ECLI:BE:GBAPD:2025:DEC.20250313.2
Détails de la décision
🏛️ Autorité de protection des données
📅 2025-03-13
🌐 FR
Décision
Matière
burgerlijk_recht
Législation citée
loi du 3 décembre 2017
Résumé
La Chambre Contentieuse de l'Autorité de protection des données décide, après délibération: - en vertu de l'article 100, § 1er , 5° de la LCA, de réprimander le défendeur pour les violations (historiques) concernant les obligations d'information de l'article 12.1, de l'article 13.2.e) et des arti...
Texte intégral
Chambre Contentieuse
Décision quant au fond 51/2025 du 13 mars 2025
Numéro de dossier : DOS-2021-04719
Objet : Plainte portant sur l'acceptation prétendument obligatoire de conditions générales
La Chambre Contentieuse de l'Autorité de protection des données, composée de Monsieur Hielke HIJMANS, président, et de Messieurs Dirk Van Der Kelen et Frank De Smet, membres ;
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après "RGPD" ;
Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, ci-après "LCA" ;
Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
A pris la décision suivante concernant :
Le plaignant : X, ci-après "le plaignant" ; et
Le défendeur : Y, ci-après "le défendeur".
I. Faits et procédure
1. Le 16 juin 2021, le plaignant porte plainte auprès de l'Autorité de protection des données contre le défendeur.
2. Dans sa plainte, le plaignant déclare qu'il voulait inscrire son fils en ligne au conservatoire.
Au début de la procédure d'inscription en ligne, le plaignant est invité à créer un compte et il est renvoyé à cette fin au site Internet de Z, une plateforme de communication entre les élèves et les parents d'une part et les académies flamandes d'arts plastiques, de musique, d'art dramatique et de danse d'autre part, gérée par le défendeur. Lors de la création du compte, il est obligatoire d'accepter les conditions générales, sans quoi le compte ne peut pas être créé en ligne. Le plaignant comprend après un certain temps qu'il n'a pas créé de compte auprès du conservatoire proprement dit mais bien auprès de Z. Le plaignant a ensuite demandé au défendeur de supprimer ses propres données à caractère personnel car il estime ne pas avoir de lien avec le défendeur, étant donné qu'il souhaite uniquement inscrire son fils au conservatoire. Le défendeur a réagi en expliquant le rôle qu'il joue dans la gestion administrative des inscriptions, pour le compte de l' académie, ainsi que le rôle qu'il joue en tant que responsable du traitement et sous-traitant de données à caractère personnel dans le cadre de Z. Le plaignant estime qu'il est question de violations du RGPD et a dès lors introduit une plainte.
3. Le 5 juillet 2021, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA.
4. Le 4 août 2021, conformément à l’article 96, § 1er de LCA, la demande de la Chambre Contentieuse de procéder à une enquête est transmise au Service d’Inspection, de même que la plainte et l’inventaire des pièces.
5. Le 7 septembre 2021, l’enquête du Service d’Inspection est clôturée, le rapport est joint au dossier et celui-ci est transmis par l’inspecteur général au président de la Chambre Contentieuse (article 91, § 1er et § 2 de la LCA).
Le rapport comporte des constatations relatives à l'objet de la plainte et conclut qu'il y a :
1. une violation des articles 5.1.a), 5.1.b), 5.2 et 6.1 du RGPD ;
Le rapport comporte en outre des constatations qui dépassent l’objet de la plainte.
Le Service d'Inspection constate, dans les grandes lignes, qu'il y a :
2. une violation des articles 12.1, 13.1, 13.2, 14.1, 14.2, 5.2, 24.1 et 25.1 du RGPD ;
3. une violation des articles 4.11), 5.1.a), 5.2, 6.1.a), 7.1 et 7.3 du RGPD ;
4. une violation des articles 30.1 et 30.3 du RGPD.
6. Le 24 mai 2022, la Chambre Contentieuse décide, en vertu de l’article 95, § 1 er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond.
7. Le 24 mai 2022, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions.
Pour les constatations relatives à l’objet de la plainte, la date limite pour la réception des conclusions en réponse du défendeur a été fixée au 4 juillet 2022, celle pour les conclusions en réplique du plaignant au 25 juillet 2022 et enfin celle pour les conclusions en réplique du défendeur au 16 août 2022.
8. Le 25 mai 2022, le défendeur demande une copie du dossier (art. 95, § 2, 3° de la LCA), qui lui a été transmise le 13 juin 2022.
9. Le 25 mai 2022, le plaignant accepte toutes communications relatives à l'affaire par voie électronique.
10. Le 25 mai 2022, le défendeur accepte toutes les communications relatives à l'affaire par voie électronique.
11. Le 3 juillet 2022, la Chambre Contentieuse reçoit les conclusions en réponse du défendeur concernant les constatations relatives à l’objet de la plainte. Ces conclusions comportent également la réaction du défendeur concernant les constatations effectuées par le Service d'Inspection en dehors du cadre de la plainte.
12. Le 26 juillet 2022, la Chambre Contentieuse reçoit les conclusions en réplique du plaignant en ce qui concerne les constatations relatives à l’objet de la plainte et dans lesquelles le plaignant réitère sa demande d'effacement.
13. Le 9 août 2022, la Chambre Contentieuse reçoit les conclusions en réplique du défendeur concernant les constatations relatives à l’objet de la plainte.
