ECLI:BE:GBAPD:2025:DEC.20250424.7

Chambre Contentieuse Décision quant au fond 76/2025 du 24 avril 2025 Référence du dossier : DOS-2023-04302 Sujet : Plainte relative au traitement de données dans le cadre d’une campagne de marketing direct La Chambre Contentieuse de l'Autorité de protection des données, constituée de monsieur Hielke HIJMANS, président, et de messieurs Yves Poullet et Frank De Smet, membres ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après « RGPD » ; Vu la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après « LCA ») ; Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ; Vu les pièces du dossier ; A pris la décision suivante concernant : Le plaignant : X, ci-après "le plaignant" Les défendeurs : ‘Y1’SA, représentée par Gerrit Vandendriessche et Jan Clinck (ci-après : la premier défenderesse) ‘Y2’SA, représentée par Elisabeth Delinte (ci-après : la deuxième défenderesse) I. Faits et procédure 1. La plainte concerne le traitement des données à caractère personnel du plaignant par les défendeurs dans la finalité d'envoyer du marketing direct par Y1 au plaignant. Y1 (premier défenderesse) a obtenu les données concernées via Y2 (deuxième défenderesse), une agence média spécialisée dans le marketing direct. Y2 avait elle-même reçu ces données d’Z3 (anciennement Z3), un courtier en données commerciales, qui les avait initialement obtenues de Z2 (anciennement Z2). 2. Le 18 octobre 2023, le plaignant a introduit une plainte auprès de l'Autorité de protection des données contre Y1, Z4, Y2 et Z3. 3. Le 25 octobre 2023, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA. 4. Le 11 mars 2024, la Chambre Contentieuse décide, en vertu de l’article 95, § 1er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond. 5. Le 11 mars 2024, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions. La date limite pour la réception des conclusions en réponse des défendeurs a été fixée au 16 mai 2024, celle pour les conclusions en réplique du plaignant au 6 juin 2024 et celle pour les conclusions en duplique des défendeurs au 27 juin 2024. 6. Le 12 mars 2024, Z3 a demandé un changement de langue de procédure en français et un report des délais pour conclure. 7. Le 18 mars 2024, Y1 a exprimé son souhait d'être entendu, conformément à l'article 98 LCA. 8. Le 25 mars 2024, Y2 demande également le changement de la langue de procédure en français et le report des délais pour conclure. 9. Le 27 mars 2024, la Chambre Contentieuse propose aux parties de rédiger chacune de leurs conclusions dans leur langue. Chaque partie sera ensuite chargée de traduire leurs conclusions aux autres parties. La décision finale de la Chambre Contentieuse sera rédigée en français et en néerlandais. En outre, la Chambre Contentieuse décide de repousser les délais pour conclure de deux semaines, car jusqu'à ce jour, il n'était pas clair dans quelle langue les conclusions pouvaient être soumises par chaque partie. Par conséquent, les dates de réception des conclusions des parties ont été fixées au 6 mai, 27 mai et 17 juin 2024. 10. Le 28 mars 2024, Y1 a demandé que des périodes de conclusion distinctes soient prévues pour Y1, d'une part, et pour Z3 et Y2, d'autre part. 11. Le 3 avril 2024, Y2 s'est jointe à la demande d'Y1 de prévoir des périodes de conclusions distinctes pour chaque défendeur. 12. Le 8 avril 2024, la Chambre Contentieuse considère qu'il n'y a pas lieu de scinder les périodes de conclusions. En effet, les défendeurs ont la possibilité de répondre aux conclusions de l'autre partie dans les conclusions en duplique, ainsi qu'à l’audition. Tenant compte de la transmission d'une copie du dossier aux défendeurs, la Chambre Contentieuse procède à un dernier ajustement des délais. Ceux-ci deviennent : o Conclusions en réponse des défendeurs : 16 mai 2024 o Conclusions en réplique du plaignant : 6 juin 2024 o Conclusions en duplique des défendeurs : 27 juin 2024 13. Le 16 mai 2024, la Chambre Contentieuse reçoit les conclusions en réponse de la part des défendeurs. 14. Le 6 juin 2024, la Chambre Contentieuse reçoit les conclusions en réplique de la part du plaignant. 15. Le 27 juin 2024, la Chambre Contentieuse reçoit les conclusions en duplique de la part des défendeurs. 16. Le 28 octobre 2024, les parties sont informées du fait que l'audition aura lieu le 28 novembre 2024. Pour le bon déroulement de l'audience, la Chambre Contentieuse demande aux parties d'indiquer dans leur accusé de réception si elles acceptent une audience bilingue en français et en néerlandais. 17. La Chambre Contentieuse ne recevant aucune objection concernant une audience bilingue, informe les parties le 19 novembre 2024 que l'audience sera bilingue et se déroulera sans interprète. La Chambre Contentieuse informe les parties que, si elles souhaitent encore s'y opposer, elles doivent le faire savoir avant le 22 novembre 2024. 18. Le 26 novembre 2025, la Chambre Contentieuse informe les parties qu'elle doit reporter l'audience au 17 décembre 2024 pour cause de force majeure. 19. Le 17 décembre 2025 les parties sont entendues par la Chambre Contentieuse. 