Détails de la décision
🏛️ Cour d'appel de Bruxelles
📅 2025-01-22
🌐 FR
Arrêt
Matière
burgerlijk_recht
Législation citée
Loi du 3 décembre 2017; loi du 15 juin 1935; loi du 19 octobre 2015; loi du 25 décembre 2023
Résumé
LA COUR DES MARCHÉS, Vu les dispositions de la loi du 15 juin 1935 sur l'emploi des langues en matière judiciaire, Statuant contradictoirement, Reçoit le recours, Le dit partiellement fondé, comme suit, Annule la Décision attaquée nr. 107/2024 rendue le 23 août 2024 par la Chambre Contentieuse de...
Texte intégral
Date du prononcé le 22 janvier 2025
Numéro du rôle 2024/AR/1615
COUR D’APPEL BRUXELLE
Section Cour des marchés 19e chambre A
Chambre des marchés
1. Y, BCE [numéro] dont le siège est établi à [adresse],
partie requérante, ci-après aussi « Y »,
représentée par Maître QUERTON Valentine et par Maître BRUYNDONCKX Bastiaan avocats à [adresse]
contre
1. AUTORITÉ DE PROTECTION DES DONNÉES, BCE 0694.679.950, dont le siège est établi à 1000 BRUXELLES, Rue de la Presse 35,
Partie adverse, ci-après aussi « l'APD »,
représentée par Maître RYELANDT Grégoire, Maître DE LOPHEM Evrard et Maître VOLCANSEK Estelle avocats à [adresse]
Vu les pièces de la procédure, et notamment :
- La décision nr. 107/2024 rendue le 23 aout 2024 par la Chambre Contentieuse de I' Autorité de protection des données (ci-après « l'APD »), dans le dossier DOS2022-0240 (ci-après la « Décision attaquée » ou la « Décision ») ;
- le recours en annulation contre ladite Décision déposé au greffe par la Requérante le 20
septembre 2024;
- les conclusions additionnelles et de synthèse déposées pour la Requérante le 13 novembre 2024;
- les conclusions de synthèse déposées pour I’APD le 27 novembre 2024;
- les pièces déposées par les parties;
I. Faits et antécédents procéduraux
1. Les faits et antécédents procéduraux peuvent être résumés comme suit.
La Requérante, la Y (ci-après «Y»), est opérateur téléphonique offrant des services sur l’ensemble du territoire belge. Dans le cadre de ses services Y propose à ses clients résidentiels des services mobiles prépayés et des abonnements ainsi que de nombreux autres services télécoms innovants.
Monsieur X (ci-après le« Plaignant ») était client résidentiel chez Y depuis 2019.
le 27 janvier 2021, selon Y par erreur d'un de ses employés, la facturation du service '[nom du service]' est activée chez le Plaignant sans que ce dernier n'ait donne son accord.
Le 18 février 2021, l'abonnement internet du Plaignant est résilié sans que ce dernier ne l'ait demande, selon Y aussi par erreur: en voulant désactiver le service '[nom du service]', un employé se serait trompe et a résilié complètement l'abonnement internet du Plaignant. En mettant tout en œuvre pour réactiver le service internet du Plaignant, un employé a également erronément active le service 'Y TV' du Plaignant le 26 février 2021.
Le 26 juin 2021, le Plaignant introduit une plainte auprès du Service de médiation pour les télécommunications. le 27 août 2021, le Service de médiation pour les télécommunications clôture le dossier.
Le 25 janvier 2022, le Plaignant contacte Y via Facebook Messenger lui demandant l'adresse email de son Délégué à la Protection des Données (DPD) afin d'exercer son droit d'accès en vertu de l’article 15 RGPD.
Le « chat » lui répond « nous n'avons pas d'adresse mail » et qu'il « n'a pas la possibilité de faire cela » (transmettre les coordonnées du DPD) mais qu'il peut prendre la demande en charge via le chat.
Le Plaignant envoie alors le message suivant:
« En concordance avec le RÈGLEMENT (UE) 2016/679 relatif à la protection des personnes physiques a l'égard du traitement des Données à caractère personnel, Article 15, je voudrais être inform2 sur les accès à mes données personnelles (compte, données personnelles, options actives sur mon compte Y, etc.) pendant l'année 2021 (01-Janvier-2021 - 31-Décembre 2021} par les employés collaborateurs Y . »
Il lui est demandé de clarifier sa demande, qu'il réitère en la qualifiant de très claire et simple.
Le 13 mars 2022, le Plaignant reprend contact avec Y via Facebook Messenger et réitère encore sa demande, sans recevoir de réponse; il indique qu'à défaut de recevoir une réponse fin mars, ii va s'adresser à I’APD.
Le 3 juin 2022, le Plaignant introduit une plainte auprès de I’APD.
Le 9 juin 2022, la plainte est déclarée recevable par le Service de Première Ligne de I’APD et la plainte est transmise à la Chambre contentieuse en vertu de l’article 62, § 1er LCA.
Le 27 février 2023 la Chambre contentieuse décide que le dossier peut être traite sur le fond.
Le 28 mars 2023, Y donne suite à la demande d'accès en fournissant les logs d'activité relatifs à son contrat couvrant toute l'année 2021, avec anonymisation des logins (pièce 3 du dossier d'Y).
Le 31 mai 2024, les parties sont entendues par la Chambre contentieuse et le procès-verbal de l'audition leurs est soumis le 10 juin 2024.
Les 12 et 17 juin 2024, la Chambre contentieuse reçoit respectivement d'Y et du Plaignant, des remarques relatives au procès-verbal.
Le 3 juillet 2024, la Chambre contentieuse fait conna1tre a Y son intention d'imposer une amende administrative, afin de lui donner l'occasion de se défendre avant que la sanction soit effectivement infligée. Le 22 juillet 2024, Y adresse sa réaction à la Chambre Contentieuse.
II. La Décision attaquée
2. Le 23 aout 2024, la Chambre contentieuse de I’APD prend la Décision attaquée. Elle y constate une violation par Y des articles 12.2., 12.3. et 15 du RGPD (réponse à la demande d'accès du Plaignant avec 14 mois de retard) tout en indiquant que « Toutefois, le constat relatif aux articles 12.2. et 12.3. n'entre pas en ligne de compte dans la détermination de la sanction»(§ 55 de la Décision).
