ECLI:BE:GBAPD:2025:DEC.20250306.1

Chambre Contentieuse Décision quant au fond 43/2025 du 6 mars 2025 Numéro de dossier : DOS-2019-04221 Objet : Plainte relative à une réponse tardive et incomplète à un droit d’accès (articles 15 et 12 du RGPD) ainsi qu’à un manquement à l’obligation de sécurité (article 32 du RGPD) et à l’obligation de notification d’une violation de donnée (data breach) à l’autorité de protection des données (article 33 du RGPD) La Chambre Contentieuse de l'Autorité de protection des données, constituée de monsieur Hielke HIJMANS, président siégeant seul ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après « RGPD » ; Vu la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après « LCA ») ; Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 20191 ; Vu les pièces du dossier ; A pris la décision suivante concernant : Le plaignant : X, ci-après « le plaignant » ; La défenderesse : La S.A. D, ci-après « la défenderesse. I. Faits et procédure 1. Le 6 février 2020, le plaignant introduit une plainte auprès de l’Autorité de protection des données (APD) contre la défenderesse. 2. Les faits à l’origine de la plainte peuvent être résumés comme suit. 3. Le plaignant est assuré auprès de la défenderesse. 4. Le plaignant rapporte que le 17 mai 2019, il est informé par la défenderesse qu’un terme est mis au contrat d’assurance qui les lie. A la suite de cette résiliation, le plaignant reçoit, par courrier du 19 juin 2019, une attestation de sinistre émise le 18 juin 2019 relative non pas à ses propres sinistres mais mentionnant des sinistres d’une autre assurée de la défenderesse, Madame (..) ( ci-après Madame W.). 5. Le 11 août 2019, le plaignant adresse un e-mail à 11 destinataires2 dans le cadre du conflit qui l’oppose à la défenderesse à la suite de la décision de résiliation unilatérale de son contrat évoquée ci-dessus. Parmi les destinataires figurent les deux adresses suivantes de la défenderesse « feedback@ « … ».be et info.claims@ « .. ».be ». Dans cet e-mail de 4 pages A4 abordant différents griefs que le plaignant oppose à la défenderesse et dont il avertit les 9 autres destinataires, le plaignant mentionne en deux lignes ce qui suit : « Madame, Monsieur du département sinistre de chez D., (…). Pourriez-vous me délivrer l’ensemble des documents (notes internes, …) qui me concernent (voir le RGPD) ? ». 6. Il est à noter que si les parties concluront (voy. infra) sur cet e-mail et sur sa qualification ou non comme demande d’accès au sens de l’article 15 du RGPD (voy. infra), cet e-mail du 11 août 2019 avait été précédé d’un e-mail de 5-6 paragraphes du 9 août 2019 adressé à différentes adresses de la défenderesse, dont à l’adresse feedback@ « … ».be déjà mentionnée, dans lequel le plaignant demandait déjà « Pourriez-vous me délivrer l’ensemble des informations dans le moindre détail, que vous avez à mon sujet, comme l’autorise le RGPD » ? 7. Figurant parmi les destinataires de l’e-mail du 11 août 2019 dont question ci-dessus, l’APD prend contact avec le plaignant le 14 août 2019 via son Service de Première Ligne (SPL) et l’informe que la défenderesse dispose d’un délai d’un mois, le cas échéant prolongé de deux mois pour lui répondre et qu’à défaut de réponse de sa part dans ce/ces délai(s), le plaignant peut s’adresser à l’APD. 8. Le 6 novembre 2019, le plaignant dénonce à l’APD qu’il a, comme mentionné au point 4 ci-dessus, reçu le 19 juin 2019 une attestation de sinistralité relative à une autre assurée (contenant nombre de données à caractère personnel la concernant), Madame W. 9. Il ressort du dossier que le 15 janvier 2020, le plaignant adresse au CEO de la défenderesse un e-mail de mise en demeure dans lequel il revient sur les multiples griefs qu’il lui oppose dont celui relatif à ses demandes des 9 et 11 août 2019 restées sans réponse. Il indique en ce sens : « Je vous ai demandé, comme l’autorise le RGPD, l’ensemble des données en votre possession à mon sujet dans les moindres détails, et également les enregistrements téléphoniques depuis le 09/08/2019. Vous avez déjà commis une infraction en ne répondant pas à ma demande ». 