Chambre Contentieuse

La Chambre Contentieuse dans les grandes lignes

La Chambre Contentieuse traite également des affaires qui sont soumises à l'APD par les autorités des États membres européens dans le cadre du mécanisme de guichet unique instauré par le RGPD et où l'APD est autorité chef de file ou autorité concernée. La Chambre Contentieuse dispose à cet égard de plusieurs instruments : les mesures correctrices et les amendes administratives. La procédure devant la Chambre Contentieuse se déroule dans le respect des principes du droit procédural.

La Chambre Contentieuse est composée, outre de son président, de six membres externes qui sont nommés par la Chambre sur la base de leur expertise particulière.

La Chambre Contentieuse a une structure unique qui n'existe pas chez les contrôleurs de marché en Belgique ni chez les autres autorités de contrôle de l'UE. Cette structure présente un caractère hybride. La Chambre Contentieuse est un organe de contrôle, mais la procédure est quasiment judiciaire, avec notamment une prise de décision après échange de conclusions entre les parties et souvent aussi après une audition.

Cette structure a fait ses preuves, surtout grâce aux décisions que la Chambre Contentieuse a prises entre-temps et qui sont disponibles sur le site Internet de l'APD. La Chambre Contentieuse a ainsi pris 34 décisions quant au fond en 2020. La procédure permet de statuer de manière impartiale et de respecter les garanties juridiques.

Mécanisme de transactions

En vertu du Règlement général sur la protection des données, l'Autorité de protection des données a l'obligation de traiter les plaintes et, après examen de leur contenu, de réserver à ces plaintes la suite appropriée. En tant qu'organe contentieux de l’APD, La Chambre Contentieuse traite dans ce cadre un très grand nombre de dossiers de plaintes. Une autorité de contrôle doit en outre pouvoir assurer avec fermeté le respect effectif de la réglementation, tant pour les dossiers de plaintes que pour les dossiers dans lesquels un organe de l'autorité soumet lui-même un cas.

C'est la raison pour laquelle le législateur belge a prévu, en complément de la législation européenne, des instruments avec des compétences pour l'Autorité de protection des données et ses organes. Ces instruments doivent permettre à l'Autorité de poursuivre ses missions le mieux possible. Ainsi, la loi organique belge prévoit à la fois en son article 95 et en son article 100 une compétence pour la Chambre Contentieuse de proposer une transaction. En tant qu'instrument, la transaction joue un rôle utile dans la garantie du respect de la législation relative à la protection des données et peut être utilisée dans différents cas et pour différentes raisons stratégiques.

En 2022, la Chambre Contentieuse a eu recours pour la première fois à sa compétence en matière de transaction. Conformément à sa politique constante de communiquer de la manière la plus transparente et la plus complète possible sur son processus décisionnel et le contenu de ses décisions, la Chambre Contentieuse a également publié les décisions de transaction sur le site Internet de l'Autorité de protection des données. La Chambre Contentieuse a procédé à une proposition de transaction dans huit dossiers.

Suite à la proposition de transaction, les parties ont toujours la possibilité de demander des explications à cet égard. Ceci peut mener dans certains cas à des reformulations dans la décision de transaction finale, et ce au niveau des conditions et du cadre factuel de la transaction finale. Les reformulations destinées à clarifier la proposition de transaction prévalent dans ce cas sur les formulations utilisées dans la proposition de transaction initiale.

Enfin, lorsqu'une partie accepte la proposition de transaction - avec ou sans reformulations proposées par la Chambre Contentieuse - une décision de transaction formelle est prise par la Chambre Contentieuse. Ces décisions peuvent faire l'objet d'un recours auprès de la Cour des marchés par toute personne affectée par cette décision et qui estime s'en trouver lésée.

Thématique cookie

En 2022, l’APD s’est vu confier expressément la compétence de supervision des cookies. Les internautes étant confrontés quotidiennement à ces technologies de traçage, l’APD a déployé de nombreux efforts sur le sujet, principalement au niveau de ses compétences de contrôle.  Fin 2022, l’APD a annoncé faire des cookies l’une de ses priorités pour l’année 2023, avec pour but de développer des actions de prévention et de discussion autour des règles applicables.   

