ECLI:BE:GBAPD:2025:DEC.20250115.2
Détails de la décision
🏛️ Autorité de protection des données
📅 2025-01-15
🌐 FR
Décision
Matière
burgerlijk_recht
Législation citée
loi du 3 décembre 2017
Résumé
La Chambre Contentieuse de l'Autorité de protection des données décide, après délibération: - en vertu de l'article 100, § 1er, 5° de la LCA, de prononcer à l'encontre de la défenderesse une réprimande pour la violation de l'article 6.1.f) du RGPD et pour la violation des articles 5.1.a), 12et 13...
Texte intégral
Chambre Contentieuse
Décision quant au fond 07/2025 du 15 janvier 2025
Numéro de dossier : DOS-2020-02815
Objet : enquête auprès de Mediahuis concernant le transfert de données à caractère personnel à une joint venture suite à un asset deal pour les activités de "Jobat" et le traitement de données d'abonnés
La Chambre Contentieuse de l'Autorité de protection des données, composée de Monsieur Hielke HIJMANS, président, et de Messieurs Jelle Stassijns et Christophe Boeraeve, membres ;
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après "RGPD" ;
Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, ci-après "LCA" ;
Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
A pris la décision suivante concernant :
Le plaignant : X, ci-après "le plaignant", et ;
La défenderesse : Mediahuis NV, dont le siège social se situe à […], et dont le numéro d'entreprise est […], représentée par Maître JAN CLINCK et Maître GERRIT VANDENDRIESSCHE, ci-après "la défenderesse".
DECISION QUANT AU FOND 07/2025 DU 15 JANVIER 2025 ............................................................ 1
I. Faits et procédure................................................................................................................................ 3
II. Motivation ............................................................................................................................................ 5
II.1. Préambule - abus de droit présumé lors du dépôt de la plainte........................................ .......... 5
II.2. Classement sans suite des griefs relatifs au traitement des données d'abonné (délais de conservation, obligations d'information et exactitude des données à caractère personnel) .................. 8
II.3. Transfert de données à caractère personnel à une joint venture pour les activités de "Jobat" :
qualification du traitement et base juridique ......................................................................................... 10
II.3.1. Enquête du Service d'Inspection ................................................................................................... 10
II.3.2. Point de vue de la défenderesse ................................................................................................... 11
II.3.3. Évaluation par la Chambre Contentieuse ..................................................................................... 12
a) Visualisation de l'asset deal Mediahuis NV - HORS BV...................................................................... 12
b) Le transfert constitue un traitement distinct au sens de l'article 4.2 du RGPD. ........................... . 14
d) L'article 6.1.f) du RGPD en tant que base juridique valable pour le transfert - pas de violation ... 20
e) L’article 6.1.f) du RGPD nécessite une analyse préalable et de la documentation - violation ........ 25
II.4. Obligations de transparence et d’information concernant le création d’une joint venture .......... 26
II.4.1. Enquête du Service d'Inspection ..................................................................................................... 26
II.4.2. Point de vue de la défenderesse .....................................................................................................26
II.4.3. Évaluation par la Chambre Contentieuse ....................................................................................... 27
a) Au préalable : le manque de précision allégué des violations reprochées ....................................... 27
b) Obligations de transparence et d’information : principes et dispositions légales ........................... 28
c) Nécessité de transparence et d’information pour le transfert litigieux ............................................. 30
d) Évaluation de la communication concrète d’informations lors du transfert litigieux - violation ..... 31
III. Mesures .................................................................................................................................................. 33
III.1. Considérations particulières concernant l’amende administrative : collaboration constructive de la défenderesse et de son DPO ........................................................................................................................... 33
III.2. Réprimandes ...................................................................................................................................... 35
III.3. Injonction de mise en conformité du traitement ............................................................................ 35
IV. Exécution provisoire .............................................................................................................................36
V. Publication de la décision .....................................................................................................................38
I. Faits et procédure
1. La plainte concerne plusieurs griefs formulés par le plaignant à l'encontre de la défenderesse, notamment après que le plaignant ait obtenu accès aux traitements et aux données à caractère personnel que la défenderesse a traitées à son sujet. Il s'agit notamment ici des délais de conservation appliqués pour certaines données à caractère personnel, ainsi que du transfert des données à caractère personnel du plaignant à une nouvelle entité pour des activités précédemment exercées exclusivement par la défenderesse.
2. Ce dossier fait suite à un dossier précédent (DOS-2019-06505), dans lequel la Chambre Contentieuse a ordonné l'octroi de l'accès aux données à caractère personnel par la même défenderesse au même plaignant, sur la base d'une évaluation prima facie des faits repris dans le dossier. 1 La défenderesse avait ensuite procédé à l'octroi de l'accès au plaignant.
3. Le 14 mai 2020, le plaignant introduit une plainte auprès de l'Autorité de protection des données contre la défenderesse.
4. Le 16 juin 2020, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA.
5. Le 13 juillet 2020, la Chambre Contentieuse décide de demander une enquête au Service d'Inspection, en vertu des articles 63, 2° et 94, 1° de la LCA.
6. Le 13 juillet 2020, conformément à l’article 96, § 1er de la LCA, la demande de la Chambre Contentieuse de procéder à une enquête est transmise au Service d’Inspection, de même que la plainte et l’inventaire des pièces.
7. Le 8 juin 2021, l’enquête du Service d’Inspection est clôturée, le rapport est joint au dossier et celui-ci est transmis par l’inspecteur général au Président de la Chambre Contentieuse (art. 91, § 1er et § 2 de la LCA).
Le rapport contient différentes constatations :
1. Il n'y a pas de violation des articles 5.1 a), 12 et 13 du RGPD en ce qui concerne les délais de conservation de plusieurs catégories de données à caractère personnel et l'obligation d'information relative à ces délais de conservation. À la lumière de la saisine par la Chambre Contentieuse (pièce 3) et conformément au principe de proportionnalité de l'article 64, § 2 de la LCA, le Service d'Inspection déclare qu'il ne se prononce pas sur la licéité ou non de la durée des délais de conservation appliqués ;
2. Il n'y a pas de violation de l'article 33 du RGPD ;
3. Le transfert par la défenderesse des données à caractère personnel du plaignant et d'autres personnes concernées liées aux services "Jobat" à House of Recruitment Services BV ("HORS" ou "HORS BV") constitue une activité de traitement pour laquelle il n'existait pas de base de licéité valable, ce qui a pour effet que cette activité de traitement par la défenderesse implique une violation de l'article 6 du RGPD ;
4. Le transfert des données à caractère personnel du plaignant et d'autres personnes concernées à HORS BV n'a pas été notifié de manière suffisamment transparente aux personnes concernées, de sorte que cette activité de traitement par la défenderesse constitue une violation des articles 5.1 a), 12 et 13 du RGPD. Le 5 avril 2022, la Chambre Contentieuse décide, en vertu de l’article 95, § 1 er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond.
8. Le 5 avril 2022, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions.
9. Dans le courrier du 5 avril 2022, la défenderesse est informée que le Service d'Inspection pointe des violations dans deux de ses constatations. Elle évoque en premier lieu une violation présumée de l'article 6 du RGPD concernant la licéité du traitement relatif au transfert à des tiers. Elle soulève en second lieu une violation présumée des obligations d'information et de transparence en vertu des articles 5.1 a), 12 et 13 du RGPD suite à ce même transfert à des tiers.
10. Le 7 avril 2022, la défenderesse demande une copie du dossier (art. 95, § 2, 3° de la LCA), qui lui a été transmise le 13 avril 2022..
11. Le 7 avril 2022, la défenderesse accepte également de recevoir toutes les communications relatives à l'affaire par voie électronique et manifeste son intention de recourir à la possibilité d'être entendue, ce conformément à l'article 98 de la LCA.
12. Le 17 mai 2022, la Chambre Contentieuse reçoit les conclusions en réponse de la part de la défenderesse.
13. La Chambre Contentieuse ne reçoit pas de conclusions en réplique de la part du plaignant.
14. Le 28 juin 2022, la Chambre Contentieuse reçoit les conclusions en réplique de la part de la défenderesse. Pour la lisibilité de la décision, les arguments de la défenderesse qui y sont formulés sont repris ci-après dans la section "motivation" de la présente décision.
15. Le 18 octobre 2024, les parties sont informées du fait qu’une audition aura lieu le 5 novembre 2024.
16. Le 5 novembre 2024, les parties sont entendues par la Chambre Contentieuse.
17. Le 8 novembre 2024, le procès-verbal de l’audition est soumis aux parties.
18. Le 19 novembre 2024, la Chambre Contentieuse reçoit de la défenderesse des remarques relatives au procès-verbal qu'elle décide de reprendre dans sa délibération.
II. Motivation
II.1. Préambule - abus de droit présumé lors du dépôt de la plainte
19. Durant la procédure, la défenderesse soulève que le plaignant a déposé la plainte uniquement pour lui nuire. Selon la défenderesse, cette utilisation du droit de plainte constitue une forme d'abus de droit.
20. En effet, dans l'ordre juridique belge, l'exercice d'un droit subjectif qui vise uniquement à nuire à la partie adverse, ou l'exercice du droit qui est susceptible de causer ou cause un préjudice de manière disproportionnée, peut constituer un abus de droit. 2 Dans l'ordre juridique européen, il existe également une interdiction de l'abus de droit en vertu de l'article 54 de la Charte des droits fondamentaux de l'Union européenne.
21. À cet égard, la défenderesse cite plusieurs éléments qui, selon elle, indiqueraient un abus de droit dans l'exercice du droit de plainte. La Chambre Contentieuse examine ces différents éléments pour aboutir à la conclusion qu'en l'espèce, il ne peut être question d'un abus de droit.
22. Premièrement : diverses déclarations faites par le plaignant à l'égard de la défenderesse et de plusieurs de ses collaborateurs - dans lesquelles le plaignant utilise souvent un langage qui peut être perçu pour le moins comme grossier - peuvent donner l'impression que le plaignant, en plus d'exercer ses droits subjectifs, vise également à nuire à la défenderesse.
