La Chambre Contentieuse est l'organe contentieux administratif de l'APD (article 32 de la LCA) et a pour mission d'intervenir de manière répressive dans des affaires qui lui sont soumises, sur la base d'une plainte d'un citoyen ou suite à une inspection d'initiative de l'APD.


La Chambre Contentieuse dans les grandes lignes

La Chambre Contentieuse traite également des affaires qui sont soumises à l'APD par des autorités des États membres européens dans le cadre du mécanisme de guichet unique instauré par le RGPD et où l'APD est autorité chef de file ou autorité concernée. La Chambre Contentieuse dispose à cet égard de plusieurs instruments : les mesures correctrices et les amendes administratives. La procédure devant la Chambre Contentieuse se déroule dans le respect des principes du droit procédural.

La Chambre Contentieuse est composée, outre de son président, de six membres externes qui sont nommés par la Chambre sur la base de leur expertise particulière.

La Chambre Contentieuse a une structure unique qui n'existe pas chez les contrôleurs de marché en Belgique ni chez les autres autorités de contrôle de l'UE. Cette structure présente un caractère hybride. La Chambre Contentieuse est un organe du contrôleur, mais la procédure est quasiment judiciaire, avec notamment une prise de décision après échange de conclusions entre les parties et souvent aussi après une audition.

Cette structure a fait ses preuves, surtout grâce aux décisions que la Chambre Contentieuse a prises entre-temps et qui sont disponibles sur le site Internet de l'APD. La Chambre Contentieuse a ainsi pris 34 décisions quant au fond en 2020. La procédure permet de statuer de manière impartiale et de respecter les garanties juridiques.

La Chambre Contentieuse fonctionne sur la base des principes suivants.

  • La philosophie du contenu. La Chambre Contentieuse accorde de l’importance à l’innovation technologique concrète et pertinente d’un point de vue sociétal, qui doit évidemment intervenir dans le respect des droits en matière de vie privée des citoyens, tels que formulés dans le Plan Stratégique. Lors de l’exécution de sa mission, elle tient naturellement compte aussi de la protection d’autres droits (fondamentaux).
  • Une protection juridique accessible à tous. Le droit de porter plainte auprès de l’APD est une alternative à un recours au juge civil ou administratif et doit rester aisé pour le citoyen. Le législateur n’a par exemple pas voulu que les parties soient toujours assistées d’un avocat. L’accessibilité de la protection juridique permet de classer des affaires sans suite pour des motifs d’opportunité en raison de l’absence d’intérêt stratégique, dans la mesure où cela respecte les exigences de la jurisprudence de la Cour des marchés de Bruxelles.
  • Impartialité. Lors de l’examen des litiges, il faut éviter toute forme de partialité et de parti pris. Le droit à la contradiction occupe une place centrale lors du traitement des litiges. Suite à la jurisprudence de la Cour des marchés, la Chambre Contentieuse a décidé en mars 2020 de présenter à la partie concernée l'intention d'infliger une amende.
  • Efficacité. La Chambre Contentieuse doit pouvoir traiter les affaires rapidement, dans le respect évidemment des garanties procédurales, comme le droit à la contradiction. La rapidité d'action est particulièrement importante dans des affaires ayant un grand impact social, mais aussi dans des affaires où les parties ont besoin de sécurité juridique. La rapidité d'action est toutefois devenue une grande source d'inquiétude, notamment eu égard au manque de moyens.
  • Transparence. Dans la mesure où cela est pertinent et possible, la Chambre Contentieuse veille à la transparence des principes, des procédures et des décisions. En principe, toutes les décisions de la Chambre Contentieuse sont publiées sur le site Internet.
  • Coopération. Dans la mesure où cela est pertinent et possible, la Chambre Contentieuse coopère avec d’autres contrôleurs en Belgique et avec des collègues contrôleurs dans l’EEE et parfois en dehors de celui-ci (comme le contrôleur britannique).

La Chambre Contentieuse est toutefois confrontée à trois types de problèmes existentiels :