Enquête « cookies sur les sites de presse »

En 2022, l’APD avait décidé de lancer via son Service d’Inspection une enquête de grande envergure concernant l’utilisation des cookies sur les sites de presse belges les plus populaires. Celle-ci a abouti à deux décisions quant au fond (dont une a été annulée par la Cour des marchés), et 8 décisions de transaction.

Lors de l’enquête du Service d’Inspection, un certain nombre de manquements en terme de consentement à l’installation de cookies ont été constatés :

• Consentement préalable : des cookies qui ne sont pas strictement nécessaires étaient placés sur l’appareil du visiteur avant même que celui-ci n’y ait consenti;
• Information à l’utilisateur :  l’information fournie aux utilisateurs concernant les cookies était incomplète;
• Consentement univoque : des cases de consentement à l’installation de cookies par des partenaires tiers étaient pré-cochées, or le consentement doit résulter d’une action active, et ne peut donc pas être considéré comme donné «par défaut».

La Chambre Contentieuse a ensuite confirmé, dans l'un de ces dossiers, plusieurs de ces constatations. En effet, elle a réaffirmé que la loi stipule que le placement de cookies statistiques sans consentement valable n’est, en principe, pas permis. La Chambre Contentieuse a également dû rappeler que le fait qu’un autre responsable du traitement soit également responsable pour un traitement sur un site web – comme  le placement des cookies – ne décharge pas le fournisseur du site web de sa responsabilité en tant que responsable du traitement.

Décisions de la Chambre Contentieuse

En 2022, la Chambre Contentieuse a émis un certain nombre de décisions relatives à l’utilisation des cookies ou technologies similaires. 8 décisions de transaction, ainsi que 6 décisions quant au fond en la matière ont été prononcées.

Décisions de transaction :

• décision n° 150/2022
• décision n° 151/2022
• décision n° 153/2022
• décision n° 154/2022
• décision n° 155/2022
• décision n° 156/2022
• décision n° 157/2022
• décision n° 168/2022

Décisions quant au fond :

• décision n° 11/2022
• décision n° 21/2022
• décision n° 162/2022
• décision n° 103/2022 (cette décision a été annulée par l’arrêt 2022/AR/953 de la Cour des marchés du 22 février 2023)
• décision n° 85/2022
• décision n° 169/2022

IAB Europe

En 2019, l'APD a reçu une série de plaintes d'autres autorités de contrôle, visant l'organisation Interactive Advertising Bureau Europe (IAB Europe), au sujet de la conformité du Transparency & Consent Framework (TCF) avec le RGPD. Étant donné que la partie défenderesse est établie à Bruxelles, l'APD est intervenue en tant qu'autorité de contrôle.

Le TCF, qui a été développé par IAB Europe, entend contribuer au respect du RGPD dans le chef des organisations qui recourent au protocole OpenRTB, un des protocoles les plus répandus pour le "Real Time Bidding", c'est-à-dire l'enchère instantanée et automatisée en ligne de profils d'utilisateurs pour la vente et l'achat d'espaces publicitaires sur Internet. Grâce à l’OpenRTB, les entreprises technologiques, qui représentent des milliers d'annonceurs, peuvent enchérir instantanément ("en temps réel") en coulisse pour cet espace publicitaire via un système d'enchères automatisé utilisant des algorithmes, afin d'afficher des publicités ciblées spécifiquement adaptées au profil des utilisateurs.

Lorsque des utilisateurs visitent pour la première fois un site Internet ou une application qui utilise le TCF, une interface proposée par une Consent Management platform (plateforme de gestion du consentement ou CMP) apparaît, leur permettant de donner leur consentement pour la collecte et le partage de leurs données à caractère personnel ou de s'opposer à différents types de traitements basés sur les intérêts légitimes des fournisseurs AdTech.