Le dispositif de la Décision se lit comme suit :
95. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l'Autorité de protection des Données. Toutefois, ii n'est pas nécessaire à cette fin que les Données d'identification des parties soient directement communiquées.
PAR CES MOTIFS, la Chambre Contentieuse de l'Autorité de protection des Données décide, après délibération :
- En vertu de l’article 58.2.i) du RPGD et de l’article 100, §1er , 13 ° de la LCA, lu conjointement avec l'article 101 de la même loi, d'imposer une amende administrative d'un montant de 100.000 EUR à la défenderesse pour la violation de l'article 15 du RGPD;
- D'ordonner à la défenderesse d'informer l'APD (Chambre Contentieuse) de la suite réservée à cette injonction.
Ill. l'objet du recours
3. le recours d'Y tend à l'annulation de la décision attaquée. Elle demande à la Cour de :
• déclarer le présent appel recevable et fondé;
• d'annuler la décision 107/2024 de la Chambre Contentieuse de l'APD du 23 août 2024, et siégeant à nouveau, réformer la décision dont appel;
• à titre principal :
- déclarer la plainte du Plaignant introduite auprès de l'Autorité de protection des Données le 3 juin 2022 non-fondée;
• à titre subsidiaire :
- si, par impossible, Votre Cour devait considérer qu'Y a violé l'article 15 du RGPD ou tout autre article du RGPD ou toute autre législation en matière de protection des Données, de ne pas sanctionner Y et formuler uniquement un avertissement;
• à titre infiniment subsidiaire :
- si, par impossible, Votre Cour devait estimer qu'une amende administrative devait être prononcée à l'encontre d'Y (quad certe non), réduire cette amende au montant de 5.000,00 EUR;
• en tout état de cause :
- condamner l'Autorité de protection des Données aux entiers frais et dépens de la présente procédure, en ce compris l'indemnité de procédure liquidée a un montant de 1.800,00 EUR.
L'APD demande :
Déclarer le recours recevable, mais non fondé,
Condamner le requérant aux entiers dépens de l’instance, en ce compris l'indemnité de procédure de 1.800,00 € (montant de base).
IV. Cadre juridique
4. Le cadre légal applicable (ou potentiellement applicable) est constitué notamment des dispositions suivantes (sans exhaustivité).
- Le cadre légal européen applicable
Le Règlement Général relatif à la Protection des Données (RGPD) (mises en évidence par la Cour des marchés) :1
Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée
1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder a toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement a un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprie, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, a condition que l'identité de la personne concernée soit démontrée par d'autres moyens.
2. Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée au titre des articles 15 a 22. Dans les cas vises a l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d'exercer les droits que lui confèrent les articles 15 à 22, a mains que le responsable du traitement ne démontre qu'il n'est pas en mesure d'identifier la personne concernée.
3. le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dons un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dons un délai d'un mois à compter de la réception de la demande. lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, a mains que la personne concernée ne demande qu'il en soit autrement.
4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, ii informe celle-ci sans tarder et au plus tard dons un délai d'un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d'introduire une réclamation auprès d'une Autorité de contrôle et de former un recours juridictionnel.
Article 15 - Droit d'accès de la personne concernée
1. la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites Données à caractère personnel ainsi que les informations suivantes:
a) les finalités du traitement;
b) les catégories de données a caractère personnel concernées;
c) les destinataires ou catégories de destinataires auxquels les données a caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
d) lorsque cela est possible, la durée de conservation des données a caractère personnel envisagée ou, lorsque ce n 'est pas possible, les critères utilisés pour déterminer cette durée;
e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;
f) le droit d'introduire une réclamation auprès d'une autorité de contrôle;
g) lorsque les données a caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quanta leur source;
h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au mains en pareils cos, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
2. Lorsque les données a caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, fa personne concernée a le droit d'être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables bases sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, a mains que la personne concernée ne demande qu'il en soit autrement.
4. Le droit d'obtenir une copie vise au paragraphe 3 ne porte pas atteinte aux droits et libertés d'autrui.
Art. 58 - Pouvoirs
( ... )
2. Chaque Autorité de contrôle dispose du pouvoir d'adopter toutes les mesures correctrices suivantes:
( ... )
(i) Imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres a chaque cas ».
Loi du 3 décembre 2017 portant création de l'Autorité de protection des données {d’après « LCA ») :
Dans la version applicable au litige, préalable a sa modification par la loi du 25 décembre 2023
modifiant la loi du 3/12/2017 portant création de l'Autorité de protection des données (MB, 1er mars 2024, entrée en vigueur le 1er juin 2024), la LCA comporte notamment les dispositions qui suivent:
Article 100 :
§ 1er. La chambre contentieuse a le pouvoir de:
1 ° classer la plainte sans suite;
2 ° ordonner le non-lieu;
3 ° prononcer la suspension du prononce;
4 ° proposer une transaction;
5 ° formuler des avertissements et des réprimandes;
6 ° ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits;
7 ° ordonner que l'intéressé soit informe du problème de sécurité;
8 ° ordonner le gel, la limitation ou l’interdiction temporaire ou définitive du traitement;
9 ° ordonner une mise en conformité du traitement;
10 ° ordonner la rectification, la restriction ou l’effacement des données et la notification de celles-ci aux récipiendaires des données;
11 ° ordonner le retrait de l’agréation des organismes de certification;
12 ° donner des astreintes;
13 ° donner des amendes administratives;
14 ° ordonner la suspension des flux transfrontières de Données vers un autre Etat ou un organisme international;
15 ° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites Données au dossier;
16 ° décider au cos par cos de publier ses décisions sur le site internet de l'Autorité de protection des Données.
§ 2. Lorsqu'après application du § 1er, 15 °, le ministère public renonce à engager des poursuites pénales, à proposer une résolution a l’amiable ou une médiation pénale au sens de l’article 216ter du Code d'instruction criminelle, ou lorsque le ministère public n'a pas pris de décision pendant un délai de six mois a compter du jour de réception du dossier, l'Autorité de protection des Données détermine si la procédure administrative doit être reprise.
