilit\u00e9 et de transparence s\u2019articulent avec l\u2019article 15 du RGPD, qui garantit le droit d\u2019acc\u00e8s de la personne concern\u00e9es \u00e0 ses donn\u00e9es personnelles trait\u00e9es. La CPVP concluait d\u00e9j\u00e0 \u00e0 l\u2019\u00e9gard de la journalisation, de fa\u00e7on univoque:
\n 86. \u00ab Un fichier de journalisation incomplet et une absence de mention du motif de la consultation constituent une atteinte \u00e0 l’exercice utile du droit d’acc\u00e8s et de contr\u00f4le dont dispose la personne concern\u00e9e. Cela compromet \u00e9galement l’exercice des autres droits tels que le droit de rectification (article 16 du RGPD), le droit \u00e0 l’oubli (article 17 du RGPD), et le droit \u00e0 la limitation de l’utilisation de donn\u00e9es trait\u00e9es de fa\u00e7on illicite (article 18 du RGPD). \u00bb28 (p. 10) (nous soulignons)
\n 87. La Chambre Contentieuse recommande la tenue d\u2019un registre journal des log files en tant que bonne pratique, dans la mesure o\u00f9 la journalisation est utile pour tout responsable de traitement, en ce qu\u2019elle permet d\u2019assurer la mat\u00e9rialisation du principe de disponibilit\u00e9, lui-m\u00eame \u00e9troitement li\u00e9 aux principes de confidentialit\u00e9 et d\u2019int\u00e9grit\u00e9 des donn\u00e9es.
\n 88. Comme indiqu\u00e9 supra, l\u2019effectivit\u00e9 des droits fondamentaux \u00e0 la vie priv\u00e9e et \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel d\u00e9pend consid\u00e9rablement des mesures mises en place pour assurer la s\u00e9curit\u00e9 de celles-ci29, la tenue d\u2019un registre des logs, bien que non impos\u00e9e telle quelle par le RGPD, est donc encourag\u00e9e par la Chambre Contentieuse.
\n 89. Ceci vaut \u00e0 fortiori pour les organismes de cr\u00e9dit, dans la mesure o\u00f9 la loi leur impose une consultation de l\u2019\u00e9tat de cr\u00e9dit des personnes concern\u00e9es \u00e0 la BNB avant l\u2019octroi d\u2019un cr\u00e9dit.
\n II.2.3- Application au cas d\u2019esp\u00e8ce
\n 90. A la lumi\u00e8re de ce qui pr\u00e9c\u00e8de, et particuli\u00e8rement dans la mesure o\u00f9 la consultation des donn\u00e9es personnelles relatives aux cr\u00e9dits des personnes concern\u00e9es constitue un traitement invasif de donn\u00e9es financi\u00e8res sensibles, la Chambre Contentieuse estime que les mesures mises en place doivent \u00eatre d\u2019autant plus adapt\u00e9es que les risques pour les droits fondamentaux des personnes concern\u00e9es sont \u00e9lev\u00e9s.
\n 91. L\u2019importance de ces risques comme facteur est soulign\u00e9e dans plusieurs articles pertinents du RGPD, y compris les articles 24, 25 et 32.
\n 92. Pourtant, en l\u2019esp\u00e8ce, un employ\u00e9 de la d\u00e9fenderesse a pu proc\u00e9der \u00e0 20 reprises \u00e0 des consultations illicites de ces donn\u00e9es financi\u00e8res sensibles, sur une p\u00e9riode s\u2019\u00e9talant d\u2019avril 2016 \u00e0 ao\u00fbt 2018.
\n 93. Ceci, combin\u00e9 \u00e0 l\u2019absence de tenue d\u2019un registre journal des acc\u00e8s ou d\u2019un quelconque contr\u00f4le des acc\u00e8s par les cadres (dont faisait partie l\u2019ex-mari) aux registres de la BNB par la d\u00e9fenderesse avant l\u2019incident, d\u00e9montre l\u2019insuffisance des mesures dans le chef de la d\u00e9fenderesse.
\n 94. Lors de l\u2019audition, bien qu\u2019elle ait soulign\u00e9 l\u2019existence d\u2019un registre journal des acc\u00e8s des collaborateurs non cadres ainsi que le r\u00e8glement d\u00e9ontologique interdisant toute utilisation abusive des acc\u00e8s, la DPO de la d\u00e9fenderesse a confirm\u00e9 l\u2019absence d\u2019un quelconque syst\u00e8me de contr\u00f4le des acc\u00e8s des cadres.
\n 95. Ceci constitue une violation flagrante de l\u2019article 32 RGPD (s\u00e9curit\u00e9 du traitement), lu en combinaison avec l\u2019article 5.2 RGPD et l\u2019article 24 RGPD.
\n 96. Cette absence de journalisation ou d\u2019autres mesures de s\u00e9curit\u00e9 dans le chef de la d\u00e9fenderesse emp\u00eache aussi la plaignante de pouvoir exercer son droit d\u2019acc\u00e8s concernant les traitements illicites effectu\u00e9s par son ex-mari, employ\u00e9 de la d\u00e9fenderesse, puisque la d\u00e9fenderesse n\u2019en conserve aucune trace.
\n 97. Le SPL de l\u2019APD a en effet demand\u00e9 \u00e0 la d\u00e9fenderesse dans son courrier du 5 septembre 2019 de communiquer \u00e0 la plaignante la liste des consultations et des donn\u00e9es concern\u00e9es, ainsi que l\u2019identit\u00e9 de l\u2019auteur de ces consultations.
\n 98. Cet aspect d\u2019exercice du droit d\u2019acc\u00e8s est d\u00e9velopp\u00e9 infra (voir point II.4).
\n 99. La d\u00e9fenderesse avance par ailleurs que \u00ab de nombreuses mesures ont \u00e9t\u00e9 mises en place (\u2026) afin de diminuer autant que possible le risque de consultations ill\u00e9gitimes de la Centrale de Cr\u00e9dits aux Particuliers par les membres de son personnel \u00bb.30
\n 100. Elle fait \u00e9tat de ces mesures, et avance qu\u2019elles ont \u00e9t\u00e9 renforc\u00e9es suite \u00e0 la consultation abusive par l\u2019ex-mari de la plaignante.
\n 101. Elle cite ainsi :
\n \u2022 s\u00e9lection du personnel sur base d\u2019honorabilit\u00e9 et formation du personnel relative \u00e0 la s\u00e9curit\u00e9 (y compris un examen pour les collaborateurs ayant acc\u00e8s aux donn\u00e9es de la CCP) ;
\n \u2022 limitations techniques pour l\u2019acc\u00e8s aux donn\u00e9es de la CCP :
\n o un dossier de cr\u00e9dit doit exister ;
\n o si acc\u00e8s via le syst\u00e8me r\u00e9serv\u00e9 aux collaborateurs non cadres, la consultation et l\u2019identit\u00e9 du collaborateur est enregistr\u00e9e ;
\n o si acc\u00e8s via le site de la CCP (r\u00e9serv\u00e9 aux cadres), cet acc\u00e8s est uniquement possible via les ordinateurs des cadres, et un identifiant et mot de passe (unique pour tous les cadres de la SA) est n\u00e9cessaire ;
\n \u2022 contr\u00f4les humains \u00e0 plusieurs niveaux.
\n 102. Il n\u2019en demeure pas moins que la plaignante peut \u00eatre suivie lorsqu\u2019elle rel\u00e8ve que la d\u00e9fenderesse admet dans ses conclusions que pour ses cadres, alors que ceux-ci disposent d\u2019acc\u00e8s \u00e9tendus aux donn\u00e9es dans la CCP certes aux seules finalit\u00e9s suivantes : \u00ab corrections \u00e0 r\u00e9aliser dans les donn\u00e9es encod\u00e9es dans la CCP, la consultation des coordonn\u00e9es du m\u00e9diateur en cas de r\u00e8glement collectif de dettes, et l\u2019op\u00e9ration appel\u00e9e \u00ab clean BNB \u00bb, \u00e0 savoir la comparaison des donn\u00e9es reprises dans la CCP avec les fichiers de la d\u00e9fenderesse \u00bb31.
\n 103. Il n\u2019y a aucun syst\u00e8me de contr\u00f4le des consultations des donn\u00e9es \u00e0 la CCP.
\n 104. La d\u00e9fenderesse sp\u00e9cifie elle-m\u00eame \u00e0 cet \u00e9gard que pour les cadres, il est impossible d\u2019identifier la personne pr\u00e9cise qui a consult\u00e9 les donn\u00e9es.
\n 105. La d\u00e9fenderesse le reconna\u00eet d\u2019ailleurs implicitement lorsqu\u2019elle fait valoir que depuis les consultations illicites d\u00e9nonc\u00e9es par la plaignante, une s\u00e9rie de mesures additionnelles ont \u00e9t\u00e9 mises en place au sein de la soci\u00e9t\u00e9 (dont une formation au RGPD des cadres, renforcement des contr\u00f4les de premi\u00e8re ligne (c\u2019est-\u00e0-dire des collaborateurs non cadres)).
\n 106. Surtout vis-\u00e0-vis des cadres, la DPO de la d\u00e9fenderesse, interrog\u00e9e lors de l\u2019audition sur les mesures de s\u00e9curit\u00e9 prises concernant sp\u00e9cifiquement l\u2019acc\u00e8s des cadres aux registres de la BNB depuis l\u2019incident, explique que l\u2019acc\u00e8s est dor\u00e9navant limit\u00e9 \u00e0 deux superviseurs (au lieu de cinq comme auparavant), et que le mot de passe a \u00e9t\u00e9 chang\u00e9 \u00e0 deux reprises (une fois en 2019 et une fois en 2020).
\n 107. Elle ajoute que la d\u00e9fenderesse a demand\u00e9 en fin d\u2019ann\u00e9e 2020 (donc r\u00e9cemment), \u00e0 la BNB de lui communiquer sa propre liste des acc\u00e8s afin de pouvoir comparer celle-ci avec la liste tenue par les deux cadres ayant acc\u00e8s aux registres de la BNB, afin d\u2019identifier d\u2019\u00e9ventuelles diff\u00e9rences dans un but de contr\u00f4le de l\u2019activit\u00e9 des cadres
\n 108. La Chambre Contentieuse prend note des efforts fournis, qui par ailleurs restent \u00e0 ses yeux insuffisants en ce qui concerne les cadres ayant acc\u00e8s aux registres de la BNB, sans pour autant que cela n\u2019influence le manquement \u00e0 son obligation de s\u00e9curit\u00e9 \u2013 conform\u00e9ment au principe de responsabilit\u00e9 – dans le chef de la d\u00e9fenderesse.
\n 109. Elle constate aussi qu\u2019aucune preuve de ces mesures additionnelles ne lui a \u00e9t\u00e9 communiqu\u00e9e.
\n 110. La d\u00e9fenderesse rel\u00e8ve de plus qu\u2019elle effectue chaque ann\u00e9e des dizaines de milliers de consultations CCP en toute lic\u00e9it\u00e9, et que le nombre de consultations illicites est limit\u00e9 \u00e0 20, \u00e9tal\u00e9es entre avril 2016 et ao\u00fbt 2018.
\n 111. La Chambre Contentieuse en prend acte, mais rappelle que ceci n\u2019enl\u00e8ve pas aux consultations leur caract\u00e8re illicite ni r\u00e9p\u00e9t\u00e9, \u00e0 des donn\u00e9es personnelles financi\u00e8res sensibles.
\n 112. La Chambre Contentieuse constate que la d\u00e9fenderesse \u00e9tait et demeure en d\u00e9faut de mettre en \u0153uvre les mesures techniques et organisationnelles ad\u00e9quates requises par l\u2019article 24.1 et 2 du RGPD pour garantir non seulement la s\u00e9curit\u00e9 des donn\u00e9es en \u00e9vitant des consultations illicites, mais aussi un exercice effectif des droits des personnes concern\u00e9es telles la plaignante en l\u2019absence de journalisation.