Le TCF facilite ainsi l'enregistrement des préférences des utilisateurs via la CMP. Ces préférences sont codées et enregistrées dans un Transparency & Consent (TC) String, qui est ensuite partagé avec les organisations participantes qui se sont affiliées au TCF, afin qu'elles puissent savoir à quoi l'utilisateur spécifique a consenti ou à quoi il s'est opposé. Pour pouvoir conserver le TC String, le CMP place également un cookie euconsent-v2 sur l'appareil de l'utilisateur. Dans ce cadre, le TC string et le cookie euconsent-v2 sont également associés à l'adresse IP de la personne concernée dont les préférences ont été captées, ce qui rend l'utilisateur identifiable.

Le TCF joue donc un rôle clé dans l'architecture du système OpenRTB, en restituant les préférences des utilisateurs à l'égard des fournisseurs AdTech potentiels et pour diverses finalités de traitement, incluant l'offre de publicités sur mesure. Pour cette raison, la Chambre Contentieuse a constaté que IAB Europe agissait comme responsable du traitement en ce qui concerne la captation des préférences des utilisateurs individuels sous la forme d'un TC String, qui est associé à un utilisateur identifiable.

Par ailleurs, la Chambre Contentieuse a constaté une série de violations du RGPD dans le chef d'IAB Europe :

• l'absence de fondement juridique pour le traitement du TC String et la présentation de fondement juridiques insuffisants par le TCF pour le traitement ultérieur des données à caractère personnel collectées par les acteurs AdTech ;
• un manque d'informations claires et spécifiques fournies aux utilisateurs via l'interface CMP au sujet du traitement de données, de sorte qu'ils ne sont pas en mesure de comprendre la nature, la portée et les conséquences du traitement ;
• un manque de mesures techniques et organisationnelles appropriées, conformément aux principes de protection des données dès la conception et de protection des données par défaut, afin notamment de garantir l'exercice effectif des droits des personnes concernées et de contrôler la validité et l'intégrité des choix des utilisateurs ;
• l'omission de tenir un registre des activités de traitement, de désigner un DPO et de réaliser une "AIPD".

Suite à ces violations et vu que le TCF peut entraîner une perte du contrôle de leurs données à caractère personnel pour de grands groupes de citoyens, la Chambre Contentieuse a décidé dans sa décision 21/2022 du 2 février 2022 d'infliger une amende de 250.000 EUR à IAB Europe. Par ailleurs, la Chambre Contentieuse a recommandé que IAB Europe introduise dans les deux mois de la décision en question un plan d'action pour l'exécution de mesures correctrices.

Le 4 mars 2022, IAB Europe a introduit un recours auprès de la Cour des marchés contre la décision précitée. Début avril, IAB Europe a communiqué son plan d'action confidentiel à la Chambre Contentieuse.

Le 7 septembre 2022, la Cour des marchés a décidé, avant de se prononcer quant au fond de l'affaire, de poser des questions préjudicielles à la Cour de justice de l'Union européenne, notamment à la demande des parties. Les questions concernaient la qualité de IAB Europe en tant que (co)responsable des traitements de données à caractère personnel dans le cadre du TCF et la question de savoir si le TC String pouvait être considéré comme une donnée à caractère personnel.

Il est important de noter que contrairement à ce que IAB Europe a pu affirmer par la suite, la Cour des marchés n'a pas annulé ni suspendu la décision de la Chambre Contentieuse. En d'autres termes, la décision est maintenue et continue donc d'exister en droit.Étant donné que la Chambre Contentieuse a toujours la possibilité de faire appliquer sa décision si celle-ci n’est ni annulée ni suspendue, le président de la Chambre Contentieuse a décidé d'informer officiellement IAB Europe le 11 janvier 2023 de la validation du plan d'action, en tenant compte de quelques observations faites par la Chambre Contentieuse et sous réserve générale des compétences de l'APD en tant que contrôleur. Suite à cette validation, IAB Europe s'est vue accorder un délai de 6 mois pour appliquer les mesures proposées.

Les 8 et 10 février 2023, les plaignants et IAB Europe ont introduit un recours auprès de la Cour des marchés contre cette validation. Dans le cadre de ces recours, la Chambre Contentieuse a décidé, le 6 mars 2023, de suspendre la mise en œuvre du plan d'action jusqu'à l'arrêt de la Cour des marchés quant à la légalité de la validation en question.