23. Toutefois, les données à caractère personnel du plaignant ont effectivement été traitées par la défenderesse et les griefs du plaignant exprimés dans sa plainte sont liés à des traitements qui trouvent indubitablement leur origine (en partie) dans des événements antérieurs aux déclarations susmentionnées à l'égard de la défenderesse et de ses collaborateurs, et également antérieurs au dépôt de la plainte auprès de l'APD. On ne peut pas affirmer qu'en l'espèce, l'exercice du droit de plainte ne sert aucune finalité légitime en sus de l'éventuelle intention de nuire.
24. Il ressort d'ailleurs de la lecture plus approfondie des échanges entre le plaignant et la défenderesse, dont cette dernière cite sélectivement des extraits, que le plaignant a effectivement signalé des problèmes avec certaines des activités liées au traitement de ses données à caractère personnel.
25. Dès lors, le plaignant a bel et bien un intérêt à déposer la plainte. Le fait que cette plainte soit "colorée" par le langage utilisé par le plaignant avant le dépôt de la plainte n'enlève rien au fait que les traitements de données à caractère personnel litigieux trouvent leur origine, du moins en partie, in tempore non suspecto et que le plaignant peut se sentir lésé par ces traitements.
26. Comme l'énoncent DE BOECK et VERMANDER : "Lorsque d'autres intentions peuvent être indiquées, l'intention de nuire ne suffit pas ipso facto à conclure à l'abus de droit, ce qui est manifestement le cas lorsque l'intention de nuire constitue le seul motif de l'action.”3
[NdT : traduction libre effectuée par le Service traduction de l'Autorité de protection des données, en l'absence de traduction officielle]
27. La Cour de justice a déjà souligné que la raison pour exercer le droit d'accès en vertu de l'article 15 du RGPD ne doit pas être motivée vis-à-vis du responsable du traitement. 4 À cet égard, la Cour a également déclaré que le fait qu'il existe "un autre but" pour l'exercice d'un droit prévu par le RGPD que celui mentionné dans le préambule de ce Règlement ne suffit pas pour rejeter la demande.5 Mutatis mutandis, la Chambre Contentieuse constate que le fait qu'un motif d'introduction de la plainte soit de causer un effet dommageable ne peut en soi donner lieu au rejet de la plainte.
28. La Chambre Contentieuse estime que le fait que l'un des motifs du plaignant de déposer plainte serait (i) de causer un préjudice, ou (ii) de causer un dommage dans le chef de la défenderesse, n'exclut pas en soi l'exercice du droit de plainte, vu qu'il existe manifestement aussi d'autres motifs (légitimes) qui sous-tendent l'exercice du droit de plainte.
29. Deuxièmement : le fait que le plaignant ait déclaré, vis-à-vis de l'APD, qu'il trouverait qu’une sanction "pécuniaire" serait appropriée ne suffit pas non plus en soi - ni en combinaison avec les autres éléments rappelés dans la présente section - pour parler d'un abus de droit.
Il arrive souvent que des parties plaignantes demandent une sanction déterminée. Cela ne veut pas dire qu'il faut examiner la sanction qu'elles réclament. Comme l'a confirmé la Cour de justice, il incombe en effet à l'autorité de contrôle de déterminer les mesures appropriées. 6
30. Troisièmement, l'absence d'un exercice préalable de droits (tels que le droit d'opposition ou le droit à l'effacement des données) ne constitue pas une raison décisive de ne pas traiter une plainte. En fonction des circonstances, il peut même ne pas être nécessaire que les données à caractère personnel d'une personne soient traitées pour qu'une plainte soit examinée par une autorité de contrôle - malgré certaines discussions juridiques précédentes à ce sujet.7 Le fait qu'une personne concernée n'ait pas exercé de droits auprès d'un responsable du traitement peut toutefois jouer un rôle dans l'évaluation de la politique à mener pour classer une plainte sans suite.8
31. Enfin, le fait que le plaignant n'aurait répondu qu'à contrecœur aux demandes du Service d'Inspection n'est pas, en soi ou avec les autres éléments cités dans la présente section, un élément suffisant pour considérer que le seul motif du dépôt de la plainte serait de causer un préjudice ou un dommage disproportionné.
32. En résumé, il n'y a manifestement pas d'intention exclusive de nuire par l'usage du droit de plainte, et l'exercice du droit de plainte ne procure pas au plaignant un avantage disproportionné par rapport au préjudice causé à la défenderesse. 9 Le fait que le plaignant exerce son droit de déposer une plainte conformément à l'article 77 du RGPD (avec le traitement subséquent de ce dossier) ne peut en effet pas être considéré comme un avantage (disproportionné). Il n'y a pas non plus de préjudice disproportionné pour la défenderesse si l'avantage du plaignant consistait en l'obtention d'une réparation morale par une éventuelle sanction de la défenderesse, le seuil d'appréciation du caractère disproportionné de l'exercice du droit étant élevé. 10
33. En juger autrement aurait en effet pour conséquence de refuser définitivement l'accès à la justice à toute personne qui constitue une personne concernée dans le cas où celle-ci aurait fait des déclarations qui attesteraient d'une intention de nuire alors qu'il existerait (également) de véritables griefs concernant des traitements de données à caractère personnel.
34. La situation aurait pu être différente si le plaignant avait délibérément incité le traitement de ses données à caractère personnel et, par exemple, "provoqué" une violation afin de pouvoir exercer son droit de porter plainte. De cette manière, le contournement de la finalité du droit de plainte serait évident car les circonstances du traitement auraient été créées artificiellement en vue du dépôt de la plainte.11 Tel n’est pas le cas en l'espèce.
35. Pour toutes ces raisons, l'exercice du droit de plainte par le plaignant ne constitue pas un abus de droit.
II.2. Classement sans suite des griefs relatifs au traitement des données d'abonné (délais de conservation, obligations d'information et exactitude des données à caractère personnel)
36. Premièrement, le plaignant a formulé un certain nombre de griefs dans (les annexes de) sa plainte, concernant diverses violations présumées de la législation relative à la protection des données. Ainsi, certaines données à caractère personnel dateraient fortement. Il s'agit de données à caractère personnel telles que d'anciennes adresses postales du plaignant, ainsi que d'anciennes adresses e-mail du plaignant. Certaines données à caractère personnel (liées à la participation à des concours) dataient apparemment aussi, selon le plaignant.
37. En ce sens, le plaignant suggère que les principes de minimisation des données (article 5.1.c) du RGPD) et de limitation de la conservation (article 5.1.d) du RGPD) n'auraient pas été respectés par la défenderesse, et que la longue conservation serait disproportionnée. Dans son enquête, le Service d'Inspection s'est en outre également référé à l'article 25 du RGPD en ce qui concerne la détermination préalable des délais de conservation.
38. Deuxièmement, le plaignant affirme que certaines informations concernant une visite à un événement n'ont pas été conservées dans la bonne catégorie de données à caractère personnel. À cet égard, le plaignant suggère que certaines données à caractère personnel sont conservées pendant une durée disproportionnée et que le principe de minimisation des données n'est pas non plus respecté dans ce cadre.
39. Troisièmement, le plaignant conteste l'exactitude de certaines données à caractère personnel, affirmant n'être abonné à aucun des journaux publiés par la défenderesse.
40. Le Service d'Inspection a examiné ces aspects de la plainte. Dans ce contexte, des échanges avec le délégué à la protection des données ("DPO") de la défenderesse ont eu lieu. À cette occasion, le DPO a notamment expliqué en détail quel délai de conservation est appliqué pour quel type de données à caractère personnel et où ces informations sont disponibles pour les personnes concernées.
41. D'après les réponses du DPO, ces informations relatives aux délais de conservation sont disponibles selon une approche par couches (layered approach) pour toute personne concernée qui demande ou recherche les informations (via, entre autres, la politique de confidentialité sur le site Internet). Ainsi, pour les données d'identification, la défenderesse applique un délai de conservation de 10 ans "après la fin de la relation client" [NdT : les passages cités du dossier sont traduits librement par le Service traduction de l'Autorité de protection des données, en l'absence de traduction officielle]
42. Le Service d'Inspection conclut, d'une part, qu'au regard des éléments précités, la défenderesse ne manque pas à ses obligations d'information et de transparence. D'autre part, le Service d'Inspection précise qu'en ce qui concerne la conservation de certaines données à caractère personnel telles que d’anciennes adresses e-mail, le délai de conservation n'a pas été dépassé.
43. La Chambre Contentieuse n'a pas offert la possibilité à la défenderesse de se défendre en ce qui concerne les éléments susmentionnés, mais l'a simplement invitée à présenter des moyens de défense concernant le transfert de données à caractère personnel à HORS BV et les obligations d'information et de transparence y afférentes.
44. Compte tenu du grand nombre de plaintes qui lui sont soumises, la Chambre Contentieuse n'estime pas opportun d'examiner plus avant les éléments précités relatifs (i) à la licéité du traitement de données à caractère personnel (données d'abonné et autres) du plaignant dans le chef de la défenderesse12, (ii) au respect du principe de minimisation des données pour les données à caractère personnel du plaignant (données d'abonné et autres), (iii) aux obligations de transparence et d'information lors du traitement des données à caractère personnel du plaignant13 et (iv) au respect du principe d'exactitude des données à caractère personnel du plaignant.
45. À cet égard, la Chambre Contentieuse considère en particulier que le Service d'Inspection n'a pas constaté de violations concernant ces éléments, ou des éléments au moins étroitement liés à ceux-ci. La Chambre Contentieuse focalise plutôt la panoplie d'instruments dont elle dispose pour faire respecter la réglementation sur les éléments de la plainte et de l'enquête subséquente du Service d'Inspection qu'elle identifie comme les plus pertinents.
II.3. Transfert de données à caractère personnel à une joint venture pour les activités de "Jobat" : qualification du traitement et base juridique
46. Dans sa plainte, le plaignant affirme qu'il n'a jamais donné son consentement explicite à l'utilisation de ses données par l'intermédiaire de Jobat dans la joint venture de la défenderesse et de DPG Media nv.
