ECLI:BE:GBAPD:2025:DEC.20250221.3

Chambre Contentieuse Décision quant au fond 33/2025 du 21 février 2025 Numéro de dossier : DOS-2018-03758 Objet : décision de transaction après une plainte relative à de présumées erreurs dans le plan de suivi de l’enfant mineur de la plaignante et au traitement du plan via une plateforme scolaire numérique La Chambre Contentieuse de l'Autorité de protection des données, constituée de monsieur Hielke HIJMANS, président siégeant seul ; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après "RGPD" ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, ci-après "LCA" ; Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ; Vu les pièces du dossier ; A pris la décision suivante concernant : la plaignante : X, ci-après "la plaignante" ; et la partie à la transaction : Y, ci-après "la partie à la transaction". Décision quant au fond 33/2025 — 2/28 I. Procédure préalable à la transaction I.1. La plainte 1. Le 19 juillet 2018, la plaignante dépose plainte auprès de l’Autorité de protection des données ("APD") contre la partie à la transaction. 2. En ce qui concerne l’objet de la plainte, l’enquête subséquente du Service d’Inspection et la procédure quant au fond qui a suivi cette enquête, il est intégralement fait référence à la proposition de transaction jointe en annexe de la présente décision. 3. La Chambre Contentieuse souligne le long délai de traitement du dossier, pour lequel elle a à plusieurs reprises présenté ses excuses à l’égard des deux parties, qu’elle réitère encore par la présente. I.2. La proposition de transaction : réaction de la plaignante 4. Le 3 octobre 2024, la Chambre Contentieuse adresse un courrier à la plaignante dans lequel elle l’informe de son intention de procéder à une proposition de transaction. La plaignante se voit ainsi offrir la possibilité de communiquer ses éventuelles remarques sur les conditions de la proposition de transaction envisagée, et ce pour le 21 octobre 2024. 5. Le 28 octobre 2024, la plaignante répond au courrier de la Chambre Contentieuse. La plaignante exprime ainsi son mécontentement concernant le déroulement de la procédure et ne transmet en outre aucune remarque concrète quant à la proposition de transaction envisagée. 6. Le 31 octobre 2024, la Chambre Contentieuse répond à l’e-mail de la plaignante, en présentant une fois de plus ses excuses pour le long délai de traitement du dossier ; elle souligne toutefois que - malgré l’ancienneté du dossier - son intention est bel et bien de parvenir à un résultat constructif. I.3. La proposition de transaction : procédure avec la partie à la transaction 7. Le 7 novembre 2024, la Chambre Contentieuse transmet à la partie à la transaction la proposition de transaction - telle que reprise intégralement dans l’annexe de la présente décision. 8. Le 22 novembre 2024, une copie du dossier est réclamée et elle est fournie le 28 novembre 2024. 9. Le 27 décembre 2024, la partie à la transaction transmet à la Chambre Contentieuse un courrier comprenant plusieurs remarques concernant la proposition de transaction. Décision quant au fond 33/2025 — 3/28 Le 13 janvier 2025, la Chambre Contentieuse répond à ces remarques, en proposant notamment une reformulation de la première condition et un ajout à la troisième condition. 10. Le 22 janvier 2025, la partie à la transaction répond qu’elle accepte la transaction avec les conditions adaptées ; ces dernières étant reprises dans la section II de la présente décision. Une transaction est ainsi élaborée, formalisée par la présente décision de transaction. Les délais visés dans les conditions exposées dans la transaction prennent cours à partir de la date de la notification de la présente décision. II. Conditions de la transaction II.1. Conditions reformulées dans le cadre de la procédure de transaction 11. La Chambre Contentieuse précise qu’à la lumière du bon déroulement procédural, la procédure de transaction est scindée en une proposition de transaction d’une part et en la présente décision de transaction d’autre part. Cette méthode veille à ce que le point de départ et le point final de la procédure soient clairs pour toutes les parties impliquées, y compris les possibilités de recours dans les deux phases distinctes par l’ajout des clauses de recours. L’adoption d’une décision de transaction facilite également la transparence de la procédure de transaction, dès lors que la Chambre Contentieuse opte pleinement pour une telle transparence. 12. Pendant la procédure de transaction, la partie à la transaction a exprimé plusieurs objections sur la formulation des conditions initiales dans la proposition de transaction. La Chambre Contentieuse a ensuite proposé une formulation modifiée de ces conditions, sur laquelle la partie à la transaction a marqué son accord. 