V. Discussion par la Cour des marchés
V.A. CONCERNANT LA RECEVABILITE
5. La Décision attaquée a été prononcée par la Chambre contentieuse de I'APD le 23 août 2024.
II n'est pas contesté que la requête, déposée au greffe de la cour le 20 septembre 2024, l'a été dans le délai de 30 jours vise a l'article 108 § 1 er de la LCA.
Le recours est recevable.
V.B. CONCERNANT LE FOND
À TITRE PREALABLE ET Q UANT AU PREMIER MOVEN D'Y (La violation des principes de bonne administration)
Discussion et décision de la Cour des marchés
6. Conformément a l’article 744 du Code judiciaire : « Les conclusions contiennent également, successivement et expressément: ( ... ) 3 ° les moyens invoques a l'appui de la demande ou de la défense, le cas échéant en numérotant les différents moyens et en indiquant leur caractère principal ou subsidiaire ». L'article 780 du Code judiciaire dispose, lui, que :
« Le jugement contient, a peine de nullité, outre les motifs et le dispositif:
3 ° l'objet de la demande et la réponse aux moyens des parties exposes conformément a l’article 744, alinéa 1er; ( ... ) ».
Le moyen peut être défini en droit judiciaire comme l'énoncé d'un « raisonnement juridique d'ou la partie entend déduire le bien-fondé d'une demande ou d'une défense » et qui se distingue de l’argument qui est ce qui vient a l'appui du moyen : un fait ou une pièce (C. Parmentier, Comprendre la technique de cassation, Bruxelles, Larcier, 2017, p. 97, n ° 93,).
II ne s'agit donc pas d'un simple « titre » dans les conclusions, mais d'un raisonnement juridique qui justifie le bien-fondé d'une demande ou d'une défense.
Les modifications apportées aux article 744 et 780 du Code judiciaire par la loi « Pot-Pourri I» (loi du 19 octobre 2015 modifiant le droit de la procédure civile et portant des dispositions diverses en matière de justice, entrées en vigueur le 15 novembre 2015), ont pour ambition de faciliter la tâche du juge par l’identification des moyens auxquels ii doit répondre, ce en vue d'assurer une justice plus rapide et efficace, conformément a l'intérêt général.
La Cour relève que le titre « À titre principal: la Chambre contentieuse de l’APD a méconnu les droits de la défense d'Y ainsi que les principes de bonnes administration » des conclusions d'Y ne constitue pas un moyen au sens défini plus haut : ii s'agit plutôt d'une introduction ou d'un prélude aux moyens qui font chacun l'objet de développements dans les titres suivants, ce qui a été reconnu par le conseil d'Y devant la Cour.
Partant, cette introduction n'appelle pas de réponse. (Voy Cass. 14 septembre 2020,
C.19.0607.F
ECLI:BE:CASS:2020:ARR.20200914.3F.5
, sur juportal.be)
7. En ce qui concerne les moyens suivants, ii font l'objet de titres qui identifient la violation d'une disposition légale au d'un principe général du droit, mais sans indiquer en quoi la Décision attaquée emporte ladite violation.
La Cour s'efforcera d'identifier les moyens véritables (a savoir: le raisonnement juridique dans son entièreté) en vue de satisfaire a l’obligation générale de motivation (article 149 de la Constitution), mais sans qu'il ne puisse lui être reproche de ne pas y avoir eu égard totalement, ceux-ci n'ayant pas été clairement identifies et présentes.
« DEUXIEME MOYEN » D' Y: La violation des droits de la défense d'Y. Premier moyen de l'APD.
Résumé des positions des parties
8. Y paraît reprocher à la Chambre contentieuse d'avoir élargi la portée de la plainte alors que celle-ci ne visait qu'un droit d'accès au sens de l'article 15 du RGPD, et que, dans sa notification de la plainte effectuée le 23 février 2023, elle-même ne visait aussi qu'une violation possible de l’article 15 RGPD.
Par la suite, dans une réponse du 22 mars 2023 (pièce 14 du dossier APD), le Plaignant a élargi sa plainte en invoquant la violation de nouvelles dispositions du RGPD, notamment des articles 12.2. et 12.3. du RGPD, ce qui a créé une confusion. Y a réagi en interrogeant la Chambre contentieuse sur le point de savoir si elle devait se défendre sur ces nouveaux griefs, et celle-ci a refusé de répondre, sans justification.
Ceci a créé une situation d'insécurité juridique pour Y.
La Décision contient de multiples références aux articles 12.2. et 3. RGPD et conclut qu'Y a violé ces dispositions, même si elle ajoute ensuite ne pas avoir prétendument égard à ces violations pour fixer le montant de l'amende, ce qui n'est pas crédible.
Ce faisant, la Chambre contentieuse a violé les droits de la défense d'Y.
9. L' APD allègue qu'elle a énoncé clairement dans son courrier du 27 février 2023 que la plainte concernait la suite donnée a l'exercice du droit d'accès du Plaignant et en a précisé le contexte. Dans ce courrier, elle identifie clairement les manquements observes, les normes potentiellement enfreintes, ainsi que les faits reprochés. Y a eu accès a l'ensemble des pièces du dossier, ce qui lui a permis de comprendre la nature des reproches et les éléments probatoires sur lesquels la Chambre contentieuse s'appuierait pour motiver sa décision.
Y ne précise pas quels éléments nouveaux, qui n'auraient pas été communiques avant la conclusion des débats, auraient été découverts par elle dans la Décision attaquée. En ce qui concerne les éléments supplémentaires communiques par le Plaignant le 22 mars 2023, la Chambre contentieuse laisse chaque partie s'exprimer mais évalue seule la pertinence des faits et leur qualification. Ce n'est pas au Plaignant a définir les contours de la procédure.
La Décision a été rendue sur la base des griefs formellement communiques a Y dans le courrier du 27 février 2023 et sur les faits que la Chambre contentieuse a juges pertinents après son propre examen. Y a eu de multiples opportunités de faire valoir sa défense tout au long de la procédure.
Par ailleurs, le fait que le Plaignant ait déclaré lors de l'audition qu'il était satisfait de la réponse à sa demande d'accès (en ce qui concerne le principe, mais pas ses modalités) n'a créé aucune insécurité juridique pour Y. Ce n'est pas parce qu'une plainte devient sans objet que la Chambre contentieuse perdait son pouvoir de vérifier le respect du RGPD par Y en lien avec ladite plainte, ce qui fait partie de sa mission d'Autorité de contrôle.
