Que faire si vous n’êtes pas satisfait de la réponse donnée ou des actions prises par l’entité qui traite vos données suite à l’exercice d’un de vos droits ? (Art. 77 à 80 RGPD)

Le RGPD envisage un certain nombre de voies de recours dans l’hypothèse où vous estimez que vos droits et libertés ne sont pas suffisamment protégés. Vous avez des possibilités d’action non seulement contre l’entité qui traite vos données mais également contre nous, autorité de contrôle. Le RGPD estime, en effet, que toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD a le droit d'obtenir de l’entité qui traite ses données réparation du préjudice subi.

LE RGPD reconnaît 4 voies de recours.

1. Le droit d’introduire une plainte auprès de nous, autorité de contrôle (Art. 77)
2. Le droit à un recours juridictionnel effectif contre nous, autorité de contrôle (Art. 78)
3. Le droit à un recours juridictionnel effectif contre l’entité qui traite vos données (Art. 79)
4. Le droit d’agir via une représentation (Art. 80)

Sans préjudice de tout autre recours administratif ou juridictionnel, vous avez le droit d'introduire une plainte auprès de nous si vous considérez que le traitement de vos données personnelles constitue une violation du RGPD.

Vous pouvez introduire cette plainte :

  • dans l'État membre dans lequel se trouve votre résidence habituelle,
  • l'État membre de votre lieu de travail ou
  • l'État membre où la violation aurait été commise

Si vous déposez plainte auprès de nous, nous aurons l’obligation de vous informer de l'état d'avancement et de l'issue de votre plainte ainsi que de la possibilité d'introduire un recours juridictionnel contre la décision que nous aurons prise.

Nous mettrons tout en œuvre pour vous faciliter l’introduction de plaintes comme par exemple via un formulaire électronique.

Au niveau de la Belgique, il est déjà possible de porter plainte auprès de nous. En effet, la loi « vie privée » actuelle précise que « Sans préjudice de toute action devant les tribunaux et sauf si la loi en dispose autrement, l' APD examine les plaintes signées et datées qui lui sont adressées (…). La procédure est  réglée par le règlement d’ordre intérieur. »

Le RGPD prévoit que toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d'une autorité de contrôle qui la concerne.

En outre, vous avez le droit de former un recours juridictionnel effectif lorsque l'autorité de contrôle ne traite pas votre plainte ou ne vous informe pas, dans un délai de trois mois, de l'état d'avancement ou de l'issue de votre plainte introduite.

Une plainte contre nous, autorité de contrôle, est donc possible dans les cas suivants :

  • Nous n’avons pas traité votre plainte, en tout ou en partie
  • Nous ne vous avons pas informé du suivi de votre plainte ou de l’issue du traitement de celle –ci (dans les 3 mois)
  • Contre toute décision contraignante que nous avons prise ( donc pas à l’encontre des avis ou des recommandations)

Toute action contre nous, autorité de contrôle, doit être intentée devant les juridictions belges.

Pour l’instant, la situation est incertaine en Belgique : devant le Conseil d’Etat ou devant la Cour d’appel de Bruxelles ? A décider par le législateur.

Vous avez droit à un recours juridictionnel effectif contre l’entité qui traite vos données personnelles si vous considérez que les droits que vous confère le RGPD ont été violés du fait d’un traitement de vos données personnelles qui a été effectué en violation du RGPD.

Toute action contre l’entité qui traite vos données personnelles doit être intentée :

  • devant les juridictions de l'État membre dans lequel l’entité dispose d'un établissement (un établissement suffit, il ne doit pas s’agit de l’établissement principal).
  • une telle action peut aussi être intentée devant les juridictions de l'État membre dans lequel vous avez votre résidence habituelle, sauf l’entité qui traite vos données est une autorité publique (dans ce cas, la juridiction compétente est celle où est établie l’autorité publique concernée).

En comparaison avec l’article 14.2 de la loi « vie privée » actuelle, la règle est que c’est le président du tribunal du domicile du requérant qui est compétent pour ce genre de plaintes. Cependant, la loi « vie privée » précise encore que « si le requérant n’a pas de domicile en Belgique, le président du tribunal du domicile du responsable de traitement, personne physique, est compétent. Si le responsable du traitement est une personne morale, le président du tribunal du siège social ou du siège administratif est compétent ».

Deux cas de figure sont envisagés par le RGPD :

1. la représentation avec votre mandat
2. la représentation sans votre mandat

Seul un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel pourra agir. Les conditions fixées par le RGPD pour la représentation des personnes concernées sont donc extrêmement strictes.

Premier cas de figure : vous mandatez un tel organisme pour qu'il introduise une plainte en votre nom, ou pour qu’il exerce en votre nom un recours juridictionnel contre l’autorité de contrôle, ou encore qu’il exerce en votre nom un recours juridictionnel contre l’entité qui traite vos données.

Vous pourrez aussi le mandater pour qu’il exerce en votre nom le droit d'obtenir réparation mais cette possibilité n’est offerte que si le droit belge le prévoit. Pour l’instant, ce n’est pas le cas mais le législateur belge devra probablement se pencher sur la question.

Deuxième cas de figure : il s’agit de laisser ce type d’organisme agir sans aucun mandat de votre part. Ce cas de figure est subordonné à l’action des Etats membres. En effet, si les Etats membres veulent permettre ce genre d’action, ils vont devoir le prévoir dans leur droit national. S’ils le prévoient, un tel organisme pourra, notamment, introduire une plainte, indépendamment du fait qu’il ait reçu ou non un mandat de votre part, s'il considère que les droits d'une personne concernée prévus dans le GDPR ont été violés du fait du traitement.

L’organisme pourra aussi demander une indemnisation au nom de la personne concernée.

Cette possibilité n’existe pas à l’heure actuelle dans le droit belge. Le RGPD n’en fait pas une obligation, ceci est laissé à l’appréciation du législateur national.