10. Le 21 janvier 2020, la défenderesse répond au plaignant comme suit : « En ce qui concerne votre demande d’accès à vos données personnelles en vertu du RGPD et aux enregistrements de conversations téléphoniques avec nos collaborateurs : Nous sommes en train de réunir les informations demandées et vous les feront parvenir sans tarder. Nous n’avons pas pu vous répondre immédiatement sur ce point après votre première demande car vous n’aviez pas joint de copie de votre carte d’identité permettant de justifier de votre identité comme nous l’exigeons sur notre site web par mesure de sécurité. Nous vous répondrons toutefois dans le délai imparti d’un mois à partir du 15 janvier 2020 et vous dispensons de l’envoi de la copie de votre carte d’identité dès lors que votre identité est désormais suffisamment établie à nos yeux »3. 11. Dans ce même courrier du 21 janvier 2020, la défenderesse indique également que « en ce qui concerne Madame W., il est possible qu’à la suite d’une erreur d’encodage, vous ayez reçu une attestation de sinistralité concernant une personne tierce sans lien avec vous, nous nous en excusons le cas échéant »4. 12. Dès le 22 janvier 2020, le plaignant indique à l’APD sa volonté de déposer plainte à l’encontre de la défenderesse, les réponses fournies par cette dernière dans son courrier du 21 janvier susvisé n’étant selon lui en rien de nature à supprimer son défaut de réponse à sa demande d’accès du 11 août 2019. Le plaignant s’étonne par ailleurs de la réponse laconique formulée par la défenderesse au regard de l’envoi de données d’une tierce assurée (point 11). 13. Le 6 février 2020, le plaignant introduit sa plainte auprès de l’APD ainsi qu’il a été mentionné au point 1. Le plaignant y réitère les griefs déjà cités dans son courrier du 22 janvier 2020 (point 12) tirés de l’absence de réponse dans le délai à sa demande d’accès du 11 août 2019 et de l’envoi de données relatives à une tierce personne révélateur d’un défaut de sécurisation suffisante. Il dénonce également le fait qu’en réponse à sa demande d’accès, ses données lui ont été envoyées par courrier recommandé, reçu le 23 janvier 2020, dont l’enveloppe était ouverte à la réception. Il indique que la défenderesse n’a pas été en mesure, en réponse à son interpellation quant à ce du 23 janvier 2020, de lui indiquer combien de pages contenait son envoi pour lui permettre de s’assurer qu’aucune page n’aurait été perdue ou subtilisée lors de l’ouverture de son courrier. Le plaignant reproche également à la défenderesse d’avoir supprimé ses données de sinistralité enregistrées dans la base de données CarAttest. Il dénonce enfin également avoir reçu les 17 et 19 mars 2020, 3 e-mails de marketing direct « de la part de D. par la société Z. » alors qu’il ne s’est jamais enregistré sur ce site. 14. Le 2 mars 2020 la plainte est déclarée recevable par le SPL de l’APD sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA. 15. Le 31 mars 2020, conformément à l’article 96, § 1er de LCA, la demande de la Chambre Contentieuse de procéder à une enquête est transmise au Service d’Inspection (SI), de même que la plainte et l’inventaire des pièces. 16. Le 15 juin 2020, l’enquête du SI est clôturée, le rapport est joint au dossier et celui-ci est transmis par l’inspecteur général au Président de la Chambre Contentieuse (art. 91, § 1 er et § 2 de la LCA). Le rapport d’enquête comporte les constatations suivantes: - Constatation 1 : en s’abstenant de répondre à la demande d’accès du plaignant du 11 août 2019 dans le délai d’un mois, la défenderesse n’a pas respecté les articles 12.3 et 15 du RGPD. - Constatation 2 : la défenderesse s’est rendue coupable d’une violation de données et d’un manquement à son obligation de sécurité (article 32 du RGPD) en communiquant par courrier du 18 juin 2019 des données de sinistralité d’une autre cliente au plaignant. Le SI identifie que cette erreur résulte de la manière dont le système de génération automatique des fiches de sinistres a été conçu par la défenderesse. - Constatation 3 : la défenderesse n’a pas notifié la violation de donnée dont question à la constatations 2 à l’APD en violation de l’article 33 du RGPD. 17. Il est à noter qu’aux termes des questions qu’il a adressées à la défenderesse le 14 avril 2020, le Si relève que le plaignant reproche à la défenderesse d’avoir supprimé ses données de sinistralité enregistrées dans la base de données CarAttest. Il l’interroge également sur la réception par le plaignant les 17 et 19 mars 2020 de 3 e-mails de marketing direct « de la part de D. par la société Z. » alors que le plaignant ne s’est jamais enregistré sur ce site (point 13). Dans sa réponse du 30 avril 2020, la défenderesse indique au SI que les données relatives à la sinistralité du plaignant n’ont pas été communiquées à