13. La Chambre Contentieuse précise en la matière, et sans aucune ambiguïté, que le texte de la première condition formulée à la section III.3.1 de la proposition de transaction est intégralement retiré et que le texte suivant le remplace intégralement. La partie à la transaction s’engage uniquement à l’exécution de la condition reprise ci-dessous. La première condition est libellée comme suit : "La défenderesse reconnaît que des données à caractère personnel doivent avoir été reproduites de manière exacte, au sens de l’article 5.1.d) du RGPD. Elle doit pouvoir démontrer l’exactitude des données à caractère personnel ou la vérifier si une contestation survenait et elle doit notamment prendre toutes les mesures possibles pour pouvoir vérifier l’exactitude au besoin, comme retrouver l’auteur d’une interprétation déterminée afin de pouvoir vérifier l’exactitude de la donnée (notamment en interne). Cela ne signifie pas que la donnée à caractère personnel litigieuse était par défaut inexacte. La défenderesse s'engage à prendre les mesures techniques et organisationnelles nécessaires afin de s'assurer que de tels Décision quant au fond 33/2025 — 4/28 plans de suivi impliquant le traitement de données à caractère personnel ne comportent que des informations exactes. Les mesures concrètes en la matière ne doivent pas être communiquées à la Chambre Contentieuse mais elle doivent toutefois être tenues à jour en interne et de façon formelle." 14. La Chambre Contentieuse précise en la matière, et sans aucune ambiguïté, que le texte de la troisième condition formulée à la section III.3.1 de la proposition de transaction est intégralement retiré et que le texte suivant le remplace intégralement, en soulignant notamment que cette condition est une obligation de moyen. La partie à la transaction s’engage uniquement à l’exécution de la condition reprise ci-dessous. La troisième condition est libellée comme suit : "La défenderesse veille à ce que des fichiers de journalisation soient tenus à jour concernant les personnes qui procèdent à des adaptations dans les plans de suivi (comme dans le dossier), sans que cela signifie que l’identité de ces personnes doive être communiquée entre elles ou aux personnes concernées. La défenderesse peut à cet effet prendre les mesures nécessaires de manière à ce que seul un nombre (limité) de personnes habilitées puissent, au besoin, retrouver qui a procédé aux adaptations en la matière. La défenderesse informe explicitement la Chambre Contentieuse que les démarches nécessaires ont été entreprises à cet égard, au plus tard le 60e jour après la notification d’une décision de transaction dans le présent dossier. Si la tenue à jour de fichiers de journalisation et de rôles exige des interventions (techniques) extrêmement importantes et qu’il s’avère que celles-ci ne peuvent pas être réalisées dans la période prévue de 60 jours, la défenderesse informe la Chambre Contentieuse dans ces 60 jours des mesures prises et prévues jusqu’alors, y compris la concertation qui est programmée avec Schoolplatform en la matière." III. Publication de la décision 15. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l’Autorité de protection des données. Toutefois, il n’est pas nécessaire à cette fin que les données d’identification des parties soient directement communiquées. Décision quant au fond 33/2025 — 6/28 Annexe – proposition de transaction Décision quant au fond 33/2025 — 7/28 Chambre Contentieuse Par envoi recommandé: […] Secrétariat La défenderesse Adresse : Rue de la Presse, 35 à 1000 Bruxelles T : +32 (0)2 274 48 56 E-mail : litigationchamber@apd-gba.be Par e-mail : À l’attention, pour information, de […] La plaignante À l’attention, pour information, du délégué à la protection des données du Katholiek Onderwijs Vlaanderen (Enseignement catholique de Flandre) Par e-mail : [adresse e-mail] Vos références Nos références Annexe(s) Date / DOS-2018-03758 04/11/2024 Objet : proposition de transaction dans le dossier concernant une plainte introduite par Madame [...] contre […] (application de l'art. 100, § 1er, 4° de la LCA) Madame, Monsieur, La Chambre Contentieuse renvoie au dossier susmentionné. Vous avez été informé(e) précédemment de l’existence du dossier par envoi recommandé du 26 novembre 2019. La défenderesse a déposé ses conclusions en réplique le 4 février 2020. La Chambre Contentieuse souhaite d’abord et avant tout présenter ses excuses pour le délai de traitement du présent dossier. Dans ce dossier, une situation administrative interne a engendré un délai de traitement du dossier plus long que la moyenne. Dans le contexte du grand nombre de dossiers en attente d'être examinés par la Chambre Contentieuse, ce qui entraîne de longs délais de traitement pour la totalité des dossiers, la Chambre Contentieuse a décidé, en vertu de l'article 100, § 1 er, 4° de la loi portant création de l'Autorité de Décision quant au fond 33/2025 — 8/28 protection des données ("LCA")3, de soumettre par le présent courrier une proposition de transaction dans le dossier visé sous rubrique ("proposition de transaction"). Dans le cadre du traitement de ses dossiers, la Chambre Contentieuse doit procéder à des choix minutieux, de manière à pouvoir traiter avec la diligence nécessaire divers dossiers (de plainte) présentant une pertinence sociétale. Le législateur belge a souligné en la matière la nécessité pour la Chambre Contentieuse de pouvoir intervenir de manière sélective, afin d’assurer une mise en œuvre effective4. Néanmoins, la Chambre Contentieuse a examiné le dossier en détail et souhaite encore parvenir à un résultat constructif en vue du traitement. De cette manière, malgré l’ancienneté du dossier, toutes les parties concernées peuvent encore retirer un avantage potentiel - comme pour l’amélioration des mesures techniques et organisationnelles afin d’éviter à l’avenir des problématiques ou des griefs similaires. En bref, la défenderesse devrait s’engager à respecter trois conditions pour que la transaction ait lieu, après quoi le dossier pourra être clôturé : 1. [La défenderesse reconnaît avoir commis une erreur dans le compte rendu des faits en formulant dans le plan de suivi litigieux que la plaignante utilisait son fils comme "un pion". La défenderesse s'engage à prendre les mesures techniques et organisationnelles nécessaires afin de s'assurer que de tels plans de suivi impliquant le traitement de données à caractère personnel ne comportent que des informations exactes. Les mesures concrètes en la matière ne doivent pas être communiquées à la Chambre Contentieuse mais elles doivent toutefois être tenues à jour en interne et de façon formelle..] 