ECLI:BE:GBAPD:2025:DEC.20250218.2
Détails de la décision
🏛️ Autorité de protection des données
📅 2025-02-18
🌐 FR
Décision
Matière
burgerlijk_recht
Législation citée
article 220 de la loi du 30 juillet 2018; loi du 3 décembre 2017; loi du 30 juillet 2018
Résumé
La Chambre Contentieuse de l'Autorité de protection des données décide, après délibération; - en vertu de l'article 100, § 1er, 5° de Ia LCA, de formuler une réprimande à l'encontre du défendeur en raison de la violation des articles 9.1; 5.1.a) juncto les articles 12.1, et ; ; 25 ; et 44 du RGPD...
Texte intégral
Chambre Contentieuse
Décision quant au fond 29/2025 du 18 février 2025
Numéro de dossier : DOS-2022-02106
Objet : utilisation de capteurs de son dans le cadre d'un projet pilote d'innovation concernant les nuisances sonores dans le quartier étudiant à Anvers
La Chambre Contentieuse de l'Autorité de protection des données, constituée de monsieur Hielke HIJMANS, président, et de messieurs Dirk Van Der Kelen et Frank De Smet, membres ;
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après "RGPD" ;
Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, ci-après "LCA" ;1
Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
A pris la décision suivante concernant :
Le plaignant : X, représenté par Me Magali Feys, ci-après "le plaignant" ;
Le défendeur : la Ville d’Anvers, dont le siège social se situe Grand-Place, 1 - 2000 Anvers, inscrite sous le numéro d'entreprise 0207.500.123, représentée par Me Wouter Rubens, ci-après "le défendeur".
La première partie intéressée : la SA Y, représentée par Me Joost Peeters, ci-après "le sous-traitant" ;
La deuxième partie intéressée : la Vlaams Agentschap Innoveren en Ondernemen (Agence flamande pour l'innovation et l'entrepreneuriat, VLAIO), dont le siège social se situe Boulevard du Roi Albert II, 35, boîte 12 – 1030 Schaerbeek, inscrite sous le numéro d'entreprise 0316.380.841, ci-après "le deuxième intéressé".
I. Faits et procédure
1. L'objet de la plainte concerne l'utilisation de capteurs de son dans le cadre d'un projet pilote d'innovation relatif aux nuisances sonores dans le quartier étudiant à Anvers. 2
2. Après une tentative de médiation via le Service de Première Ligne, le plaignant introduit une plainte contre le défendeur auprès de l'Autorité de protection des données (ci-après ‘APD’) le 25 juin 2022.
3. Le 27 juin 2022, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA.
4. Le 19 juillet 2022, conformément à l’article 96, § 1er de la LCA, la demande de la Chambre Contentieuse de procéder à une enquête est transmise au Service d’Inspection, de même que la plainte et l’inventaire des pièces.
5. Le 13 février 2024, l’enquête du Service d’Inspection est clôturée, le rapport est joint au dossier et celui-ci est transmis par l’inspecteur général au Président de la Chambre Contentieuse (art. 91, § 1er et § 2 de la LCA).
Le rapport comporte 18 constatations relatives à l'objet de la plainte :
1) Le responsable du traitement pour le projet pilote d'innovation "bruit dans le quartier étudiant" est la Ville d'Anvers.
2) Étant donné que toutes les conditions d'application matérielles de l'article 314bis, § 1 du Code pénal3 sont remplies, la ville ne pouvait pas procéder au traitement sans le consentement des personnes concernées. L'élément moral de l'infraction ne sera pas traité dans ce rapport, puisque son évaluation est une prérogative des cours et tribunaux pénaux. À noter toutefois que sur la base des faits constatés ci-dessus, la ville n'ignorait nullement la possibilité que, par le biais des dispositifs mis en place à sa demande, des communications confidentielles puissent être enregistrées, interceptées ou que l'on ait pu en prendre connaissance. À cet égard, il est significatif que [le sous-traitant] faisait déjà référence, lors de la procédure d'adjudication, au caractère non intentionnel d'une éventuelle infraction à l'interdiction d'écoute de l'article 314bis du Code pénal. En tout état de cause, compte tenu de l'exigence de consentement imposée par l'article 314bis du Code pénal, la ville ne pouvait pas se contenter d'invoquer comme base juridique la compétence générale que lui confère l'article 135, § 2 de la Loi communale 4. Qui plus est, étant donné que le traitement s'inscrit dans le cadre de la compétence de police qui lui est confiée par cet article, la ville aurait dû faire preuve d'une vigilance accrue dans l'application et le respect de l'article 314bis du Code pénal. En vertu de l'article 90ter du Code d'instruction criminelle5, la police elle-même ne peut en effet déroger à l'interdiction d'écoute que sur ordre du juge d'instruction et dans des cas bien définis et exceptionnels.
3) Le traitement de fichiers audio bruts par la ville dans le cadre du présent projet ne pouvait pas valablement se fonder sur la base juridique de l'article 6.1.e) du RGPD, étant donné que le traitement impliquait inévitablement le traitement de catégories particulières de données à caractère personnel et que la base juridique invoquée par la ville ne constitue pas une exception valable à l'interdiction de principe de
traiter de telles catégories de données à caractère personnel en vertu de l'article 9.1 du RGPD. Le traitement d'empreintes vocales dans le cadre du présent projet n'était pas interdit en vertu de l'article 9.1 du RGPD et pouvait donc potentiellement se fonder sur la base juridique de l'article 6.1.e) du RGPD, mais en tenant compte de la protection particulière dont bénéficient les données sensibles en vertu du considérant 51 du RGPD et en vérifiant si toutes les conditions d'application de cette base juridique sont réunies ou non.
4) Le traitement de fichiers audio bruts par la ville dans le cadre du présent projet ne pouvait pas se fonder valablement sur la base juridique de l'article 6.1.e) du RGPD, mais bien – et exclusivement – sur le consentement au sens de l'article 4.11) du RGPD. Un tel consentement n'a pas été demandé ni obtenu par la ville et celle-ci n'a pas envisagé d'utiliser le consentement comme base juridique préalablement à la présente enquête. On constate ainsi une violation du principe de licéité de l'article 5.1.a) du RGPD.
5) Le Service d'Inspection constate sur la base des considérations précitées que le responsable du traitement a estimé, à tort, que les spectrogrammes MEL utilisés dans le cadre du projet n'étaient pas des données à caractère personnel au sens de l'article 4.1) du RGPD. Les spectrogrammes MEL - lorsqu'ils sont calculés sur la base du son de la voix humaine - relèvent bien de cette définition et, en tant que données à caractère personnel biométriques au sens de l'article 4.14) du RGPD, ils bénéficient en outre d'une protection particulière en vertu du considérant 51 du RGPD.
6) La base juridique invoquée par la ville pour le traitement (art. 135 de la Loi communale) n'est pas une "disposition spécifique relative à la protection des données visant à adapter l'application des règles du présent règlement en vue de respecter une obligation légale ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique" au sens du considérant 51 du RGPD.
La base juridique ne pouvait dès lors pas être invoquée pour le traitement de données à caractère personnel biométriques. De plus, si cette base juridique devait toutefois être considérée comme telle, le Service d'Inspection constate que la ville, en violation de l'article 6.3 du RGPD, n'a pas vérifié si les finalités du traitement étaient nécessaires et proportionnelles pour l'exécution de la mission d'intérêt public ou pour l'exercice de l'autorité publique dont la ville est investie en vertu de l'article 135 de la Loi communale. Vu les risques spécifiques liés à l'utilisation de l'IA pour la reconnaissance automatique de caractéristiques humaines dans des espaces publics et l'intérêt public relativement limité lié à la lutte contre les nuisances sonores, un test de nécessité et de proportionnalité correctement réalisé aurait dû conduire à la conclusion que le traitement de données à caractère personnel biométriques dans le cadre du présent projet n'était pas permis.
On constate ainsi une violation du principe de licéité de l'article 5.1.a) du RGPD.
7) La ville ne pouvait pas garantir en pratique l'exercice effectif du droit d'opposition des personnes concernées, tel qu'établi à l'article 21 du RGPD, dans le cadre du projet litigieux, de sorte qu'elle ne pouvait pas baser le traitement sur l'article 6.1.e) du RGPD. Ce n'est qu'en recourant à une base juridique fondée sur une norme respectant toutes les conditions de l'article 23 du RGPD, ce conformément à l'article 6.1.c) du RGPD, que le droit d'opposition des personnes concernées aurait pu valablement être limité.
8) Dans le cadre du projet litigieux, la ville a violé l'obligation de transparence qui lui est imposée par l'article 5.1.a) du RGPD en communiquant d'une part de manière incomplète et d'autre part de manière trompeuse au sujet du traitement de données à caractère personnel dans le cadre du projet. Concrètement, en l'espèce – outre la violation générale de l'article 5.1.a) du RGPD –, il y a eu violation des articles 13.1.c), 13.1.e), 13.1.f), 13.2.a) et 13.2.b) du RGPD. Étant donné que la communication était également trompeuse en plus d'être incomplète, la ville a aussi violé l'article 12.1 du RGPD en ce qui concerne l'exigence d'une communication compréhensible. En ce qui concerne les panneaux d'information placés dans l'espace public, le Service d'Inspection constate enfin que ce canal d'information ne respectait pas la condition d'accessibilité de l'article 12.1 du RGPD. Étant donné que pour les personnes concernées dont des données à caractère personnel pouvaient être traitées dans le cadre du projet litigieux, ce canal d'information constituait le canal d'information primaire et que la ville a même estimé pouvoir en déduire le consentement implicite des personnes concernées, il y a lieu de constater ainsi une violation de l'article 12.1 du RGPD.
9) Violation de l'article 25 du RGPD lu conjointement avec l'article 5.1.a) du RGPD (licéité) du fait que – et ce contre l'avis du DPO du 25/02/2022 – aucune mesure technique et/ou organisationnelle suffisante n'a été prise afin d'éviter la possibilité d'une reconnaissance des personnes concernées ou du contenu de conversations sur la base des fichiers audio bruts.
10) Violation de l'article 25 du RGPD lu conjointement avec l'article 5.1.c) du RGPD (minimisation des données) du fait que la ville a choisi de travailler avec des fragments audio de 10 secondes et non avec des fragments plus courts de 2 secondes, bien que cela était techniquement possible et que le DPO de la ville a recommandé de travailler avec des fragments sonores les plus courts possibles.
11) Violation de l'article 25 du RGPD lu conjointement avec l'article 5.1.c) du RGPD (minimisation des données) du fait que la ville a choisi de procéder à des enregistrements audio bruts localement 24h sur 24, alors qu'il était techniquement possible de limiter les enregistrements sonores locaux aux nuits (de 19h à 7h).
12) Violation de l'article 25 du RGPD lu conjointement avec l'article 5.1.a) du RGPD (licéité) du fait que la ville a choisi de réaliser l'intégralité du projet, y compris les phases d'entraînement et de test (où les risques en matière de protection des données étaient les plus élevés), dans l'espace public sans avoir obtenu à cet effet le consentement valable des personnes concernées.
13) Violation de l'article 25 du RGPD lu conjointement avec l'article 5.1.a) du RGPD (licéité) du fait que la ville n'a pas examiné comment on aurait pu éviter le traitement de données à caractère personnel biométriques via des spectrogrammes MEL dans le cadre du projet, pour lequel aucune base juridique n'existait.
14) Violation de l'article 25 du RGPD lu conjointement avec l'article 21.1 du RGPD (droit d'opposition) du fait que la ville n'a pas examiné quelles solutions techniques étaient possibles pour permettre à la personne concernée d'exercer son droit d'opposition dans le contexte du projet litigieux.
15) En ne demandant pas de preuve ou de documentation supplémentaire sur les garanties déclarées par [le sous-traitant] lui-même concernant l'application de mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du RGPD et que la protection des droits de la personne concernée soit assurée, malgré plusieurs signaux d’alarme concernant le niveau de connaissance et de respect du RGPD par le sous-traitant, la ville a manqué à son devoir de vigilance à l'égard du sous-traitant conformément à l'article 28.1 du RGPD.
16) Vu la nature, la portée, le contexte et les finalités du traitement, une analyse d'impact relative à la protection des données (ci-après ‘AIPD’ ou 'DPIA') devait être réalisée conformément aux articles 35.1, 35.3 et 35.4 du RGPD.
17) Bien que la ville ait formellement procédé à la réalisation d'une AIPD, cette analyse ne répondait pas intrinsèquement aux exigences de l'article 35.7 du RGPD.
Aucun des quatre éléments minimaux de cet article n'a été repris correctement dans l'AIPD. De ce fait, le traitement n'a été que partiellement cartographié et de manière lacunaire, les risques n'ont pas été identifiés suffisamment et une évaluation correcte de la nécessité et de la proportionnalité n’a pas été possible.
Manifestement, la ville a aussi explicitement considéré l'obligation de l'article 35 du RGPD comme un simple exercice formel, comme il ressort du rapport abordé ci-avant d'une réunion interne du 25/02/2022 au sujet de la 2e offre du sous-traitant dans la procédure d'adjudication à laquelle notamment le DPO adjoint de la ville a participé. Le manque de sérieux avec lequel l'AIPD a été réalisée est encore corroboré par le fait que la ville ne semblait pas disposer d'une méthode d'évaluation des risques. Sans méthode d'évaluation des risques, il n'est pas possible de procéder à une évaluation objective des risques liés au traitement conformément à l'article 35 du RGPD, lu conjointement avec le considérant 76 du RGPD. C'est ce qu'a expliqué l'APD (à l'époque la CPVP) dans la Recommandation n° 01/2018.
18) Le traitement de données à caractère personnel dans le cadre du projet litigieux ne répondait pas aux exigences du Chapitre V du RGPD sur les transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales, car aucune "Analyse d'impact des transferts de données" (AITD) n'a été effectuée et des données à caractère personnel biométriques (spectrogrammes MEL) étaient traitées de manière non cryptée dans le cloud Google.
6. Le rapport d'inspection a également souligné l'importance stratégique des violations, quatre circonstances aggravantes (caractère intentionnel de la violation du principe de licéité ; caractère intentionnel de la violation du principe de transparence ; nature, portée et finalités du traitement ; qualité du responsable du traitement) et deux circonstances atténuantes (accomplissement des étapes formelles attendues d'un responsable du traitement ; coopération loyale à l'enquête). Enfin, le rapport d'inspection a identifié deux tiers intéressés potentiels : le sous-traitant et l'autorité subsidiante.
7. Le 5 mars 2024, le plaignant et le défendeur sont informés par envoi recommandé des dispositions visées à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Ils sont également informés, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions.
L'affaire porte sur les violations présumées suivantes :
• Violation des articles 5.1.a), 6 et 9 du RGPD du fait que le traitement des fichiers audio bruts et des empreintes vocales n'a pas été réalisé de manière licite.
• Violation de l'article 21 du RGPD du fait que l'exercice effectif du droit d'opposition n’est pas garanti dans le cas où le traitement serait basé licitement sur l'article 6.1.e) du RGPD.
• Violation des articles 5.1.a), 12.1, 13.1 et 13.2 du RGPD du fait que l'obligation de transparence à l'égard des personnes concernées présentait des lacunes et que les informations fournies ne répondaient pas aux exigences de compréhensibilité de d’accessibilité.
• Violation de l'article 25, lu conjointement avec les articles 5.1.a), 5.1.c) et 21.1 du RGPD du fait de l'absence de mesures techniques et organisationnelles appropriées et de l'absence d'intégration des garanties nécessaires au traitement.
• Violation de l'article 28.1 du RGPD du fait que le responsable du traitement a violé son obligation de vigilance à l'égard du sous-traitant.
• Violation de l'article 35.7 du RGPD du fait que l'analyse d'impact relative à la protection des données réalisée ne répondait pas intrinsèquement aux exigences minimales.
• Violation de l'article 44 du RGPD du fait que le projet litigieux ne respectait pas les principes généraux en matière de transferts vers des pays tiers.
La date limite pour la réception des conclusions en réponse du défendeur est fixée au 16 avril 2024, celle pour les conclusions en réplique du plaignant au 7 mai 2024 et enfin celle pour les conclusions en réplique du défendeur au 28 mai 2024.
