ECLI:BE:GBAPD:2025:DEC.20250415.1
Détails de la décision
🏛️ Autorité de protection des données
📅 2025-04-15
🌐 FR
Décision
Matière
fiscaal_recht
Législation citée
Arrêté royal du 23 mars 2017; Arrêté royal du 27 septembre 1984; Loi du 3 décembre 2017; décret du 6 mai 1999; loi du 15 août 2012; loi du 5 mai 2014; loi du 8 août 1983; loi du 8 août 1997; ordonnance du 17 juillet 2020; ordonnance du 8 mai 2014
Résumé
La Chambre Contentieuse de l'Autorité de protection des données décide, après délibération: - En vertu de l'article 100, §1er, 5° de la LCA, d'infliger une réprimande à l'égard du défendeur 1 pour la violation des articles 5.1.d), 5.2, 24 et 25 du RGPD ; - En vertu de l'article 100, §1er, 1° de l...
Texte intégral
Chambre Contentieuse
Décision quant au fond 69/2025 du 15 avril 2025
Numéro de dossier : DOS-2020-03175
Objet : Plainte relative à l’envoi de courriers professionnels à l’adresse privée de curateurs par plusieurs autorités fiscales chargées de la perception d’impôts de sociétés faillies
La Chambre Contentieuse de l'Autorité de protection des données, constituée de monsieur Hielke HIJMANS, président, et de messieurs Christophe Boeraeve et Yves Poullet, membres;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après « RGPD » ;
Vu la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après « LCA ») ;
Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 20191 ;
Vu les pièces du dossier ;
A pris la décision suivante concernant :
Le plaignant : X, représenté par Maître Pascal LEDUC, ci-après « le plaignant »
Les défendeurs : Le Service Public Fédéral Finances (SPF Finances), dont le siège social est établi à Boulevard du Roi Albert II, 33 (bte 1) – 1030 Schaerbeek, représenté par Maître Jean-Marc VAN GYSEGHEM, ci-après « le défendeur 1 »
Le Service PublicY2, ci-après « le défendeur 2 »
Le Service Public Régional de Bruxelles Fiscalité (Bruxelles Fiscalité), dont le siège social est établi à Place Saint-Lazare, 2 – 1210 Saint-Josse-ten-Noode, représenté par Maîtres Tom DE CORDIER et Thomas DUBUISSON, ci-après « le défendeur 3 »
Le Service Public de la Wallonie Fiscalité (SPW Fiscalité), dont le siège social est établi à Avenue Gouverneur Bovesse, 29 – 5100 Jambes, représenté par Monsieur Stéphane GUISSE, ci-après « le défendeur 4 »
I. Faits et procédure
1. Le 8 juillet 2020, le plaignant introduit une plainte auprès de l’Autorité de protection des données contre les défendeurs.
2. Les faits au départ de la plainte dénoncent l’envoi de courriers relatifs à la gestion d’entreprises dont la liquidation a été assignée à certains curateurs à l’adresse privée de ces derniers, plutôt qu’à leur adresse professionnelle.
3. Le 10 juillet 2020, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA.
4. Le 7 août 2020, conformément à l’article 96, § 1er de LCA, la demande de la Chambre Contentieuse de procéder à une enquête est transmise au Service d’Inspection, de même que la plainte et l’inventaire des pièces.
5. Le 30 août 2021, l’enquête du Service d’Inspection est clôturée, le rapport est joint au dossier et celui-ci est transmis par l’Inspecteur général au Président de la Chambre Contentieuse (art. 91, § 1er et § 2 de la LCA).
Le rapport comporte des remarques liminaires, qui peuvent être résumées telles que suit :
I. Le Service d’inspection a décidé d’enquêter quant au défendeur 1 (« Responsable du traitement A »), au défendeur 3 (« Responsable du traitement B ») et au défendeur 4 (« Responsable du traitement C ») ;
II. Le Service d’inspection a décidé de ne pas enquêter quant au défendeur 2 – malgré que la plainte soit également dirigée à son encontre – étant entendu qu’il n’a pas jugé cela nécessaire ou approprié ;
III. Conformément à la demande du plaignant, le Service d’inspection a décidé de ne pas tenir compte des pièces relatives aux courriers émis par la Police de Vilvorde-Malines et du parquet de Bruxelles étant entendu que c’est par erreur qu’il a annexé ces pièces à son formulaire de plainte. Partant, ces pièces n’ont pas été transférées à l’Organe de contrôle de l’information policière qui semblait être, en première analyse, l’autorité compétente pour leur examen.
Le rapport comporte des constatations relatives à l'objet de la plainte et conclut que :
I. Le défendeur 1 a manqué au respect du principe d’exactitude (art. 5.1.d) RGPD) étant entendu qu’il a régulièrement envoyé « des courriers aux curateurs à une adresse considérée comme inexacte compte tenu de la finalité de l’envoi »2 ;
II. Le défendeur 1 a commis le double manquement suivant :
a) Il a manqué au respect des articles 5.1.a) et 6.1.e) du RGPD en ce qu’il n’est pas parvenu à démontrer que la collecte de l’adresse privée des curateurs par le biais du Registre national était nécessaire à l’exécution des missions d’intérêt public dont il a été investi, et que, par extension, le traitement était licite ;
b) Et il a manqué au respect de la loi Registre national et de l’autorisation octroyée en vertu de l’Arrêté royal du 27 septembre 1984 en ce qu’il n’est pas parvenu à démontrer que la consultation et la collecte des données relatives aux plaignants qu’il a effectuées par le biais du Registre national étaient nécessaires à l’exécution de ses tâches.
III. Le défendeur 1 a commis le double manquement suivant :
a) Il a manqué au respect des articles 5.2, 24 et 25 du RGPD en ce que, bien qu’il a mis en place des mesures techniques et organisationnelles en vue de garantir le principe d’exactitude des données à caractère personnel, il n’a pas établi de mesures permettant d’en vérifier régulièrement l’effectivité, celles-là s’étant avérées ineffectives en l’espèce ;
b) Et il a manqué au respect des articles 5.1.a), 6.1.c), 24 et 25 du RGPD en ce qu’il n’est pas parvenu à démontrer avoir mis en place des mesures techniques et/ou organisationnelles ayant restreint l’accès au Registre national aux seules fins nécessaires.
IV. Le défendeur 3 a manqué au respect de l’article 5.1.d) du RGPD en ce qu’il a envoyé des courriers aux curateurs concernés à des adresses considérées comme inexactes au regard de la finalité de l’envoi ;
V. Le défendeur 3 a commis le double manquement suivant :
a) Il a manqué au respect des articles 5.1.a), 6.1.c) et 6.1.e) du RGPD en ce qu’il n’est pas parvenu à démontrer que la collecte de l’adresse privée des curateurs par le biais du Registre national était nécessaire à l’exécution des missions d’intérêt public dont il a été investi, et que, par extension, le traitement était licite ;
b) Et il a manqué au respect de la loi Registre national et des autorisations octroyées en ce qu’il n’est pas parvenu à démontrer que la consultation et la collecte des données relatives aux plaignants qu’il a effectuées par le biais du Registre national étaient nécessaires à l’exécution de ses tâches.
VI. Le défendeur 3 a commis le double manquement suivant :
a) Il a manqué au respect des articles 5.1.d), 5.2, 24 et 25 du RGPD en ce qu’il n’a pas été en mesure de démontrer le caractère approprié des mesures techniques et organisationnelles qu’il a mises en place ;
b) Et il a manqué au respect des articles 5.1.a), 6.1, 24 et 25.1 du RPGD en ce qu’il n’a pas démontré avoir mis en place des mesures techniques et organisationnelles visant « à limiter l’accès et la collecte de l’adresse privée du curateur par le biais du Registre national. »3.
VII. Le défendeur 4 a manqué au respect de l’article 5.1.d) du RGPD en adressant « régulièrement des courriers aux curateurs à une adresse considérée comme inexacte compte tenu de la finalité de l’envoi. »4 ;
VIII. Le défendeur 4 a commis le double manquement suivant :
a) Il a manqué au respect des articles 5.1.a), 6.1.c) et 6.1.e du RGPD en ce qu’il n’est pas parvenu à démontrer que la collecte de l’adresse privée des curateurs par le biais du Registre national était nécessaire à l’exécution des missions d’intérêt public dont il a été investi, et que, par extension, le traitement était licite ;
b) Et il a manqué au respect de la loi Registre national et des autorisations octroyées en ce qu’il n’est pas parvenu à démontrer que la consultation et la collecte des données relatives aux plaignants qu’il a effectuées par le biais du Registre national étaient nécessaires à l’exécution de ses tâches.
IX. Le défendeur 4 a commis le double manquement suivant :
a) Il a manqué au respect des articles 5.1.d), 5.2, 24 et 25 du RGPD en ce qu’il n’a pas été en mesure de démontrer le caractère approprié des mesures techniques et organisationnelles qu’il a mises en place ;
b) Et il a manqué au respect des articles 5.1.a), 6.1, 24 et 25.1 du RPGD en ce qu’il n’a pas démontré avoir mis en place des mesures techniques et organisationnelles visant à limiter l’accès et la collecte des données à caractère personnel contenues dans le Registre national « à ce qui est strictement nécessaire dans le cadre de la finalité autorisée »5.
Le rapport comporte également des constatations qui dépassent l’objet de la plainte. Le Service d’Inspection constate, dans les grandes lignes, que :
X. Le défendeur 1 a manqué au respect de l’article 5.1.d) du RGPD en ce qu’il a traité l’adresse privée d’un liquidateur judiciaire dans le cadre d’un dossier relatif à une dissolution judiciaire, alors que, compte tenu de la finalité de l’envoi, il était tenu de ne traiter que l’adresse professionnelle du liquidateur judiciaire ;
XI. Le défendeur 3 a manqué au respect de l’article 30.1 lu en combinaison de l’article 30.4 du RGPD en ce que son registre de traitement ne comprend pas toutes les informations devant pourtant y figurer, et qu’il n’a pas non plus fourni « toutes les informations nécessaires permettant à l’Autorité de contrôle de pouvoir comprendre le registre et les informations qui en découlent »6 ;
XII. Le défendeur 4 a manqué au respect de l’article 5.1.c) du RGPD en ce qu’il a traité de données à caractère personnel relatives à un curateur alors que celles-ci n’étaient pas nécessaires pour atteindre la finalité poursuivie, à savoir la mise en place d’une procédure d’urgence visant à former les membres du personnel ;
XIII. Le défendeur 4 a manqué au respect de l’article 30.1 lu en combinaison de l’article 30.4 du RGPD en ce que son registre de traitement ne comprend pas toutes les informations devant pourtant y figurer, et qu’il contient des incohérences.
Le rapport comporte enfin des considérations contextuelles résumées ci-après :
I. Bien que le plaignant ait introduit sa plainte en qualité de syndic des curateurs francophones de Belgique, il démontre tout de même d’un intérêt suffisant pour introduire sa plainte au nom et pour le compte des curateurs francophones de Belgique étant entendu que cela s’inscrit dans le cadre de ses activités. En toute hypothèse, le plaignant a également vu ses données à caractère personnel être traitées par les défendeurs 1 et 4, le rendant ainsi lui-même personne concernée ;
II. Les autorités publiques constituent un secteur prioritaire pour l’APD 7 et ont, par leur statut, un rôle d’exemple à tenir quant au respect de la législation relative à la protection des données à caractère personnel – tous les défendeurs sur lesquels le Service d’inspection a enquêtés étant des autorités publiques ;
III. Les traitements de données à caractère personnel effectués par le défendeur 1 constituent une pratique régulière et ont, pour l’essentiel, été effectués en 2020 et 2021, alors même (i) qu’il a à plusieurs occurrences été informé du fait qu’il traitait d’adresses privées de multiples curateurs par ceux-ci même, (ii) que ce traitement a été dénoncé auprès de la Commission de la protection de la vie privée – prédécesseur en droit de l’APD – et, (iii) que les traitements se sont poursuivis malgré l’intervention du Service d’inspection ;
IV. Les traitements de données à caractère personnel effectués par le défendeur 3 se sont poursuivis malgré plusieurs signalements internes faisant état de la situation.
