ECLI:BE:GBAPD:2024:DEC.20241204.2

Chambre Contentieuse Décision quant au fond 150/2024 du 4 décembre 2024 Numéro de dossier : DOS-2019-01738 Objet : utilisation de données à caractère personnel de membres et de stagiaires de l'IPCF La Chambre Contentieuse de l'Autorité de protection des données, composée de Monsieur Hielke HIJMANS, président, et de Messieurs Frank De Smet et Jelle Stassijns, membres ; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après "RGPD" ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données 1, ci-après "LCA" ; Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ; Vu les pièces du dossier ; A pris la décision suivante concernant : Le plaignant : X, ci-après "le plaignant" ; Le défendeur : L'Institut des Conseillers fiscaux et des Experts-comptables (ITAA), en tant que successeur en droit de l'Institut Professionnel des Comptables et Fiscalistes agréés (IPCF) depuis la loi du 17 mars 2019 (entrée en vigueur le 30 septembre 2020), dont le siège social se situe Avenue Émile Jacqmain 135/2 à 1000 Bruxelles, ayant pour numéro d’entreprise 0737.810.605, représenté par les conseils Me Ingrid De Poorter et Me Steven De Grave, ci-après "le défendeur". I. Faits et procédure 1. Le 20 mars 2019, le plaignant introduit une plainte auprès de l'Autorité de protection des données contre le défendeur, en demandant explicitement de préserver son anonymat lors du traitement de la plainte. 2. L'objet de la plainte concerne la façon dont le défendeur, une organisation professionnelle, traite les données à caractère personnel de ses membres et de ses stagiaires. Le défendeur a publié les données à caractère personnel des membres et des stagiaires via un moteur de recherche public sur son application web. Le défendeur aurait utilisé les données de ses membres et stagiaires au cours de la période précédant les élections organisées au sein de l'organisation professionnelle, ce à des fins de marketing direct sous la forme, entre autres, de l'envoi d'e-mails de propagande électorale par divers candidats pour les élections au sein de l'organisation professionnelle ainsi que pour des invitations à des événements avec des sociétés commerciales. 3. Le 12 juin 2019, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA. 4. Le 27 juin 2019, conformément à l’article 96, § 1 er de la LCA, la demande de la Chambre Contentieuse de procéder à une enquête est transmise au Service d’Inspection, de même que la plainte et l’inventaire des pièces. 5. Le 10 mars 2020, l’enquête du Service d’Inspection est clôturée, le rapport est joint au dossier et celui-ci est transmis par l’inspecteur général au président de la Chambre Contentieuse (article 91, § 1er et § 2 de la LCA). Le rapport contient, en résumé, les constatations suivantes : • La publication des données à caractère personnel des membres et stagiaires via le moteur de recherche sur le site Internet ne repose sur aucune base juridique suffisante, tel que requis en vertu de l'article 6 du RGPD et du principe de loyauté y afférent (article 5.1.a) du RGPD). • Les données à caractère personnel des membres et stagiaires ont été utilisées de manière impropre par plusieurs candidats dans le cadre des élections au sein de l'organisation du défendeur, ce qui constitue une violation de l'article 4. 12) juncto l'article 33 du RGPD. • L'envoi par le défendeur d'informations sans but commercial sous la forme de lettres d'information internes ou externes ou l'envoi d'invitations à des événements (en collaboration ou non avec un partenaire commercial externe) relève de la notion générale de marketing direct. Le Service d'Inspection constate que les personnes concernées n'ont pas été suffisamment informées de leur droit d'opposition, avec pour conséquence une violation des articles 12 et 21.3 du RGPD. D'après le Service d'Inspection, le défendeur invoque une double (triple) base juridique pour l'envoi de communications non sollicitées, ce qui n'est pas conforme à l'article 6 du RGPD et au principe de loyauté y afférent (article 5.1 a) du RGPD). • Le Service d'Inspection constate qu'il est question d'une fuite de données et, partant, d'une violation des dispositions suivantes : l'article 32 du RGPD juncto l'article 5.2 du RGPD et l'article 33.5 du RGPD. • L'absence de contrats de sous-traitance avec les éditeurs de publications amène le Service d'Inspection à constater l'existence d'une violation de l'article 28.3 du RGPD. • En l'absence de désignation d'un délégué à la protection des données, il y a violation de l'article 37 du RGPD. 6. Le 20 novembre 2020, la Chambre Contentieuse décide, sur la base de l'article 95, § 1 er, 1° et de l'article 98 de la LCA, que le dossier peut être examiné sur le fond et informe les parties concernées par envoi recommandé des dispositions telles qu'énoncées à l'article 95, § 2 et à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions. La date limite pour la réception des conclusions en réponse du plaignant a été fixée au 11 décembre 2020 et celle pour les conclusions en réplique du défendeur au 4 janvier 2021. 7. Le 27 novembre 2020, le défendeur accepte de recevoir toutes les communications relatives à l'affaire par voie électronique et manifeste son intention de recourir à la possibilité d'être entendu, ce conformément à l'article 98 de la LCA. Le défendeur demande également une copie du dossier (art. 95, § 2, 3° de la LCA), qui lui a été communiquée le 4 décembre 2020. 8. Le 7 décembre 2020, la Chambre Contentieuse reçoit par e-mail la communication du plaignant selon laquelle il ne souhaite rien ajouter au dossier. 9. Le 30 décembre 2020, la Chambre Contentieuse reçoit les conclusions en réplique de la part du défendeur. Le défendeur y expose essentiellement ses arguments quant aux bases juridiques qu'il invoque tant pour la publication des données à caractère personnel des membres et des stagiaires par le biais du moteur de recherche public que pour l'envoi de lettres d'information. Quant aux e-mails de propagande électorale envoyés par divers candidats aux élections au sein de l'organisation professionnelle, le défendeur affirme ne pas y être associé. Par ailleurs, le défendeur aborde les constatations du Service d'Inspection relatives à la fuite de données qui se serait produite, ainsi que la conclusion d'un contrat de sous-traitance avec des éditeurs et la désignation d'un délégué à la protection des données. 10. Le 13 novembre 2023, les parties sont informées du fait que l'audition aura lieu le 7 décembre 2023.. 11. Le 5 décembre 2023, la Chambre Contentieuse demande aux parties de lui transmettre les justificatifs si des changements sont intervenus depuis le dépôt du rapport d'inspection, attestant que le défendeur a pris des mesures pour répondre aux constatations du Service d'Inspection. À cette occasion, le défendeur reçoit la possibilité d'introduire des conclusions complémentaires. Le délai pour ces conclusions est fixé au 19 décembre 2023 au plus tard. Le plaignant aura alors ensuite la possibilité d'y répliquer pour le 5 janvier 2024 au plus tard, avec une dernière possibilité de réplique pour le défendeur le 19 janvier 2024 au plus tard. 12. Le 5 décembre 2023, le plaignant indique qu'il souhaite garder l'anonymat et qu'il renonce à participer à l'audition. Il n'ajoute pas non plus de nouveaux éléments au dossier. 