8. Le 6 mars 2024, le plaignant accepte toutes les communications relatives à l'affaire par voie électronique, conformément à l’article 98 de la LCA.
9. Le 7 mars 2024, le plaignant demande une copie du dossier (art. 95, § 2, 3° de la LCA), qui lui est transmise le 18 mars 2024.
10. Le 18 mars 2024, le défendeur accepte de recevoir toutes les communications relatives à l’affaire par voie électronique, indique qu'il souhaite utiliser la possibilité d’être entendu, conformément à l’article 98 de la LCA, et demande une copie du dossier (art. 95, § 2, 3° de la LCA), laquelle lui est envoyée le 26 mars 2024.
11. Le 15 avril 2024, la Chambre Contentieuse suspend les délais pour les conclusions en raison de la potentielle intervention de tiers intéressés.
12. Le 17 avril 2024, toutes les parties concernées (y compris le sous-traitant et le deuxième intéressé) sont informées par envoi recommandé des dispositions telles que reprises à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions. La portée de l'affaire est répétée sans changement.
La date limite pour la réception des conclusions en réponse du défendeur est prolongée et fixée au 25 avril 2024, celle pour les conclusions en réponse du sous-traitant et du deuxième intéressé au 17 mai 2024, celle pour les conclusions en réplique du plaignant au 17 juin 2024 et enfin celle pour les conclusions en réplique du défendeur au 9 juillet 2024.
13. Le 17 avril 2024, le deuxième intéressé confirme la réception de l'invitation à transmettre des conclusions.
14. Le 23 avril 2024, le sous-traitant accepte de recevoir toutes les communications relatives à l’affaire par voie électronique et demande une copie du dossier (art. 95, § 2, 3° de la LCA), qui lui est transmise le 25 avril 2024.
15. Le 25 avril 2024, la Chambre Contentieuse reçoit les conclusions en réponse de la part du défendeur.
16. Le 17 mai 2024, la Chambre Contentieuse reçoit les conclusions en réponse de la part du sous-traitant. Le deuxième intéressé ne transmet pas de conclusions.
17. Le 17 juin 2024, la Chambre Contentieuse reçoit les conclusions en réplique de la part du plaignant.
18. Le 9 juillet 2024, la Chambre Contentieuse reçoit les conclusions en réplique de la part du défendeur.
19. Le 8 octobre 2024, les parties sont informées du fait que l'audition aura lieu le 6 novembre 2024. Le 25 octobre 2024, après quelques communications concernant le déplacement de l'audition, celle-ci est fixée définitivement au 26 novembre 2024.
20. Le 26 novembre 2024, les parties sont entendues par la Chambre Contentieuse. Seul le deuxième intéressé n'était pas présent, ni représenté lors de cette audition.
21. Le 28 novembre 2024, le procès-verbal de l’audition est soumis aux parties.
22. Le 2 décembre 2024, la Chambre Contentieuse reçoit du défendeur la communication qu'il n'a aucune remarque concernant le procès-verbal. Les autres parties ne formulent pas de remarque non plus concernant le procès-verbal de l'audition.
II. Motivation
II.1. Description du traitement
23. Pour clarifier les choses, la Chambre Contentieuse résume les différents traitements dans le cadre du projet pilote d'innovation "bruit dans le quartier étudiant" (ci-après : le ‘projet pilote d'innovation’) sur la base de la documentation technique et du rapport d'inspection.
24. Dans le cadre du projet ‘City of Things’ du deuxième intéressé, le défendeur avait demandé et reçu des subsides pour installer 30 capteurs de son dans le quartier étudiant à titre de projet pilote. Ces capteurs enregistreraient tous les sons d'avril 2022 à décembre 2022 et, en juin et octobre 2022, activeraient une sorte de 'nudging' 6 pour une période de quelques semaines en cas de nuisances sonores humaines.
25. Le but du projet du projet est de "cartographier les nuisances sonores dans le quartier étudiant d'Anvers et y remédier à l'aide de la technologie. 7" Pour ce faire, le responsable du traitement recourt à un sous-traitant qui, au moyen de capteurs de son et d'un cluster de serveurs auprès de trois sous-traitants ultérieurs, entraînera davantage un modèle d'IA existant afin de classer les bruits ambiants et activera un dispositif de nudging en cas de certaines classes de bruits. Une analyse statistique évaluera les causes des nuisances sonores et les effets du nudging.
26. Le modèle d'IA existant du sous-traitant a déjà pu distinguer les classes de bruits suivantes : personnes, oiseau, sonnette, moto, alarme, chien, verre, coup de feu, sirène, coup de sifflet.
L'entraînement supplémentaire du modèle d'IA devait permettre de déterminer les classes et sous-classes de bruits suivantes :
• Transport motorisé : vélomoteur – moto – voiture – bus – camion
• Musique : origine intérieure – origine extérieure
• Bruits ambiants : bruits de détonation – bruits de machine – chiens qui aboient - alarme
• Bruit de voix: cris/bagarre – chant - pleurs/cris stridents – bavardage (mise en gras par la Chambre Contentieuse)
• Vandalisme : bris de verre – renversement de vélo – jet/coup de pieds dans des sacs poubelle
II.1.1. Conservation de fichiers audio bruts
27. Une fois installés, les capteurs de son ont enregistré les bruits ambiants en permanence, 24 heures sur 24 et 7 jours sur 7. Ces signaux analogiques étaient convertis dans le capteur proprement dit en signaux numériques successifs de 10 secondes (ci-après : les ‘fichiers audio bruts’). Ces fichiers audio bruts étaient conservés de manière cryptée sur le capteur de son pour une période de huit heures, incluant les coordonnées du capteur et l'heure de l'enregistrement.
II.1.2. Déclencheur (trigger) objectif
28. La puissance sonore de ce fichier audio brut était calculée immédiatement et envoyée dans le cloud Google pour servir comme un des 'déclencheurs' 8 pour la suite du projet pilote d'innovation. La puissance sonore ne contenait pas de données à caractère personnel.
Lorsque, entre 19h et 7h, le son enregistré dépassait un certain seuil d’alerte de puissance sonore et activait donc le déclencheur, le capteur de son établissait des spectrogrammes MEL9 de fragments audio de 10 secondes du son. Ces spectrogrammes MEL sont nécessaires parce que la classification du son se base sur ces derniers.
II.1.3. Déclencheur subjectif
29. Le projet pilote d'innovation prévoyait pour les riverains une application leur permettant de signaler la présence de nuisances sonores dans leur quartier. Sur la base de ces signalements 'subjectifs', un déclencheur était activé depuis le cloud Google pour envoyer au cluster de serveurs les bons fragments de 10 secondes dans la mémoire de huit heures de fichiers audio bruts du capteur de son pour permettre l'entraînement du système d'IA.
II.1.4. Détermination de classes de bruits : entraînement du système d'IA
30. Lorsqu'un déclencheur (objectif ou subjectif) était activé, un ordre "enregistrement" était envoyé du cloud Google vers le capteur de son, qui envoyait au sous-traitant les fichiers audio bruts de 10 secondes en question via un serveur. Les collaborateurs du sous-traitant écoutaient les fragments pour les catégoriser dans les classes prédéfinies (voir le point 26).
Cette catégorisation était envoyée vers un serveur tiers, où la catégorie était fusionnée avec le spectrogramme MEL calculé du fichier audio brut. Sur ce serveur tiers, le modèle d'IA était entraîné au moyen des spectrogrammes MEL catégorisés.
II.1.5. Analyse statistique
31. Sur la base de la classification des sons qui avaient activé un déclencheur, une analyse de la survenance des nuisances sonores dans le quartier étudiant était réalisée. Cette analyse pouvait être consultée via un tableau de bord.
II.1.6. Nudging automatique
32. Sur la base de la classe de bruits qui avait été définie après l'activation d'un déclencheur objectif, le système d'IA, qui se trouvait dans le cluster de serveurs, pouvait activer en temps réel un nudge dans l'environnement immédiat du capteur de son sur lequel le déclencheur objectif avait été observé. Du fait que cette procédure était encore en développement, seules deux périodes limitées étaient prévues pendant la durée du projet pilote d'innovation pour mettre en place et tester une installation de nudge. L'objectif final du projet pilote d'innovation était, d'une part, d'entraîner suffisamment le modèle d'IA pour tenter (à terme) d'effectuer la classification de sons entièrement sur le capteur lui-même et, d'autre part, d'évaluer, sur la base de cette classification, quels nudges seraient efficaces pour traiter de manière préventive le tapage nocturne d'origine humaine.
II.2. Traitement de données à caractère personnel
33. Tout d'abord, la Chambre Contentieuse renvoie à l'arrêt P.G. et J.H. c. le Royaume-Uni, qui abordait l'enregistrement de voix dans l'espace public. Bien que ce litige se situait dans la sphère pénale, certaines constatations de la Cour européenne des droits de l'homme (ci-après ‘CEDH’) sont également pertinentes pour la présente affaire. La CEDH a ainsi affirmé ce qui suit en ce qui concerne le monitoring dans l'espace public 10:
“56. […] L'article 8 protège également le droit à l'identité et au développement personnel ainsi que le droit pour tout individu de nouer et développer des relations avec ses semblables et le monde extérieur […]. Il existe donc une zone d’interaction entre l’individu et autrui qui, même dans un contexte public, peut relever de la "vie privée".
57. […] Une personne marchant dans la rue sera forcément vue par toute autre personne qui s’y trouve aussi. Le fait d’observer cette scène publique par des moyens techniques (par exemple un agent de sécurité exerçant une surveillance au moyen d’un système de télévision en circuit fermé) revêt un caractère similaire. En revanche, la création d’un enregistrement systématique ou permanent de tels éléments appartenant au domaine public peut donner lieu à des considérations liées à la vie privée. […]
59. Dans sa jurisprudence, la Cour a maintes fois constaté que l’interception secrète de conversations téléphoniques entrait dans le champ d’application de l’article 8 pour ce qui est du droit au respect tant de la vie privée que de la correspondance. Certes, les enregistrements sont en général effectués dans le but d’utiliser le contenu de conversations d’une manière ou d’une autre, mais la Cour n’est pas convaincue que des enregistrements destinés à servir d’échantillons de voix puissent passer pour échapper à la protection qu’offre l’article 8. La voix de la personne concernée a tout de même été enregistrée sur un support permanent et soumise à un processus d’analyse directement destiné à identifier cette personne à la lumière d’autres données personnelles.” (mise en gras par la Chambre Contentieuse).11
34. La Chambre Contentieuse souligne également l'arrêt Endemol Shine, dans lequel la Cour de justice de l'Union européenne (ci-après ‘la Cour de justice’) a estimé que "l’article 2, paragraphe 1, et l’article 4, point 2, du RGPD doivent être interprétés en ce sens que la communication orale d’informations relatives à d’éventuelles condamnations pénales en cours ou déjà purgées dont une personne physique a fait l’objet constitue un traitement de données à caractère personnel, au sens de l’article 4, point 2, de ce règlement [...]".12
35. La Chambre Contentieuse évalue d'abord le traitement de données à caractère personnel dans le cadre du projet pilote d'innovation. Elle fait à cet égard une distinction entre l'enregistrement et le traitement des fichiers audio bruts et le calcul et le traitement des empreintes vocales.
II.2.1. Fichiers audio bruts
36. Le Service d'Inspection constate que des sons de qualité professionnelle sont enregistrés 24 heures sur 24 et 7 jours sur 7 sur les 30 différents capteurs pendant 40 semaines, sans faire de distinction entre les sons avec ou sans voix. Ces sons sont subdivisés en fragments de 10 secondes et numérisés en fichiers audio bruts sur le capteur lui-même. Dans ces circonstances, le Service d'Inspection affirme qu'il est inévitable qu'un "éventail imprévisible de catégories particulières de données à caractère personnel telles que reprises à l'article 9.1 du RGPD” 13 soit traité. Cela s'applique à la fois aux fragments distincts de 10 secondes et aux fragments continus de 10 secondes chacun.
37. Tant le sous-traitant que le défendeur soutiennent qu'aucun traitement de données à caractère personnel n'a eu lieu, tout au plus qu'un tel traitement était purement spéculatif/hypothétique et n'avait en aucun cas été démontré. Pour ce faire, tous deux s'appuient principalement sur l'exigence de l'article 4.1) du RGPD selon laquelle une personne doit être identifiée ou identifiable, ce qui ne serait pas le cas. Tous deux affirment également qu'un éventuel traitement de données à caractère personnel resterait limité parce que les fichiers audio bruts n'étaient transmis au serveur qu'en cas de dépassement d'un certain niveau de bruit.
Appréciation de la Chambre Contentieuse
38. L’article 4.1) du RGPD définit une donnée à caractère personnel comme étant "toute information se rapportant à une personne physique identifiée ou identifiable". La Cour de justice a déjà jugé dans différents arrêts que l'expression ‘toute information’ reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, "laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci ‘concernent’ la personne en cause.”14
39. Premièrement, la Chambre Contentieuse constate que des voix sont enregistrées. Le rapport d'inspection démontre que les capteurs de son enregistrent en permanence des sons et les conservent sur le capteur pendant huit heures avec une qualité professionnelle et dans la gamme de fréquences de la voix humaine. 15 Le Comité européen de protection des données (ci-après "EDPB") souligne que "la voix de la personne concernée elle-même est une donnée à caractère personnel16. "En l'espèce, la localisation de la personne qui parle peut également être déduite de la localisation du capteur qui a traité la voix.
40. Deuxièmement, la Chambre Contentieuse estime que les informations intrinsèques des conversations enregistrées peuvent contenir des données à caractère personnel. Étant donné que la plupart des 30 capteurs de son ne sont pas installés plus haut que le premier étage et que ceux-ci enregistrent en permanence des sons d'une qualité suffisante pour enregistrer de manière intelligible une conversation dans le quartier, on peut affirmer avec une quasi-certitude que les conversations entre passants dans ce quartier étudiant très fréquenté sont enregistrées de manière intelligible, comme l'affirme le Service d'Inspection. Il est inévitable qu'au cours de telles conversations, des informations soient échangées entre les participants à la conversation, sur eux-mêmes ou sur une personne identifiée ou identifiable.
41. Dans ce contexte, la Chambre Contentieuse constate qu'il n'était pas nécessaire, pour les finalités du projet pilote d'innovation, de traiter des voix ou des conversations intelligibles.
L'analyse technique du Service d'Inspection a démontré qu'il était possible de réduire la qualité et la durée des enregistrements, ce qui permettrait toujours la classification de sons, mais plus la reconnaissance de voix ou de conversations. Ni le défendeur ni le sous-traitant ne démontrent avoir pris des mesures pour rendre impossible le traitement de voix et de conversations intelligibles.
42. La subdivision en fragments de 10 secondes ne change rien à cette constatation, car il est techniquement possible d'assembler des fragments successifs l'un après l'autre et de reconstituer ainsi toute une conversation dans le rayon d'action du capteur, ce qui a été confirmé par le sous-traitant au DPO du défendeur 17. En outre, le Service d'Inspection a démontré qu'il était possible de capter, certes de manière limitée, des informations personnelles sur 10 secondes de temps 18. Le défendeur ou le sous-traitant ne démontrent nulle part qu'une telle possibilité a été rendue techniquement impossible avant le traitement.
43. La Chambre Contentieuse suit le Service d'Inspection lorsqu'il constate qu'il est inévitable que des données à caractère personnel appartenant à la catégorie particulière de données à caractère personnel visée à l'article 9.1 du RGPD soient traitées. À cet égard, la Chambre Contentieuse tient compte de la durée totale du projet et des enregistrements, de la forte fréquentation de la zone du projet, de la subdivision en fragments de 10 secondes et de la qualité des enregistrements. Il arrive que les gens parlent, même dans la rue, de politique, de leur état de santé ou de celui d'une connaissance commune, de leur origine, de leur orientation, etc. Ni le défendeur ni le sous-traitant ne démontrent qu'ils ont pris des mesures pour éviter ou rendre impossible le traitement de telles informations sensibles.