47. Le plaignant se réfère à cet égard à la création de la société à responsabilité limitée HORS.
D'après la publication de l’acte constitutif au Moniteur belge 14, cette société a été fondée en juin 2019.
II.3.1. Enquête du Service d'Inspection
48. Dans le cadre de son enquête, le Service d'Inspection a examiné minutieusement le transfert des données à caractère personnel au départ de la défenderesse vers HORS.
49. Dans ce contexte, le Service d'Inspection a adressé un certain nombre de questions au DPO de la défenderesse.
50. Le Service d'Inspection constate que la défenderesse estime qu'il ne doit pas y avoir de base juridique distincte pour le transfert. Le Service d'Inspection résume les motifs avancés à cet égard dans son rapport par le DPO de la défenderesse comme suit :
“a. Le transfert contesté de données à caractère personnel ne serait pas un traitement mais une opération ; b. Le transfert litigieux de données à caractère personnel s'appuierait sur la base juridique initiale ;
c. Les finalités du traitement de données relatif aux utilisateurs de Jobat n'auraient pas changé ; seule l'identité du responsable du traitement aurait changé ;
d. Le transfert litigieux de données à caractère personnel n'aurait aucune incidence sur les droits et libertés."
51. En ce qui concerne le premier aspect, le Service d'Inspection déclare que le transfert des données à caractère personnel, une base de données à caractère personnel, par la défenderesse à HORS constitue bel et bien un traitement au sens de l'article 4.2. du RGPD.
52. En ce qui concerne le deuxième aspect, le DPO de la défenderesse affirme que HORS reprend l' "obligation légale" (article 6.1.c) du RGPD) de traiter des données à caractère personnel dans le cadre du placement privé et que le traitement peut être poursuivi en vertu de la base contractuelle avec la personne concernée (article 6.1.b) du RGPD). Le Service d'Inspection conteste cette affirmation et déclare qu'une base juridique propre est requise pour ce traitement distinct.
53. En ce qui concerne le troisième aspect, le Service d'Inspection déclare que le fait que seule la qualité du responsable du traitement change et qu'il s'agirait d'une poursuite du (même) traitement ne suffit pas à démontrer la licéité du traitement litigieux.
54. En ce qui concerne le quatrième aspect, le Service d'Inspection examine l'incidence éventuelle sur les droits et libertés des utilisateurs à la lumière de l'article 6.1.f) du RGPD en tant que base juridique valable potentielle et déclare à cet égard : "Le test de pondération ne peut être réalisé théoriquement et dans l'abstrait mais dépend aussi du cas concret et du contexte qui se présente." Selon le Service d'Inspection, l'article 6.1.f) du RGPD n'est donc pas respecté au niveau de ce test de pondération. Le Service d'Inspection déclare ce qui suit : "Selon le Service d'Inspection, la préservation des droits et libertés - y compris le droit d'opposition - n'a pas en soi été suffisamment examinée au regard des attentes raisonnables de la personne concernée pour démontrer la licéité du traitement litigieux."
II.3.2. Point de vue de la défenderesse
Dans ses conclusions, la défenderesse fait valoir, de manière très résumée, les arguments suivants.
55. Premièrement, la défenderesse estime que le consentement explicite n'était pas nécessaire pour l'utilisation des données via Jobat au sein de la joint venture de la défenderesse avec DPG Media (HORS) :
a) Le consentement "explicite" est un concept relevant de l'article 9.2 du RGPD, mais la défenderesse estime qu'elle ne traite pas de catégories particulières de données à caractère personnel, rendant ainsi cette disposition inapplicable ;
b) La défenderesse disposait d'autres possibilités pour le transfert à HORS, à savoir l'exécution du contrat (Jobat) avec les utilisateurs concernés et le respect de ses obligations légales (respectivement les articles 6.1.b) et 6.1.c) du RGPD) ;
c) En l'espèce, la défenderesse considère que le consentement ne peut jamais constituer une base juridique valable, faute de pouvoir être accordé "librement" –
la défenderesse se réfère à cet égard entre autres à des décisions de la Chambre Contentieuse ;
d) Le droit civil autorise qu'une partie cède son contrat sans qu'il soit nécessaire à cette fin d'obtenir le consentement explicite de la partie adverse initiale ;
56. Deuxièmement, la défenderesse considère que le transfert ne consistait qu’en une "opération" et non en un "traitement" au sens (de l'article 4.2) du RGPD. Le transfert était donc licite et la défenderesse précise en outre ce qui suit :
a. La défenderesse déclare que la finalité du traitement consiste en l'exécution du contrat et que le transfert fait donc partie de cette finalité et ne constituait dès lors qu'une opération dans le cadre d'un traitement plus large. À cette fin, la défenderesse se réfère notamment à la doctrine et à la jurisprudence, ainsi qu'à des décisions de la Chambre Contentieuse et à des documents de l'APD - qui établissent ou établiraient une distinction similaire entre les notions d' 'opération' et de 'traitement' ;
b. Pour la défenderesse, le transfert à HORS était "nécessaire" à la poursuite des services Jobat et au respect des obligations légales en matière de placement (qui étaient tous deux été exécutés initialement de manière licite par la défenderesse). La défenderesse se réfère à la "licéité initiale" du traitement des données à caractère personnel et au fait que HORS reprenne ces activités, et plus particulièrement :
i. à la reprise des obligations contractuelles et du traitement en vertu de l'article 6.1 b) du RGPD par HORS ;
ii. aux obligations légales (art. 6.1.c) du RGPD) par HORS "en tant que bureau de placement privé".
57. Troisièmement, "à titre subsidiaire", la défenderesse se positionne concernant l'article 6.1.f) du RGPD :
a) La défenderesse affirme que le Service d'Inspection ne motive pas pourquoi les intérêts des personnes concernées l'emporteraient sur les intérêts de l'entreprise dans le cadre d'une transaction relevant du droit des sociétés ;
b) La défenderesse déclare à titre subsidiaire - bien qu'elle ne pense pas que le transfert doive se fonder sur une base juridique distincte - qu'en l'espèce, l'article 6.1.f) du RGPD pourrait constituer la base juridique valable ;
c) La défenderesse applique elle-même le test en trois étapes pour arriver à la conclusion que l'article 6.1.f) du RGPD peut s’appliquer, le cas échéant.
II.3.3. Évaluation par la Chambre Contentieuse
a) Visualisation de l'asset deal Mediahuis NV - HORS BV
VOIR PDF SCHEMA
b) Le transfert constitue un traitement distinct au sens de l'article 4.2 du RGPD.
58. La Chambre Contentieuse constate tout d'abord que le transfert (voir Schéma I, point 5) des données à caractère personnel du plaignant et d’autres personnes concernées vers HORS constitue un traitement au sens du RGPD..
59. Premièrement, HORS est une autre entité juridique, ce qu’on appelle une joint venture ("entreprise commune"), créée par la défenderesse d'une part et DPG Media NV d'autre part.
L'entreprise HORS a été créée en 2019.16 Le fait que la défenderesse serait majoritaire 17 au sein de HORS et que HORS appartiendrait ainsi au 'groupe Mediahuis' (par exemple en termes de marque et d'identité) n'enlève rien au fait que HORS est une entreprise distincte dont au moins une autre société est également actionnaire. 18
60. Il ressort d'ailleurs aussi clairement de l'argumentation de la défenderesse qu'elle a bien compris et comprend bien la distinction entre les deux entités juridiques. La défenderesse parle d'un "asset deal19" en ce qui concerne le transfert des activités Jobat vers la joint venture ; dans le cas d'un asset deal, les activités ou actifs (une partie des activités ou actifs) d'une autre société sont (est) en effet repris(e).20
61. Il s'agit donc d'un transfert d'actifs (tels que des contrats et les données à caractère personnel y afférentes) d'une société à une autre. Cette situation diffère de celle d'un share deal, où il n'y a qu'un changement d'actionnariat, mais où le responsable du traitement reste le même.21
62. Deuxièmement, il est incontestable que HORS assume la responsabilité du traitement des données à caractère personnel dans le cadre de l'exécution des services Jobat après le transfert. Il ressort d'ailleurs aussi explicitement de la réponse du délégué à la protection des données ("DPO") au Service d'Inspection que la défenderesse reconnaît que HORS est un responsable du traitement distinct - même si les données à caractère personnel sont stockées sur l'infrastructure IT en la possession ou sous le contrôle de la défenderesse.22
Pour cet aspect, un contrat de sous-traitance a été conclu entre la défenderesse et HORS, vu qu'après le transfert, la défenderesse intervient à cet égard en tant que sous-traitant de HORS.23
63. Troisièmement, la Chambre Contentieuse souligne que le fait que les traitements au niveau respectivement de la défenderesse et de HORS concernent des traitements similaires (Schéma I, traitements visés aux points 4 et 6) ne signifie pas que le transfert ne constituerait pas un traitement distinct (Schéma I, traitement visé au point 5). Pour la qualification du traitement, il n'importe d'ailleurs pas que les activités restent quasiment les mêmes et que les traitements soient effectués pour des finalités formulées de manière identique ; ce qui est déterminant ici, c'est le fait qu'il y ait un transfert juridique de données à caractère personnel.24
64. À cet égard, la Chambre Contentieuse souligne que ce n'est pas parce que HORS s'appuie ou s'appuierait sur la même base juridique que celle de la défenderesse qu'il s'agit du même traitement (voir Schéma I, les traitements visés aux points 4 et 6).