13. Le 5 décembre 2023, le défendeur demande une prolongation du délai afin de fournir des explications complémentaires. 14. Suite à cette demande du défendeur, la Chambre Contentieuse prévoit, le 6 décembre 2023, une nouvelle date d'audition fixée au 6 février 2024, ainsi qu'une nouvelle date pour l'introduction de conclusions complémentaires par le défendeur, fixée au plus tard au 8 janvier 2024, avec la possibilité pour le plaignant d'y répliquer au plus tard le 19 janvier 2024 et pour le défendeur de le faire au plus tard le 31 janvier 2024. 15. Le 8 janvier 2024, la Chambre Contentieuse reçoit les conclusions complémentaires du défendeur dans lesquelles l'actuelle politique de traitement des données de l'ITAA en tant que successeur en droit est expliquée à la lumière des constatations du passé. Ces conclusions ne sont suivies d'aucune réplique du plaignant et par conséquent d'aucune réplique supplémentaire du défendeur. 16. Le 6 février 2024, le défendeur est entendu par la Chambre Contentieuse. 17. Le 12 février 2024, le procès-verbal d'audition est transmis aux parties, conformément à l'article 54 du règlement d'ordre intérieur.2 Bien qu'en tant que partie présente à l'audition, le défendeur puisse formuler des remarques écrites afin de les faire joindre au procès-verbal, la Chambre Contentieuse n'a reçu aucune remarque concernant le procès-verbal. II. Motivation a) Base juridique - Moteur de recherche public 18. Dans la première partie de la plainte, le plaignant soutient que le défendeur a publié les données à caractère personnel des membres et des stagiaires sur son application web via un moteur de recherche public. Le plaignant affirme qu'il n'a jamais donné son consentement explicite au défendeur pour la publication sur le site Internet de ce dernier de ses données à caractère personnel en tant que membre obligatoire de l'organisation du défendeur. 19. Dans son rapport, le Service d'Inspection souligne qu'en ce qui concerne la publication des données à caractère personnel des membres, le défendeur invoque plusieurs bases juridiques pour un même traitement, à savoir l'article 6.1 a), 6.1 c) et 6.1 f) du RGPD. 20. L'enquête du Service d'Inspection a en effet mis en lumière que le défendeur se base sur l'obligation légale (article 6.1 c) du RGPD) pour publier des données enregistrées dans son registre interne et se réfère à cet effet en particulier à l'article 44, paragraphe 5 de la loi du 22 avril 1999 relative aux professions comptables et fiscales 3. Le Service d'Inspection constate à cet égard que, si la disposition précitée constitue certes une base légale pour le traitement des données à caractère personnel des membres et des stagiaires sous la forme d'un traitement automatisé, il n'existe cependant pas de base légale suffisante pour la publication de ces données à caractère personnel dans un registre public, consultable via le moteur de recherche public. 21. Le rapport du Service d'Inspection indique également que la déclaration de confidentialité mentionne une autre base juridique pour la publication de ces mêmes données à caractère personnel, à savoir l'intérêt légitime du défendeur (article 6.1 f) du RGPD). 22. Suite à l'enquête du Service d’Inspection concernant l'utilisation des données à caractère personnel reprises dans le registre public pour l'élection des membres du défendeur (voir ci-après), le défendeur a informé le Service d’Inspection qu'à l'avenir, le consentement préalable (article 6.1 a) du RGPD) serait demandé à tous les membres avant de publier leurs données et de les rendre consultables sur le moteur de recherche public. 23. Le défendeur a expliqué dans ses conclusions en réponse que l'enregistrement des données à caractère personnel (nom, lieu d'exercice de la profession et données de contact) dans le registre interne du défendeur était uniquement basé sur l'obligation légale du défendeur à cet égard en tant qu’organisation professionnelle en vertu de l'article 44 de la loi du 22 avril 1999 relative aux professions comptables et fiscales. 24. En ce qui concerne la publication par le biais du moteur de recherche, le défendeur indique que tant pour la publication du nom et du lieu d'exercice de la profession que pour celle des données de contact professionnelle des personnes concernées, le traitement était initialement basé sur ses obligations légales. Suite aux constatations du Service d'Inspection, la base juridique a toutefois été modifiée. Après la modification, la publication des données à caractère personnel par le biais du moteur de recherche qui, selon le défendeur, constitue un traitement distinct, est fondée sur la base juridique de l'intérêt légitime en ce qui concerne le nom et le lieu d'exercice de la profession des personnes concernées. La publication des données de contact des personnes concernées a été supprimée après que le Service d’Inspection ait constaté que les données de contact étaient utilisées dans le cadre de l'organisation d'élections internes au sein du défendeur. À partir de ce moment-là, la publication des données de contact des personnes concernées n'a plus été possible qu'avec le consentement préalable de la personne concernée. Le défendeur souligne qu'une base juridique distincte est utilisée pour la publication, celle-ci constituant un processus de traitement distinct. 25. À cet égard, la Chambre Contentieuse observe que la base juridique a donc été modifiée par le défendeur post factum. La Chambre Contentieuse souligne qu’en raison de l’obligation de fournir, au moment de la collecte des données à caractère personnel, la base juridique invoquée par le responsable du traitement (article 13.1 c) du RGPD), le défendeur doit décider, avant d’entamer le traitement de données, quelle est la base juridique de celui-ci4. 26. La Chambre Contentieuse constate qu'au moment des faits qui font l'objet de la plainte, le défendeur utilisait l'article 6.1 c) du RGPD comme base juridique, plus précisément les obligations légales qui lui étaient applicables en tant qu'organisation professionnelle. Concrètement, le défendeur invoquait à cet égard les articles 44 et 46 de la loi du 22 avril 1999, en combinaison avec l'article 3 de la loi du 25 février 2023 modifiant la loi précitée, qui imposent légalement au défendeur de tenir le tableau des comptables agréés et des comptables-fiscalistes agréés ainsi que la liste des comptables stagiaires et des comptables-fiscalistes stagiaires. Sur cette base, le défendeur a procédé à la tenue d'un registre des personnes susmentionnées exerçant la profession, sous la forme d'un fichier informatique consultable au siège du défendeur. En prévision du nouveau Règlement d'Ordre Intérieur de 2002, le défendeur a transformé la partie publique du registre, qui était jusqu'alors disponible au siège, en un module web. Selon le défendeur, ce changement était motivé par le fait que de plus en plus de personnes non agréées se présentaient comme comptables ou fiscalistes et que dans ce contexte, le moteur de recherche public visait à protéger le client (potentiel) à la lumière de la finalité énoncée à l'article 46 de la loi du 22 avril 1999 5. Le défendeur fait valoir que la simple mise à disposition du registre au siège ne permettait en effet plus d'atteindre cette finalité prédéfinie. 