\n 113. La d\u00e9fenderesse souligne par ailleurs que la plaignante a pour la premi\u00e8re fois fait r\u00e9f\u00e9rence \u00e0 une \u00ab intrusion \u00bb aupr\u00e8s d\u2019elle 7 mois apr\u00e8s la derni\u00e8re consultation illicite, bien qu\u2019elle en \u00e9tait d\u00e9j\u00e0 inform\u00e9e depuis 4 mois. Ceci n\u2019est pas pertinent, dans la mesure o\u00f9 la plaignante est libre d\u2019exercer ses droits \u00e0 tout moment.
\n 114. La d\u00e9fenderesse a donc viol\u00e9 l\u2019article 32, lu en combinaison avec les articles 5.2 et 24 du RGPD.
\n II.3- Quant au respect des principes de finalit\u00e9, transparence, et information
\n II.3.1- Sur les principes de loyaut\u00e9, transparence, et information
\n 115. En application de l\u2019article 5.1, a), les donn\u00e9es \u00e0 caract\u00e8re personnel doivent \u00eatre \u00ab trait\u00e9es de mani\u00e8re licite, loyale et transparente au regard de la personne concern\u00e9e (lic\u00e9it\u00e9, loyaut\u00e9, transparence) \u00bb.
\n 116. Par ailleurs, en application des articles 13 et 14 du RGPD, toute personne dont des donn\u00e9es \u00e0 caract\u00e8re personnel sont trait\u00e9es doit, selon que les donn\u00e9es sont collect\u00e9es directement aupr\u00e8s d\u2019elle ou aupr\u00e8s de tiers, \u00eatre inform\u00e9e des \u00e9l\u00e9ments list\u00e9s \u00e0 ces articles (\u00a7\u00a7 1 et 2) 32. En cas de collecte directe de donn\u00e9es aupr\u00e8s de la personne concern\u00e9e, celle-ci sera inform\u00e9e tant des \u00e9l\u00e9ments list\u00e9s \u00e0 l\u2019article 13.1 et 2 du RGPD soit :
\n \u2022 de l\u2019identit\u00e9 et des coordonn\u00e9es du responsable de traitement ainsi que des coordonn\u00e9es du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es \u00e9ventuel
\n \u2022 des finalit\u00e9s du traitement ainsi que de la base juridique de celui-ci (lorsque le traitement se fonde sur l\u2019int\u00e9r\u00eat l\u00e9gitime du responsable de traitement, cet int\u00e9r\u00eat devra \u00eatre pr\u00e9cis\u00e9)
\n \u2022 des destinataires ou cat\u00e9gories de destinataires du traitement
\n \u2022 de l\u2019intention du responsable de traitement de transf\u00e9rer les donn\u00e9es hors de l\u2019Espace Economique Europ\u00e9en
\n \u2022 de la dur\u00e9e de conservation des donn\u00e9es,
\n \u2022 des droits que lui conf\u00e8re le RGPD en ce compris le droit de retirer son consentement \u00e0 tout moment et celui de d\u00e9poser une plainte aupr\u00e8s de l\u2019autorit\u00e9 de contr\u00f4le de protection des donn\u00e9es (en l\u2019esp\u00e8ce l\u2019APD
\n \u2022 des informations sur la question de savoir si l’exigence de fourniture de donn\u00e9es \u00e0 caract\u00e8re personnel a un caract\u00e8re r\u00e9glementaire ou contractuel et les cons\u00e9quences de leur non-fourniture ainsi que de l\u2019existence d\u2019une prise de d\u00e9cision automatis\u00e9e y compris un profilage, vis\u00e9 \u00e0 l\u2019article 22 du RGPD.
\n 117. La Chambre Contentieuse rappelle par ailleurs qu\u2019en cas de collecte directe (article 13 du RGPD), aucune exception n\u2019est pr\u00e9vue.
\n 118. L\u2019article 14.1 et 2 liste des \u00e9l\u00e9ments qui sont similaires tenant compte toutefois que l\u2019hypoth\u00e8se vis\u00e9e \u00e0 l\u2019article 14 du RGPD est celle o\u00f9 des donn\u00e9es ne sont pas collect\u00e9es directement aupr\u00e8s de la personne concern\u00e9e mais bien aupr\u00e8s de tiers.
\n 119. Ces informations sont, que ce soit sur la base de l\u2019article 13 ou de l\u2019article 14 du RGPD \u00e0 fournir \u00e0 la personne concern\u00e9e dans le respect des modalit\u00e9s fix\u00e9es \u00e0 l\u2019article 12 du RGPD.
\n II.3.2- La position de la plaignante quant \u00e0 l\u2019application des principes de loyaut\u00e9, transparence et information
\n 120. La plaignante souligne que la d\u00e9fenderesse, lorsqu\u2019elle a pris connaissance via ses \u00e9changes avec la plaignante des consultations illicites effectu\u00e9es par son employ\u00e9, par ailleurs reconnues par celui-ci, s\u2019est abstenue de lui fournir la grande majorit\u00e9 des informations au titre de l\u2019article 14 RGPD. Elle lui a ainsi indiqu\u00e9 la finalit\u00e9 du traitement (consultation des donn\u00e9es \u00e0 la CCP en vertu de son obligation l\u00e9gale et dans le cadre de la gestion des contrats de cr\u00e9dits), mais ne lui a pas fait parvenir sa Charte de la vie priv\u00e9e. Elle n\u2019a ainsi, \u00e0 titre d\u2019exemple, pas inform\u00e9 la plaignante de la dur\u00e9e de conservation des donn\u00e9es.
\n 121. La circonstance que la plaignante \u00e9tait d\u00e9j\u00e0 en possession de la liste des consultations (obtenus via la BNB), ne change rien au constat que la d\u00e9fenderesse ne lui a pas fourni les autres informations requises au titre de l\u2019article 14, qu\u2019elle \u00e9tait en mesure de lui fournir.
\n 122. II.3.3- La position de la d\u00e9fenderesse quant \u00e0 l\u2019application des principes de loyaut\u00e9, transparence et information
\n 123. La d\u00e9fenderesse avance en premier lieu que la plaignante aurait demand\u00e9 les informations au titre de l\u2019article 14 dans ses conclusions pour la premi\u00e8re fois, et n\u2019aurait jamais exprim\u00e9 cette demande dans les \u00e9changes entre parties auparavant. La Chambre Contentieuse est d\u2019avis que ceci rel\u00e8ve de la mauvaise foi, dans la mesure o\u00f9 le SPL de l\u2019APD a formellement demand\u00e9 \u00e0 la d\u00e9fenderesse33 de transmettre ces informations \u00e0 la plaignante, demande rest\u00e9e sans suite.
\n 124. Par ailleurs, l\u2019article 14.3 du RGPD indique :
\n \u00ab Le responsable du traitement fournit les informations vis\u00e9es aux paragraphes 1 et 2:
\n a)dans un d\u00e9lai raisonnable apr\u00e8s avoir obtenu les donn\u00e9es \u00e0 caract\u00e8re personnel, mais ne d\u00e9passant pas un mois, eu \u00e9gard aux circonstances particuli\u00e8res dans lesquelles les donn\u00e9es \u00e0 caract\u00e8re personnel sont trait\u00e9es;
\n b)si les donn\u00e9es \u00e0 caract\u00e8re personnel doivent \u00eatre utilis\u00e9es aux fins de la communication avec la personne concern\u00e9e, au plus tard au moment de la premi\u00e8re communication \u00e0 ladite personne; ou
\n c) s’il est envisag\u00e9 de communiquer les informations \u00e0 un autre destinataire, au plus tard lorsque les donn\u00e9es \u00e0 caract\u00e8re personnel sont communiqu\u00e9es pour la premi\u00e8re fois \u00bb. (nous soulignons)
\n 125. Le responsable du traitement se doit donc de transmettre les informations requises de sa propre initiative, au lieu d\u2019attendre que la demande soit formul\u00e9e par la personne concern\u00e9e. En l\u2019esp\u00e8ce, dans la mesure o\u00f9 les donn\u00e9es \u00e0 caract\u00e8re personnel devaient \u00eatre utilis\u00e9es aux fins de la communication avec la plaignante, ces informations auraient d\u00fb lui \u00eatre transmises au plus tard au moment de la premi\u00e8re communication entre les parties.
\n 126. La d\u00e9fenderesse tente ensuite de se d\u00e9responsabiliser, en r\u00e9p\u00e9tant son argument selon lequel elle n\u2019est pas responsable du traitement pour les consultations illicites des donn\u00e9es de la plaignante, et que l\u2019obligation de fournir les informations au titre de l\u2019article 14 RGPD reviendrait \u00e0 l\u2019ex-mari de celle-ci.
\n 127. Comme indiqu\u00e9 supra, ce raisonnement ne peut \u00eatre suivi.
\n 128. La d\u00e9fenderesse est bien sous l\u2019obligation du principe de transparence et d\u2019informations (article 14 RGPD en l\u2019esp\u00e8ce), article fondamental posant des obligations claires et essentielles \u00e0 l\u2019\u00e9gard des responsables du traitement pour permettre aux personnes concern\u00e9es d\u2019exercer leurs droits.
\n 129. En outre, la d\u00e9fenderesse explique qu\u2019aucune trace n\u2019est conserv\u00e9e dans le cadre du syst\u00e8me de consultation des donn\u00e9es \u00e0 la CCP r\u00e9serv\u00e9 aux cadres superviseurs, tel que l\u2019ex-mari de la plaignante, et qu\u2019elle est donc dans l\u2019impossibilit\u00e9 mat\u00e9rielle de fournir des informations quant aux donn\u00e9es consult\u00e9es.
\n 130. La Chambre Contentieuse est d\u2019avis que ceci constitue un aveu, comme indiqu\u00e9 supra, des manquements de la d\u00e9fenderesse aux principes de responsabilit\u00e9 et de s\u00e9curit\u00e9 (articles 5.2 , 24 et 32 du RGPD).
\n 131. Les arguments avanc\u00e9s par la d\u00e9fenderesse pour se d\u00e9faire de son obligation de respect des principes de loyaut\u00e9, transparence et information ne peuvent \u00eatre retenus.
\n 132. Partant, et d\u00e8s lors que la d\u00e9fenderesse ne d\u00e9montre pas que les informations que la d\u00e9fenderesse \u00e9tait bien en mesure de fournir (malgr\u00e9 l\u2019impossibilit\u00e9 technique avanc\u00e9e de fournir la liste des donn\u00e9es consult\u00e9es par exemple) au titre de l\u2019article 14 auraient \u00e9t\u00e9 transmises \u00e0 la plaignante, la Chambre Contentieuse en conclut que la d\u00e9fenderesse a manqu\u00e9 \u00e0 son obligation d\u2019information \u00e0 l\u2019\u00e9gard de celle-ci.
\n 133. La Chambre Contentieuse rappelle qu\u2019un aspect primordial du principe de transparence mis en lumi\u00e8re aux articles 12, 13 et 14 du RGPD est que la personne concern\u00e9e devrait \u00eatre en mesure de d\u00e9terminer \u00e0 l\u2019avance ce que la port\u00e9e et les cons\u00e9quences du traitement englobent afin de ne pas \u00eatre pris au d\u00e9pourvu \u00e0 un stade ult\u00e9rieur quant \u00e0 la fa\u00e7on dont ses donn\u00e9es \u00e0 caract\u00e8re personnel ont \u00e9t\u00e9 utilis\u00e9es.
\n 134. Les informations devraient \u00eatre concr\u00e8tes et fiables, elles ne devraient pas \u00eatre formul\u00e9es dans des termes abstraits ou ambigus ni laisser de place \u00e0 diff\u00e9rentes interpr\u00e9tations. Plus particuli\u00e8rement, les finalit\u00e9s et fondements juridiques du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel devraient \u00eatre clairs.
\n II.4- Quant \u00e0 la facilitation des droits de la plaignante et son droit d\u2019acc\u00e8s
\n 135. L\u2019article 12 du RGPD indique :