Toutefois, le défendeur 3 indique s’être concentré sur le problème et qu’il souhaite régler ce dernier par la mise en place de nouvelles mesure, étant entendu que le système en place relatif aux traitements de données est reconnu comme étant inadéquat par le défendeur 3 lui-même. Enfin, aucune pièce ne semble démontrer que le défendeur 3 ait poursuivi les traitements litigieux après l’intervention du Service d’inspection ;
V. Les traitements de données à caractère personnel par le défendeur 4 constituent une pratique régulière, et se sont poursuivis après l’intervention du Service d’inspection, par laquelle était porté à sa connaissance le dépôt d’une plainte à son encontre. Le défendeur 4 reconnaît que la situation n’est pas conforme au RGPD, mais exprime l’intention de vouloir régler ce problème.
6. Le 9 décembre 2021 la Chambre Contentieuse décide, en vertu de l’article 95, § 1 er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond.
7. À la même date, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions. La date limite pour la réception des conclusions en réponse de chacun des défendeurs a été fixée au 20 janvier 2022, celle pour les conclusions en réplique du plaignant au 10 février 2022 et celle pour les conclusions en duplique de chacun des défendeurs au 3 mars 2022.
8. Les parties sont invitées à se défendre au regard des constats et griefs suivants retenus par la Chambre Contentieuse :
- Le respect par les défendeurs du principe d’exactitude, compte tenu de la finalité du traitement, conformément à l’article 5.1.d) du RGPD ;
- La licéité du traitement par les défendeurs de l’adresse privée des curateurs, dans les courriers adressés à ces derniers, dans le cadre de la gestion des dossiers de faillite, conformément aux articles 5.1.a) et 6 du RGPD ;
- Le respect par les défendeurs de l’obligation de mettre en place des mesures techniques et organisationnelles appropriées conformément aux articles 5.2, 24 et 25 du RGPD ;
- La licéité de la collecte par les défendeurs de l’adresse privée des curateurs par le biais de l’accès au registre national des personnes physiques conformément aux articles 5.1.a) et 6 du RGPD et à la loi du 8 août 1983 organisant un registre national des personnes physiques.
9. Toujours le même jour, le défendeur 4 accepte de recevoir toutes les communications relatives à l'affaire par voie électronique.
10. Le 13 décembre 2021, le défendeur 1 accepte de recevoir toutes les communications relatives à l'affaire par voie électronique. Elle sollicite par le même courriel une copie du dossier (art. 95, § 2, 3° LCA), laquelle lui est transmise le 16 décembre 2021.
11. Le 14 décembre 2021, le défendeur 3 accepte de recevoir toutes les communications relatives à l'affaire par voie électronique. Elle sollicite par le même courriel une copie du dossier (art. 95, § 2, 3° LCA), laquelle lui est transmise le 16 décembre 2021.
12. Le 21 décembre 2021, le défendeur 2 accepte de recevoir toutes les communications relatives à l'affaire par voie électronique. Elle sollicite par le même courriel une copie du dossier (art. 95, § 2, 3° LCA), laquelle lui est transmise le 22 décembre 2021.
13. Le 21 décembre 2021, le défendeur 3 demande un report des délais de conclusion, sur lequel toutes les parties se sont mises d’accord en amont.
14. Le 4 janvier 2022, la Chambre Contentieuse accepte la prolongation des délais de conclusions. La nouvelle date limite pour la réception des conclusions en réponse de chacun des défendeurs a été fixée au 3 février 2022, celle pour les conclusions en réplique du plaignant au 24 février 2022 et celle pour les conclusions en duplique de chacun des défendeurs au 17 mars 2022.
15. Le 10 janvier 2022, la Chambre Contentieuse reçoit les conclusions en réponse du défendeur 4. Ces conclusions contiennent également la réaction du défendeur 4 concernant les constatations du Service d'Inspection allant au-delà de l'objet de la plainte.
En résumé, voici ce que le défendeur 4 y défend :
• Il envoie des courriers aux curateurs afin de remplir son obligation légale, consistant en la perception et le recouvrement des taxes wallonnes lorsque l’entreprise redevable de la taxe est en faillite. Cette obligation légale découle du décret du 6 mai 1999 relatif à l’établissement, au recouvrement et au contentieux en matière de taxes régionales wallonnes ;
• En pratique, et au regard de la quantité de courriers qu’il doit envoyer, le défendeur 4 a mis en place un système automatisé à cette fin. Les courriers sont générés par des applications. Ces dernières récupèrent les données de contact des redevables via l’application de signalétique des personnes du défendeur 4, nommée « eSigna ».
Le problème rencontré en l’espèce, et qui a mené à l’envoi de courriers aux adresses privées des curateurs à la place de leurs adresses professionnelles, proviendrait du fait que sur le site de la Banque-Carrefour des Entreprises (ci-après « BCE ») les curateurs concernés dans le cas de l’espèce étaient inscrits avec leur numéro de Registre national. Ainsi, le site « BCE », en réponse aux demandes d’identification du redevable du logiciel « eSigna », répondaient avec le numéro du Registre national du curateur concerné et non son numéro d’entreprise. De surcroît, la lettre était ensuite automatiquement envoyée à l’adresse privée du curateur concerné et non son adresse professionnelle ;
• Il relève qu’une procédure d’urgence a été mise en œuvre lors de mars 2021 afin de pouvoir remédier manuellement au problème évoqué ci-dessous, en l’attente de la modification de son programme informatique. Par la suite, son prestataire informatique a modifié son programme informatique, en créant notamment une « liste globale de correspondance entre le numéro RN 8 du mandataire, son numéro d’entreprise et son adresse professionnelle. »9. Cette liste a ensuite été insérée à son applicatif « eSigna ». Le défendeur 4 souligne que ce travail s’est avéré colossal et permet de résoudre le problème issu de la présente affaire, étant entendu que eSigna lie automatiquement le numéro de Registre national au numéro d’entreprise, et utilise alors l’adresse professionnelle du mandataire de la société redevable à la place de l’adresse privée. Les résultats seraient concluants, et les travaux de mise à jour se sont poursuivis en vue d’une amélioration continuelle .
16. Le 31 janvier 2022, la Chambre Contentieuse reçoit les conclusions en réponse du défendeur 2. En résumé, voici ce que le défendeur 2 y défend :
• Suivant le rapport d’enquête qui a conclu ne pas avoir enquêté à l’égard du défendeur 2 (voir point 5), celui-ci considère qu’il n’y a lieu de ne statuer sur aucun des griefs exprimés dans la lettre par laquelle la Chambre Contentieuse a invité les parties à conclure, et qu’aucune violation du RGPD ne pourrait lui être imputée.
17. Le 2 février 2022, la Chambre Contentieuse reçoit les conclusions en réponse du défendeur 1. Ces conclusions contiennent également la réaction du défendeur 1 concernant les constatations du Service d'Inspection allant au-delà de l'objet de la plainte. Étant entendu que le défendeur 1 a déposé des conclusions additionnelles et de synthèse, le résumé de son argumentation figure au point 21.
18. Le même jour, la Chambre Contentieuse reçoit les conclusions en réponse du défendeur 3.
Ces conclusions contiennent également la réaction du défendeur 3 concernant les constatations du Service d'Inspection allant au-delà de l'objet de la plainte. Étant entendu que le défendeur 3 a déposé des conclusions de synthèse, le résumé de son argumentation figure au point 20.
