La Chambre Contentieuse est l'organe contentieux administratif de l'APD (article 32 de la LCA) et a pour mission d'intervenir de manière répressive dans des affaires qui lui sont soumises, sur la base d'une plainte d'un citoyen ou suite à une inspection d'initiative de l'APD.
La Chambre Contentieuse dans les grandes lignes
La Chambre Contentieuse traite également des affaires qui sont soumises à l'APD par les autorités des États membres européens dans le cadre du mécanisme de guichet unique instauré par le RGPD et où l'APD est autorité chef de file ou autorité concernée. La Chambre Contentieuse dispose à cet égard de plusieurs instruments : les mesures correctrices et les amendes administratives. La procédure devant la Chambre Contentieuse se déroule dans le respect des principes du droit procédural.
La Chambre Contentieuse est composée, outre de son président, de six membres externes qui sont nommés par la Chambre sur la base de leur expertise particulière.La Chambre Contentieuse a une structure unique qui n'existe pas chez les contrôleurs de marché en Belgique ni chez les autres autorités de contrôle de l'UE. Cette structure présente un caractère hybride. La Chambre Contentieuse est un organe de contrôle, mais la procédure est quasiment judiciaire, avec notamment une prise de décision après échange de conclusions entre les parties et souvent aussi après une audition.
Plateforme de recherche en ligne pour prestataires de soins
En 2021, la Chambre Contentieuse a reçu plusieurs plaintes contre des plateformes permettant de trouver des prestataires de soins de santé et d'aide à proximité ou des professionnels ayant une spécialisation particulière, et ensuite de prendre des rendez-vous. Plusieurs prestataires de soins ont introduit une plainte auprès de l'APD contre une de ces plateformes. Ils affirmaient que leurs données à caractère personnel avaient fait l'objet d'un traitement illicite et que le responsable du traitement n'avait pas donné la suite appropriée à leur droit à l'effacement.
Au terme de son analyse, la Chambre Contentieuse a estimé que le responsable du traitement ne pouvait invoquer aucune base légale valable pour traiter les données à caractère personnel des prestataires de soins et d'aide sur sa plateforme. La Chambre Contentieuse a estimé que le responsable du traitement ne pouvait pas invoquer l'intérêt légitime comme base légale pour les traitements litigieux. En effet, le traitement ne remplissait pas deux des trois conditions requises pour que l'intérêt légitime puisse être valablement invoqué comme base juridique. La Chambre Contentieuse a reconnu que le responsable du traitement poursuit bien un intérêt légitime et que les données à caractère personnel traitées (nom, prénom et spécialité) sont bien nécessaires pour permettre aux utilisateurs du site Internet de contacter le prestataire de soins en question. Toutefois, les conditions relatives à la pondération des intérêts n'étaient pas remplies. La Chambre Contentieuse a reconnu que les données à caractère personnel traitées en question sont des données publiques, mais leur caractère public n'empêche pas que leur traitement continue à nécessiter des garanties appropriées. Le fait que des données à caractère personnel soient accessibles au public est un facteur qui peut être pris en compte lors de l'évaluation, en particulier si leur publication s'accompagnait d'une attente raisonnable d'utilisation ultérieure des données pour certaines finalités. À cet égard, la Chambre Contentieuse observe que le traitement litigieux ne fait pas partie des attentes raisonnables des personnes concernées. Les coordonnées des praticiens professionnels sont publiées sur leur propre site Internet ou sur celui de leur cabinet de groupe ou de leur hôpital, avec une base légale appropriée pour ce traitement. Ils ne peuvent raisonnablement pas s'attendre à ce que ces données soient traitées ultérieurement pour d'autres finalités, telles que la publication de ces données à caractère personnel par des parties commerciales (en l'espèce sur la base de l'intérêt commercial du responsable du traitement). À cet égard, la Chambre Contentieuse a également pris en compte les délais de conservation indéterminés dans la politique de confidentialité du responsable du traitement.
