ECLI:BE:GBAPD:2024:DEC.20241213.2

Chambre Contentieuse Décision quant au fond 163/2024 du 13 décembre 2024 Numéro de dossier : DOS-2020-04373 Objet : Suppression d'une adresse e-mail suite à une erreur matérielle La Chambre Contentieuse de l'Autorité de protection des données, composée de Monsieur Hielke HIJMANS, président, siégeant seul ; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après "RGPD" ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, ci-après "LCA" ; Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ; Vu les pièces du dossier ; A pris la décision suivante concernant : Le plaignant : Monsieur X, ci-après "le plaignant" Le défendeur : Y1, inscrit sous le numéro d'entreprise […], et Y2, inscrit sous le numéro d'entreprise […], tous deux établis à […], représentés par Me Guy Schiepers, ’ci-après appelés conjointement "le défendeur" I. Faits et procédure 1. Le 21 septembre 2020, le plaignant introduit une plainte auprès de l'Autorité de protection des données contre le défendeur. L'objet de la plainte concerne le fait que le défendeur n'a pas donné de suite appropriée à la demande du plaignant d’effacer ses données à caractère personnel, plus précisément son adresse e-mail, que le défendeur utilise pour envoyer au plaignant de la publicité non sollicitée. Le plaignant indique qu'il a demandé à plusieurs reprises de procéder à l'effacement. Le défendeur n'y a réagi qu'après un certain temps en affirmant que les données du plaignant n'avaient jamais été reprises dans son système et que l'erreur ayant donné lieu à l'envoi d'e-mails avait été trouvée, suite à quoi le défendeur a présenté ses excuses. Malgré cette déclaration, le plaignant reçoit encore toutefois des e-mails de marketing direct de la part du défendeur. 2. Le 7 octobre 2020, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA. 3. Le 21 novembre 2022, les parties sont informées par la Chambre Contentieuse de la Décision 166/2022 du 18 novembre 2022, qui ordonne au défendeur, en vertu de l'article 58.2, c) du RGPD et de l'article 95, § 1 er, 5° de la LCA, de donner suite à la demande du plaignant d'exercer ses droits, plus précisément le droit à l'effacement (art. 17.1 du RGPD), et de procéder à l'effacement des données à caractère personnel en question, et ce dans un délai de 30 jours à compter de la notification de cette décision, sous réserve de l'introduction par le défendeur d'une requête de traitement quant au fond conformément aux articles 98 e.s. de la LCA. 4. Le 24 novembre 2022, le défendeur demande une copie du dossier (art. 95, § 2, 3° de la LCA), qui lui est transmise le jour même, à savoir le 24 novembre 2022. 5. Le 14 décembre 2022, la Chambre Contentieuse reçoit de la part du défendeur la demande de traitement quant au fond conformément aux articles 98 e.s. de la LCA., suite à la décision 166/2022 du 18 novembre 2022. À cet égard, le défendeur fait valoir pour l'essentiel que suite à une erreur matérielle dans l'orthographe de l'adresse e-mail, le plaignant a reçu des messages qui étaient destinés à un client du défendeur. Concrètement, l'erreur matérielle concernait une seule lettre dans le nom de famille du plaignant à qui l'adresse e-mail […] appartient, le distinguant du client réel du défendeur qui dispose quant à lui de l'adresse e-mail […]. 6. Le 23 décembre 2022, la Chambre Contentieuse décide, sur la base de l'article 95, § 1 er, 1° et de l'article 98 de la LCA, que le dossier peut être examiné sur le fond et informe les parties concernées par envoi recommandé des dispositions telles qu'énoncées à l'article 95, § 2 et à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions. La date limite pour la réception des conclusions en réponse du plaignant a été fixée au 3 février 2023 et celle pour les conclusions en réplique du défendeur au 3 mars 2023. 7. Le 30 janvier 2023, Chambre Contentieuse reçoit de la part du plaignant un message déclarant qu'il n'a rien à ajouter au dossier qui mentionne tous les faits dans le bon ordre chronologique et qui permet à la Chambre Contentieuse, selon lui, de prendre une décision. 8. Suite à l'absence de conclusions en réponse de la part du plaignant, le défendeur n'introduit pas non plus de conclusions en réplique. 