19. Le 24 février 2022, la Chambre Contentieuse reçoit les conclusions en réplique du plaignant. En résumé, voici ce qu’il y défend :
• À propos de le recevabilité de la plainte, le plaignant indique d’une part que le fait d’avoir erronément fait référence à une disposition du RGPD n’altère en rien la recevabilité de la plainte, dès lors que le juge ou l’autorité compétente peut « substituer à la référence erronée une qualification plus conforme à la loi »10, et, d’autre part, que le SPL ayant déjà déclaré la plainte comme étant recevable, il n’appartient plus à la Chambre Contentieuse de statuer sur ce point. Quant à ce dernier argument, le plaignant ajoute que toute personne justifiant d’un intérêt suffisant peut déposer plainte, sans pour autant que cette personne soit directement concernée par le traitement dénoncé. En l’espèce, le plaignant considère que Maître X, en ayant déposé la plainte en sa qualité de syndic du Collège francophone des curateurs de Bruxelles 11, justifiait incontestablement d’un intérêt à agir dès lors que la plainte visait la préservation des droits et libertés des membres de l’association dont il était le syndic au moment du dépôt de la plainte. De plus, le plaignant relève dans ses conclusions que Maître X s’est lui-même vu affecté par le traitement dénoncé dans la présente plainte, tel que cela ressort du rapport d’enquête. En tout état de cause, le plaignant précise que Maître X est toujours partie à la cause dans le cas de l’espèce ;
• Le plaignant relève qu’en vertu de l’article XX.118 du Code de droit économique (ci-après « CDE »), toute citation en justice adressée au siège social de la société faillie, et non au curateur assigné à la société faillie par le tribunal, est nulle ou à tout le moins inopposable à la masse. Partant, le plaignant relève que tout tiers voulant faire valoir ses droits dans le cadre d’une faillite doit convenablement s’adresser au curateur désigné, et doit de fait nécessairement connaître l’identité et les coordonnées de ce dernier. Le plaignant ajoute que l’article XX.122 du CDE dispose que les curateurs sont choisis par le tribunal de l’entreprise. La liste des avocats inscrits à l’ordre français des avocats de Bruxelles et à l’ordre des avocats du Barreau de Nivelles sont repris dans des annuaires en ligne. Dans chacun de ces annuaires figureraient : « le nom de l’avocat, sa date d’inscription au stage, sa date d’inscription au Tableau le cas échéant, l’adresse de son cabinet ainsi qu’une adresse électronique de contact. »12. Le plaignant précise encore que le nom et l’adresse professionnelle du curateur désigné sont précisés dans le jugement déclaratif de faillite – celui-ci étant publié au Moniteur belge en vertu de l’article XX.107 du CDE, en vue d’en informer les tiers. Enfin, le plaignant relève que le défendeur 1 a reconnu dans ses conclusions en réponse que les jugements de faillite lui étaient systématiquement communiqués. Partant, le plaignant en conclut que le défendeur 1 est parfaitement informé de l’adresse professionnelle du curateur concerné ;
• Quant au grief relatif aux principes de licéité, d’exactitude et de minimisation des données, le plaignant rappelle en premier lieu que les défendeurs disposaient chacun des informations nécessaires afin de contacter les curateurs concernés, et qu’alors, la collecte et l’utilisation de l’adresse privée des curateurs ne peuvent constituer un traitement pertinent. Le plaignant précise à cet égard que les curateurs sont désignés pour la gestion des sociétés faillies à titre personnel, mais non pas à titre privé. Le plaignant poursuit son argumentaire en relevant que les défendeurs se sont adressés aux curateurs concernés en leur qualité de mandataires judiciaires, et non en tant qu’assujettis à l’impôt sur les personnes physiques ou encore à l’impôt des sociétés, et qu’en conséquence, il eut fallu s’adresser aux curateurs concernant les sociétés faillies qui leur ont été attribuées dans le respect des prescrits des articles XX.107 et suivants du CDE, c’est-à-dire en usant de l’adresse reprise dans les jugements de faillite pertinents et dans l’avis de faillite publié au Moniteur belge, sans quoi toute notification, signification ou communication effectuée serait inopposable à la masse, en ce compris le curateur concerné. Enfin, le plaignant considère que c’est à tort que le défendeur 1 se fonde sur la loi du 15 août 2012 relative à la création et à l’organisation d’intégrateur de services fédéral (ci-après « loi du 15 août 2012 ») lue en combinaison de la loi du 5 mai 2014 garantissant le principe de la collecte unique des données dans le fonctionnement des services et instances administratifs (ci-après « loi du 5 mai 2014 ») afin de justifier l’usage de l’adresse privée des curateurs concernés pour l’envoi de lettres relatives à des faillites qui leur ont été attribuées. Selon le plaignant en effet, l’objectif de la loi du 15 août 2012 est uniquement de « garantir une collecte unique des données pertinentes pour les services publics dans l’exécution des missions qui lui sont confiées, et ce dans l’intérêt des personnes concernées, le but étant d’éviter que ces informations pertinentes soient à nouveau demandées à la personne concernée alors qu’elle sont déjà disponibles dans une source authentique à laquelle le service public participant a accès. »13. Plus précisément, et tout en se joignant à l’interprétation que fait le défendeur 1 de l’obligation de faire usage d’une source authentique ressortant de la loi du 15 août 2012, cela signifierait uniquement que « « lorsque les données nécessaires à ses traitements sont reprises dans une source authentique, l’autorité participante ne peut aller les collecter auprès d’une autre autorité ou des personnes concernées . » »14. Toutefois, ces dispositions ne sont, selon le plaignant, pas pertinentes dans le cas de l’espèce étant entendu que la BCE – là où le défendeur 1 a recueilli l’adresse privée des curateurs concernés – n’intègre pas l’adresse professionnelle des avocats au sens de l’article XX.122 du CDE, mais seulement l’adresse de leur unité d’établissement s’ils exercent en tant que personne physique et qu’ils ont effectivement déclaré cette adresse – autrement, la BCE ne reprend que l’adresse privée de l’avocat en question. De surcroît, le plaignant ajoute que le défendeur 1 reconnaîtrait lui-même dans ses conclusions en réponse que la BCE ne constitue pas une source authentique de données concernant les données d’identification des curateurs désignés dans le cadre de faillites. Dès lors, le plaignant déclare « que [le défendeur 1] ne peut refuser de faire exclusivement des seules données de contact pertinentes figurant dans les jugements de faillite ou des avis de faillite officiels auxquels il reconnait avoir accès au motif que l’encodage de ces données impliquerait pour ses services une charge de travail trop importante. »15. Ensuite, le plaignant avance qu’il ‘appartient au défendeur 1, en sa qualité de responsable de traitement, afin de garantir le respect des principes et droits édictés par le RGPD qui bénéfice de l’effet direct dans l’ordre juridique belge et se situe hiérarchiquement plus haut que les législations nationales telles les lois du 15 août 2012 et du 5 mai 2014 citées auparavant. En tout état de cause, le plaignant conteste l’argument du défendeur 1 exprimant l’idée que l’usage de l’adresse privée des curateurs concernés résulterait du fait que ces derniers n’auraient pas convenablement déclaré leur unité d’établissement à la BCE malgré qu’ils en aient l’obligation. Il joint à ce titre une annexe qui démontrerait que plusieurs curateurs qui ont convenablement déclaré leur unité d’établissement à la BCE auraient tout de même reçu des courriers de la part des défendeurs relatifs aux liquidations qui leur ont été attribuées ;
• Quant au grief relatif au principe de responsabilité et des règles de protection des données par défaut et dès la conception visé aux articles 5.2, 24 et 25 du RGPD, le plaignant se joint tout d’abord au rapport d’enquête en ce qu’il en résulte que ni le défendeur 1, ni le défendeur 3 ne contestent le caractère inadéquat de l’usage de l’adresse privée des curateurs concernés dans le cadre de la gestion des faillites qui leur ont été attribuées, que les mesures correctrices mises en place en interne ultérieurement ne sont pas de nature à remédier de manière pérenne et définitive les problèmes rencontrés dans la présente affaire que, en définitive, il convient de rejoindre les constatations faites par le Service d’inspection en ce que les défendeurs 1, 3 et 4 auraient manqué au respect des articles 5.2, 24 et 25 du RGPD ;
• Le plaignant demande à ce qu’il soit prononcé par la présente décision une ordonnance de mise en conformité assortie d’une astreinte à l’égard des défendeurs. Quant à cette dernière, le plaignant allègue que l’astreinte se distingue par sa nature de l’amende administrative – l’une et l’autre étant prévues par l’article 100 de la LCA. Étant entendu que selon le plaignant l’astreinte ne constitue pas une sanction, mais bien un incitant à l’exécution de la condamnation principale, alors l’astreinte peut être prononcée à l’égard d’une autorité publique, contrairement à l’amende administrative.
20. Le 17 mars 2022, la Chambre Contentieuse reçoit les conclusions additionnelles et de synthèse de la part du défendeur 3. En résumé, voici ce qu’il y défend :
• La plainte ne satisferait pas aux conditions de recevabilité exprimées par les articles 57.1 et 77 du RGPD, 58 et 60 de la LCA, et 220 de la loi-cadre étant entendu que le plaignant intitule le traitement dénoncé dans la présente affaire comme il suit « l’utilisation de l’adresse privée plutôt que professionnelle des curateurs francophones de Bruxelles » mais la lie à l’article 39 du RGPD16, lesquels semblent sans rapport pour le défendeur 3 ;
• Le plaignant ne démontrerait pas d’un intérêt à agir suffisant. D’une part, le défendeur 3 reproche au plaignant de ne pas avoir davantage justifié son intérêt à agir dès lors qu’il s’est limité à dire qu’il agissait en tant que syndic du collège des curateurs francophones de Bruxelles, et au Service d’inspection de ne pas avoir vérifié les activités de syndic du plaignant. À cet égard, le défendeur 3 ajoute que le plaignant n'a pas été dûment mandaté à cette fin. D’autre part, le défendeur 3 pointe une ambiguïté. En effet, il relève que dans le formulaire de plainte, le plaignant indique agir en tant que syndic du collège des curateurs francophones de Bruxelles, alors que le Service d’inspection indique dans son rapport d’enquête que le plaignant agit en tant que syndic du collègue des curateurs francophones de Belgique ;
• Il relève qu’au terme de l’enquête du Service d’inspection, plusieurs de ses services de direction internes ont recommandé à son Comité de direction d’agir en urgence à propos de la problématique dénoncée par le plaignant et sur laquelle précisément a enquêté le SI – ce que le Comité de direction a suivi ;
• Concernant les aspects techniques du dossier, le défendeur 3 tient à faire une mise en contexte. Il rappelle en premier lieu que la BCE est la source authentique concernant les données relatives aux entreprises. Dans la BCE, sont répertoriées les données suivante : « (i) l’identité du curateur de l’entreprise, (ii) le nom, (iii) prénom, (iv) et le numéro du RN. »17. Le défendeur 3 expose alors que la BCE ne mentionne pas toutes les autres données dont la publication au Moniteur belge est pourtant obligatoire en vertu de l’article XX.107, al. 2, 4° du CDE, à savoir les adresses postale et électronique des curateurs concernés. Il précise qu’il reçoit de la part de la BCE « les données non accessibles sans autorisation préalable visées à l’article III.30 du CDE (c’est-à-dire le numéro du RN) »18, et cela sous la forme d’un fichier XML, de manière automatisée. Le défendeur 3 conclut alors que, contrairement à ce qu’affirmerait le plaignant, il n’effectue pas de recherche par l’intermédiaire du RN ;
• Concernant les éléments factuels du dossier, le défendeur 3 relève que les manquements qui lui sont reprochés ne peuvent pas avoir persisté plus de 10 ans, étant entendu qu’il n’est devenu un service public régional à part entière que depuis le 1er janvier 2017. Ensuite, il relève que selon le rapport d’enquête, ce ne sont que 28 cas problématiques qui auraient été relevés parmi 603 curateurs entre le 29 novembre 2019 et le 25 février 2021. Le défendeur 3 conclut que cela ne représente qu’un faible pourcentage, et que ces cas – isolés – ne procèdent pas d’une « volonté délibérée de contourner la législation en matière de protection des données à caractère personnel, dont le RGPD. »19 ;
• Concernant le grief relatif au principe d’exactitude (art. 5.1.d) du RGPD), le défendeur 3 avance avoir mis en place un système afin d’automatiser les procédures fiscales, et que celui-ci chargeait les données d’identification et de résidence principale du RN des curateurs concernés dans les cas où un champ de données renseigne un numéro de RN pour lequel aucune information n’est encore disponible. Il souligne que l’envoi de courriers à l’adresse privée de curateurs concernant leurs tâches professionnelles n’aurait fait l’objet que de quelques cas isolés, et que cela a cessé depuis l’adoption de mesures internes ;
• Concernant le grief relatif à l’accès au RN des curateurs concernés et du traitement illicite de leur adresse privée, le défendeur 3 relève, en premier lieu, qu’il ne s’agit que d’une observation du Service d’inspection à laquelle la Chambre Contentieuse ne serait pas liée. Il ajoute que l’envoi des courriers aux curateurs concernés n’aurait fait l’objet que de cas isolés, et que cela aurait pris fin à la suite des mesures internes adoptées par le défendeur 3 ;
• Concernant le grief relatif à l’obligation de mettre en place des mesures appropriées en vue de garantir le respect du RGPD et les principes relatifs à la protection des données dès la conception et par défaut, le défendeur 3 relève, en premier lieu, qu’il ne s’agit que d’une observation du SI à laquelle ne serait pas tenue la Chambre Contentieuse. Ensuite, il liste toutes les mesures qu’il a adoptées afin de résoudre le problème rencontré. En substance, ces mesures sont de nature manuelle et interviennent au moment de la création d’une fiche relative à un curateur en interne consistant en l’inscription de l’adresse professionnelle du curateur comme adresse de relation. Partant, il ne serait pas possible de consulter l’adresse de résidence principale du curateur reprise dans le RN avant que cet encodage manuel ait eu lieu.