En outre, l'APD a constaté une violation de l'obligation de faciliter les droits des personnes concernées.
En raison de ces violations, une amende de 10.000 euros et une injonction de mettre fin au traitement litigieux ont été imposées.
Cette décision a fait l'objet d'un recours auprès de la Cour des marchés. Aucune décision finale n'a encore été rendue dans cette affaire car la Cour des marchés attend une décision de la Cour constitutionnelle concernant l'emploi des langues. L'appréciation quant au fond de la Chambre Contentieuse n'est pas remise en question.
On peut également se référer à la décision 149/2023 de la Chambre Contentieuse, dans laquelle une décision a été rendue à l'encontre d'un responsable du traitement effectuant des activités de traitement similaires. Celle-ci fait actuellement aussi l'objet d'un recours auprès de la Cour des marchés.
Lire la décision 75/2023
Plainte pour refus d'accès à des enregistrements sonores
En 2023, La Chambre Contentieuse a approfondi le droit d'accès.
Le plaignant est un client du responsable du traitement et a conclu dans ce cadre deux contrats en vertu desquels le responsable du traitement sera chargé de développer un site Internet et de réaliser des vidéos d'entreprise pour le plaignant. Dans le cadre de ces contrats, des conversations téléphoniques ont eu lieu au sujet de l'élaboration fonctionnelle et de la conception de ce site Internet et de ces vidéos. Ces conversations téléphoniques ont été enregistrées par le responsable du traitement en vue de la bonne exécution des souhaits du plaignant dans le cadre des contrats. Le plaignant affirme toutefois qu'il n'était pas au courant de ces enregistrements. Depuis 2021, un différend oppose le plaignant et le responsable du traitement quant à l'exécution des contrats. Dans ce cadre, le plaignant a exercé son droit d'accès au sujet des enregistrements téléphoniques. Le responsable du traitement a refusé de transmettre une copie des enregistrements téléphoniques, mais il a proposé au plaignant de venir écouter les enregistrements dans ses bureaux, suite à quoi le plaignant a introduit une plainte auprès de l'APD. Dans la plainte, le plaignant dénonce la licéité des enregistrements des conversations téléphoniques d'une part et l'absence de suite appropriée à sa demande d'accès d'autre part.
La Chambre Contentieuse a tout d'abord estimé que le traitement litigieux, l'enregistrement des conversations téléphoniques, était licite compte tenu de son caractère nécessaire à l'exécution des deux contrats précités.
En ce qui concerne le droit d'accès, la Chambre Contentieuse a rappelé que le RGPD impose au responsable du traitement de fournir à la personne concernée une reproduction fidèle et compréhensible des données à caractère personnel faisant l'objet du traitement. Malgré cette large notion de copie, et nonobstant le fait qu'il s'agit de la modalité la plus importante par laquelle l'accès doit être donné, d'autres modalités peuvent être appropriées dans certaines circonstances. La Chambre Contentieuse a analysé ces exceptions et a constaté qu'aucune d'entre elles ne s'appliquait dans cette affaire. La Chambre Contentieuse a estimé que le responsable du traitement ne peut pas invoquer les droits et libertés de ses collaborateurs pour refuser la transmission d'une copie au plaignant. La Chambre Contentieuse a souligné que, vu l'application et l'interprétation larges du droit d'accès, la finalité pour laquelle le droit d'accès était exercé ne devait pas être considérée comme une condition à l'exercice de ce droit. Il n'appartient donc pas au responsable du traitement de vérifier pourquoi la personne concernée souhaite accéder à ses données à caractère personnel, mais uniquement ce sur quoi porte la demande d'accès et s'il traite ou non des données à caractère personnel de la personne concernée. Ensuite, la Chambre Contentieuse a également constaté l'absence de tout secret professionnel qui empêcherait une reproduction fidèle et compréhensible d'être communiquée au plaignant. Contrairement à ce que le responsable du traitement a affirmé, la Chambre Contentieuse a estimé qu'il n'y avait pas non plus d'abus de droit puisque la finalité essentielle du droit d'accès exercé n'était pas d'obtenir un avantage injustifié. La Chambre Contentieuse a constaté que l'exercice du droit d'accès était la seule manière pour le plaignant de savoir quelles données à caractère personnel étaient traitées par le responsable du traitement et de quelle manière ce traitement avait lieu, le cas échéant. Étant donné que les contacts se faisaient par téléphone, le plaignant ne disposait pas lui-même d'une trace écrite du traitement de ses données. En outre, l'APD a constaté certaines violations dans le domaine de la communication d'informations à la personne concernée.