27. La Chambre Contentieuse souligne que les dispositions légales telles qu'elles étaient applicables au moment de la plainte et que le défendeur invoque n'imposent pas l'obligation de publier les données à caractère personnel en question en tant que telles et de les rendre ainsi consultables via un moteur de recherche. L'article 44 oblige uniquement le défendeur à tenir le tableau des comptables et des comptables-fiscalistes agréés, ainsi que la liste des stagiaires. L'article 46 de cette même loi dispose que personne ne peut exercer cette profession sans être inscrit sur le tableau ou sur la liste des stagiaires. 28. Le défendeur estimait ces dispositions légales suffisantes pour baser le moteur de recherche public sur l'article 6.1.c) du RGPD. À cet égard, le défendeur argumente que de plus en plus de personnes se présentaient comme comptables ou fiscalistes sans disposer de l'agrément requis. En outre, les clients potentiels recherchaient de plus en plus souvent un comptable via Internet, ce qui d'un point de vue social augmentait considérablement le risque de travailler avec un comptable ou un fiscaliste non agréé. Afin de protéger la profession et les clients potentiels, le moteur de recherche public était le plus approprié pour le défendeur, étant donné que selon lui, le fait de simplement tenir le registre à disposition au siège du défendeur ne rencontrait plus la finalité visée par le législateur (articles 44 et 46 de la loi du 22 avril 1999). 29. En ce qui concerne la base juridique reprise à l'article 6.1 c) du RGPD, la Chambre Contentieuse attire l'attention sur le fait que celle-ci ne s'applique que s'il est question d'un traitement de données nécessaire à l'exécution d'une obligation légale dans le chef du responsable du traitement. Cela signifie que le respect de cette obligation impose au responsable du traitement de procéder au traitement des données sans disposer d'une quelconque liberté de choix à cet égard. À la lumière de ces éléments, il est important de se référer au considérant 41 du RGPD6 qui prévoit qu'une mesure législative doit être claire, précise et son application prévisible pour les personnes auxquelles elle s'applique. Plus précisément, le considérant 45 du RGPD 7 prévoit qu'une même disposition légale servant de base à plusieurs traitements peut suffire. 30. La législation applicable doit également définir la finalité du traitement et peut également préciser les conditions générales du RGPD que le traitement des données à caractère personnel doit respecter pour être licite, ainsi qu'établir des spécifications visant à déterminer le responsable du traitement, le type de données à caractère personnel faisant l'objet du traitement, les personnes concernées, les entités auxquelles les données à caractère personnel peuvent être communiquées, les limitations de la finalité, la durée de conservation et d'autres mesures visant à garantir un traitement licite et loyal (article 6.3 du RGPD)8. 31. La Chambre Contentieuse souligne à cet égard que conformément à l'article 6.3 du RGPD précité, lu conjointement avec l'article 22 de la Constitution, et à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, une norme législative doit définir les caractéristiques essentielles d'un traitement de données, nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. La Chambre Contentieuse souligne que le traitement en question doit être encadré par une norme suffisamment claire et précise dont l’application est prévisible pour les personnes concernées. À cet égard, la Chambre Contentieuse souligne toutefois que les missions d'intérêt public ou relevant de l'exercice de l'autorité publique dont sont investis les responsables du traitement ne sont souvent pas basées sur des obligations ou des normes législatives circonscrites avec précision, plus précisément la définition des caractéristiques essentielles du traitement de données. Les traitements ont plutôt lieu sur la base d'une autorisation d'agir plus générale, tel que c'est nécessaire pour l'accomplissement de la mission. Il en résulte que dans la pratique, la base légale en question ne contient souvent aucune disposition décrivant concrètement les traitements de données nécessaires. Les responsables du traitement qui souhaitent invoquer l'article 6.1.e) du RGPD sur la base d'une telle base légale doivent alors effectuer eux-mêmes une pondération entre la nécessité du traitement pour la mission d'intérêt public et les intérêts des personnes concernées9. 32. Sur la base de ce qui précède, la Chambre Contentieuse considère que les dispositions légales (les articles 44 et 46 de la loi du 22 avril 1999) invoquées par le défendeur se limitent à déterminer la finalité du registre des personnes exerçant la profession, à savoir la tenue du tableau des comptables agréés et des comptables-fiscalistes agréés, ainsi que de la liste des comptables stagiaires et des comptables-fiscalistes stagiaires. Comme le défendeur le fait valoir, ces dispositions ont pour objet de soumettre l'exercice de la profession à une déontologie stricte et à des conditions d'agrément qui garantissent, promeuvent et protègent la qualité, le professionnalisme et la relation de confiance avec le (futur) client. Le registre public doit y contribuer. Toutefois, la Chambre Contentieuse constate que les dispositions légales en question ne contiennent aucune indication obligeant le défendeur à publier le registre des professionnels concernés en ligne via le moteur de recherche. Au contraire, le défendeur a procédé à la publication uniquement sur la base d'une pondération qu'il a effectuée lui-même, ce qu'il reconnaît d'ailleurs dans les conclusions en réponse. Le défendeur indique expressément à cet égard que le législateur lui-même n'a prévu aucune modalité claire quant à la forme du registre et à la manière dont il devait être consultable pour atteindre la finalité visée. Le défendeur a procédé à la publication parce qu'il a estimé qu'à l'époque actuelle, la disponibilité du registre au siège ne permettait pas d'atteindre l'objectif visé. Le défendeur n'a donc pas agi sur la base d'une obligation imposée par le législateur. 