2. La défenderesse s'engage à prendre les mesures techniques et organisationnelles nécessaires afin de veiller à toujours pouvoir garantir la bonne gestion du traitement des données à caractère personnel dans le cadre des plans de suivi (similaires à celui du dossier). Les mesures concrètes en la matière ne doivent pas être communiquées à la Chambre Contentieuse mais elles doivent toutefois être tenues à jour en interne et de façon formelle. 3. La défenderesse veille à ce que fichiers de journalisation soient tenus à jour concernant les personnes qui procèdent à des adaptations dans les plans de suivi (comme dans le dossier), sans que cela signifie que l’identité de ces personnes doive être communiquée entre elles ou aux personnes concernées. La défenderesse peut à cet effet prendre les mesures 3 M.B., 10 janvier 2018. 4 Chambre des représentants de Belgique, Exposé des motifs du projet de loi portant création de l'Autorité de protection des données, Doc. 2648/001 (législature 54), disponible à l'adresse : https://www.dekamer.be/kvvcr/showpage.cfm?section=/flwb&language=fr&cfm=/site/wwwcfm/flwb/flwbn.cfm?lang=N&legi slat=54&dossierID=2648, 51 ; voir également : E. Degraeve, "Titre 11. Autorité de contrôle" in C. DE TERWANGNE et K. ROSIER, Le Règlement sur la protection des données (RGPD/GDPR) – 1re édition, Larcier, 2018, (593)607 : "[L’autorité de contrôle] peut ainsi exercer ses missions de contrôle et apprécier la suite à donner aux plaintes éventuelles qui sont adressées." Décision quant au fond 33/2025 — 10/28 III.1. Au préalable : faits et procédure Vu le temps écoulé depuis la dernière étape procédurale dans le présent dossier, la Chambre Contentieuse procède à un récapitulatif des antécédents dans cette procédure. III.1.1. La plainte 1. Le 16 juillet 2018, la plaignante introduit une plainte auprès de l'Autorité de protection des données contre la défenderesse. 2. L'objet de la plainte concerne le contenu d’un "plan de suivi" éducatif du fils [...] de la plaignante et l’accès à celui-ci, tel qu’établi par l’école qui fait partie de la défenderesse et relève de sa responsabilité. Le plan de suivi contenait également des données à caractère personnel de la plaignante, en sa qualité de mère et tutrice légale de son fils. Dans le cas présent, la plaignante dénonce le fait que les informations à son sujet figurant dans le plan de suivi auraient eu des conséquences factuelles et juridiques négatives. 3. Concrètement, selon la plaignante, le plan de suivi contiendrait l’information selon laquelle elle utilisait son fils [...] "comme un pion" "dans la communication avec [son] ex-mari"5 . Cette information aurait eu un effet négatif pour la plaignante dans une procédure devant le Tribunal de la jeunesse impliquant la plaignante, l’ex-mari de la plaignante ainsi que leur fils commun [...]. Dans le cadre de l’exercice de son droit d’accès à l’information, la plaignante n’aurait pas su clairement quelle personne avait ajouté cette information la concernant dans le plan de suivi ou la défenderesse n’aurait pas clarifié cette information. Dans la plainte, elle écrit : "Je leur [la défenderesse] ai demandé de vérifier qui avait mis cette info dans le rapport […] Jusqu'à présent, ils n'ont pas pu me donner de réponse à cette question."6 Suite à cette réponse, la plaignante déclare également qu’elle s’interroge quant aux mesures prises par la défenderesse en matière de sécurité des données à caractère personnel reprises dans le plan de suivi. Dans la plainte, elle écrit : "Je ne trouve toutefois pas acceptable que l’école autorise tout le monde à accéder au même ordinateur et ne puisse pas tracer qui introduit quelles données dans le système." 5. Un extrait d’un échange d’e-mails entre la plaignante et un collaborateur de la défenderesse est joint à la plainte ; la véracité du compte rendu de cet échange n’est pas remise en cause lors de la procédure auprès de l’Autorité de protection des données ("APD"). Dans une pièce jointe à la plainte, un collaborateur de la défenderesse ([...]) affirme dans un e-mail adressé à la plaignante : "[...] je ne peux pas retrouver qui a procédé à cet ajout dans le dossier étant donné qu’il y a bel et bien des identifiants mais aucune répartition selon qui adapte quoi." Dans un e-mail ultérieur envoyé par le même collaborateur à la plaignante, on peut lire : "Nous ne savons toujours pas qui a encodé cette information. J’essaie quoi qu’il en soit d’encore le découvrir et j’interpellerai personnellement la personne concernée à ce sujet. Entre-temps, j’ai également procédé à l’adaptation dans son dossier et je vous transmets par la présente la version adaptée."7 6. Il convient de souligner que