Compte tenu de ce qui précède, la Chambre Contentieuse a imposé une amende administrative de 40.000 euros. Lors de la procédure en appel, la Cour des marchés a intégralement confirmé cette décision de la Chambre Contentieuse.
Lire la décision 57/2023
Plainte concernant le transfert de données à caractère personnel par le SPF Finances aux autorités fiscales américaines dans le cadre de l'application de l'accord " FATCA ".
Deux plaintes ont été déposées à l’APD à l’encontre du ministère des Finances belge qui dénoncent l’illicéité du transfert de données personnelles bancaires vers les autorités fiscales américaines (Internal Revenue Service - IRS) dans le contexte de l’application de l’accord intergouvernemental «FATCA» conclu entre l’Etat belge et les Etats-Unis.
Dans sa décision 61/2023, la Chambre Contentieuse de l’APD conclut à l’illicéité des traitements de données personnelles par le ministère des Finances, en ce compris leur transfert vers l’IRS, dès lors que ces traitements interviennent en violation des principes de finalité, de nécessité et de minimisation ainsi que des règles du Chapitre V du RGPD (absence de garanties appropriées encadrant le transfert vers les Etats-Unis présentes dans l’accord FATCA). La décision écarte l’application de l’article 96 du RGPD invoquée par le ministère des Finances, clarifiant les contours de cette disposition transitoire d’exception eu égard à son champ d’application tant matériel (limité à l’accord FATCA, à l’exclusion de griefs autonomes tels le défaut d’information, l’absence d’Analyse d’Impact en matière de protection des données (AIPD) et la mise en œuvre du principe d’accountability) que temporel (l’effet de standstill de l’article 96 du RGPD s’amenuisant avec le temps compte tenu de l’obligation de coopération loyale des Etats membres de l’UE, de l’atteinte qu’emporte l’article 96 du RGPD aux compétences des autorités de protection des données et à l’effectivité du RGPD, la jurisprudence de la CJUE postérieure au 24 mai 2016 pouvant par ailleurs être prise en compte au regard de concepts communs à la Directive 95/46/CE et au RGPD). Compte tenu de l’illicéité des traitements constatée, la Chambre Contentieuse décide d’ordonner l’interdiction des traitement (en ce compris les transferts vers l’IRS) de données du plaignant et des Américains accidentels belges opérés en exécution de l’accord « FATCA » et de la Loi du 16 décembre 2015 et ce, en application tant de la loi belge organique de l’APD que de l’article 58.2 f) et j) du RGPD, cette interdiction étant la seule mesure à même de mettre un terme à l’illicéité constatée que la Chambre Contentieuse est par ailleurs tenue d’adopter conformément l’arrêt Schrems II de la CJUE. Une violation de l’article 14.1-2 combiné à l’article 12.1 du RGPD en ce que le ministère des Finances n’a pas informé de manière suffisante les personnes concernées par les traitements de données opérés en exécution de l’accord « FATCA » est également constatée. La Chambre Contentieuse constate également une violation de l’article 35.1. du RGPD pour défaut d’AIPD ainsi qu’une violation des articles 5.2. et 24 du RGPD (accountability). Pour ces manquements, la Chambre Contentieuse adresse au ministère des Finances une réprimande assortie d’ordres de mise en conformité. Il est à noter qu’un recours en suspension et en annulation a été introduit à l’encontre de cette décision devant la Cour des marchés (CdM - Cour d’appel de Bruxelles), instance de recours des décisions de la Chambre Contentieuse. La CdM a fait droit à la demande de suspension de la décision (exécutoire par provision par défaut) compte tenu des moyens sérieux invoqués par le ministère des Finances ainsi que le risque de préjudice grave dès lors que l’absence de transfert annuel par le ministère des Finances placerai ce dernier en porte à faux de ses obligations internationales.