\n \u00ab 1. Le responsable du traitement prend des mesures appropri\u00e9es pour fournir toute information vis\u00e9e aux articles 13 et 14 ainsi que pour proc\u00e9der \u00e0 toute communication au titre des articles 15 \u00e0 22
\n et de l’article 34 en ce qui concerne le traitement \u00e0 la personne concern\u00e9e d’une fa\u00e7on concise, transparente, compr\u00e9hensible et ais\u00e9ment accessible, en des termes clairs et simples, en particulier pour toute information destin\u00e9e sp\u00e9cifiquement \u00e0 un enfant. Les informations sont fournies par \u00e9crit ou par d’autres moyens y compris, lorsque c’est appropri\u00e9, par voie \u00e9lectronique. Lorsque la personne concern\u00e9e en fait la demande, les informations peuvent \u00eatre fournies oralement, \u00e0 condition que l’identit\u00e9 de la personne concern\u00e9e soit d\u00e9montr\u00e9e par d’autres moyens.
\n 2. Le responsable du traitement facilite l’exercice des droits conf\u00e9r\u00e9s \u00e0 la personne concern\u00e9e au titre des articles 15 \u00e0 22. Dans les cas vis\u00e9s \u00e0 l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite \u00e0 la demande de la personne concern\u00e9e d’exercer les droits que lui conf\u00e8rent les articles 15 \u00e0 22, \u00e0 moins que le responsable du traitement ne d\u00e9montre qu’il n’est pas en mesure d’identifier la personne concern\u00e9e. \u00bb (nous soulignons)
\n 136. L\u2019article 15 RGPD stipule quant \u00e0 lui :
\n \u00ab 1. La personne concern\u00e9e a le droit d’obtenir du responsable du traitement la confirmation que des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant sont ou ne sont pas trait\u00e9es et, lorsqu’elles le sont, l’acc\u00e8s auxdites donn\u00e9es \u00e0 caract\u00e8re personnel ainsi que les informations suivantes:
\n a)les finalit\u00e9s du traitement;
\n b)les cat\u00e9gories de donn\u00e9es \u00e0 caract\u00e8re personnel concern\u00e9es;
\n c)les destinataires ou cat\u00e9gories de destinataires auxquels les donn\u00e9es \u00e0 caract\u00e8re personnel ont \u00e9t\u00e9 ou seront communiqu\u00e9es, en particulier les destinataires qui sont \u00e9tablis dans des pays tiers ou les organisations internationales;
\n d)lorsque cela est possible, la dur\u00e9e de conservation des donn\u00e9es \u00e0 caract\u00e8re personnel envisag\u00e9e ou, lorsque ce n’est pas possible, les crit\u00e8res utilis\u00e9s pour d\u00e9terminer cette dur\u00e9e;
\n e)l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de donn\u00e9es \u00e0 caract\u00e8re personnel, ou une limitation du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel relatives \u00e0 la personne concern\u00e9e, ou du droit de s’opposer \u00e0 ce traitement;
\n f)le droit d’introduire une r\u00e9clamation aupr\u00e8s d’une autorit\u00e9 de contr\u00f4le;
\n g)lorsque les donn\u00e9es \u00e0 caract\u00e8re personnel ne sont pas collect\u00e9es aupr\u00e8s de la personne concern\u00e9e, toute information disponible quant \u00e0 leur source;
\n h)l’existence d’une prise de d\u00e9cision automatis\u00e9e, y compris un profilage, vis\u00e9e \u00e0 l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les cons\u00e9quences pr\u00e9vues de ce traitement pour la personne concern\u00e9e.
\n 2. Lorsque les donn\u00e9es \u00e0 caract\u00e8re personnel sont transf\u00e9r\u00e9es vers un pays tiers ou \u00e0 une organisation internationale, la personne concern\u00e9e a le droit d’\u00eatre inform\u00e9e des garanties appropri\u00e9es, en vertu de l’article 46, en ce qui concerne ce transfert.
\n 3. Le responsable du traitement fournit une copie des donn\u00e9es \u00e0 caract\u00e8re personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables bas\u00e9s sur les co\u00fbts administratifs pour toute copie suppl\u00e9mentaire demand\u00e9e par la personne concern\u00e9e.
\n Lorsque la personne concern\u00e9e pr\u00e9sente sa demande par voie \u00e9lectronique, les informations sont fournies sous une forme \u00e9lectronique d’usage courant, \u00e0 moins que la personne concern\u00e9e ne demande qu’il en soit autrement.
\n 4. Le droit d’obtenir une copie vis\u00e9 au paragraphe 3 ne porte pas atteinte aux droits et libert\u00e9s d’autrui. \u00bb
\n 137. La plaignante avance que la d\u00e9fenderesse n\u2019aurait pas facilit\u00e9 l\u2019exercice de ses droits, et quelle s\u2019est montr\u00e9 r\u00e9ticente face \u00e0 ses demandes d\u2019explications (par exemple en ne transmettant pas les informations requises au titre de l\u2019article 14) . La d\u00e9fenderesse r\u00e9pond que la plaignante n\u2019a pas demand\u00e9 que ces informations lui soient transmises. Cette question ayant \u00e9t\u00e9 discut\u00e9e plus haut et l\u2019argument de la d\u00e9fenderesse ayant \u00e9t\u00e9 \u00e9cart\u00e9, la Chambre Contentieuse renvoie au point II.3.
\n 138. La plaignante affirme aussi qu\u2019\u00ab Estimer que (la plaignante) n\u2019a pas exerc\u00e9 son droit d\u2019acc\u00e8s alors qu\u2019elle a explicitement demand\u00e9 des justifications sur les consultations rel\u00e8ve d\u2019une certaine mauvaise foi \u00bb (conclusions de la plaignante p.18).
\n 139. Selon la position constante de la Chambre Contentieuse34, la formulation d\u2019une demande d\u2019acc\u00e8s ou de l\u2018exercice de tout autre droit \u2013 e\u00fbt-elle \u00e9t\u00e9 incompl\u00e8te ou fond\u00e9e sur une disposition erron\u00e9e ou \u00e0 l\u2019appui d\u2019une mauvaise compr\u00e9hension ou interpr\u00e9tation du droit invoqu\u00e9 \u2013 ne peut servir de pr\u00e9texte au responsable de traitement pour ne pas y donner une suite utile. Ceci doit \u00eatre examin\u00e9 au cas par cas.
\n 140. Dans le cas d\u2019esp\u00e8ce, \u00e0 la lecture des emails \u00e9chang\u00e9s entre les parties, la Chambre Contentieuse est d\u2019avis qu\u2019il ne ressort pas suffisamment que la plaignante a demand\u00e9 l\u2019exercice de son droit d\u2019acc\u00e8s. Dans ses emails, la plaignante demande en effet principalement des explications sur les proc\u00e9dures d\u2019acc\u00e8s aux donn\u00e9es de la CCP, et sur les sanctions contre un employ\u00e9 abusant de son acc\u00e8s au fichier, dont son ex-mari35.
\n 141. N\u00e9anmoins, bien qu\u2019il convient de distinguer des emails demandant des explications quant aux proc\u00e9dures d\u2019acc\u00e8s aux donn\u00e9es de la CCP ainsi que sur les sanctions contre un employ\u00e9 abusant de son acc\u00e8s au fichier d\u2019une demande d\u2019acc\u00e8s \u00e0 ses donn\u00e9es personnelles, la Chambre Contentieuse rappelle que le SPL a formellement demand\u00e9 \u00e0 la d\u00e9fenderesse (pour le compte de la plaignante), dans son courrier du 21 octobre (pi\u00e8ce 4 de la plaignante), de faire parvenir \u00e0 la plaignante les informations au titre de l\u2019article 14 et de faire suite \u00e0 son droit d\u2019acc\u00e8s aux donn\u00e9es d\u00e9tenues par la d\u00e9fenderesse. La d\u00e9fenderesse n\u2019a pas fait suite \u00e0 ce courrier.
\n 142. La d\u00e9fenderesse a donc viol\u00e9 l\u2019article 15 RGPD en ne faisant pas suite \u00e0 la demande d\u2019acc\u00e8s de la plaignante.
\n II.5- Quant \u00e0 l\u2019ind\u00e9pendance de la D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es
\n 143. La plaignante avance que la D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es (DPO) de la d\u00e9fenderesse ne remplit pas la condition d\u2019ind\u00e9pendance ressortant de l\u2019article 38.3 RGPD, en raison de son parcours professionnel ant\u00e9rieur, du cumul de ses fonctions de DPO avec celles de CISO (Chief Information Security Officer), et en raison du fait qu\u2019elle aurait \u00ab repr\u00e9sent\u00e9 les int\u00e9r\u00eats \u00bb de la d\u00e9fenderesse lors de ses interactions avec la plaignante. Ces arguments sont examin\u00e9s successivement ci-dessous.
\n II.5.1-Le parcours professionnel de la DPO n\u2019entraine pas de conflit d\u2019int\u00e9r\u00eat
\n 144. La plaignante soutient que la DPO aurait \u00e9t\u00e9 ant\u00e9rieurement la directrice du service juridique de la d\u00e9fenderesse. Or, la d\u00e9fenderesse explique que la DPO a bien occup\u00e9 cette fonction, mais au sein de la compagnie \u00ab W \u00bb, n\u2019ayant aucun lien avec elle. Cet argument est donc rejet\u00e9.
\n II.5.2-Le cumul de fonctions de DPO et CISO n\u2019entraine pas de conflit d\u2019int\u00e9r\u00eat
\n 145. L\u2019article 38.6 RGPD stipule que \u00ab Le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es peut ex\u00e9cuter d’autres missions et t\u00e2ches. Le responsable du traitement ou le sous-traitant veillent \u00e0 ce que ces missions et t\u00e2ches n\u2019entra\u00eenent pas de conflit d\u2019int\u00e9r\u00eats \u00bb.
\n 146. Les lignes directrices de l\u2019EDPB enseignent que le DPO \u00ab ne peut exercer au sein de l\u2019organisme une fonction qui l\u2019am\u00e8ne \u00e0 d\u00e9terminer les finalit\u00e9s et les moyens du traitement de donn\u00e9es \u00e0 caract\u00e8re personnel. En raison de la structure organisationnelle sp\u00e9cifique de chaque organisme, cet aspect doit \u00eatre \u00e9tudi\u00e9 au cas par cas. \u00bb 36
\n 147. Il s’agit donc d’un conflit d’int\u00e9r\u00eats substantiel, pouvant surgir notamment lorsque la m\u00eame personne est susceptible d\u2019agir \u00e0 la fois en position de contr\u00f4leur et de contr\u00f4l\u00e9 (par exemple un responsable de projet ou d\u00e9partement impliquant un traitement de donn\u00e9es, qui exercerait \u00e0 la fois la fonction de DPO alors qu\u2019il serait amen\u00e9 en cette qualit\u00e9 \u00e0 contr\u00f4ler la conformit\u00e9 du traitement dans le cadre de son projet).
\n 148. Il s\u2019agit notamment de prendre en compte le pouvoir d\u00e9cisionnel ou non qu\u2019a le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es dans l\u2019exercice de son autre fonction37.
\n 149. La plaignante soul\u00e8ve un conflit d\u2019int\u00e9r\u00eat dans le cumul des fonctions de DPO et CISO par une m\u00eame personne au sein de la d\u00e9fenderesse car celle-ci exercerait un pouvoir de d\u00e9cision quant aux mesures techniques et organisationnelles mises en place au sein de la SA, mesures que la plaignante estime insuffisante et contraires \u00e0 l\u2019article 32 RGPD.