14. Le 13 décembre 2024, les parties sont informées du fait que l'audition aura lieu le 22 janvier 2025.
15. Le 22 janvier 2025, le défendeur est entendu par la Chambre Contentieuse.
16. Le 5 février 2025, le procès-verbal de l’audition est soumis aux parties.
17. La Chambre Contentieuse ne reçoit pas de remarque du défendeur concernant le procès-verbal.
II. Motivation
II.1. Objet de la décision
18. La plainte concerne le fait que le plaignant devait accepter les conditions générales de la plateforme Z afin de créer un compte sur la plateforme, d'une part, et le fait que ses données à caractère personnel ont été traitées alors qu'il souhaitait inscrire son fils, d'autre part.
Ces aspects ont été abordés en détail lors de l'audition.
19. Le Service d'Inspection a constaté diverses violations du RGPD et de la législation applicable en matière de cookies. Afin de garantir une application efficace des droits du plaignant, la Chambre Contentieuse décide de ne pas traiter toutes les constatations du Service d'Inspection qui dépassent l'objet de la plainte. Cela n'enlève toutefois rien au fait qu'il appartient au défendeur de prendre des mesures, le cas échéant, pour se conformer entièrement à toutes les obligations découlant du RGPD.
II.2. Identification du responsable du traitement
20. La question se pose de savoir qui doit être désigné responsable du traitement pour les traitements sur la plateforme Z.
21. Dans ses conclusions, le défendeur fait valoir qu'il faut faire la distinction entre deux périodes pertinentes lors desquelles des activités de traitement ont lieu : d'une part, à partir de la création d'un compte sur Z tant que le compte de la personne concernée n'est pas encore relié à une école ou à une académie déterminée et d'autre part, dès que les données du compte de la personne concernée sont reliées à une ou plusieurs écoles/académies, de sorte que l'école ou l'académie peut entre autres gérer les inscriptions, mais peut aussi communiquer avec les parents et les élèves.
22. Le défendeur explique que pour la première période d'activités de traitement, donc entre la création du compte et le couplage à une académie, il est le responsable du traitement car il décide que, si une personne veut accéder à la plateforme Z, un compte doit être créé. Le défendeur détermine quelles données sont demandées et il ne le fait pas à la demande de l'école ou de l'académie. Ces traitements sont basés sur l'article 6.1.b) du RGPD, selon le défendeur.
23. Dès que le compte est relié à l'académie ou à l'école, donc pendant la deuxième période d'activités de traitement, la position du défendeur passe de responsable du traitement à sous-traitant. Dès lors, le défendeur ne pouvait pas répondre lui-même à la demande d'effacement du plaignant étant donné qu'à ce moment, il n'était pas responsable du traitement pour ces traitements.
24. Lors de l'audition, le défendeur réitère ce point de vue. Le défendeur précise à ce sujet qu'un contrat de sous-traitance a été conclu avec le pouvoir organisateur de l'école pour 165 académies. Il y a un peu moins de 165 contrats de sous-traitance parce que par exemple l'académie de dessin et de musique dans la même commune relève d'un seul pouvoir organisateur, à savoir la commune, et que dès lors, un seul contrat de sous-traitance suffit.
Le défendeur souligne également que la banque de données contenant les données d'inscription dans la relation entre l'école et l'élève se distingue de la base de données de la plateforme Z (plateforme de communication avec les élèves et les parents des académies) qui ne sert que de relais. Les données à caractère personnel pour lesquelles le défendeur est responsable du traitement d'une part et sous-traitant d'autre part peuvent ainsi être séparées.
25. Ce n'est que pour les données de connexion au compte sur la plateforme Z que le défendeur est responsable du traitement. Dès que la personne concernée s'y connecte pour accéder à une académie, la personne concernée fournit les données d'inscription légalement nécessaires pour réaliser une inscription auprès d'une académie. Pour ces données, c'est l'académie qui est le responsable du traitement. Le défendeur indique également qu'en cas de choix d'une nouvelle école, la personne concernée doit de nouveau procéder à une inscription complète de l'élève via le compte existant. Le défendeur affirme expressément qu'il n'y a aucun échange de données à caractère personnel entre les académies.
L'inscription se fait par académie.
26. La Chambre Contentieuse suit cette explication et conclut, au vu de ces éléments, que le défendeur est responsable du traitement uniquement pour le premier traitement cité, à savoir la création du compte. Dès que le compte est lié à une école ou à une académie, cette école ou cette académie est le responsable du traitement et le défendeur devient sous-traitant.
27. La plainte concerne l'acceptation obligatoire des conditions générales sur la plateforme du défendeur pour créer un compte, donc au cours de la période où le défendeur intervient en tant que responsable du traitement étant donné que le compte n'a pas encore été relié à une école ou à une académie.
II.3. Licéité du traitement (articles 5.1.a), 5.2 et 6.1 du RGPD)
28. Le plaignant critique le fait qu'il doive accepter les conditions générales du défendeur pour inscrire son fils à l'académie. La Chambre Contentieuse en évaluera la licéité.
29. Le plaignant affirme dans sa plainte et dans ses conclusions qu'il n'est pas d'accord avec l'obligation d'accepter les conditions générales du défendeur pour pouvoir inscrire son fils à l'académie. Il affirme que l'inscription de son fils dans une académie ne peut pas être conditionnée à la transmission obligatoire de ses propres données à caractère personnel à un autre responsable du traitement que l'académie elle-même. Son but est en effet d'inscrire son fils à l'académie afin qu'il puisse y suivre les cours.
30. En ce qui concerne l'acceptation obligatoire des conditions générales du défendeur pour une inscription en ligne, le Service d'Inspection constate qu'il n'est pas question d'une violation. Un contrat est en effet conclu entre le responsable du traitement (en l'occurrence le défendeur) et l'utilisateur de Z (en l'occurrence le plaignant), et le traitement de données à caractère personnel est nécessaire à cet effet.