Entre-temps, la Cour des marchés a rendu un arrêt indiquant que la décision devait être revue par la Chambre Contentieuse, mais cette fois avec une justification plus approfondie des raisons pour lesquelles la Chambre Contentieuse n'a pas suivi les conclusions du Service d’Inspection. La Chambre Contentieuse étudie actuellement la manière dont elle intégrera cette justification dans une nouvelle décision.
Lire la décision 61/2023
Droit à l'effacement d'un registre des baptêmes
Une personne baptisée a fait la demande auprès du Diocèse de Gand d’être supprimée de tous les fichiers de l’Église catholique romaine, en ce compris le registre des baptêmes. Cependant, l’Église ne supprime pas les données des registres de baptêmes mais ajoute plutôt, en marge du registre, une annotation reflétant le souhait de la personne de quitter l’Église.
Le droit à la suppression des données, (article 17 du RGPD), n’est pas absolu et ne peut s’exercer que sous certaines conditions. L’Église estime qu’elle a un intérêt légitime à conserver les données reprises dans le registre des baptêmes, car cette conservation est nécessaire au but du traitement de données, et que les conditions applicables à une demande d’effacement ne sont donc pas remplies dans ce genre de cas. L’Église invoque comme base juridique pour le traitement des données de baptême son intérêt légitime à prévenir une éventuelle fraude (à l’identité) dans le sens où, selon la doctrine catholique, un baptême ne peut avoir lieu qu’une seule fois. Ceci rendrait nécessaire la tenue d'un registre de ces données.
La Chambre Contentieuse a confirmé qu'il est en effet question d'un intérêt légitime pour l'Église. Cependant, cet intérêt légitime ne peut valoir comme base pour le traitement de données que si le traitement est nécessaire pour atteindre cet objectif, et si l’intérêt de la personne concernée (ici : le plaignant) ne prime pas sur l’intérêt de l’organisation traitant les données (ici : le Diocèse de Gand).
À cet égard, la Chambre Contentieuse a conclu que ni cette exigence de nécessité ni la pondération des intérêts n'étaient remplies. D’une part, étant donné que le registre n’est tenu que sous forme papier au sein d’une seule paroisse (celle du baptême), il n’est pas toujours possible de vérifier si le baptême a eu lieu ou non. Le traitement de données tel qu’il est effectué aujourd’hui n’empêche donc pas dans les faits qu’une personne reçoive deux fois ce même sacrement, et il n’est donc a priori pas approprié pour atteindre la finalité voulue. D’autre part, la conservation à vie des données du plaignant - y compris des données qui ne sont pas strictement nécessaires pour pouvoir établir si une personne est déjà baptisée - est disproportionnée à partir du moment où celui-ci indique expressément vouloir se distancer de l’Église.
En conséquence, le traitement est jugé illicite, ce qui implique que le plaignant peut exercer avec succès son droit à l'effacement des données. En outre, les données doivent également être effacées lorsqu'une objection légitime au traitement de données est soulevée, ce qui est donc le cas en l'espèce.
La Chambre Contentieuse a ordonné au Diocèse de Gand de satisfaire à la demande du plaignant d'exercer son droit d'opposition au traitement de ses données, et à la demande d’effacer ses données.