33. Par conséquent, la Chambre Contentieuse doit conclure que l'article 6.1 c) du RGPD ne pouvait servir de base à la publication des données des personnes exerçant la profession de comptable ou de comptable-fiscaliste. La base juridique correcte sur laquelle l'IPCF devait s'appuyer était l'exécution de la mission d'intérêt public dont il a été investi (article 6.1 e) du RGPD), et non l'intérêt légitime (article 6.1 f) du RGPD) sur lequel il pensait ensuite pouvoir fonder la publication des données à caractère personnel via le moteur de recherche, suite à l'intervention du Service d'Inspection. Non seulement une base juridique ne peut pas être modifiée a posteriori10, mais une organisation ne peut pas non plus invoquer l'intérêt légitime comme base juridique dans le cadre de l'exercice de ses missions d'intérêt public, si toutes les conditions de l'article 6.1 e) du RGPD ne sont pas remplies. 34. La Chambre Contentieuse ne méconnaît toutefois pas le fait que le législateur a remédié à cette imperfection, à savoir l'absence de disposition dans la loi obligeant le défendeur à publier le registre des professionnels concernés en ligne via le moteur de recherche, par la loi du 17 mars 2019 relative aux professions d'expert-comptable et de conseiller fiscal. Par ce biais, le défendeur a officiellement fusionné avec l'Institut des Conseillers fiscaux et des Experts-comptables (ITAA), instauré par l'article 61 de la loi précitée. Sur cette base, l'ITAA a été subrogé dans les droits et obligations du défendeur. L'ITAA peut désormais invoquer sa mission, laquelle est ancrée dans une norme légale (article 6.1 c) du RGPD) conformément à l'article 6.3 RGPD. La mission de l'ITAA est explicitement décrite à l'article 62 de la loi du 17 mars 201911, comprenant des dispositions spécifiques relatives à la protection des données. Ainsi, à l'article 62, § 2 de cette loi, l'ITAA est désigné comme étant le responsable du traitement et en cette qualité, il est donc tenu de respecter les dispositions du RGPD, incluant la désignation obligatoire d'un délégué à la protection des données. L'article 62, § 2 en question mentionne aussi explicitement les finalités du traitement de données. En outre, le registre public est également régi en détail dans les articles 29 à 35 de la loi du 17 mars 2019, avec une attention particulière pour les catégories de données à caractère personnel reprises dans le registre et leur délai de conservation. En outre, le registre public doit être tenu sous la forme d'une base de données électronique et les données qu'il contient doivent être rendues publiques conformément à l'article 10 de l'arrêté royal du 11 septembre 202012. 35. Suite à l'intervention législative, la structure existante a été modernisée et adaptée au contexte actuel. Entre autres, les règles relatives à l'accès à la profession ont été mieux adaptées aux contraintes sociales. Spécifiquement en ce qui concerne le registre public, l'Exposé des motifs de la loi du 17 mars 2019 prévoit que le registre public vise d'une part à offrir aux entreprises la garantie que le professionnel inscrit a la qualité pour exercer les activités ou, en d’autres termes, qu’il dispose de toutes les qualifications professionnelles requises pour cet exercice, et d'autre part à permettre aux clients potentiels de consulter le registre public pour entrer en contact avec des personnes exerçant les activités professionnelles13. 36. Si ces finalités sont similaires à celles poursuivies par le défendeur (voir le point 26), il est néanmoins entendu que le défendeur ne peut se substituer au législateur et anticiper toute initiative législative. Par conséquent, la Chambre Contentieuse estime que le défendeur a agi de manière illicite en s'appuyant sur des dispositions légales qui n'imposaient aucune obligation de procéder à la publication des données à caractère personnel des personnes concernées et de les rendre accessibles via un moteur de recherche. Bien qu'en tant que tel, le défendeur ait commis une violation du RGPD en ce qui concerne la base juridique requise (l'article 6 du RGPD), la Chambre Contentieuse n'y associe exceptionnellement pas de sanction et prononce un non-lieu à l'égard du défendeur. En effet, suite à l'intervention du législateur, il existe bien dans le chef du défendeur, depuis le 30 septembre 2020 14, l'obligation expresse de tenir le registre public sous la forme d'une base de données électronique et de rendre publiques les données spécifiées des personnes concernées. Compte tenu du cadre législatif dans lequel le défendeur traite les données à caractère personnel des personnes concernées depuis le 30 septembre 2020, la publication des données pertinentes sur le site Internet a désormais lieu en vertu de l'article 6.1 c) du RGPD. - Élections 37. La deuxième partie de la plainte porte sur le fait que le plaignant a été contacté sur son adresse e-mail professionnelle par plusieurs candidats aux élections au sein de l'organisation du défendeur. 38. Suite à l'enquête du Service d'Inspection à cet égard, le défendeur a fait savoir que les informations du tableau, qui peut être consulté en ligne, ont été utilisées par les candidats aux élections pour écrire aux membres disposant du droit de vote dans le cadre des élections. Le Service d'Inspection affirme que cette constatation a pour effet qu'il est question d'une violation de l'obligation de sécurité du traitement des données (article 32 du RGPD) et de l'obligation de notification des fuites de données (articles 32-33 du RGPD). 39. Sur la base des constatations du Service d'Inspection, le défendeur a notifié la fuite de données le 29 novembre 2019, ce à quoi l'Autorité de protection des données a réagi le 4 décembre 2019 en indiquant que l'enquête sur cette fuite de données ne devait pas être poursuivie, sans motivation plus précise de cette décision. 40. Suite à la demande d'informations adressée par le défendeur à l'ensemble des candidats aux élections, plusieurs candidats ont confirmé que, directement ou indirectement (par le biais d'associations professionnelles), des informations du tableau disponible en ligne ont été utilisées pour écrire aux membres disposant du droit de vote dans le cadre des élections. La copie globale des données de contact sur le site Internet du défendeur étant impossible en raison d'un "captcha" à chaque recherche, plusieurs candidats et associations professionnelles ont copié les données de contact des membres une par une afin d'envoyer ensuite le mail de propagande électorale. 41. Aucun document ne démontre qu'à un moment ou à un autre, le défendeur ait communiqué des listes de membres aux candidats aux élections ou à leurs associations professionnelles. Le défendeur affirme dès lors ne pas avoir été impliqué dans l'envoi des e-mails de propagande électorale. En ce sens, le rapport du Service d'Inspection confirme que l'envoi d'e-mails de propagande électorale ne constitue pas un traitement de la part du défendeur, mais au contraire une utilisation abusive (la réutilisation de données à caractère personnel accessibles au public n'étant pas libre 15) des données à caractère personnel publiées des membres et des stagiaires par différents candidats aux élections. En ce sens, il n'y a donc pas, selon la Chambre Contentieuse, de violation de données à caractère personnel au sens de l'article 4. 