L'article 12.2. du RGPD oblige le responsable du traitement a faciliter l'exercice des droits conférés à la personne concernée, et donne le droit d'accès vise a l’article 15 RGPD, et l’article 12.3. à informer la personne concernée sur les mesures prises à la suite d'une telle demande, dans les meilleurs délais et en tout cas un mois. II s'agit donc de dispositions intrinsèquement liées. Y avait bien connaissance de ces dispositions et s'est défendue ace sujet.
En outre, le constat relatif aux articles 12.2 et 12.3. RPD n'a pas été pris en compte dans la Décision pour la détermination de la sanction.
Discussion et décision Cour des marchés
10. La Chambre contentieuse de I’APD est une Autorité administrative à laquelle s'appliquent les principes généraux de bonne administration, en ce compris le principe relatif au respect des droits de la défense. Ce principe impose à l'Autorité administrative de permettre à l'administre de se défendre utilement lorsqu'elle envisage de prendre une mesure a caractère punitif, comme en l’occurrence une amende administrative (Voy. par analogie Cass. 6 novembre 2023,
C.23.0092.N
ECLI:BE:CASS:2023:ARR.20231106.3N.8
; Goffaux, P., Dictionnaire de droit administratif, 3e édition, Bruxelles, Larcier, 2022, p. 327 et s.).
Comme l'indique cet auteur: « Ce principe impose a l’administration de porter, en temps utile, à la connaissance de l’administre les griefs qui sont soulevés a son encontre, de lui donner accès a l’ensemble du dossier fondant les poursuites, de lui permettre de se faire assister d'un avocat et de disposer d'un temps suffisant pour organiser utilement sa défense et bien entendu de lui permettre de faire valoir ses moyens de défense sur les faits reproches et la sanction envisagée ainsi que de faire entendre, le cas échéant, des témoins utiles a sa défense et à la manifestation de la vérité. » (ibidem, p. 328).
II faut que la personne concernée puisse comprendre quel comportement lui est reproche. Ceci n'emporte cependant pas nécessairement que l'Autorité doive préciser les qualifications possibles des faits ou indiquer les dispositions statutaires éventuellement violées lors de leur commission (C.E., 22 mars 2016, n ° 234.217, Sizaire, cite par P. Goffaux, note 835}.
11. La Chambre contentieuse de I’APD doit ainsi, lorsqu'elle notifie au responsable du traitement qu'elle va traiter une plainte le concernant, lui communiquer cette plainte et indiquer sur quels manquements ii devra se défendre, avec en principe un énoncé des dispositions légales dont la violation est alléguée.
Dans le cas d'espèce, la notification du 27 février 2023 de la Chambre contentieuse ne se refere qu'a l’article 15 du RGPD, sans référence a l’article 12. Elle indique cependant clairement que : « La plainte introduite (... ) concerne la suite donnée a l'exercice de son droit d'accès », et donc l'absence de réponse d'Y à la demande du Plaignant du 25 janvier 2022.
Le Plaignant a lui-même évoqué d'autres dispositions dans son écrit du 22 mars 2023, en particulier l’article 12.2. et 12.3.
Y a dès lors pu se défendre quant a une possible violation de ces dispositions, qui étaient de toute façon intimement liées a l’article 15 RGPD: les dispositions doivent se lire ensemble, des lors que, notamment, c'est l’article 12.3. du RGPD qui définit le délai endéans lequel le responsable du traitement doit répondre a une demande formulée « en application des articles 15 a 22 », a savoir « dans les meilleurs délais et en tout état de cause dons un délai d'un mois à compter de la réception de la demande ». L'article 12.2., lui, prévoit notamment l’obligation pour le responsable du traitement de faciliter l'exercice des mêmes droits de la personne concernée (articles 15 a 22).
Comme le relèvent de Terwangne et Rosier, c'est une « particularité organisationnelle du RGPD, les modalités de l'exercice de ce droit d'accès ne sont pas contenues dans l’article 15 du RGPD relatif à ce droit mais dons l’article 12, qui régit de façon commune les modalités d'exercice de l’ensemble des droits de la personne concernée » (C de Terwangne et K. Rosier, « Le Règlement général sur la protection des Données (RGPD l GDPR) », Larcier, 2018, p. 446, n° 50).
Dans ses conclusions déposées devant la Chambre contentieuse de I'APD, Y s'est d'ailleurs effectivement défendue par rapport a l'article 12 du RGPD, en particulier par rapport à la violation de l’obligation de répondre dans le mois (cfr le point 3.2., p. 9 de ses deux jeux de conclusions devant la Chambre contentieuse, pièces 15 et 24 APD).
Partant, elle n'établit aucune atteinte a ses droits de la défense.
Son moyen n'est pas fondé.
TROISIEME et QUATRIEME MOYENS D'Y: la Décision retient a tort une violation des articles 12.2, 12.3. et 15 du RGPD car le Plaignant avait déjà reçu toutes les informations utiles, et le non-respect du délai prévu par l'article 12.3 du RGPD ne peut donner lieu a une sanction.
Deuxième moyen de l'APD.
Résumé des positions des parties
12. Dans son troisième moyen, Y allègue que c'est a tort que la Chambre Contentieuse lui a reproché d'avoir répondu avec plus de 14 mois de retard à la demande d'accès du Plaignant et de ne pas lui avoir facilite l'exercice de ses droits.
Tout d'abord, ii était facile pour le Plaignant d'identifier l'adresse électronique du DPD d'Y sur le site internet d'Y, dans sa politique de confidentialité : Y a donc fait ce qu'il fallait pour faciliter l'exercice des droits des plaignants.
Par ailleurs, le Plaignant disposait déjà des informations sollicitées, ayant obtenu toutes les informations demandées sur les incidents de 2021 par le biais de sa plainte au Service de médiation pour les télécommunications
Par conséquent, la Décision doit être annulée et reformée par la Cour des marchés.