CarAttest en l’absence d’obligation légale à cet égard. Ces données n’ont en tout état de cause pas été supprimées par CarAttest à la demande de la défenderesse dès lors que les assureurs n’ont aucune légitimité pour en demander la suppression. S’agissant des e-mails de marketing, la défenderesse indique qu’elle n’a pas communiqué les données du plaignant à la société qui serait le responsable de traitement au regard desdits e-mails envoyés. La défenderesse n’indique avoir aucun lien avec cette société.. La Chambre Contentieuse constate qu’à la suite de la réception de ses réponses, le SI n’a pas investigué davantage ces aspects et n’a retenu aucun constat de manquement à ces égards dans le chef de la défenderesse. 18. Le 21 septembre 2020, la Chambre Contentieuse décide, en vertu de l’article 95, § 1er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond. A cette même date, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions au regard des manquements au RGPD résultant de la plainte et du rapport du SI. La date limite pour la réception des conclusions en réponse de la défenderesse est fixée au 2 novembre 2020, celle pour les conclusions en réplique du plaignant au 25 novembre 2020 et celle pour les conclusions en réplique de la défenderesse au 18 décembre 2020. 19. Le 4 décembre 2020, une copie du dossier (art. 95, §2, 3° LCA est transmise à la défenderesse. 20. Le 2 novembre 2020, la Chambre Contentieuse reçoit les conclusions en réponse de la défenderesse. - Quant à la constatation 1 : la défenderesse réfute toute violation de l’article 12.3 ainsi que de l’article 15 du RGPD. La défenderesse plaide à l’appui de différents motifs qui seront discutés plus loin dans la présente décision que l’email du 11 août 2019 du plaignant ne constituait pas une demande d’exercice de son droit d’accès. Elle ajoute qu’en réponse à l’e-mail du plaignant du 15 janvier 2020 par lequel le plaignant introduit cette fois une demande d’accès valide, elle a fourni au plaignant une copie des données demandées dès le 21 janvier 2020, soit à peine une semaine après la formulation de sa demande. - Quant aux constatations 2 et 3 : la défenderesse ne conteste pas que la divulgation de certaines données à caractère personnel non sensibles de Madame W. au plaignant constitue une violation de données. Elle réfute toutefois toute nécessité de notifier celle-ci à l’APD en exécution de l’article 33 du RGPD compte tenu de l’absence de risque pour les droits et libertés de Madame W. En conséquence, la défenderesse demande à la Chambre Contentieuse de constater l’absence de violation des articles 12, 15 et 33 du RGPD ainsi que de pseudonymiser la décision qu’elle adoptera. 21. Le 25 novembre 2020, la Chambre Contentieuse reçoit les conclusions en réplique du plaignant. Le plaignant y défend que sa demande du 11 août 2019 doit, dès cette date, être considérée comme une demande d’accès valide. Il ajoute qu’elle a par ailleurs été précédée d’une demande explicite du 9 août 2019. En ne répondant à ses demandes que le 21 janvier 2020, la défenderesse a violé l’article 12.3 du RGPD. Il dénonce également n'avoir pas reçu l’ensemble des données traitées le concernant. Le plaignant dénonce encore un manquement à la sécurité résultant de l’absence de demande de communication de sa carte d’identité pour donner suite à sa demande d’accès. Enfin, le plaignant oppose à la défenderesse une série de griefs et demandes nouvelles, non-visées par sa plainte , sans lien avec les faits consécutifs à celle-ci et pour certains sans lien avec une quelconque question relevant de l’application du RGPD. La Chambre Contentieuse y reviendra plus loin dans la décision. 22. Le 18 décembre 2020, la Chambre Contentieuse reçoit les conclusions en réplique de la défenderesse. Cette dernière y souligne que parmi la vingtaine de demandes formulées par le plaignant dans ses différents courriers et conclusions, seules certaines ont un lien plus ou moins étroit avec la protection des données personnelles. La défenderesse indique qu’elle n’en conteste pas moins la validité et la pertinence de l’ensemble de ces demandes car elles sont toutes non-fondées, irrecevables, déjà résolues devant une autre autorité ou non imputable à la défenderesse et en toute hypothèse sans lien avec le présent dossier. Comme déjà indiqué, la Chambre Contentieuse y reviendra plus loin dans la décision. 