12 du RGPD 16 dans le chef du défendeur. On ne peut pas parler d'une fuite de données au sens des articles 32 et 33 juncto l'article 4.12 du RGPD, car le défendeur a publié lui-même les données par le biais du moteur de recherche. La réutilisation à des fins électorales n'était pas due à une violation de la sécurité au sens de l'article 4. 12 du RGPD en l'absence de mesures techniques et organisationnelles appropriées. Le défendeur n'a cependant rien à voir avec le traitement des données réutilisées à des fins électorales et n'est donc pas responsable de ce traitement. Il y avait un défaut de base légale pour la publication ; il s'agit d'une violation en soi et cela n'implique pas que l'on puisse également en déduire un manque de mesures pour également conclure à une violation des articles 32 et 33. Par contre, il y a bien eu un usage impropre des données à caractère personnel publiées des membres et des stagiaires par divers candidats aux élections, mais donc pas par le défendeur. Le défendeur n'a donc commis aucune violation des articles 32 et 33.5 du RGPD. 42. Dans ses conclusions en réponse, le défendeur déclare que tant les demandes formelles et écrites que les demandes informelles et verbales de candidats de pouvoir disposer des listes d'adresses e-mail des membres disposant du droit de vote ont été catégoriquement et explicitement refusées, vu que cela ne correspondait pas aux finalités de traitement des tableaux. À cet égard, la Chambre Contentieuse souligne qu'indépendamment de toute demande émanant d'un candidat, le défendeur, en tant que responsable du traitement des tableaux, doit pouvoir démontrer le respect des principes énoncés à l'article 5.1 du RGPD, y compris le principe de limitation des finalités, sur la base des articles 5.2 et 24 du RGPD. Concrètement, cela signifie que le défendeur doit veiller à ce que les données qu'il traite dans les tableaux ne soient pas utilisées d'une manière incompatible avec la finalité. Il en découle que le défendeur doit mettre en œuvre tous les moyens raisonnables afin de prévenir toute utilisation incompatible des données à caractère personnel contenues dans les tableaux. À cette fin, il ne suffit pas de refuser de fournir des listes de membres en cas de demande d'obtention d'une telle liste. Le défendeur doit, dans la mesure du possible, empêcher le traitement des données à des fins incompatibles, notamment en fournissant des informations adéquates sur les finalités pour lesquelles les données reprises dans les tableaux peuvent être utilisées. La Chambre Contentieuse se réfère à cet égard au considérant 78 du RGPD 17. 43. La Chambre Contentieuse observe que le défendeur a mis fin à la publication des données de contact par le biais du moteur de recherche public dès qu'il a eu connaissance, par l'intermédiaire du Service d'Inspection, de l'utilisation de ces données de contact pour l'envoi d'e-mails de propagande électorale. À partir de ce moment, les données de contact des membres n'étaient plus consultables par défaut et leur publication n'était plus possible qu'avec un consentement préalable, ce qui signifie que ces données de contact n'étaient plus consultables par défaut sur le moteur de recherche public. Cette mesure visait à minimiser le traitement (article 5.1 c) du RGPD) et permettait également à la personne concernée d'exercer un contrôle sur le traitement des données, vu que ses données de contact n'étaient plus publiées sans son consentement (article 6.1 a) du RGPD). La Chambre Contentieuse estime que le défendeur aurait dû appliquer cette mesure dès le départ et, en outre, assurer la transparence requise (article 5.1 a) du RGPD) en ce qui concerne le traitement des données (voir note de bas de page 11) en informant préalablement les candidats aux élections que les données de contact ne peuvent pas être utilisées à des fins électorales, car cela est incompatible avec la finalité initiale (article 5.1 b) du RGPD). 44. Vu l'absence de constatation par le Service d'Inspection du non-respect tant des principes de transparence, de limitation des finalités et de minimisation des données (article 5.1 a), b) et c) du RGPD) que de la responsabilité du défendeur (article 5.2 du RGPD) en ce qui concerne la réutilisation par ses membres des données de contact reprises dans les tableaux par les candidats aux élections, la Chambre Contentieuse se limite à cette remarque et aucune sanction n'est imposée à cet égard. - Marketing direct 45. La troisième partie de la plainte concerne l'utilisation des données à caractère personnel des membres et des stagiaires à des fins de marketing direct dans le chef du défendeur, ainsi qu'à des fins de marketing direct dans le chef de sociétés commerciales qui utilisent les adresses e-mail des membres et des stagiaires dans le cadre de l'organisation d'événements. 46. Le Service d'Inspection part du principe que l'envoi d'informations par le défendeur, même sans poursuivre un but commercial, sous la forme de lettres d'information internes ou externes ou l'envoi d'invitations à des événements - en collaboration ou non avec un partenaire commercial externe - relève de la notion de marketing direct. En outre, selon le Service d'Inspection, le défendeur invoque également plusieurs bases juridiques pour le même traitement (article 6.1 c), e) et f) du RGPD). 47. Le défendeur avance des éléments afin de réfuter l'affirmation selon laquelle il est question de marketing direct. Ainsi, le défendeur souligne qu'il s'agit simplement de messages informatifs envoyés en sa qualité d'organisation professionnelle, ce qui relève de son obligation légale d'informer les membres et les stagiaires en vertu de l'article 44 de la loi du 22 avril 1999, telle qu'applicable au moment des faits. En vertu de cette disposition légale, le défendeur doit veiller à ce que les membres et les stagiaires exécutent correctement les missions qui leur sont confiées et disposent également des compétences nécessaires à cet égard. Le défendeur souligne que la finalité des messages qu'il a envoyés visait uniquement à fournir des informations afin de former les membres et les stagiaires ; ces communications n'étaient pas destinées à promouvoir ou à vendre quoi que ce soit. 48. En ce qui concerne ces communications, le défendeur fait une distinction entre les lettres d'information internes et les lettres d'information externes. En ce qui concerne les lettres d'information "internes" qui ne sont adressées qu'aux membres et aux stagiaires, le défendeur précise qu'il s'agit d'informations importantes sur des changements et des faits concernant, en ordre principal, des éléments essentiels et concrets pour l'exercice de la profession et concernant le fonctionnement de l'organisation professionnelle. Les exemples cités à cet égard sont les suivants : l'envoi de communications de l'administration fiscale concernant les déclarations d'impôts ou les échéances fiscales, l'invitation à payer des cotisations et l'entrée en vigueur de règlements ou de directives. En ce qui concerne les lettres d'information "externes" qui sont adressées tant aux membres qu'aux personnes intéressées, il s'agit de la communication d'informations à ceux qui s'y sont abonnés. 