la plainte initiale visait en tant que responsable du traitement une école qui est un établissement de la défenderesse, qui fait à son tour partie d’un groupement d'écoles ; suite à la procédure devant la Chambre Contentieuse, la défenderesse se désigne elle-même en tant que responsable du traitement, notamment responsable des traitements de données à caractère personnel au sein de l’établissement scolaire qui était mentionné dans la plainte initiale. La défenderesse n’était donc même pas désignée en sa qualité de responsable du traitement dans la plainte mais assume ce rôle étant donné que l’école dont il est question dans la plainte fait intégralement partie de la défenderesse.8 III.1.2. Enquête du Service d'Inspection 7. Le 30 juillet 2018, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA. 8. Le 3 octobre 2018, la Chambre Contentieuse décide de demander une enquête au Service d'Inspection, en vertu des articles 63, 2° et 94, 1° de la LCA. 9. Le 12 novembre 2019, l’enquête du Service d’Inspection est clôturée, le rapport est joint au dossier et celui-ci est transmis par l’inspecteur général au président de la Chambre Contentieuse (art. 91, § 1er et § 2 de la LCA). 10. Le rapport comporte des constatations relatives à l'objet de la plainte et conclut que : 11. En vertu de l’article 4, point 12) ; de l’article 5, paragraphe 1, point f) ; de l’article 33 et de l’article 34 du RGPD, il y a plusieurs objections négatives dans le chef de la défenderesse en ce qui concerne l’intégrité des données à caractère personnel qui figurent dans le plan de suivi.9 12. Le rapport comporte en outre des constatations qui dépassent l’objet de la plainte. Le Service d’Inspection constate, dans les grandes lignes, que : - aucun registre des activités de traitement au sens de l’article 30 du RGPD n’a initialement été communiqué au Service d’Inspection, après que ce dernier ait demandé ce registre des activités de traitement auprès de la défenderesse. Ce n’est qu’après une constatation provisoire à cet égard faisant part à la défenderesse de l'absence d’indication selon laquelle un registre des activités de traitement a été établi que la défenderesse a transmis au Service d’Inspection un document non daté et non signé10. - la défenderesse n’a pas rempli son obligation de responsabilité à l’égard du Service d’Inspection lorsque, selon ce dernier, il y a eu des indications selon lesquelles l’intégrité des données à caractère personnel n’était pas suffisamment protégée en raison de mesures de sécurité inadéquates et dans ce sens, qu’il y avait lieu de constater des violations au sens de l’article 5, paragraphe 1, point f) juncto l’article 32, paragraphe 1, point b) du RGPD11. - la défenderesse traite des données à caractère personnel qui concernent des personnes vulnérables (à savoir des mineurs) et qui pourraient comporter des risques particuliers, les mesures techniques et organisationnelles dans ce cadre auraient dû être orientées sur ces personnes, dans l’esprit et dans le sens de l’article 24, paragraphe 1 ; de l’article 25, paragraphe 1 et de l’article 32, paragraphe 1 du RGPD 12. - aucun "enregistrement correct des incidents" n’a été conservé par la défenderesse au sens de l’article 33, paragraphe 5, lu conjointement avec l’article 32 du RGPD, dès lors que les incidents décrits dans la plainte n’ont pas été mentionnés ou tenus à jour par la défenderesse ou une personne désignée par elle. III.1.3. Traitement quant au fond 13. Le 26 novembre 2019, la Chambre Contentieuse décide, en vertu de l’article 95, § 1 er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond. 14. Sur la base du rapport du Service d’Inspection, la Chambre Contentieuse décide de scinder le dossier en deux affaires distinctes : - En vertu de l’article 92, 1° de la LCA, la Chambre Contentieuse prendra une décision sur le fond en ce qui concerne l’objet de la plainte - En vertu de l’article 92, 3° de la LCA, la Chambre Contentieuse prendra une décision sur le fond, suite aux constatations effectuées par le Service d’Inspection en dehors du cadre de la plainte. 15. Le 26 novembre 2019, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions. 16. La date limite pour la réception des conclusions en réponse de la défenderesse a été fixée au 6 janvier 2020, celle pour les conclusions en réplique de la plaignante au 21 janvier 2020 et celle pour les conclusions en réplique de la défenderesse au 5 février 2020. 17. Le 2 décembre 2019, la défenderesse accepte de recevoir toutes les communications liées au dossier par voie électronique et elle demande une copie du dossier (art. 95, § 2, 3° de la LCA), qui lui est transmise le 4 décembre 2019. Le 9 décembre 2019, la défenderesse demande qu’une pièce lui soit à nouveau fournie, étant donné que certaines parties ne seraient pas lisibles ; cette pièce lui est transmise le 10 décembre 2019. III.1.4. Conclusions en réponse de la défenderesse 18. Le 6 janvier 2020, la Chambre Contentieuse reçoit les conclusions en réponse de la part de la défenderesse, 19. dans lesquelles cette dernière affirme notamment que le plan de suivi qui fait l’objet de la plainte fait partie de ses obligations légales en vertu entre autres de l’article 46 du Décret relatif à l’enseignement fondamental du 25 février 1997 (M.B. du 17 avril 1997). En outre, la défenderesse précise que ce plan de suivi ne constitue "pas un document statique" mais bien qu’ "il est adapté au cours de l’année scolaire par les personnes qui accompagnent l’élève concerné […]” 20. La défenderesse ajoute qu’elle a toujours transmis le plan de suivi à la plaignante, à sa demande, en tant que représentant légal de la personne faisant l’objet de ce plan de suivi, et que, selon elle, le droit d’accès a également été suffisamment respecté. À la demande de la plaignante, les informations présumées fautives dans le plan de suivi faisant l’objet de la plainte ont également été "retirées du rapport" ; le droit de rectification au sens de l’article 16 du RGPD a donc, selon la défenderesse, été correctement respecté. 