  • Des problèmes en termes de quantité et de qualité. La Chambre Contentieuse veut et doit fournir une qualité élevée dans ses décisions mais parallèlement, le nombre d'affaires qui sont soumises est disproportionnellement élevé. La Chambre Contentieuse travaille avec un personnel très réduit (4 juristes par rôle linguistique, 2 à 3 collaborateurs de secrétariat) et statue au terme d'une procédure juridique généralement lourde.
  • Le caractère hybride et unique de la Chambre Contentieuse (organe interne de l'APD, mais ayant un rôle quasiment judiciaire) engendre une procédure disproportionnellement lourde et donc lente, ce qui crée beaucoup de confusion en pratique. Bien que la procédure devant la Chambre Contentieuse présente des caractéristiques quasiment judiciaires, la Chambre Contentieuse ne fait pas partie du pouvoir judiciaire. En tant qu'organe de l'autorité de contrôle, la Chambre Contentieuse a la responsabilité de contribuer à un niveau élevé de protection des données en Belgique et au-delà et dans les décisions qu'elle prend dans des affaires, elle peut concrétiser les priorités établies dans le Plan stratégique, certes dans le respect des principes généraux du droit. En outre, elle estime qu'elle doit pouvoir se pencher sur des violations qui lui sont rapportées au cours de la procédure. La transparence est un principe important.
  • La jurisprudence récente de la Cour des Marchés. Une proportion importante des décisions qui ont fait l’objet d’un recours devant la Cour des marchés ont été annulées, totalement ou en partie, et ce principalement pour des raisons de procédure. L’arrêt du 24 février 2021 (2021/AR/1159) en est la parfaite illustration. Cet arrêt compromet le fonctionnement de la procédure au sein de la Chambre Contentieuse, à savoir lorsque celle-ci est basée sur une plainte d’un citoyen. L'arrêté semble en effet rendre impossible pour la Chambre Contentieuse le fait de considérer des éléments de violation non mentionnés dans la plainte dont elle aurait pris connaissance pendant la procédure.

Relevé des décisions de fond

Mise sur pied dans la foulée de l’adoption de la Loi du 3 décembre 2017 portant création de l’Autorité de protection des données (LCA) et opérationnelle à dater de l’entrée en application du RGPD le 25 mai 2018, la Chambre Contentieuse reste, en 2020, une jeune institution. Son travail d’examen des plaintes toujours plus nombreuses qui sont adressées à l’APD est de plus en plus connu mais les contours exacts de son action et de ce qu’il peut ou non être attendu de sa part demeurent parfois incompris du grand public et parfois même également des professionnels de la protection des données.

En 2020, la Chambre Contentieuse a ainsi, à l’occasion de plusieurs décisions, insisté sur son rôle en tant qu’organe du contentieux de l’APD chargé d’examiner les plaintes qui lui sont soumises notamment, et ce tant en application de l’article 58 du RGPD que de l’article 8 de la Charte des droits fondamentaux de l’Union. Sa contribution, par l’adoption de décisions contraignantes, à l’effectivité du droit fondamental à la protection des données, est essentielle. Sans se substituer aux juridictions de l’ordre judiciaire ni s’immiscer dans des conflits qui relèveraient d’autres domaines du droit (comme du droit du travail par exemple), la Chambre Contentieuse est là pour veiller au respect, dans de multiples secteurs d’activités, des règles applicables aux traitements de données personnelles. Elle dispose d’une palette à la fois de mesures correctrices et de sanctions qui visent un objectif : celui de la mise en conformité rapide et effective au bénéfice des citoyens. En ce sens, la Chambre Contentieuse a considéré qu’elle pouvait jouer un rôle actif et de soutien dans la clarification des plaintes et des griefs que celles-ci soulèvent dans le respect du principe du contradictoire. La Chambre Contentieuse a également considéré que le retrait d’une plainte en cours de procédure ou la régularisation d’un manquement après le dépôt d’une plainte n’entrainaient pas ipso facto la perte de l’objet de la plainte. La Chambre Contentieuse peut, même dans ce cas, poursuivre son examen du ou des manquements dénoncés, ceux-ci ne pouvant être « immunisés » par le retrait de la plainte ou la régularisation intervenue.

La Chambre Contentieuse ne se considère par ailleurs pas comme un acteur isolé. Certaines de ses décisions sont suivies d’une prise de contact avec des organismes représentatifs d’un secteur professionnel mis en cause à l’occasion d’une plainte ou encore avec le législateur, toujours dans un souci de contribuer à l’effectivité du droit à la protection des données. Ajoutons que dans la réalisation de son travail, la Chambre Contentieuse bénéficie régulièrement du soutien de l’Inspection qui mène les enquêtes. Enfin, la coopération avec les autres autorités de protection des données de l’Espace Économique Européen (EEE) au travers du mécanisme du guichet unique permet à la Chambre Contentieuse de relayer auprès de l’autorité compétente étrangère (CNIL, autorité irlandaise de protection des données, etc.) les plaintes que des citoyens déposent auprès de l’APD à l’encontre d’acteurs internationaux tels Facebook, Microsoft, Amazon et autres ou simplement de sociétés établies à l’étranger. Cette coopération lui permet aussi de contribuer à une application harmonisée du RGPD dans l’EEE.