49. À la lumière de la recommandation n° 01/2020 du 17 janvier 2020 relative aux traitements de données à caractère personnel à des fins de marketing direct , qui définit la notion de 'marketing direct'18, la Chambre Contentieuse estime qu'en l'espèce, les lettres d'information du défendeur ne peuvent pas être considérées comme du marketing direct. Bien que la notion de marketing direct doive être interprétée de manière large, dans le cas présent, la finalité première de l'envoi des lettres d'information est purement de veiller à la formation des membres et à leur compétence professionnelle, la communication d'informations occupant une place centrale, sans viser aucune promotion de biens, de services, de marques ou d'idées. Les lettres d'information ne constituent qu'un instrument qui contribue à l'accomplissement de la mission légale du défendeur de prévoir la formation de ses membres appartenant à la catégorie professionnelle concernée. Elles permettent au défendeur d'atteindre l'ensemble du groupe cible d'une manière simple et de fournir, de façon accessible, les informations essentielles les plus récentes qui permettent aux membres d'exercer leur profession avec les connaissances requises les plus récentes. La spécificité de ces lettres d'information réside dans une mission légale du défendeur d'assurer la formation et de garantir la compétence de ses membres. Elles doivent donc être distinguées des lettres d'information qui contiennent généralement des communications promotionnelles. 50. Cela ne change toutefois rien au fait que l'envoi de lettres d'information par le défendeur implique un traitement de données à caractère personnel et doit donc être fondé sur l'une des bases juridiques de l'article 6.1 du RGPD. 51. La mission légale de former les membres et les stagiaires ne signifie pas ipso facto qu'il existe également une obligation légale d'envoyer des lettres d'information, ce qui permettrait au défendeur d'invoquer l'article 6.1 c) du RGPD comme base juridique. 52. Pour les lettres d'information internes, le défendeur invoque l'obligation légale au sens de l'article 6.1.c) du RGPD comme base juridique. Concrètement, le défendeur se réfère aux articles 44 e.s. de la loi susmentionnée du 22 avril 1999 qui contiennent l'obligation d'informer ses membres, dans le cadre de ses obligations plus larges de veiller à la compétence professionnelle et à la formation continue. Dans certains cas, une législation plus spécifique a servi de base juridique. Ainsi, en ce qui concerne les e-mails de propagande électorale, il est référé à l'arrêté royal du 28 novembre 2018 déterminant les règles d'organisation et de fonctionnement de l'Institut professionnel des Comptables et Fiscalistes agréés, pour les communications sur les directives du Conseil concernant les obligations en matière de blanchiment, à l'article 86, § 2 de la loi du 18 septembre 2017 19, et pour les communications relatives aux séminaires obligatoires pour les stagiaires à l'article 17 du règlement de stage du défendeur tel qu'approuvé par l'arrêté royal du 10 avril 2015 20. 53. En ce qui concerne les lettres d'information internes qui ne relèvent pas du cadre légal, le défendeur indique qu'il s'agit de communications plutôt limitées fondées sur les intérêts légitimes, en tant qu'organisation professionnelle, d'informer et de tenir à jour ses membres, ses stagiaires et ses parties prenantes sous la forme de communications spécifiques qui contribuaient (in)directement aux finalités de l’organisation. 54. En revanche, les lettres d'information externes n'ont été envoyées qu'aux personnes qui s'y étaient abonnées par le biais du formulaire prévu à cet effet sur le site Internet du défendeur. La base juridique invoquée par le défendeur à cet effet était le consentement de la personne concernée. 55. La Chambre Contentieuse constate qu'en ce qui concerne les lettres d'information internes pour lesquelles le défendeur invoque l'obligation légale (article 6.1 c) du RGPD), le défendeur reconnaît lui-même que l'article 44 de la loi du 22 avril 1999 relative aux professions comptables et fiscales n'est pas toujours suffisamment précis lorsque l'article ne prévoit pas explicitement que le défendeur doit envoyer des communications à ses membres. Le défendeur part en outre du principe que pour atteindre la finalité de l'article 44, il est inhérent et nécessaire que les membres soient informés. Le défendeur estime qu'il est impossible d'assurer la compétence professionnelle et de réaliser la formation continue de ses membres et de ses stagiaires sans communications relatives à la nouvelle législation ou à la formation continue. 56. Ce raisonnement ne peut toutefois pas être suivi par la Chambre Contentieuse. Comme déjà expliqué dans la présente décision (voir le point 32), la Chambre Contentieuse souligne que l'article 44 de la loi du 22 avril 1999 ne contient aucune disposition obligeant le défendeur à envoyer des lettres d'information sous la forme d'e-mails aux membres et aux stagiaires. Au contraire, le défendeur a adressé ces communications personnelles uniquement sur la base d'une pondération qu'il a lui-même effectuée. Le défendeur n'a donc pas agi sur la base d'une obligation imposée par le législateur. La Chambre Contentieuse doit dès lors conclure que l'article 6.1 c) du RGPD ne pouvait et ne peut pas constituer une base pour l'envoi par e-mail des lettres d'information internes, constituant au moment des faits une violation de l'article 6.1 du RGPD. 57. En ce qui concerne les lettres d'information internes qui, selon le défendeur, sortent du cadre légal, le défendeur indique qu'il s'agit de communications plutôt limitées, fondées sur ses intérêts légitimes. Vu que le défendeur est une organisation instituée par la loi, chargée d'une mission d'intérêt public, il ne peut pas invoquer l'article 6.1 f) du RGPD pour l'exercice de la mission d'information et de formation continue de ses membres, de sorte qu'en ce qui concerne ce type de lettres d'information internes, il convient également de constater une violation de l'article 6.1 du RGPD. 58. La Chambre Contentieuse constate que l'article 44, premier alinéa de la loi du 22 avril 1999 21 confie au défendeur la mission de veiller à la formation et d’assurer l’organisation permanente d’un corps de spécialistes capables d’exercer leurs activités avec toutes les garanties requises au point de vue de la compétence, de l’indépendance et de la probité professionnelle. Étant donné que la Chambre Contentieuse estime que la formation des membres appartenant à une catégorie professionnelle déterminée afin de garantir que la profession est exercée avec la connaissance et la compétence exactes constitue une mission d'intérêt public au sens de l'article 6.1 e) du RGPD, il s'agissait et il s'agit toujours de la base juridique à appliquer, également à la lumière de la loi actuellement applicable du 17 mars 2019, en particulier l'article 62, § 1er22, en vertu duquel le défendeur envoie des lettres d'information internes, dans l'exercice de sa mission d'intérêt public. 