21. La défenderesse souligne que le plan de suivi "n’est transmis en aucune façon à des assistants externes, des instances externes ou d’autres tiers", sauf lorsque les parents le demandent explicitement. Concernant l’intégrité des données à caractère personnel pendant les activités de traitement, la défenderesse affirme en outre que celle-ci "est garantie par le système logiciel[…] Schoolplatform. Seuls les acteurs, les enseignants et les thérapeutes concernés disposent de droits de lecture et de modification dans le système de suivi des élèves via un nom d’utilisateur et un mot de passe personnels.” 22. Dans ses conclusions en réponse, la défenderesse affirme que des "données de connexion" établissant quelles personnes ("uniquement les personnes habilitées") ont eu accès au plan de suivi sont disponibles. En outre, la défenderesse estime qu’ "il n’y a jamais eu de violation de données à caractère personnel" et que dès lors, aucune notification d’un quelconque incident ou d’une quelconque violation de données à caractère personnel n’a eu lieu. III.1.5. Conclusions en réplique de la plaignante 23. Le 16 janvier 2020, la Chambre Contentieuse reçoit les conclusions en réplique de la part de la plaignante dans lesquelles celle-ci objecte notamment qu’il est "étrange" que le plan de suivi ait été communiqué au père de son fils par e-mail. La plaignante s’interroge aussi concernant les modifications apportées dans le plan de suivi et déclare : "qui a modifié et/ou complété le plan de suivi original et quand ?" La plaignante a des questions sur les "deux versions du ‘plan de suivi’ en circulation". 24. La plaignante conteste en outre que l’accessibilité à la plateforme de Schoolplatform soit limitée : "Les données du ‘plan de suivi’ n’étaient manifestement pas uniquement accessibles via le système logiciel ‘schoolplatform’ par les utilisateurs disposant d’un nom d’utilisateur personnel et d’un mot de passe correspondant.” III.1.6. Conclusions en réplique de la défenderesse 25. Le 4 février 2020, la Chambre Contentieuse reçoit les conclusions en réplique de la part de la défenderesse 26. dans lesquelles elle estime important que la plaignante - sur la base des déclarations de celle-ci dans ses propres conclusions en réplique - "[attend] bien de l'école qu'elle assure le suivi de son fils et que ces informations soient notées quelque part." La défenderesse affirme également qu'il est important que ces informations "soient consignées quelque part dans un dossier”. 27. La défenderesse répond ensuite à l'allégation selon laquelle il existerait plusieurs versions du plan de suivi, car selon elle, seul le moment de la consultation par un autre représentant légal (en l'occurrence le père) a donné lieu à différentes versions du plan de suivi. La défenderesse déclare à cet égard : "Il n'y a pas de 'plan de suivi original', vu que le plan de suivi est en soi un document dynamique." Pour étayer cette affirmation, la défenderesse se réfère aux différentes versions du plan de suivi à différents moments dans le temps, telle qu'elles ont été communiquées aux deux parents dans ce contexte. 28. La défenderesse souligne ensuite que l'apport d'adaptations au plan de suivi au moyen de la plateforme [...] est par définition limité, étant donné qu'il "s'agit précisément d'un système qui ne peut être utilisé qu'à condition d'avoir au minimum un nom d'utilisateur et un mot de passe correspondant." Dans ce contexte, la défenderesse fait valoir qu'au moment du dépôt des conclusions, elle s’attelait à la mise en œuvre d'une authentification multifactorielle. La défenderesse dément également que des adaptations au plan de suivi seraient "invérifiables", vu que les données de connexion "[permettent] à l'école de vérifier qui [modifie] quelque chose à quel moment." 30. Dans ses conclusions en réplique du 4 février 2020, la défenderesse ajoute aussi des arguments concernant les constatations complémentaires du Service d'Inspection. 31. Premièrement, la défenderesse affirme que le registre des activités de traitement qu'elle a fourni est celui "qui est utilisé dans l'enseignement". 32. La défenderesse déclare ensuite : "le fait que pour la période entre le 27/11/2018 et le 20/08/2019, aucune étape n'apparaisse dans la 'ligne du temps approximative' du 'registre des activités de traitement [...] ne signifie pas que rien n'a été fait pendant cet intervalle". 