Régulièrement saisie de plaintes liées à l’absence de suite jugée satisfaisante à l’exercice de leurs droits par les plaignants, la Chambre Contentieuse a logiquement adopté une série de décisions rappelant par exemple l’inconditionnalité du droit d’opposition en matière de marketing direct ou encore la nécessité de l’effacement de données dont le traitement n’est plus nécessaire à la finalité poursuivie. De même, elle s’est penchée à plusieurs reprises sur la qualité des «privacy policy» destinées à informer les personnes concernées des données traitées les concernant. Le droit au déréférencement a par ailleurs reçu sa première consécration dans la décision 37/2020 de la Chambre Contentieuse (cf. chapitre ci-dessous). Quant au droit d’accès, la Chambre Contentieuse en a précisé les contours de même que la portée des exceptions (décision 41/2020). Quant aux responsables du traitement, qu’ils relèvent du secteur public ou du secteur privé, la Chambre Contentieuse a, au travers d’un certain nombre de décisions emblématiques, mis en évidence quelles étaient leurs obligations et la manière dont il convenait de les concrétiser. Le profil, les obligations et la position du DPO (ainsi que les incompatibilités avec certaines fonctions) ont ainsi été rappelés. De même que l’obligation de la tenue d’un registre des traitements, l’adoption d’une politique de confidentialité ou encore l’obligation d’effectuer une analyse d’impact. La question des e-mails, sous l’angle de l’envoi d'e-mails, d’une politique de gestion des e-mails et de leur clôture en cas de départ sont des thèmes qui ont également été abordés. Enfin, quant à la mise en œuvre par les responsables du traitement des principes fondateurs de la protection des données, la Chambre Contentieuse a eu l’occasion de rappeler le respect dû au principe de finalité (tout particulièrement dans le contexte électoral), au principe de minimisation ainsi qu’au principe de responsabilité ou accountability qui exige du responsable du traitement qu’il adopte les mesures nécessaires à la mise en conformité des traitements qu’il opère avec le RGPD par l’adoption de procédures adéquates notamment. Enfin, la question de la licéité du traitement a été récurrente et témoigne d’une difficulté réelle de certains responsables du traitement à identifier la base de licéité du traitement. La Chambre Contentieuse a ainsi, au travers de plusieurs décisions, identifié quels pouvaient être les intérêts légitimes du responsable du traitement et les conditions dans lesquelles celui-ci pouvait être valablement invoqué. La Chambre Contentieuse a également rappelé quelles devaient être les conditions d’un consentement conforme aux articles 6.1.a) et 7 du RGPD.


Le droit à l’oubli et la décision Google

Parmi les décisions 2020 de la Chambre Contentieuse, une décision en particulier a fait couler beaucoup d’encre. En juillet 2020, l’APD a en effet infligé une amende de 600 000 euros à Google Belgium pour avoir enfreint le droit à l'oubli d'un citoyen, et pour le manque de transparence de son formulaire de demande d’effacement.

Un citoyen belge avait demandé la suppression de liens contenant des informations perçues comme négatives à son sujet. Cette demande avait été refusée par Google.

La Chambre Contentieuse de l'APD a estimé que certains de ces liens étaient nécessaires à l'intérêt public et ne devaient pas être supprimés : le citoyen joue en effet un rôle dans la vie publique et les liens concernaient une relation présumée avec un parti politique. Les autres liens contenaient des informations obsolètes, non fondées et susceptibles de porter gravement atteinte à la réputation de la personne concernée. L'APD considère que ces liens auraient donc dû être déréférencés par Google. Pour l’APD, il est important de noter que les faits de l'affaire étaient clairs, ne laissant à Google aucune marge de manœuvre raisonnable pour décider autrement.

De plus, Google a manqué de transparence dans son formulaire de déréférencement, ainsi que dans sa réponse à la personne concernée.

L’APD s'est estimée compétente dans cette affaire, puisque Google considère que le mécanisme du guichet unique ne s’applique pas aux traitements de données concernant le moteur de recherche Google. En effet, le responsable du traitement dans ce cas est Google LLC, l’entreprise Google basée aux États-Unis.

Bien qu’elle reconnaisse que cette entreprise est responsable du traitement, l’APD a estimé qu’elle pouvait imposer des sanctions à l’encontre de Google Belgium en raison des liens indissociables qui existent entre les activités des deux entités.

Par ailleurs, elle a estimé qu’afin d’assurer un effet utile au RGPD et d’éviter un vide juridique, l’article 3.1 RGPD devait être interprété de manière à ce qu’une autorité doive pouvoir imposer des mesures contraignantes envers l’établissement dans l'Union d’un responsable du traitement dont le siège se trouve en dehors de l’Union.

La décision (*) contient une explication détaillée des responsabilités des différents établissements de Google.  (* Un recours est en cours contre cette décision)