Cette décision fait actuellement l'objet d'un recours auprès de la Cour des marchés (Cour d'appel de Bruxelles).
Lire la décision 169/2023
Transactions de la Chambre Contentieuse, la politique de transaction et la "Check-list Cookie"
En 2023, la Chambre Contentieuse a encore amélioré l'instrument de transaction et l'a utilisé dans plusieurs dossiers concrets. En 2022, la Chambre Contentieuse avait également fait plusieurs propositions de transaction, dont plusieurs avaient alors abouti avec succès.
En 2023, une proposition de transaction a été faite dans huit dossiers à la suite de plaintes liées, dans les grandes lignes, au placement de cookies et à l'obtention d'un consentement licite pour le placement de ces cookies. En 2023, contrairement aux procédures de transaction précédentes, des conditions de fond ont également été proposées en vue de remédier à certains problèmes pour les plaignants et de prendre en compte les finalités de la législation relative à la protection des données.
À l'époque, cinq des huit dossiers avaient abouti à une transaction, dans certains cas après l'adaptation intrinsèque des conditions de la transaction. Dans les cas où la procédure de transaction n'aboutit pas, le dossier se poursuit d'une autre manière.
Dans les huit dossiers susmentionnés, la Chambre Contentieuse s'est référée à la Checklist Cookie de l'APD, ainsi qu'au Rapport relatif aux travaux de la “Cookie Banner Taskforce” du Comité européen de la protection des données (ou “EDPB”) afin de proposer une solution aux problématiques soumises par les plaignants. Au stade de la phase procédurale préalable à la phase quant au fond, cette solution repose uniquement sur une première analyse de la Chambre Contentieuse, qui ne serait pas nécessairement la même si les faits étaient appréciés quant au fond.
Suite à l'utilisation accrue de l'outil de transaction, la Chambre Contentieuse a également rédigé et publié une politique générale de transaction à la fin de l'année 2023. Cette politique s'adresse à un large public intéressé, mais en particulier aussi aux parties impliquées dans une procédure devant la Chambre Contentieuse de l'APD, dans le cadre de laquelle une procédure de transaction pourrait être engagée.
La politique de transaction définit le cadre juridique, les avantages procéduraux et intrinsèques, ainsi que le cadre procédural de la procédure de transaction.
Un exemple d'un avantage du recours à une transaction est que la procédure de transaction, moins lourde, peut potentiellement donner satisfaction à un plus grand nombre de plaignants et réduire le nombre total de classements sans suite par la Chambre Contentieuse pour motifs d'opportunité. Ce n'est évidemment le cas que dans la mesure où la plupart des parties adoptent une attitude constructive au cours de la procédure.En ce qui concerne le cadre procédural de la procédure de transaction, il convient de souligner que - contrairement à d'autres régulateurs - le plaignant se voit attribuer un rôle formel et substantiel dans la transaction entre le régulateur (dans ce cas, la Chambre Contentieuse de l'APD) et la partie défenderesse. Cela découle du rôle élargi attribué au plaignant en vertu du RGPD par le législateur européen, par exemple à la lumière de l'article 77 du RGPD.
Classement sans suite de certaines affaires anciennes
Vu que la Chambre Contentieuse exerce ses compétences avec un nombre limité de collaborateurs, l'arriéré de dossiers s'est accru au fil des années. Les dossiers traités par la Chambre Contentieuse sont souvent complexes (sur le plan technique et procédural). Chaque décision de la Chambre Contentieuse exige en outre une motivation précise, conformément à la législation et aux exigences posées par la Cour des marchés.
En 2022, la Chambre Contentieuse a adopté 189 décisions. La juxtaposition de ce chiffre avec le nombre de plaintes (604 en 2022) parvenant chaque année au Service de Première Ligne de l'APD explique pourquoi un important arriéré de dossiers s'est accumulé au fil des années. Dans le courant de l'année 2023, la Chambre Contentieuse a décidé de réagir face à cet l'arriéré.