En outre, des réunions internes seraient organisées tous les 6 mois afin de vérifier l’effectivité des mesures mises en place. Il prévoit enfin de continuer d’adopter des mesures relatives aux traitements de données à caractère personnel pour le futur. Il relève toutefois continuer à recevoir le numéro du RN automatiquement de la part de la BCE, et ce malgré les mesures mises en place en interne, et conclut donc que s’il y a un problème, il provient de la BCE et non de lui-même ;
• Concernant le grief relatif à l’obligation de disposer d’un registre des activités de traitement, le défendeur 3 relève, en premier lieu, qu’il ne s’agit que d’une observation du SI. En outre, il déclare avoir pleinement coopéré avec le SI – et l’APD plus généralement – en fournissant au SI dès la première demande les documents requis, en ce compris le registre des activités de traitement. En tout état de cause, le défendeur 3 reconnaît que, à propos du prescrit du point a) de l’article 30.1 du RGPD, certaines informations utilisées n’étaient pas à jour ou étaient mal référencées ; à cet égard, il déclare avoir adapté les fiches concernées. En outre, à propos des prescrits des points f) et g) de l’article 30.1 du RGPD, le défendeur 3 avance que la mise à disposition de ceux-ci ne sont pas obligatoires, dès lors que le législateur européen a fait usage de la locution qui suit : « dans la mesure du possible ». Enfin, il relève qu’il disposait bien des mesures techniques et organisationnelles appropriées dans deux documents mentionnés dans le registre des activités de traitement, mais que « par simple mégarde », ces documents n’ont pas été envoyés au SI, et ajoute que ces documents n’auraient pas été spécifiquement demandés par le SI, ce qui aurait été judicieux selon lui ;
• Le défendeur 3 demande, au premier chef, à ce que la plainte soit classée sans suite pour cause d’irrecevabilité, ou, à tout le moins, qu’elle soit déclarée non fondée.
21. Le même jour, la Chambre Contentieuse reçoit les conclusions additionnelles et de synthèse de la part du défendeur 1. En résumé, voici ce qu’il y défend :
• Il reprend les mêmes arguments que le défendeur 3 a déployés au sujet du rapport d’enquête, et ajoute que l’enquête aurait été menée de manière non-contradictoire, en opposition à ce qu’a notamment pu dire la Professeure Jacobs à la suite des arrêts Mantovanelli c. France et Cottin c. Belgique de la Cour européenne des droits de l’homme. L’enquête du SI devant être assimilée à une expertise au regard de la Cour européenne des droits de l’homme, selon le défendeur 1, il est légitime d’interroger la légalité de l’enquête menée dans le cas de l’espèce ;
• Il énonce ensuite que les curateurs sont désignés à titre personnel, ce qui aurait été reconnu par le plaignant dans ses conclusions, et qu’en conséquence il convient de faire une recherche de l’adresse du curateur concerné, et que de surcroît ce dernier se doit de convenablement documenter la source authentique qui peut être interrogée par le défendeur 1 ;
• Concernant la loi du 15 août 2012 et la loi du 5 mai 2014, le défendeur 1 considère que contrairement à ce que le plaignant avancerait, leur objectif n’est pas simplement « d’éviter de demander à la personne concernée des données déjà en possession des autorités publiques mais également de s’assurer que les données traitées sont exactes et complètes. »20. Ensuite, le défendeur 1 reproche au plaignant de sous-entendre qu’il devrait consulter de multiples sources de données qui ne constituent pourtant pas des sources authentiques ou ne sont pas reprises sur le site de Bosa ;
• Au sens des articles III.35, §1er et III.36 du CDE, le défendeur 1 conclut que « les services publics participants doivent consulter la BCE comme source authentique pour les données relatives à l’identification des entreprises à l’exclusion de toute autre source non authentique. »21 ;
• Il incombe aux entreprises de « communiquer des données exactes et complètes à la BCE mais également tout changement intervenant au cours de leur vie. »22. Le défendeur 1 précise également que cette obligation se justifie d’autant plus que, dans le cas de certains curateurs tels Maître Z, il y a une contradiction entre l’adresse figurant dans la BCE et celle figurant dans la publication de faillite du Moniteur belge.
Ce flou lui rend dès lors la tâche plus difficile ;
• Le défendeur 1 conclut comme suit : « L’entreprise doit renseigner un certain nombre de données à la BCE au moment de son inscription mais également veiller à maintenir ces données exactes et complètes.
En ce sens, et si elle exerce son activité en un autre lieu que son domicile pour la personne physique ou son siège social pour une personne morale, elle doit inscrire l’unité d’établissement sous peine d’amende pénale.
Il est important de relever que le curateur est toujours désigné à titre personnel et donc comme personne physique, ce qui implique que son adresse de domicile est son adresse « par défaut » auprès de la BCE.
Si la personne physique n’est pas inscrite à la BCE, le SPF Finances peut accéder si nécessaire et le cas échéant au RN comme source authentique. »23 ;
• Par rapport à la consultation du RN, le défendeur 1 précise avoir l’obligation de consulter le RN en sa qualité de source authentique lorsque l’information recherchée n’est pas reprise dans la BCE ;
• Le défendeur 1 allègue avoir respecté les principes d’exactitude et de complétude en puisant les données nécessaires à ses traitements dans une source authentique – le défendeur 1 ne pouvant remettre en cause l’exactitude des données authentiques présentes dans cette source ;
• Aucun élément objectif ne permettrait d’affirmer que le traitement de l’adresse privée du plaignant est illicite étant entendu qu’en l’absence de communication d’une unité d’établissement de sa part auprès de la BCE, l’adresse privée est alors celle qui est disponible sur le site de la BCE. Il précise que le curateur a effectivement été désigné à titre personnel, preuve en est le fait que son numéro de registre national a été mentionné dans le jugement de déclaration de faillite. En tous les cas, le défendeur 1 traite les données « pour des finalités relevant de l’exercice de l’autorité publique dont il est investi. »24 ;
• Concernant le grief relatif à l’obligation de mettre en place des mesures appropriées en vue de garantir le respect du RGPD et les principes relatifs à la protection des données dès la conception et par défaut, le défendeur 1 avance avoir mis en place les mesures techniques et organisationnelles adéquates, tel qu’en témoigne l’usage de sources authentiques de données. Il précise par ailleurs être en négociations avec l’Ordre des Barreaux francophone et germanophone et l’Orde van Vlaamse Balies – responsables du traitement conjoints de RegSol – en vue de l’adoption d’un protocole25 à cet égard, en vue résoudre les problèmes rencontrés dans la présente affaire ;
• Le défendeur 1 prétend que la Chambre Contentieuse ne pourrait pas imposer d’astreintes à son égard étant entendu que celles-ci sont comparables à l’amende administrative (art. 83 du RGPD) dont l’article 221, § 2 de la Loi-cadre prohibe l’usage à l’égard des autorités publiques. Le défendeur 1 poursuit en déclarant que même s’il pouvait être sujet à l’imposition d’une astreinte, rien ne le justifierait en l’espèce ;
• Le défendeur 1 demande à ce que la plainte soit déclarée recevable mais non fondée, et de reconnaître qu’il n’a pas violé le RGPD.
22. Le 21 novembre 2024, les parties sont informées du fait que l'audition aura lieu le 11 décembre 2024.
23. Le 11 décembre 2024, les parties sont entendues par la Chambre Contentieuse.
24. Le 18 décembre 2024, le procès-verbal de l’audition est soumis aux parties.
25. Le 10 janvier 2025, la Chambre Contentieuse ne reçoit des défendeurs aucune remarque relative au procès-verbal.
II. Motivation
II.1. Considérations préliminaires
II.1.1. Les responsables de traitement
26. Le SI a considéré qu’il n’était pas opportun d’enquêter à propos du défendeur 2, étant entendu que le plaignant indiquait que les curateurs concernés n’avaient plus reçu récemment de courriers de la part du défendeur 2, et que les informations communiquées par le plaignant ne permettaient pas d’identifier le traitement mis en cause dans le cadre de cette plainte.
27. Partant, la Chambre Contentieuse estime qu’il convient de classer les griefs dirigés à l’égard du défendeur 2 sans suite pour des motifs techniques étant entendu qu’elle ne dispose d’aucune preuve qui permettrait d’établir que celui-ci a effectué les traitements reprochés, et de limiter l’examen de conformité des traitements avec le RGPD et les lois relatives à la protection des données à caractère personnel aux défendeurs 1, 3 et 4.
II.1.2. L’intérêt à agir
28. La Chambre Contentieuse relève que la plainte a été introduite par Maître X, et que ce dernier a précisé agir en sa qualité de « SYNDIC des curateurs francophones de Bruxelles »26.
Il ressort des pièces du dossier ainsi que des échanges qui ont eu lieu lors de l’audition que Maître X a déposé cette plainte tant pour défendre ses droits que ceux de ses confrères et consœurs appartenant au collège des curateurs francophones de Bruxelles. Aussi est-il avancé dans les conclusions du plaignant que celles-ci « sont prises tant au nom du Collège des curateurs en tant que tel, qu’au nom de ses membres à titre individuel, dont Me X »27. Dès lors, la Chambre Contentieuse retient que Maître X a un intérêt à agir, dès lors que la plainte vise à défendre à la fois ses droits en tant que personne concernée, ainsi que les intérêts de chacun des curateurs membres du Collège qui sont visés par les traitements dénoncés.
29. L’article 58 de la LCA prévoit que « Toute personne peut déposer une plainte ou une requête écrite, datée et signée auprès de l'Autorité de protection des données. »28.
30. Dans les travaux préparatoires, le législateur précise à cet égard que par « toute personne »
il faut comprendre : « des personnes physiques, mais également des personnes morales, des associations ou des institutions qui souhaitent dénoncer une infraction supposée au règlement. »29. La Chambre Contentieuse relève que le législateur ne distingue ainsi pas les associations disposant de la personnalité juridique, de celles n’en disposant pas.
31. Dans le cas de l’espèce, il n’est pas contesté que les données de Maître X aient fait l’objet des traitements dénoncés dans la plainte par les défendeurs 1 et 4. Partant, il est une personne concernée par les traitements mis en cause effectués par les défendeurs 1 et 4.
32. Ses données n’ont pas été traitées à ce titre par le défendeur 3, toutefois il ressort des pièces du dossier et du rapport d’enquête que plusieurs des curateurs francophones de Bruxelles ont fait l’objet de ces traitements de données à caractère personnel. Ces curateurs sont précisément représentés par le syndic du collège des curateurs francophones de Bruxelles, auquel ils appartiennent. Par ailleurs, lors de l’audition, il a été avancé que le syndic des curateurs francophones de Bruxelles est « une sorte de mandataire » de l’association du collège des curateurs francophones de Bruxelles. Partant, le plaignant était tout à fait légitime pour représenter les curateurs concernés par les traitements mis en cause dans la présente affaire30.
33. Du reste, la Chambre Contentieuse relève que le fait que le SI, dans son rapport d’enquête, ait à plusieurs reprises écrit que le plaignant était le « syndic des curateurs francophones de Belgique », en lieu et place du « syndic des curateurs francophones de Bruxelles » n’altère en rien l’intérêt à agir du plaignant. Cela ne saurait être apprécié autrement que comme une erreur matérielle, laquelle n’entraîne aucune conséquence particulière quant à l’examen de l’intérêt du plaignant. Maître X s’est toujours présenté comme le syndic des curateurs francophones de Bruxelles. Par ailleurs, il ne ressort aucune preuve de l’existence d’un collège des curateurs francophones de Belgique (le défendeur 3 avance précisément que ce dernier organe n’existe pas31), et encore moins du fait que Maître X ait pu être le syndic de cet organe. La Chambre Contentieuse n'a par ailleurs trouvé elle-même aucune trace de l’existence d’un éventuel collège des curateurs francophones de Belgique. Dès lors, contrairement à ce que soutient le défendeur 3, il n’existe aucune ambiguïté sur le fait de savoir si Maître X a agi en tant que syndic des curateurs francophones de Belgique ou de Bruxelles ; sur le fondement des éléments énoncés ci-avant, il ne fait aucun doute que Maître X a agi en tant que syndic des curateurs francophones de Bruxelles. En tout état de cause, le plaignant ne devrait pas subir les conséquences d’une erreur matérielle du Service d’inspection.