Dans son quatrième moyen, Y soutient que le non-respect des délais visés aux articles 12.3 et 12.4 RGPD n'est pas sanctionné par une règle de droit (elle se réfère a deux arrêts de la Cour des marchés du 9 octobre 2019 et du 23 octobre 2019) et des lors le dépassement de ces délais n'est pas susceptible de donner lieu a une sanction, comme en l'espèce une amende.
Partant, la Décision doit être annulée.
13. L' APD fait valoir qu'Y ne peut échapper au reproche de ne pas avoir facilite l'exercice des droits du Plaignant par la circonstance que l'adresse de son DPD figure quelque part sur son site internet. En vertu des dispositions du RGPD, le responsable du traitement doit repondre de fa<;:on proactive aux demandes des personnes concernées : une fois saisie de la demande du Plaignant, elle avait l’obligation de le rediriger vers son DPD ou de répondre a sa demande.
Peu importe aussi que le Plaignant ait reçu une réponse a sa demande vià la procédure devant le Service de médiation des communications. Un tel service n'a pas vocation a statuer sur le respect du RGPD.
Par ailleurs, ii est inexact que le non-respect du délai prévu a l'article 12.3. du RGPD ne serait pas sanctionne: ii figure parmi les dispositions visées a l’article 83.5.b du RGPD (« les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22 » ), qui prévoit les sanctions les plus sévères.
La violation des articles 12.3 et 15 RGPD est indéniable, vu qu'Y ne conteste pas avoir répondu à la demande d'accès du Plaignant avec 14 mois de retard, bien au-delà du délai fixé par l’article 12.3 RGPD. L'argument d'Y selon lequel la sanction se fonde uniquement sur le non-respect du délai d'un mois de l’article 12.3, repose sur une interprétation incorrecte de la Décision. Non seulement la réponse à la demande du Plaignant a été excessivement tardive, mais ii apparait également qu'Y n'a pas facilité l'exercice de ce droit, notamment en omettant de mettre en place des mécanismes clairs et accessibles pour re pondre à la demande dans les délais requis. Par conséquent, elle a violé les articles 12.2, 12.3 et 15 RGPD. Toutefois, le constat relatif aux articles 12.2 et 12.3 n'entre pas en ligne de compte dans la détermination de la sanction étant entendu que ces deux dispositions n'étaient pas incluses dans la lettre par laquelle la Chambre contentieuse a invité les parties a conclure.
Discussion et décisions Cour des marchés
14. II incombe au responsable du traitement auprès de qui une demande d'accès est formee de traiter celle-ci et de lui apporter une réponse satisfaisante.
II incombe naturellement au service clientèle auprès de qui un client demande les coordonnées du DPD de lui communiquer immédiatement celles-ci. Y ne peut se défausser de ses obligations au motif que ces coordonnées étaient accessibles sur son site internet. Elles ne devaient d'ailleurs pas être si faciles a trouver, puisque l'operateur de son « chat » n'a pas réussi a donner cette information au Plaignant.
De même ii incombait a Y de donner suite à la demande d'accès en communiquant les informations demandées par le Plaignant. Elle ne peut justifier sa non-réponse par le fait qu'elle estimerait que le Plaignant disposait déjà de ces informations via la médiation menée par le Service de médiation des télécommunications. Cette médiation concernait la relation commerciale et les services d'Y. La demande d'accès formée le 25 janvier 2022 par le Plaignant avait un autre objet puisqu'elle était formée sous l’angle de l'accès a ses Données personnelles. En tout état de cause, si Y avait voulu refuser la demande d'accès pour cette raison, elle aurait dû le notifier au Plaignant (article 12.4. du RGPD).
15. La violation des articles 12.3 et 15 RGPD est établie, des lors qu'Y n'a répondu à la demande d'accès du Plaignant formée le 25 janvier 2022 que le 28 mars 2023, en lui fournissant les logs d'activité relatifs a son contrat pour toute l'année 2021, soit après 14 mois, bien au-delà du délai fixé par l’article 12.3 RGPD (délai d'un mois, éventuellement prolongeable de deux mois).
la non-réponse à la demande d'accès pendant une aussi longue période constitue une violation de l’article 15, combine avec l’article 12.3. du RGPD. la violation a l'article 12.2. du RGPD est aussi établie, Y n'ayant pas facilite l'exercice des droits du Plaignant, notamment par la non-réponse de son service clientele, incapable de même fournir au Plaignant les coordonnées du DPD.
De telles violations sont naturellement susceptibles de sanction. En vertu de l’article 83.5. b), les violations des droits des personnes concernées en vertu des articles 12 a 22 - ce qui inclut le cas d'espèce - peuvent (avec les autres violations visées) faire l'objet des amendes administratives des montants les plus hauts, de sorte qu'il s'agit de violations jugées particulièrement importantes par le législateur européen.
Vainement, la requérante croit-elle pouvoir invoquer l'autorité des arrêts de la Cour des marchés des 9 octobre 2019 (RG 2019/AR/1006, point 5.5.3) et 23 octobre 2019 (RG 2019/AR/1234, point 6.6.). le droit belge ne connait en effet pas le système du précèdent, qui est même proscrit par l’article 6 du Code judiciaire. Par ailleurs, ces arrêts n'ont pas la portée qu'elle leur assigne. Dans le premier arrêt, la Cour annule le constat de violation de l’article 12.3. du RGPD fait par la Chambre contentieuse au motif que le responsable du traitement avait déjà répondu à la demande juste avant l'entrée en vigueur du RGPD; dans le second, la phrase invoquée apparait surabondante, dans la mesure ou la Cour avait déjà constaté un défaut de motivation et un excès de pouvoirs conduisant a l'annulation de la décision en cause de la Chambre contentieuse.
16. Au vu de ce qui précède, les troisième et quatrième moyens de la Requérante ne sont pas fondes. En effet, en ce que la Décision a constaté la violation des articles 12.2., 12.3. et 15, elle est légalement justifiée.
CINQUIEME ET SIXIEME MOYENS D'Y (À TITRE SUBSIDIAIRE) : La Décision attaquée n'est pas légalement justifiée et viole l'article 100, §1 LCA en ne motivant pas la nécessité d'imposer une amende administrative au lieu d'autres sanctions possibles - la sanction infligée est disproportionnée
Quatrième et cinquième moyens de l'APD.