9. Le 4 décembre 2024, le défendeur fait savoir à la Chambre Contentieuse via son conseil qu'il souhaite connaître la décision dans cette affaire. II. Motivation 10. Le défendeur explique que le plaignant a reçu un e-mail de rappel de paiement d'une facture en souffrance le 16 juin 2020. Cet e-mail a été envoyé par un collaborateur du défendeur et a été suivi d'un nouveau rappel envoyé par e-mail le 30 juin 2020 par le représentant en service du défendeur. Cette communication a eu pour effet l'intégration de l'adresse e-mail du plaignant dans le groupe de communication personnel du représentant et cette adresse s'est ainsi retrouvée dans les fichiers du défendeur. Le 30 juin 2020, le plaignant réagit en affirmant qu'il n'y a pas de lien entre lui et les factures impayées. Le 31 juillet 2020, un nouvel e-mail de rappel est envoyé par le défendeur au plaignant qui y réagit immédiatement dans le même sens. Le 14 septembre 2020, le plaignant reçoit un e-mail promotionnel du représentant du défendeur, suite à quoi le plaignant demande immédiatement de faire cesser ces communications non sollicitées. Le défendeur réagit le jour même en présentant ses excuses au plaignant et en indiquant que la cause du problème a été trouvée et qu'il s'agit d'une erreur matérielle dans la retranscription de l'adresse e-mail, ce qui explique pourquoi des messages ont été indûment envoyés au plaignant. Le 2 octobre 2020, le plaignant reçoit du représentant du défendeur un e-mail avec les promotions pour les semaines qui suivent. Suite à cela, le plaignant demande au représentant d'effacer son adresse e-mail. Le même jour, l'adresse e-mail du plaignant est supprimée du groupe de communication personnel du représentant du défendeur. 11. Bien que le défendeur avance que l'adresse e-mail du plaignant n'ait jamais fait partie de son fichier automatique de marketing, le défendeur reconnaît toutefois que l'adresse e-mail du plaignant s'est retrouvée dans ses fichiers, certes involontairement, mais que cela est simplement dû à une erreur matérielle qui a ensuite donné lieu à l'envoi involontaire de correspondance qui ne lui était pas destinée. 12. La Chambre Contentieuse attire l'attention sur le fait que la présence ou non d'une intention ne constitue pas un critère pour le traitement de données à caractère personnel au sens de l'article 4. 2) du RGPD1. Bien qu'il n'était pas dans l'intention du défendeur d'envoyer l'e-mail au plaignant, le seul fait que l'e-mail ait bel et bien été envoyé au plaignant suffit pour qualifier cet envoi de traitement. Le défendeur indique en outre expressément que l'adresse e-mail s'est retrouvée dans ses fichiers. La Chambre Contentieuse constate dès lors que l'envoi de l'e-mail relève du champ d'application du RGPD tel que défini à l'article 2.1 du RGPD 2. 13. Chaque traitement de données doit être licite au sens de l'article 5.1 a) du RGPD juncto l'article 6.1 du RGPD. La Chambre Contentieuse souligne à cet égard que le défendeur est parti du principe – certes à tort – que le plaignant était le client dont les données à caractère personnel, et plus précisément l'adresse e-mail, avaient été traitées en vertu de l'article 6.1 b) du RGPD et qu'il pouvait lui écrire pour obtenir le paiement des factures en souffrance. Le recouvrement des factures impayées constitue à cet égard la finalité poursuivie (article 5.1 b) du RGPD). 14. Il est un fait qu'à l'égard du plaignant, ni le principe de licéité (article 5.1 a) du RGPD), ni le principe de limitation des finalités (article 5.1 b) du RGPD) n'ont été respectés, en l'absence de toute relation entre le plaignant et le défendeur. Le plaignant ne faisait en effet pas partie de la clientèle du défendeur, de sorte qu'aucune facture impayée ne pouvait non plus être mise en relation avec lui et ne pouvait donner lieu à un quelconque traitement de données à caractère personnel du plaignant. 