Il reste à attendre que l'affaire soit plaidée devant la Cour de justice, après quoi un arrêt définitif de la Cour des marchés doit encore intervenir.

Aéroports de Brussels Airport Zaventem et Brussels South Charleroi

L’APD a imposé des amendes aux aéroports Brussels Airport Zaventem et Brussels South Charleroi pour les contrôles de température des passagers effectués dans le cadre de la lutte contre le COVID-19. Pour l’APD, ces aéroports ne disposaient pas d’une base légale valable pour traiter ces données de santé des voyageurs.

Dans ces deux aéroports, des caméras thermiques permettaient de filtrer des personnes ayant plus de 38°C de température. A Zaventem, ces personnes se voyaient ensuite soumettre un questionnaire sur de possibles symptômes liés au coronavirus. L’objectif était que les personnes qui présentaient une température confirmée de plus de 38°C ne puissent embarquer.

Ces contrôles de température ont eu lieu de juin 2020 à mars 2021 dans le cas de l’aéroport de Charleroi, et de juin 2020 à janvier 2021 à l’aéroport de Zaventem.

Au terme de son analyse, la Chambre Contentieuse a constaté, rapport du Service d’Inspection à l’appui, que les aéroports manquaient d’une base légale valable pour traiter des données liées à la température des voyageurs, et ce en particulier vu qu’il s’agit de données de santé. Des données de ce type étant des données sensibles, elles ne peuvent en principe pas être traitées, sauf dans un nombre très limité d’exceptions (listées à l’article 9.2 du RGPD). Un traitement pour des motifs de santé publique ou d’intérêt public important font par exemple partie de ces exceptions, à condition qu’il se base sur une norme de droit claire, précise et dont l’application est prévisible pour les personnes concernées, or les contrôles de température reposaient ici principalement sur un protocole, qui ne satisfait pas à ces exigences.

De surcroit, l’APD a observé des manquements en termes d’information fournie aux voyageurs, et de qualité des analyses d’impact (c’est-à-dire l’analyse des risques liés au traitement de données).

Tout en reconnaissant la situation difficile dans laquelle se trouvaient les aéroports en raisons de la pandémie, l’APD a rappelé que les règles en matière de vie privée et protection des données impliquent une protection essentielle pour les droits et libertés des personnes, particulièrement lors de situation d’urgence sanitaire. Elle souhaite que ces deux décisions puissent servir de guide pour d’éventuels traitements de données similaires, que ce soit ou non dans le cadre de la crise sanitaire.

L’APD a imposé une amende à chacune des parties impliquées. Cette amende a été réduite ou annulée par la juridiction d’appel, qui a néanmoins maintenu les constats de violations, portant entre autre sur la validité de la base de licéité, à l’égard des deux aéroports.

Jurisprudence

Cour des marchés

Conformément à l’article 108, § 2 de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données (LCA), les décisions de la Chambre Contentieuse de l’APD peuvent faire l'objet d'un recours auprès de la Cour d’appel de Bruxelles, section Cour des marchés. Par souci de transparence, l’APD publie sur son site Internet tous les arrêts rendus par la Cour des marchés.

En 2022, 16 nouveaux recours ont été introduits contre des décisions de la Chambre Contentieuse. La Cour des marchés s’est également prononcée en 2022 dans 13 procédures de recours, dans lesquelles 8 arrêts définitifs et 5 arrêts intermédiaires ont été rendus et 6 décisions ont été - totalement ou partiellement - annulées. 