20. Le 3 janvier 2025, le procès-verbal de l’audition est soumis aux parties. 21. Le 8 janvier 2025, la Chambre Contentieuse a reçu quelques commentaires d'Z3 concernant le procès-verbal, qu'elle a décidé d'inclure dans ses délibérations. 22. Le 9 janvier 2025, la Chambre Contentieuse a reçu de Y2 et d'Y1 quelques commentaires concernant le procès-verbal, qu'elle a décidé d'inclure dans ses délibérations. 23. Sur la base des pièces du dossier, la Chambre Contentieuse constate que Z2 est un éventuel tiers intéressé au sens de l'article 108, § 3, alinéa 2 LCA, en rapport avec les éventuelles infractions d'Z3. Le 31 janvier 2024, Z2 s'est vu notifier par courrier recommandé les dispositions mentionnées à l'article 95, § 2, ainsi que celles de l'article 98 LCA. Elle est également informée de la possibilité d'intervenir dans la procédure en vertu de l'article 98 LCA. Elle informe les autres parties qu'en cas d'intervention de Z2, elles auront la possibilité de répondre. 24. Le 26 février 2025, Z2 a confirmé son intervention en tant que tiers intéressé dans la procédure. 25. Le 14 mars 2025, la Chambre Contentieuse reçoit les conclusions en réponse de Z2 26. Le 18 mars 2025, la Chambre Contentieuse reçoit les conclusions en réponse au nom du plaignant. 27. Le 31 mars 2025, Y2 fait savoir qu'elle ne souhaite pas conclure. 28. Le 8 avril 2025, la Chambre Contentieuse reçoit les conclusions en réplique d'Z3 . 29. Le 9 avril 2025, la Chambre Contentieuse reçoit les conclusions en réplique d'Y1. 30. Le 24 Avril 2025, la Chambre Contentieuse décide de scinder le dossier en deux dossiers distincts. Cette décision est motivée, d’une part, par la nécessité de garantir l'efficacité de la procédure étant donné l’implication de plusieurs parties défenderesses, et d’autre part, par l’existence de différences substantielles dans la nature des traitements de données reprochés aux défendeurs respectifs. Tandis que les traitements effectués par Y1 et Y2 s’inscrivent principalement dans le cadre du marketing direct, ceux réalisés par Z3 concernent le vente de bases de données. La Chambre Contentieuse a informé les parties que la plainte du plaignant contre Y1, Z4 et Y2 sera poursuivie sous le numéro de dossier DOS-2023-04302. La plainte du plaignant contre Z3 sera poursuivie sous le numéro de dossier DOS-2025-01687. La présente décision concerne le dossier DOS-2023-04302. II. Motivation II.1. En ce qui concerne Z4 31. Tout d'abord, la Chambre Contentieuse constate que, outre les autres défendeurs, la plainte a également été déposée à l'encontre d'Z4. Or, il ressort des pièces du dossier qu'Z4 agissait en tant que délégué à la protection des données d'Y1, et non en tant que responsable du traitement ou sous-traitant. La Chambre Contentieuse décide de ne pas poursuivre l’examen de la plainte en ce qui concerne Z4. II.2. En ce qui concerne Y1 32. Y1 est un commerce de détail de solutions auditives. Le traitement litigieux concerne une campagne de marketing direct d'Y1 intitulée "Z1", dans le cadre de laquelle elle a envoyé des documents imprimés par courrier adressé aux personnes concernées, dont le plaignant. Elle a utilisé à cette fin des adresses obtenues auprès d'Z3 par l'intermédiaire de Y2. 33. Le 11 mars 2024, Y1 est informée, par recommandé, des dispositions des articles 95, § 2, et 98 de la loi du 3 décembre 2017. Y1 a été invitée à se défendre contre : a. Possibilité de violation de l'article 5, paragraphe 1, point a), du RGPD en liaison avec l'article 6 du RGPD pour obtention illicite et vente ultérieure de données à caractère personnel ; b. Violation potentielle de l'article 24.1 RGPD pour n'avoir pas vérifié de manière adéquate si un ensemble de données a été créé légalement. II.2.1. En ce qui concerne le deuxième moyen d'Y1 34. Y1 demande d’abord à la Chambre Contentieuse de rejeter la plainte au motif qu'il s'agit d'un litige accessoire à un litige contractuel plus large. Elle fait valoir qu'un litige contractuel entre Z2 et Z3 est à la base de la plainte et que cette question doit être réglée par un tribunal. En outre, Y1 fait valoir que le litige relève de la réglementation des annuaires téléphoniques prévue par la loi du 13 juin 2005 relative aux communications électroniques, faisant de l'Institut belge des services postaux et des télécommunications (ci-après "IBPT") l'autorité compétente. 35. La Chambre Contentieuse se réfère à sa politique de classement sans suite, dans laquelle il est établi que le fait qu'une plainte soit accessoire à un litige plus large devant être réglé devant un tribunal ou une autre autorité compétente est constitutif d’un critère de rejet de la plainte pour des raisons d'opportunité. Lorsque ce critère s'applique, la Chambre Contentieuse décide d’examiner ou non la plainte en fonction de l'impact social et/ou personnel des griefs. En l’espèce, la Chambre Contentieuse relève tout d’abord que la politique de classement sans suite ne limite pas sa pouvoir discrétionnaire de traiter ou non une affaire. À titre surabondant, la Chambre Contentieuse observe qu'il existe des activités de profilage et un traitement à grande échelle des données lors de l'envoi de marketing direct adressé à un public ciblé, en conséquence de quoi elle juge qu'il y a un impact social élevé. Par conséquent, la Chambre Contentieuse considère qu'il est approprié de traiter cette plainte. 