Résumé des positions des parties
17. Y fait valoir à titre subsidiaire que si les violations aux articles 12.2., 12.3. et 15 sont établies, encore la sanction imposée par la Décision n'est-elle pas motivée.
Dans son cinquième moyen, elle fait grief à la Décision de ne pas motiver la nécessité d'imposer une amende administrative au lieu d'autres sanctions plus legeres possibles (notamment: avertissement, réprimande).
La Requérante a fait valoir dans sa réaction à la proposition de sanction les circonstances particulières du cas d'espèce: une infraction ponctuelle et isolée, qui ne concerne que le Plaignant; le préjudice subi par le Plaignant est extrêmement limité (simple désagrément); la violation du RGPD concerne de simples données d'identification et non des données sensibles; la violation est due à une simple négligence dans le chef d'un membre du personnel du service clientèle d'Y; la violation a été corrigée depuis et le Plaignant a reçu une réponse a sa demande d'accès à ses données a caractère personnel et des mesures additionnelles ont été prises au sein d'Y afin éviter qu'une situation similaire se reproduise.
La Chambre contentieuse n'explique ou ne motive aucunement pourquoi une amende administrative serait la (seule) sanction possible en l'espèce et pourquoi d'autres sanctions ne seraient pas appropriées. La raisonnement de la Cour des marchés dans son arrêt du 27 janvier 2021 (RG 2020 /AR/1333, point 7.5.) s'applique, l’imposition d'une amende constitue un détournement de pouvoirs.
La Décision n'est dès lors pas légalement justifiée en ce qu'elle inflige une amende et viole l’article 100, §1, LCA.
Y soutient à titre subsidiaire, dans son sixième moyen, que l'amende de 100.000 € constitue une sanction disproportionnée.
Elle invoque les particularités du cas d'espèce (cfr supra), la caractère ponctuel et isole de la violation, le fait qu'elle résulte d'une simple négligence, et reproche à la Chambre contentieuse de ne pas avoir fait application de tous les critères prévus à l’article 83 § 2 du RPDB. En outre, les ressources humaines et financières dont dispose Y et le fait que le traitement des données à caractère personnel constitue une activité de base d'Y vu son activité dans les services de télécommunications ne sont pas de nature à conférer à la (prétendue) violation par négligence un caractère 'grave'.
À titre infiniment subsidiaire, elle demande la réduction du montant de l'amende à 5.000 €.
18. L' APD soutient que l'amende administrative infligée à Y est pleinement justifiée et motivée, tant sur le plan factuel que juridique. La Décision s'appuie bien sur les critères énoncés à l’article 83.2. du RGPD, la Chambre contentieuse n'étant pas tenue de détailler ou de chiffrer chacun de ces critères dans sa motivation. La Décision attaquée repose sur une appréciation complété et nuancée des circonstances de l'affaire.
La Requérante a violé l’article 15 du RGPD (droit d'accès) pendant une durée prolongée de 14 mois, ce qui révèle une négligence grave dans la gestion des droits des personnes concernées, d'autant plus inacceptable qu'Y, en raison de la nature de son activité, est censée disposer de procédures robustes pour traiter les demandes qui lui sont faites. La réponse tardive ne saurait excuser la violation initiale ni atténuer la gravité de l’infraction constatée. La durée de l'infraction et l’absence de diligence immédiate dans le traitement de la demande du Plaignant justifient à elles seules l’imposition d'une amende administrative, en tant que sanction proportionnée et dissuasive.
L' APD soutient aussi que le montant de l'amende est proportionnée à la nature, la gravité et la durée de la violation. L'amende n'a pas pour objet de compenser le désagrément du Plaignant, mais de sanctionner une infraction au RGPD, conformément a l’article 83 RGPD. Eu égard aux capacités financières et humaines de la Requérante, ainsi qu'à la circonstance que les traitements de Données a caractère personnel constituent l'une de ses activités de base, la négligence commise doit être considérée comme sérieuses. Cela est d'autant plus vrai que l'incapacité à répondre a une demande d'accès émise par le Plaignant s'est manifestée chez deux de ses employés. Le fait qu'il n'y aurait pas d'intention malveillante de la part d'Y n'est pas pertinent. Quant aux mesures additionnelles et politiques internes invoquées par Y, celles-ci, bien qu'elles puissent être utiles, ne garantissent pas la conformité totale, ni n'effacent la violation déjà commise.
En outre, l'APD n'a pas l'obligation de se prononcer sur l’ensemble des critères prévus a l’article 83 RGPD. Tous les éléments ont ainsi été dument considérés par la Chambre contentieuse, contrairement aux affirmations d'Y. Concernant le degré de responsabilité d'Y compte tenu des mesures techniques et organisationnelles mises en œuvre, la Chambre contentieuse constate qu'Y est entièrement responsable de la gestion des demandes des personnes concernées qu'elle reçoit, en ce compris le droit d'accès. Enfin, la comparaison avec d'autres sanctions prononcées par la Chambre contentieuse de I'APD est sans pertinence.
Discussion et décision Cour des marchés
19. Aux termes de l’article 58.2. du RGPD, l'Autorité nationale de contrôIe peut adopter différentes mesures correctrices, parmi lesquelles notamment un avertissement, un rappel à l'ordre, un ordre de mise en conformité ou une amende administrative « en complément ou à la place des [autres] mesures ».
Aux termes de l’article 83.1. du RGPD - Conditions générales pour imposer des amendes administratives « Chaque Autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent Règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cos, effectives, proportionnées et dissuasives. ».
Aux termes de l’article 100 LCA, la Chambre contentieuse de I’APD a le pouvoir de prendre une série de mesures, parmi lesquelles « 5 °. Formuler des avertissements et des réprimandes », et « 13 ° donner des amendes administratives ». Selon l’article 101 LCA, la chambre contentieuse peut décider d'infliger une amende administrative selon les principes généraux vises à l’article 83 RGPD; selon l’article 102 LCA, la décision d'imposer une amende est motivée.
l'économie générale du RGPD indique que le législateur a voulu offrir à l'Autorité un panel de sanctions a appliquer en fonction de chaque cas d'espèce, dont l’imposition d'amendes administratives en application de l’article 83 de ce Règlement, « en complément ou à la place» des autres mesures correctrices énumérées à cet article 58, paragraphe 2 (avertissements, rappels à l'ordre, injonctions).
le considérant 148 du RGPD énonce aussi qu'il est permis aux Autorités de contrôle, lorsqu'il s'agit d'une violation mineure ou si l'amende administrative susceptible d'être imposée constitue une charge disproportionnée pour une personne physique, de s'abstenir d'imposer une amende administrative et, à sa place, de prononcer un rappel a l'ordre.
le but fondamental de la législation, tant européenne que beige, n'est en effet pas de sanctionner en infligeant des amendes pour le moindre manquement aux prescrits légaux. l'objectif est d'assurer l'effectivité du droit sur la protection des données.