65. Quatrièmement, la Chambre Contentieuse attire l'attention sur la notion de "nécessité" pour l'exécution de traitements sur la base d'un contrat en vertu de l'article 6.1.b) du RGPD (voir aussi infra, section II.3, rubrique c.2). La Chambre Contentieuse précise que le transfert de données à caractère personnel n'est pas en soi requis, par exemple, pour l'exécution d'un contrat de l'utilisateur/de la personne concernée dans le cadre des services Jobat, ce qui est pertinent pour la qualification du transfert en tant que traitement distinct. 25
66. La Chambre Contentieuse conclut, sur la base de chacun des quatre éléments précédents, que le transfert des données à caractère personnel issues des activités Jobat de la part de la défenderesse à HORS (Schéma I, traitement visé au point 5) constitue un traitement au sens de l'article 4.2 du RGPD.
c) Une base juridique nécessaire pour le transfert en tant que traitement
67. Tout traitement de données à caractère personnel doit reposer sur une base juridique au sens de l’article 6 du RGPD.26 Si les mêmes données à caractère personnel sont traitées de différentes manières, chacun de ces traitements doit relever de l'une des bases de licéité énumérées à l'article 6.1 du RGPD.27 En vertu du RGPD, le consentement ne bénéficie d’aucune préférence explicite ; le traitement de données à caractère personnel peut se fonder sur l'une des six bases de traitement énumérées à l'article 6.1 du RGPD. 28
c.1.) L'article 6.1.c) du RGPD comme base juridique
68. Au cours de la procédure administrative devant l'APD (notamment au cours de l'enquête du Service d'Inspection mais aussi dans ses conclusions devant la Chambre Contentieuse), la défenderesse a fait valoir qu'elle pouvait (partiellement) fonder ses traitements sur l'article 6.1.c) du RGPD, vu qu'à la fois la défenderesse et (après le transfert) HORS auraient l'obligation légale "d'aider les travailleurs à chercher un nouvel emploi et d'aider les employeurs à trouver des travailleurs qui conviennent[…]”
69. Tout d'abord, la Chambre Contentieuse fait remarquer que la défenderesse ne peut pas fonder ses traitements en vertu de l'article 6.1.c) du RGPD sur - ce qu’on appelle - une obligation légale d'un autre responsable du traitement (à savoir HORS). En effet, il n'est pas permis de traiter des données à caractère personnel parce qu'un autre responsable du traitement est obligé de le faire.
70. La Chambre Contentieuse ne trouve aucune base légale pour le traitement de données à caractère personnel dans le décret flamand du 10 décembre 2010 relatif au placement privé (M.B. du 29 décembre 2010, ci-après "Décret" ou "Décret placement privé") et plus spécifiquement dans son article 3.1. Une norme qui impose une obligation légale doit, d’une part, spécifier la finalité concrète pour laquelle le traitement de données obligatoire doit être réalisé et, d’autre part, être claire et précise, de telle sorte que le responsable du traitement ne doit, en principe, pas avoir de marge d’appréciation quant à la façon de réaliser le traitement de données à caractère personnel nécessaire au respect de son obligation légale.29 Ce décret et cette disposition n'indiquent nullement que des données à caractère personnel déterminées doivent être traitées et que le Décret constituerait une base légale à cette fin.
71. En outre, le Décret en question ne régit qu'un certain nombre de restrictions au traitement de données à caractère personnel par les bureaux prestant des services de placement privé (article 5, 8°, 12° et 18° du Décret placement privé) et même des dispositions pénales à cet égard (notamment l'article 24, 4° du Décret placement privé).
72. Par conséquent, la défenderesse ne peut pas valablement invoquer cette base juridique (article 6.1.c) du RGPD) pour transférer les données à caractère personnel (relatives aux activités Jobat) à HORS.
c.2.) L’article 6.1.b) du RGPD en tant que base juridique
73. Bien que HORS puisse reprendre les activités de la défenderesse et les fonder sur l'article 6.1.b) du RGPD, l'exécution de l'asset deal n'est pas en soi nécessaire à l'exécution des finalités d'un contrat d’utilisateur (pour Jobat) initialement conclu entre la défenderesse et chaque personne concernée/utilisateur. 30 À cet égard, il est important de noter que l'article 6.1.b) du RGPD stipule que le traitement doit être nécessaire "à l'exécution d'un contrat auquel la personne concernée est partie”.31
74. Le choix de la défenderesse de créer une joint venture et d'y héberger les activités Jobat s'effectue pour des finalités qui ne coïncident pas uniquement avec l'exécution des contrats d'utilisateurs de Jobat. 32 Il convient donc de procéder à une vérification préalable de la licéité du transfert.33
75. En ce qui concerne les finalités de l'asset deal et le transfert litigieux y afférent, la Chambre Contentieuse observe en outre qu'au cours de la procédure, un article de presse est produit, comportant notamment les passages suivants :
a) “L’association ne résulte pas d‘une nécessité économique, ce sont deux entreprises saines […], déclare [y], directeur commercial de Jobat Media, qui dirigera la société résultant de la fusion.”34
b) [Y, directeur commercial de Jobat Media] s'attend à une forte création de valeur grâce à la mutualisation des forces.”35
c) “‘Les données sont une mine d'or, dans ce contexte. Grâce à une utilisation intelligente des données, Jobat et Vacature.com veulent combiner les profils des lecteurs à des offres d'emploi pertinentes.”36
En outre, un article publié par DGP Media est également transmis, dans lequel on peut lire ce qui suit :
“Cette portée unique, combinée à une offre de contenu de qualité et à une utilisation intelligente des données, offre à JOBAT le pouvoir de détecter non seulement les demandeurs d'emploi actifs, mais aussi les demandeurs d'emploi latents ”37
76. Ces passages confirment en outre que le transfert ne poursuivait pas une finalité basée pas sur une quelconque nécessité (économique ou autre) pour l'exécution ultérieure des contrats avec les personnes concernées, mais bien des finalités commerciales (fondées sur des intérêts commerciaux légitimes, cf. infra Section II.3 rubrique d) de la défenderesse.
77. Le Comité européen de la protection des données ("EDPB") a également souligné que dans ce contexte, la nécessité revêt une signification autonome en vertu du droit de l'Union et doit être évaluée en vue de l'exécution d'un contrat avec la personne concernée.38 La Cour de justice de l'Union européenne a déclaré à cet égard que dans ce cas, un traitement doit être "objectivement indispensable" pour la prestation à fournir à la personne concernée 39 ; en d'autres termes, il ne doit pas seulement être utile, mais essentiel. 40
78. Dans ce contexte, l'EDPB déclare explicitement : "L’article 6, paragraphe 1, point b), ne couvrira pas [les] traitements qui sont utiles[…] même s’ils sont nécessaires pour les autres finalités commerciales du responsable du traitement." 41 En d'autres termes : la nécessité de l'exécution d'un contrat avec la personne concernée est indépendante de la nécessité d'un traitement fondé sur les intérêts légitimes d'un responsable du traitement (voir infra, rubrique d) de la présente section). Tel est également le cas si l'activité de traitement (non nécessaire) est signalée aux personnes concernées lors de la conclusion du contrat. 42
79. L'asset deal n'est pas un contrat dans lequel une personne concernée (au sens du RGPD) est partie contractante, et elle n'a donc pas explicitement connaissance de son existence. Dans ce contexte, il incombe d'ailleurs au responsable du traitement de pouvoir prouver que le traitement est objectivement nécessaire à l'exécution d'une partie nécessaire de la prestation contractuelle pour la personne concernée, sans qu'il existe d'alternatives plus réalisables et moins restrictives.43
80. Le but n'est en effet pas d' 'étirer' (c'est-à-dire d'élargir) la notion de "nécessité" de manière à ce que le transfert litigieux relève intégralement de cette notion en tant que traitement. 44
La finalité de la formulation de l'article 6.1.b) du RGPD est en effet que la nécessité du traitement soit évaluée avec une attention particulière pour l'intérêt de la personne concernée dans le cadre de sa relation contractuelle.45 Le point de départ de l'évaluation du caractère nécessaire d'un traitement pour l'exécution de finalités contractuelles n'est donc pas les intérêts de deux acteurs commerciaux, comme dans le cas de la création d'une joint venture à des fins commerciales.46
81. Pour ces motifs, la défenderesse ne peut pas invoquer l'article 6.1.b) du RGPD pour le transfert litigieux.
82. Cela ne signifie d'ailleurs pas que HORS ne peut pas fonder ensuite valablement le traitement des contrats d'utilisateurs - vu la reprise des activités à la lumière d'une transaction commerciale (Schéma I, transaction, voir le point 1) - sur l'article 6.1.b) du RGPD (Schéma I, traitement visé au point 6). Cela concerne toutefois un autre traitement que le transfert litigieux (Schéma I, traitement visé au point 5).
c.3.) Autres bases juridiques en vertu de l'article 6 du RGPD
83. La défenderesse n'a pas demandé le consentement pour le transfert, il n'est donc pas (plus)
possible d'invoquer cette base juridique (article 6.1.a) du RGPD). La défenderesse ne peut pas non plus indiquer de disposition légale concrète (voir l'article 6.1.c) du RGPD) nécessitant le transfert, ni faire valoir que le transfert était nécessaire à la sauvegarde des intérêts vitaux des personnes concernées ou d'autres personnes physiques (voir l'article 6.1.d) du RGPD).
La défenderesse ne peut pas non plus démontrer que le transfert était nécessaire à l'exécution d'une mission d'intérêt public ou d'une mission relevant de l'exercice de l'autorité publique dont elle est investie (voir l'article 6.1.e) du RGPD). La seule base juridique valable sur laquelle le transfert peut donc se fonder ici est l'article 6.1.f) du RGPD.
d) L'article 6.1.f) du RGPD en tant que base juridique valable pour le transfert - pas de violation
84. Vu que la défenderesse a considéré (à tort) que le transfert des données à caractère personnel des utilisateurs de la plateforme Jobat n'était qu'une opération et pas un traitement distinct, elle n'a pas non plus identifié au préalable de base légale en vertu de l'article 6.1 du RGPD. Par contre, dans le cadre de ses conclusions devant la Chambre Contentieuse, la défenderesse a argumenté à titre subsidiaire pourquoi elle peut en tout état de cause invoquer l'article 6.1.f) du RGPD en ce qui concerne le transfert.