36. En ce qui concerne l'argument selon lequel la loi du 13 juin 2005 relative aux communications électroniques serait d'application et ferait de l'IBPT l'autorité compétente pour le présent litige, la Chambre Contentieuse estime que l'applicabilité éventuelle de cette loi n'affecte pas sa compétence pour contrôler le respect du RGPD.1 37. Par conséquent, la Chambre Contentieuse rejette le deuxième moyen d'Y1, qui demande la classement sans suite de la plainte. II.2.2. Concernant la violation de l'article 5.1.a) RGPD lu en combinaison de l'article 6 RGPD et la violation de l'article 24.1 RGPD Remarques préliminaires 38. Préalablement à l'examen de l'article 5.1.a) lu en combinaison de l'article 6 RGPD, la Chambre Contentieuse souhaite préciser sa lettre du 11 mars 2024. Dans cette lettre, elle invitait Y1 à se défendre contre une éventuelle violation de l'article 5.1.a) lu en combinaison de l'article 6 RGPD pour "obtention illégale et vente ultérieure de données à caractère personnel". Y1 fait valoir dans ses conclusions que l'"obtention" des données à caractère personnel n'est qu'une opération dans le cadre d'un traitement de données à caractère personnel qui doit être apprécié dans son ensemble. En ce qui concerne l'éventuelle violation des dispositions citées ci-avant en raison de la vente ultérieure illégale de données à caractère personnel, Y1 soutient qu'il ne peut y avoir de violation car il n'y a aucune indication ou preuve dans la plainte ou dans le dossier administratif qu'Y1 aurait vendu des données à caractère personnel. La Chambre Contentieuse confirme cette interprétation de l'article 5.1.a) lu en combinaison de l'article 6 RGPD, et évalue donc le respect de ces règles pour l’intégralité du traitement de données pour lequel Y1 était un responsable du traitement. Ce faisant, elle constate également que rien n'indique qu'Y1 aurait revendu les données. 39. Outre l'éventuelle violation de l'article 5.1.a) lu en combinaison de l'article 6.1 RGPD, la Chambre Contentieuse a invité Y1, dans sa lettre du 11 mars 2024, à se défendre contre une éventuelle violation de l'article 24.1 RGPD, et plus précisément "pour n'avoir pas vérifié de manière adéquate si un ensemble de données a été créé de manière licite ". L'article 24 du RGPD impose au responsable du traitement, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Cette obligation est indissociable de l'article 5, paragraphe 2, du RGPD, dont il découle que le responsable du traitement est responsable du respect des dispositions de l'article 5, paragraphe 1, du RGPD et qu'il doit être en mesure de le démontrer. L'article 5, paragraphe 2, et l'article 24 du RGPD imposent aux responsables du traitement des exigences générales en matière de responsabilité et de conformité.2 40. Il s'ensuit qu'en vertu de l'article 5.1.a) et de l'article 6 du RGPD, lus en combinaison avec l'article 5.2 et l'article 24 du RGPD, le responsable du traitement doit s'assurer et être en mesure de démontrer que les données à caractère personnel sont traitées d'une manière licite à l'égard de la personne concernée. Étant donné que l'article 5.1.a) RGPD lu en liaison de l'article 6 RGPD doit être apprécié également à la lumière de l'article 24 RGPD, la Chambre Contentieuse décide d’apprécier les deux griefs de sa lettre du 11 mars 2024, ensemble. Concernant la violation de l'article 5.1.a) RGPD lu en combinaison des articles 6 RGPD et 24 RGPD 41. L'article 5, paragraphe 1, point a), du RGPD prévoit que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente à l'égard des personnes concernées. En outre, l'article 6.1 RGPD prévoit que le traitement des données à caractère personnel n'est licite que si et dans la mesure où il repose sur l'une des bases légales énoncées à l'article 6.1.a) à f) RGPD. Avant le traitement, le responsable du traitement doit vérifier si les conditions de l'un de ces bases légales possibles sont remplies. Enfin, le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est effectué conformément au présent règlement. 42. En l'espèce, Y1 invoque la base légale prévue à l'article 6.1.f) du RGPD. Cette base légale prévoit que le traitement est licite dans la mesure où il est "nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant". Selon la CJUE, la base légale visée par cette disposition doit être interprétée de manière restrictive, puisqu'elle permet de légaliser le traitement de données à caractère personnel sans le consentement de la personne concernée 3 43. La Cour de justice a estimé que l'article 6.1.