\n 150. La d\u00e9fenderesse explique dans ses conclusions ainsi que lors de l\u2019audition que les fonctions de DPO et de CISO ne sont pas des fonctions ex\u00e9cutives, mais des fonctions de conseil, d\u2019identification de risques. Lors de l\u2019audition, la DPO de la d\u00e9fenderesse a explicit\u00e9 qu\u2019elle pr\u00e9sente, au management de l\u2019entreprise, les risques et leur importance et qu\u2019il revient \u00e0 ce management de d\u00e9cider si les mesures mises en place sont suffisantes pour rem\u00e9dier aux risques. Elle a par ailleurs pr\u00e9cis\u00e9 qu\u2019en cas de d\u00e9saccord entre elle et le management concernant les mesures prises et nonobstant les remarques adress\u00e9es \u00e0 ce dernier, la d\u00e9cision n\u2019est pas de son ressort. Elle pr\u00e9cise en outre que les mesures de s\u00e9curit\u00e9 rel\u00e8vent de la direction informatique, et non pas de celle du CISO.
\n 151. Elle indique aussi que dans l\u2019organigramme de la SA d\u00e9fenderesse, les fonctions de CISO et DPO ressortent de la \u00ab deuxi\u00e8me ligne de d\u00e9fense \u00bb, la premi\u00e8re \u00e9tant constitu\u00e9e par les fonctions op\u00e9rationnelles, \u00e0 l\u2019inverse de la seconde.
\n 152. Dans la mesure o\u00f9 le CISO n\u2019est pas, dans le cas d\u2019esp\u00e8ce, responsable d\u2019un d\u00e9partement op\u00e9rationnel38, la plaignante ne peut \u00eatre suivi lorsqu\u2019elle avance que la personne \u00e9tant \u00e0 la fois DPO et CISO exerce un pouvoir de d\u00e9cision quant aux mesures techniques et organisationnelles mises en place au sein de la d\u00e9fenderesse.
\n II.5.3-La teneur des r\u00e9ponses de la DPO \u00e0 la plaignante n\u2019indique pas une violation de son r\u00f4le
\n 153. L\u2019article 38.4 RGPD indique que \u00ab Les personnes concern\u00e9es peuvent prendre contact avec le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es au sujet de toutes les questions relatives au traitement de leurs donn\u00e9es \u00e0 caract\u00e8re personnel et \u00e0 l’exercice des droits que leur conf\u00e8re le pr\u00e9sent r\u00e8glement \u00bb.
\n 154. Le DPO agit donc, entre autres, comme point de contact pour les personnes qui souhaitent exercer leurs droits aupr\u00e8s du responsable de traitement.
\n 155. La plaignante avance que la DPO aurait pris fait et cause pour la d\u00e9fenderesse (son employeur), au lieu d\u2019instruire la plainte formul\u00e9e par la plaignante de fa\u00e7on ind\u00e9pendante. Ce faisant, la plaignante se base sur la teneur des r\u00e9ponses formul\u00e9es par la DPO aux emails de la plaignante, dont il ressort qu\u2019elle utilise les termes \u00ab nous \u00bb (\u00ab nous ne pouvons vous donner plus d\u2019informations \u00bb, \u00ab nous avons pr\u00e9sent\u00e9 nos excuses \u00bb, \u00ab nous avons bien entendu pris les mesures coercitives \u00bb \u2026).
\n 156. Or, bien que la plaignante ait exprim\u00e9 sa frustration quant \u00e0 la qualit\u00e9 de l\u2019accompagnement de la DPO pour la facilitation de ses droits, il ne ressort pas de l\u2019analyse des \u00e9changes \u00e9crits entre la plaignante et la DPO que celle-ci ne se serait pas comport\u00e9 en conformit\u00e9 avec son r\u00f4le. Comme la DPO l\u2019a indiqu\u00e9 lors de l\u2019audition, les demandes de la plaignante s\u2019axaient principalement sur la sanction encourue par son ex-mari, ce qui ne rel\u00e8ve pas des donn\u00e9es personnelles de la plaignante. La Chambre Contentieuse rappelle par ailleurs que la DPO est tenue au devoir de confidentialit\u00e9 (article 38.5), et suit celle-ci lorsqu\u2019elle explique \u00e0 l\u2019audition qu\u2019elle ne pouvait pour cette raison pas r\u00e9pondre \u00e0 la plaignante concernant les sanctions encourues par son ex-mari.
\n 157. En conclusion, la plaignante ne peut \u00eatre suivie lorsqu\u2019elle avance que la DPO ne remplit pas la condition d\u2019ind\u00e9pendance en raison de son parcours professionnel ant\u00e9rieur, du cumul de ses fonctions de DPO avec celles de CISO, et en raison du fait qu\u2019elle aurait \u00ab repr\u00e9sent\u00e9 les int\u00e9r\u00eats \u00bb de la d\u00e9fenderesse lors de ses interactions avec la plaignante.
\n 158. Il n\u2019y a donc pas de violation de l\u2019article 38 RGPD.
\n 4. Quant aux mesures correctrices et aux sanctions
\n 4.1- Les mesures correctrices et sanctions
\n Aux termes de l\u2019article 100 LCA, la Chambre Contentieuse a le pouvoir de :
\n 1\u00b0 classer la plainte sans suite ;
\n 2\u00b0 ordonner le non-lieu ;
\n 3\u00b0 prononcer une suspension du prononc\u00e9 ;
\n 4\u00b0 proposer une transaction ;
\n 5\u00b0 formuler des avertissements ou des r\u00e9primandes ;
\n 6\u00b0 ordonner de se conformer aux demandes de la personne concern\u00e9e d’exercer ces droits;
\n 7\u00b0 ordonner que l’int\u00e9ress\u00e9 soit inform\u00e9 du probl\u00e8me de s\u00e9curit\u00e9;
\n 8\u00b0 ordonner le gel, la limitation ou l’interdiction temporaire ou d\u00e9finitive du traitement;
\n 9\u00b0 ordonner une mise en conformit\u00e9 du traitement;
\n 10\u00b0 ordonner la rectification, la restriction ou l’effacement des donn\u00e9es et la notification de celles-ci aux r\u00e9cipiendaires des donn\u00e9es;
\n 11\u00b0 ordonner le retrait de l’agr\u00e9ation des organismes de certification;
\n 12\u00b0 donner des astreintes;
\n 13\u00b0 donner des amendes administratives;
\n 14\u00b0 ordonner la suspension des flux transfronti\u00e8res de donn\u00e9es vers un autre Etat ou un organisme international;
\n 15\u00b0 transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l’informe des suites donn\u00e9es au dossier;
\n 16\u00b0 d\u00e9cider au cas par cas de publier ses d\u00e9cisions sur le site internet de l’Autorit\u00e9 de protection des donn\u00e9es.
\n 159. L\u2019article 100 pr\u00e9cit\u00e9 sp\u00e9cifie la liste des sanctions de l\u2019article 58.2 du RGPD.
\n Quant \u00e0 l\u2019amende administrative qui peut \u00eatre impos\u00e9e en ex\u00e9cution de l\u2019 articles 83 du RGPD et des articles 100, 13\u00b0 et 101 LCA, l\u2019article 83 du RGPD pr\u00e9voit :
\n \u00ab 1. Chaque autorit\u00e9 de contr\u00f4le veille \u00e0 ce que les amendes administratives impos\u00e9es en vertu du pr\u00e9sent article pour des violations du pr\u00e9sent r\u00e8glement, vis\u00e9es aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionn\u00e9es et dissuasives.
\n 2. Selon les caract\u00e9ristiques propres \u00e0 chaque cas, les amendes administratives sont impos\u00e9es en compl\u00e9ment ou \u00e0 la place des mesures vis\u00e9es \u00e0 l’article 58, paragraphe 2, points a) \u00e0 h), et j). Pour d\u00e9cider s’il y a lieu d’imposer une amende administrative et pour d\u00e9cider du montant de l’amende administrative, il est d\u00fbment tenu compte, dans chaque cas d’esp\u00e8ce, des \u00e9l\u00e9ments suivants :
\n a) la nature, la gravit\u00e9 et la dur\u00e9e de la violation, compte tenu de la nature, de la port\u00e9e ou de la finalit\u00e9 du traitement concern\u00e9, ainsi que du nombre de personnes concern\u00e9es affect\u00e9es et le niveau de dommage qu’elles ont subi;
\n b) le fait que la violation a \u00e9t\u00e9 commise d\u00e9lib\u00e9r\u00e9ment ou par n\u00e9gligence ;
\n c) toute mesure prise par le responsable du traitement ou le sous-traitant pour att\u00e9nuer le dommage subi par les personnes concern\u00e9es;
\n d) le degr\u00e9 de responsabilit\u00e9 du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en oeuvre en vertu des articles 25 et 32;
\n e) toute violation pertinente commise pr\u00e9c\u00e9demment par le responsable du traitement ou le sous-traitant;
\n f) le degr\u00e9 de coop\u00e9ration \u00e9tabli avec l’autorit\u00e9 de contr\u00f4le en vue de rem\u00e9dier \u00e0 la violation et d’en att\u00e9nuer les \u00e9ventuels effets n\u00e9gatifs;
\n g) les cat\u00e9gories de donn\u00e9es \u00e0 caract\u00e8re personnel concern\u00e9es par la violation;
\n h) la mani\u00e8re dont l’autorit\u00e9 de contr\u00f4le a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifi\u00e9 la violation;
\n i) lorsque des mesures vis\u00e9es \u00e0 l’article 58, paragraphe 2, ont \u00e9t\u00e9 pr\u00e9c\u00e9demment ordonn\u00e9es \u00e0 l’encontre du responsable du traitement ou du sous-traitant concern\u00e9 pour le m\u00eame objet, le respect de ces mesures;
\n j) l’application de codes de conduite approuv\u00e9s en application de l’article 40 ou de m\u00e9canismes de certification approuv\u00e9s en application de l’article 42; et
\n k) toute autre circonstance aggravante ou att\u00e9nuante applicable aux circonstances de l’esp\u00e8ce, telle que les avantages financiers obtenus ou les pertes \u00e9vit\u00e9es, directement ou indirectement, du fait de la violation \u00bb.
\n 160. Il importe de contextualiser le manquement aux articles 32, combin\u00e9 aux articles 5 et 24, et 15 RGPD en vue d\u2019identifier les mesures correctrices les plus adapt\u00e9es.
\n 161. Dans ce cadre, la Chambre Contentieuse tiendra compte de l\u2019ensemble des circonstances de l\u2019esp\u00e8ce, en ce compris – dans les limites qu\u2019elle pr\u00e9cise ci-apr\u00e8s – de la r\u00e9action communiqu\u00e9e par la d\u00e9fenderesse au montant d\u2019amende envisag\u00e9e qui lui a \u00e9t\u00e9 communiqu\u00e9 (voir r\u00e9troactes de la proc\u00e9dure ). A cet \u00e9gard, la Chambre Contentieuse pr\u00e9cise que ledit formulaire mentionne express\u00e9ment qu\u2019il n\u2019implique pas de r\u00e9ouverture des d\u00e9bats. Il poursuit comme seul but de recueillir la r\u00e9action de la d\u00e9fenderesse sur le montant de l\u2019amende envisag\u00e9e.
\n 162. La Chambre Contentieuse tient \u00e9galement \u00e0 pr\u00e9ciser qu\u2019il lui appartient souverainement en qualit\u00e9 d\u2019autorit\u00e9 administrative ind\u00e9pendante – dans le respect des articles pertinents du RGPD et de la LCA – de d\u00e9terminer la\/les mesure(s) correctrice(s) et sanction(s) appropri\u00e9e(s).