31. Le défendeur fait également valoir que l'acceptation de conditions générales en tant que condition à la conclusion d'un contrat ne constitue pas une violation du RGPD.
32. La Chambre Contentieuse constate, comme l'indique le défendeur et comme l'a également constaté le Service d'Inspection, que le plaignant reproche au défendeur qu'il serait obligé d'accepter les conditions générales du défendeur pour l'inscription de son fils à l'académie de son choix, et que ses propres données à caractère personnel sont traitées à cet effet par le défendeur.
33. La Chambre Contentieuse fait remarquer que l'académie dans laquelle le plaignant souhaite inscrire son fils, tout comme toutes les autres académies, associations et fédérations, doit assurer la gestion des membres ainsi que le traitement de l'administration. Elles peuvent décider de réaliser ces tâches elles-mêmes ou de faire appel à cet effet à une entreprise spécialisée telle que celle du défendeur. L'académie dans laquelle le plaignant souhaite inscrire son fils recourt pour ces tâches aux services du défendeur, qui a développé la plateforme Z et la gère. Le défendeur offre ainsi ses services en matière de gestion des membres et de traitement administratif aux académies qui souhaitent y recourir.
Les nouveaux membres doivent d'abord créer un compte sur Z, ce compte pouvant ensuite être couplé à l'académie (ou aux académies) dans laquelle (lesquelles) ils souhaitent s'inscrire. Le défendeur a également expliqué qu'il agit en qualité de responsable du traitement pour la création du compte, étant donné qu'il détermine la finalité et les moyens de ce traitement (c'est-à-dire la création du compte), ce qui n'est pas non plus contesté.
Dès que le compte est relié à une académie, le défendeur intervient en tant que sous-traitant pour le compte de cette académie, qui agit alors comme responsable du traitement.
34. Comme l'explique le défendeur dans son e-mail du 15 juin 2021 et dans ses conclusions, il est responsable du traitement pour les traitements de données à caractère personnel dans le cadre de la création du compte, avant que le compte ne soit relié à l'académie concernée.
Il en résulte que si une personne concernée, en tant que nouveau membre d'une académie, souhaite s'inscrire en ligne, et crée donc un compte sur Z, elle conclut un contrat avec le défendeur. L'article 6.1.b) du RGPD prévoit une base juridique pour le traitement de données à caractère personnel si "le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci".1
35. Les obligations contractuelles envers une personne concernée ne peuvent parfois pas être exécutées sans que la personne concernée fournisse certaines données à caractère personnel.2 Si le traitement spécifique fait partie de la fourniture du service demandé, il est dans l'intérêt des deux parties de traiter ces données, vu qu'à défaut, le service ne peut pas être fourni et que le contrat ne peut pas être exécuté. Comme le requiert l'article 6.1.b) du RGPD, le traitement doit être objectivement nécessaire à l'exécution d'un contrat. Tel est le cas dans la présente affaire. Il est en effet nécessaire de traiter les données à caractère personnel utiles (c'est-à-dire les données d'identité et les coordonnées) lors de l'exécution des services concernant la gestion des membres. Le traitement de ces données permet au défendeur d'exercer ses activités en matière de gestion des membres de sorte que l'académie en question puisse identifier les membres inscrits et les contacter via la plateforme Z. Dans ce cas, le traitement des données à caractère personnel fait partie du contrat, étant donné que sans le traitement de données à caractère personnel, aucun compte ne peut être créé pour être ensuite relié à l'académie en question. Par ailleurs, la Chambre Contentieuse souligne que l'acceptation de conditions générales en tant que condition nécessaire à la conclusion d'un contrat, comme en l'espèce l'utilisation de Z, ne constitue en soi pas une violation du RGPD.
36. Comme l'a également constaté le Service d'Inspection et tel que souligné par le défendeur, la Chambre Contentieuse attire l'attention sur la possibilité pour toute personne concernée de s'inscrire ‘offline’, donc via le secrétariat de l'académie en question. De cette manière, une inscription via Z peut être évitée, si la personne concernée le souhaite.
37. En ce qui concerne l'accusation du plaignant selon laquelle ses données à caractère personnel sont également traitées alors qu'il souhaite inscrire son fils, et n'aurait donc pas lui-même de lien avec l'académie, la Chambre Contentieuse fait remarquer que le plaignant est le père de l'élève. La Chambre Contentieuse part du principe qu'au moment de l'inscription, le fils était mineur et ne pouvait donc pas conclure lui-même de contrat valablement. En outre, la décision d'inscrire le fils à l'académie en question relève de l'autorité parentale du plaignant. Dès lors, le défendeur doit également traiter les données à caractère personnel du (des) parent(s) d'élèves mineurs afin de pouvoir exécuter son service.
38. La Chambre Contentieuse fait remarquer que le Service d'Inspection a constaté qu'il n'était pas question d'une violation de l'article 6.1.b) du RGPD en ce qui concerne la création du compte sur Z. Le plaignant ne fournit aucune indication qui pourrait attester d'une violation.
La Chambre Contentieuse estime dès lors qu'il n'y a pas de violation de l'article 6.1.b) du RGPD.