(f) RGPD énonce trois conditions cumulatives qui doivent être remplies pour que le traitement des données à caractère personnel visé soit licite, à savoir, premièrement, la poursuite d'un intérêt légitime du responsable du traitement ou d'un tiers, deuxièmement, la nécessité du traitement des données à caractère personnel pour la poursuite de l'intérêt légitime et, troisièmement, la condition que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne l'emportent pas sur l'intérêt légitime du responsable du traitement ou d'un tiers4 44. Selon Y1, il n'y aurait pas de violation de l'article 5, paragraphe 1, point a), du RGPD lu en combinaison de l'article 6 du RGPD en l'espèce pour l'acquisition illégale et la vente ultérieure de données à caractère personnel. La finalité du traitement était la "prise de contact avec de nouvelles personnes intéressées susceptibles de bénéficier d'une aide auditive sur la base de leurs caractéristiques démographiques" et ceci a été effectué sur la base juridique de l'intérêt légitime (article 6, paragraphe 1, point f), du RGPD). La détermination de cette base juridique, ainsi qu'une analyse des risques, ont été effectuées et documentées avant le traitement.5 45. Premièrement, Y1 fait valoir qu'elle poursuit un intérêt légitime. Elle se réfère à cet égard, entre autres, au considérant 47 RGPD, qui énonce que "le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime". 46. Y1 a en outre affirmé qu'elle remplissait également la condition de nécessité. Elle n'aurait traité que les données à caractère personnel nécessaires à la finalité poursuivie (contacter des prospects), à savoir : nom, adresse, code postal, langue et sexe. En outre, Y1 était contractuellement autorisée à n'utiliser les données qu'une seule fois. 47. La Chambre Contentieuse estime qu'une analyse approfondie de la troisième condition en particulier s'applique : 48. La troisième condition implique que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne doivent pas prévaloir sur l'intérêt légitime du responsable du traitement. La Cour de justice a estimé que cette condition implique une mise en balance des droits et intérêts concurrents en jeu qui, en principe, dépend des circonstances du cas concret. Pour effectuer cette mise en balance, le considérant 47 du RGPD fournit un paramètre important, puisqu'il stipule que les attentes raisonnables de la personne concernée, fondées sur sa relation avec le responsable du traitement, doivent être prises en compte. Ces "attentes raisonnables" sont les attentes que la personne concernée peut avoir en ce qui concerne les opérations de traitement qui peuvent ou seront effectuées sur ses données, en ce qui concerne les données la concernant qui peuvent faire l'objet d'un tel traitement, et en ce qui concerne la ou les finalités pour lesquelles elles seront ou pourront être traitées et par qui. Le considérant 47 prévoit également que la relation existante entre le responsable du traitement et la personne concernée a une incidence sur la détermination des attentes raisonnables de la personne concernée. Par exemple, une personne concernée ne s'attendrait pas raisonnablement à ce que ses données soient traitées par une personne avec laquelle elle n'a jamais eu de contact . 49. Y1 affirme dans ses conclusions que ses propres intérêts, compte tenu des mesures qu'elle a prévues, l'emportent sur les droits des personnes concernées. Premièrement, elle fait valoir que la lettre en question n'était ni intrusive ni risquée pour les droits du plaignant et que, au contraire, un avantage était offert (à savoir un test auditif gratuit). De plus, les données concernées ne seraient pas sensibles et il n'y a pas de traitement à grande échelle car la campagne de marketing direct a été envoyée une seule fois et les données n'ont pas été combinées avec des données obtenues par d'autres sources. 50. A cet égard, la Chambre Contentieuse relève tout d'abord que les lettres envoyées étaient intitulées " Z1 ", ce qui pourrait suggérer aux intéressés une initiative d'intérêt public. Or, lors de l'audience, Y1 a précisé qu'elle n'accomplissait pas une mission d'intérêt public. Cela montre que la lettre peut être trompeuse. Deuxièmement, la Chambre Contentieuse note que bien que la lettre n'ait été envoyée qu'une seule fois, elle a été envoyée à un groupe de personnes concernées, et ces personnes concernées ont été contactées par écrit sur la base de leur appartenance à un certain groupe d'âge. Cette combinaison peut créer chez les personnes concernées un sentiment qui peut être perçu comme invasif. 51. Par ailleurs, Y1 soutient que le plaignant pouvait raisonnablement s'attendre à recevoir des lettres commerciales puisque (selon Z3) il aurait consenti à la revente de ses données à des fins de marketing direct. 