85. Conformément à la jurisprudence de la Cour de justice de l'Union européenne 47 (et comme expliqué dans les Lignes directrices de l'EDPB 48), trois conditions cumulatives doivent être remplies pour qu'un responsable du traitement puisse invoquer ce fondement de licéité de manière valable en droit. La défenderesse, en tant que responsable du traitement, doit pouvoir démontrer que :
1) les intérêts qu'elle poursuit avec le traitement peuvent être reconnus comme légitimes (le "test de finalité") ;
2) le traitement envisagé est nécessaire pour réaliser ces intérêts (le “test de nécessité”) ;
et
3) la pondération de ces intérêts par rapport aux intérêts, libertés et droits fondamentaux de la personne concernée pèse en faveur du responsable du traitement ou d'un tiers (le "test de pondération").
a) Le test de finalité
86. Il existe un intérêt légitime dans le chef de la défenderesse pour le transfert.
87. Par la transaction commerciale, la défenderesse démontre sa volonté d'héberger les services relatifs à Jobat au sein d'une nouvelle entreprise et a donc intérêt à ce que, par le biais du transfert des données à caractère personnel, les services Jobat soient hébergés au sein de HORS et à ce que la transaction commerciale (Schéma I, point 1) puisse ainsi avoir lieu.49 L'intérêt de la défenderesse est son intérêt ou son avantage plus large dans le cadre de l'activité de traitement50 : cet intérêt consiste à permettre le bon déroulement de la transaction commerciale (Schéma I, point 1). La finalité du transfert est la raison spécifique du transfert51, à savoir permettre la réalisation du traitement au sein de la joint venture (Schéma I, point 6).
88. Au sein de l'Union européenne, la liberté d'entreprise est un droit fondamental 52. En l'espèce, la création de la joint venture par le biais d'un asset deal constitue une concrétisation légitime de cette liberté, et ce conformément aux dispositions qui s'y rapportent (notamment celles du droit des sociétés et du droit civil belges) 53. Il s'agit dans ce cadre d'un intérêt qui peut clairement être ramené à la transaction commerciale visée et qui est donc ainsi réel et actuel.
L'intérêt de la défenderesse est dès lors légitime - la Cour de justice a confirmé encore récemment qu'un intérêt purement commercial peut également constituer un intérêt légitime au sens de l'article 6.1.f) du RGPD.54
b) Le test de nécessité
89. Le transfert de données à caractère personnel est nécessaire pour réaliser l’intérêt légitime de la défenderesse.
90. Selon la Cour de justice, l’exigence de nécessité est une notion autonome au sein du droit de l’Union qui doit recevoir une interprétation conforme aux objectifs du droit à la protection des données55. Dans ce contexte, la notion de nécessité est également étroitement liée au principe de minimisation des données (article 5.1.c) du RGPD), dès lors que le traitement ne peut avoir lieu "qu’à la condition que ce traitement est opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime"56.
91. Afin de pouvoir assurer son intérêt légitime, le transfert des données à caractère personnel est nécessaire pour la défenderesse. Il n’est en effet pas possible de poursuivre les services Jobat de manière effective sans que les données des utilisateurs de ces services ne soient transférées (Schéma I : le traitement au point 6 n’est pas possible sans le traitement au point 5). Dans ce cadre, la nécessité n’est donc pas seulement importante pour le succès de la transaction commerciale (Schéma I, point 1), mais aussi pour la finalité du traitement qui aura lieu auprès du destinataire HORS pour l’exécution des contrats d’utilisateurs qui ont été repris (Schéma I, lorsque le traitement au point 4 cesse d’exister, il s’agit du traitement au point 6).
92. Sans le transfert, non seulement l’exécution des contrats d’utilisateurs au sein de HORS n’est pas possible mais cela peut également avoir un effet négatif sur le développement ultérieur des activités commerciales des services Jobat. Cela est non seulement désavantageux pour la défenderesse (qui devrait tenir compte d’une dévaluation lors d’une vente) et pour HORS (qui acquerrait un service de moindre valeur). C’est également préjudiciable pour la personne concernée. Une activité commerciale réduite peut conduire à un taux de placement moins effectif (par ex. en raison d’une diminution des employeurs intéressés) et donc à un service moins intéressant pour la personne concernée.
c) Le test de pondération
93. Les intérêts de la défenderesse sont prépondérants par rapport aux intérêts et libertés et droits fondamentaux des personnes concernées - spécifiquement parce qu’elles pouvaient s’attendre à la création d’une joint venture à laquelle des données à caractère personnel pouvaient être transférées.
94. Le considérant 47 du préambule du RGPD dispose que le test de pondération doit être réalisé "compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement.”
95. Le test de pondération est effectué par la Chambre Contentieuse au moyen de 4 étapes57:
i. L’identification des intérêts, des libertés et droits fondamentaux des personnes concernées ;
ii. L’impact du traitement sur les personnes concernées, en tenant compte de la nature des données à caractère personnel à traiter, du contexte du traitement et des conséquences du traitement ;
iii. Les attentes raisonnables des personnes concernées ;
iv. La pondération finale des droits et intérêts opposés, y compris la prise d’autres mesures d’atténuation.
96. La Chambre Contentieuse examine ci-après chacun de ces éléments :
i. L’identification des intérêts, des libertés et droits fondamentaux des personnes concernées :
97. Les personnes concernées ont un intérêt certain et établi lorsqu’un responsable du traitement comme la défenderesse décide de réaliser un traitement déterminé de leurs données à caractère personnel. Dans ce cadre, il convient de souligner que leurs données à caractère personnel sont transférées à un autre responsable du traitement que celui avec lequel elles ont conclu leur contrat d’utilisateur pour les services Jobat. En vertu de l’article 8 de la Charte des droits fondamentaux de l’Union européenne, toute personne a droit à la protection de ces données à caractère personnel ; cela implique également qu’une personne concernée a le droit de garder le contrôle des données la concernant. Un tel contrôle doit permettre aux personnes concernées d’exercer de manière effective les droits que leur confère le RGPD.58
ii. L’impact du traitement sur les personnes concernées, compte tenu de la nature des données à caractère personnel à traiter, du contexte du traitement et des conséquences du traitement :
98. Il convient de remarquer en la matière qu’il ne s’agit normalement pas ici de catégories particulières de données à caractère personnel - comme l’a souligné la défenderesse tout au long de la procédure.
Le fait que les données à caractère personnel se rapportent à des services liés au placement professionnel, ce qui constitue aussi le contexte du traitement, implique que la nature des données à caractère personnel traitées peut bel et bien être sensible dans une certaine mesure. Ainsi, le fait qu’une personne concernée ait été active à un moment donné sur un site Internet de placement professionnel peut l’influencer positivement ou négativement59, par exemple de telles informations pourraient être connues de son employeur actuel.
99. En ce qui concerne les conséquences du traitement, il convient d'observer que la défenderesse avance que dans la pratique, il n’y a que peu ou pas de changements pour l’utilisateur moyen des services de la marque Jobat. En l'espèce, même le DPO est resté le même, conformément aux modalités convenues entre la défenderesse et HORS. Dans ce cadre, il convient d'observer que le transfert (Schéma I, point 5) n’occasionnerait pas de conséquences négatives directes (supplémentaires) dans le chef des personnes concernées en ce qui concerne le traitement envisagé auprès de HORS (Schéma I, point 6).
iii. Les attentes raisonnables des personnes concernées :
100. Les personnes concernées pouvaient en effet s’attendre à ce que leurs données à caractère personnel puissent être transférées dans le cadre du transfert de services comme ceux de Jobat à une joint venture - comme cela est formulé explicitement et de manière correcte dans la politique de confidentialité qui était également applicable pour l’asset deal.60
Dans ce contexte, il convient d’observer que l’argument avancé par la défenderesse pendant la procédure, à savoir que ce type de transactions commerciales (cf. Schéma I, point 1) a lieu "tous les jours", ne suffit pas en soi pour affirmer que les traitements de données à caractère personnel qui y sont associés relèvent des attentes raisonnables des personnes concernées.61 En d'autres termes : ce n’est pas parce que quelque chose a lieu tous les jours que le traitement litigieux concret (transfert) est prévisible.
101. En ce sens, il aurait quoi qu’il en soit été préférable que les personnes concernées aient reçu, dans un délai raisonnable avant le transfert litigieux, des informations importantes en la matière (par exemple via une mise à jour ad hoc de la politique de confidentialité) afin notamment de pouvoir s’opposer.
iv. La pondération finale des droits et intérêts opposés, y compris la prise d’autres mesures d’atténuation :
102. La pondération finale est favorable à la défenderesse, qui pouvait bel et bien procéder au transfert de données à caractère personnel, cf. article 6.1.f) du RGPD. En la matière, la Chambre Contentieuse considère en particulier que dans la pratique, le transfert ne change pas grand-chose à l’offre des services Jobat et que les personnes concernées ont toujours pu s’adresser au même DPO pour exercer leurs droits, via les canaux qui étaient ou sont toujours mentionnés dans la politique de confidentialité. En outre, il est important, aux yeux de la Chambre Contentieuse, que la politique de confidentialité ait toujours mentionné qu’un transfert à une joint venture était possible. Enfin, on peut également préciser que la défenderesse conserve une participation (majoritaire) dans la joint venture, ce qui signifie qu’aussi bien de facto que de jure, il subsiste une certain degré de contrôle (indirect) sur le traitement de données à caractère personnel par la défenderesse.
103. La Chambre Contentieuse conclut que le transfert litigieux pouvait reposer sur l’article 6.1.f) du RGPD et souligne, à la lumière de la pondération des intérêts, - indépendamment de la présence d’un intérêt légitime dans ce cas - que la pondération d’intérêts doit avoir lieu en tenant compte de toutes les parties intéressées, de sorte que l’article 6.1.f) du RGPD ne constituera pas toujours une base juridique efficace dans le cas de la formation d’une joint venture.62 On peut en particulier faire référence dans ce cadre à des transferts où des catégories particulières de données à caractère personnel sont traitées, impliquant qu’un fondement juridique en vertu de l’article 9.2 du RGPD devra également être indiqué.