Dans sa jurisprudence, la Cour des marchés insiste sur les aspects procéduraux de la procédure contentieuse de la Chambre Contentieuse. Des arrêts d’annulation ont également été rendus en 2022 pour des motifs procéduraux. La Cour des marchés a ainsi souligné l'obligation de motivation et a annulé partiellement un certain nombre de décisions de la Chambre Contentieuse du fait que la motivation des décisions en question n'a pas ou du moins pas suffisamment tenu compte de différentes circonstances atténuantes de l'article 83 du RGPD dans son évaluation visant à savoir si une amende administrative était requise (2022/AR/560 & 2022/AR/564 et 2022/AR/556). Des renvois dans une décision de la Chambre Contentieuse à une décision déjà annulée par la Cour des marchés a également constitué une violation de l'obligation de motivation (2022/AR/483 & 2022/AR/484). La Cour des marchés a également attiré l'attention sur la garantie des droits de la défense. Elle a estimé que lors de la procédure devant la Chambre Contentieuse, le défendeur devait être informé des violations qui lui étaient reprochées et en quoi consistent ces violations (2022/AR/42 et 2022/AR/457).

Par ailleurs, la Cour des marchés a précisé qu'elle n'avait un pouvoir juridictionnel que pour statuer sur des décisions de la Chambre Contentieuse et non sur des communiqués de presse émis par des membres de l'APD, même si bien entendu l'impartialité subjective et objective devait être garantie (2022/AR/560 & 2022/AR/564 et 2022/AR/556. La Cour des marchés a également confirmé que l'autonomie et l'indépendance de la Chambre Contentieuse ne pouvaient pas être limitées à ce qui est mentionné dans le rapport d'inspection pour ce qui concerne la constatation d'éventuelles violations et l'imposition d'éventuelles sanctions (2022/AR/560 & 2022/AR/564 et 2022/AR/556).

La Cour des marchés s'est également prononcée sur la composition de la Chambre Contentieuse. La Cour des marchés a affirmé que la Chambre Contentieuse siégeait de manière collégiale afin que toute irrégularité en matière de nomination ou même toute partialité dans le chef d'un membre ne puisse pas influencer la légalité de la décision (2022/AR/560 & 2022/AR/564). Le demandeur doit démontrer toute violation de l'indépendance ou toute partialité éventuelles d'un des membres de la Chambre Contentieuse (2022/AR/556). Ensuite, la Chambre Contentieuse a souligné que le président ne pouvait pas décider de manière discrétionnaire de "décollégialiser" le traitement d'une affaire, mais qu'il doit le faire en tenant compte de deux critères : a) la nature de la plainte et b) la violation des principes fondamentaux de la protection des données à caractère personnel (article 43 du Règlement d'ordre intérieur). Le président peut dès lors décider de "décollégialiser" uniquement sur la base de ces mêmes deux critères et donc de siéger seul. Cette décision ne peut pas se fonder sur d'autres critères (2022/AR/457).

La Cour des marchés a également rappelé qu'un recours devant la Cour des marchés ne doit pas être confondu avec un "recours ordinaire" (2022/AR/556). Les pleins pouvoirs juridictionnels de la Cour des marchés signifient qu'elle peut non seulement annuler des décisions de la Chambre Contentieuse mais qu'elle peut aussi les réformer(2022/AR/556 et 2022/AR/42). Elle a souligné que l'exercice des pleins pouvoirs juridictionnels ne constitue pas une obligation dans son chef, mais bien une possibilité (2022/AR/42). Dans l'arrêt 2022/AR/42, la Cour des marchés a déclaré qu'en l'espèce, elle n'avait pas exercé ses pleins pouvoirs juridictionnels en raison de l'absence du plaignant dans la procédure de recours.

La Cour des marchés a par ailleurs déclaré irrecevable un recours du défendeur contre une décision de classement sans suite de la Chambre Contentieuse en raison d'une absence d'intérêt dans le chef de la partie requérante. Dans un autre cas, la Cour des marchés n'a pas accédé à la demande de la partie requérante de suspendre une décision de l'APD. Ce fut le cas dans l’affaire Ville de Courtrai c. APD 2022/AR/457 dans le cadre de laquelle la Ville de Courtrai avait demandé à la Cour des marchés la suspension de la décision de l'APD. La Cour des marchés a estimé que la Ville de Courtrai n'avait pas démontré dans la citation, ni dans les conclusions de synthèse et les documents qu'elle subirait un préjudice grave et irréparable si elle devait attendre l'issue du recours en annulation auprès de la Cour des marchés. Elle n'avait dès lors pas démontré le caractère urgent de son affaire.