52. Dans ce contexte, la Chambre Contentieuse rappelle que l'article 24 du RGPD prévoit que les responsables de traitement doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir et d'être en mesure de démontrer que le traitement des données à caractère personnel est effectué conformément aux principes et obligations prévus dans le RGPD. Ainsi, le responsable du traitement doit pouvoir démontrer qu'il a mis en balance les intérêts légitimes qu'il représente et les droits et libertés des personnes concernées et que cette mise en balance lui est favorable. Le cas échéant, le responsable du traitement doit également être en mesure de démontrer qu'il a mis en place des garanties (par exemple, des mesures techniques et organisationnelles) pour veiller à ce que les droits et libertés des personnes concernées ne l'emportent pas sur ses intérêts légitimes .6 53. Y1 fait valoir qu'elle a pris les mesures techniques et organisationnelles appropriées conformément à l'article 24.1 du RGPD. Tout d'abord, Y2 lui a donné l'accord contractuel que les données d'adresses pouvaient être utilisées par Y1 dans le respect du RGPD. Ainsi, l'article 8 des conditions générales de Y2 stipule que cette dernière "prend toutes les mesures raisonnables pour s'assurer que ses partenaires sources respectent le RGPD, notamment en leur demandant un engagement écrit de conformité"7 . Selon Y1, un examen plus approfondi des accords contractuels entre Y2 et ses partenaires sources (c'est-à-dire Z3) n'était pas nécessaire, parce qu'elle n'avait pas de relation contractuelle avec ces parties et parce qu'elle était en droit d'avoir une confiance légitime, sur la base des obligations légales d'Z3 et de Z2, que le plaignant avait consenti au traitement de ses données à caractère personnel. Y1 fait en outre valoir qu'elle a utilisé la liste Robinson afin de ne pas envoyer de lettres à des personnes qui ont ainsi indiqué qu'elles ne souhaitaient plus recevoir de publicité adressée. Troisièmement, Y1 invoque l'analyse des risques et les mesures d'atténuation qu'elle a prises dans le cadre de la mise en balance des intérêts (voir ci-dessus), et quatrièmement, Y1 invoque le fait qu'un délégué à la protection des données (Z4) l'a conseillée sur les risques liés au traitement des données 8 . Enfin, Y1 fait valoir que le traitement illicite est la conséquence d'une rupture de contrat ou d'un litige entre Z2 et Z3, dont Y1 ne pouvait pas avoir connaissance. Elle fait valoir que aucune mesure organisationnelle était raisonnablement disponible pour en avoir connaissance. 9 54. Toutefois, en tant que responsable du traitement, Y1 est tenue par la Chambre Contentieuse de pouvoir prouver que son traitement de données à caractère personnel peut être fondé sur une base juridique valable. La Chambre Contentieuse a statué10 dans le passé qu'il ne suffit pas pour un responsable du traitement d'invoquer la prétendue "régularité" des données à caractère personnel ou des bases de données achetées. En effet, il incombe aux responsables du traitement, avant de coopérer avec les organisations intermédiaires pour améliorer leurs campagnes de marketing en leur demandant des données à caractère personnel qu'ils ne possèdent pas déjà, de s'assurer de l'origine des données, de la manière dont elles ont été collectées, sur quelle base juridique, par qui, à quelles fins, pendant quelle période et pour quels traitements. Le responsable du traitement ne peut se contenter d'inclure dans le contrat avec l’organisation intermédiaire une clause stipulant l'obligation de fournir des données conformément à la législation sur la protection des données (ou toute autre obligation de portée identique ou similaire). L'existence d'une telle clause ne suffit pas à exclure la responsabilité du responsable du traitement en cas d'une ou plusieurs violations du RGPD .11 55. Cela n'implique pas que le responsable du traitement soit obligé de vérifier le respect du RGPD par les tiers. Cependant, il a l'obligation de prendre des mesures pour assurer son propre respect du RGPD, ce qui implique que, dans certaines circonstances, il doit prendre en compte le traitement des données à caractère personnel dans son intégralité, et notamment en ce qui concerne la collecte initiale des données à caractère personnel. Il s'agit en effet d'un élément essentiel pour vérifier que la personne concernée pouvait raisonnablement s'attendre au traitement de ses données à caractère personnel et, par conséquent, que le traitement en l'espèce pouvait être légalement fondé sur l'article 6, paragraphe 1, point f), du RGPD. 56. En l’espèce, Y1 prétend que le plaignant aurait donné son consentement lors de la collecte initiale de ses données. Sur cette base, elle soutient que le traitement effectué par Y1 relèverait des attentes raisonnables de la personne concernée. 57. La Chambre Contentieuse constate tout d’abord qu’Y1 n’apporte aucune preuve concrète à l’appui de cette affirmation. Si elle invoque un consentement présumé dans une phase antérieure de la chaîne de traitement des données, il lui incombe, en tant que responsable du traitement, de démontrer ce consentement. Le simple renvoi à des déclarations ou à des accords contractuels avec des intermédiaires (Y2 et Z3) ne suffit pas. 58. Deuxièmement, et à titre surabondant, la Chambre Contentieuse rappelle que le seul fait qu’une personne concernée ait, à un moment donné, donné son consentement à un traitement ne constitue pas une justification automatique pour des traitements ultérieurs. Le consentement, au sens de l’article 4, point 11, du RGPD, doit toujours être libre, spécifique, éclairé et univoque, et il n’est valable que dans le cadre précis pour lequel il a été effectivement donné. 