104. En outre, la Chambre Contentieuse précise que dans le cadre d’un transfert tel qu’en l’occurrence, une attention particulière doit être accordée aux principes de minimisation des données (article 5.1.c) du RGPD), l’instance procédant au transfert des données à caractère personnel devant également tenir compte du caractère ‘actif’ des contrats d’utilisateurs, et ce à la lumière de sa politique en matière de délais de conservation.
e) L’article 6.1.f) du RGPD nécessite une analyse préalable et de la documentation - violation
105. La défenderesse n’a examiné son intérêt légitime pour le transfert qu’après que le Service d’Inspection ait fait référence à cette disposition en tant que base juridique possible pour le traitement63. Toutefois, chaque responsable du traitement est tenu de procéder à une évaluation minutieuse des intérêts légitimes et, comme l’EDPB l’a confirmé, l’article 6.1.f) du RGPD ne peut pas purement et simplement être considéré comme une base juridique applicable par défaut.64
106. Dès lors que la défenderesse renvoie subsidiairement à la base juridique mais n’a pas réalisé l’analyse préalablement au transfert, elle n’a pas respecté l’article 6.1.f) du RGPD. 65 En effet, cette tâche relève de la responsabilité du responsable du traitement. 66 À la lumière de ses obligations en vertu de l’article 5.2 du RGPD, la défenderesse aurait également dû pouvoir démontrer (documenter) où résidait le fondement juridique en vertu de l’article 6.1.f) du RGPD, de sorte qu’il y a aussi lieu de constater une violation sur ce point. 67
II.4. Obligations de transparence et d’information concernant le création d’une joint venture
II.4.1. Enquête du Service d'Inspection
107. Concernant cet aspect, le Service d’Inspection a examiné quelles obligations incombaient à la défenderesse quant aux dispositions de transparence et d’information en vertu du RGPD "avant le transfert des données à caractère personnel du plaignant à HORS BV".
108. Premièrement, le Service d’Inspection aborde le respect de l’obligation d’information générale via la politique de confidentialité de la défenderesse.
109. À cette occasion, le Service d’Inspection prend deux captures d’écran des première et deuxième versions de la politique de confidentialité de la défenderesse dans lesquelles elle fournit des informations sur les transferts dans le cadre de fusions, en faisant spécifiquement référence à des "joint ventures" (dans les deux versions, il s’agit de la section 3.4 de la politique de confidentialité).
110. Deuxièmement, le Service d’Inspection expose "l’obligation d’information concrète" à la lumière du transfert de données à caractère personnel à HORS. Le Service d’Inspection estime que celle-ci n’a pas été remplie et considère que le respect de l’obligation d’information concrète est insuffisant à cet égard.
II.4.2. Point de vue de la défenderesse
111. Dans ses conclusions pour la Chambre Contentieuse, la défenderesse précise, de manière très résumée, ce qui suit :
a) On ne sait pas clairement quelles violations lui sont reprochées en vertu de l’article 12 ou de l’article 13 du RGPD ;
b) Le fait que le transfert (qualifié de "fusion" par le Service d’Inspection) n’a pas été porté à la connaissance des personnes concernées ne peut, selon la défenderesse, pas en soi être une violation du RGPD - la défenderesse renvoie également à cet égard, à titre secondaire, à HORS qui, en vertu de l’article 14 du RGPD, devrait respecter ses obligations d’information en raison de l’obtention indirecte des données ;
c) La défenderesse affirme que le transfert à une joint venture (HORS) aurait pu relever des attentes raisonnables des personnes concernées, se référant à la politique de confidentialité qui était d’application à ce moment-là et qui mentionnait toujours qu’un transfert dans le cadre de transactions commerciales était possible, citant explicitement une joint venture ;
d) La défenderesse précise que l’obligation d’information n’a pas été violée car (i) la personne concernée a bel et bien obtenu des informations relatives à l’éventuel transfert, aux droits et aux conséquences possibles dans la politique de confidentialité ainsi que via les informations publiques (les articles de presse), (ii) le Service d’Inspection avance des fondements juridiques imprécis comme une conscientisation accrue et des attentes en termes de transparence depuis l’adoption du RGPD, et (iii) le fait qu’une communication d’informations (encore) meilleure ne signifie pas ipso facto que les démarches entreprises seraient insuffisantes.
II.4.3. Évaluation par la Chambre Contentieuse
a) Au préalable : le manque de précision allégué des violations reprochées
112. La défenderesse affirme dans ses conclusions à la Chambre Contentieuse qu’elle ne sait pas clairement ce qui lui est précisément reproché - se référant tant au rapport du Service d’Inspection qu’à l’invitation de la Chambre Contentieuse à présenter ses conclusions.
113. L’argument relatif au manque de précision concernant les griefs reprochés est dépourvu de tout fondement et ce, pour les raisons suivantes :
114. Premièrement : dans ses conclusions, la défenderesse affirme que la constatation 4 du rapport du Service d’Inspection "ne fait aucune mention de l’article 12 ou de l’article 13 du RGPD, sauf dans le titre (...)".
Dans les conclusions relatives à cette constatation 4 (donc pas le titre), on peut lire : "Sur la base de ces éléments, le Service d’Inspection constate que cette activité de traitement par [la défenderesse] implique une violation des articles 5.1 a), 12 et 13 du RGPD.”68
En fait, il n’est pas exact que les dispositions légales (pour autant qu’il puisse d’ailleurs s’agir d’un argument pertinent) ne sont mentionnées qu’une seule fois dans le rapport d’enquête.
En outre, les termes "transparence" et "information" apparaissent à de multiples reprises sous ce titre 4 dans le rapport d’inspection.
115. Deuxièmement : dans la ‘remarque préalable’ du Service d’Inspection concernant la constatation 4, ce dernier affirme clairement : "Les dispositions de transparence et d’information avant le transfert des données à caractère personnel du plaignant à HORS BV constituent toutefois bel et bien l’objet de la plainte sous-jacente."69
Le Service d’Inspection a dès lors encadré et délimité avec précision la constatation dans son ensemble - et ses résultats d’enquête en la matière en particulier.
116. Troisièmement : le Service d’Inspection a également clairement expliqué les faits pour lesquels il a constaté une violation de l’obligation d’information et de transparence : "Les utilisateurs de Jobat et le plaignant n’ont donc pas été informés préalablement de la fusion mais ne l’ont été que par la politique de confidentialité de Mediahuis SA (voir ci-dessus), donc seulement après que la fusion ait eu lieu. Le Service d’Inspection considère que Mediahuis SA n’a donc pas traité les données à caractère personnel du plaignant d’une manière transparente à l’égard de ce dernier, comme le prescrit l’article 5.1.a) du RGPD.”70
117. Quatrièmement : dans son invitation à introduire des conclusions, la Chambre Contentieuse souligne également : "Dans le rapport susmentionné du Service d’Inspection, il est constaté que la défenderesse aurait violé les dispositions suivantes du Règlement général sur la protection des données (ci-après : "RGPD") [...] Violation des articles 5.1.a), 12 et 13 du RGPD (obligation d’information et de transparence concernant les transferts à des tiers).”71
118. Cinquièmement : à la lecture du dossier administratif et des questions d’enquête du Service d’Inspection dans sa dernière phase d’enquête, les aspects factuels ayant fait l’objet de questions et pour lesquels des problèmes ont été constatés en matière d’obligations d’information et de transparence ressortent également clairement.
119. Plusieurs éléments factuels très concrets et clairs indiquent que l’argument lié à des griefs imprécis ne peut pas raisonnablement être retenu. Par ailleurs, il ressort de la défense concrète avancée par la défenderesse qu’elle a bel et bien compris ce qui était reproché.
Pour toutes les raisons qui précèdent, la Chambre Contentieuse conclut que cet argument procédural relatif à l’imprécision des griefs ne peut pas être suivi.
b) Obligations de transparence et d’information : principes et dispositions légales
120. Précédemment dans la décision, la Chambre Contentieuse a déjà précisé que le transfert de données à caractère personnel par la défenderesse à HORS constituait un traitement qui peut reposer sur l’article 6.1.f) du RGPD. Indépendamment du fondement juridique, il importe également de fournir aux personnes concernées, de manière transparente, des informations relatives à chaque traitement.
121. Le principe de transparence est un des principes de base dans le cadre du traitement de données à caractère personnel en vertu de l’article 5.1.a) du RGPD et constitue aussi une extériorisation du principe de loyauté à la lumière de traitements de données à caractère personnel - ce principe est en outre repris à l’article 8 de la Charte des droits fondamentaux de l’Union européenne.72
122. La défenderesse est informée de cette obligation de transparence et de cette obligation d’information, dès lors qu’elle précise elle-même explicitement dans ses conclusions en réplique (dans le cadre de la réalisation de la pondération des intérêts en vertu du test en trois étapes, conformément à l’article 6.1.f) du RGPD) :
“Les personnes concernées recevront des informations sur cette transaction ainsi que sur les traitements qui auront lieu dans ce cadre. Il s’agit d’une obligation en vertu du droit civil (lorsqu’un contrat est transféré) ainsi qu’en vertu du droit à la protection des données."
123. En vertu de l’article 13.1 du RGPD, des éléments cruciaux doivent être fournis en termes d’information au moment de la collecte des données à caractère personnel :
a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
b) le cas échéant, les coordonnées du délégué à la protection des données ;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
e) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition."(mise en gras par la Chambre Contentieuse)
124. En vertu de l’article 13.2.b) du RGPD, il importe que les responsables du traitement fournissent encore des informations complémentaires, et notamment des informations relatives à "l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données." (mise en gras par la Chambre Contentieuse)
125. En vertu de l'article 12.1 du RGPD, ces informations doivent en outre être communiquées "[...]d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples […]”.
Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, rev. 1.0, 11 avril 2018, disponible via le lien suivant :
https://www.edpb.europa.eu/system/files/2023-09/wp260rev01 fr.pdf, § 2.
VB c) Nécessité de transparence et d’information pour le transfert litigieux
126. D’abord et avant tout, la Chambre Contentieuse aborde les aspects les plus cruciaux relatifs à l’information dans cette affaire et le moment de la communication de cette information.