\n 163. Ainsi, il n\u2019appartient pas \u00e0 la plaignante de solliciter de la Chambre Contentieuse quelle ordonne telle ou telle mesure correctrice ou sanction. Si, nonobstant ce qui pr\u00e9c\u00e8de, le\/la plaignant(e) devait n\u00e9anmoins demander \u00e0 la Chambre Contentieuse qu\u2019elle prononce l\u2019une ou l\u2019autre mesure et\/ou sanction, il n\u2019incombe pas d\u00e8s lors \u00e0 cette derni\u00e8re de motiver pourquoi elle ne retiendrait pas l\u2019une ou l\u2019autre demande formul\u00e9e par le\/la plaignant(e). Ces consid\u00e9rations laissent intacte l\u2019obligation pour la Chambre Contentieuse de motiver le choix des mesures et sanctions auxquelles elle juge, (parmi la liste des mesures et sanctions mises \u00e0 sa disposition par les articles 58 du RGPD et 100 de la LCA) appropri\u00e9 de condamner la partie mise en cause.
\n 164. En l\u2019esp\u00e8ce, la Chambre Contentieuse rel\u00e8ve que la plaignante sollicite notamment de la Chambre Contentieuse qu\u2019elle ordonne une mise en conformit\u00e9 au RGPD (notamment \u00e0 l\u2019article 32, combin\u00e9 aux articles 5 et 24) des consultations du CCP des cadres.
\n 165. La plaignante sollicite aussi l\u2019imposition d\u2019une amende administrative. La Chambre Contentieuse souligne qu\u2019il lui revient de veiller \u00e0 une application efficace des r\u00e8gles du RGPD. D\u2019autres mesures, telles l\u2019ordre de mise en conformit\u00e9 ou l\u2019interdiction de poursuivre certains traitements par exemple, permettent quant \u00e0 elles de mettre fin \u00e0 un manquement constat\u00e9. Comme cela ressort du consid\u00e9rant 148 du RGPD, les sanctions, y compris les amendes administratives, sont inflig\u00e9es en cas de violations s\u00e9rieuses, en compl\u00e9ment ou \u00e0 la place des mesures appropri\u00e9es qui s\u2019imposent. D\u00e8s lors, l\u2019amende administrative peut assur\u00e9ment venir sanctionner un manquement grave auquel il aurait \u00e9t\u00e9 rem\u00e9di\u00e9 en cours de proc\u00e9dure ou qui serait sur le point de l\u2019\u00eatre. Il n\u2019en demeure pas moins que la Chambre Contentieuse tiendra compte des mesures prises suite \u00e0 l\u2019incident dans la fixation du montant de l\u2019amende.
\n 4.2- Quant aux manquements
\n 166. La Chambre Contentieuse a constat\u00e9 un manquement \u00e0 l\u2019article 32, combin\u00e9 aux articles 5 et 24, ainsi qu\u2019\u00e0 l\u2019article 15 RGPD.
\n 167. La Chambre Contentieuse prend par ailleurs acte du fait que la d\u00e9fenderesse a d\u00e8s ses conclusions et lors de l\u2019audition, reconnu qu\u2019un manquement \u00e0 l\u2019article 32 peut lui \u00eatre reproch\u00e9 39.
\n Elle a par ailleurs explicit\u00e9 une mesure organisationnelle nouvelle instaur\u00e9e suite \u00e0 l\u2019incident (seuls deux cadres disposent \u00e0 pr\u00e9sent des acc\u00e8s au registre CCP de la BNB, et ils en tiennent dor\u00e9navant un registre qui sera compar\u00e9 \u00e0 celui tenu par la BNB par mesure de contr\u00f4le).
\n 168. Bien qu\u2019elle prend acte de ces efforts, la Chambre Contentieuse est d\u2019avis qu\u2019ils ne sont pas suffisants et que d\u2019autres mesures doivent \u00eatre apport\u00e9es par la d\u00e9fenderesse pour se mettre en conformit\u00e9 avec ses obligations d\u00e9coulant du RGPD. Partant, la Chambre Contentieuse lui impose un ordre de mise en conformit\u00e9 du processus des acc\u00e8s par les cadres au CCP. Elle recommande par ailleurs fortement la tenue d\u2019un registre journal des acc\u00e8s, \u00e0 comparer avec celui tenu par la BNB, et en conformit\u00e9 avec toutes les indications mentionn\u00e9es supra (voir supra II.2.2).
\n 169. La Chambre Contentieuse estime par ailleurs que la nature sensible des donn\u00e9es trait\u00e9es \u00e0 grande \u00e9chelle par la d\u00e9fenderesse aurait d\u00fb la mener \u00e0 un renforcement de sa conformit\u00e9 aux principes susmentionn\u00e9s du GDPR (dont la s\u00e9curit\u00e9 des traitements) bien avant, notamment par anticipation des risques li\u00e9s \u00e0 de tels manquements.
\n 170. Outre cet ordre de mise en conformit\u00e9, la Chambre Contentieuse est d\u2019avis qu\u2019en compl\u00e9ment, une amende administrative est en l\u2019esp\u00e8ce justifi\u00e9e pour les motifs ci-apr\u00e8s, motifs analys\u00e9s sur base de l\u2019article 83.2 RGPD et conform\u00e9ment \u00e0 l\u2019enseignement r\u00e9cent de la Cour des March\u00e9s.40
\n 171. Les droits des personnes concern\u00e9es, ainsi que le principe de s\u00e9curit\u00e9, font partie de l’essence du RGPD et leur violation sont punies des amendes les plus \u00e9lev\u00e9es, conform\u00e9ment \u00e0 l’article 83.5 RGPD. Dans cet esprit, ces manquements s\u00e9rieux peuvent \u00eatre sanctionn\u00e9s d\u2019amendes proportionnellement \u00e9lev\u00e9es, en fonction des circonstances du cas d\u2019esp\u00e8ce. A cet \u00e9gard, on peut citer les Lignes directrices du Groupe 29 sur l\u2019application et la fixation des amendes administratives41, selon lesquelles :
\n \u00ab Les amendes sont un instrument important que les autorit\u00e9s de contr\u00f4le devraient utiliser dans les circonstances appropri\u00e9es. Les autorit\u00e9s de contr\u00f4le sont encourag\u00e9es \u00e0 adopter une approche m\u00fbrement r\u00e9fl\u00e9chie et \u00e9quilibr\u00e9e lorsqu\u2019elles appliquent des mesures correctives afin de r\u00e9agir \u00e0 la violation d\u2019une mani\u00e8re tant effective et dissuasive que proportionn\u00e9e. Il ne s\u2019agit pas de consid\u00e9rer les amendes comme un recours ultime ni de craindre de les imposer, mais, en revanche, elles ne doivent pas non plus \u00eatre utilis\u00e9es de telle mani\u00e8re que leur efficacit\u00e9 s\u2019en trouverait amoindrie. \u00bb
\n 172. Dans son alin\u00e9a a), l\u2019article 83.2. concerne \u00ab la nature, la gravit\u00e9 et la dur\u00e9e de la violation, compte tenu de la nature, de la port\u00e9e ou de la finalit\u00e9 du traitement concern\u00e9, ainsi que du nombre de personnes concern\u00e9es affect\u00e9es et le niveau de dommage qu’elles ont subi \u00bb.
\n 173. Dans le cas d\u2019esp\u00e8ce, la Chambre Contentieuse rel\u00e8ve que tant le principe de s\u00e9curit\u00e9 (article 5.1, f) RGPD) (et les obligations qui en d\u00e9coulent \u2013 article 32 du RGPD) que le droit d\u2019acc\u00e8s (article 15), sont des principes essentiels du r\u00e9gime de protection mis en place par le RGPD. Le principe de responsabilit\u00e9 \u00e9nonc\u00e9 \u00e0 l\u2019article 5.2. du RGPD et d\u00e9velopp\u00e9 \u00e0 l\u2019article 24 est par ailleurs au c\u0153ur du RGPD et traduit le changement de paradigme amen\u00e9 par celui-ci, soit un basculement d\u2019un r\u00e9gime qui s\u2019appuyait sur des d\u00e9clarations et autorisations pr\u00e9alables de l\u2019autorit\u00e9 de contr\u00f4le vers une plus grande responsabilisation et responsabilit\u00e9 du responsable de traitement. Le respect de ses obligations par ce dernier et sa capacit\u00e9 \u00e0 le d\u00e9montrer n\u2019en sont d\u00e8s lors que plus importants. Les manquements \u00e0 ces principes sont constitutifs de manquements graves.
\n 174. Concernant plus sp\u00e9cifiquement la nature des donn\u00e9es consult\u00e9es de fa\u00e7on abusive, la Chambre souligne que la d\u00e9fenderesse est active dans le secteur bancaire et traite des volumes importants de donn\u00e9es financi\u00e8res sensibles (des donn\u00e9es relatives aux cr\u00e9dits des personnes concern\u00e9es).
\n Les donn\u00e9es relatives aux cr\u00e9dits de la plaignante ont en l\u2019esp\u00e8ce \u00e9t\u00e9 consult\u00e9es abusivement sur une p\u00e9riode s\u2019\u00e9tendant d\u2019avril 2016 \u00e0 ao\u00fbt 2018, et ce \u00e0 pas moins de 20 reprises. La Chambre en conclut que les consultations abusives en question, tant par leur nature, que leur gravit\u00e9 et leur dur\u00e9e sont constitutives d\u2019infractions s\u00e9rieuses.
\n 175. Elle note aussi qu\u2019en l\u2019absence de plainte introduite par la plaignante, il n\u2019est pas d\u00e9raisonnable de penser que de telles consultations abusives auraient pu continuer et rester impunies, puisque c\u2019est suite \u00e0 la plainte que la d\u00e9fenderesse a pris des mesures additionnelles et sanctionn\u00e9 son employ\u00e9 fautif.
\n 176. Par ailleurs, la Chambre Contentieuse rel\u00e8ve que les donn\u00e9es personnelles de pr\u00e8s de 6 millions de personnes figurent dans le registre CCP de la BNB, et que les employ\u00e9s de la d\u00e9fenderesse, dont les cadres, les consultent de fa\u00e7on r\u00e9guli\u00e8re.
\n 177. Quant \u00e0 la question de savoir si les manquements ont \u00e9t\u00e9 commis d\u00e9lib\u00e9r\u00e9ment ou non (par n\u00e9gligence) (art. 83.2.b) du RGPD), la Chambre Contentieuse rappelle que \u00ab non d\u00e9lib\u00e9r\u00e9ment \u00bb signifie qu\u2019il n\u2019y a pas eu d\u2019intention de commettre la violation, bien que le responsable du traitement n\u2019ait pas respect\u00e9 l\u2019obligation de diligence qui lui incombe en vertu de la l\u00e9gislation. En l\u2019esp\u00e8ce, la Chambre Contentieuse est d\u2019avis que les manquements constat\u00e9s – fussent-ils graves – ne traduisent pas une intention d\u00e9lib\u00e9r\u00e9e de violer le RGPD dans le chef de la d\u00e9fenderesse.
\n L\u2019alin\u00e9a d) de l\u2019article 83.2 RGPD revient ensuite sur le degr\u00e9 de responsabilit\u00e9 du responsable du traitement, compte tenu des mesures techniques et organisationnelles (article 32 RGPD). La Chambre renvoi ici aux d\u00e9veloppements supra, desquels il ressort que la d\u00e9fenderesse n\u2019avait mis en place aucune mesure de s\u00e9curit\u00e9 concernant l\u2019acc\u00e8s des cadres aux donn\u00e9es du registre CCP avant les consultations abusives. Il ressort aussi des d\u00e9clarations de la DPO de la d\u00e9fenderesse que suite \u00e0 cet incident, l\u2019unique nouvelle mesure mise en place \u00e0 cet effet reste limit\u00e9e (r\u00e9duction du nombre de cadres ayant acc\u00e8s au registre CCP de cinq \u00e0 deux et tenue par ces cadres d\u2019un registre des acc\u00e8s).