59. Par conséquent, l’invocation d’un prétendu consentement antérieur sans matérielle de preuve ne peut constituer une base suffisante pour conclure que le traitement, en l’espèce, relevait des attentes raisonnables de la personne concernée. Eu égard à ce qui précède, la Chambre Contentieuse estime qu’Y1 ne démontre pas que le traitement des données à caractère personnel pouvait raisonnablement être attendu par le plaignant. 60. Il en découle également que Y1 n'a pas démontré que son intérêt l'emporte sur les intérêts et les droits fondamentaux des personnes concernées. Étant donné que le test en trois parties pour le traitement des données sur la base d'un intérêt légitime implique des conditions cumulatives, il n'est pas nécessaire d'examiner si Y1 remplit les deux autres conditions de l'article 6.1.(f) du RGPD. La Cour des marchés a déjà statué à cet égard que si l'un des trois éléments du test en trois parties n'est pas rempli, la Chambre Contentieuse peut justifier à juste titre que l'article 6.1.f) RGPD ne peut constituer une base juridique possible.12 61. Dans ces circonstances, il convient de considérer qu'Y1 n'a pas démontré que son intérêt l'emporte sur les intérêts et les droits fondamentaux des personnes concernées, de sorte que le traitement ne peut relever de l'article 6.1.f) du RGPD. Elle a donc violé les obligations imposées par les articles 5.1.a), 6.1 et 24 du RGPD. II.3. Concernant Y2 62. Y2 est une agence de média spécialisée dans le marketing direct. Dans le cas présent, elle a servi d'intermédiaire entre son client, Y1, et Z3, une société proposant des bases de données d'adresses. 63. Le 11 mars 2024, Y2 est informée, par recommandé, des dispositions des articles 95, § 2, et 98 de la loi du 3 décembre 2017. Elle a été invitée à se défendre contre : a. Possibilité de violation de l'article 5, paragraphe 1, point a), du RGPD lu en liaison de l'article 6 du RGPD pour obtention illicite et vente ultérieure de données à caractère personnel ; b. Violation potentielle de l'article 24.1 RGPD pour n'avoir pas vérifié de manière adéquate si un ensemble de données a été créé légalement ; c. Possibilité de violation de l'article 12.2-4 RGPD lu en liaison des articles 15 et 17 RGPD en raison de l'absence de réponse aux demandes du plaignant. 64. Y2 fait d'abord valoir qu'elle n'est pas responsable du traitement. Elle n'aurait agi qu'en tant qu'intermédiaire, c'est-à-dire qu'elle aurait transféré à Y1 le fichier d'adresses qu'Z3 lui avait transmis. Ce fichier n'a pas été modifié ni consulté par Y2 et a été supprimé dès qu'Y1 en a confirmé la réception. La finalité du traitement, selon Y2, était de permettre à Y1 d'obtenir les coordonnées de clients potentiels pour mener une campagne de marketing direct par courrier. Par conséquent, Y1 aurait déterminé la finalité et les moyens, Y2 n'agissant qu'en tant que sous-traitant. La Chambre Contentieuse ne suit pas ce raisonnement. 65. Le RGPD définit le "responsable du traitement" comme l'entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel13. L'EDPB a précisé que le concept de responsable du traitement se réfère à l'impact du responsable du traitement sur le traitement des données, sur la base d'un pouvoir de décision ou d'un contrôle sur les activités de traitement. Ce contrôle peut découler de dispositions légales, résulter d'un pouvoir implicite ou être fondé sur l'exercice d'une influence réelle14. Cette analyse nécessite une évaluation factuelle 15, en testant les accords existants par rapport aux circonstances factuelles de la relation entre les parties . 16 66. En l'espèce, il ressort des pièces du dossier que Y2 a bien eu une finalité propre au traitement, à savoir la collecte et la mise à disposition de données à ses clients, et qu'elle a déterminé elle-même cette finalité. En outre, elle a également déterminé elle-même les moyens de traitement, en particulier la manière dont elle a reçu les données et les a transmises à Y1. Ainsi, la Chambre Contentieuse constate que Y2 était un responsable de traitement pour avoir obtenu des données à caractère personnel auprès d'Z3, et les avoir transmises à Y1. II.3.1. Concernant la violation de l'article 5.1.a) RGPD lu en combinaison de l'article 6 RGPD et la violation de l'article 24.1 RGPD 67. La Chambre Contentieuse a invité Y2 à se défendre contre d'éventuelles violations de l'article 5.1.a) lu en combinaison de l'article 6.1 RGPD, et de l'article 24.1 RGPD. L'article 5.1.a) du RGPD prévoit que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente à l'égard des personnes concernées. L'article 6.1 RGPD prévoit en outre que le traitement des données à caractère personnel n'est licite que si et dans la mesure où il repose sur l'un des bases légales énoncés à l'article 6.1.a) à f) RGPD. Avant de procéder au traitement, le responsable du traitement doit vérifier si les conditions de l'un de ces bases légales possibles sont remplies. Enfin, le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est effectué conformément au présent règlement. 