II.4. Articles 12.1, 13.1, 13.2, 14.1, 14.2, 5.2, 24.1 et 25.1 du RGPD
II.4.1. Constatation du Service d'Inspection
39. En exécution du principe de transparence de l’article 5.1.a) du RGPD, il est nécessaire, sur la base de l’article 12.1, de l’article 13.1, de l’article 14.1 et de l'article 14.2 du RGPD, que le responsable du traitement, en l’espèce le défendeur, fournisse aux personnes concernées des informations concises, transparentes et compréhensibles sur les données à caractère personnel qui sont traitées. En sa qualité de responsable du traitement (pour la création du compte avant de couplage à une académie), le défendeur doit exécuter les articles 12, 13 et 14 du RGPD.
40. Le Service d'Inspection constate que la déclaration de confidentialité du défendeur n'est pas transparente et compréhensible pour les personnes concernées, ce qui n'est pas conforme à l'article 12.1 du RGPD. À cet égard, le Service d'Inspection renvoie aux éléments suivants :
la déclaration de confidentialité ne comporte pas de table des matières avec des liens permettant aux personnes concernées de cliquer pour atteindre la partie pertinente du texte ayant pour titre principal "Politique de confidentialité". Cette méthode n'est pas transparente aux yeux du Service d'Inspection et en outre, elle ne facilite pas les droits des personnes concernées. Ensuite, le Service d'Inspection note que la déclaration de confidentialité n'est pas claire pour les personnes concernées, étant donné qu'elle ne précise pas comment les personnes concernées peuvent constater quels changements y ont été apportés et à quel moment ils ont eu lieu. Cela ne facilite pas non plus les droits des personnes concernées. Enfin, le Service d'Inspection souligne que les personnes concernées ne sont pas informées adéquatement de la manière dont elles peuvent introduire une plainte et ce qu'elles peuvent attendre d'une telle démarche.
41. Ensuite, le Service d'Inspection constate que la déclaration de confidentialité du défendeur est également incomplète, du fait que toutes les informations à mentionner obligatoirement en vertu des articles 13 et 14 du RGPD ne sont pas reprises. Le Service d'Inspection en arrive à cette conclusion sur la base des constatations suivantes. Premièrement, le Service d'Inspection observe que la déclaration de confidentialité ne contient pas d'informations au sujet de qui sont concrètement les destinataires des données à caractère personnel ou les catégories de ces destinataires, comme le requiert l'article 13.1.e) du RGPD et l'article 14.1.e) du RGPD. Selon le Rapport d'inspection, la déclaration de confidentialité ne contient pas non plus d'informations sur le fait de savoir si la personne concernée est obligée de fournir les données à caractère personnel ni sur les conséquences possibles lorsque ces données à caractère personnel ne sont pas fournies (article 13.2.e) du RGPD). Deuxièmement, le Rapport d'inspection relève que la déclaration de confidentialité mentionne à tort que la personne concernée n'a le droit d'introduire une plainte auprès de l'autorité de contrôle compétente qu'après avoir d'abord adressé une notification au défendeur, ce qui ne serait pas conforme à l'article 13.2.d) du RGPD et à l'article 14.2.e) du RGPD. En vertu de l'article 77.1 du RGPD, la personne concernée peut contacter l'autorité de contrôle dans l'État membre où elle réside habituellement, où elle a son lieu de travail ou là où la violation présumée a été commise. Le Service d'Inspection affirme dès lors que le renvoi vers le site Internet de l'APD peut être maintenu, mais qu'il faut également renvoyer aux autres autorités de contrôle.
II.4.2. Position du plaignant
42. Dans ses conclusions, le plaignant affirme que la structure par couches des conditions générales adaptées n'est pas claire car elle ne donne pas un aperçu clair des données à caractère personnel qui sont traitées.
II.4.3. Position du défendeur
43. Le défendeur argumente en des termes généraux dans ses conclusions que l'article 12.1 du
RGPD requiert que les informations dans la déclaration de confidentialité soient disponibles de manière concise, transparente et compréhensible pour les personnes concernées. Le défendeur souligne qu'au moment du Rapport d'inspection, il y avait peu jurisprudence concrète ou de directives de juges (européens) et d'autorités de contrôle à ce sujet. Par ailleurs, les notions de "compréhensible" et de "concise" sont, selon le défendeur, des notions subjectives. Néanmoins, le défendeur a adapté sa déclaration de confidentialité en raison de changements organisationnels. Il renvoie à la déclaration de confidentialité que le Service d'Inspection a évaluée comme étant l' "ancienne déclaration de confidentialité." Le défendeur conteste les constatations du Service d'Inspection selon lesquelles l'ancienne
déclaration de confidentialité du défendeur ne serait pas transparente et compréhensible pour les personnes concernées. En ce qui concerne l'absence de table des matières, le défendeur souligne que le Service d'Inspection ne motive pas la raison pour laquelle une table des matières serait nécessaire. Le défendeur présume que la raison d'être d'une table des matière pourrait être de permettre aux personnes concernées de naviguer plus rapidement dans la déclaration de confidentialité. Le défendeur souligne que (son ancienne) déclaration de confidentialité n'est pas de nature à requérir une table des matières.
44. En ce qui concerne la constatation du Service d'Inspection au sujet des modifications de la déclaration de confidentialité, le défendeur avance que la déclaration de confidentialité est bel et bien claire. Les personnes concernées sont ainsi conscientes du fait qu'une déclaration de confidentialité est un document en perpétuelle évolution et qu'il convient de la consulter de temps à autre. Sur la nouvelle version de la déclaration de confidentialité, le défendeur a mentionné en haut la date de la dernière mise à jour (juin 2022). Selon le défendeur, l'absence de mention ou de tenue à jour d'une gestion des versions et d'indication des modifications spécifiques ne constitue pas une violation de l'article 12 du RGPD et il souligne que la déclaration de confidentialité de l'APD ne dispose pas non plus d'une ‘gestion des versions claire’ ou d'une manière de vérifier ce qui a précisément été modifié.