\n 178. Enfin, l\u2019article 83.2.e) concerne \u00ab toute violation pertinente commise pr\u00e9c\u00e9demment par le responsable du traitement ou le sous-traitant \u00bb. La Chambre Contentieuse note \u00e0 cet \u00e9gard que le groupe dont fait partie la d\u00e9fenderesse a \u00e9t\u00e9 sanctionn\u00e9 par une autre autorit\u00e9 de contr\u00f4le.
\n 179. La Chambre note les efforts de la d\u00e9fenderesse concernant ses employ\u00e9s collaborateurs (nouvelle formation au RGPD, sensibilisation du personnel\u2026) mais rel\u00e8ve, comme indiqu\u00e9 supra, que les mesures de s\u00e9curit\u00e9 additionnelles sp\u00e9cifiques aux acc\u00e8s des cadres demeurent faibles. La seule mesure nouvelle suite \u00e0 l\u2019incident consiste en effet en une r\u00e9duction de 5 \u00e0 2 cadres pouvant acc\u00e9der au CCP. La Chambre remarque aussi que la d\u00e9fenderesse s\u2019est seulement rendue compte en d\u00e9cembre 2020 de la possibilit\u00e9 de comparer la liste d\u2019acc\u00e8s des cadres qu\u2019elle tient (dor\u00e9navant) avec celle tenue par la BNB, alors que la plaignante a notifi\u00e9 les consultations abusives et qu\u2019elles ont \u00e9t\u00e9 reconnues par leur auteur (l\u2019ex-mari de la plaignante) d\u00e8s 2019.
\n 180. La Chambre Contentieuse constate que les autres crit\u00e8res de l\u2019article 83.2. du RGPD ne sont ni pertinents ni susceptibles d\u2019influer sur sa d\u00e9cision quant \u00e0 l\u2019imposition d\u2019une amende administrative et son montant. Aux termes de l\u2019article 83.5 a) RGPD, les violations de toutes ces dispositions peuvent s\u2019\u00e9lever jusqu\u2019\u00e0 20.000.000 d\u2019euros ou dans le cas d\u2019une entreprise, jusqu\u2019\u00e0 4% du chiffre d\u2019affaire annuel mondial total de l\u2018exercice pr\u00e9c\u00e9dent. Les montants maxima d\u2019amende pouvant \u00eatre appliqu\u00e9s en cas de violation de ces dispositions sont sup\u00e9rieurs \u00e0 ceux pr\u00e9vus pour d\u2019autres types de manquements list\u00e9s \u00e0 l\u2019article 83.4. du RGPD. S\u2019agissant de manquements \u00e0 un droit fondamental, consacr\u00e9 \u00e0 l\u2019article 8 de la Charte des droits fondamentaux de l\u2019Union europ\u00e9enne, l\u2019appr\u00e9ciation de leur gravit\u00e9 se fera, comme la Chambre Contentieuse a d\u00e9j\u00e0 eu l\u2019occasion de le souligner, \u00e0 l\u2019appui de l\u2019article 83.2.a) du RGPD, de mani\u00e8re autonome 42.
\n 181. La Chambre Contentieuse rappelle le prescrit de l\u2019article 83.4 RGPD, qui \u00e9num\u00e8re les manquements pour lesquels l\u2019amende peut s\u2019\u00e9lever \u00e0 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’\u00e0 2 % du chiffre d’affaires annuel mondial total de l’exercice pr\u00e9c\u00e9dent, le montant le plus \u00e9lev\u00e9 des deux \u00e9tant d\u2019application. Les manquements aux articles 8, 11, 25 \u00e0 39, 42 et 43 sont retenus. De telles infractions couvrent donc, entre autres, un manquement \u00e0 l\u2019obligation d\u2019instaurer des mesures techniques et organisationnelles appropri\u00e9es pour assurer la conformit\u00e9 au GDPR, un manquement \u00e0 l\u2019obligation de s\u00e9curit\u00e9 des traitements, \u00e0 l\u2019obligation de protection des donn\u00e9es d\u00e8s la conception et protection des donn\u00e9es par d\u00e9faut, ou encore \u00e0 l\u2019obligation de garder des registres des traitements. En l\u2019esp\u00e8ce, comme indiqu\u00e9 supra, la Chambre Contentieuse rel\u00e8ve tant un manquement \u00e0 l\u2019obligation d\u2019instaurer des mesures techniques et organisationnelles appropri\u00e9es pour assurer la conformit\u00e9 au GDPR, qu\u2019\u00e0 l\u2019obligation de s\u00e9curit\u00e9 des traitements, ainsi qu\u2019\u00e0 l\u2019obligation de protection des donn\u00e9es d\u00e8s la conception et protection des donn\u00e9es par d\u00e9faut . Le montant maximum de l\u2019amende dans le cas d\u2019esp\u00e8ce, telle que pr\u00e9vu par l\u2019article 83.5 est donc de 10.000.000 EUR.
\n 182. La d\u00e9fenderesse fait par ailleurs partie d\u2019une grande multinationale, ce qu\u2019elle a confirm\u00e9 lors de l\u2019audition. Dans sa d\u00e9termination du montant de l\u2019amende, la Chambre contentieuse tient compte de la notion d\u2019entreprise (article 83. 5 du RGPD). La Chambre Contentieuse tient \u00e9galement compte de l\u2019opinion du Comit\u00e9 Europ\u00e9en de la Protection des donn\u00e9es dont elle retient tout particuli\u00e8rement ce qui suit:
\n \u00ab Pour infliger des amendes effectives, proportionn\u00e9es et dissuasives, les autorit\u00e9s de contr\u00f4le s\u2019en remettront \u00e0 la d\u00e9finition de la notion d\u2019entreprise fournie par la CJUE aux fins de l\u2019application des articles 101 et 102 du trait\u00e9 FUE, \u00e0 savoir que la notion d\u2019entreprise doit s\u2019entendre comme une unit\u00e9 \u00e9conomique pouvant \u00eatre form\u00e9e par la soci\u00e9t\u00e9 m\u00e8re et toutes les filiales concern\u00e9es. Conform\u00e9ment au droit et \u00e0 la jurisprudence de l\u2019Union, il y a lieu d\u2019entendre par entreprise l\u2019unit\u00e9 \u00e9conomique engag\u00e9e dans des activit\u00e9s commerciales ou \u00e9conomiques, quelle que soit la personne morale impliqu\u00e9e (consid\u00e9rant 150). \u00bb
\n 183. En conclusion, au regard des \u00e9l\u00e9ments d\u00e9velopp\u00e9s ci-dessus propres \u00e0 cette affaire, la Chambre Contentieuse estime que les manquement susmentionn\u00e9s justifient qu\u2019au titre de sanction effective, proportionn\u00e9e et dissuasive telle que pr\u00e9vue \u00e0 l\u2019article 83 du RGPD et compte tenu des facteurs d\u2019appr\u00e9ciation list\u00e9s \u00e0 l\u2019article 83.2 RGPD et de la r\u00e9action de la d\u00e9fenderesse au formulaire d\u2019amende envisag\u00e9e, un ordre de mise en conformit\u00e9 assorti d\u2019une amende administrative d\u2019un montant de 100.000 euros (article 100.1, 13\u00b0 et 101 LCA) soient prononc\u00e9s \u00e0 l\u2019encontre de la d\u00e9fenderesse.
\n 184. Le montant de 100.000 euros demeure eu \u00e9gard \u00e0 ces \u00e9l\u00e9ments proportionn\u00e9 aux manquements d\u00e9nonc\u00e9s. Ce montant demeure en outre largement inf\u00e9rieur au montant maximum pr\u00e9vu par l\u2019article 83.5 RGPD, de 10.000.000 euros (voir supra).
\n 185. Ce montant se justifie pour les raisons \u00e9nonc\u00e9es supra, y compris la nature sensible des donn\u00e9es faisant l\u2019objet des traitements litigieux (donn\u00e9es financi\u00e8res relatives au cr\u00e9dit de la plaignante), la p\u00e9riode \u00e9tendue durant lequel les traitements ont eu lieu, ou encore le nombre de reprises \u00e9lev\u00e9es auquel ces traitements ont eu lieu (20). D\u2019autres consid\u00e9rations justifiant ce montant se fondent sur le fait que peu de mesures additionnelles ont \u00e9t\u00e9 mises en place depuis l\u2019incident par la d\u00e9fenderesse pour renforcer la s\u00e9curit\u00e9 de ses traitements, sur le fait que sans l\u2019introduction de la plainte, il n\u2019est pas d\u00e9raisonnable de penser que les consultations abusives auraient pu continuer sans que l\u2019attention de la d\u00e9fenderesse ne soit attir\u00e9e sur les failles dans ses mesures de s\u00e9curit\u00e9, qui par ailleurs traite un volume important de donn\u00e9es financi\u00e8res sensibles (6 millions de consultations au registre CCP par an, selon ses d\u00e9clarations). La Chambre Contentieuse est d\u2019avis qu\u2019un montant d\u2019amende inf\u00e9rieur ne rencontrerait pas, en l\u2019esp\u00e8ce, les crit\u00e8res requis par l\u2019article 83.1. du RGPD selon lesquels l\u2019amende administrative doit \u00eatre non seulement proportionn\u00e9e, mais \u00e9galement effective et dissuasive. Ce \u00e9l\u00e9ments constituent une sp\u00e9cification de l\u2019obligation g\u00e9n\u00e9rale des \u00c9tats membres sous le droit de l\u2019Union Europ\u00e9enne, bas\u00e9 sur le principe de coop\u00e9ration loyale (article 4.3 du Trait\u00e9 sur l\u2019Union europ\u00e9enne).
\n 186. Vu l\u2019importance de la transparence concernant le processus d\u00e9cisionnel de la Chambre Contentieuse et conform\u00e9ment \u00e0 l\u2019article 100.1er, 16\u00b0 de la LCA, la pr\u00e9sente d\u00e9cision est publi\u00e9e sur le site Internet de l\u2019Autorit\u00e9 de protection des donn\u00e9es en supprimant les donn\u00e9es d\u2019identification des parties, vu que celles-ci ne sont ni n\u00e9cessaires ni pertinentes dans le cadre de la publication de la pr\u00e9sente d\u00e9cision.
\n POUR CES MOTIFS,
\n la Chambre Contentieuse de l’Autorit\u00e9 de protection des donn\u00e9es d\u00e9cide, apr\u00e8s d\u00e9lib\u00e9ration :
\n – d’ordonner \u00e0 la d\u00e9fenderesse, conform\u00e9ment \u00e0 l’article 100, \u00a7 1er, 9\u00b0 de la LCA, de mettre l\u2019acc\u00e8s au registre CCP de la BNB par les employ\u00e9s cadres en conformit\u00e9 avec les articles 5.1.f et 32 du RGPD. \u00c0 cet effet, la Chambre Contentieuse accorde \u00e0 la d\u00e9fenderesse un d\u00e9lai de trois mois et attend qu\u2019elle lui fasse un rapport dans le m\u00eame d\u00e9lai concernant la mise en conformit\u00e9 du traitement avec les dispositions susmentionn\u00e9es.
\n – en vertu de l’article 83 du RGPD et des articles 100, 13\u00b0 et 101 de la LCA, d’infliger au d\u00e9fendeur une amende administrative de 100.000 euros pour violation des articles susmentionn\u00e9s
\n En vertu de l\u2019article 108.1 LCA, cette d\u00e9cision peut faire l\u2019objet d\u2019un recours aupr\u00e8s de la Cour des march\u00e9s (Cour d\u2019appel de Bruxelles) dans un d\u00e9lai de 30 jours \u00e0 compter de sa notification, avec l\u2019Autorit\u00e9 de protection des donn\u00e9es en qualit\u00e9 de d\u00e9fenderesse.
\n (S\u00e9) Hielke Hijmans
\n de la Chambre Contentieuse\n <\/p>\n