II.1.3. Formulaire de plainte
34. Le défendeur 3 relève également que, dans le formulaire de plainte, le plaignant a référencé l’article 39 du RGPD, lequel serait pourtant sans rapport avec les faits dénoncés, et, qu’à ce titre, la plainte devrait être déclarée irrecevable.
35. Cet argument n’est pas pertinent.
36. La Chambre Contentieuse n’est pas liée par la qualification juridique que peut donner un plaignant aux faits litigieux qu’il dénonce. Elle a, au contraire, le devoir de correctement qualifier en droit les faits dénoncés par le plaignant32. À ce titre, la LCA prévoit comme conditions de recevabilité de la plainte que celle-ci contienne « un exposé des faits et les indications nécessaires pour identifier le traitement sur lequel elle porte »33, mais en aucun cas elle ne prévoit que pour être recevable la plainte doit aussi correctement qualifier en droit les faits dénoncés.
37. En tout état de cause, les formulaires de plainte devraient être interprétés de manière large et souple, de sorte à permettre aux personnes concernées ou aux personnes justifiant d’un intérêt suffisant de pouvoir faire valoir les droits dont elles – ou les personnes qu’elles représentent – bénéficient en vertu du RGPD, mais aussi de permettre à l’APD d’exercer sa mission de contrôle de manière effective34.
II.1.4. Sur l’investigation
38. La Chambre Contentieuse souligne que les garanties procédurales doivent intégralement être respectées et s'il y avait eu un risque que les défendeurs aient été désavantagés par la manière dont le rapport d’enquête a été réalisé, ce désavantage a été tout à fait éliminé par la suite35, ce qui exclut toute violation des principes de bonne administration. Les éléments procéduraux soulevés par les défendeurs 1 et 3 n’entraînent pas une violation des droits de la défense, car les défendeurs 1 et 3 ont eu l'opportunité d'avancer leur argumentation dans leur intégralité au moyen de leurs conclusions et ils ont en outre pu exercer pleinement leur droit à la contradiction lors de l'audition de la Chambre Contentieuse. Les défendeurs 1 et 3 n’ont donc subi aucun préjudice et leurs droits de la défense ont dès lors été correctement respectés.
39. Il convient de rappeler que les décisions de la Chambre Contentieuse sont susceptibles de recours devant la Cour des marchés, conformément à l'article 108 de la LCA. Cette disposition prévoit que : « Un recours peut être introduit contre les décisions de la Chambre Contentieuse en vertu des articles 71 et 90 devant la Cour des marchés qui traite l’affaire selon les formes du référé conformément aux articles 1035 à 1038, 1040 et 1041 du Code judiciaire ».
40. Ce mécanisme de recours assure un contrôle juridictionnel des décisions de l'APD 36. La Cour des marchés, en tant qu'autorité judiciaire, examine les décisions de l'APD dans le cadre de sa compétence de pleine juridiction, ce qui permet un examen approfondi tant sur le plan factuel que juridique.
- est rédigée dans l'une des langues nationales;
- contient un exposé des faits et les indications nécessaires pour identifier le traitement sur lequel elle porte;
- relève de la compétence de l'Autorité de protection des données. ».
41. Il est important de noter que ce système de recours contribue à garantir le respect des principes fondamentaux de bonne administration et des droits de la défense tout au long de la procédure, de la phase administrative initiale jusqu'à l'éventuelle phase judiciaire.
II.2. Quant au fond du dossier
II.2.1. Considérations liminaires
42. Au sein du secteur public fédéral belge, les administrations sont structurées en réseaux interconnectés, et il y règne le principe de la collecte unique des données.
43. Parmi les administrations constituant, en très large partie, les réseaux, certaines sont qualifiées de « sources authentiques de données ». L’article 2, 6° de la loi du 15 août 2012 relative à la création et à l’organisation d’intégrateur de services fédéral définit la source authentique de données comme une « banque de données dans laquelle sont conservées des données authentiques ». La donnée authentique se définit elle-même comme étant celle « récoltée et gérée par une instance dans une base de données et qui fait foi comme donnée unique et originale concernant la personne ou le fait de droit concerné, de sorte que d'autres instances ne doivent plus collecter cette même donnée ». Ainsi, la détermination du caractère authentique de la donnée authentique ne se rapporte pas tant à sa nature qu’à la manière avec laquelle elle « est collectée, conservée et rendue accessible. »37. De surcroît, il convient de relever que le terme « authentique » est dans le cadre de la loi susmentionnée une notion autonome, et qu’elle est dès lors indépendante de la signification qui peut lui être attribuée par d’autres textes législatifs.
44. Au sein de chaque réseau existe un intégrateur de services. L’on distingue les intégrateurs de services38 verticaux des intégrateurs de services horizontaux.
45. L’article 2, 1° de la loi précitée définit l’intégrateur de services comme « une institution qui, par ou en vertu d’une loi, est chargée de l’intégration de services à un niveau de pouvoir ou dans un secteur déterminé. ». Cette institution est en principe publique, mais il n’en va pas nécessairement toujours ainsi. Le législateur belge songeait à cet égard 39 à l’ordre des avocats ou à la chambre des notaires qui constituent des intégrateurs de service, tout en étant des institutions privées. Nonobstant ceci, la mission poursuivie par les intégrateurs de services relève toujours de l’intérêt général.
46. En synthèse, chaque donnée n’est collectée qu’une seule fois auprès des citoyens. Une fois que la donnée est collectée, plus aucune institution publique ne peut demander cette même donnée au citoyen concerné40. Dès qu’une institution publique a besoin d’une donnée particulière relative à un citoyen ayant déjà fait l’objet d’une collecte, elle doit alors la récolter auprès d’une source authentique de données. L’intégrateur de services sert alors d’intermédiaire entre l’administration et la source authentique de données, puisque c’est l’intégrateur qui demande à la source authentique de données la donnée dont l’administration a besoin. Il s’agit ainsi, du point de vue de l’administration, d’une collecte de données indirecte.
47. Cette structuration vise à harmoniser l’échange de données entre les différents services publics, et à ainsi permettre de conserver des données qui soient « adéquates, pertinentes, exactes, non excessives et, si nécessaire, mises à jour »41.
48. Au sein du secteur public fédéré belge, la Chambre Contentieuse relève également l’existence de l’ordonnance du 8 mai 2014 portant création et organisation d'un intégrateur de services régional (ci-après « ordonnance du 8 mai 2014 ») et de l’ordonnance du 17 juillet 2020 garantissant le principe de la collecte unique des données dans le fonctionnement des services et instances qui relèvent de ou exécutent certaines missions pour l'autorité, et portant simplification et harmonisation des formulaires électroniques et papier (ci-après « ordonnance du 17 juillet 2020) qui imposent, à tout le moins en ce qui concerne les aspects relatifs au présent dossier, un régime juridique mutatis mutandis similaire à celui présenté ci-avant à l’égard des autorités publiques fédérales. S’agissant d’ordonnances, celles-ci s’appliquent dès lors aux autorités de la Région de Bruxelles-Capitale.
49. La Chambre Contentieuse constate qu’il n’y a, au sein du secteur régional wallon, aucun texte normatif relatif au principe de collecte unique de données. Toutefois, la Chambre Contentieuse prend en considération que cela constitue l’une des priorités exposées par le Gouvernement wallon dans le cadre de sa Déclaration de politique régionale pour la législature 2024-202942.
II.2.2. Quant au principe d’exactitude (article 5.1.d) du RGPD) et aux mesures techniques et organisationnelles dès la conception et par défaut (articles 5.2, 24 et 25 du RGPD)
50. L’article 5.1.d) du RGPD prévoit que les données à caractère personnel faisant l’objet d’un traitement doivent être « exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ». Concrètement, cette mesure de l’exactitude se traduit par des garanties spécifiques qui sont la rectification des données 43, l’effacement des données qui sont inexactes et plus nécessaires au regard des finalités pour lesquelles elles ont été collectées44 ou encore la limitation du traitement pendant une période permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel 45.
Maillon complémentaire du principe d’exactitude, la mise à jour des données revêt une praticité beaucoup plus concrète46. Dès lors qu’une opportunité de mise à jour se présente au responsable du traitement, ce dernier doit la saisir. Le principe d’exactitude institue ainsi une obligation de moyens, puisqu’au moment où un responsable de traitement est informé du fait qu’il traite de données à caractère personnel inexactes compte tenu des finalités poursuivies, il doit prendre toutes les mesures raisonnables pour le corriger, et ce « sans tarder »47.
51. Le but de ce principe est de lutter contre les données obsolètes dont l’usage qui en est fait peut être non pertinent, voire préjudiciable pour la personne concernée.
52. Dans son arrêt Nowak, la Cour de justice de l’Union européenne (ci-après « CJUE ») a précisé comment le respect de ce principe devait être évalué : « le caractère complet et exact de données à caractère personnel doit être apprécié au regard de la finalité pour laquelle ces données ont été collectées »48. Cela implique que le responsable du traitement adopte des mesures raisonnables pour assurer le caractère exact des données à caractère personnel qu’il traite. Le respect de ce principe est évalué avec plus ou moins de sévérité en fonction des effets du traitement qu’une donnée inexacte peut emporter sur les droits et intérêts de la personne concernée.
53. L’article 5.2 du RGPD prévoit que le responsable de traitement est tenu de respecter les principes de protection des données à caractère personnel – lesquels incluent le principe d’exactitude des données – et les obligations mises à sa charge par le RGPD, et doit être en mesure de démontrer que ceux-ci sont respectés (principe de responsabilité, aussi appelé accountability). De surcroît, il doit mettre tout en œuvre à cet effet, en ce compris le réexamen et l’actualisation des mesures mises en place si nécessaires, en vertu de l’article 24 du RGPD. En effet, le principe de responsabilité impose non seulement de respecter les principes de traitement, mais également de pouvoir en démontrer la conformité à tout moment. À cet effet, le responsable doit documenter les bases de licéité invoquées, les finalités, les analyses de nécessité et les mesures de contrôle mises en œuvre. Une démonstration a posteriori ne peut suppléer l'absence d'une politique proactive de gestion des données conforme à l’article 24 du RGPD.
54. De plus, le responsable de traitement doit s’assurer que les données à caractère personnel qu’il traite sont exactes eu égard aux finalités poursuivies dès la conception et par défaut en vertu de l’article 25 du RGPD.
55. À cet égard, il est utile de mentionner que parmi les éléments clefs pour la protection dès la conception et par défaut que le Comité européen de la protection des données (ci-après « CEPD ») relatifs au principe d’exactitude, se trouve listé comme premier élément les sources des données, lesquelles « devraient être fiables quant à l’exactitude des données »49. En outre, le CEPD tient également compte de la vérification des données et du maintien de l’exactitude.
56. Partant, les responsables de traitement ont un devoir de vigilance, et sont tenus de vérifier que la source authentique de données qu’ils utilisent est appropriée pour la finalité de traitement poursuivie. Notamment, les responsables de traitement doivent être attentifs à l’évolution architecturale de l’E-gouvernement belge, et à l’éventuelle apparition d’une nouvelle source authentique de données.