Dans le cadre de deux des recours introduits, avant de statuer, la Cour des marchés a adressé en 2022, à la demande de l’APD, une question préjudicielle à la Cour de justice de l’Union européenne concernant l’interprétation du RGPD. La Cour des marchés l'a fait plus particulièrement dans l'affaire ‘Moniteur belge’ (2021/AR/657) qui concerne la qualification de responsable du traitement de l'État belge dans le cadre de publications d'extraits notariés dans le Moniteur belge. L’affaire susmentionnée est actuellement encore en cours devant la Cour de justice sous le numéro C‑231/22. L'autre affaire dans laquelle une question préjudicielle a été posée à la Cour de justice est l'affaire IAB c. APD (2022/AR/292). Dans celle-ci, les questions préjudicielles posées concernent les principes fondamentaux du RGPD ‘données à caractère personnel’ et ‘responsable du traitement’. Cette affaire est aussi actuellement encore en cours devant la Cour de justice sous le numéro C-604/22.

Cour de Justice de l’Union européenne

La Cour de Justice de l’Union Européenne s’est prononcée dans l’arrêt du 27 octobre 2022 sur des questions posées par la Cour des Marchés dans le cadre d’un dossier concernant Proximus qui avait conduit à une décision de la Chambre Contentieuse sur les modalités de retrait du consentement à figurer dans des annuaires téléphoniques.

L’arrêt de la Cour a jugé que «lorsque différents responsables du traitement se fondent sur le consentement unique de la personne concernée, il suffit que celle-ci s’adresse à l’un quelconque des responsables pour retirer son consentement. »
Elle rejoint ainsi l’interprétation de l’APD. Plus spécifiquement, la Cour de Justice a estimé :

• qu’un consentement était requis afin que les données personnelles d’un abonné de services de télécommunications figurent dans des annuaires téléphoniques/services de renseignements téléphoniques accessibles au public ;
• qu’un abonné demandant la suppression de ses données des annuaires constitue un « droit à l’effacement » dans le sens du RGPD ;
• qu’il peut être exigé que le responsable du traitement prenne les mesures techniques et organisationnelles appropriées pour informer les tiers (à savoir l’opérateur de télécommunications de l’abonné, et les autres fournisseurs d’annuaires auxquels il a transmis les données de l’abonné) du retrait du consentement de l’abonné ;
• qu’il peut être demandé à un fournisseur d’annuaires de prendre des mesures raisonnables afin d’informer les moteurs de recherche de la demande d’effacement des données de l’abonné.

A l’aide des réponses fournies par l’arrêt de la CJUE, la Cour des Marchés pourra se prononcer quant à l’appel déposé par Proximus contre la décision 42/2020 de l’APD.

Le mécanisme du guichet unique (one-stop-shop)

Le mécanisme du guichet unique (ou « One-Stop-Shop ») a été mis en place par le RGPD, dans le but d’harmoniser, pour les traitements transfrontaliers, les décisions des différentes autorités de protection nationales européennes. Il y a traitement transfrontalier lorsqu'un responsable du traitement (ou un sous-traitant) ayant des établissements dans plusieurs États membres de l'UE traite des données de personnes résidant dans des États membres différents, ou lorsque le responsable du traitement n'est établi que dans un seul État membre mais que le traitement contesté peut avoir des conséquences pour des personnes habitant dans plusieurs États membres.

Pour le citoyen, ceci a l’avantage de pouvoir introduire une plainte dans sa langue et auprès de l'autorité de protection des données de son pays de résidence, et que cette autorité soit son point de contact pendant la procédure (et non pas l’autorité de protection des données du pays siège du responsable de traitement). Au niveau du responsable du traitement, ce système de guichet unique permet qu’une une seule autorité de protection des données soit son interlocuteur, en vue d'un contrôle efficace du respect du RGPD.