Au printemps 2023, la décision a été prise de procéder au classement sans suite simultané d'un grand nombre de dossiers. Dans le cadre d’un projet relatif au suivi de l’arriéré de dossiers, la Chambre Contentieuse a constaté individuellement dans 389 dossiers qu’il n’était plus opportun d'en poursuivre le traitement, notamment parce qu’aucun de ces dossiers n’avait été traité depuis plus d’un an et parce que les circonstances de l’affaire n’étaient pas particulièrement prioritaires ou socialement très pertinentes.
Dans chacun de ces cas, la Chambre Contentieuse a posé la transparence comme élément central : ainsi, elle a clairement informé chaque plaignant concerné de ses droits. La décision mentionnait la possibilité d’intenter un recours contre la décision de classer le dossier sans suite ainsi que la possibilité d’introduire une nouvelle plainte, surtout si la plainte était encore d’actualité et s’il y avait de nouveaux indices d’une pratique contraire au RGPD.
Le classement sans suite d'un grand nombre de dossiers a été motivé par l'intérêt public. Assurer les intérêts individuels du plaignant dont les droits sont violés n’est en effet possible que lorsqu’un flux de plaintes fluide et qualitatif est garanti de manière générale.
L’APD n’est en effet pas un tribunal. La raison pour laquelle le mécanisme de plainte a été placé entre les mains d’une autorité est précisément de permettre de faire certains choix stratégiques de manière spécialisée et de pouvoir intervenir efficacement dans un contexte social complexe et digitalisé. Tout le monde a droit à une protection des données efficace, et cette méthode permet à la Chambre Contentieuse notamment de traiter des affaires impactant un plus grand nombre de personnes dans la société, ainsi que d'intervenir plus rapidement et plus fermement dans de nouveaux dossiers (de plainte).Il est important de souligner le caractère exceptionnel de ce projet. La Chambre Contentieuse travaille sur des mesures complémentaires pour éviter d’être de nouveau confrontée à l’avenir à un arriéré trop important de dossiers en cours de traitement depuis longtemps. Ainsi, la Chambre Contentieuse poursuit l’élaboration de la transaction prévue légalement (avec les conditions et les modalités possibles dans ce contexte), tout comme l’APD continue à travailler sur la prévention générale et à encourager le règlement des litiges via la médiation lorsque cela est possible. La Chambre Contentieuse s’engage également à affûter l’appréciation d’opportunité de ses décisions de suivi tôt dans la procédure afin de pouvoir ramener à un minimum les futurs temps de traitement. Dans ce cadre, les priorités posées généralement par l’APD serviront de guide. La décision de classement sans suite ne sera pas non plus évitée dans ce contexte. L’exécution de ces mesures, au besoin avec l’aide d’autres services de l’APD, doit faire en sorte que le meilleur service possible soit proposé au citoyen dans un cadre de moyens limités.
Concernant la procédure
Amendes administratives
Le 24 mars 2023, l'EDPB a adopté des lignes directrices destinées à compléter les lignes directrices précédemment établies pour l'application et la fixation des amendes administratives par les APD.
Le RGPD prescrit que le montant d'une amende soit, dans chaque cas, effectif, proportionné et dissuasif (article 83, paragraphe 1 du RGPD). L'EDPB a développé une méthode en cinq étapes afin de compléter l'article 83 du RGPD. L'objectif est de parvenir à une approche plus harmonisée, même si les autorités disposent d'une certaine liberté dans l'application des étapes.
|
Étape 1
|
Identifier les activités de traitement dans le cas en question et évaluer l'application de l'article 83.3 RGPD.