Document PDF ECLI:BE:GBAPD:2021:DEC.20210426.1\n <\/p>\n

Publication(s) li\u00e9e(s) <\/p>\n

pr\u00e9c\u00e9d\u00e9 par:<\/p>\n

ECLI:BE:GBAPD:2021:AVIS.20210423.8 <\/p>\n

<\/p>\n

Imprimer cette page
\n   <\/p>\n

Taille d’impression <\/p>\n

S
\n M
\n L
\n XL<\/p>\n

  <\/p>\n

Nouvelle recherche JUPORTAL
\n   <\/p>\n

Fermer l’onglet <\/p>\n

<\/p>\n


\n
\n <\/p>\n

<\/p>\n

✉ info-JUPORTAL@just.fgov.be<\/p>\n

©  2017-2026 Service ICT – SPF Justice<\/p>\n

<\/p>\n

<\/p>\n

\n Powered by PHP 8.5.0\n <\/p>\n

\n Server Software Apache\/2.4.66\n <\/p>\n

\n == Fluctuat nec mergitur ==\n <\/p>\n


\n
\n <\/div>\n

\n

Sources officielles :<\/strong> consulter la page source<\/a><\/p>\n

JUPORTAL. L avertissement officiel du portail precise qu il n existe pas de droit d auteur sur les arrets et jugements.<\/em><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