Concrètement, une autorité sera désignée « chef de file » pour l’examen d’une plainte et rédigera un projet de décision, qui sera soumis aux autres autorités intéressées. Celle-ci peuvent émettre des commentaires ou s’opposer au projet. A défaut d’accord entre les autorités, Comité européen de la protection des données (EDPB) trancher les points litigieux sur base de l’article 65 du RGPD.

A titre d’exemple, le 5 décembre 2022, l’EDPB a adopté des décisions contraignantes concernant un projet de décision de l’autorité de protection irlandaise à l’encontre de Meta (ses services Facebook et Instagram plus spécifiquement) suite aux objections soulevées par plusieurs autorités.

Dans ses décisions, l'EDPB a affirmé que Meta IE a invoqué de manière inappropriée le contrat comme base juridique pour traiter des données à caractère personnel dans le contexte des conditions d'utilisation de Facebook et d'Instagram à des fins de publicité comportementale. Par conséquent, l'EDPB a estimé que Meta n'avait pas de base juridique pour ce traitement et a demandé à l’autorité irlandaise d'ordonner à Meta de mettre son traitement en conformité avec l'art. 6(1) GDPR. En outre, l'EDPB a noté que les graves manquements aux obligations de transparence par Meta ont eu un impact sur le caractère raisonnable des attentes des utilisateurs, que Meta avait présenté ses services aux utilisateurs d'une manière trompeuse, et que la relation entre Meta et les utilisateurs des services de Facebook et d'Instagram était déséquilibrée.  L'EDPB a ordonné à l’autorité irlandaise de modifier sa décision, notamment d'imposer des amendes nettement plus élevées. L’APD a activement participé aux discussions entourant l’adoption de cette décision contraignante.

En 2022, la Chambre Contentieuse de l’APD a notamment publié les décisions dans le cadre du guichet unique suivantes :

• décision 21/2022 concernant le Transparency & Consent Framework d'IAB Europe (sur la publicité sur la base des habitudes de navigation), un processus auquel ont pris part 21 autres autorités de protection des données européennes, vu les conséquences des traitements concernés pour les citoyens dans leurs États membres respectifs.
• décision 11/2022 (à propos des cookies) dans le cadre de laquelle on est parvenu à une position commune après l'introduction d'objections par une autorité concernée.
• décision 13/2022 (à propos du profilage politique en ligne) qui a également été prise après concertation sur la base du mécanisme de coopération européenne.

La Chambre Contentieuse a également transmis des plaintes introduites auprès de l'APD mais qui relevaient de la compétence d'une autre autorité de protection, sur la base des critères définis dans le RGPD.

Réalisations en chiffres

La Chambre Contentieuse a publié 189 décisions en 2022. Le graphique ci-dessous explique la longue durée d'une procédure et les retards que cela entraîne. Il indique le nombre de décisions par an en précisant l'année de commencement des dossiers à la base des décisions.

Nature des dossiers traités ayant donné lieu aux décisions :

• 174 dossiers de plaintes (nationaux)
• 1 dossier de violation de données
• 12 dossiers d'inspection d'initiative
• 3 dossiers d’initiative
• 5 plaintes internationales pour lesquelles l'APD est compétente

Les 189 décisions ont donné lieu aux sanctions suivantes :

Au total, le montant des amendes infligées s'élève à 738.900 €.

Outre ses propres décisions, la Chambre Contentieuse collabore aussi à des décisions d'autres autorités européennes de protection des données. La Chambre Contentieuse a ainsi également contribué en 2022 à 4 dossiers d'information et 71 plaintes au niveau international, dans lesquels l'APD était "autorité concernée" (CSA). Des collaborateurs de la Chambre Contentieuse ont également été étroitement associés au développement de la coopération en matière de contrôle au sein de l'EDPB.

En 2022,  16 recours ont été introduits auprès de la Cour des marchés contre des décisions de la Chambre Contentieuse. En 2022, la Cour des marchés s’est également prononcée dans 14 procédures de recours, dans lesquelles 9 arrêts définitifs et 5 arrêts intermédiaires ont été rendus et 8 décisions ont été - totalement ou partiellement - annulées.