45. Le défendeur conteste également la constatation du Service d'Inspection selon laquelle les personnes concernées ne sont pas informées de la manière dont elles peuvent introduire une plainte et ce qu'elles peuvent attendre d'une telle démarche. Le défendeur indique que son ancienne déclaration de confidentialité mentionne les droits des personnes concernées ainsi que la manière dont elles peuvent s'adresser à lui (avec mention de l'adresse e-mail et de l'adresse postale). Par ailleurs, l'ancienne déclaration de confidentialité mentionne également le délai dans lequel le défendeur répondra à la demande. Le défendeur affirme que le Service d'Inspection n'indique pas quelles informations manqueraient ni celles qui ne seraient pas transparentes. Dans l'ancienne déclaration de confidentialité, le défendeur avait mentionné que si la personne concernée avait des remarques ou des plaintes sur la manière dont il traite les données à caractère personnel, il priait la personne concernée de le lui signaler en premier lieu afin d'installer ainsi une concertation et de parvenir à une solution à l'amiable. Le défendeur souligne que la finalité de cette mention est de trouver une solution de bonne foi entre lui et la personne concernée. Cela ne signifie toutefois pas nécessairement que l'accès à l'autorité de contrôle compétente soit entravé. Au contraire, l'ancienne déclaration de confidentialité mentionne le droit des personnes concernées d'introduire une plainte auprès d'une autorité de contrôle. Cette procédure révèle également que la personne concernée en question n'a pas été empêchée d'introduire une plainte auprès de l'APD.
46. En ce qui concerne le manque d'exhaustivité de l'ancienne déclaration de confidentialité, le défendeur affirme que lors de la mise à jour de la déclaration de confidentialité, les informations que le Service d'Inspection estimait manquantes ont été reprises.
II.4.4. Appréciation de la Chambre Contentieuse
47. La Chambre Contentieuse constate que le Service d'Inspection établit une violation de l'article 12.1 du RGPD, parce que la politique de confidentialité contiendrait des informations non pertinentes et inexactes, à savoir l'absence de table des matières, un manque de gestion des versions et l'absence d'informations sur la manière dont les personnes concernées peuvent introduire une plainte et ce qu'elles peuvent attendre d'une telle démarche.
48. L'article 12.1 du RGPD requiert que les informations soient concises, transparentes, compréhensibles et aisément accessibles, et qu'un langage clair et simple soit utilisé.
L'exigence que la fourniture d'informations aux personnes concernées et la communication avec celles-ci doivent se faire "sous une forme concise, transparente, compréhensible et aisément accessible" signifie que les responsables du traitement doivent afficher les informations/communications de manière efficace et succincte afin d'éviter une fatigue informationnelle. Dans un contexte en ligne, le recours à une déclaration de confidentialité/communication par couches permettra à une personne concernée de naviguer directement vers la partie spécifique de la déclaration de confidentialité/communication qu'elle souhaite lire, au lieu de parcourir de longues parties de texte à la recherche de sujets spécifiques.3
49. En ce qui concerne l'absence de table des matières, la Chambre Contentieuse fait remarquer qu'il ne s'agit pas d'une exigence formelle d'une déclaration de confidentialité. Il faut toujours analyser au cas par cas si une déclaration de confidentialité répond aux exigences de l'article 12.1 du RGPD. Dans la présente affaire, la Chambre Contentieuse constate que l'ancienne déclaration de confidentialité compte cinq pages et que l'on a utilisé des titres intermédiaires et des paragraphes courts et clairs, permettant à la personne concernée de retrouver facilement les informations recherchées. Selon la Chambre Contentieuse, une table des matières ne présenterait pas de plus-value essentielle en ce qui concerne les exigences de l'article 12.1 du RGPD dans ce cas spécifique.
50. Par ailleurs, le Service d'Inspection a constaté que l'ancienne déclaration de confidentialité n'était pas claire en ce qui concerne d'éventuelles modifications et que l'on n'a pas travaillé avec une gestion des versions claire censée faciliter les droits des personnes concernées.
La Chambre Contentieuse rappelle que le RGPD ne pose pas d'exigence quant au moment auquel les notifications (et méthodes) de changements d'informations fournies précédemment en vertu des articles 13 et 14 du RGPD doivent être adressées à une personne concernée. Le responsable du traitement doit toutefois dans ce cas respecter les principes de loyauté et de responsabilité, en tenant compte des attentes raisonnables de la personne concernée ou de l'impact potentiel des changements pour la personne concernée.
Selon les lignes directrices sur la transparence au sens du Règlement (EU) 2016/679 du Groupe de protection des données Article 29, une notification de changements dans la déclaration de confidentialité doit toujours se faire via un moyen approprié (par exemple par e-mail, courrier papier, un pop-up sur une page Internet ou une autre modalité qui attirera effectivement l'attention des personnes concernées quant aux changements) et doit respecter les exigences de l'article 12 en matière de concision, transparence, compréhensibilité, langage aisément accessible, simple et clair. 4 Des mentions dans la déclaration de confidentialité indiquant que la personne concernée doit contrôler régulièrement si la déclaration de confidentialité/communication a été modifiée ou actualisée sont considérées, dans le cadre de article 5.1.a) du RGPD, non seulement comme insuffisantes mais aussi comme déloyales. 5
51. La Chambre Contentieuse fait remarquer dans ce cadre que la version de l'ancienne déclaration de confidentialité, comme analysée par le Service d'Inspection, indique ce qui suit : "Par la présente Déclaration de confidentialité, nous vous informons des activités de traitement que nous pouvons réaliser avec vos données à caractère personnel. Nous nous réservons le droit d'adapter la présente Déclaration de confidentialité à tout moment.