57. Les responsables de traitement doivent veiller à intégrer des mécanismes permettant de limiter l’accès aux données au strict nécessaire, tant en termes de quantité que de qualité des données. La conformité à l’article 25 du RGPD suppose l’existence de mesures documentées et vérifiables. Le respect formel d’une obligation d’accès ne suffit pas si les modalités concrètes du traitement ne reflètent pas cette minimisation
58. Le considérant 78 du RGPD indique que le principe de la protection des données dès la conception et de la protection des données par défaut doit être pris en considération lors de la passation de marchés publics, rappelant ainsi le devoir d’exemplarité qui incombe aux autorités publiques.
59. Enfin, la Chambre Contentieuse ajoute qu’au terme de son arrêt du 1 er août 2022, la CJUE conclut qu’il convient « de souligner que le manque de ressources allouées aux autorités publiques ne saurait en aucun cas constituer un motif légitime permettant de justifier une atteinte aux droits fondamentaux garantis par la Charte [des droits fondamentaux de l’Union européenne] »50 – tel le droit à la protection des données à caractère personnel garanti par l’article 8 de la Charte.
60. Dans le cas de l’espèce, le défendeur 1 répond ne pas avoir agi en mépris du principe d’exactitude étant entendu qu’en se connectant à la BCE – une source authentique de données – il s’assure que les données qui y sont puisées sont exactes et complètes. Il ajoute que n’étant pas le gestionnaire de cette source authentique, il n’a pas le devoir de s’assurer de corrections en cas d’erreur. Près de 10.000 faillites ont été en moyenne notifiées chaque année, sur une période s’étendant entre 2009 et 2020 inclus. Si le défendeur 1 devait encoder manuellement tout cela, cette seule charge de travail s’avérerait colossale, ce qui serait dès lors déraisonnable d’exiger au regard de l’article 25 du RGPD.
61. De surcroît, l’emploi du système automatisé permet en outre de réduire le risque d’erreurs qui pourraient résulter d’erreurs accidentelles de la part des personnes chargées de cette mission.
62. Le défendeur 3 relève que les erreurs ont été produites en raison de sa programmation interne automatisée. En effet, il avance que la règle informatique suivie faisait en sorte qu’il recevait de la part de la BCE plusieurs données dont le numéro du RN des curateurs, et non leur numéro d’entreprise – ce qui a conduit le défendeur 3 à user de leurs adresses privées.
Le défendeur avance toutefois avoir modifié ses mesures en interne. Le nouveau système bloque automatiquement la consultation du RN lorsque le numéro RN est délivré par la BCE.
De plus, la fiche signalétique du curateur est créée manuellement, en indiquant l’adresse professionnelle du curateur, obtenue à la suite d’une consultation de la BCE ou du Moniteur belge. La fiche ne peut pas être créée sans ce travail manuel. Enfin, il précise que cela n’aurait fait l’objet que de quelques cas isolés et que le problème aurait depuis été résolu.
63. Le défendeur 4, enfin, expose que l’usage de l’adresse privée des curateurs était causé par le fait que la BCE, en réponse à l’interrogation faite par le système automatisé du défendeur 4, renvoyait à ce dernier l’identification du curateur concerné par le numéro de Registre national, et non par le numéro d’entreprise, et qu’ainsi le défendeur 4 collectait l’adresse privée des curateurs.
Concernant le défendeur 1
64. Il ressort que le défendeur 1 a effectivement usé de données à caractère personnel inexactes compte tenu de la finalité de leur traitement, étant entendu qu’il a utilisé l’adresse privée de curateurs dès lors que leurs adresses professionnelles n’étaient pas répertoriées dans la BCE, et qu’il avait connaissance des problèmes engendrés. Cependant, cela ne constitue pas de facto un manquement à l’article 5.1.d) du RGPD.
65. En effet, tel que cela a été dégagé au point 50, le principe d’exactitude est une obligation de moyens. Par ailleurs, le défendeur 1 étant une autorité publique fédérale, il a également le devoir de récolter les données dont il a besoin auprès de sources authentiques de données le cas échéant. Partant, il convient d’examiner si le défendeur 1 a mis en œuvre toutes les mesures raisonnables qu’il devait prendre afin de satisfaire à son obligation.
66. La Chambre Contentieuse constate que le défendeur 1 passait par l’intermédiaire de l’une des sources authentiques mises à sa disposition afin de récupérer l’adresse de contact des curateurs, cette source authentique étant la BCE, qui collecte et traite de l’adresse privée de, entre autres, toute entreprise personne physique enregistrée, et la communique ensuite au défendeur 1.
67. Concernant la BCE, il convient de dire qu’il appartenait aux personnes concernées d’inscrire leur adresse professionnelle dans la BCE, à tout le moins dans les cas où elles exerçaient leur profession en qualité d’indépendant, tel qu’il ressort notamment de l’article XV.77 du CDE qui punit d’une sanction de niveau 2 51 tous ceux qui « sont inscrits en qualité [2 d'entreprise soumise à inscription]2 et qui exercent des activités ou exploitent une unité d'établissement qui ne sont pas reprises au sein de la Banque-Carrefour des Entreprises; ». En outre, l’article III.32 du CDE attribue également un pouvoir de contrôle dans le chef de toutes les entreprises enregistrées dans la BCE, consistant dès lors au fait de pouvoir prendre connaissance des données qui y sont enregistrées et de les faire corriger le cas échéant. Le législateur disait que ce pouvoir de contrôle serait « surtout important dans la phase initiale de la création de la [BCE], lorsque toutes les informations existantes seront téléchargées. »52.
68. En outre, le défendeur 1 reconnaît être notifié des jugements déclaratifs de faillite rendus par le Tribunal de l’entreprise, lesquels reprennent, entre-autres, l’adresse professionnelle des curateurs.
69. À cet égard, il doit ici être clarifié que le défendeur 1 n’a pas commis de faute en ne se fondant pas sur les jugements déclaratifs de faillite dont il était systématiquement notifié.
En effet, bien que le jugement déclaratif de faillite soit un acte authentique, et revête dès lors la force probante53, il ne constitue pas pour autant lui-même une donnée authentique.54
La Chambre Contentieuse rappelle ici, comme elle l’a exposé aux points 42 à 47 de la présente décision, que les autorités publiques fédérales doivent collecter les données relatives aux administrés depuis les sources authentiques de données lorsque ces données ont déjà fait l’objet d’une collecte par une autre administration ; ainsi est organisé l’E-gouvernement belge.
70. Pour autant, la consultation d’une source authentique de données ne dispense pas le responsable du traitement de respecter les principes fondamentaux du RGPD, notamment ceux d’exactitude (article 5.1.d), de minimisation (article 5.1.c), et de limitation de la finalité (article 5.1.b). Le caractère « authentique » d’une donnée ne préjuge pas de sa pertinence ou de son exactitude au regard de la finalité spécifique du traitement envisagé par le responsable de traitement. Il appartient dès lors à ce dernier de démontrer, dans chaque cas, que la donnée issue de la source authentique est non seulement accessible en droit, mais également adéquate, pertinente et nécessaire pour la finalité poursuivie (articles 5.1.a et 6.1).
De surcroît, et tel que cela a été exposé au point 56 de la présente décision, le responsable de traitement devrait également vérifier attentivement le caractère approprié de la source authentique de données qu’il consulte, et ce compte tenu de la finalité qu’il poursuit.
71. Il ressort de l’article XX.131, § 1er du CDE55 que pour chaque dossier de faillite, un dossier est constitué dans RegSol. Parmi les éléments que ce dossier doit nécessairement contenir, se retrouve la « copie conforme du jugement déclaratif de faillite »56. Dans ses travaux préparatoires, le législateur a précisé que ce dossier est « le cœur même de la procédure » et qu’il constitue « la source authentique des données de la faillite »57. Il faut ainsi comprendre que le jugement déclaratif de faillite présent dans ce dossier de faillite est une donnée authentique.
72. Assurément, l’article XX.15 du CDE dispose que RegSol est une source authentique de données pour « tous les actes et données qui y sont enregistrés ».
73. De plus, l’article XX.16 du CDE prévoit que RegSol traite de diverses catégories de données à caractère personnel, dont notamment « de l’adresse d’inscription dans le registre de la population ou le siège social » de plusieurs acteurs des procédures de faillite, en ce compris les praticiens de l’insolvabilité58.
74. Sur le fondement de ces éléments, la Chambre Contentieuse considère qu’en matière de faillite, la source authentique à consulter est RegSol, et non la BCE ou le RN.
75. La Chambre Contentieuse relève que bien que le livre XX du CDE soit entré en vigueur le 1er mai 2018, RegSol existe néanmoins depuis le 1er avril 201759. En effet, cette source authentique de données a été consacrée pour la première fois dans la loi du 1 er décembre 2016 modifiant le Code judiciaire et la loi du 8 août 1997 sur les faillites en vue d'introduire le Registre Central de la Solvabilité. Cette loi a ensuite été précisée par l’Arrêté royal du 23 mars 2017 organisant le fonctionnement du Registre Central de la Solvabilité – l’une et l’autre étant entrés en vigueur le 1er avril 2017.
76. C’est à raison que le défendeur 1 a soulevé, lors de l’audition, qu’il n’avait pas pour autant accès à RegSol dès la mise en place de celui-ci. En effet, la conclusion d’un protocole avec les responsables de traitement de la source authentique était nécessaire afin d’en organiser l’accès.
77. Or, précisément, la Chambre Contentieuse fait remarquer que ce protocole n’a été adopté que le 27 janvier 2023, à la suite de deux ou trois années de négociation, au sujet desquelles le défendeur 1 témoigne de beaucoup de difficultés éprouvées, et causées, en partie, par le contexte dans lequel lui et les parties négociantes se trouvaient, à savoir la crise sanitaire provoquée par la pandémie de Covid-19.
78. Au moment où le défendeur 1 a entamé les négociations avec les responsables de traitement de RegSol en vue d’en organiser l’accès, cette source authentique existait déjà depuis près de trois années. Pourtant, la Chambre Contentieuse fait remarquer que : (i) le défendeur 1 est une autorité fédérale et qu’à ce titre il a un devoir d’exemplarité ainsi qu’un devoir de diligence, et ; (ii) les procédures de faillite sont des procédures dont les conséquences peuvent être extrêmement importantes pour les personnes concernées60, et qu’à cet égard il convient de faire preuve de la plus grande diligence lors de l’adressage des courriers destinés aux curateurs.
79. La Chambre Contentieuse tient également compte du fait que le défendeur 1 était déjà averti des problèmes que rencontraient les curateurs concernés depuis au moins le 25 mai 2018 61. La Chambre Contentieuse constate en outre que le défendeur 1 n’a pas informé les curateurs concernés de la situation et de la solution recherchée.
80. En ayant entamé les négociations avec les responsables de traitement de RegSol aussi tardivement alors même qu’il avait connaissance des problèmes que les curateurs concernés éprouvaient, le défendeur 1 n’a pas mis en œuvre tous les moyens appropriés afin d’organiser l’accès à RegSol, et n’a donc pas agi avec la diligence qui lui était requise.
81. Lors de l’audition, la Chambre Contentieuse a cru comprendre que le défendeur 1 avançait que RegSol n’était pas dès le départ une source authentique de données, justifiant ainsi le fait de ne pas avoir entamé les négociations pour organiser l’accès à RegSol plus tôt. La Chambre Contentieuse ne peut pas suivre ce raisonnement. RegSol est désigné comme une source authentique de données par les textes normatifs qui le consacrent, et qui ont été cités ci-avant. Ces textes sont entrés en vigueur au plus tôt le 1 er avril 2017, et ne prévoient aucunement de période transitoire au terme de laquelle seulement RegSol deviendrait une source authentique de données. La circonstance qu’au départ RegSol n’était pas particulièrement riche en données – puisqu’il venait de naître – n’altère ni ce constat, ni le fait que le défendeur 1 a entamé ses négociations trop tardivement.