|
|
Étape 2
|
Déterminer le montant de départ pour la suite du calcul sur la base d'une évaluation des éléments suivants :
- la répartition reprise aux articles 83.4 à 83.6 du RGPD ;
- la gravité de la violation en vertu de l'article 83.2, points a), b) et g) du RGPD ;
- le chiffre d'affaires de l'entreprise en tant qu'élément pertinent à prendre en compte en vue de l'imposition d'une amende effective, dissuasive et proportionnée en vertu de l'article 83.1 du RGPD.
|
|
Étape 3
|
Examiner s'il existe des circonstances aggravantes et atténuantes liées au comportement passé ou actuel du responsable du traitement/sous-traitant et augmenter ou diminuer l'amende en conséquence.
|
|
Étape 4
|
Établir les montants maximaux légaux pertinents pour les différentes activités de traitement. Ce montant maximum ne peut pas être dépassé suite à des majorations appliquées dans les étapes précédentes ou suivantes.
|
|
Étape 5
|
Évaluer si le montant final calculé de l'amende est efficace, dissuasif et proportionné, comme l'exige l'article 83.1 du RGPD, et augmenter ou diminuer l'amende en conséquence.
|
Les lignes directrices approfondissent en outre l'existence d'un éventuel concours de violations. Quand un comportement doit-il être considéré comme une seule et même violation parce qu'il s'agit des mêmes activités de traitement ou d'activités connexes, et quand les actes présumés sont-ils multiples ?
Cette étape approfondit également l'évaluation de la gravité d'une violation. L'article 83.2 du RGPD reprend déjà des facteurs devant également être pris en compte, tels que la nature, la gravité et la durée de la violation, le fait que la violation a été commise délibérément ou par négligence et les catégories de données à caractère personnel concernées par la violation. L'évaluation de ces éléments influe sur le montant de départ approprié, qui peut être faible, moyen ou élevé. En règle générale, plus la violation est grave dans la catégorie concernée, plus le montant de départ est susceptible d'être élevé.
Tout au long des lignes directrices, il est certes souligné que la quantification effective de l'amende dépend de tous les éléments recueillis au cours de l'enquête ainsi que d'autres considérations liées à l'expérience antérieure des autorités de contrôle en matière d'amendes.
La Chambre Contentieuse a déjà eu recours aux lignes directrices adaptées dans plusieurs décisions en 2023. Elle applique ainsi une méthode plus structurée et plus efficace pour fixer les amendes dans ses décisions. À l'horizon 2024, nous étudions la manière dont cela peut être appliqué de manière standardisée (la récente décision 07/2024 en est déjà un exemple).
Arrêt Informex de la Cour constitutionnelle
Dans son arrêt n° 5/2023 du 12 janvier 2023, la Cour constitutionnelle a décidé que les tiers intéressés devaient également disposer d'un droit de recours effectif. Cette idée a été reprise par le législateur qui a inséré un amendement dans la LCA, permettant aux tiers intéressés de faire appel d'une décision de la Chambre Contentieuse.
Politique en matière d'amendes
Enfin, il convient de noter que la Cour des marchés adopte une attitude qui évolue par rapport à la compétence de sanction de la Chambre Contentieuse. Elle a notamment critiqué la motivation utilisée par la Chambre Contentieuse pour imposer des amendes administratives. À cet égard, deux arrêts importants ont été rendus en 2023.
Dans l'arrêt SNCB (2022/AR/723) de la Cour des marchés du 14 juin 2023, le montant de l'amende a été ramené à un euro symbolique. L'APD s'est pourvue en Cassation contre cette décision en vue notamment d’obtenir clarification sur les règles applicables.
Dans l'arrêt Proximus (2020/AR/1160) du 6 septembre 2023, la Cour des marchés a converti l'amende infligée par la Chambre Contentieuse en une réprimande.
Compte tenu des évolutions, il est essentiel de maintenir une politique structurée et cohérente en matière d'amendes. Les lignes directrices de l'EDPB susmentionnées doivent y contribuer.
La Chambre Contentieuse examine en ce moment comment mieux répondre aux exigences de la Cour. Le jugement dans l'affaire Proximus semble déjà être un pas dans la bonne direction.