Toute modification substantielle vous sera indiquée clairement. Nous vous conseillons de consulter ce document régulièrement". (NdT : traduction libre réalisée par le Service traduction de l'Autorité de protection des données, en l’absence de traduction officielle)”.
52. La Chambre Contentieuse estime que dans la version de l'ancienne déclaration de confidentialité, telle qu'analysée par le Service d'Inspection, le renvoi vers des modifications ne respecte pas en soi les exigences d'informations transparentes, au sens de l'article 12.1 du RGPD, comme l'indique également le plaignant. La méthode employée pour attirer l'attention de la personne concernée sur les changements doit être explicite et efficace. Cela doit permettre à la personne concernée de ne pas "passer à côté" des changements et de disposer d'un délai raisonnable pour a) comprendre la nature et l'impact du changement et b) exercer ses droits en vertu du RGPD en ce qui concerne les changements (par exemple en retirant le consentement au traitement ou en s'opposant au traitement). 6
Comme l'indique le défendeur, cela pourrait se faire le cas échéant par l'envoi en temps utile d'un e-mail aux personnes concernées préalablement au changement de la déclaration de confidentialité ou via un pop-up sur le site Internet.
53. En ce qui concerne le manque de gestion des versions dans l'ancienne déclaration de confidentialité, comme indiqué par le Service d'Inspection, la Chambre Contentieuse constate que le RGPD ne pose pas d'exigence de tenir une gestion des versions. Si les modifications de la déclaration de confidentialité sont communiquées de manière efficace, en respectant les points ci-dessus, la Chambre Contentieuse estime qu'une gestion des versions de la déclaration de confidentialité publiée n'est pas nécessaire.
54. En ce qui concerne le constat selon lequel l'accès à l'autorité de contrôle compétente est entravé par le fait que dans l'ancienne déclaration de confidentialité, il soit demandé à la personne concernée, en cas de remarques ou de plaintes, d'utiliser la possibilité de contacter d'abord le défendeur avant d'introduire une plainte auprès de l'APD, la Chambre Contentieuse souligne qu'il ne s'agit que d'une demande du défendeur et non d'une condition préalable. En outre, la Chambre Contentieuse encourage un dialogue entre les responsables du traitement et les personnes concernées en cas de questions, remarques ou plaintes, afin de trouver une solution la plus appropriée possible pour toutes les parties. 7
La Chambre Contentieuse estime que cette demande n'entrave pas l'accès à l'APD.
55. Ensuite, la Chambre Contentieuse traite les constatations du Rapport d'inspection qui établissent que l'ancienne déclaration de confidentialité ne mentionne pas effectivement toutes les informations obligatoires des articles 13 et 14 du RGPD. Le Service d'Inspection constate que la déclaration de confidentialité ne donne aucune information concrète sur les destinataires ou catégories de destinataires des données à caractère personnel (articles 13.1.e) et 14.1.e) du RGPD). La Chambre Contentieuse constate que l'ancienne déclaration de confidentialité dispose que les données à caractère personnel des personnes concernées sont traitées exclusivement pour un usage interne au sein de l'organisation du défendeur et que les données à caractère personnel ne seront pas vendues, transmises ou communiquées à des tiers, sauf si la personne concernée a donné son consentement explicite à cet effet ou si le transfert est nécessaire à l'exécution du contrat ou est légalement obligatoire. La Chambre Contentieuse fait remarquer que dans la déclaration de confidentialité de juin 2022, le défendeur a pris en compte les remarques du Service d'Inspection, étant donné qu'il a repris un relevé des destinataires des données à caractère personnel, leur rôle, un renvoi vers la déclaration de confidentialité des destinataires et le fondement juridique sur la base duquel ils reçoivent les données à caractère personnel.
56. Le Service d'Inspection a également constaté qu'il y avait une violation de l'article 13.2.e) du RGPD, étant donné qu'aucune information n'a été donnée quant à savoir si la personne concernée est obligée de fournir les données à caractère personnel et quelles sont les conséquences potentielles si ces données ne sont pas fournies. Dans ce cadre, le Service d'Inspection souligne qu'au titre 4 "Quelles données à caractère personnel sont traitées, pour quelle finalité et sur quelle base juridique" de l'ancienne déclaration de confidentialité, il est seulement mentionné que le traitement de données à caractère personnel est nécessaire "à l'exécution du contrat entre l'utilisateur et [le défendeur]". La Chambre Contentieuse constate que l'ancienne déclaration de confidentialité indiquait certes que la fourniture des données à caractère personnel par la personne concernée était nécessaire à l'exécution du contrat, mais ne mentionnait pas en revanche les conséquences si ces données n'étaient pas fournies par la personne concernée, comme l'exige l'article 13.2.e) du RGPD. Entre-temps, les informations nécessaires ont été ajoutées dans la déclaration de confidentialité de juin 2022, énoncées comme suit : "La fourniture de vos données à caractère personnel est obligatoire si vous souhaitez créer un compte sur [plateforme].
Si vous ne nous fournissez pas vos données à caractère personnel, il n'est malheureusement pas possible de créer un compte sur [plateforme]. Vous ne pourrez alors pas accéder à notre plateforme." La Chambre Contentieuse constate que la déclaration de confidentialité de juin 2022 respecte ainsi l'article 13.2.e) du RGPD, de sorte qu'il est question d'une violation historique de cet article étant donné qu'il a entre-temps été remédié à cette violation.