JUPORTAL Base de donn\u00e9es publique de la jurisprudence belge Imprimer cette page Taille d’impression S M L XL Nouvelle recherche JUPORTAL Fermer l’onglet Autorit\u00e9 de protection des donn\u00e9es D\u00e9cision du 26 avril 2021 No ECLI: ECLI:BE:GBAPD:2021:DEC.20210426.1 No R\u00f4le: 56\/2021 Domaine juridique: Droit civil Date d’introduction: 2025-08-27 Consultations: 65 – derni\u00e8re vue 2026-04-14 17:36 Fiche La Chambre Contentieuse de l’Autorit\u00e9 de…<\/p>\n","protected":false},"featured_media":0,"template":"","meta":{"_crdt_document":""},"kji_country":[7731],"kji_court":[39515],"kji_chamber":[],"kji_year":[36297],"kji_subject":[7612],"kji_keyword":[7735,36882,7734,37051,24635],"kji_language":[7733],"class_list":["post-693911","kji_decision","type-kji_decision","status-publish","hentry","kji_country-belgique","kji_court-eclibegbapd2021dec-20210426-1","kji_year-36297","kji_subject-fiscal","kji_keyword-article","kji_keyword-defenderesse","kji_keyword-donnees","kji_keyword-plaignante","kji_keyword-traitement","kji_language-francais"],"yoast_head":"\nECLI:BE:GBAPD:2021:DEC.20210426.1 - Ma\u00eetre Hassan Kohen, avocat en droit p\u00e9nal \u00e0 Paris<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/kohenavocats.com\/zh-hans\/jurisprudences\/eclibegbapd2021dec-20210426-1\/\" \/>\n<meta property=\"og:locale\" content=\"zh_CN\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"ECLI:BE:GBAPD:2021:DEC.20210426.1\" \/>\n<meta property=\"og:description\" content=\"JUPORTAL Base de donn\u00e9es publique de la jurisprudence belge Imprimer cette page Taille d'impression S M L XL Nouvelle recherche JUPORTAL Fermer l'onglet Autorit\u00e9 de protection des donn\u00e9es D\u00e9cision du 26 avril 2021 No ECLI: ECLI:BE:GBAPD:2021:DEC.20210426.1 No R\u00f4le: 56\/2021 Domaine juridique: Droit civil Date d'introduction: 2025-08-27 Consultations: 65 - derni\u00e8re vue 2026-04-14 17:36 Fiche La Chambre Contentieuse de l'Autorit\u00e9 de...\" \/>\n<meta property=\"og:url\" content=\"https:\/\/kohenavocats.com\/zh-hans\/jurisprudences\/eclibegbapd2021dec-20210426-1\/\" \/>\n<meta property=\"og:site_name\" content=\"Ma\u00eetre Hassan Kohen, avocat en droit p\u00e9nal \u00e0 Paris\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"\u9884\u8ba1\u9605\u8bfb\u65f6\u95f4\" \/>\n\t<meta name=\"twitter:data1\" content=\"80 \u5206\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/jurisprudences\\\/eclibegbapd2021dec-20210426-1\\\/\",\"url\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/jurisprudences\\\/eclibegbapd2021dec-20210426-1\\\/\",\"name\":\"ECLI:BE:GBAPD:2021:DEC.20210426.1 - Ma\u00eetre Hassan Kohen, avocat en droit p\u00e9nal \u00e0 Paris\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/#website\"},\"datePublished\":\"2026-04-26T13:23:54+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/jurisprudences\\\/eclibegbapd2021dec-20210426-1\\\/#breadcrumb\"},\"inLanguage\":\"zh-Hans\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/jurisprudences\\\/eclibegbapd2021dec-20210426-1\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/jurisprudences\\\/eclibegbapd2021dec-20210426-1\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Jurisprudences\",\"item\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/jurisprudences\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"ECLI:BE:GBAPD:2021:DEC.20210426.1\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/#website\",\"url\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/\",\"name\":\"Kohen Avocats\",\"description\":\"Ma\u00eetre Hassan Kohen, avocat p\u00e9naliste \u00e0 Paris, intervient exclusivement en droit p\u00e9nal pour la d\u00e9fense des particuliers, notamment en mati\u00e8re d\u2019accusations de viol. Il assure un accompagnement rigoureux d\u00e8s la garde \u00e0 vue jusqu\u2019\u00e0 la Cour d\u2019assises, veillant au strict respect des garanties proc\u00e9durales.\",\"publisher\":{\"@id\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"zh-Hans\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/#organization\",\"name\":\"Kohen Avocats\",\"url\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"zh-Hans\",\"@id\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/kohenavocats.com\\\/wp-content\\\/uploads\\\/2026\\\/01\\\/Logo-2-1.webp\",\"contentUrl\":\"https:\\\/\\\/kohenavocats.com\\\/wp-content\\\/uploads\\\/2026\\\/01\\\/Logo-2-1.webp\",\"width\":2114,\"height\":1253,\"caption\":\"Kohen Avocats\"},\"image\":{\"@id\":\"https:\\\/\\\/kohenavocats.com\\\/zh-hans\\\/#\\\/schema\\\/logo\\\/image\\\/\"}}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"ECLI:BE:GBAPD:2021:DEC.20210426.1 - Ma\u00eetre Hassan Kohen, avocat en droit p\u00e9nal \u00e0 Paris","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/kohenavocats.com\/zh-hans\/jurisprudences\/eclibegbapd2021dec-20210426-1\/","og_locale":"zh_CN","og_type":"article","og_title":"ECLI:BE:GBAPD:2021:DEC.20210426.1","og_description":"JUPORTAL Base de donn\u00e9es publique de la jurisprudence belge Imprimer cette page Taille d'impression S M L XL Nouvelle recherche JUPORTAL Fermer l'onglet Autorit\u00e9 de protection des donn\u00e9es D\u00e9cision du 26 avril 2021 No ECLI: ECLI:BE:GBAPD:2021:DEC.20210426.1 No R\u00f4le: 56\/2021 Domaine juridique: Droit civil Date d'introduction: 2025-08-27 Consultations: 65 - derni\u00e8re vue 2026-04-14 17:36 Fiche La Chambre Contentieuse de l'Autorit\u00e9 de...","og_url":"https:\/\/kohenavocats.com\/zh-hans\/jurisprudences\/eclibegbapd2021dec-20210426-1\/","og_site_name":"Ma\u00eetre Hassan Kohen, avocat en droit p\u00e9nal \u00e0 Paris","twitter_card":"summary_large_image","twitter_misc":{"\u9884\u8ba1\u9605\u8bfb\u65f6\u95f4":"80 \u5206"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/kohenavocats.com\/zh-hans\/jurisprudences\/eclibegbapd2021dec-20210426-1\/","url":"https:\/\/kohenavocats.com\/zh-hans\/jurisprudences\/eclibegbapd2021dec-20210426-1\/","name":"ECLI:BE:GBAPD:2021:DEC.20210426.1 - Ma\u00eetre Hassan Kohen, avocat en droit p\u00e9nal \u00e0 Paris","isPartOf":{"@id":"https:\/\/kohenavocats.com\/zh-hans\/#website"},"datePublished":"2026-04-26T13:23:54+00:00","breadcrumb":{"@id":"https:\/\/kohenavocats.com\/zh-hans\/jurisprudences\/eclibegbapd2021dec-20210426-1\/#breadcrumb"},"inLanguage":"zh-Hans","potentialAction":[{"@type":"ReadAction","target":["https:\/\/kohenavocats.com\/zh-hans\/jurisprudences\/eclibegbapd2021dec-20210426-1\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/kohenavocats.com\/zh-hans\/jurisprudences\/eclibegbapd2021dec-20210426-1\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/kohenavocats.com\/zh-hans\/"},{"@type":"ListItem","position":2,"name":"Jurisprudences","item":"https:\/\/kohenavocats.com\/zh-hans\/jurisprudences\/"},{"@type":"ListItem","position":3,"name":"ECLI:BE:GBAPD:2021:DEC.20210426.1"}]},{"@type":"WebSite","@id":"https:\/\/kohenavocats.com\/zh-hans\/#website","url":"https:\/\/kohenavocats.com\/zh-hans\/","name":"Kohen Avocats","description":"Ma\u00eetre Hassan Kohen, avocat p\u00e9naliste \u00e0 Paris, intervient exclusivement en droit p\u00e9nal pour la d\u00e9fense des particuliers, notamment en mati\u00e8re d\u2019accusations de viol. Il assure un accompagnement rigoureux d\u00e8s la garde \u00e0 vue jusqu\u2019\u00e0 la Cour d\u2019assises, veillant au strict respect des garanties proc\u00e9durales.","publisher":{"@id":"https:\/\/kohenavocats.com\/zh-hans\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/kohenavocats.com\/zh-hans\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"zh-Hans"},{"@type":"Organization","@id":"https:\/\/kohenavocats.com\/zh-hans\/#organization","name":"Kohen Avocats","url":"https:\/\/kohenavocats.com\/zh-hans\/","logo":{"@type":"ImageObject","inLanguage":"zh-Hans","@id":"https:\/\/kohenavocats.com\/zh-hans\/#\/schema\/logo\/image\/","url":"https:\/\/kohenavocats.com\/wp-content\/uploads\/2026\/01\/Logo-2-1.webp","contentUrl":"https:\/\/kohenavocats.com\/wp-content\/uploads\/2026\/01\/Logo-2-1.webp","width":2114,"height":1253,"caption":"Kohen Avocats"},"image":{"@id":"https:\/\/kohenavocats.com\/zh-hans\/#\/schema\/logo\/image\/"}}]}},"jetpack_likes_enabled":false,"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/kohenavocats.com\/zh-hans\/wp-json\/wp\/v2\/kji_decision\/693911","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/kohenavocats.com\/zh-hans\/wp-json\/wp\/v2\/kji_decision"}],"about":[{"href":"https:\/\/kohenavocats.com\/zh-hans\/wp-json\/wp\/v2\/types\/kji_decision"}],"wp:attachment":[{"href":"https:\/\/kohenavocats.com\/zh-hans\/wp-json\/wp\/v2\/media?parent=693911"}],"wp:term":[{"taxonomy":"kji_country","embeddable":true,"href":"https:\/\/kohenavocats.com\/zh-hans\/wp-json\/wp\/v2\/kji_country?post=693911"},{"taxonomy":"kji_court","embeddable":true,"href":"https:\/\/kohenavocats.com\/zh-hans\/wp-json\/wp\/v2\/kji_court?post=693911"},{"taxonomy":"kji_chamber","embeddable":true,"href":"https:\/\/kohenavocats.com\/zh-hans\/wp-json\/wp\/v2\/kji_chamber?post=693911"},{"taxonomy":"kji_year","embeddable":true,"href":"https:\/\/kohenavocats.com\/zh-hans\/wp-json\/wp\/v2\/kji_year?post=693911"},{"taxonomy":"kji_subject","embeddable":true,"href":"https:\/\/kohenavocats.com\/zh-hans\/wp-json\/wp\/v2\/kji_subject?post=693911"},{"taxonomy":"kji_keyword","embeddable":true,"href":"https:\/\/kohenavocats.com\/zh-hans\/wp-json\/wp\/v2\/kji_keyword?post=693911"},{"taxonomy":"kji_language","embeddable":true,"href":"https:\/\/kohenavocats.com\/zh-hans\/wp-json\/wp\/v2\/kji_language?post=693911"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}