44. Dans ses conclusions, le défendeur souligne le caractère purement hypothétique/spéculatif de ces constatations étant donné qu'il n'est pas certain que les capteurs captent des paroles humaines. La Chambre Contentieuse constate toutefois que le but du projet pilote d'innovation est de capter les nuisances sonores et de les classer en catégories. L'une des principales classes est le "bruit de voix", qui est réparti en quatre sous-classes : ‘cris/bagarre’, ‘chant’, ‘pleurs/cris stridents’ et ‘bavardage’ 19. En outre, le sous-traitant soutient qu'il peut faire la distinction dans ces quatre sous-classes entre de grands ou de petits groupes de personnes produisant ces bruits. 20 Cela contredit l'affirmation du défendeur selon laquelle il serait spéculatif que des voix intelligibles soient captées. En outre, le défendeur argumente dans ses conclusions en duplique que la "pollution sonore due aux nuisances humaines”21 constitue bien un problème dans la ville et que "les éventuels traitements de données à caractère personnel qui vont de pair sont nécessaires à l'accomplissement d'une mission d'intérêt public”22. Le rapport d'inspection a identifié une alternative moins intrusive dans la vie privée pour atteindre l'objectif, à savoir l'activation du nudging sur la seule base de la puissance sonore, sans enregistrement des sons. Dans ses conclusions, le défendeur réfute l'alternative proposée par le Service d'Inspection : "Cette méthode alternative ne permettrait toutefois pas d'atteindre la finalité du projet, à savoir la lutte contre le tapage nocturne d'origine humaine […]”23 (mise en gras dans le texte original). À l'instar du Service d'Inspection, la Chambre Contentieuse ne suit pas le défendeur lorsqu'il soutient que la captation de paroles humaines intelligibles serait purement hypothétique ou spéculative.
45. Le défendeur fait également allusion au déclencheur objectif qui doit être dépassé avant que les fichiers audio bruts et les spectrogrammes MEL ne soient transmis au cluster de serveurs. La Chambre Contentieuse estime que cette argumentation n'est pas pertinente étant donné que le traitement de données à caractère personnel a déjà commencé avant le calcul de ce déclencheur objectif et la transmission des fichiers audio bruts. Le défendeur le reconnaît lorsqu'il déclare que "les fichiers audio bruts, lorsqu'aucun déclencheur n'a été activé [...], étaient conservés uniquement localement et sous une forme cryptée 24.
46. Enfin, tant le défendeur que le sous-traitant soutiennent dans leurs conclusions que les éventuelles communications enregistrées ne peuvent être reliées à une personne identifiée ou identifiable, de sorte que l'on ne peut pas parler de données à caractère personnel. Cela contredit toutefois ce que l'échevine compétente de la ville a communiqué au plaignant le 20 mai 2022, confirmant que : "Les données brutes peuvent en effet contenir des informations qui permettent (in)directement l'identification de la personne concernée. Cette captation ne peut être anonymisée. Il s'agit toutefois ici d'une identification exceptionnelle et indirecte."25
47. Il convient de noter au préalable que les fichiers audio bruts ne se rapportent pas à des personnes ‘identifiées’. Il convient dès lors d'examiner si les données se rapportent à une personne physique ‘identifiable’.
48. La Cour de justice précise la notion de "caractère identifiable" en affirmant qu'il "convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. 26 " Dans l'arrêt IAB Europe, la Cour de justice a estimé que le terme ‘indirectement’ de l'article 4.1) du RGPD tend à indiquer que : "afin de qualifier une information de donnée à caractère personnel, il n’est pas nécessaire que cette information permette, à elle seule, d’identifier la personne concernée […]. Au contraire, il découle de l’article 4, point 5, du RGPD, lu en combinaison avec le considérant 26 de ce règlement, que les données à caractère personnel qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable […].”27
49. Avant tout, la Chambre Contentieuse estime qu'il est possible que tant l'identité de la personne qui parle que des éléments suffisants permettant d'identifier la personne dont on parle fassent partie de la conversation enregistrée. Le défendeur ou le sous-traitant ne démontrent nulle part qu'une telle possibilité a été rendue techniquement impossible avant le traitement.
50. En outre, la Chambre Contentieuse constate que le défendeur inscrit le traitement de ces enregistrements dans le cadre de ses attributions générales de police en vertu de l'article 135, § 2 de la Loi communale.28 Dans le cadre de ces attributions, le défendeur dispose, en tant que responsable du traitement, de divers moyens, dont notamment des données de la police locale, les fonctionnaires SAC, diverses bases de données dont le Registre national ainsi qu'un réseau de caméras fixes. Tous ces moyens peuvent être mis en œuvre dans le cadre de la même finalité que ce projet pilote d'innovation, à savoir la lutte contre les violations de la tranquillité publique et la lutte contre toutes les formes de nuisances publiques. Dans ce contexte, le défendeur cite lui-même la jurisprudence du Conseil d'État qui confirme ses attributions en matière de mesures de police préventive. 29 Le plaignant mentionne les caméras qui sont installées dans le même quartier pour la même finalité et qui sont gérées par le même responsable du traitement. 30
51. Le défendeur renvoie également à l'article 2 du Décret sur l’administration locale 31 et au fait qu'à "l'article 561 du Code pénal 32, le tapage nocturne soit sanctionné”33. On peut raisonnablement s'attendre à ce que tous ces moyens/initiatives puissent être utilisés par le défendeur pour identifier les personnes dont ou à propos desquelles une voix/conversation a été captée.
52. Dans l'affaire Breyer, la Cour de justice a estimé qu'une adresse IP dynamique était une donnée à caractère personnel lorsque le fournisseur de services de médias en ligne "dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne.34" Ce qui importe ici, c'est qu'en l’espèce, en vertu du droit allemand, le fournisseur d'accès à Internet ne pouvait pas transmettre les informations supplémentaires au fournisseur de services de médias en ligne, mais toutefois "il existe des voies légales permettant […] de s’adresser, notamment en cas d’attaques cybernétiques, à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d’accès à Internet et pour déclencher des poursuites pénales.35" La Cour de justice a suivi l'avocat général dans son jugement qui estimait que tel ne serait pas le cas si "l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique”36. En tant que responsable du traitement, la ville dispose elle-même de suffisamment de moyens légaux, comme par exemple l'accès au Registre national ou le recours à la police locale et aux fonctionnaires SAC qui, au moins pour des motifs sérieux, peuvent conduire à l'identification de la personne concernée dont la voix ou la conversation a été enregistrée. Aucune loi n'interdit l'identification de cette personne.
53. Le Service d'Inspection a également souligné ce contexte plus large en citant divers documents stratégiques de la ville, tels que le "Visietekst Smart Cities" ("Texte de vision Smart Cities")37de 2017 et le document stratégique "De digitale toekomst van Antwerpen" ("L'avenir numérique d'Anvers") 38 de 2021. Le Service d'Inspection constate que "le projet avait à l'origine des ambitions plus élevées […] Par exemple, on souhaitait également se concentrer sur la lutte contre d'autres phénomènes de nuisance dans le quartier et l'on envisageait un tableau de bord à l'échelle de la ville qui incluait aussi le partage de données avec la police39". Dans ce cadre, la Chambre Contentieuse renvoie également à la Best and Final Offer (meilleure offre finale) du sous-traitant (ci-après ‘BAFO’) et aux ‘remarques et questions DPO’ jointes en annexe 2 de la BAFO. À la demande du DPO de restreindre l'accès aux données audio, le sous-traitant répond ce qui suit : "Cela se fera de toute façon : seuls les opérateurs chargés de la catégorisation des sons, de l'entraînement des modèles de classification ou éventuellement du traitement effectif des nuisances sonores auront accès aux données audio40". (mise en évidence par la Chambre Contentieuse).
54. Contrairement à ce que le défendeur argumente dans ses conclusions, il savait déjà, par le biais des avis de son DPO, que des données à caractère personnel étaient effectivement traitées lors du traitement des fichiers audio bruts. Dans l'avis du DPO du défendeur du 22 novembre 2021, celui-ci parlait principalement de traitement de données à caractère personnel anonymes. Toutefois, sous la rubrique ‘limitation de la conservation’, le DPO indiquait ce qui suit : "[…] Les données seront anonymisées. On ne sait pas clairement si et combien de temps les données à caractère personnel non anonymisées (par exemple les voix) seront conservées dans les appareils de mesure.”41 Dans l'avis du DPO de la ville du 25 février 2022, le DPO déclare : "En fonction de l'entraînement du système de détection sonore, des sons - parmi lesquels également des données à caractère personnel, à savoir des voix humaines et des conversations - seront traités."42
55. En outre, le projet pilote d'innovation prévoit un déclencheur subjectif sous la forme d'une application de signalement sur laquelle les riverains peuvent signaler des nuisances sonores. Ce signalement comprend notamment le lieu et l'heure de la nuisance ainsi qu'un champ libre pour décrire la nuisance sonore. Ce signalement est relié au fichier audio brut du même lieu au même moment pour convertir les fichiers audio bruts de ce moment en spectrogrammes MEL afin de pouvoir entraîner le logiciel de l'IA. Sur la base d'un extrait de ces signalements subjectifs, la Chambre Contentieuse constate que des nuisances sonores ont été signalées avec en remarque : "[nom de la rue et numéro de maison], étudiants néerlandais dans un airbnb" 43. Au sein du projet pilote d'innovation, ces informations sont reliées au fichier audio brut en question et permettent aussi raisonnablement l'identification, par cette voie, des personnes présentes, si elles sont reliées à d'autres ressources du défendeur, telles que, par exemple, l'accès au Registre national ou une visite sur place par la police locale.
56. La Chambre Contentieuse estime que les fichiers audio bruts contenant de la parole humaine sont des données à caractère personnel au sens de l'article 4.1) du RGPD et qu'il est inévitable que ces fichiers audio bruts contiennent des données à caractère personnel de la catégorie particulière visée à l'article 9.1 du RGPD. En outre, la Chambre Contentieuse constate que le DPO de la ville était parvenu aux mêmes conclusions en ce qui concerne le traitement de données à caractère personnel et que, par conséquent, le défendeur n'ignorait pas l'existence de ce traitement.
II.2.2. Empreintes vocales
57. À titre de remarque préliminaire, la Chambre Contentieuse précise que dans l'ensemble des documents, les termes ‘spectrogrammes MEL’ et ‘empreintes vocales’ sont utilisés indifféremment. Le spectrogramme MEL est la représentation (imagée) d'un son spécifique. L'empreinte vocale est la représentation (imagée) d'un son vocal spécifique.
Dans le cas présent, l'empreinte vocale est un spectrogramme MEL d'un son vocal spécifique. Lorsqu'un spectrogramme MEL n'est pas explicitement visé, la Chambre Contentieuse utilise l'expression ‘empreinte vocale’ tout au long de sa décision, étant donné qu'il s'agit du son de voix. Dans les citations d'autres pièces du dossier, la Chambre Contentieuse reprend toutefois les termes utilisés dans la citation.
58. Le Service d'Inspection affirme que les empreintes vocales sont des données à caractère personnel biométriques au sens de l'article 4.14 du RGPD. Les fichiers audio bruts sont convertis en spectrogrammes MEL par le biais d’un traitement technique. Ce spectrogramme MEL est "une 'représentation' du son, qui est (couramment) utilisée pour la reconnaissance vocale et la reconnaissance du locuteur et qui peut donc servir si le spectrogramme est calculé sur la base du son de la voix humaine 44." Le Service d'Inspection a également démontré qu'il "n'était aucunement question de techniques d'anonymisation au niveau des [...] spectrogrammes MEL."45
59. Dans son enquête visant à déterminer si les empreintes vocales pouvaient conduire à une identification directe ou indirecte de la personne concernée, le Service d'Inspection conclut que ni le défendeur ni le sous-traitant ne disposent de moyens dont on pourrait raisonnablement attendre qu'ils puissent être utilisés pour identifier une personne concernée dont une empreinte vocale a été calculée. Toutefois, étant donné que les empreintes vocales transitent sous une forme non cryptée sur le cloud Google et que ce sous-traitant ultérieur utilise lui-même des empreintes vocales pour sa prestation de services, Google est donc susceptible de disposer de suffisamment d'informations supplémentaires permettant l'identification des spectrogrammes MEL traités sans cryptage sur ses systèmes.
60. Enfin, le Service d'Inspection souligne qu'étant donné la nature biométrique des empreintes vocales et l'état des connaissances en la matière, il convient de tenir compte du fait qu'un tiers, non impliqué dans le traitement, pourrait potentiellement identifier ces empreintes vocales à l'aide d'informations supplémentaires, aujourd'hui ou à l'avenir.
61. Le défendeur souligne qu'un "simple traitement d’empreintes vocales en soi [ne] peut [pas] (raisonnablement) [...] conduire à une identification aussi univoque d'une personne [...] 46." À cet égard, le défendeur cite la recommandation de l'Autorité de protection des données relative aux données biométriques du 1 er décembre 2021, qui parle de la nécessité de réaliser d'abord une phase de collecte avec enregistrement de l'identité ; cette première phase n'a jamais été réalisée dans le cadre du projet pilote d'innovation.
62. En ce qui concerne la conservation sans cryptage des empreintes vocales chez Google, le défendeur se demande tout d'abord si ce sous-traitant ultérieur aurait effectivement accès à ces empreintes vocales et s'il dispose d'une base de données d'empreintes vocales avec laquelle il pourrait comparer les empreintes vocales conservées. À cet égard, le défendeur se réfère à la déclaration de confidentialité de Google.
63. Le défendeur estime donc que l'on ne peut raisonnablement pas s'attendre à une identification univoque par une autre personne, "à tout le moins, cela est quand même sujet à interprétation et à discussion47." Il estime que des mesures suffisantes ont été prises pour exclure une identification univoque.
Appréciation de la Chambre Contentieuse
64. Dans l'affaire S. et Marper c. le Royaume-Uni, la CEDH a déclaré48:
"86. La Cour considère que l’approche adoptée par les organes de la Convention au sujet des photographies et échantillons de voix doit aussi être appliquée aux empreintes digitales. Le Gouvernement estime que ces dernières constituent un cas à part au motif qu’il s’agirait d’éléments neutres, objectifs et irréfutables qui, contrairement aux photographies, ne seraient pas intelligibles pour un œil non exercé et en l’absence d’autres empreintes avec lesquelles les comparer. Certes, mais cela ne change rien au fait que les empreintes digitales contiennent objectivement des informations uniques sur l’individu concerné et permettent une identification précise dans un grand nombre de circonstances. Les empreintes digitales sont donc susceptibles de porter atteinte à la vie privée, et leur conservation sans le consentement de l’individu concerné ne saurait passer pour une mesure neutre ou banale." (soulignement dans le texte original) 49
La Chambre Contentieuse suit la CEDH, qui déclare qu'une empreinte vocale, tout comme une empreinte digitale, "contient objectivement des informations uniques" sur un individu qui permettent de l' ‘identifier avec précision dans un grand nombre de circonstances’.
65. La Chambre Contentieuse constate qu'un spectrogramme MEL d'un fragment sonore d'une voix, s'il est suffisamment isolé et sans bruit ambiant excessif, est une empreinte vocale d'une personne bien définie. Cette empreinte vocale entre dans le cadre de la collecte de ‘toute information’ sur une personne visée à l'article 4.1) du RGPD.
66. En ce qui concerne le caractère identifiable de la personne, la Chambre Contentieuse constate que le Service d'Inspection a mené son enquête sur la base des informations biométriques issues de l'empreinte vocale. Pour ce faire, le défendeur devrait donc disposer d'informations biométriques identifiées (externes) qui pouvaient être comparées aux informations biométriques du projet afin de parvenir à une identification. La Chambre Contentieuse suit le Service d'Inspection et le défendeur quant au fait qu'il n'existe aucune indication suggérant que le défendeur ou le sous-traitant dispose de telles informations biométriques identifiées.
67. La Chambre Contentieuse ne suit toutefois pas le Service d'Inspection lorsqu'il déclare : "Nous pouvons en conclure que le responsable du traitement ne disposait pas de moyens dont on pouvait raisonnablement attendre qu'ils soient utilisés pour identifier la personne concernée à partir des données à caractère personnel biométriques enregistrées dans les spectrogrammes MEL50. " Dans le cadre du projet, des fichiers audio bruts de voix sont en effet enregistrés et traités. Aux points 48 à 56, la Chambre Contentieuse a estimé que ces fichiers audio bruts sont raisonnablement identifiables pour le défendeur. Ces fichiers audio bruts sont convertis en spectrogrammes MEL dans le cadre du projet afin de pouvoir entraîner le logiciel de l'IA et de classer les fragments de sons. La Chambre Contentieuse estime que si les fichiers audio bruts contenant des sons vocaux sont raisonnablement identifiables, les empreintes vocales calculées directement par la même partie au départ de ces fichiers audio bruts en question sont également raisonnablement identifiables.