57. Le Rapport d'inspection constate également que la déclaration de confidentialité mentionne à tort que la personne concernée n'a le droit d'introduire une plainte auprès de l'autorité de contrôle compétente qu'après avoir d'abord adressé une notification au défendeur, ce qui ne serait pas conforme à l'article 13.2.d) du RGPD et à l'article 14.2.e) du RGPD et qu'il manque un relevé des contrôleurs compétents.
58. La Chambre Contentieuse constate que l'article 13.2.d) du RGPD prescrit que la personne concernée doit être informée qu'elle a le droit d'introduire une plainte auprès d'une autorité de contrôle. Vu le domaine dans lequel le défendeur est actif, à savoir l'enseignement artistique à temps partiel en Flandre, le fait de renvoyer uniquement à l'APD suffit dans ces circonstances spécifiques. La Chambre Contentieuse estime qu'il n'est en l'occurrence pas utile de reprendre un renvoi vers d'autres autorités de contrôle dans l'Union européenne. Un renvoi vers toutes les autorités de contrôle possibles entraverait en effet l'exigence d'une information concise, compréhensible et transparente.
59. En ce qui concerne le grief du plaignant selon lequel l'ancienne déclaration de confidentialité n'indique pas clairement les différents traitements et les informations y afférentes par traitement, la Chambre Contentieuse constate que c'était en effet le cas, ce qui constitue une violation de l'article 12.1 du RGPD. La Chambre Contentieuse constate que dans la version 2022 de la déclaration de confidentialité, le défendeur reprend ces informations de manière claire et synoptique, de sorte qu'il a été remédié à cette violation.
60. Au vu de ces éléments, la Chambre Contentieuse estime qu'il était question d'une violation de l'article 12.1 du RGPD, d'une part en raison de la mention, dans l'ancienne déclaration de confidentialité - telle qu'examiné par le Service d'Inspection -, du passage stipulant que les personnes concernées doivent vérifier régulièrement si la déclaration de confidentialité a été modifiée ou actualisée, et d'autre part en raison du manque de clarté dans la présentation des informations relatives aux traitements de données à caractère personnel.
Par ailleurs, la Chambre Contentieuse constate qu'il était question d'une violation de l'article 13.2.e) du RGPD, étant donné qu'aucune information n'a été indiquée quant à l'obligation pour la personne concernée de fournir les données à caractère personnel et aux conséquences éventuelles si ces données ne sont pas fournies. Enfin, la Chambre Contentieuse conclut que le manque d'information concrètes dans la déclaration de confidentialité, telle qu'analysée par le Service d'Inspection, sur les destinataires des données à caractère personnel constituait une violation de l'article 13.1.e) et de l'article 14.1.e) du RGPD. La Chambre Contentieuse fait remarquer qu'il a entre-temps été remédié à ces violations historiques.
II.5. Article 17 du RGPD : Droit à l'effacement
61. L'article 17.1 du RGPD dispose que la personne concernée peut obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et que le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière.
62. Conformément à l'article 12.3 du RGPD, le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22 du RGPD, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de 2 mois, compte tenu de la complexité et du nombre de demandes.
Le responsable du traitement informe la personne concernée de cette prolongation dans un délai d’un mois à compter de la réception de la demande. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d'un mois à compter de la réception de la demande des motifs de son inaction (article 12.4 RGPD).
63. Le 7 juin 2021, le plaignant a demandé au défendeur de supprimer ses données à caractère personnel. Le même jour, le défendeur a répondu à la requête du plaignant et il a ensuite précisé cette réponse le 15 juin 2021. Le défendeur affirme dès lors qu'il a répondu à la requête du plaignant dans le délai prescrit d'un mois, conformément à l'article 12.4 du RGPD, à savoir en indiquant qu'il ne pouvait pas donner suite à la requête, étant donné que pour ce traitement, il n'intervenait pas en tant que responsable du traitement. En ce qui concerne la gestion des inscriptions, l'académie en question est le responsable du traitement, étant donné que le compte est relié à l'académie. Le défendeur précise que son seul rôle dans le cadre de la gestion des inscriptions est le traitement de données à caractère personnel à la demande de l'académie. Le défendeur intervient donc dans ce cas en tant que sous-traitant.
Le défendeur a ensuite informé le plaignant qu'il devait adresser sa demande d'effacement à l'académie, de sorte que le compte puisse être dissocié. Dès que le compte serait dissocié, le défendeur aurait la possibilité de supprimer les données à caractère personnel pour lesquelles il est responsable du traitement.
64. La Chambre Contentieuse constate que l'article 17.1 du RGPD prescrit que le responsable du traitement doit effacer les données à caractère personnel à la demande du plaignant.
Étant donné que le défendeur n'était pas responsable du traitement de données à caractère personnel au moment de la requête, le défendeur ne peut pas être accusé de ne pas avoir procédé à l'effacement. Le défendeur a également informé le plaignant dans le délai d'un mois prescrit par l'article 12.4 du RGPD quant aux motifs pour lesquels il ne pouvait pas accéder à la demande d'effacement.
65. La Chambre Contentieuse conclut donc qu'il n'y a pas de violation de l'article 12.4 du RGPD j° l'article 17.1 du RGPD.