15. La Chambre Contentieuse estime toutefois que ce constat ne doit donner lieu en l'espèce à aucune sanction et elle dégage le défendeur de toute poursuite, étant donné qu'il n'y avait aucun autre motif à la base de l'envoi d'e-mails au plaignant qu'une simple erreur d'orthographe dans le nom du plaignant, qui diffère d'une seule lettre par rapport au véritable client du défendeur. Dès que cela a été établi, le défendeur a immédiatement fait le nécessaire pour rectifier l'erreur matérielle aussi bien dans le fichier d'adresses du défendeur duquel les données du plaignant ont été supprimées le 14 septembre 2020 que dans le groupe de communication personnel du représentant en service en tant que collaborateur du défendeur duquel l'adresse e-mail du plaignant a été supprimée le 2 octobre 2020. La suppression du groupe de communication personnel du défendeur a eu lieu ultérieurement car ce n'est que plus tard qu'il a été constaté que l'adresse e-mail du plaignant y avait également été indûment reprise. La suppression de l'adresse e-mail du plaignant a toutefois été effectuée immédiatement lorsque l'erreur a également été constatée dans le groupe de communication personnel. Le défendeur démontre ici aussi que depuis le 2 octobre 2020, plus aucune communication n'a été envoyée au plaignant. 16. Bien que la Chambre Contentieuse ait ordonné au défendeur de satisfaire à l'exercice du droit à l'effacement du plaignant dans le cadre de la procédure préalable à la décision quant au fond (Décision 166/2022 du 18 novembre 2022), il est apparu dans la procédure quant au fond, sur la base de l'exposé circonstancié des éléments factuels, que l'on pouvait conclure à une violation du principe de limitation des finalités et du principe de licéité, mais que cela était dû exclusivement à une erreur humaine dans l'orthographe de l'adresse e-mail, de sorte que la correspondance a été adressée au plaignant plutôt qu'au véritable destinataire. Les erreurs humaines ne peuvent jamais être totalement exclues. Ce qui importe en l'espèce, c'est que dès que l'erreur humaine a été établie, le défendeur a immédiatement fait le nécessaire pour supprimer l'adresse e-mail du plaignant et que ce dernier n'a ensuite plus reçu aucune communication de la part du défendeur. La Chambre Contentieuse estime dès lors qu'une décision quant au fond visant un non-lieu à l'égard du défendeur est appropriée. 17. Par souci d'exhaustivité, la Chambre Contentieuse estime que l'accès obtenu par le plaignant aux données à caractère personnel et aux factures en souffrance du client du défendeur n'est pas lié à des mesures techniques et organisationnelles insuffisantes que le défendeur aurait prises afin de protéger les données à caractère personnel du client en question contre les risques de sécurité. Le fait que l'e-mail destiné au client du défendeur a été adressé au plaignant ne peut pas être mis en relation avec un problème de sécurité des données à caractère personnel traitées par le défendeur. La Chambre Contentieuse estime qu'aucune mesure de sécurité ne permet d'exclure totalement une erreur humaine suite à laquelle un e-mail est envoyé à un mauvais destinataire. On ne peut donc pas conclure qu'en envoyant au plaignant l'e-mail destiné à un client (qui n'est pas le plaignant), le défendeur aurait pris des mesures insuffisantes pour protéger les données à caractère personnel du client contre les risques de sécurité, de sorte qu'aucune violation des articles 32 et 33 du RGPD ne peut être constatée. III. Publication de la décision 18. Vu l'importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l'Autorité de protection des données. Toutefois, il n'est pas nécessaire â cette fin que les données d'identification des parties soient directement communiquées" PAR CES MOTIFS, la Chambre Contentieuse de l'Autorité de protection des données décide, après délibération, d'ordonner un non-lieu en vertu de l'article 100, §1er , 2° de la LCA pour la violation de l'article 5.1 a) et b) du RGPD et de l'article 6.1 du RGPD en raison d'envois erronés d'e-mails au plaignant suite à une erreur matérielle engendrée par une erreur humaine. En vertu de l'article 108, § 1er de la LCA, cette décision peut faire l’objet d’un recours peut être introduit auprès de la Cour des Marchés (Cour d'appel de Bruxelles) dans un délai de trente jours à compter de sa notification, avec l'Autorité de protection des données en qualité de défenderesse. Un tel recours peut être introduit au moyen d'une requête contradictoire qui doit comporter les mentions énumérées à l'article 1034ter du Code judiciaire3. La requête contradictoire doit être déposée au greffe de la Cour des Marchés conformément à l'article 1034quinquies du Code judiciaire4, ou via le système d'information e-Deposit du Ministère de la Justice (article 32ter du Code judiciaire). (sé). Hielke HIJMAN Président de la Chambre Contentieuse Document PDF ECLI:BE:GBAPD:2024:DEC.20241213.2