68. En ce qui concerne l'identification par un tiers, la Chambre Contentieuse renvoie d'abord à l'arrêt S. et Marper de la CEDH, cité au point 64 : "cela ne change rien au fait que les empreintes digitales contiennent objectivement des informations uniques sur l’individu concerné et permettent une identification précise dans un grand nombre de circonstances." (mise gras par la Chambre Contentieuse). 51 La Chambre Contentieuse a déjà souligné ci-dessus l'analogie établie par la Cour entre une empreinte digitale et une empreinte vocale (‘voice sample’).52
69. À cet égard, le Service d'Inspection s'est référé aux capacités de Google pour montrer que même au sein du projet, il pourrait y avoir un tiers capable d'identifier des personnes sur la base des empreintes vocales. Même si Google fait référence dans sa déclaration de confidentialité à une politique stricte concernant ces possibilités d'identification, la Chambre Contentieuse estime que l'identification par ce sous-traitant ultérieur est raisonnablement possible, d'autant plus que les empreintes vocales étaient disponibles sous une forme non cryptée pour ce sous-traitant ultérieur.
70. La Chambre Contentieuse tient également compte de l'analyse technique du Service d'Inspection selon laquelle les spectrogrammes MEL sont calculés à partir des fichiers audio bruts. Le calcul inverse, des spectrogrammes MEL vers les fichiers audio bruts, est également possible, certes avec une certaine perte de qualité 53. Toutefois, le degré de perte de qualité n'est pas connu et devrait être testé, mais comme les empreintes vocales peuvent servir à la reconnaissance vocale et du locuteur, il est plausible que la qualité soit suffisante pour reconvertir de manière intelligible les fichiers audio bruts correspondants.
En outre, cela signifie que les empreintes vocales peuvent également contenir des données issues des catégories particulières de données à caractère personnel, tout comme les fichiers audio bruts. Le défendeur ou le sous-traitant ne démontrent nulle part que l'inversion des empreintes vocales a été rendue techniquement impossible avant le traitement.
71. Enfin, la Chambre Contentieuse rappelle l'article 4.14) du RGPD, qui définit la notion de ‘données biométriques’. Une empreinte vocale est le résultat d'un traitement technique spécifique portant sur des caractéristiques physiologiques et comportementales sur la base desquelles une identification sans équivoque est possible. 54 L'argumentation du Service d'Inspection selon laquelle l'empreinte vocale est une donnée biométrique qui relève de la définition du RGPD est convaincante.
Conclusion
72. Deux séries de données à caractère personnel applicables à la plainte sont traitées dans le cadre du projet pilote d'innovation.
73. D'une part, les fichiers audio bruts contenant de la parole humaine sont des données à caractère personnel identifiables des participants à la conversation qui a été enregistrée.
La voix du locuteur est une donnée à caractère personnel et est reliée à l'endroit où il se trouvait à ce moment-là. Compte tenu des capacités du défendeur, on peut raisonnablement supposer qu'il serait en mesure d'identifier les voix.
D'autre part, les fichiers audio bruts contenant de la parole humaine peuvent contenir des données à caractère personnel sous la forme de conversations entre passants dans lesquelles des données sur une personne identifiée ou identifiable sont échangées. Le traitement de données à caractère personnel de la catégorie particulière de données à caractère personnel de l'article 9.1 du RGPD est donc inévitable.
74. D'une part, les empreintes vocales sont des données à caractère personnel biométriques des participants à la conversation qui a été enregistrée. Ces empreintes vocales sont identifiables par le défendeur car elles sont directement reliées aux fichiers audio bruts identifiables. Ces empreintes vocales sont également potentiellement identifiables par des tiers, parmi lesquels notamment le sous-traitant ultérieur Google, vu les informations objectives que contiennent de telles données biométriques.
D'autre part, les empreintes vocales sont aussi des données à caractère personnel qui contiennent inévitablement des données de la catégorie particulière de données à caractère personnel, vu que les fichiers audio bruts peuvent être recalculés sur la base de ces empreintes vocales.
75. Sur la base de ce qui précède, la Chambre Contentieuse constate qu'en l'espèce, le traitement des fichiers audio bruts contenant de la parole humaine et des empreintes vocales implique inévitablement le traitement de données faisant partie des catégories particulières de données à caractère personnel.
II.3. Intérêt du plaignant
76. Le rapport d'inspection relève que le plaignant habite "dans le quartier (ou au moins dans une rue adjacente) où se déroulera le projet55".
77. Le plaignant indique qu'il habite à proximité de la zone du projet et qu'il la fréquente régulièrement. Il était également présent lors du premier comité de quartier au cours duquel ce projet pilote d'innovation a été présenté. Lors de ses premières questions concernant le projet, il a été considéré comme une partie intéressée par le défendeur, étant donné que ce dernier a répondu à ses questions.
78. Le défendeur se pose de sérieuses questions quant à la qualité du plaignant. Le défendeur estime qu'il "n'est nullement établi ni [...] démontré d'une quelconque manière [...] que des données à caractère personnel, et encore moins des données à caractère personnel du (ou relatives au) plaignant ont été traitées [...] 56 ". Le défendeur poursuit : "En l'absence d'une quelconque preuve de la qualité requise, la plainte du plaignant ne peut être considérée que comme une "actio popularis" qui, selon la Cour constitutionnelle, n'est pas permise en Belgique."57
79. Au cours de l'audition, le défendeur a précisé que le plaignant n'a jamais fait de demande d'accès et qu'il lui est donc impossible de prouver que ses données à caractère personnel ont été traitées. Pour cette raison, le plaignant n'aurait dès lors jamais été en mesure de prouver son intérêt.
Appréciation de la Chambre Contentieuse
80. L’article 58 de la LCA dispose ce qui suit : "Toute personne peut déposer une plainte ou une requête écrite, datée et signée auprès de l'Autorité de protection des données".
Conformément à l'article 60 de la LCA, une plainte est recevable lorsqu'elle :
- est rédigée dans l'une des langues nationales ;
- contient un exposé des faits ainsi que les indications nécessaires pour identifier le traitement sur lequel elle se porte ;
- relève de la compétence de l'Autorité de protection des données.
81. La Chambre Contentieuse a déjà émis les considérations suivantes dans une précédente décision :
“Bien que le RGPD considère la ‘plainte’ du point de vue de la personne concernée, en imposant des obligations aux autorités de contrôle lorsqu'une personne introduit une plainte (voir les articles 57.1.f) et 77 du RGPD), le RGPD n'empêche pas que le droit national donne la possibilité à d'autres personnes que les personnes concernées d'introduire une plainte auprès de l'autorité de contrôle nationale. La possibilité d'une telle saisine correspond d'ailleurs aux missions confiées par le RGPD aux autorités de contrôle. À cet égard et de façon générale, chaque autorité de contrôle : veille au contrôle de l'application du RGPD et au respect de celui-ci (article 57.1.a) du RGPD) et s'acquitte de toute autre mission relative à la protection des données à caractère personnel (article 57.1.v) du RGPD.”58
82. En résumé, la LCA n'exclut pas qu'une autre personne que la personne concernée ou la personne mandatée par celle-ci, comme visé à l'article 80 du RGPD et développé à l'article 220 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, puisse introduire une plainte auprès de l'APD.
83. Plus précisément, la Chambre Contentieuse estime que l'article 58 de la LCA donne à toute personne la possibilité d'introduire une plainte, à condition que le plaignant démontre qu'il a un intérêt suffisant.
84. Dans une décision antérieure de la Chambre Contentieuse 59, l'intérêt du plaignant a été rejeté sur la base d'une présumée ‘actio popularis’. En l'espèce, le plaignant n'a démontré aucun intérêt quant au traitement d’images de caméras dans un car-wash à l'insu des visiteurs. Or, dans cette plainte, le plaignant avait simplement invoqué un intérêt public, "consistant en la protection des droits à la vie privée de tout citoyen utilisant les services du car-wash pour sa voiture [...]"60. En effet, cette plainte concernait l'utilisation des images de caméras comme preuve contre un client et la publication de ces images sur Facebook.
Le plaignant n'était pas victime de ces pratiques à ce moment-là.
85. Cependant, dans sa plainte contre le projet pilote d'innovation, le plaignant met clairement en avant sa qualité de riverain61 et le fait qu'il était présent à la première réunion de quartier62. De plus, dans une réponse au défendeur, le plaignant a déclaré : "J'aime me promener en tant que citoyen libre en parlant dans la rue sans être enregistré. 63" La Chambre Contentieuse estime que le plaignant soulève la question du traitement de ses propres données vocales et n'agit pas en vertu d'une actio popularis.
86. La Chambre Contentieuse a constaté ci-dessus que pendant plusieurs mois, le projet traite 24 heures sur 24 et 7 jours sur 7 les données vocales de toutes les personnes se trouvant sur la voie publique dans le rayon d'action des capteurs de son en question. Ces capteurs de son ont été installés dans une zone étendue d'un quartier déterminé de la ville. Le plaignant n'habite pas dans la zone cible mais démontre qu'il habite à très courte distance de cette zone cible, à savoir dans une rue qui débouche sur la limite de cette zone, et qu'il se déplace régulièrement dans cette zone à pied ou à vélo.
Conclusion
87. La Chambre Contentieuse estime que, bien que le plaignant ne puisse pas prouver que ses données ont effectivement été traitées, il a un intérêt suffisant pour introduire une plainte.
II.4. Responsable du traitement, sous-traitant en tiers intéressés
88. Conformément à l’article 4.7) du RGPD, il y a lieu de considérer comme le responsable du traitement : la "personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement”.
89. La Cour de justice a, à plusieurs reprises, interprété la notion de "responsable du traitement" de manière large dans sa jurisprudence afin d'assurer une protection efficace et complète des personnes concernées.64
90. Conformément aux lignes directrices 7/2020 de l'EDPB, la qualité du (des) responsable(s) du traitement concerné(s) doit être concrètement évaluée. 65 Conformément aux mêmes lignes directrices, les notions de "finalités" et de "moyens" doivent être examinées ensemble de manière indissociable et il convient à cet égard d’établir qui détermine le "pourquoi" (les finalités) et le "comment" (les moyens) du traitement.66
91. La Chambre Contentieuse a déjà constaté aux points 72 à 75 que des données à caractère personnel avaient été traitées au sens de l'article 4.2) du RGPD. La Chambre Contentieuse constate que le défendeur a déterminé les finalités et les moyens du traitement de données à caractère personnel concerné. Les finalités du projet pilote d'innovation sont décrites dans l'AIPD comme suit : "cartographier et remédier aux nuisances sonores dans le quartier étudiant d'Anvers à l'aide de la technologie 67". Plus loin dans cette AIPD, on ajoute "à l'aide de techniques de nudging68." Les moyens sont décrits comme suit dans l'AIPD : "Des capteurs de son sont installés dans l'espace public. Sur la base des fragments sonores captés, un algorithme est entraîné pour la classification des sons afin de piloter des solutions de "nudging".69 En ce qui concerne la classification des sons, il est également indiqué : "Pour activer correctement le nudging, il est nécessaire de classer les sons. Cela inclut également les sons vocaux d'individus (par exemple, des personnes qui chantent ou crient dans la rue).70 Dans ses conclusions 71, le défendeur parle, entre autres, de ce qui suit :
• une expression d'une intention dans le cadre de ‘City of Things’,
• des sessions d'innovation avec participation citoyenne dans sa ville,
• la finalité principale qui en découle, à savoir mesurer, classer, prévenir et remédier au tapage nocturne,
• le choix de la zone cible dans la ville et
• la décision, en concertation avec le deuxième intéressé, de coopérer avec un partenaire externe, le sous-traitant.
92. En outre, un contrat de sous-traitance a été conclu entre le défendeur et le sous-traitant le 6 avril 2022, conformément à l'article 28 du RGPD, dans lequel le premier est désigné comme étant le responsable du traitement. 72 Dans l'AIPD, le défendeur est également identifié comme responsable du traitement.
93. Enfin, la Chambre Contentieuse constate qu'il n'y a pas de contestation quant à la qualité du responsable du traitement. Le défendeur est désigné par le Service d'Inspection, le sous-traitant et le plaignant comme étant le responsable du traitement et ne s'oppose pas à ce constat. Dans ses conclusions, le défendeur reconnaît être le responsable du traitement dans le cadre du projet.73
Conclusion
94. Sur la base de ce qui précède, la Chambre Contentieuse conclut que le défendeur doit être considéré comme responsable du traitement au sens de l’article 4.7) du RGPD pour le traitement des fichiers audio bruts et des empreintes vocales. Vu le principe de la responsabilité prévu aux articles 5.2 et 24 du RGPD, il est par conséquent, en cette qualité, tenu de garantir le respect des principes et des dispositions du RGPD.
95. Outre le sous-traitant en tant que premier tiers intéressé, le rapport d'inspection a identifié un deuxième intéressé, à savoir l'organisme qui a accordé des subventions au défendeur pour réaliser le projet pilote d'innovation. Ce deuxième intéressé a été invité à introduire des conclusions mais ne l'a pas fait.
II.5. Licéité du traitement
96. Le Service d'Inspection constate que le défendeur fonde le traitement des données à caractère personnel sur la base juridique de l'article 6.1.e) du RGPD, à savoir une mission d'intérêt public ou relevant de l'exercice de l'autorité publique (ci-après la "base juridique ‘intérêt public’ "). Toutefois, il conclut que le défendeur ne pouvait se fonder que sur le consentement pour le traitement des fichiers audio bruts et ne pouvait pas fonder le traitement des empreintes vocales sur la base juridique "intérêt public".
97. Le plaignant estime que la base juridique "intérêt public" de l'article 6.1.e) du RGPD est possible pour le traitement en question, mais seulement après que l'algorithme a été entraîné sur la base du consentement.
98. Le défendeur fonde le traitement sur la base juridique "intérêt public" contenue à l'article 135, § 2 de la Loi communale. La lutte contre le tapage nocturne relève de l'ordre public et de la tranquillité publique issus de cet article. Pour lutter contre ce tapage nocturne, il est d'abord nécessaire de collecter suffisamment de données pour entraîner l'IA, après quoi des actions préventives (nudging) peuvent être déployées pour assurer la tranquillité nocturne des riverains.
Appréciation de la Chambre Contentieuse
99. Le traitement de données à caractère personnel au moyen de capteurs de son intelligents n'est licite que s'il est effectué conformément à l'article 6.1 du RGPD. Ce faisant, la Chambre Contentieuse estime, après analyse, que seule la base juridique "intérêt public" peut être utilisée pour les traitements en question. Au point 75, il a été jugé que tant les fichiers audio bruts que les empreintes vocales contiennent inévitablement des catégories particulières de données à caractère personnel. La Cour de justice a déjà jugé précédemment qu'en cas de traitement de données à caractère personnel pouvant concerner tant des données sensibles au sens de l'article 9.1 du RGPD que des données non sensibles, et si ces données ne peuvent pas être dissociées, "le traitement de cet ensemble de données doit être considéré comme étant interdit, au sens de l’article 9, paragraphe 1, du RGPD dès lors qu’il comporte au moins une donnée sensible […] 74." Le responsable du traitement doit donc également démontrer qu'un des motifs d'exception au principe d'interdiction de traitement pour ce type de données à caractère personnel, énoncés à l'article 9.2 du RGPD, s'applique.
100. Comme l'a déjà affirmé la Chambre Contentieuse précédemment 75, un traitement de catégories particulières de données à caractère personnel au sens de l'article 9 du RGPD doit se fonder sur l'article 9.2 du RGPD, lu conjointement avec l'article 6.1 du RGPD. Ceci est confirmé par le considérant 51 du RGPD, qui dispose ce qui suit au sujet du traitement de catégories particulières de données à caractère personnel : "Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s'appliquer, en particulier en ce qui concerne les conditions de licéité du traitement.", ainsi que dans l'arrêt META76.