33. La défenderesse demande également à la Chambre Contentieuse de préciser si elle doit enregistrer qui a ajouté quelle valeur au plan de suivi ; elle se réfère dans ce contexte à l'importance de cette clarification pour d'autres établissements d'enseignement et à "l'impact financier pour cet établissement d'enseignement" si cela devait effectivement constituer une obligation au sens du RGPD. 34. Ensuite, dans sa réponse aux éléments repris dans le rapport d'inspection concernant l' "approche basée sur les risques", la défenderesse se réfère à la base légale pour le plan de suivi : "Le document a pour finalité de cartographier le contexte dans lequel l'élève accomplit son parcours scolaire. Le document n'as pas vocation à être utilisé dans un différend juridique entre parents". 35. En ce qui concerne le respect des articles 13 et 14 du RGPD, la défenderesse précise également que son site Internet "contient une nouvelle déclaration de confidentialité reprenant très clairement quels sont les traitements que l'école effectue afin que tout le monde soit informé de manière transparente des modalités et des finalités d'un traitement de données à caractère personnel par l'école." 36. En ce qui concerne le délégué à la protection des données, la défenderesse reconnaît que ce dernier n'a pas été impliqué en temps opportun. Elle affirme qu'il importe peu de savoir "à quel titre un délégué à la protection des données travaille par rapport au responsable du traitement [...]". La défenderesse déclare qu'il n'est cependant pas exclu que les personnes concernées " puissent entrer en contact avec d'autres personnes pour exercer leurs droits, comme par exemple avec un interlocuteur chargé de la sécurité de l'information [...]". D'après la défenderesse, le DPO lui-même est celui qui intervient pour le Katholiek Onderwijs Vlaanderen (Enseignement catholique de Flandre) ; dans ce contexte, le DPO a été correctement notifié auprès de l'APD, selon la défenderesse. III.2. La procédure de transaction 37. Le 3 octobre 2024, la plaignante est informée qu'une procédure de transaction va être initiée et qu'avant cela, elle peut d'abord exprimer son point de vue à ce sujet. 38. Le 28 octobre 2024, la plaignante répond et exprime son mécontentement quant au long délai de traitement de ce dossier. La Chambre Contentieuse s'était déjà excusée pour cela dans son courrier du 3 octobre 2024 et invoque le grand nombre de dossiers pendants ainsi qu'un concours de circonstances administratives. 39. La Chambre Contentieuse répond au courrier du 28 octobre 2024 de la plaignante le 31 octobre 2024 en réitérant ses excuses pour le retard et en fournissant des justifications supplémentaires concernant le long délai de traitement. III.3. Conditions de fond de la proposition de transaction III.3.1. Conditions sur la base des griefs formulés dans la plainte Condition 1 Griefs formulés par la plaignante dans sa plainte : Dans le plan de suivi du fils […] de la plaignante - selon la plainte - “ il a été indiqué que j' [c.-à-d. la plaignante] utilise mon fils comme un pion dans la communication avec mon ex-mari […] cette déclaration m'a complètement surprise.”. Après avoir interpellé “l'enseignant et le directeur” , la défenderesse n'a pu "donner aucune réponse" jusqu'au moment de la plainte. Qualification et analyse juridiques * prima facie : a.2. En soi, la plaignante conteste l'exactitude des informations au sens de l'article 5.1.d) du RGPD. Du fait que les informations lui sont reliées dans le plan de suivi (au moins indirectement en raison du fait que la plaignante est la mère de la personne qui fait l'objet du plan de suivi), il peut en effet être question d'une donnée à caractère personnel au sens de l'article 4.1) du RGPD. Bien que la contestation de l'exactitude d'une donnée à caractère personnel par la personne à qui cette donnée à caractère personnel peut être attribuée ne signifie pas ipso facto que la donnée à caractère personnel soit pour autant inexacte, la procédure a mis en évidence des indices sérieux permettant au moins de douter de l'exactitude de la donnée à caractère personnel spécifique. Plus précisément, l'école, ou ses collaborateurs, n'a pas pu déterminer correctement (dans un délai raisonnable) qui avait ajouté les informations au plan de suivi. Tout ceci pourrait être considéré dans le contexte où le plan de suivi qui a donné lieu à la plainte et fait l'objet du présent dossier fait partie du "plan d'action légalement obligatoire", selon la défenderesse, qui se réfère à l'article 46 du Décret relatif à l'enseignement fondamental du 25 février 1997 (M.B. du 17 avril 1997)13. La défenderesse explique d'ailleurs que l'objet de la plainte concerne un "plan de suivi" qui s'inscrit dans le cadre de ce plan d'action légalement obligatoire14. La défenderesse souligne en ce sens - à raison, selon la Chambre Contentieuse - que ce plan de suivi ne constitue "pas un document statique" mais "est adapté au cours de l'année scolaire par les personnes qui accompagnent l'élève concerné." 