59. La Chambre Contentieuse n'a pas de remarques concernant les lettres d'information externes envoyées par le défendeur, étant donné qu'elles ne sont toujours adressées qu'aux personnes concernées qui ont donné leur consentement préalable, libre, exprès et éclairé à cet effet (article 6.1 a) du RGPD). b) Contrats de sous-traitance 60. Le rapport du Service d'Inspection indique qu'aucun contrat de sous-traitance n'a été conclu avec les trois éditeurs responsables de l'envoi des publications du défendeur, ce qui signifie que l'article 28.3 du RGPD n'a pas été respecté. 61. Le défendeur fait tout d'abord valoir que l'analyse de la question de savoir si un contrat de sous-traitance devait être conclu était encore en cours lors de l'enquête du Service d'Inspection. Le défendeur se pose la question de savoir si les éditeurs en question doivent être considérés comme des sous-traitants, étant donné que le service qu'ils fournissent consiste à imprimer les publications du défendeur et à les distribuer tant aux membres et stagiaires du défendeur qu'aux personnes qui les commandent directement auprès d'eux. En outre, les publications sont également proposées de manière indépendante par les éditeurs concernés. Le défendeur ajoute que suite à l'enquête du Service d'Inspection, des contrats de sous-traitance ont été conclus avec chacun des éditeurs. 62. La Chambre Contentieuse rappelle que le rôle d'un sous-traitant ne découle pas de la nature d'une entité traitant des données, mais plutôt de ses activités concrètes dans un contexte spécifique. Une même entité peut simultanément intervenir en tant que responsable du traitement pour certaines activités de traitement et en tant que sous-traitant pour d'autres ; la qualification de responsable du traitement ou de sous-traitant doit être évaluée en fonction des groupes de données ou des traitements de données spécifiques. La nature du service détermine si l'activité de traitement équivaut à un traitement de données à caractère personnel pour le compte du responsable du traitement au sens de l'article 4.8 du RGPD. Conformément aux Lignes directrices du Comité européen de la protection des données23, la Chambre Contentieuse estime que le service fourni par les éditeurs consiste à imprimer les publications et à distribuer les imprimés. Ce service ne vise pas spécifiquement le traitement de données à caractère personnel, mais vise principalement l'impression et la distribution des publications du défendeur et seulement dans un ordre subordonné, le traitement des destinataires des publications, à savoir les membres et les stagiaires. 63. Par conséquent, en l'espèce, les éditeurs doivent être considérés comme des responsables du traitement distincts, capables de déterminer de manière indépendante les finalités et les moyens du traitement qui est nécessaire pour fournir le service. Cela ressort également du fait que les publications sont proposées de manière indépendante par les éditeurs concernés, notamment via leur boutique en ligne, où non seulement les membres et les stagiaires du défendeur, mais également d'autres personnes peuvent passer une commande directement auprès de l'éditeur. Ceci s'applique dans la mesure où l'offre des publications implique le traitement des données des personnes qui ont passé une commande afin de pouvoir leur livrer la publication commandée. 64. Ceci amène la Chambre Contentieuse à conclure qu'aucune violation de l'article 28.3 du RGPD n'a été commise par l'IPCF. En ce qui concerne l'ITAA, il ressort des éléments du dossier que des contrats de sous-traitance ont été conclus avec les différents partenaires, principalement des partenaires de communication en matière d'IT, des partenaires pour des événements et des associations professionnelles agréées à des fins de formation, de sorte qu'il n'y a pas non plus de violation de l'article 28.3 du RGPD. c) Délégué à la protection des données 65. Le Service d'Inspection a constaté qu'au moment des faits formant l'objet de la plainte, le défendeur ne disposait pas d'un délégué à la protection des données. Selon le Service d'Inspection, cela va à l'encontre de ce qui avait déjà été établi précédemment dans l'avis n° 140/2018 de l'Autorité de protection des données du 19 décembre 2018, qui indiquait que non seulement l'Institut des Conseillers fiscaux et des Experts-comptables (ITAA), mais aussi déjà l'ancien Institut Professionnel des Comptables et Fiscalistes agréés (IPCF) ont la qualité d'organisation professionnelle de droit public dotée de la personnalité juridique24 et qu'ils étaient donc déjà tenus de disposer d'un délégué à la protection des données. Le Service d'Inspection précise que l'ITAA et l'IPCF sont des organisations professionnelles instaurées par la loi. Par ailleurs, le Service d'Inspection souligne que sur le site Internet de l'IPCF25 même, il est indiqué qu'il s'agit d'un organisme de droit public. L'IPCF étant une personne morale de droit public au sens de l'article 5.2° de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, le Service d'Inspection conclut qu'en ne désignant pas de délégué à la protection des données, le défendeur a violé l'article 37 du RGPD. 66. Le défendeur, quant à lui, reste convaincu qu'il n'était pas un organisme public au moment de l'application de la loi du 22 avril 1999 et qu'il pouvait donc invoquer l'article 6.1 f) du RGPD. Le défendeur affirme que le Service d'Inspection ne justifie pas de manière approfondie en quoi il relèverait de la notion d' "autorité publique" dans la loi du 30 juillet 2018 26 en dehors du fait que le Service d'Inspection se contente d'établir que le défendeur est une organisation professionnelle de droit public dotée de la personnalité juridique. Le défendeur ajoute qu'à l'époque, il ne dépendait pas de l'État fédéral puisque son fonctionnement était entièrement financé par les cotisations des membres et des stagiaires. L'organe de direction n'était pas non plus nommé par un gouvernement, mais par un vote démocratique des membres. Le défendeur invoque également le fait qu'il ne voit pas clairement en quoi sa gestion aurait été soumise au contrôle de l'État. Ces éléments, ainsi que la constatation du défendeur qu'il ne relevait également d'aucun des autres cas dans lesquels la désignation d'un délégué à la protection des données est obligatoire et l'absence de disposition légale spécifique exigeant la désignation d'un délégué à la protection des données, amènent le défendeur à conclure qu'il n'était pas tenu de désigner un délégué à la protection des données. 