68. L'article 24 du RGPD impose au responsable du traitement, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Cette obligation est indissociable de l'article 5.2 du RGPD (voir point 39), dont il découle que le responsable du traitement est responsable du respect des dispositions de l'article 5.1 du RGPD et doit pouvoir le démontrer. L'article 5, paragraphe 2, et l'article 24 du RGPD imposent aux responsables du traitement des exigences générales en matière de responsabilité et de respect des règles 17 . Il s'ensuit qu'en vertu de l'article 5, paragraphe 1, point a), lu en combinaison de l'article 6 du RGPD, lu en liaison avec l'article 5, paragraphe 2, et l'article 24 du RGPD, le responsable du traitement doit s'assurer et être en mesure de démontrer que les données à caractère personnel sont traitées d'une manière qui est licite à l'égard de la personne concernée. L'article 24 RGPD éclairant l'application de l'article 5.1.a) lu en combinaison de l'article 6 RGPD, la Chambre Contentieuse constate qu'elle doit apprécier ensemble les deux griefs de sa lettre du 11 mars 2024. 69. Y2 affirme que le traitement des données à caractère personnel du plaignant en l'espèce était licite en vertu de l'article 6, paragraphe 1, point f), du RGPD, qui dispose que "le traitement est nécessaire aux fins des intérêts légitimes du responsable du traitement ou d'un tiers" (souligné par Y2). Y2 aurait traité les données pour les intérêts légitimes d'Y1 (en utilisant les données pour mener une campagne de marketing direct). 70. La Cour de justice a estimé que l'article 6.1.(f) RGPD énonce trois conditions cumulatives qui doivent être remplies pour que le traitement de données à caractère personnel qui y est visé soit licite, à savoir, premièrement, la poursuite d'un intérêt légitime du responsable du traitement ou d'un tiers, deuxièmement, la nécessité du traitement de données à caractère personnel pour la poursuite de l'intérêt légitime et, troisièmement, la condition que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne l'emportent pas sur l'intérêt légitime du responsable du traitement ou d'un tiers. 18 71. La Chambre Contentieuse estime qu'une analyse approfondie de la troisième condition en particulier s'applique. 72. Y2 fait valoir qu'elle a mis en balance les intérêts des personnes concernées et ceux d'Y1, notamment en vérifiant que les données avaient été obtenues légalement par Z3, en s'engageant à ce qu'Y1 n'utilise pas les données à d'autres fins que celles pour lesquelles elles ont été louées, en ne permettant qu'une utilisation ponctuelle des données et en s'engageant à ce que les données ne soient pas communiquées à des tiers 73. Afin de s'assurer que les données fournies par Z3 sont conformes aux obligations du RGPD, Y2 a consulté les conditions générales d'Z3, qui indiqueraient que le traitement des données est effectué en conformité avec les dispositions légales applicables. Par ailleurs, Z3 aurait elle-même indiqué que les données ont été collectées en conformité avec les dispositions légales applicables, et plus particulièrement sur la base du consentement des personnes concernées. 74. Comme cela a déjà été expliqué au point II.2.2 de la présente décision, un responsable du traitement ne peut se contenter de se référer aux déclarations d'un partie intermédiaire ou d'inclure une clause dans l'accord conclu avec ce partie indiquant que ce dernier a l'obligation de fournir des données conformément à la législation sur la protection des données. Chaque responsable du traitement est lui-même tenu de notamment de l'origine des données, de la manière dont elles ont été collectées, sur quelle base juridique, par qui, à quelles fins, pour quelle durée et pour quels traitements. Sans ces informations, le responsable du traitement ne peut pas démontrer, conformément à l'article 24.1 du RGPD, que le traitement est effectué conformément au présent règlement. 75. Y2 ne démontre pas que le plaignant pouvait raisonnablement s'attendre à ce que ses données soient transmises par un courtier en données à un tiers pour une campagne de marketing direct, réalisée par une entreprise commerciale avec laquelle il n’avait eu aucun contact préalable. La Chambre Contentieuse rappelle que les intérêts et les droits fondamentaux des personnes concernées peuvent notamment l'emporter dans les traitements où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieure (voir considérant 47 du RGPD), comme dans le dossier en question. 