101. Tant le plaignant que le Service d'Inspection suggèrent que le traitement peut être fondé sur l'article 6.1.a) du RGPD (consentement). La Chambre Contentieuse estime que le consentement ne peut pas être donné librement dans ce contexte. En effet, il existe un déséquilibre évident entre le responsable du traitement en tant qu'autorité publique et les passants dans sa ville. Il n'y a pas non plus d'alternative réaliste étant donné qu'il s'agit d'une zone de projet relativement importante dans une ville très fréquentée. En pratique, si une personne ne donnait pas son consentement, cela signifierait qu'elle ne pourrait plus accéder à cet espace public.
102. Pour qu'un responsable du traitement puisse invoquer l'article 6.1.e) du RGPD pour traiter des données à caractère personnel, ce traitement doit être nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Le traitement doit dans ces cas toujours avoir un fondement dans le droit de l'Union européenne ou dans celui de l'État membre en question, dans lequel les finalités du traitement doivent également être mentionnées.
103. En vertu de l’article 6.3 et du considérant 45 du RGPD, un traitement fondé sur l’article 6.1.e) du RGPD doit en d'autres termes remplir les conditions suivantes :
• Le responsable de traitement doit être investi de l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique en vertu d’une base légale, que ce soit en droit de l’Union européenne ou en droit de l’État membre ;
• Les finalités du traitement sont fixées dans la base juridique ou doivent être nécessaires à l’exécution de la mission d’intérêt public ou de l’exercice de l’autorité publique.
Dès lors, il faut vérifier avant tout si ces conditions sont remplies dans le cas du projet pilote d'innovation.
104. Conformément à l'article 2 du décret sur l'administration locale 77, les communes peuvent exercer les compétences qui leur sont conférées par une loi ou un décret. L'article 135, § 2 de la Loi communale confie à une commune la compétence d'assurer une bonne police.
Plus particulièrement, le défendeur attire l’attention du Service d'Inspection sur les compétences contenues à l'article 135, § 2, 2°, 3° et 7° de la Loi communale 78. Selon ces dispositions, les finalités du traitement sont les suivantes :
2° : la répression des atteintes à la tranquillité publique,
3° : le maintien du bon ordre dans les endroits où il se fait de grands rassemblements et
7° : la lutte contre toute forme de dérangement public.
La Chambre Contentieuse estime que la base juridique citée répond aux conditions de l'article 6.3 du RGPD.
105. Outre les conditions obligatoires de l'article 6.3 du RGPD, ce même article prévoit également que des éléments supplémentaires ‘peuvent’ être définis dans la norme juridique : "Cette base juridique peut contenir des dispositions spécifiques pour adapter l'application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l'objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l'être ; la limitation des finalités ; les durées de conservation; et les opérations et procédures de traitement [...]".
106. La Chambre Contentieuse souligne à cet égard que conformément à l'article 6.3 du RGPD précité, lu conjointement avec l'article 22 de la Constitution, et à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, une norme législative doit définir les caractéristiques essentielles d'un traitement de données, nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. La Chambre Contentieuse souligne que le traitement en question doit être encadré par une norme suffisamment claire et précise dont l’application est prévisible pour les personnes concernées. Conformément à l'article 6.3 du RGPD, la ou les finalités précises du traitement doivent être reprises dans la norme légale proprement dite. En outre, les éléments suivants doivent être prévisibles :
• l’identité du (des) responsable(s) du traitement,
• les catégories de données traitées, étant entendu que, conformément à l'article 5.1 du RGPD, celles-ci doivent être "adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées",
• les catégories de personnes concernées dont les données seront traitées,
• la durée de conservation des données,
• les destinataires ou catégories de destinataires auxquels les données sont communiquées,
• les circonstances dans lesquelles elles seront communiquées ainsi que les raisons pour lesquelles elles le seront, et
• l'éventuelle limitation des obligations et/ou droits mentionné(e)s aux articles 5, 12 à 22 inclus et 34 du RGPD.
107. La Chambre Contentieuse constate que pour les articles en cause, et donc pour les finalités poursuivies, le législateur n'a pas défini ces caractéristiques essentielles du traitement de données à caractère personnel.
108. Dans ses conclusions, le défendeur souligne ‘toutes les initiatives’ qu'il peut prendre dans le cadre des questions d'intérêt communal en vertu de l'article 2, § 2 du décret sur l'administration locale.79 L'article 119 de la Loi communale80 donne au défendeur le moyen de prendre des ordonnances de police à cette fin. Or, nulle part dans ses conclusions, le défendeur ne fait référence à une quelconque ordonnance de police contenant des dispositions relatives au traitement de données à caractère personnel dans le cadre du projet pilote d'innovation. La Chambre Contentieuse estime donc que le traitement de données à caractère personnel dans le cadre du projet pilote d'innovation ne peut être catalogué comme une initiative dans le cadre d'une question d'intérêt communal fondée sur une ordonnance de police.
109. La Chambre Contentieuse a déjà souligné que les missions d'intérêt public ou d'autorité publique confiées aux responsables du traitement ne sont souvent pas fondées sur des obligations ou des normes législatives précisément définies, qui fixent les caractéristiques essentielles du traitement des données. 81 Les traitements ont plutôt lieu sur la base d'une autorisation d'agir plus générale, comme pour l'exécution d'une mission qui est nécessaire.
Il en résulte que dans la pratique, la base légale en question ne contient souvent aucune disposition décrivant concrètement les traitements de données nécessaires. Les responsables de traitement qui souhaitent invoquer l’article 6.1.e) du RGPD en vertu d’une telle base légale doivent alors effectuer eux-mêmes une pondération entre la nécessité du traitement pour la mission d’intérêt public et les intérêts des personnes concernées.
110. La Cour de justice s'est prononcée dans l'arrêt Huber82 sur cette condition de nécessité :
“Eu égard à l’objectif consistant à assurer un niveau de protection équivalent dans tous les États membres, la notion de nécessité telle qu’elle résulte de l’article 7, sous e), de la directive 95/46, qui vise à délimiter précisément une des hypothèses dans lesquelles le traitement de données à caractère personnel est licite, ne saurait avoir un contenu variable en fonction des États membres. Partant, il s’agit d’une notion autonome du droit communautaire qui doit recevoir une interprétation de nature à répondre pleinement à l’objet de cette directive tel que défini à l’article 1 er, paragraphe 1, de celle-ci.”83
Cette jurisprudence formulée relativement à l'article 7, e) de la Directive 95/46/CE reste pertinente jusqu'à ce jour. L’article 6, paragraphe 1 du RGPD reprend en effet les termes de l’article 7 de la directive 95/46/CE.
111. La Cour de justice a également précisé dans l'arrêt Schecke 84 que, s'il existe des alternatives réalistes et moins intrusives, le traitement n'est pas nécessaire.
112. La Chambre Contentieuse doit donc évaluer si le traitement des fichiers audio bruts et des empreintes vocales était nécessaire pour lutter contre les atteintes à la tranquillité publique, maintenir le bon ordre dans les endroits où il se fait de grands rassemblements et combattre toute forme de dérangement public en vertu de l'article 135, § 2 de la Loi communale. À cet effet, la Chambre Contentieuse évaluera si le traitement de données à caractère personnel dans le cadre du projet pilote d'innovation est proportionné à la finalité légitime et s'il n'existe pas d'autres alternatives moins intrusives.
113. Dans ses conclusions, le défendeur souligne l'importance d'un sommeil réparateur ainsi que l’étude scientifique sur le sujet. Il souligne que, pour cette raison, le tapage nocturne est punissable en vertu du droit pénal belge. La prévention du tapage nocturne visé dans ce projet pilote d'innovation contribuerait à un sommeil réparateur. La Chambre Contentieuse constate que le Service d'Inspection, dans son enquête sur l'application d'un intérêt public important, ne réfute pas cet intérêt à la base, mais se demande toutefois pourquoi cet intérêt n'a pas été inclus dans le cadre général de la politique de lutte contre les nuisances sonores du défendeur : "Compte tenu des considérations qui précèdent, le projet pilote litigieux ne s'inscrivait manifestement pas dans le cadre de la propre politique de la ville en matière de lutte contre les nuisances sonores et le bruit ambiant et, étant donné la nature du projet par rapport aux problèmes prioritaires de nuisances sonores urbaines et de bruit ambiant définis dans cette politique, il ne pouvait pas contribuer de manière significative à la lutte contre ces problèmes.”85
114. La Chambre Contentieuse n'est pas d'accord avec cette considération du Service d'Inspection et suit le défendeur dans la mesure où le projet sert l'intérêt objectif de la lutte contre tout tapage nocturne au profit du sommeil des habitants de la ville. Le plaignant reconnaît également la nécessité de lutter contre tout tapage nocturne dans la ville pour assurer un sommeil réparateur.
La Chambre Contentieuse estime que le projet pilote d'innovation répond à un besoin social impérieux et donc aux intérêts des personnes concernées.
115. Le projet pilote d'innovation doit également être efficace au regard de l'intérêt public invoqué ou, pour reprendre les termes de l'article 52.1 de la Charte des droits fondamentaux de l'Union européenne, il doit répondre "effectivement à des objectifs d'intérêt général reconnus par l'Union". La Chambre Contentieuse constate en premier lieu que la lutte efficace contre les atteintes à la tranquillité publique, le maintien du bon ordre dans les endroits où il se fait de grands rassemblements et la lutte contre toute forme de dérangement public dans le projet pilote d'innovation sont poursuivis par les techniques de nudging mises en œuvre.
L'objectif est d'inciter en douceur au moment même les personnes qui causent des nuisances à adopter un comportement ‘moins perturbateur’ sans avoir à intervenir effectivement par d'autres moyens. Cependant, l'efficacité de ces techniques de nudging n'était pas encore clairement établie, ce que la Chambre Contentieuse constate en se basant sur :
• l'objet du marché tel que décrit dans le rapport d'adjudication : "Processus de recherche [du deuxième intéressé] dans lequel les nuisances sonores au sein du quartier étudiant sont mesurées et corrélées de manière objective (au moyen de capteurs de son) et subjective (au moyen de signalements de citoyens) afin d'évaluer ensuite l'impact des interventions (technologiques) ou des techniques de nudging au niveau de leur impact (positif) sur ce type de nuisances.”86 (soulignement par la Chambre Contentieuse)
• la description du projet à partir de la BAFO dont l'avant-dernière étape concerne les techniques de nudging et qui se termine par "l'examen de l'efficacité des nudges, "ensuite le "rapport sur l'efficacité des nudges" et enfin la "présentation du rapport sur l'efficacité des nudges".87 Ensuite, l'installation est démantelée.
• la communication du défendeur à l’égard des habitants pour faire connaître le projet, indiquant : "Parallèlement, nous testons des moyens de prévenir ou au moins de réduire le tapage nocturne au moyen de la technologie. […] En juillet 2022, nous évaluerons les résultats et les communiquerons aux participants. Les actions donnant de bons résultats seront répétées à la rentrée académique et, si possible, étendues à d'autres quartiers.”88
• la collaboration dans le cadre du projet avec un tiers, qui était chargé "de la conception et de l'examen de nudges intelligents”89.
• les échanges entre le sous-traitant et ce tiers au cours du projet90, dans lesquels on peut notamment lire :
“Dans la Lange Brilstraat, le nombre inférieur de signalements semble en effet perdurer : Il est bien sûr impossible d'en déterminer [d’ores et déjà] la raison avec certitude. Soit le nudging en est la cause, soit les gens sont lassés de signaler, soit il y a une tout autre explication".
“les signalements ont considérablement diminué dans l'ensemble, donc je ne sais malheureusement pas si cela est entièrement dû au nudging."
De plus, la Chambre Contentieuse constate dans le planning de travail de la BAFO 91 que le nudging n'était prévu que 2 fois pour une courte période pendant toute la durée du projet.
Le projet a duré au total 40 semaines et des nudges n'ont été envoyés que pendant 8 de ces 40 semaines.
116. La Chambre Contentieuse estime que l'efficacité du nudging pour les finalités citées ne pouvait pas être démontrée a priori étant donné que le projet pilote d'innovation était un projet pilote. La Chambre Contentieuse reconnaît que la mise en place de tels projets pilotes (dont le résultat n'est pas connu à l'avance) peut être nécessaire pour tenter de lutter contre la pollution sonore par le biais de moyens technologiques, par exemple. Bien que le résultat positif du nudging ne pouvait donc pas (encore) être confirmé objectivement et à l'avance, la Chambre Contentieuse estime que le traitement des données à caractère personnel dans le cadre de ce projet pilote d'innovation peut être nécessaire pour permettre le nudging et en tester l'efficacité.
117. L'article 6.3 du RGPD dispose que "le droit des États membres […] est proportionné à l'objectif légitime poursuivi". En d'autres termes, il faut démontrer que le nudging au moyen du traitement de données à caractère personnel est proportionné par rapport à la garantie de la tranquillité publique. Dans ce contexte, la Chambre Contentieuse souligne qu’elle tient compte, dans son évaluation, du fait qu'il s'agit d'un projet pilote, que le traitement est limité dans le temps et que l'intention ultime est de parvenir à une prévention efficace du tapage nocturne par le biais d'un traitement minimal de données à caractère personnel ‘on edge’ 92.
118. Dans ces circonstances, la Chambre Contentieuse estime que le traitement des fichiers audio bruts est proportionné à la recherche de solutions pour pouvoir assurer le sommeil des riverains, pour autant que tous les principes du traitement de données à caractère personnel soient respectés. En tout état de cause, il faut éviter que des données de la catégorie particulière de données à caractère personnel figurent dans ces fichiers.
La Chambre Contentieuse estime également que le traitement des spectrogrammes MEL, pouvant inclure des empreintes vocales et dans la mesure où il évite d'inclure des données de la catégorie particulière de données à caractère personnel, est proportionné à la recherche de solutions pour pouvoir assurer le sommeil, pour autant que tous les principes du traitement de données à caractère personnel soient respectés.
119. La Chambre Contentieuse examine ensuite l'existence d'éventuelles autres alternatives moins intrusives pour atteindre les finalités de l'article 135, § 2 de la Loi communale. La Chambre Contentieuse constate que l'introduction de l'article 135, § 2 de la Loi communale date de 1989 et que l'ajout de l'article 135, § 2, 7° date de 1999. La technologie n'était donc pas aussi avancée à l'époque de la promulgation de cette loi qu’elle ne l’est à présent. La Chambre Contentieuse reconnaît que ce projet pilote d'innovation s'inscrit dans le cadre de la recherche d'alternatives pour lutter contre le tapage nocturne, des données à caractère personnel pouvant être traitées de manière limitée pendant la période de test, l’intention étant de réduire à terme ce traitement de données à caractère personnel à un minimum absolu. Dans ce contexte, la Chambre Contentieuse tient compte de l'intention d'effectuer les traitements de données à caractère personnel ‘on edge’ après le projet pilote : "Pour permettre une utilisation en temps réel, nous examinerons dans quelle mesure le modèle de classification peut être adapté pour le rendre plus petit et plus performant, si possible au point qu'il puisse être exécuté sur le processeur du capteur lui-même.93 "L'alternative proposée par le Service d'Inspection, qui se base sur une simple mesure de la puissance sonore, ne constitue pas une alternative suffisamment efficace étant donné que cette alternative ne prend pas en compte les classes de bruits, mentionnées au point 26 de la présente décision.
120. En résumé, la Chambre Contentieuse estime que le traitement de données à caractère personnel dans le cadre du projet pilote d'innovation pourrait se baser sur l'intérêt public de l'article 6.1.e) du RGPD tel que repris à l'article 135, § 2 de la Loi communale. Cela s'applique à la fois à l'entraînement du modèle d'IA et à l'utilisation en temps réel des modèles pour activer le nudging approprié. Si la qualité et la durée des fichiers audio bruts avaient été maintenues à un faible niveau, le recours à la base juridique de l'article 6.1.e) du RGPD aurait suffi en soi à garantir la licéité du traitement. En effet, l'analyse technique du Service d'Inspection a montré qu'il est techniquement possible de réduire la durée et la qualité de l'enregistrement audio, de sorte que les sons soient encore captés, mais plus des voix intelligibles (des voix intelligibles qui contiennent inévitablement aussi des données à caractère personnel sensibles au sens de l'article 9.1 du RGPD). La Chambre Contentieuse constate également qu'il n'est pas nécessaire de traiter des conversations intelligibles pour entraîner et utiliser un modèle d'IA - qui doit uniquement distinguer les classes décrites au point 26. Une réduction de la qualité de l’enregistrement audio aurait donc probablement été compatible avec la réalisation des objectifs du projet pilote.