15. Lorsque la plaignante s'est donc adressée à la défenderesse afin d'exercer son droit au sens de l'article 16 du RGPD, la défenderesse devait dès lors, en tant que responsable du traitement, examiner sérieusement et adéquatement cette demande de la plaignante en tant que personne concernée et, le cas échéant, y donner la suite voulue. La défenderesse déclare en l'espèce que selon elle, c'est ce droit que la plaignante avait exercé lorsque celle-ci a demandé la révision de certains aspects du plan de suivi. La défenderesse déclare : "Ceci a donc été correctement respecté. Le plan de suivi a été correctement adapté après la demande de la plaignante en ce sens.” La plainte comporte plusieurs griefs parallèles : "Manifestement, tout le monde à l'école à accès aux mêmes infos et tout le monde peut apporter des modifications comme bon lui semble. Il n'y a manifestement aucune protection correcte contre le piratage non plus, ce qui me fait également soupçonner que cette information a été introduite dans leur système à l'insu de l'école [sic]." Et plus loin dans la plainte : "Je ne trouve toutefois pas acceptable que l'école autorise tout le monde à accéder au même ordinateur et ne puisse pas tracer qui introduit quelles données dans le système [...] Je trouve évidemment cela très inquiétant car mes informations personnelles et celles de mon fils peuvent tout simplement être traitées à la légère, modifiées et, en outre, envoyées à des instances externes, sans la moindre forme de contrôle ou de traçabilité." Qualification et analyse juridiques prima facie : Les griefs de la plaignante en ce qui concerne cette problématique spécifique touchent à l'intégrité des données à caractère personnel au sens de l'article 5.1.f) du RGPD et à la sécurité (du traitement) des données à caractère personnel au sens de l'article 32 du RGPD, lu conjointement avec les articles 24 et 25 du RGPD17. Il pourrait être problématique qu'un collaborateur de la défenderesse ne puisse pas expliquer à la plaignante comment se déroulait la gestion des accès, lui donnant l'impression (erronée) que la gestion des accès aux plans de suivi était inexistante, ou du moins mal réglementée ou sécurisée. Dans la pratique, la défenderesse a toutefois démontré tout au long de la procédure que des garanties avaient bel et bien été intégrées afin de prévoir une gestion adéquate des accès. En particulier, un compte sur Schoolplatform est requis avec un mot de passe unique pour toutes les personnes qui ont accès au plan de suivi ou qui ont des 'droits d'écriture' pour modifier ce plan de suivi. En outre, grâce à un historique des adaptations au plan de suivi ("fichiers de journalisation"), la défenderesse démontre que seul un nombre limité de personnes pouvaient procéder à des adaptations et l’avaient effectivement fait. Il s'agissait notamment des personnes qui faisaient partie de l'équipe de suivi du fils de la plaignante au moment des faits. En ce sens, la défenderesse affirme dans ses conclusions que les traitements de données à caractère personnel ayant lieu dans le cadre du plan de suivi font bel et bien l'objet de mesures techniques et organisationnelles appropriées "de sorte que la sécurité est garantie.”18. Selon la Chambre Contentieuse, les griefs formulés dans la plainte doivent donc être quelque peu nuancés, dès lors qu'il est tout d'abord inexact de dire que "tout le monde" peut avoir un accès au plan de suivi et disposer de droits d'écriture, comme l'affirme la défenderesse. Ces droits d'écriture s'avèrent être limités "uniquement aux enseignants qui accompagnent l'élève”.19En outre, la plateforme qu'utilisent les collaborateurs de la défenderesse (Schoolplatform) prévoit au moins des étapes d'autorisation et une sécurité minimales, de sorte qu'au moins un identifiant et un mot de passe sont nécessaires pour accéder à la plateforme, et permet que des documents/pages/sous-sites déterminés de la plateforme puissent également être rendus accessibles uniquement à un nombre limité de personnes habilitées, comme c'était le cas en l'espèce pour le plan de suivi 20. La défenderesse précise de surcroît qu'elle conditionnerait également l'accès à la plateforme à une authentification multifactorielle21. En ce sens, la défenderesse présente également des pièces au moyen desquelles elle démontre, selon ses propres dires, "qu'il n'est pas question d'un accès non autorisé à ces données."22. Contrairement à la conclusion qui pourrait être tirée sur la base des premières communications de la défenderesse dans le dossier, cette dernière dispose bel et bien d'un "fichier de journalisation" qui permet de consulter quel collaborateur ou acteur a procédé à des adaptations au plan de suivi et à quel moment 23. Selon la défenderesse “le système[…] ne permet toutefois pas d'afficher ce qui a été modifié” 24. En ce sens, on pourrait affirmer que la défenderesse n'a pas pris suffisamment de mesures techniques et organisationnelles en ce qui concerne l'accès et le suivi ultérieur de ce document comportant des données à caractère personnel, la nature potentiellement sensible des données à caractère personnel contenues dans ces documents - en particulier les données à caractère personnel de mineurs et leurs données de santé - n'ayant pas été suffisamment protégée durant leur traitement. Deuxièmement, la plaignante avance dans ses conclusions en réplique qu'il "existe deux versions du 'plan de suivi’ 25. Selon la défenderesse, il est toutefois impossible de retrouver ce que l'on entend par "le plan de suivi original". La défenderesse déclare : "Il n'y a pas de 'plan de suivi original', vu que le plan de suivi est en soi un document dynamique."26. Dans ce contexte, la défenderesse indique que chaque version du plan de suivi comporte toujours une date ; III.4. Contexte : Situation procédurale de la proposition de transaction et de la transaction La Chambre Contentieuse a publié une politique de transaction sur son site Internet. Elle est disponible en français via ce lien : https://www.autoriteprotectiondonnees.be/publications/politique-de-transaction-de-la-chambre- contentieuse.pdf. Cette