76. À la lumière de ce qui précède, la Chambre Contentieuse estime que Y2 n'a pas démontré que l'intérêt d'Y1 l'emporte sur les intérêts et les droits fondamentaux des personnes concernées. Étant donné que le test en trois parties pour le traitement des données fondé sur un intérêt légitime implique des conditions cumulatives, il n'est pas nécessaire d'examiner si le défendeur remplit les deux autres conditions de l'article 6, paragraphe 1, point f), du RGPD. La Cour des marchés a déjà jugé à cet égard que si l'un des trois éléments du test en trois parties n'est pas rempli, la Chambre Contentieuse peut justifier à juste titre que l'article 6.1(f) RGPD ne peut pas constituer une base juridique possible.19 77. Dans ces circonstances, il y a lieu de constater que Y2 n'a pas démontré que les intérêts d'Y1 l'emportent sur les intérêts et les droits fondamentaux des personnes concernées, de sorte que le traitement ne peut relever de l'article 6.1.f) du RGPD. Ainsi, elle a violé les obligations imposées par les articles 5.1(a), 6.1 et 24 du RGPD . II.3.2. Concernant la violation par de l'article 12.2-4 RGPD lu en combinaison des articles 15 et 17 RGPD 78. Le plaignant a exercé ses droits d'accès et d'effacement des données par lettre adressée à Y2 le 10 octobre 2022. Y2 a transmis cette lettre à Z3, qui a répondu le 12 octobre 2022. Le 4 novembre 2022, le plaignant a demandé à Y1, Z3 et Y2 d'effacer ses données sur la base de l'article 17 de la LVP, ainsi que des informations sur les mesures prises pour y parvenir. Y2 a contacté Y1 et Z3 pour s'assurer qu'ils répondraient au plaignant. Z3 a répondu le 7 novembre 2022 et Y1 a répondu le 29 novembre 2022. 79. Or, il ressort des éléments du dossier que Y2 n'a pas répondu elle-même aux demandes du plaignant. Ceci constitue une violation de l'article 12.3 RGPD qui stipule que "Le responsable du traitement fournit à la personne concernée des informations sur la suite donnée à la demande en vertu des articles 15 à 22, sans délai et en tout cas dans un délai d'un mois à compter de la réception de la demande..." 80. Dans ces conditions, il y a lieu de considérer que Y2 a violé les obligations imposées par l’article 12.3 RGPD lu en combinaison des articles 15 et 17 RGPD. III. Mesures 81. En vertu de l'article 100 de la LCA, la Chambre Contentieuse a le pouvoir de : 1° classer la plainte sans suite; 2° ordonner le non-lieu; 3° prononcer la suspension du prononcé; 4° proposer une transaction; 5° formuler des avertissements et des réprimandes; 6° ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits; 7° ordonner que l'intéressé soit informé du problème de sécurité; 8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement; 9° ordonner une mise en conformité du traitement; 10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données; 11° ordonner le retrait de l'agréation des organismes de certification; 12° donner des astreintes; 13° donner des amendes administratives; 14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international; 15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier; 16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données. III.1. III.1. À l'égard d'Y1 82. La Chambre Contentieuse estime qu’Y1 a voilé l’article 5.1.a) du RGPD en combinaison avec l’article 6 du RGPD et l’article 24.1 du RGPD. Elle souligne que le traitement des données était unique et qu’Y1 a déclaré avoir supprimé les données entre-temps. En prenant cela en considération, la Chambre Contentieuse décide, en vertu de l’article 100, § 1, 5° de la WOG, d’infliger une réprimande à l’égard du Y1. III.2. III.2. À l'égard de Y2 83. La Chambre Contentieuse estime que Y2 a enfreint l’article 5.1.a) du RGPD conjointement avec l’article 6 du RGPD, l’article 24.1 du RGPD, ainsi que l’article 12.3 du RGPD, conjointement avec les articles 15 et 17 du RGPD. Elle souligne que le traitement des données était unique et que Y2 a déclaré avoir supprimé les données entre-temps. En prenant cela en considération, la Chambre Contentieuse décide, en vertu de l’article 100, § 1, 5° de la WOG, d’infliger une réprimande à l’égard du Y2. IV. Publication de la décision 84. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site internet de l’Autorité de protection des données. Toutefois, il n’est pas nécessaire à cette fin que les données d’identification des parties soient directement communiquées. PAR CES MOTIFS, la Chambre Contentieuse de l'Autorité de Protection des Données, décide, après délibération: - En vertu de l'article 100, §1, 5° LCA, d'infliger une réprimande à l'égard de la 1ere défenderesse pour la violation de l'article 5.1 (a) RGPD lu en liaison de l'article 6 RGPD et l'article 24.1 RGPD; - En vertu de l'article 100, §1, 5° LCA d'infliger une réprimande à l'égard de la 2ème défenderesse pour la violation de l'article 5.1 (a) RGPD lu en liaison de l'article 6 RGPD et l'article 24.1, RGPD, ainsi que pour la violation des articles 15 et 17 RGPD. Conformément à l'article 108, § 1 de la LCA, un recours contre cette décision peut être introduit, dans un délai de trente jours à compter de sa notification, auprès de la Cour des Marchés (cour d'appel de Bruxelles), avec l'Autorité de protection des données comme partie défenderesse. Un tel recours peut être introduit au moyen d'une requête interlocutoire qui doit contenir les informations énumérées à l'article 1034ter du Code judiciaire20. La requête interlocutoire doit être déposée au greffe de la Cour des Marchés conformément à l'article 1034quinquies du C. jud.21, ou via le système d'information e-Deposit du Ministère de la Justice (article 32ter du C. jud.). (sé) Hielke HUMAN Président de la Chambre Contentieuse Document PDF ECLI:BE:GBAPD:2025:DEC.20250424.7 Publication(s) liée(s) suivi par: ECLI:BE:GBAPD:2025:AVIS.20250903.3