Concernant l’information, la Chambre Contentieuse fait remarquer que l’identité de HORS en tant que (futur) responsable du traitement n’a été communiquée nulle part aux personnes concernées avant le transfert. HORS n’existe en effet que depuis 2019.
127. Il ne fait aucun doute que le fait qu’il y ait un autre responsable du traitement qui reprend l’exécution du contrat constitue une information non seulement intéressante mais également cruciale. Cette information doit dès lors être communiquée à la personne concernée avant qu'intervienne tout transfert.
128. Concernant le principe de transparence, le considérant 39 du préambule du RGPD dispose explicitement :
“Ce principe vaut, notamment73, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement [...]" (mise en gras par la Chambre Contentieuse)
129. Dans ses Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, le Groupe de travail "Article 29" sur la protection des données précise également littéralement que toute modification substantielle apportée dans la déclaration sur la protection de la vie privée doit toujours être communiquée aux personnes concernées :
“Les modifications d’un avis ou d’une déclaration sur la protection de la vie privée doivent toujours être communiquées à la personne concernée, notamment : une modification de la finalité du traitement ; une modification de l’identité du responsable du traitement ; ou une modification de la façon dont les personnes concernées peuvent exercer leurs droits concernant le traitement." (mise en gras par la Chambre Contentieuse)74
130. En ce sens, la communication de la nouvelle identité du responsable du traitement aurait quoi qu’il en soit dû avoir lieu avant le transfert litigieux à proprement parler, afin de donner aux personnes concernées un délai raisonnable pour pouvoir, le cas échéant, s’opposer au transfert.75
131. Deuxièmement, la Chambre Contentieuse fait remarquer que l’article 13.1.c) du RGPD mentionne que la "base juridique" du traitement doit être communiquée aux personnes concernées.76 Si un traitement a lieu sur la base de l’intérêt légitime, ces intérêts doivent, conformément à l’article 13.1.d) du RGPD, également être communiqués à la personne concernée. Dès lors que le transfert concret (Schéma I, transfert visé au point 5) ne devait pas reposer sur le contrat avec la personne concernée mais bien sur une autre base juridique, la défenderesse devait en informer les personnes concernées. Conformément à la quatrième version de la politique de confidentialité, la défenderesse mentionne d’ailleurs bel et bien l’intérêt légitime comme base juridique possible pour un transfert dans le cadre de la création d’une joint venture.77
132. Lorsque dans le cadre d’un traitement reposant sur l’article 6.1.f) du RGPD, les personnes concernées sont informées du fondement juridique, les responsables du traitement doivent donc également préciser (i) de quels intérêts légitimes il s’agit, conformément à l’article 13.1.d) du RGPD, et (ii) qu’il existe une possibilité de s’opposer au transfert conformément à l’article 13.2.b) du RGPD.
d) Évaluation de la communication concrète d’informations lors du transfert litigieux - violation
133. Dès lors qu’il est clair que plusieurs éléments d’information devaient bel et bien être fournis par la défenderesse aux personnes concernées, la Chambre Contentieuse examine si les informations réellement communiquées suffisent. La situation spécifique du transfert nécessite en effet un respect spécifique des obligations d’information.78
134. Le DPO de la défenderesse - qui est aussi le DPO de HORS - a précisé ce qui suit au Service d’Inspection :
" … comme indiqué ... Mediahuis et/ou HORS n’a (n'ont) pas informé au préalable les utilisateurs de Jobat (dont le plaignant) concernant la fusion entre Vacature (DPG Media) et Jobat Media (Mediahuis) ou concernant le transfert de leurs données à HORS. Vu que HORS avait obtenu les données de manière indirecte, l’article 14 du RGPD s’appliquait et les informations requises pouvaient être transmises aux personnes concernées après [] l’obtention (et donc le transfert)."
135. La défenderesse, en concertation avec (son associé dans) la joint venture HORS BV, a par contre bel et bien pris une mesure pour informer les personnes concernées au moyen d’un "pop-up" 79 général :
Ce pop-up et la façon dont celui-ci a été rédigé ne sont manifestement pas suffisants pour informer les personnes concernées de manière appropriée quant aux modifications juridiques. Une bannière qui traite notamment des cookies et de l’acceptation de "conditions" et ne renvoie pas une seule fois à la politique de confidentialité (modifiée) ou à une modification juridique liée au transfert peut difficilement être qualifiée d’appropriée pour l’information des personnes concernées quant à un transfert de leurs données à caractère personnel.
136. En outre, la défenderesse affirme que la bannière relative aux cookies qui apparaît périodiquement sur les sites Internet de toutes ses marques établit explicitement un lien vers la politique de confidentialité et que les personnes concernées peuvent y prendre connaissance des éventuelles modifications. Une bannière qui renvoie uniquement de manière générale à une politique de confidentialité et qui sert principalement à obtenir le consentement pour les cookies ne peut pas non plus servir de moyen approprié pour fournir des informations pour le transfert litigieux.
137. En outre, ce qui précède indique que la défenderesse était consciente du fait que des informations relatives au transfert pouvaient être utiles et pertinentes pour les utilisateurs concernés mais il ressort par contre des termes utilisés dans les informations fournies que la défenderesse a omis de communiquer des informations suffisamment claires.
138. De plus, la Chambre Contentieuse souligne qu’en tout cas, aucune information n’est communiquée aux personnes concernées qui ne sont pas actives sur le site Internet de Jobat ou d’autres sites Internet des marques de la défenderesse. 80 Ce sont précisément ces personnes concernées qui pourraient en particulier vouloir s’opposer au transfert parce qu’elles pourraient ne plus souhaiter garder leur compte Jobat ou pour toute autre raison légitime.
139. La Chambre Contentieuse souligne que le fait que les informations soient fournies ne signifie pas que les informations communiquées sont adéquates selon les dispositions applicables du RGPD.
140. Bien que les personnes concernées puissent effectivement partir du principe que les activités sont reprises (comme la politique de confidentialité le stipulait déjà avant la création de HORS), la Chambre Contentieuse fait remarquer que les personnes concernées peuvent s’attendre à en être informées et que les personnes concernées ont la possibilité, dans ce cadre, notamment (i) d’obtenir davantage d’informations en vertu de l’article 13 du RGPD (spécifiquement en ce qui concerne l’identité du responsable du traitement, la base juridique d’un transfert tel que le transfert litigieux, ainsi que l’identification des intérêts légitimes dans ce cadre), afin de pouvoir ensuite, en conséquence de ces informations, s’opposer en vertu de l’article 21 du RGPD, et (iii) demander un effacement de leurs données à caractère personnel en vertu de l’article 17 du RGPD.
141. Dans ce cadre, il est extrêmement important que les personnes concernées soient informées activement et préalablement à un transfert comme en l’espèce. Il n’appartient pas à la défenderesse de déterminer pour les personnes concernées qu’une situation change uniquement d’un point de vue "juridico-technique"81 ; les obligations d’information et de transparence ne sont nullement moins applicables dans de tels cas.
142. La Chambre Contentieuse estime que la défenderesse commet une violation de l’article 5.1.a), de l’article 12.1 juncto l’article 13 du RGPD dès lors qu’elle a fourni des informations insuffisantes aux personnes concernées avant le transfert de données à caractère personnel à HORS lors de la création de cette joint venture pour la reprise des activités de "Jobat".
III. Mesures
III.1. Considérations particulières concernant l’amende administrative : collaboration constructive de la défenderesse et de son DPO
143. La Chambre Contentieuse a tenu compte de la jurisprudence de la Cour de justice qui affirme qu’une amende administrative peut uniquement être imposée lorsqu’il est question d’un acte délibéré ou de négligence dans le chef du responsable du traitement. 82 Dans la présente affaire, on peut bel et bien constater un comportement négligent dans le chef de la défenderesse - à savoir concernant l’absence de communication d’informations aux personnes concernées. Le législateur européen pose comme principe une application rigoureuse83 du RGPD dans le cadre de laquelle les amendes poursuivent un effet dissuasif84.
144. Le comportement négligent est quelque peu mitigé étant donné que dans la pratique, les conséquences de la violation ont eu un effet limité sur les personnes concernées. Ceci ajouté au fait qu’un certain temps s’est écoulé depuis le début de la procédure administrative et le dépôt des dernières conclusions par la défenderesse - sans que cela constitue, en soi, une raison suffisante pour conclure à la non-imposition d’une amende -, la Chambre Contentieuse décide de ne pas imposer d’amende administrative.
145. La Chambre Contentieuse souhaite en outre souligner que le délégué à la protection des données ("DPO") de la défenderesse a répondu de manière particulièrement détaillée et constructive à toutes les demandes que le Service d’Inspection lui a adressées dans le cadre de l’enquête. Ainsi, la défenderesse a notamment fourni de la documentation et des explications au Service d’Inspection concernant (i) l’arrangement mutuel des responsables du traitement en matière de traitements de données à caractère personnel entre la défenderesse et HORS, (ii) des précisions quant à l’architecture de l’infrastructure comme ses data centers, et (iii) une description du rôle pour le DPO. 85 La présence du DPO à l'audition devant la Chambre Contentieuse a également été utile, comme pour expliquer le nombre de demandes en vertu du RGPD qui auraient été adressées à la défenderesse ou à HORS dans le cadre de la création de la joint venture.
146. L'obligation de coopération est ancrée dans la loi 86, et elle est cruciale pour que l'autorité de contrôle puisse s’aquitter de ses missions et exerce ses pouvoirs avec diligence. C'est également la raison pour laquelle le comportement inverse (la non-coopération) a été soumis à de sanctions par le législateur européen. 87 Il est néanmoins important de reconnaître explicitement la coopération de la défenderesse en l’espèce et de souligner son ouverture à l'égard de l'autorité de contrôle.