67. La Chambre Contentieuse constate que sur la base de l'article 37.1 a) du RGPD juncto l'article 5, alinéa 2, 2° de la loi du 30 juillet 2018 27, le défendeur est considéré par le Service d'Inspection comme une autorité publique, étant donné qu'en tant qu'organisation professionnelle, le défendeur a été institué par la loi et est doté de la personnalité juridique en vertu de l'article 43 de la loi du 22 avril 1999, et qu'il est donc tenu d'avoir un délégué à la protection des données. La disposition susmentionnée prévoit la création d'un Institut Professionnel des Comptables et Fiscalistes agréés doté de la personnalité juridique. La finalité de cette organisation professionnelle est définie à l'article 44 de la loi précitée et consiste essentiellement à veiller à la formation et à l'organisation permanente des membres et des stagiaires de manière à ce qu'ils exercent la profession avec les garanties requises de compétence, d'indépendance et de probité professionnelle. 68. Les personnes morales instituées par la loi sont des personnes morales de droit public. En prévoyant une institution par voie légale, on confère à cette personne morale, en l'occurrence au défendeur, une mission d'intérêt public. Il est en effet établi que l'intérêt social est servi par l'apport des garanties nécessaires en matière de trafic financier. À cet égard, la Chambre Contentieuse ne suit pas le raisonnement du Service d'Inspection selon lequel - par application de l'article 5, alinéa 2, 2° de la loi du 30 juillet 2018 - le défendeur devait déjà être considéré comme une autorité publique en vertu de la loi du 22 avril 1999 et était tenu d'avoir un délégué à la protection des données, de sorte qu'il n'y a donc pas de violation de l'article 37.1 a) du RGPD à l'époque des faits. 69. Par dérogation aux constatations du Service d'Inspection, la Chambre Contentieuse estime que l'article 5 de la loi du 30 juillet 2018 ne doit pas être appliqué parce que la définition de l'autorité publique qui y est donnée n'est applicable qu'au sein de la loi du 30 juillet 2018 elle-même et ne sert donc pas à définir la notion d'autorité publique au sens de l'article 37.1 a) du RGPD. Bien que le défendeur en tant que tel n'ait pas violé l'article 37.1 a) du RGPD, la Chambre Contentieuse constate que le RGPD impose aux autorités publiques l'obligation de désigner un délégué à la protection des données, ce qui, par analogie aux bonnes pratiques, s'applique également aux organisations exerçant une mission d'intérêt public, telles que l'organisation professionnelle concernée. Par souci d'exhaustivité, la Chambre Contentieuse relève que le défendeur reconnaît être une autorité publique depuis l'entrée en vigueur de la loi du 17 mars 2019. Selon le défendeur, cela découle du simple fait que l'article 62, § 2, alinéa 3 de la loi du 17 mars 2019 contient l'obligation expresse de désigner un délégué à la protection des données. La Chambre Contentieuse estime qu'il est important de souligner qu'une telle obligation expresse de désigner un délégué à la protection des données dans la législation nationale spécifiquement applicable à la personne morale ne peut pas être une condition absolue pour l'application de l'article 37.1 RGPD. En effet, l'article 37.1 du RGPD se suffit à lui-même sans exiger du législateur national qu'il prévoie explicitement la désignation d'un délégué à la protection des données pour la personne morale en question. III. Quant aux mesures correctrices et aux sanctions 70. Il appartient à la Chambre Contentieuse de déterminer la sanction la plus appropriée pour la violation de l'article 6.1 du RGPD sur la base des options dont elle dispose en vertu de l'article 100, §1er de la LCA. À cet égard, la Chambre Contentieuse tient compte dans une large mesure de la loi du 17 mars 2019 relative aux professions d'expert-comptable et de conseiller fiscal, qui a contribué à combler les lacunes de la loi du 22 avril 1999 relative aux professions comptables et fiscales. À la lumière de la législation actuelle applicable au défendeur, la Chambre Contentieuse estime que la base légale actuellement utilisée pour l'envoi des lettres d'information internes viole les dispositions de l'article 6.1 du RGPD. Vu la portée limitée de la violation, la Chambre Contentieuse décide de n'émettre qu'un avertissement. Cela donne au défendeur la possibilité de prendre les mesures nécessaires pour s'adapter et prévoir la transparence nécessaire concernant la base juridique correcte, à savoir l'article 6.1 e) du RGPD, afin d'éviter toute ambiguïté future à cet égard parmi les membres et les stagiaires. IV. Publication de la décision 71. Vu l'importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l'Autorité de protection des données. Les données d'identification du défendeur y sont conservées. La spécificité de la législation nationale applicable au défendeur est en effet déterminante pour le contexte et le contenu de la décision. Il en résulte que la référence à la législation applicable, qui établit donc d'emblée l'identité du défendeur, ne peut être omise, ce qui a nécessairement pour effet que la présente décision ne peut être publiée qu'à condition que l'identité du défendeur soit également divulguée à cette occasion. PAR CES MOTIFS, la Chambre Contentieuse de l'Autorité de protection des données décide, après délibération : - en vertu de l'article 100, §1er, 2° de la LCA, d'ordonner un non-lieu pour la violation de l'article 6.1 du RGPD suite à la publication des données à caractère personnel reprises dans le registre via le moteur de recherche; - en vertu de l'article 100, §1er, 5° de la LCA, de formuler un avertissement à l'égard du défendeur pour la violation de l'article 6-1 du RGPD en ce qui concerne l'envoi de lettres d'information internes. En vertu de l'article 108, §1er de la LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des Marchés (Cour d'appel de Bruxelles) dans un délai de trente jours à compter de sa notification, avec l'Autorité de protection des données en qualité de défenderesse. Un tel recours peut être introduit au moyen d'une requête contradictoire qui doit comporter les mentions énumérées à l'article 1034ter du Code judiciaire28. La requête contradictoire doit être déposée au greffe de la Cour des marchés conformément à l'article 1034quinquies du Code judiciaire29, ou via le système informatique e-Deposit de la Justice (article 32ter du Code judiciaire). (sé.) Hielke HIJMAN Président de la Chambre Contentieuse Document PDF ECLI:BE:GBAPD:2024:DEC.20241204.2