Plainte et recours

1. Le droit d'introduire une plainte auprès de l'autorité de contrôle (article 77)

Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d'introduire une plainte auprès d'une autorité de contrôle si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD.

La personne concernée pourra introduire cette plainte :

  • dans l'État membre dans lequel se trouve sa résidence habituelle
  • dans l'État membre de son lieu de travail ou
  • dans l'État membre où la violation aurait été commise

L'autorité de contrôle auprès de laquelle la plainte a été introduite devra informer l'auteur de la plainte de l'état d'avancement et de l'issue de la plainte, y compris de la possibilité d'un recours juridictionnel en vertu de l'article 78. Dans le cadre du mécanisme de la cohérence, et lorsqu’une « autorité chef de file »  est désignée, l’autorité de contrôle auprès de laquelle une plainte a été déposée reste l’interlocuteur du plaignant.

En pratique : l’autorité de contrôle doit faciliter l’introduction de plaintes auprès d’elle et prendre toutes les mesures à cet effet, au minimum par le biais d’une formulaire électronique.

Au niveau de la Belgique, il est déjà possible de porter plainte auprès de l'Autorité. En effet, la Loi vie privée précise que « Sans préjudice de toute action devant les tribunaux et sauf si la loi en dispose autrement, l'Autorité examine les plaintes signées et datées qui lui sont adressées (…). La procédure est réglée par le règlement d’ordre intérieur. »

2. Le droit à un recours juridictionnel effectif contre l'autorité de contrôle (aticle 78)

Le RGPD prévoit que toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d'une autorité de contrôle qui la concerne.

En outre, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l'autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une plainte ou n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de la plainte introduite.

Une plainte contre l’autorité de contrôle est donc possible dans les cas suivants :

  • L’autorité de contrôle n’a pas traité la plainte, en tout ou en partie
  • L’autorité de contrôle n’a pas informé la personne concernée du suivi de sa plainte ou de l’issue du traitement de celle –ci (dans les 3 mois)
  • Contre toute décision contraignante de l’autorité de contrôle (donc pas à l’encontre des avis ou des recommandations)

Toute action contre une autorité de contrôle doit être intentée devant les juridictions de l'État membre sur le territoire duquel l'autorité de contrôle est établie. La situation est incertaine actuellement en Belgique : devant le Conseil d’Etat ou devant la Cour d’appel de Bruxelles ? Cette question devra être tranchée par le législateur.

En Belgique, cette faculté n’est actuellement pas prévue par la Loi vie privée. Deux questions se posent dès lors, quel est le statut des décisions prises par l'Autorité et où faudra-t-il introduire les recours contre ces décisions ?

Ces questions devront être résolues par le législateur national.

3. Le droit à un recours juridictionnel effectif contre un responsable du traitement (article 79)

Le RGPD stipule que chaque personne concernée a droit à un recours juridictionnel effectif contre un responsable du traitement si elle considère que les droits que lui confère le RGPD ont été violés du fait d’un traitement de ses données à caractère personnel qui a été effectué en violation du RGPD.

Toute action contre un responsable du traitement doit être intentée :

  • Devant les juridictions de l'État membre dans lequel le responsable du traitement dispose d'un établissement (un établissement suffit, il ne doit pas s’agire de l’établissement principal).
  • Une telle action peut aussi être intentée devant les juridictions de l'État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement est une autorité publique d'un État membre agissant dans l'exercice de ses prérogatives de puissance publique (dans ce cas, l’autorité de contrôle compétente est celle où est établie l’autorité publique concernée).

En comparaison avec l’article 14.2 de la Loi vie privée, la règle est que c’est le président du tribunal du domicile du requérant qui est compétent pour ce genre de plaintes.

Cependant, la Loi vie privée précise encore que « si le requérant n’a pas de domicile en Belgique, le président du tribunal du domicile du responsable de traitement, personne physique, est compétent. Si le responsable du traitement est une personne morale, le président du tribunal du siège social ou du siège administratif est compétent ».

4. La représentation des personnes concernées (article 80)

Deux cas de figure sont envisagés par le RGPD : la représentation peut s’effectuer avec le mandat de la personne concernée ou sans le mandat de la personne concernée.

Seul un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel pourra agir. Les conditions fixées par le RGPD pour la représentation des personnes concernées sont donc extrêmement strictes.

Premier cas de figure : la personne concernée mandate un tel organisme pour qu'il introduise une plainte en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79  et exerce en son nom le droit d'obtenir réparation visé à l'article 82 mais  uniquement lorsque le droit d'un État membre prévoit cette possibilité.

Deuxième cas de figure : il est subordonné à l’action des Etats membres. En effet, dans ce cas, les États membres peuvent prévoir, indépendamment de tout mandat confié par une personne concernée, qu’un tel organisme dispose du droit d'introduire une réclamation auprès de l'autorité de contrôle, et d'exercer les droits visés aux articles 78 et 79 s'il considère que les droits d'une personne concernée prévus dans le RGPD ont été violés du fait du traitement. Dans ce cas, l’association peut demander une indemnisation au nom de la personne concernée.

Cette deuxième possibilité n’existe pas à l’heure actuelle dans le droit belge. Le RGDP n’en fait pas une obligation, ceci est laissé à l’appréciation du législateur national.