147. Enfin, il est souligné que le choix d'utiliser les présents instruments de sanction ne peut être davantage atténué sur la base de ce qui est soumis ici et en ayant connaissance de ce que la défenderesse a avancé à cet égard (notamment "l'attitude du plaignant" et "les conséquences limitées de la violation pour le plaignant"). 88
III.2. Réprimandes
148. Tout ce qui précède concernant l’obligation de coopération n'empêche pas de constater que la défenderesse a commis une erreur dans son appréciation des circonstances du transfert suite à un asset deal régissant la création d'une joint venture. Dans son appréciation, la défenderesse n'a pas suffisamment tenu compte des intérêts des personnes concernées et n’a pas qualifié ni traité un traitement distinct en tant que tel.
149. Néanmoins, la défenderesse peut efficacement faire valoir ses intérêts (commerciaux) légitimes dans le cadre d'un asset deal, comme en témoigne le résultat du test en trois étapes favorable à la défenderesse en vertu de l'article 6.1.f) du RGPD. À cet égard, la défenderesse aurait dû procéder à son évaluation à la lumière de l'article 6.1.f) du RGPD avant le transfert afin de pouvoir informer les personnes concernées de son intention de procéder au transfert.
150. Quoi qu'il en soit, l'absence du test préalable en trois étapes et de documentation de celui-ci permettant d'invoquer valablement l'article 6.1.f) du RGPD constitue une violation de l'article 6.1.f) du RGPD pour laquelle la Chambre Contentieuse réprimande la défenderesse.
151. La Chambre Contentieuse réprimande également la défenderesse pour la violation de l'article 5.1.a), de l'article 12.1 j° l'article 13 du RGPD, pour le manque de respect des obligations de transparence et d'information à la lumière de ce même transfert et préalablement à celui-ci.
III.3. Injonction de mise en conformité du traitement
152. La Chambre Contentieuse reconnaît que la mesure intervient un certain temps après la violation et que son effet utile peut être quelque peu atténué. En soi, l'information aurait en effet dû avoir lieu dans un délai raisonnable préalablement au transfert litigieux.
Néanmoins, il reste pertinent pour les personnes concernées de prendre connaissance du changement de responsable du traitement, par exemple si elles devaient s'opposer au transfert (dont elles n'avaient pas connaissance auparavant) et éventuellement souhaiter que leurs données à caractère personnel soient supprimées au niveau de HORS, et la Chambre Contentieuse procède dès lors à l'imposition d'une injonction.
153. Il convient de souligner à cet égard que l'article 12.1 du RGPD précise que les informations peuvent être fournies par voie électronique, "lorsque c'est approprié". Il apparaît à première vue que les utilisateurs entrent en contact avec les services proposés en principe par le biais du site Internet de Jobat et qu'ils y communiquent leur adresse e-mail. Il semble dès lors à première vue approprié de fournir les informations nécessaires aux personnes concernées par ce biais - sans affirmer que le choix pour la défenderesse se limiterait à ce moyen.
154. Comme il ressort également des lignes directrices précitées sur la transparence, il est crucial qu'une notification soit activement adressée aux personnes concernées au sujet du changement d'identité du responsable du traitement. Étant donné que cette information n'a pas été fournie précédemment - et en particulier pas avant le transfert - il est primordial que la communication active aux personnes concernées mentionne également que celles-ci conservent le droit d'exercer leurs droits en vertu du RGPD si elles souhaitent résilier leur contrat d'utilisateur.89
155. L'injonction est dès lors concrètement libellée comme suit :
La Chambre Contentieuse ordonne à la défenderesse d'organiser, dans les quatre mois suivant la prise de connaissance de la présente décision, une communication active à tous les utilisateurs existants des services Jobat. La défenderesse doit en particulier prendre toutes les mesures nécessaires pour s'assurer de pouvoir, elle-même ou sur la base d'accords contractuels avec des acteurs tiers - comme avec HORS, dont la défenderesse est l'actionnaire majoritaire - informer post factum les personnes concernées du transfert. Ces mesures devraient en particulier inclure une notification active, par exemple au moyen d’un e-mail adressé individuellement aux utilisateurs concernés, communiquant notamment l'identité du nouveau responsable du traitement et indiquant où trouver de plus amples informations et comment les personnes concernées peuvent exercer leurs droits en vertu du RGPD (en redirigeant ensuite les intéressés vers les pages Internet pertinentes). Dans le même délai de quatre mois à compter de la notification de la présente décision, la défenderesse informe la Chambre Contentieuse des mesures prises au moyen d'un document récapitulatif.
156. À l'issue de ces quatre mois, la Chambre Contentieuse prendra une décision en ce qui concerne le respect de la présente décision.
157. Si la défenderesse peut démontrer que le respect intégral dans le délai donné est impossible malgré tous les efforts raisonnables, elle a la possibilité de soumettre une demande motivée de prolongation à la Chambre Contentieuse avant l'expiration du délai.
IV. Exécution provisoire
158. Dans ses conclusions et lors de l'audition, la défenderesse demande la suspension de l'exécution provisoire, spécifiquement au motif qu'elle pourrait devoir apporter des "adaptations significatives" à la politique de confidentialité. Ceci entraînerait "des investissements en temps et des coûts considérables".
159. La Chambre Contentieuse rejette la requête de suspension de l'exécution par provision pour les raisons suivantes.
160. Premièrement, l'exécution provisoire prévue à l'article 108, § 1 er, deuxième alinéa de la LCA est la situation standard pour le législateur national. Cette disposition prévoit en effet que les décisions de la Chambre Contentieuse sont exécutoires par provision, sauf dans deux cas alternatifs et spécifiques. Le législateur européen a accordé à l'autorité de contrôle la compétence de prendre des mesures : c'est donc l'autorité qui décide quelle mesure (correctrice) est la plus appropriée pour – au besoin – inciter la partie défenderesse à réagir ou lui imposer cette mesure.90
161. Le fait qu'un recours soit possible auprès d'une instance judiciaire après une quelconque décision en la matière n'affecte pas les pouvoirs de l'autorité. À la lumière de la séparation des pouvoirs, le pouvoir judiciaire doit évaluer a posteriori si l'autorité de contrôle a agi dans le cadre légal et dans le cadre de ses compétences discrétionnaires. Lorsque le juge exerce son propre pouvoir de suspendre l'exécution, il s'agit d'une décision relevant de sa compétence d'évaluation.
162. Au regard de la crédibilité des compétences que les législateurs européen et national ont confiées à l'autorité, la situation standard ne peut pas être la suspension de l'exécution des décisions et mesures prises par une autorité, dès qu'une partie en fait la demande. En effet, si telle était la situation standard, elle éroderait toute l'intention du législateur d'agir de manière énergique et efficace dans une société numérique. Cela ne correspond pas à la conception téléologique des compétences accordées à l'autorité en vertu du RGPD.
En ce sens, il est bel et bien dans l'intention tant du législateur européen que du législateur belge qu'une partie à l'égard de laquelle la Chambre Contentieuse prend des mesures se conforme sans délai excessif aux décisions de l'autorité.
163. Deuxièmement, la Chambre Contentieuse souligne que l'injonction formulée dans la présente décision consiste essentiellement à informer les personnes concernées à propos d'un transfert de données à caractère personnel, avec comme point de départ la communication de ces informations par voie électronique. La défenderesse peut difficilement (potentiellement) faire valoir qu'une telle communication d'informations constituerait une finalité déraisonnable, ou que sa réalisation causerait un préjudice important.
164. Si des mesures lourdes sont imposées à un défendeur, par exemple dans une situation où la loi n'est manifestement pas claire91, la suspension de l'exécution pourrait bien être envisagée, c'est pourquoi le législateur a prévu cette option facultative.
V. Publication de la décision
165. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l’Autorité de protection des données.
166. Vu que la défenderesse est une grande entreprise de médias et que le traitement litigieux (en lien avec les services Jobat) concernent une partie importante de la population belge, la Chambre Contentieuse décide de publier la décision sans omettre les données d'identification de la défenderesse.
167. Pour conférer un effet utile à cette publication, il est également important d'identifier les autres sociétés ou marques impliquées. La Chambre Contentieuse souligne à cet égard que par la présente décision, aucune violation n'est constatée dans le chef des sociétés concernées - autres que la défenderesse (et aucune mesure correctrice n'est prise à leur encontre).
PAR CES MOTIFS,
la Chambre Contentieuse de l'Autorité de protection des données décide, après délibération:
- en vertu de l'article 100, § 1er, 5° de la LCA, de prononcer à l'encontre de la défenderesse une réprimande pour la violation de l'article 6.1.f) du RGPD et pour la violation des articles 5.1.a), 12et 13 RGPD ;
- en vertu de l’article 100, § 1er, 9° de la LCA, d'ordonner à la défenderesse de mettre le traitement en conformité en prenant des mesures afin d'informer activement les personnes concernées à propos des aspects du transfert de données à caractère personnel dans le cadre d'une joint venture (article 5.1.a) article 12.1.j°, article 13 du RGPD), et ce conformément au libellé de l’injonction formulée dans la présente décision;
- en vertu de l’article 100, §1er , 1° de la LCA, de classer la plainte sans suite en ce qui concerne les griefs relatifs aux délais de conservation et à l’exactitude de certaines données d'abonnés;
- en vertu de l'article 100, §1er,16° de la LCA, de publier la présente décision sur le site internet de l'Autorité de protection des données, sans omettre les données d'identification des entreprises concernées.
En vertu de l'article 108, § 1er de la LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des Marchés (Cour d'appel de Bruxelles) dans un délai de trente jours à compter de sa notification, avec l'Autorité de protection des données en qualité de défenderesse.
Un tel recours peut être introduit au moyen d'une requête contradictoire qui doit comporter les mentions énumérées à l'article 1034ter du Code judiciaire92. La requête contradictoire doit être déposée au greffe de la Cour des marchés conformément à l'article 1034quinquies du Code judiciaire93, ou via le système informatique e-Deposit de la Justice (article 32ter du Code judiciaire).
(sé.) Hielke HIJMAN
Président de la Chambre Contentieuse
Document PDF ECLI:BE:GBAPD:2025:DEC.20250115.2
Publication(s) liée(s)
suivi par:
ECLI:BE:GBAPD:2025:AVIS.20250227.1
ECLI:BE:GBAPD:2025:AVIS.20250227.13