82. Par voie de conclusion, la Chambre Contentieuse considère que le défendeur 1 a manqué au respect des articles 5.1.d), 5.2, 24 et 25 du RGPD en ce qu’il n’a pas agi de manière diligente dans le cadre de l’organisation de son accès à RegSol qui est la source authentique qui prévaut en matière de faillite, et que de cette manière il n’a pas agi conformément au principe d’exactitude et qu’il n’a pas non plus mis en place des mesures techniques et organisationnelles suffisantes dès la conception et par défaut.
Concernant le défendeur 3
83. À l’égard de la primauté de RegSol comme source authentique de données en matière de faillite, la Chambre Contentieuse se réfère aux points 68 à 74 de la présente décision.
84. La Chambre Contentieuse précise de surcroît que l’ordonnance du 17 juillet 2020 garantissant le principe de la collecte unique des données dans le fonctionnement des services et instances qui relèvent de ou exécutent certaines missions pour l'autorité, et portant simplification et harmonisation des formulaires électroniques et papier est entrée en vigueur le 11 septembre 2020.
85. La Chambre Contentieuse relève que bien que le défendeur 3 ait entamé des négociations avec les responsables de traitement de RegSol en vue d’organiser l’accès à cette source authentique, il les a, de toute évidence, initiées trop tardivement étant entendu qu’au moment de l’audition encore (11 décembre 2024) cet accord n’était pas conclu.
86. Pourtant, la Chambre Contentieuse fait remarquer que : (i) le défendeur 3 est une autorité fédérée et qu’à ce titre il a un devoir d’exemplarité ainsi qu’un devoir de diligence, et ; (ii) les procédures de faillite sont des procédures dont les conséquences peuvent être extrêmement importantes62, et qu’à cet égard il convient de faire preuve de la plus grande diligence lors de l’adressage des courriers destinés aux curateurs.
87. La Chambre Contentieuse tient également compte du fait que le défendeur 3 était déjà averti par le Service d’inspection des problèmes que rencontraient les curateurs concernés depuis au moins le 18 février 2021 63. La Chambre Contentieuse constate en outre que le défendeur 3 n’a pas informé les curateurs concernés de la situation et de la solution recherchée.
88. En ayant entamé les négociations avec les responsables de traitement de RegSol aussi tardivement alors même qu’il avait connaissance des problèmes que les curateurs concernés éprouvaient, le défendeur 3 n’a pas mis en œuvre tous les moyens appropriés afin d’organiser l’accès à RegSol, et n’a donc pas agi avec la diligence requise.
89. Par ailleurs, la Chambre Contentieuse ajoute que le Moniteur belge ne constitue pas une source authentique de données, et que dès lors le défendeur 3 ne peut pas y collecter les données à caractère personnel des curateurs concernés.
90. Du reste, la Chambre Contentieuse relève, contrairement à ce que soutient le défendeur 3 dans ses conclusions, que les cas litigieux ne sont pas des « cas isolés ». Le SI a en effet compté 28 cas parmi 603 curateurs. Les cas litigieux – et comptés – représentent légèrement moins de 5% des curateurs. Cela démontre dès lors d’un problème systémique, lequel problème est par ailleurs avéré en l’espèce puisqu’il ressort de la présente analyse que le défendeur 3 n’a pas utilisé la source authentique qu’il convenait d’utiliser eu égard aux finalités poursuivies par les traitements mis en cause, à savoir RegSol. En tout état de cause, le principe d’exactitude s’applique en tous les cas ; le RGPD ne prévoit aucune dérogation à cet effet pour des « cas isolés ».
91. Par voie de conclusion, la Chambre Contentieuse considère que le défendeur 3 a manqué au respect des articles 5.1.d), 5.2, 24 et 25 du RGPD en ce qu’il n’a pas agi de manière diligente dans le cadre de l’organisation de son accès à RegSol qui est la source authentique qui prévaut en matière de faillite, et que de cette manière il n’a pas agi conformément au principe d’exactitude et qu’il n’a pas non plus mis en place des mesures techniques et organisationnelles suffisantes dès la conception et par défaut.
Concernant le défendeur 4
92. En premier lieu, la Chambre Contentieuse relève que le défendeur 4 ne se voit appliquer aucun décret qui lui imposerait le principe de collecte unique de données auprès des sources authentiques de données, telle qu’elle l’a déjà indiqué au point 49 de la présente décision.
93. Ensuite, la Chambre Contentieuse constate que le défendeur 4 avait mis en place un système automatisé en interne qui interrogeait la BCE afin de pouvoir accéder à l’adresse professionnelle des curateurs. Or, il ressort de ses conclusions qu’en réponse aux interrogations faites par leur système automatisé, la BCE renvoyait le numéro du RN des curateurs, plutôt que leur numéro d’entreprise, ce qui l’a amené à adresser des courriers aux curateurs aux adresses privées de ces derniers au lieu de leurs adresses professionnelles.
94. Dès lors, il est constaté – et même reconnu par le défendeur 4 – que celui-ci a traité de données à caractère personnel qui étaient inexactes compte tenu de la finalité de leur collecte.
95. Néanmoins, cela ne suffit pas à conclure que le défendeur 4 a violé le principe d’exactitude.
La seule circonstance qu’un responsable de traitement aurait traité de données à caractère personnel inexactes ne saurait nous conduire à une telle conclusion ; ce principe instituant une obligation de moyens, il convient encore de démontrer que le défendeur 4 n’a pas mis en œuvre toutes les mesures raisonnables afin de respecter ledit principe.
96. En ce sens, il ressort du rapport d’enquête que le défendeur 4 a reçu au moins deux courriers de la part de curateurs lui signalant ces problèmes. Ceux-ci sont datés du 17 novembre 2020 et du 30 décembre 2020. La Chambre Contentieuse constate en outre que le défendeur 4 n’a pas informé les curateurs concernés de la situation et de la solution recherchée.
97. La Chambre Contentieuse relève encore que l’impact que peut entraîner l’usage de données à caractère personnel inexactes dans le cadre de l’envoi de courriers à des curateurs sur les droits et libertés des personnes concernées peut être assez élevée (voy. point 78 de la présente décision), et qu’alors le principe d’exactitude doit être interprété de manière stricte, mais que toutefois il doit être également pris en compte la quantité de travail qui incombe au défendeur 4, celui-ci devant envoyer un très grand nombre de courriers annuellement (3,5 millions en l’année 2020) et que dès lors, il ne pouvait raisonnablement pas être attendu de la part du défendeur 4 qu’il adapte ses mesures dans les jours ou semaines suivant le moment où il a été informé du fait qu’il traitait de données inexactes dans l’envoi des courriers aux curateurs concernés. Il reste que si la charge administrative peut être prise en compte dans l’analyse de la proportionnalité des mesures correctrices, elle ne saurait justifier une persistance prolongée dans un traitement non conforme.
98. Le défendeur 4 indique avoir mis en place une procédure d’urgence lors du mois de mars 2021, afin d’injecter dans son applicatif eSigna les numéros d’entreprise – et donc l’adresse professionnelle – des curateurs. Le défendeur 4 précise que dans cette démarche, il a dû procédé à des encodages manuels ce qui, compte tenu du nombre de contribuables, justifie le délai pour la mise en place de cette procédure. Il précise que cette procédure d’urgence n’est que temporaire, et qu’une modification plus profonde de son programme informatique est prévue, et que la problématique rencontrée dénoncée dans la plainte a dû disparaître lors de la nouvelle version d’eSigna, apparue en principe à la fin du mois de février 2022.
99. La Chambre Contentieuse constate qu’après cette date, il n’y a pas eu de nouveau reproche à l’encontre du défendeur 4 concernant les mêmes faits.
100. En tout état de cause, la Chambre Contentieuse relève que le défendeur 4 utilisait une source de données à caractère personnel de qualité, s’agissant de la BCE – bien que cette dernière ne constitue pas la source authentique de données dans le cadre des procédures en faillite (voy. points 64 à 71), mais constitue néanmoins une source authentique de données.
101. Par voie de conclusion, la Chambre Contentieuse considère que le défendeur 4 n’a pas manqué au respect de l’article 5.1.d) du RGPD étant entendu que s’il a certes utilisé durant un temps des données inexactes compte tenu de leur finalité, il ne saurait lui être reproché de ne pas avoir mis en œuvre toutes les mesures adéquates afin de respecter le principe d’exactitude dès lors qu’il utilisait une source authentique de données pour collecter les adresses postales des curateurs concernés, et que dès qu’il a été informé des problèmes à cet égard, il a adapté ses mesures afin de traiter de données qui soient exactes. Toutefois, la Chambre rappelle que l’usage d’une source authentique ne dispense pas d’une vigilance contextuelle, notamment lorsque des signaux répétés mettent en évidence l’inadéquation des données à la finalité du traitement.
102. À titre informatif toutefois, la Chambre Contentieuse porte l’attention du défendeur 4 sur les points 64 à 91 de la présente décision, et du fait que si la BCE constitue certes une source authentique de données, elle n’est pas la source authentique de données à consulter en matière de faillite (celle-ci étant RegSol), et que de toute évidence l’usage de la BCE peut amener à des erreurs d’adressage de courriers destinés aux curateurs, tel que cela a pu être constaté dans le chef des défendeurs 1 et 3, étant entendu que la BCE n’est pas adéquatement complétée par les curateurs qui exercent leur profession d’avocat en tant qu’indépendant. Le défendeur 4 devrait également tenir compte de cet aspect dans le futur, si d’éventuels futurs décrets venaient en effet à lui imposer dans le futur l’usage de sources authentiques de données et le principe de collecte unique des données.
II.2.3. Quant à la licéité du traitement de l’adresse privée des curateurs (articles 5.1.a) et 6 du RGPD)
103. L’article 5.1.a) du RGPD expose que les traitements de données à caractère personnel doivent être réalisés de « manière licite, loyale et transparente »64.
104. Tout traitement de données à caractère personnel doit se fonder sur l’une des six bases de licéité exposées à l’article 6.1 du RGPD.
105. Dans le cas de l’espèce, le défendeur 1 se prévaut d’une mission d’intérêt public au sens de l’article 6.1.e) du RPGD, et relève avoir consulté la BCE conformément aux obligations qui s’imposent à lui en vertu des lois du 15 août 2012 et du 5 mai 2014.
106. Le défendeur 3 déclare envoyer des courriers à des curateurs dans le cadre du respect de son obligation légale et de l’exercice de la mission d’intérêt public ou qui relève de son autorité dont elle est investie.
107. Le défendeur 4 déclare envoyer des courriers à des curateurs dans le cadre de son obligation légale consistant en une mission de perception et de recouvrement de taxes wallonnes dont sont redevables les entreprises faillies dont la liquidation a été assignée auxdits curateurs.
108. La Chambre Contentieuse n’estime pas pertinent de s’exprimer sur cet aspect du dossier étant entendu que les défendeurs 1, 3 et 4 croyaient, dans le cas de l’espèce, utiliser l’adresse professionnelle des curateurs, et non leur adresse privée. Dès lors, la question au cœur de ce dossier concerne les mesures techniques et organisationnelles qu’ont mises en place les défendeurs 1, 3 et 4 afin de respecter le principe d’exactitude des données. La Chambre Contentieuse renvoie en ce sens les parties aux points 64 à 82 (quant au défendeur 1), 83 à 91 (quant au défendeur 3) et 92 à 102 (quant au défendeur 4) de la présente décision.