Réalisations en chiffres
La Chambre Contentieuse a publié 171 décisions en 2023. Le graphique ci-dessous explique la longue durée d'une procédure et les retards que cela entraîne. Il indique le nombre de décisions par an en précisant l'année de commencement des dossiers à la base des décisions.
Répartition par année de commencement des dossiers
| Année |
Année de commencement dossiers : 2018 |
Année de commencement dossiers : 2019 |
Année de commencement dossiers : 2020 |
Année de commencement dossiers : 2021 |
Année de commencement dossiers : 2022 |
Année de commencement : 2023 |
| Décisions 2018 |
13 |
0 |
0 |
0 |
0 |
0 |
| Décisions 2019 |
14 |
26 |
0 |
0 |
0 |
0 |
| Décisions 2020 |
11 |
40 |
32 |
0 |
0 |
0 |
| Décisions 2021 |
5 |
33 |
62 |
43 |
0 |
0 |
| Décisions 2022 |
10 |
12 |
46 |
72 |
49 |
0 |
| Décisions 2023 |
1 |
1 |
10 |
19 |
53 |
87 |
Nature des dossiers traités ayant donné lieu aux décisions :
- 177 dossiers de plaintes (nationaux)
- 2 dossiers de violation de données
- 2 plaintes internationales pour lesquelles l'APD est compétente
Les 171 décisions ont donné lieu aux sanctions suivantes :
|
Quant au fond
|
Nombre de sanctions
|
Light
|
Nombre de sanctions
|
|
Art. 100. §1,1°
(Classements sans suite)
|
12
|
Art. 95. §1,2°
(Transactions)
|
5
|
|
Art. 100. §1,2°
|
0
|
Art. 95. §1,3°
(Classements sans suite)
|
81
|
|
Art. 100. §1,3°
|
0
|
Art. 95. §1,4°
(Avertissements)
|
30
|
|
Art. 100. §1,4°
|
0
|
Art. 95. §1,5°
(Ordonnances - se conformer aux demandes de droits)
|
51
|
|
Art. 100. §1,5°
(Avertissements et réprimandes)
|
17
|
Art. 95. §1,6°
|
0
|
|
Art. 100. §1,6°
(Ordonnances – se conformer aux demandes de droits)
|
3
|
Art. 95. §1,7°
|
0
|
|
Art. 100. §1,7°
|
0
|
|
|
Art. 100. §1,8°
(Ordonnances – gel, limitation ou interdiction de traitement)
|
2
|
|
|
Art. 100. §1,9°
(Ordonnances – mise en conformité)
|
3
|
|
|
Art. 100. §1,10°
|
0
|
|
|
Art. 100. §1,11°
|
0
|
|
|
Art. 100. §1,12°
|
0
|
|
|
Art. 100. §1,13°
(Amendes)
|
3
|
|
|
Art. 100. §1,14°
|
0
|
|
|
Art. 100. §1,15°
|
0
|
|
Au total, le montant des amendes infligées s'élève à 80.000,00 €.
Outre ses propres décisions, la Chambre Contentieuse collabore aussi à des décisions d'autres autorités européennes de protection des données. La Chambre Contentieuse a ainsi également contribué en 2023 à 4 dossiers d'information et 114 plaintes au niveau international, dans lesquels l'APD était "autorité concernée" (CSA). Des collaborateurs de la Chambre Contentieuse ont également été étroitement associés au développement de la coopération en matière de contrôle au sein de l'EDPB.
En 2023, 18 recours ont été introduits auprès de la Cour des marchés contre des décisions de la Chambre Contentieuse. En 2023, la Cour des marchés s’est également prononcée dans 16 procédures de recours, dans lesquelles 12 arrêts définitifs et 4 arrêts intermédiaires ont été rendus et 4 décisions ont été - totalement ou partiellement - annulées.