II appartient à la Chambre contentieuse de justifier sa décision d'infliger une amende administrative au vu des dispositions qui précèdent et au vu de l’appréciation concrété des circonstances de la cause.
20. la Décision attaquée retient des violations aux dispositions suivantes du RGPD : 12.2., 12.3 et 15. Elle indique ne retenir que la violation a l’article 15 pour justifier l'amende.
En tout état de cause, les constats de violation des articles 12.2. et 12.3. y étaient intimement liés.
la Requérante a violé l’article 15 du RGPD en ne donnant pas la suite qu'il convenait à la demande d'accès du Plaignant formée le 25 janvier 2022, dès lors qu'elle n'y a répondu que le 28 mars 2023. II existait encore jusqu'a l’audition devant la Chambre contentieuse un débat sur le point de savoir si la réponse du 28 mars 2023 était adéquate - des lors que le Plaignant critiquait le fait que la Requérante avait anonymise les noms de ses employés ayant eu accès aux Données du Plaignant - mais la Décision attaquée a estimé que cette réponse était satisfaisante au regard de l’article 15 du RGPD, les droits et libertés des employés de la Requérante devant prévaloir sur le droit du Plaignant a accéder a leur identité. Ce point n'est pas conteste devant la Cour.
la Requérante n'a donc répondu à la demande d'accès qu'après 14 mois, et après le démarrage de la procédure devant la Chambre contentieuse.
La Chambre contentieuse a motivé comme suit sa décision de prononcer une amende administrative :
« En l'espèce, l'amende administrative se justifie par le fait que la défenderesse, dont le chiffre d'affaire est établi à (. .. EUR) pour l'année 2023, a violé l’article 15 du RGPD durant une période de 14 mois. Cette violation a été provoquée par l'incapacité de deux employés de la défenderesse a traiter convenablement la demande d'accès formulée par le plaignant, dénotant ainsi d'une négligence grave - et cela malgré le fait que le traitement de Données à caractère personnel constitue une de ses activités de base. Par ailleurs, la Chambre Contentieuse tient compte du fait que bien que la défenderesse ait fini par donner à la demande d'accès du plaignant une réponse satisfaisante, cette dernière a pris cours lors de l'échange de conclusions des parties. Ces éléments - davantage développés ci-dessous - justifient d'infliger une amende administrative, plutôt qu'une sanction plus faible telle l'avertissement ou la réprimande" (Décision attaquée, § 63).
La Décision de prononcer une amende est donc motivée. Elle est aussi légalement justifiée. La Requérante n'établit pas que, alors que la Chambre contentieuse jouit d'une marge d'appréciation dans le choix des mesures qu'elle peut prendre en cas de violation du RGPD, elle aurait commis une erreur manifeste d'appréciation en faisant le choix d'infliger une amende, en tenant compte notamment de la durée de l’infraction, du fait que la violation concerne le droit d'accès et qu'elle n'y a finalement fait droit qu'en cours de procédure.
La Chambre contentieuse est restée, ce faisant, dans les marges de son pouvoir d'appréciation.
Infliger une amende constitue une mesure efficace de sanction et de prévention.
Vainement, la Requérante invoque-t-elle l'Autorité d'un arrêt de la Cour des marchés du 27 janvier 2021 (RG 2020/AR/1333). Outre que, comme indiqué précédemment, les arrêts n'ont pas de force de précèdent (cfr supra et article 6 du Code judiciaire), l'arrêt en question rejette le moyen critiquant la décision d'infliger une amende, et n'accueille que le moyen invoquant une disproportion du montant de l'amende.
En tout état de cause, l'amende doit être justifiée chaque fois par l'Autorité en fonction des circonstances particulières de la cause, ce qui rend difficile la comparaison entre les décisions de l'Autorité ou de la Cour des marchés quant au montant d'une amende. Ainsi, ii est difficile de comparer la situation de la Requérante, entreprise de télécommunications de grande taille, avec celle de la personne physique responsable de traitement dans l'affaire ayant donné lieu à l'arrêt de la Cour des marchés du 27 janvier 2021 précité.
21. II reste a examiner si le montant de l'amende est justifié, tenant compte des principes et règles applicables et rappelés ci-avant, en particulier le principe que l'amende doit être effective, proportionnée et dissuasive.
Le principe de proportionnalité exige que la mesure adoptée ne dépasse pas les limites de ce qui est nécessaire à la réalisation des objectifs légitimes poursuivis par la Règlementation.
Des lors que le respect de ces principes conditionne la légalité de l'amende, la Cour dispose d'un plein pouvoir pour apprécier le respect de ces principes et plus largement des conditions de l'article 83 du RGPD. Ce droit de contrôle doit, en particulier, permettre à la Cour d'examiner si la peine n'est pas disproportionnée par rapport à l’infraction, de sorte que la Cour peut examiner si la Chambre contentieuse de I'APD pouvait raisonnablement imposer une sanction administrative d'une telle ampleur.
22. En ce qui concerne la nature, la gravite et la durée de la violation, il s'agit de la violation prolongée {plus d'un an) du droit d'accès vise à l’article 15 du RGPD, des lors que la Décision soutient que la sanction est fondée sur cette seule violation.
Une violation n'a été constatée que par rapport a un plaignant unique.
En ce qui concerne le dommage subi, le Plaignant n'a pas signalé de dommage spécifique. II est permis qu'il s'agit du désagrément cause par le fait qu'il n'a pas été répondu dans les temps a sa demande d'accès. Une fois cette demande répondue, le Plaignant n'a, au vu des éléments soumis à la Cour, pas effectue de nouvelle demande fondée sur le RGPD.