66. La Chambre Contentieuse souligne toutefois qu'il incombe au responsable du traitement de faciliter l'exercice des droits des personnes concernées, conformément à l'article 12.2 du RGPD, même lorsque ce droit est exercé à l'égard d'un sous-traitant. Il appartient au responsable du traitement et au sous-traitant de prévoir les clauses utiles dans le contrat de sous-traitance conformément à l'article 28.3.e) du RGPD.
67. Lors de l'audition, le défendeur a expliqué qu'il avait entre-temps adapté sa méthode de travail. Désormais, en cas de demande d'effacement, le compte est effacé de la plateforme Z ; toutefois, les données se trouvant à l'académie d'inscription sont conservées parce qu'un autre fondement juridique s'applique alors, comme l'exécution d'un contrat entre l'académie et la personne concernée (article 6.1.b) du RGPD), ou comme une obligation décrétale de conserver certaines données à caractère personnel d'élèves pendant une période déterminée8 (article 6.1.c) du RGPD). Le défendeur indique à la personne concernée que son compte a été supprimé et que s'il souhaite y accéder de nouveau à l'avenir, un nouveau compte peut être créé et qu'un lien avec les élèves est alors de nouveau requis. Une fois qu'un compte a été supprimé, il l'est intégralement. Les données sont toutefois encore traitées par les écoles, parce que le décret sur l'enseignement artistique à temps partiel dispose ce qu'il doit advenir de ces données et qu'il prescrit également un délai de conservation déterminé.
III. Sanctions
68. D'après les pièces du dossier, la Chambre Contentieuse conclut qu'il y a eu plusieurs violations du RGPD.
69. Aux termes de l’article 100 de la LCA, la Chambre Contentieuse a le pouvoir de :
1° classer la plainte sans suite ;
2° ordonner le non-lieu ;
3° prononcer une suspension du prononcé ;
4° proposer une transaction ;
5° formuler des avertissements et des réprimandes ;
6° ordonner de se conformer aux demandes de la personne concernée d'exercer ses droits ;
7° ordonner que l'intéressé soit informé du problème de sécurité ;
8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement ;
9° ordonner une mise en conformité du traitement ;
10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données ;
11° ordonner le retrait de l'agréation des organismes de certification ;
12° donner des astreintes ;
13° donner des amendes administratives ;
14° ordonner la suspension des flux transfrontières de données vers un autre État ou un organisme international ;
15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier ;
16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données.
70. D'après les pièces du dossier, la Chambre Contentieuse conclut qu'il y a eu plusieurs violations du RGPD. Plus particulièrement, il était question d'une violation de l'article 12.1 du RGPD, en raison d'une part de la mention, dans l'ancienne déclaration de confidentialité, telle qu'analysée par le Service d'Inspection, du passage indiquant que les personnes concernées doivent vérifier régulièrement si la déclaration de confidentialité a été modifiée ou actualisée, et d'autre part du manque de clarté des informations relatives aux traitements de données à caractère personnel. Par ailleurs, il était gestion d'une violation de
l'article 13.2.e) du RGPD étant donné qu'aucune information n'avait été donnée quant à savoir si la personne concernée était obligée de fournir les données à caractère personnel et quelles étaient les conséquences éventuelles si ces données n'étaient pas fournies, mais il a été remédié à cette violation par le défendeur. Ensuite, la Chambre Contentieuse constate que le manque d'informations concrètes dans l'ancienne déclaration de confidentialité sur les destinataires de données à caractère personnel constituait une
violation de t'article 13.1.e) et de l'article 14.1.e) du RGPD. La Chambre Contentieuse observe qu'il a entre-temps été remédié à ces violations.
71. La Chambre Contentieuse décide dans ce cas de formuler une réprimande pour les violations du RGPD identifiée ci-dessus. Le fait que les faits se sont produits il y a un certain temps et surtout le fait qu'au cours de la procédure, le défendeur a remédié aux violations constatée justifient de ne pas imposer de sanction plus lourde.
IV. Publication de la décision
72. Vu l'importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l'Autorité de protection des données. Toutefois, il n'est pas nécessaire à cette fin que les données d'identification des parties soient directement communiquées.
PAR CES MOTIFS,
la Chambre Contentieuse de l'Autorité de protection des données décide, après délibération:
- en vertu de l'article 100, § 1er , 5° de la LCA, de réprimander le défendeur pour les violations (historiques) concernant les obligations d'information de l'article 12.1, de l'article 13.2.e) et des articles 13.1.e) et 14.1.e) du RGPD ; et
- en vertu de l'article 100, § 1er , 1° de la LCA, de classer sans suite les autres constatations traitées dans la présente décision étant donné qu’a cet égard, aucune violation du RGPD n'a été constatée.
En vertu de l'article 1O8, § 1er de la LCA, cette décision peut faire l'objet d'un recours auprès de la
Cour des marchés (Cour d'appel de Bruxelles) dans un délai de trente jours à compter de sa notification, avec l'Autorité de protection des données en qualité de défenderesse.
Un tel recours peut être introduit au moyen d'une requête contradictoire qui doit comporter les mentions énumérées à l'article 1034ter du Code judiciaire9. La requête contradictoire doit être déposée au greffe de la Cour des marchés conformément à l'article 1034quinquies du Code judiciaire10, ou via le système informatique e-Deposit de la Justice (article 32ter du Code judiciaire).
(sé.) Hielke HIJMAN
Président de la Chambre Contentieuse
Document PDF ECLI:BE:GBAPD:2025:DEC.20250313.2
Publication(s) liée(s)
suivi par:
ECLI:BE:GBAPD:2025:AVIS.20250630.2
ECLI:BE:GBAPD:2025:AVIS.20250630.4