politique de transaction explique en quoi consiste précisément une transaction ainsi que la manière dont elle s'organise. La proposition de transaction finale encadrera davantage juridiquement la transaction. Ce document fait partie de la première phase représentée dans la politique de transaction : Pour de plus amples informations concernant la situation procédurale, il est référé au lien Internet susmentionné. III.5. Échanges écrits et verbaux avec les parties III.5.1. Échanges écrits La proposition de transaction constitue le point de départ de la procédure de transaction. Toutefois, les conditions de cette proposition peuvent être précisées ou adaptées lors du déroulement ultérieur de la procédure de transaction, surtout si ces adaptations apportent des améliorations au regard de la législation sur la protection des données. De telles demandes n’impliquent pas automatiquement une prolongation des délais. Les parties contactent la Chambre Contentieuse en principe par écrit lorsqu'elles estiment utile de procéder à certaines adaptations des conditions de la proposition de transaction. Il appartient à la Chambre Contentieuse d'adapter la proposition de transaction sur la base de cette communication formulée par les parties. En ce sens, une attitude constructive dans le chef des parties est encouragée. La Chambre Contentieuse s’attend à ce que les demandes soient raisonnables et proportionnées. Lorsque les demandes révèlent que la probabilité d'aboutissement d’une transaction est faible, voire inexistante, eu égard à l'optique de la Chambre Contentieuse, il peut être décidé de retirer la proposition de transaction. III.5.2. Échanges verbaux Le défendeur/La défenderesse peut adresser à la Chambre Contentieuse une demande d'explications verbales quant à la proposition de transaction ou à d'autres communications, l'évaluation de la pertinence de tels échanges verbaux étant laissée à la Chambre Contentieuse 29. Il va de soi qu’il s’agit d’une faveur et que la Chambre Contentieuse ne l’accorde et ne peut adopter ce choix que s’il s’avère efficace pour la procédure. Un procès-verbal sera établi et ne fera état, en principe, que de l'existence de cet échange explicatif verbal. Les parties sont libres de participer aux échanges explicatifs verbaux organisés par la Chambre Contentieuse. Les conversations sont confidentielles. Le contenu des discussions ne peut pas être divulgué à des tiers. III.6. Délai La défenderesse est tenue de réagir à la présente proposition de transaction avant le 24/12/2024. III.7. Existence d'autres responsables du traitement et/ou sous-traitants La présente proposition de transaction s'adresse uniquement à la défenderesse. Il n'y est pas pris position sur la question de savoir si et dans quelle mesure d'autres acteurs sont responsables des violations potentielles ayant donné lieu à la présente proposition de transaction. III.8. Validation de la transaction Si la proposition de transaction donne lieu à une décision formelle de transaction en raison de l'acceptation explicite, dans le délai susmentionné, de la partie à laquelle la proposition de transaction est adressée, un recours peut être introduit par la "partie faisant grief"30. La transaction finale ne porte pas atteinte au droit d'éventuels individus ayant subi un préjudice de réclamer des dommages et intérêts devant un tribunal civil sur la base notamment de l'article 82 du RGPD. III.9. Recours contre la proposition de transaction En vertu de l'article 108, § 1er de la LCA, cette décision de proposition de transaction peut faire l'objet d'un recours auprès de la Cour des marchés (Cour d’appel de Bruxelles) dans un délai de trente jours à compter de sa notification, avec l’Autorité de protection des données en qualité de défenderesse. Un tel recours peut être introduit au moyen d'une requête contradictoire qui doit comporter les mentions énumérées à l'article 1034ter du Code judiciaire31. La requête contradictoire doit être déposée au greffe de la Cour des marchés conformément à l'article 1034quinquies du Code judiciaire32, ou via le système informatique e-Deposit de la Justice (article 32ter du Code judiciaire). PAR CES MOTIFS, la Chambre Contentieuse de l'Autorité de protection des données décide : - en vertu de t'article 100, § 1er , 4° de la LCA, de valider la transaction telle qu'acceptée par la partie à la transaction le 22 janvier 2025, aux conditions exposées et précisées dans la présente décision et son annexe. En vertu de l'article 108, § 1 de la LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des Marchés (Cour d'appel de Bruxelles) dans un délai de trente jours à compter de sa notification, avec l'Autorité de protection des données en qualité de défenderesse. Ce recours peut être introduit au moyen d'une requête contradictoire qui doit reprendre les mentions énumérées à l'article 1034ter du Code judiciaire1. La requête contradictoire doit être déposée au greffe de la Cour des Marchés conformément à l'article 1034quinquies du Code judiciaire2, ou via le système d'information e-Deposit du Ministère de la Justice (article 32ter du Code judiciaire). (sé) Hielke HUMAN Président de la Chambre Contentieuse Document PDF ECLI:BE:GBAPD:2025:DEC.20250221.3 Publication(s) liée(s) suivi par: ECLI:BE:GBAPD:2025:AVIS.20250514.1 ECLI:BE:GBAPD:2025:AVIS.20250514.2