Aucun élément n'établit que les violations auraient été délibérément commises par la Requérante. Comme le reconnait la Décision, il s'agit de violations résultant de négligences commises par deux préposes de la Requérante (ses employés répondant au «chat» qu'elle organise). II peut être considéré qu'il s'agit de simples négligences; le caractère « sérieux » des négligences n'est pas établi, même si les négligences ne peuvent pas être considérées comme anodines.
La Requérante n'a pas pris de mesures spécifiques pour atténuer le dommage, mais celui-ci était limite, comme indique ci-avant.
II n'est pas établi que la Requérante aurait précédemment commis d'autres violations au RGPD.
Les données personnelles concernées ne font pas partie d'une catégorie de données jouissant d'une protection particulière.
La Requérante a adéquatement coopéré avec I’APD et a répondu à la demande du Plaignant dans le cours de la procédure, avant l’audition.
Comme relève par la Décision, la Requérante a invoque comme élément nouveau dans son formulaire en réponse au projet de sanction qu'elle avait adopté des mesures additionnelles en internes, en particulier l'organisation de formations adéquates pour son personnel, pour éviter que des négligences similaires se reproduisent. Elle a aussi fait valoir qu'il s'agissait d'un incident vraiment isolé, alors qu'elle reçoit en moyenne 150 demandes d'accès par an.
Ces éléments doivent être pris en compte.
Au vu de l’ensemble de ces éléments, le montant de 100.000 € pour l'amende inflige par la Décision est manifestement disproportionné : le montant dépasse les limites de ce qui était nécessaire aux fins d'assurer les objectifs de prévention et de sanction, s'agissant en particulier d'une violation isolée d'une disposition du RGPD, et résultant d'une négligence et non d'un acte intentionnel.
Partant, le moyen est fondé, et justifie l'annulation de la Décision en ce que celle-ci inflige une amende de 100.000 €.
23. En vertu de son pouvoir de pleine juridiction, la Cour des marchés peut, après avoir annulé la Décision du fait du caractère disproportionné de l'amende (cfr supra), procéder a un nouvel examen pour déterminer elle-même le montant de l'amende, par application des dispositions légales applicables, en particulier les articles 100 a 102 de la LCA et 83 du RGPD.
La Décision a, a raison, qualifié de « faible » le degré de gravité de la violation, selon la classification proposée par les Lignes directrices 04/2022 de l'EDPB sur le calcul des amendes administratives au titre du RGPD (version du 24 mai 2023), avec pour conséquence que, selon ces Lignes directrices, le montant de départ pour le calcul de l'amende est compris entre 0 et 10 % du montant maximal légal applicable.
Le montant maximal de l'amende s'élevé dans le cas d'espèce, selon l’article 83.5 du RGPD, au plus élevé de 20.000.000 € ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précèdent, soit [montant] € (4 % de [montant] €, selon les chiffres utilises par la Décision, non critiqués a ce titre).
Pour une violation faible, le montant de la fourchette se situe partant, selon les Lignes directrices précitées, entre 0 et 10% de ce montant maximal, soit entre 0€ et [montant] €.
Dès lors qu'il s'agit d'une infraction isolee a une disposition du RGPD (article 15), commise par simple négligence, et tenant compte des autres éléments relevés ci-avant, en particulier le fait que la Requérante a mis fin à la violation durant le cours de la procédure et avant l’audition devant la Chambre contentieuse, ii y a lieu de rester dans le bas de la fourchette esquissée ci-avant, étant entendu que la gravite intrinsèque de toute violation au RGPD est déjà prise en compte dans la décision de fixer une amende.
II n'apparaît pas, dans les circonstances de l'espèce, que la hauteur du chiffre d'affaires de la Requérante ou la nature de ses activités dans les télécommunications, qui suppose une activité de traitement des données, justifie une autre décision.
Pour tenir compte de l’ensemble des circonstances de l'espèce telles que relevées ci-avant ainsi que du caractère effectif, proportionne et dissuasif, la Cour fixe le montant de l'amende à 5.000 €.
VI. Dépens
24. Chaque partie succombant sur quelque chef de demande, les dépens seront compensés.
PAR CES MOTIFS,
LA COUR DES MARCHÉS,
Vu les dispositions de la loi du 15 juin 1935 sur l'emploi des langues en matière judiciaire,
Statuant contradictoirement,
Reçoit le recours,
Le dit partiellement fondé, comme suit,
Annule la Décision attaquée nr. 107/2024 rendue le 23 août 2024 par la Chambre Contentieuse de l'Autorité de protection des Données (ci-après « l'APD » ), dans le dossier DOS- 2022-0240 en ce qu'elle impose une amende administrative d'un montant de 100.000 € à Y pour la violation de l’article 15 du RGPD,
Faisant usage de son pouvoir de réformation, fixe le montant de l'amende administrative à 5.000 € pour la violation de l’articles 15 du RGPD,
Déboute Y du surplus de sa demande,
Compense entièrement les dépens entre les parties, chaque partie supportant ses propres dépens,
Condamne Y à payer au profit du SPF Finances la moitié des droits de mise au rôle dus en appel, soit 200 €, conformément à l’article 2692 § 1er , du Code des droits d'enregistrement, d'hypothèque et de greffe;
Dit que l'autre moitié incombe à l'APD, mais constate que celle-ci en est dispensée, par l'effet des articles 279, 1°et 161, 1° bis du Code des droits d'enregistrement, d'hypothèque et de greffe.
Ainsi jugé et prononcé à l’audience civile publique de la 19eme chambre A de la cour d'appel de Bruxelles, section Cour des marchés, le 22 janvier 2025.
Ou étaient présents :
C. VERBRUGGEN, Conseiller, ff. président
A.-M. WITTERS, Conseiller,
A. BOSSUYT, Conseiller,
D.GEULETTE, Greffier,
Document PDF ECLI:BE:CABRL:2025:ARR.20250122.1
Publication(s) liée(s)
précédé par:
ECLI:BE:GBAPD:2024:DEC.20240823.1
citant:
ECLI:BE:CASS:2020:ARR.20200914.3F.5
ECLI:BE:CASS:2023:ARR.20231106.3N.8