II.2.4. Quant à la licéité de la collecte et de l’accès au Registre national (articles 5.1.a) et 6 du RGPD et loi du 8 août 1983)
109. Le défendeur 1 relève la qualité de source authentique du Registre national. Le défendeur 1 ajoute utiliser prioritairement la BCE lorsqu’il a besoin de récolter des informations relatives à des curateurs, et que dans ce contexte, il peut obtenir des informations du RN sans pour autant accéder au RN. Il conclut en déclarant que ce n’est qu’à titre subsidiaire qu’il peut consulter le RN.
110. Le défendeur 3 avance que l’envoi de courriers à la mauvaise adresse de curateurs n’a fait l’objet que de quelques cas isolés, et qu’il s’agit d’un problème qui a depuis été résolu. Il expose en outre ne pas utiliser le RN pour ceci.
111. Le défendeur 4 déclare envoyer des courriers à des curateurs dans le cadre de son obligation légale consistant en une mission de perception et de recouvrement de taxes wallonnes dont sont redevables les entreprises faillies dont la liquidation a été assignée auxdits curateurs, et que l’usage
112. La Chambre Contentieuse relève qu’il n’y a pas de preuve que les défendeur 1, 3 et 4 aient effectivement consulté le RN en l’espèce, et n’estime en tous les cas pas pertinent de s’exprimer sur cet aspect du dossier.
II.2.5. Quant au registre des activités de traitement (article 30 du RGPD)
113. En premier lieu, il doit être évoqué deux choses. La première est que la question relative au registre d’activités ne concerne que les défendeurs 3 et 4, et plus spécifiquement ce premier. La seconde est que si le Service d’inspection constatait en effet dans son rapport d’enquête une violation de l’article 30.1 lu en combinaison de l’article 30.4 du RGPD dans le chef des défendeurs 3 et 4 en ce que leurs registres des activités de traitement, tels que communiqués au Service d’inspection, ne reprenaient pas tous les éléments listés à l’article 30.1 du RGPD, la Chambre Contentieuse n’a, quant à elle, pas décidé de reprendre ces aspects dans le cadre des débats qui se sont tenus devant elle (voy. point 8 de la présente décision). Dès lors, les parties n’étaient pas invitées à conclure en ce sens, et la Chambre Contentieuse n’adoptera aucune sanction sur cet aspect.
114. Cela étant, et dans la mesure où le défendeur 3 a conclu sur cet aspect, la Chambre Contentieuse relève qu’en effet le Service d’inspection reprochait au défendeur 3 l’absence de plusieurs informations listées à l’article 30.1 du RGPD, et plus spécifiquement l’absence des informations visées aux points a), f) et g)65 du même article.
115. La Chambre Contentieuse relève que le défendeur 3 reconnaît que certaines informations listées au point a) de l’article 30.1 du RGPD étaient manquantes de son registre des activités de traitement, ce qu’elle a corrigé ultérieurement. Toutefois, il considère que les informations listées aux points f) et g) du même article n’ont pas été violées, étant entendu qu’elles ne sont pas nécessairement obligatoires. Le défendeur 3 s’appuie sur la formulation de ces dispositions.
116. La Chambre Contentieuse relève en effet que pour chacun de ces deux points il est fait usage des mots « dans la mesure du possible ». Partant, il convient en effet de comprendre qu’il est des situations dans lesquelles il n’est pas possible de référencer ces informations dans le registre des activités de traitement, ou qu’en tout cas il n’est pas possible de les référencer intégralement. La Chambre Contentieuse considère toutefois qu’en telle situation, le responsable de traitement devrait alors informer à l’autorité de contrôle pour quel motif de tels éléments ne se retrouvent pas dans son registre de traitement, le cas échéant, afin de pouvoir vérifier de manière effective le respect des paragraphes 1 et 4 de l’article 30 du RGPD. Le registre des activités de traitement est effectivement un outil central de l’obligation de documentation du responsable (article 30), et un reflet direct du principe de responsabilité. Le Groupe de travail de l’article 29 a en effet déjà eu l’occasion de dire qu’il « s’agit donc d’une condition préalable nécessaire au respect du RGPD, et, à ce titre, d’une mesure de responsabilisation efficace. »66 en ce qu’il permet à la fois à l’autorité de contrôle mais aussi au responsable de traitement lui-même de disposer d’une vue d’ensemble sur l’ensemble des activités de traitement de données à caractère personnel.
III. Mesures correctrices et sanctions
III.1. Éventail de sanctions
117. Aux termes de l’article 100 de la LCA, la Chambre Contentieuse a le pouvoir de :
1° classer la plainte sans suite ;
2° ordonner le non-lieu ;
3° prononcer une suspension du prononcé ;
4° proposer une transaction ;
5° formuler des avertissements et des réprimandes ;
6° ordonner de se conformer aux demandes de la personne concernée d'exercer ses droits ;
7° ordonner que l'intéressé soit informé du problème de sécurité ;
8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement ;
9° ordonner une mise en conformité du traitement ;
10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données ;
11° ordonner le retrait de l'agréation des organismes de certification ;
12° donner des astreintes ;
13° donner des amendes administratives ;
14° ordonner la suspension des flux transfrontières de données vers un autre État ou un organisme international ;
15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier ;
16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données.
III.2. L’appréciation de la sanction/mesure correctrice adéquate par la Chambre Contentieuse
118. En ce qui concerne le défendeur 1 : La Chambre Contentieuse décide d’infliger une réprimande au défendeur 1 pour la violation des articles 5.1.d), 5.2, 24 et 25 du RGPD étant entendu qu’il a traité de données à caractère personnel inexactes compte de la finalité de leur traitement, et que cela est imputable à son manque diligence dans le cadre de l’engagement de négociations quant à la conclusion d’un protocole rendant possible l’accès à la source authentique de données qu’il convient d’utiliser dans les procédures de faillite, à savoir RegSol. La Chambre Contentieuse tient compte du fait que le défendeur 1 est parvenu à conclure un tel protocole le 9 mars 2023. Cependant, cette circonstance n’efface pas pour autant les manquements passés.
119. En ce qui concerne le défendeur 2 : La Chambre Contentieuse décide de classer les aspects de la plainte relatifs au défendeur 2 sans suite pour des motifs techniques étant entendu qu’il ne ressort ni des pièces du dossier ni du rapport d’enquête plus spécifiquement que le défendeur 2 aurait effectivement réalisé les traitements de données à caractère que le plaignant lui reproche.
120. En ce qui concerne le défendeur 3 : la Chambre Contentieuse décide d’infliger une réprimande au défendeur 3 pour la violation des articles 5.1.d), 5.2, 24 et 25 du RGPD étant entendu qu’il a traité de données à caractère personnel inexactes compte tenu de la finalité de leur traitement, et que cela est imputable à son manque de diligence dans le cadre de l’engagement de négociations quant à la conclusion d’un protocole rendant possible son accès à la source authentique de données qu’il convient d’utiliser dans le cas d’espèce, à savoir RegSol. La Chambre Contentieuse tient compte du fait que le défendeur 3 est en cours de négociations en vue de conclure un protocole rendant possible son accès à la source authentique de données qu’il convient d’utiliser dans les procédures de faillite, à savoir RegSol. Cependant, cette circonstance n’efface pas pour autant les manquements passés.
121. En ce qui concerne le défendeur 4 : la Chambre Contentieuse décide d’adresser un non-lieu concernant les griefs dirigés à l’encontre du défendeur 4 étant entendu que s’il est vrai que le défendeur 4 a traité de données à caractère personnel inexactes compte tenu de la finalité de leur traitement, il a rapidement adopté des mesures raisonnables afin de les rectifier, et que par ailleurs il avait mis en place des mesures techniques et organisationnelles adéquates et raisonnables afin que, dès la conception et par défaut, il traite des données exactes dans le cadre de l’envoi de courriers aux curateurs concernés.
Du reste, la Chambre Contentieuse renvoie le défendeur 4 au point 102 de la présente décision.
IV. Publication de la décision
122. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l’Autorité de protection des données.
123. En l’espèce, la Chambre Contentieuse décide de publier la présente décision avec identification du collège des curateurs francophones de Bruxelles et des défendeurs 1, 3 et 4. Ceci poursuit plusieurs objectifs.
124. En premier lieu, cela poursuit un objectif d’intérêt général. Les défendeurs sont des autorités publiques ; le défendeur 1 est une autorité fédérale, et les défendeurs 3 et 4 sont des autorités fédérées. Chacun d’eux traite d’un très large nombre de données à caractère personnel, étant entendu qu’il s’agit d’autorités fiscales. De surcroît, les traitements mis en cause peuvent emporter un certain impact dans les droits et libertés des personnes concernées étant entendu que cela concerne des procédures de faillite, lesquelles impliquent l’envoi de certaines notifications dont les conséquences peuvent être très graves, et dont les délais d’action peuvent être très minces.
125. En outre, l’identification du collège des curateurs francophones de Bruxelles et des défendeurs 1, 3 et 4 est également nécessaire à la bonne compréhension de la décision, et donc à la matérialisation de l’objectif de transparence poursuivi par la politique de publication des décisions de la Chambre Contentieuse.
PAR CES MOTIFS,
la Chambre Contentieuse de l'Autorité de protection des données décide, après délibération:
- En vertu de l'article 100, §1er, 5° de la LCA, d'infliger une réprimande à l'égard du défendeur 1 pour la violation des articles 5.1.d), 5.2, 24 et 25 du RGPD ;
- En vertu de l'article 100, §1er, 1° de la LCA de classer sans suite les aspects de la plainte relatifs au défendeur 2 ;
- En vertu de l'article 100, §1er, 5° de la LCA, d’infliger une réprimande à l’égard du défendeur 3 pour la violation des articles 5.1.d), 5.2, 24 et 25 du RGPD ;
- En vertu de l'article 100, § 1er, 9° de la LCA, d'ordonner au défendeur 3 de communiquer dans les meilleurs délais suivant sa conclusion, le protocole organisant son accès à la source authentique de données RegSol, à l’Autorité de protection des données ainsi qu’au plaignant.
- En vertu de l'article 100, § 1er, 2° de la LCA, d'ordonner le non-lieu des griefs dirigés à l'encontre du défendeur 4.
Conformément à l'article 108, § 1 de la LCA, un recours contre cette décision peut être introduit, dans un délai de trente jours à compter de sa notification, auprès de la Cour des Marchés (cour d'appel de Bruxelles), avec l'Autorité de protection des données comme partie défenderesse.
Un tel recours peut être introduit au moyen d'une requête interlocutoire qui doit contenir les informations énumérées à l'article 1034ter du Code judiciaire67. La requête interlocutoire doit être déposée au greffe de la Cour des Marchés conformément à l'article 1034quinquies du C. jud.68, ou via le système d'information e-Deposit du Ministère de la Justice (article 32ter du C. jud.).
(sé) Hielke HUMAN
Président de la Chambre Contentieuse
Document PDF ECLI:BE:GBAPD:2025:DEC.20250415.1
Publication(s) liée(s)
suivi par:
ECLI:BE:GBAPD:2025:AVIS.20250826.1
ECLI:BE:GBAPD:2025:AVIS.20250826.2