121. Étant donné que dans le cadre du projet pilote d'innovation, on a traité des fichiers audio bruts d'une qualité telle qu'ils peuvent contenir des sons de voix intelligibles, captant inévitablement des conversations contenant des données à caractère personnel sensibles au sens de l'article 9.1 du RGPD, ce qui implique donc le traitement de catégories particulières de données à caractère personnel, et étant donné que les empreintes vocales peuvent être reconverties en fichiers audio bruts, ces données à caractère personnel sont soumises à une interdiction de traitement de principe en vertu de l'article 9.1 du RGPD, à moins que le traitement ne soit fondé sur une base juridique de l'article 9.2 du RGPD. Après analyse, la Chambre Contentieuse constate que dans le cadre de ce projet pilote d'innovation, seuls les articles 9.2.g) et 9.2.i) du RGPD pourraient entrer en ligne de compte pour le traitement des fichiers audio bruts.
122. En ce qui concerne l'article 9.2.g) du RGPD, cette base juridique permettrait de traiter les fichiers audio bruts pour des motifs d'intérêt public important. La Chambre Contentieuse souligne que pour pouvoir invoquer valablement le motif d'exception de l'interdiction de traitement de catégories particulières de données à caractère personnel reprises à l'article 9.2.g) du RGPD, le responsable du traitement doit démontrer :
(i) qu'il y a un motif d'intérêt public important ;
(ii) qu’il existe pour le traitement en question un fondement dans le droit de l'Union ou le droit d'un État membre, garantissant la proportionnalité avec l'objectif poursuivi, respectant l'essence du droit à la protection des données à caractère personnel et prévoyant des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ; et
(iii) que le traitement en question est nécessaire dans le cadre du motif précité d'intérêt public important.
123. En ce qui concerne le premier élément constitutif de l'article 9.2.g) du RGPD, à savoir l'existence d'un "intérêt public important", le Service d'Inspection remet en question dans son rapport d'enquête la présence d'un tel intérêt en l'espèce. À cette fin, il souligne l'absence de tapage nocturne d'origine humaine dans le propre cadre stratégique du défendeur.
124. Dans ce contexte, la Chambre Contentieuse se réfère à la directive européenne relative à l'évaluation et à la gestion du bruit dans l'environnement 94, qui dispose dans son considérant 1 : "Dans le cadre de la politique communautaire, un niveau élevé de protection de la santé et de l'environnement doit être atteint, et la protection contre le bruit est un des objectifs visés." Le considérant 7 de cette même directive souligne la nécessité de rassembler et de comparer les données relatives aux nuisances sonores afin d'atteindre un niveau plus élevé de protection de l'environnement et de la santé. Toutefois, bien que la directive européenne citée ne s'applique pas aux nuisances sonores d'origine humaine, la Chambre Contentieuse estime, par analogie avec cette directive, que la spécificité de la zone du projet pilote d'innovation, à savoir un quartier festif très fréquenté dans lequel le tapage nocturne basé sur les voix humaines peut être un problème, constitue bien un intérêt public important pour les personnes concernées vivant dans la zone du projet pilote d'innovation et donc pour la ville.
125. Le deuxième élément constitutif concerne l'existence d'un fondement dans "le droit de l'Union ou le droit d'un État membre, garantissant la proportionnalité avec l'objectif poursuivi, respectant l'essence du droit à la protection des données à caractère personnel et prévoyant des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts fondamentaux de la personne concernée."
126. La Chambre Contentieuse estime que la loi à laquelle se réfère le défendeur comme base pour la poursuite de l'intérêt public, à savoir l'article 135, § 2 de la Loi communale, ne peut être considérée comme une loi présentant des critères qualitatifs suffisants tels qu'établis par la jurisprudence de la Cour de justice. En effet, la Cour de justice a statué dans l'affaire Privacy International95 que la législation en question devait contenir des règles claires et précises "régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus”96. La Cour de justice ajoute à cela :
"Cette réglementation doit être légalement contraignante en droit interne et, en particulier indiquer en quelles circonstances et sous quelles conditions une mesure prévoyant le traitement de telles données peut être prise, garantissant ainsi que l’ingérence soit limitée au strict nécessaire. (…) Ces considérations valent en particulier lorsqu’est en jeu la protection de cette catégorie particulière de données à caractère personnel que sont les données sensibles”97 (soulignement par la Chambre Contentieuse).
127. Le troisième élément constitutif de l'article 9.2.g) du RGPD concerne le respect du principe de nécessité dans le cadre du projet pilote d'innovation. La Chambre Contentieuse a déjà estimé que le traitement de données à caractère personnel est nécessaire à la poursuite de l'intérêt public contenu à l'article 135, § 2 de la Loi communale. Or, le défendeur ne démontre nulle part que l'enregistrement de voix et de conversations intelligibles, qui contiennent inévitablement des données à caractère personnel sensibles au sens de l'article 9.1 du RGPD, est nécessaire à la réalisation de cette finalité. En outre, et comme déjà mentionné ci-dessus98, l'analyse technique du Service d'Inspection a montré qu'il est techniquement possible de réduire la qualité et la durée de l'enregistrement audio, de sorte que des sons puissent encore être reconnus mais plus des voix intelligibles. 99. La Chambre Contentieuse constate également qu'il n'est pas nécessaire de traiter des conversations intelligibles pour entraîner et utiliser un modèle d'IA - qui doit uniquement distinguer les classes décrites au point 26. La Chambre Contentieuse estime que l'enregistrement intelligible de conversations, qui font partie des fichiers audio bruts, n'est donc pas nécessaire pour atteindre l'objectif du projet pilote d'innovation.
128. Étant donné que deux des trois éléments constitutifs de l'intérêt public important énumérés à l'article 9.2.g) du RGPD ne s'appliquent pas au traitement de fichiers audio bruts dans le cadre du projet pilote d'innovation, la Chambre Contentieuse estime que ce traitement de catégories particulières de données à caractère personnel ne peut pas se fonder sur l'intérêt public important.
129. En vertu de l'article 9.2.i) du RGPD, les fichiers audio bruts pourraient potentiellement être traités sur la base d'un intérêt public dans le domaine de la santé publique. La Chambre Contentieuse constate que la limitation des nuisances sonores est en partie dictée par des objectifs de santé publique.
130. Cette exception à l'interdiction de traiter des catégories particulières de données à caractère personnel requiert également une base en droit de l'Union ou en droit des États membres contenant des mesures appropriées et spécifiques pour protéger les droits et libertés de la personne concernée. Comme pour l'analyse de l'intérêt public important visé à l'article 9.2.g) du RGPD, la Chambre Contentieuse estime que la base juridique de l'article 135, § 2 de la Loi communale ne contient pas de garanties et est donc trop large pour être utilisée comme motif d'exception pour le traitement des fichiers audio bruts sur la base de l'intérêt public dans le domaine de la santé publique.
Conclusion
131. La Chambre Contentieuse estime que le défendeur a violé l'interdiction de traitement prévue à l'article 9.1 du RGPD car il ne pouvait pas s'appuyer sur une base juridique de l'article 9.2 du RGPD pour traiter les catégories particulières de données à caractère personnel contenues dans les fichiers audio bruts et les empreintes vocales.
132. Toutefois, si le défendeur était parvenu à réduire la durée d'enregistrement et la qualité audio des fichiers audio bruts de sorte que les conversations ne puissent pas être enregistrées de manière intelligible, aucune catégorie particulière de données à caractère personnel n'aurait été traitée.
133. Dans ce cas, le traitement de données à caractère personnel dans le cadre du projet pilote d'innovation aurait pu être fondé sur l'intérêt public (article 6.1.e) du RGPD) visé à l'article 135, § 2 de la Loi communale. Dans cette analyse, la Chambre Contentieuse attire explicitement l’attention sur les limites du projet pilote d'innovation, se situant dans une zone limitée où le tapage nocturne d'origine humaine est pertinent, pour une durée limitée et dans l'intention de minimiser l'éventuel traitement de données à caractère personnel après le projet pilote en réalisant ce traitement ‘on edge’. La Chambre Contentieuse souligne également qu'il serait plus clair pour les personnes concernées que les éléments essentiels pour le traitement de données à caractère personnel en vertu de cet article soient définis, comme le prévoit le RGPD.
II.6. Droit d'opposition
134. Dans l'échange entre le plaignant et le défendeur le 11 mai 2022, le premier a déclaré :
"J'aime me promener en tant que citoyen libre en parlant dans la rue sans être enregistré. 100
" Sur la base de cet échange, la Chambre Contentieuse déduit que le plaignant s'est potentiellement opposé au traitement de ses données à caractère personnel dans le cadre du projet pilote d'innovation. Toutefois, il ne ressort nulle part des conclusions que le plaignant s'est effectivement opposé au traitement, ni que le plaignant est revenu sur ce droit d'opposition, de sorte que la Chambre Contentieuse n'abordera pas la violation potentielle du droit d'opposition dans la présente décision.
II.7. Transparence
135. Le Service d'Inspection a conclu que le défendeur avait communiqué de manière incomplète, d'une part, et trompeuse, d'autre part, sur le traitement de données à caractère personnel dans le cadre du projet pilote d'innovation. Les panneaux d'information installés dans l'espace public ne remplissaient pas non plus les conditions d'accessibilité, selon le Service d'Inspection.
136. Le défendeur n'a pas pris position en ce qui concerne les violations des obligations de transparence.
Appréciation de la Chambre Contentieuse
137. La Chambre Contentieuse, de même que le Service d'Inspection, constatent les violations suivantes concernant les obligations de transparence du défendeur :
• Une violation de l'article 13.1.c) du RGPD pour ne pas avoir indiqué la base juridique dans la déclaration de confidentialité.
• Une violation de l'article 13.1.e) du RGPD pour ne pas avoir énuméré les trois sous-traitants ultérieurs du projet pilote d'innovation en tant que destinataires de données à caractère personnel.
• Une violation de l'article 13.1.f) du RGPD pour ne pas avoir mentionné les informations nécessaires concernant le transfert des données à caractère personnel à un sous-traitant ultérieur établi dans un pays tiers en dehors de l'EEE.
• Une violation de l'article 13.2.b) du RGPD en raison de l'absence, dans la déclaration de confidentialité, de certains droits des personnes concernées, notamment le droit à la limitation du traitement de l'article 18 du RGPD, le droit à la portabilité des données de l'article 20 du RGPD et le droit d'opposition de l'article 21 du RGPD.
138. En ce qui concerne les délais de conservation, la Chambre Contentieuse, de même que le Service d'Inspection, constatent une violation de l'article 13.2.a) du RGPD étant donné que ceux-ci sont seulement limités à ‘la durée du projet’. Dans ce cadre, la Chambre Contentieuse attire également l’attention sur le contrat de sous-traitance entre le défendeur et le sous-traitant qui prévoit à l'article 3.3 qu'au terme du contrat de sous-traitance, toutes les données à caractère personnel seront transférées au défendeur et seront détruites chez le sous-traitant, "à moins que la conservation des données à caractère personnel ne soit requise par le droit de l'Union ou d'un État membre. 101." La Chambre Contentieuse constate que les délais de conservation des données à caractère personnel ou les critères permettant de déterminer ces délais, autrement dit le fondement pertinent du droit de l'Union ou du droit des États membres, ne figurent pas dans la déclaration de confidentialité. En outre, la Chambre Contentieuse s'interroge aussi quant au caractère effectif de l'article 3.3 du contrat de sous-traitance, étant donné que le sous-traitant a estimé que les fichiers audio bruts et les empreintes vocales n'étaient pas des données à caractère personnel. L'AIPD ne clarifie pas non plus ce point, car des mesures n’ont été prises que concernant les données brutes du capteur de son. Il n'est nulle part question de traitement, et encore moins de suppression ou de délais de conservation des empreintes vocales.
Conclusion
139. Au regard de ces éléments, la Chambre Contentieuse constate une violation du principe de transparence de l'article 5.1.a) juncto l'article 12.1, l'article 13.1 et l'article 13.2 du RGPD.
II.8. Analyse d'impact relative à la protection des données
140. Le RGPD ne définit pas formellement le concept d'AIPD, mais l'article 35.7 du RGPD définit le contenu minimum d'une AIPD. Le considérant 84 du RGPD précise le sens et le rôle de l'AIPD : "Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque.[...]”
141. Le Groupe de travail Article 29 sur la protection des données, prédécesseur de l'EDPB, définit l'AIPD comme : "un processus dont l’objet est de décrire le traitement de données à caractère personnel, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques qui y sont liés en les évaluant et en déterminant les mesures nécessaires pour y faire face." 102
142. Le Service d'Inspection a constaté que le défendeur considérait une AIPD comme une formalité, ce qui signifie que l'AIPD réalisée ne répondait pas intrinsèquement aux exigences de l'article 35.7 du RGPD.
143. Le défendeur souligne que le Service d'Inspection a mal interprété la notion de ‘formalité’ et cite à ce sujet la définition du terme reprise dans le dictionnaire Van Dale (traduite librement ci-dessous) :
Une formalité n'a en aucun cas été comprise ici comme une banalité, quelque chose de peu important, ... mais plutôt, comme il ressort également du dictionnaire Van Dale, comme une règle (prescrite par la loi), un acte qui doit être fait selon les règles (et donc : sans aucune connotation quant à l'importance qui devrait - ou ne devrait pas - être attachée à cet acte)".103
Appréciation de la Chambre Contentieuse
144. La Chambre Contentieuse constate sur la base du rapport d'inspection 104 que pour traiter les données audio brutes et les empreintes vocales, une AIPD était obligatoire en vertu des articles 35.3.b) et 35.3.c) du RGPD.
L'article 35.4 du RGPD permet à l'APD de rendre une AIPD obligatoire également pour les types de traitement qu'elle juge elle-même à haut risque. L'APD a publié une telle liste en 2019. Dans cette liste de l'APD, pour les traitements du projet pilote d'innovation, une AIPD est également obligatoire conformément aux points 6) et 8). 105
À cet égard, la Chambre Contentieuse estime qu'une AIPD est également nécessaire pour les projets pilotes, certes en ayant la possibilité de tenir compte des limites du projet pilote dans l'analyse des risques et les mesures techniques et organisationnelles nécessaires.
145. Les lignes directrices du Groupe de travail Article 29 sur la protection des données, citées plus haut, donnent des indications sur le moment où une AIPD doit être réalisée :
“Une analyse d'impact relative à la protection des données doit être lancée le plus tôt possible au cours de la conception du traitement, même si certains traitements ne sont pas encore connus. La mise à jour de l'AIPD tout au long du cycle de vie du projet permet de tenir compte de la protection des données et de la vie privée et stimule la création de solutions favorisant de manière générale le respect [...]
La réalisation d'une analyse d'impact relative à la protection des données est un processus continu, pas un exercice unique. " (mise en gras dans le texte original)106
146. Le rapport d'inspection montre que dès 2017, le défendeur réfléchissait déjà aux smart cities, à l'utilisation de la ville comme ‘laboratoire vivant’, au recours à l'intelligence artificielle et au partage externe ou au libre accès des données collectées. Les risques liés à la protection des données étaient également déjà reconnus à l'époque : "Par exemple, les données de l'Internet des objets qui sont captées dans le domaine public comprennent souvent aussi des données à caractère personnel.”107
147. Dans la proposition du défendeur de 2019 au deuxième intéressé dans le cadre de l'obtention de subventions pour son projet pilote d'innovation, des constatations similaires liées aux risques pour la protection des données avaient été faites : "Avec des capteurs et des caméras, nous captons diverses données telles que le son et le mouvement. Nous combinons ces données avec d'autres données de l’environnement pour écrire un algorithme qui contrôle les actionneurs, contrôlant ainsi également le comportement."108
Dans son rapport, le Service d'Inspection cite aussi un document du défendeur de 2021, dans lequel on peut lire : "Afin d’assurer un bon fonctionnement, il est essentiel que nous coopérions avec d'autres partenaires et autorités publiques et que nous puissions partager des données (à caractère personnel) sensibles de manière fluide et correcte." 109
Le 25 février 2022, le DPO de la ville a conseillé de réaliser une AIPD "compte tenu des risques potentiels du projet".110 Le sous-traitant a déclaré dans la BAFO : "Nous lancerons une DPIA immédiatement après l'attribution du projet"111
148. La Chambre Contentieuse constate que, contre l'avis des lignes directrices existantes de 2019 qui étaient en vigueur, le défendeur n'a pris aucune initiative pour lancer une AIPD entre 2017 et février 2022, alors qu'il était clair depuis le début qu'il y avait des risques liés au projet tel qu'il avait été lancé. En outre, la BAFO du sous-traitant révèle que ce dernier a été chargé de démarrer l'AIPD, après l'attribution du contrat. 112 Le 23 mars 2022, le défendeur attribue le projet pilote d'innovation au sous-traitant.113 Le 12 avril 2022, soit 20 jours après l'attribution, le DPO de la ville émet un avis positif sur l'AIPD du projet pilote d'innovation.114
149. En ce qui concerne les éléments minimaux qu'une AIPD doit contenir en vertu de l'article 35.7 du RGPD, la Chambre Contentieuse, de même que le Service d'Inspection 115, constatent ce qui suit :
a. la description du traitement était trop vague et incomplète, ce qui implique que l'estimation et l'évaluation des risques liés au traitement étaient basées sur des informations incomplètes,
b. la délimitation insuffisante des finalités du projet pilote d'innovation a empêché une analyse correcte de la nécessité et de la proportionnalité du traitement des fichiers audio bruts et des empreintes vocales, et l'évaluation très sommaire de la nécessité et de la proportionnalité dans l'AIPD n'a pas pu y remédier,
c. la ville n'a pas pu soumettre de méthode d'évaluation des risques et aucune analyse des risques digne de ce nom n'a été effectuée concernant le projet pilote d'innovation, qui contenait pourtant des risques très élevés pour les droits et libertés fondamentaux des habitants et des passants,
d. il n'a pas été possible d'évaluer correctement les mesures techniques et organisationnelles à appliquer.
150. La définition correcte de la notion de ‘formalité" du dictionnaire Van Dale, à laquelle le défendeur fait référence dans ses conclusions, ne change en rien ces constatations. La Chambre Contentieuse constate que le défendeur n'offre pas d'autres arguments pour réfuter ces constatations.
Conclusion
151. La Chambre Contentieuse estime que le défendeur a violé l'article 35.7 du RGPD en raison de graves manquements concernant la description systématique des traitements, l'évaluation de la nécessité et de la proportionnalité des traitements, l'évaluation des risques pour les droits et libertés des personnes concernées et les mesures envisagées pour faire face à ces risques.
152. À cet égard, la Chambre Contentieuse note qu'avec une mise en œuvre adéquate et sérieuse d'une AIPD, le défendeur aurait eu la possibilité d'évaluer les risques des traitements, ce qui aurait permis d'éviter par la suite bon nombre des violations décrites dans la présente décision. Toutefois, le fait que les traitements aient été effectués dans le cadre d'un projet pilote d'une durée relativement courte peut être pris en compte lors de l'évaluation des risques et de la détermination des mesures techniques et organisationnelles nécessaires.
II.9. Protection des données dès la conception et protection des données par défaut
153. En ce qui concerne la protection des données dès la conception et la protection des données par défaut (ci-après ‘DpbDD’)116 telles que définies à l'article 25 du RGPD, les lignes directrices de l'EDPB précisent ce qui suit : "L’élément central de cette disposition est d’assurer une protection appropriée et effective des données, dès la conception et par défaut, ce qui signifie que les responsables du traitement devraient être en mesure de démontrer qu’ils ont mis en place les mesures et les garanties appropriées, dans le cadre du traitement, pour garantir l’effectivité des principes relatifs à la protection des données et des droits et libertés des personnes concernées."117
Le Service d'Inspection a constaté plusieurs violations à l'encontre de la DPbDD, en ce qui concerne tant les fichiers audio bruts que les empreintes vocales. Le rapport d'inspection a spécifiquement renvoyé au caractère reconnaissable des personnes concernées et au contenu des conversations dans le fichier audio brut, à la durée des fragments dans les fichiers audio bruts et à l'enregistrement permanent 24 heures sur 24 et 7 jours sur 7 dans l'espace public. Le Service d'Inspection a constaté que le défendeur n'avait pas enquêté sur les techniques d'anonymisation potentielles pour éviter que les spectrogrammes MEL contenant de la parole conduisent à des données biométriques. L'analyse technique du Service d'Inspection a spécifiquement souligné la possibilité technique de réduire la qualité de l'enregistrement sonore de manière à ce que des sons soient toujours reconnus mais plus des voix. Cette possibilité n'a toutefois jamais été examinée par le défendeur ou le sous-traitant.
154. Le défendeur se réfère à sa communication avec le sous-traitant pour mettre en place plusieurs mesures techniques et organisationnelles afin de sécuriser le traitement de données à caractère personnel. Pour éviter le caractère reconnaissable des conversations, le défendeur souligne que le contenu des conversations n'était pas pertinent, que la durée des fichiers audio bruts ne dépassait pas le minimum nécessaire pour entraîner l'algorithme, que les fichiers audio bruts étaient cryptés et conservés uniquement pendant huit heures, et que seuls des fragments liés à des événements étaient transmis et conservés plus longtemps pour l'analyse et l'entraînement de l'algorithme. Le défendeur fait également valoir que "l'article 25 du RGPD dispose que les finalités du traitement doivent être prises en compte (lire : il a déjà été expliqué à plusieurs reprises ci-dessus que sans un traitement de fichiers audio bruts, il n'était pas (suffisamment) possible d'entraîner l'algorithme avec précision afin qu'il puisse distinguer différents types de sons entre eux)"118.
Appréciation de la Chambre Contentieuse
155. La Chambre Contentieuse tient compte dans son évaluation du fait que le projet pilote d'innovation était un projet pilote visant à limiter au minimum le traitement des données à caractère personnel dans une phase ultérieure, comme l'a déclaré le sous-traitant, en les traitant ‘on edge’119. Elle limitera donc son analyse de la DPbDD dans ce contexte, en soulignant que si le projet pilote d'innovation devait être traduit en une politique, le défendeur devra également procéder à une analyse actualisée de la DPbDD.
156. La Chambre Contentieuse, de même que le Service d'Inspection, constatent que, contrairement à l'avis de son DPO, le défendeur n'a pas fait de distinction entre les fragments sonores contenant des paroles humaines intelligibles et les fragments sonores ne contenant pas de telles paroles humaines 120. La durée et la qualité des enregistrements n'ont pas non plus été réduites de manière à empêcher l'enregistrement de voix ou de conversations intelligibles.
157. Une mesure proposée par le sous-traitant contre l'écoute éventuelle d'une conversation consistait à rendre l'édition séquentielle des fragments continus de 10 secondes chacun, dans lesquels on entendait des paroles humaines, techniquement impossible pour les collaborateurs du sous-traitant qui devaient écouter les fragments pour les catégoriser.
Cette mesure n'a pas été mise en œuvre. Ce risque d'écoute aurait encore pu être réduit davantage en travaillant avec des fragments plus courts. Cette mesure n'a pas non plus été mise en œuvre. L'argument du défendeur selon lequel le contenu des conversations n'était pas pertinent ne change rien à cette constatation, mais renforce l'argument selon lequel l'enregistrement du contenu des conversations n'était donc pas nécessaire et aurait dû être évité. Dans ce contexte, et comme déjà mentionné, la Chambre Contentieuse constate également qu'il n'a pas été démontré qu'il était nécessaire de traiter des conversations intelligibles pour entraîner et utiliser un modèle d'IA - qui devait uniquement distinguer les classes décrites au point 26. L'argument du défendeur selon lequel la durée d'un fragment de 10 secondes était le minimum nécessaire pour entraîner l'algorithme a été contredit par le sous-traitant dans sa BAFO. En effet, ce dernier avait indiqué que des fragments de 2 secondes étaient suffisants pour entraîner l'algorithme.121 Les arguments de sécurisation de ces fragments et de limitation du temps de conservation ne changent rien non plus à la constatation selon laquelle on pouvait choisir initialement de limiter l'enregistrement à des fragments de 2 secondes et de rendre en outre impossible l'écoute de fragments consécutifs.
158. L'argument du défendeur selon lequel cette méthode de mesure de la puissance sonore était considérée comme respectueuse de la vie privée n'est pas non plus convaincant. Il existe d'autres méthodes pour mesurer la puissance sonore que de se baser sur des enregistrements sonores, par exemple à l'aide d'un sonomètre décibel. Dans le même contexte, l'analyse technique du Service d'Inspection 122 a révélé que l'état des connaissances permet de limiter la durée et la qualité de l'enregistrement audio de manière à ce que les sons puissent être reconnus sans que la voix ou les conversations ne soient traitées de manière intelligible. Rien ne permet de déduire que le défendeur ou le sous-traitant a fait de quelconques recherches sur cette solution ou même a envisagé cette solution.
159. La Chambre Contentieuse, de même que le Service d'Inspection, constatent que le défendeur, contre l'avis de son DPO, a également enregistré des sons en dehors de la période où le tapage nocturne est pertinent. 123 Limiter le traitement à ces heures aurait pu réduire de manière significative la quantité de données traitées et de personnes concernées, et donc également les risques pour ces personnes. Au lieu de cela, le défendeur a choisi d'enregistrer les sons 24 heures sur 24, 7 jours sur 7, et d'autoriser le traitement ultérieur des fichiers audio bruts de 19 heures à 7 heures du matin, alors que les heures relatives au tapage nocturne ont été fixées de 22 heures à 7 heures du matin. 124 Le défendeur ne fournit pas d'explication concluante quant aux raisons pour lesquelles les capteurs devaient enregistrer les sons en permanence et pourquoi la durée légale définie pour le tapage nocturne a été étendue.
160. Dans la constatation 12 du rapport d'inspection, le Service d'Inspection a souligné les différentes phases du projet et l'adaptation du traitement de données à caractère personnel dans l’espace public en fonction de ces phases. Pour la Chambre Contentieuse, il n'a pas été prouvé que les enregistrements dans l’espace public n'étaient pas nécessaires pour entraîner l'algorithme et contribuer ainsi à la limitation du tapage nocturne, d'autant plus qu'il s'agissait ici très clairement d'un projet pilote. La Chambre Contentieuse ne se penchera donc pas davantage sur cette constatation.
Conclusion
161. La Chambre Contentieuse estime que le défendeur a violé l'article 25 du RGPD en n'évitant pas ou en ne limitant pas dans le projet pilote le traitement de données à caractère personnel, de données à caractère personnel biométriques et de données appartenant à des catégories particulières de données à caractère personnel, que ce soit dès la conception ou par défaut, alors que selon la Chambre Contentieuse, il a été suffisamment démontré que, compte tenu de l'état des connaissances, du contexte et des finalités du traitement, cela était possible ou qu'il était à tout le moins opportun d'examiner cette possibilité et, le cas échéant, de démontrer qu'elle n'était pas réalisable.
II.10. Devoir de vigilance à l'égard du sous-traitant
162. L'article 28.1 et le considérant 81 du RGPD imposent au responsable du traitement de ne choisir que des sous-traitants qui peuvent offrir des garanties suffisantes en matière de protection des données. Dans ses lignes directrices sur les responsables du traitement et les sous-traitants, l'EDPB a concrétisé comme suit la responsabilité concernant le choix du sous-traitant :
"94. [...] Le responsable du traitement est donc chargé d’évaluer le caractère suffisant des garanties fournies par le sous-traitant et devrait être en mesure de démontrer qu’il a pris sérieusement en considération tous les éléments visés dans le RGPD.
97. Les éléments suivants devraient être pris en considération par le responsable du traitement afin d’évaluer le caractère suffisant des garanties : les connaissances spécialisées du sous-traitant (par exemple, l’expertise technique en ce qui concerne les mesures de sécurité et les violations de données) ; la fiabilité du sous-traitant et ses ressources. [...]."125
163. Le Service d'Inspection a constaté que malgré plusieurs signaux d’alarme, le défendeur n'a pas demandé d'explications ou de preuves supplémentaires au sous-traitant afin de pouvoir évaluer son expertise en matière de RGPD.
164. Le plaignant estime que le défendeur aurait pu faire plus que poser quelques questions critiques au sous-traitant, comme le défendeur l'affirme lui-même.
165. Le sous-traitant souligne qu'il dispose bien de "l'expertise (technique) et des ressources nécessaires"126 pour mener à bien des projets similaires au projet pilote d'innovation.
166. Le défendeur fait valoir que la conformité au RGPD a fait l'objet d'une attention suffisante au cours de la procédure d'attribution, que plusieurs questions critiques ont été posées et que le sous-traitant a également répondu explicitement à ces questions dans une annexe à la BAFO. Au cours de l'audition, le défendeur a affirmé que, compte tenu des réglementations régissant le secteur public et les marchés publics, il n’a plus été en mesure de réagir lorsqu'il a constaté que, lors de la mise en œuvre du projet pilote d'innovation, les affirmations faites par le sous-traitant se sont révélées incorrectes.
II.10.1. Appréciation de la Chambre Contentieuse
167. Afin d'évaluer l'obligation de vigilance du défendeur à l'égard du sous-traitant, la Chambre Contentieuse s'appuiera sur les trois critères énoncés au considérant 81 du RGPD, tels qu'expliqués par l'EDPB dans ses lignes directrices 127. Pour chaque critère, la Chambre Contentieuse évaluera si le défendeur peut démontrer que le sous-traitant lui a fourni des garanties suffisantes pour se conformer à l'obligation de vigilance. Cette ‘démonstration’ est, selon l'EDPB128, un ‘échange de documentation pertinente’. La Chambre Contentieuse vérifiera donc spécifiquement pour quelles garanties le défendeur dispose d’une documentation pouvant démontrer sa ‘vigilance’.
168. Critère 1 : "les connaissances spécialisées du sous-traitant" :
Tant le défendeur que le sous-traitant soulignent les projets de référence déjà mis en œuvre par le sous-traitant qui sont similaires au projet pilote d'innovation. Toutefois, dans ses lignes directrices, l'EDPB souligne à travers un exemple qu'il n'est pas (seulement) nécessaire de démontrer une expertise technique en la matière, mais surtout une expertise en matière de protection des données : "par exemple, l’expertise technique en ce qui concerne les mesures de sécurité et les violations de données" 129. Cette expertise peut par exemple être démontrée par un audit ou un certificat en matière de protection des données, ce qui n'était pas le cas pour ce sous-traitant. Parmi les projets de référence énumérés auxquels se réfèrent le sous-traitant et le défendeur, trois des cinq projets de référence sont antérieurs à l'entrée en vigueur du RGPD en 2016 et un quatrième projet a été lancé avant le caractère exécutoire du RGPD en 2018. En ce qui concerne le projet pour lequel le RGPD s'appliquait pleinement, le défendeur n'a pu produire aucun document concernant la politique de protection des données. En outre, le sous-traitant a fait savoir dans la BAFO que "[...] aucune DPIA ou DTIA antérieure [n'a été] réalisée" 130 lorsque le défendeur a demandé les DPIA antérieures sur lesquelles il était possible de s'appuyer.
Le rapport d'inspection pointe plusieurs indicateurs sur la base desquels le défendeur aurait dû mettre en doute les connaissances spécialisées du sous-traitant en matière de protection des données. Il s'agit notamment de la proposition initiale de travailler avec des fichiers audio bruts de 30 secondes, de l'adaptation des engagements du sous-traitant en matière de RGPD dans les offres successives, de la démonstration limitée de la conformité au RGPD dans l'offre et de la déclaration (erronée) selon laquelle les empreintes vocales ont été anonymisées. À l'exclusion de l'adaptation des engagements du sous-traitant en matière de RGPD, le défendeur ou son DPO avait également remarqué ces indicateurs.
À cet égard, le plaignant a souligné la possibilité de recourir à un expert indépendant ou aux questionnaires existants pour vérifier les connaissances spécialisées du sous-traitant. Le défendeur ne peut pas démontrer qu'il a consulté un expert indépendant, que ce soit en interne au sein de son organisation ou en externe. Le défendeur se réfère cependant aux questions posées et aux réponses données dans la BAFO. Toutefois, ces questions abordent à peine les aspects techniques du traitement, ce qui n'a pas permis au défendeur d'évaluer d'une quelconque manière l'expertise technique du sous-traitant en matière de protection des données.
Enfin, le DPO peut jouer un rôle important dans de telles évaluations approfondies. Or, la Chambre Contentieuse constate que le DPO n'a été impliqué que de manière limitée dans le projet et que ses observations ont à peine été prises en compte. La première intervention démontrable du DPO date du 22 novembre 2021 131. Au cours de cette intervention, plusieurs observations et problèmes potentiels en matière de protection des données ont déjà été formulés. Dans son avis daté du 25 février 2022, le DPO déclare n'avoir reçu aucune réponse à ses observations du 22 novembre 2021.132 Le rapport de réunion relatif à cet avis indique également : "Les deux parties étaient historiquement au courant du projet et ont également été impliquées. Cependant, manifestement [...], certaines questions/observations ont été [envoyées] en décembre de l'année dernière et l'on n'a plus rien entendu à ce sujet par la suite. On est à présent surpris de voir qu'un cahier spécial des charges a été publié et qu'il est prêt à être attribué. [le DPO] et [x] ont parcouru le document sommairement, mais pas en détail étant donné le nombre de pages et le temps très court qui leur a été imparti.” 133 (mise en gras par la Chambre Contentieuse). La Chambre Contentieuse constate que le DPO n'a pas été suffisamment impliqué pour évaluer les connaissances spécialisées du sous-traitant en matière de protection des données.
Dans ses conclusions, le défendeur a fait référence à un autre projet impliquant le sous-traitant et a indiqué que dans ce contexte, le sous-traitant "a déjà élaboré une procédure RGPD en collaboration avec des spécialistes du droit de l'IT de la KULeuven." 134 À cet égard, le défendeur a également attiré l’attention sur la présentation du sous-traitant mettant l'accent sur la sécurité des données à caractère personnel. La Chambre Contentieuse rappelle que l'intégrité et la confidentialité ne constituent qu'un des 6 principes de protection des données et qu'une expertise est requise pour tous les principes de protection des données.
Le défendeur a également souligné la réalité qui implique qu'il n'était pas possible de soumettre chaque candidat à un audit externe avant d'attribuer le projet. La Chambre Contentieuse suit le défendeur sur ce point et affirme qu'un certificat d'audit externe n'est pas une exigence nécessaire. De tels certificats sont cités à titre d'exemple, parmi d'autres possibilités. Le fait que le sous-traitant ne possède pas un tel certificat n'est pas un indice de valeur ; ce n'est que s'il peut en produire un qu'il a une valeur dans l'évaluation.
La Chambre Contentieuse estime que le défendeur ne peut pas prouver les connaissances spécialisées du sous-traitant, essentiellement parce qu'il n'a pas (suffisamment) analysé ou évalué les connaissances spécialisées du sous-traitant.
169. Critère 2 : ‘la fiabilité du sous-traitant’ :
Aucun argument n'a été soulevé concernant la fiabilité du sous-traitant en dehors des cinq projets de référence communiqués au défendeur. La Chambre Contentieuse ne se penche donc pas davantage sur ce critère.
170. Critère 3 : ‘les ressources du sous-traitant’ :
Lors de la discussion entre le Service d'Inspection et le sous-traitant, ce dernier a déclaré, pour justifier l'inscription du PDG comme DPO dans l'AIPD et d'autres documents, que le PDG était le seul employé permanent du sous-traitant à ce moment-là : "Étant donné qu'au moment où le projet avec la ville a commencé, j'étais la seule personne travaillant à titre principal pour [le sous-traitant] et que j'étais en charge de la gestion journalière (il n'y avait pas d'employés) [...]".135 En conséquence, la même personne est apparue dans l'AIPD en tant que ‘business owner’, ‘DPO’ et ‘conseiller en sécurité de l'information’. 136 Il n'apparaît nulle part dans la documentation que le défendeur se soit interrogé sur ces ressources disponibles du sous-traitant.
À cet égard, le sous-traitant a également souligné l'implication de deux DPO dans le projet au sein du défendeur, déclarant : "Pour cette raison, j'ai supposé que l'expertise nécessaire était présente pour ce projet."137
La Chambre Contentieuse estime donc que le défendeur n'a pas vérifié si le sous-traitant disposait bien des ressources suffisantes pour mener à bien, sur le plan de la protection des données, un projet pilote d'innovation aussi complexe et ‘intrusif dans la vie privée’.
Conclusion
171. La Chambre Contentieuse estime que le défendeur a violé l'article 28.1 du RGPD étant donné que ce dernier ne peut pas démontrer qu'il a vérifié les connaissances spécialisées et les ressources du sous-traitant pour s'assurer que le traitement était conforme aux exigences du RGPD et que la protection des droits des personnes concernées était garantie.
II.11. Transfert vers des pays tiers en dehors de l'EEE
172. À partir du moment où des données à caractère personnel sont transmises vers des pays en dehors de l'Espace économique européen (ci-après EEE), il est question d'un transfert de données à caractère personnel. En vertu du RGPD, le transfert de données à caractère personnel vers des pays en dehors de l'EEE n'est autorisé que si le niveau de protection offert par le RGPD n'est pas affecté. C'est le cas lorsque le pays en dehors de l'EEE a un niveau adéquat de protection des données ou offre des garanties complémentaires pour le transfert de données. Si la Commission européenne n'a pas pris de décision d'adéquation, il convient d'adopter des garanties appropriées d'une autre manière pour offrir un niveau de protection suffisamment élevé.
173. Le Service d'Inspection constate que le traitement n'était pas conforme au chapitre V du RGPD car aucune évaluation des risques n'a été effectuée, sur laquelle on aurait pu fonder d’éventuelles garanties appropriées, alors que des données à caractère personnel biométriques (empreintes vocales) étaient bien disponibles de manière non sécurisée dans le cloud Google.
174. Le défendeur ne prend pas position sur une éventuelle violation du chapitre V du RGPD.
Appréciation de la Chambre Contentieuse
175. Dans le cadre de l'évaluation du transfert de données à caractère personnel en dehors de l'EEE, en l'occurrence vers les États-Unis, la Chambre Contentieuse se réfère aux Recommandations 01/2020 de l'EDPB. Pour aider les responsables du traitement dans la tâche d'évaluation de la protection des données de pays tiers et d'établissement, le cas échéant, de mesures complémentaires, l'EDPB a prévu un plan par étapes. 138
176. Étape 1 : connaître les transferts : tout d'abord, il est important que le défendeur ait connaissance des données à caractère personnel transférées. L'annexe 3 du contrat de sous-traitance conclu avec le sous-traitant indique qu'aucun sous-traitant ultérieur n'était prévu139. Sur la base de ce contrat, on pourrait affirmer que le défendeur n'était pas au courant du recours à un sous-traitant ultérieur ayant la société mère aux États-Unis.
Toutefois, dans la BAFO, qui précède le contrat de sous-traitance, le sous-traitant déclare qu'il travaille avec 3 sous-traitants ultérieurs.140 Dans l'annexe 2 de la BAFO, le sous-traitant déclare que les centres de données sont situés dans l'EEE. 141
Dans les questions et remarques du défendeur suite à la première offre du sous-traitant, il apparaît clairement que le défendeur était déjà au courant à l'époque de la problématique du recours à des sous-traitants ultérieurs ayant une société mère aux États-Unis. Le défendeur a ainsi déclaré : "Il reste que tant [le sous-traitant ultérieur] que [le second sous-traitant ultérieur] ont des sociétés mères basées aux États-Unis et qu'il existe donc un risque de transfert aux autorités américaines en vertu de la législation américaine FISA.
Afin d'évaluer correctement le risque pour la protection des données des personnes concernées, une DTIA constitue un outil approprié. […] En conséquence, des mesures supplémentaires peuvent s'avérer nécessaires [...]". 142
La Chambre Contentieuse estime que le défendeur était informé du transfert potentiel de données à caractère personnel vers des pays tiers en dehors de l'EEE au moment où il a discuté de la première offre du sous-traitant. Qui plus est, le défendeur lui-même a indiqué la nécessité de réaliser une DTIA afin que des mesures supplémentaires visant à protéger ces données à caractère personnel puissent être identifiées et mises en œuvre.
177. Étape 2 : recenser l'instrument de transfert pertinent : dans cette étape, le défendeur devrait déterminer quel instrument de transfert du chapitre V du RGPD il va utiliser. La Chambre Contentieuse rappelle que le transfert de données à caractère personnel vers un pays tiers, à défaut de décision d'adéquation de la Commission européenne en vertu de l'article 45 du RGPD, n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées, et à condition que pour les personnes concernées, des droits opposables et des voies de droit effectives soient disponibles (article 46 du RGPD).
En l'absence de décision déclarant le niveau de protection adéquat conformément à l'article 45.3 du RGPD, ou de garanties appropriées conformément à l'article 46 du RGPD, un transfert ou une catégorie de transferts de données à caractère personnel vers un pays tiers a lieu, dans des circonstances spécifiques, uniquement sous une des conditions de l'article 49 du RGPD ("Dérogations pour des situations particulières").
La Chambre Contentieuse, de même que le Service d'Inspection, constatent qu'au moment du traitement de données à caractère personnel dans le cadre du projet pilote d'innovation, la décision d'adéquation de la Commission pour le transfert ultérieur vers les États-Unis avait été annulée par la Cour de justice. La Chambre Contentieuse, de même que le Service d’Inspection, constatent également que le défendeur n'a pas évalué ou mis en œuvre un instrument de transfert approprié. Au contraire, le défendeur n'a plus analysé, abordé ou évalué la problématique dans la BAFO, ni dans l'AIPD, de sorte qu'aucune mesure appropriée n'a été prise. Cela a conduit à une situation où les empreintes vocales biométriques étaient traitées de manière non cryptée dans le cloud Google, comme l'a constaté l'analyse technique du Service d'Inspection143.
Conclusion
178. La Chambre Contentieuse estime que le défendeur a violé l'article 44 du RGPD en ne procédant pas à une évaluation appropriée et en ne prenant pas les mesures adéquates concernant les transferts des données traitées en dehors de l'EEE, alors même qu’il avait connaissance de ces transferts et des risques qu'ils présentaient.
III. Mesures correctrices et sanctions
179. Aux termes de l’article 100, § 1er de la LCA, la Chambre Contentieuse a le pouvoir de :
1° classer la plainte sans suite ;
2° ordonner le non-lieu ;
3° prononcer une suspension du prononcé ;
4° proposer une transaction ;
5° formuler des avertissements et des réprimandes ;
6° ordonner de se conformer aux demandes de la personne concernée d'exercer ses droits ;
7° ordonner que l'intéressé soit informé du problème de sécurité ;
8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement ;
9° ordonner une mise en conformité du traitement ;
10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données ;
11° ordonner le retrait de l'agréation des organismes de certification ;
12° donner des astreintes ;
13° donner des amendes administratives ;
14° ordonner la suspension des flux transfrontières de données vers un autre État ou un organisme international ;
15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier;
16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données.
180. Il appartient à la Chambre Contentieuse de décider de la sanction la plus appropriée à la lumière des violations des articles 9.1 ; 5.1.a) juncto les articles 12.1, 13.1 et 13.2 ; 35.7 ; 25 ;
28.1 et 44 du RGPD et de toutes les circonstances de l'affaire.
181. La Chambre Contentieuse est sensible au fait que le défendeur a au moins pris les mesures formelles attendues de lui et a coopéré loyalement à l'enquête, comme l'a indiqué le Service d'Inspection dans son rapport. En outre, la Chambre Contentieuse est également sensible au fait qu'il s'agissait d'un projet pilote d'innovation qui recherchait de nouveaux moyens technologiques pour résoudre des problèmes connus tels que le tapage nocturne, avec pour objectif à terme un traitement minimal de données à caractère personnel.
182. Toutefois, la Chambre Contentieuse tient également compte du fait que :
• le défendeur a intentionnellement présenté le traitement de données à caractère personnel dans le cadre du projet pilote d'innovation et ses risques potentiels pour les droits et libertés des personnes concernées de manière vague et même, dans certains cas, erronée ;
• malgré l'exécution formelle mais tardive d'une AIPD, le défendeur n'avait pas mis en œuvre une analyse des risques approfondie et des mesures techniques et opérationnelles appropriées, qui auraient pu remédier à plusieurs violations identifiées du RGPD avant le début du traitement ;
• le défendeur n'ignorait pas certains risques pour les droits et libertés des personnes concernées et les violations du RGPD étant donné que son DPO avait formulé plusieurs remarques pertinentes à cet égard ;
• au début du processus d'attribution, le défendeur avait lui-même constaté de potentielles violations du chapitre V du RGPD ainsi que les risques potentiels encourus, sans y prêter davantage attention, ce qui a entraîné en pratique le traitement de données biométriques sans cryptage dans le cloud Google.
III.1. Mesures correctrices
183. Dans ces circonstances et en raison du traitement illicite des données, la Chambre Contentieuse ordonne au défendeur, conformément à l'article 100, § 1 er, 10° de la LCA, de supprimer tous les fichiers audio bruts contenant des sons vocaux et toutes les empreintes vocales et d'en informer les destinataires de ces données à caractère personnel, et ce dans un délai de 30 jours à compter de la notification de la présente décision.
III.2. Sanctions
184. Dans ces circonstances et en raison des violations constatées des articles 9.1 ; 5.1.a) juncto les articles 12.1, 13.1 et 13.2 ; 35.7 ; 25 ; 28.1 et 44 du RGPD, la Chambre Contentieuse décide de formuler une réprimande à l'égard du défendeur en vertu de l'article 100, § 1 er, 5° de la LCA.
IIII. Publication de la décision
185. Vu l'importance de la transparence en ce qui concerne le processus décisionnel et les décisions de la Chambre Contentieuse, la présente décision sera publiée sur le site Internet de l'Autorité de protection des données, moyennant la suppression des données d'identification directe des parties et personnes en question, tant pour les personnes physiques que pour les personnes morales, à l'exception du défendeur et du deuxième intéressé. En effet, la Chambre Contentieuse estime que pour l'information du public, pour
une bonne compréhension de sa décision, et compte tenu des références légales citées afin d'étayer son raisonnement et par conséquent de l'inévitable possibilité de réidentification du défendeur et du deuxième intéressé, la mention de la Ville d'Anvers et de la VLAIO ne peut être omise.
PAR CES MOTIFS,
la Chambre Contentieuse de l'Autorité de protection des données décide, après délibération
- en vertu de l'article 100, § 1er, 5° de Ia LCA, de formuler une réprimande à l'encontre du défendeur en raison de la violation des articles 9.1; 5.1.a) juncto les articles 12.1, 13.1 et 13.2 ; 35.7 ; 25 ; 28.1 et 44 du RGPD;
- en vertu de l'article 100, §1er, 10° de la LCA, d'ordonner au défendeur de supprimer tous les fichiers audio bruts contenant des sons vocaux ainsi que toutes les empreintes vocales et d'en informer les destinataires de ces données à caractère personnel, et ce dans un délai de 30 jours à compter de la notification de la présente décision ;
- d’ordonner au défendeur d’informer par e-mail l’Autorité de protection des données (Chambre Contentieuse) des suites données à la présente décision, et ce dans le même délai via l'adresse électronique ligitationchamber@apd-gba.be.
En vertu de l'article 108, §1er de la LCA, cette décision peut faire l'objet d'un recours auprès de la Cour des marchés {Cour d’appel de Bruxelles} dans un délai de trente jours à compter de sa notification, avec l'Autorité de protection des données en qualité de défenderesse.
Un tel recours peut être introduit au moyen d'une requête contradictoire qui doit comporter les Mentions énumérées à l'article 1034ter du Code judiciaire144. La requête contradictoire doit être déposée au greffe de la Cour des marchés conformément à l'article 1034quinquies du Code judiciaire145, ou via le système informatique e-Deposit de la Justice (article 32ter du Code judiciaire).
(sé.) Hielke HIJMAN
Président de la Chambre Contentieuse
Document PDF ECLI:BE:GBAPD:2025:DEC.20250218.2
Publication(s) liée(s)
suivi par:
ECLI:BE:GBAPD:2025:AVIS.20250509.2
ECLI:BE:GBAPD:2025:AVIS.20250509.3