23. A l’issue du calendrier d’échange des conclusions, la Chambre Contentieuse n’a pas été en mesure d’adopter une décision aussi rapidement qu’elle l’aurait souhaité faute de ressources suffisantes - en personnel notamment - au regard du volume de plaintes qui lui parvenaient. Le plaignant n’en a pas moins régulièrement interrogé la Chambre Contentieuse quant au délai dans lequel cette dernière pourrait adopter une décision au regard de sa plainte ; plainte dont il a toujours confirmé, en 2024 encore, qu’il entendait la maintenir. II. Motivation II.1. Quant à la saisine de la Chambre Contentieuse 24. La Chambre Contentieuse rappelle que sa saisine est définie au départ de l’objet de la plainte déposée, le cas échéant élargie à l’appui des constats du SI lorsque celui-ci est saisi. Elle ajoute qu’elle peut réaliser certaines investigations en lien avec les griefs dont elle est saisie dans le contexte par exemple de son devoir de minutie5. 25. En l’espèce, la Chambre Contentieuse estime ne pas devoir recourir à cette prérogative pour adopter une décision motivée à l’égard des griefs soulevés par la plainte du 6 février 2020 déposée par le plaignant telle qu’investiguée par le SI et s’en tient au périmètre de sa saisine tel que défini par son courrier du 21 septembre 2020 et le rapport d’enquête du SI. 26. Partant, la présente décision de la Chambre Contentieuse tranchera la question de savoir si, comme le soulève le SI, la défenderesse s’est effectivement rendue coupable - d’une violation des articles 12.3 et 15 du RGPD au regard de la demande formulée par le plaignant les 9 et 11 août 2019 ((Titre II.2), - de l’article 32 du RGPD au regard du système d’extraction des fiches de sinistre par assuré (Titre II. 3) et - de l’article 33 du RGPD au regard de l’absence de notification à l’APD de la violation de données intervenue lors de l’envoi au plaignant d’une fiche de sinistre relative à un autre assuré (Titre II.4). Elle traitera également des griefs tirés de la suppression des données de sinistralité du plaignant dans la base de donnés CarAttest et de l’envoi des e-mails de marketing direct (voy. point 17 ci-dessus). Tous les autres griefs développés par le plaignant, notamment par la voie de ses conclusions en réplique, a fortiori ceux qui n’ont pas trait à des traitements de données à caractère personnel6, ne font pas partie de la saisine de la Chambre Contentieuse ce, nonobstant le fait que la défenderesse a pris la peine de réagir à l’égard de certains d’entre-eux. II.2. Quant à la violation alléguée des articles 12.3 et 15 du RGPD II.2.1. Le point de vue du SI 27. Ainsi qu’il a été mentionné dans les rétroactes de la procédure, le SI relève que la défenderesse a indiqué au cours de l’enquête que la demande du plaignant du 11 août 2019 a échappé à son attention et qu’elle ne l’avait pas identifiée comme une demande de droit d’accès au sens de l’article 15 du RGPD. Le SI conclut à la violation par la défenderesse des articles 12.3 et 15 du RGPD non sans constater qu’il a été répondu à la demande le 21 janvier 2020 à la suite du rappel du plaignant du 15 janvier 2020. Le SI considère par ailleurs que le fait que la demande d’accès du plaignant du 11 août 2019 consiste en une phrase reprise au milieu d’un e-mail de 4 pages faisant état de nombreux griefs – par ailleurs très divers - est constitutive d’une circonstance qu’il qualifie d’« atténuante » pour la défenderesse. II.2.2. Le point de vue des parties Le plaignant 28. Le plaignant expose que son e-mail du 11 août 2019 permet aux différentes personnes interpellées7 d’avoir un résumé des incompétences de la défenderesse dans le domaine des assurances et dans la gestion des données à caractère personnel. Il précise que le département feedback contacté par téléphone l’a renvoyé vers le département des sinistres « Claims » à qui il a donc également adressé son e-mail. Cette demande constitue sans conteste une demande d’accès au sens de l’article 15 du RGPD selon lui. 29. Le plaignant rappelle qu’il avait explicitement formulé une demande similaire par e-mail du 9 août 2019 également adressé notamment à l’adresse feedback@ « .. ».be en ces termes : « Pourriez-vous me délivrer l’ensemble des informations dans le moindre détail, que vous avez à mon sujet, comme l’autorise le RGPD » ( voy. supra point 6). 30. Le plaignant relève que la justification donnée à l’époque des faits à l’absence de réponse à sa demande était, telle que formulée dans l’e-mail de la défenderesse du 21 janvier 202O, le fait qu’il n’avait pas joint de copie de sa carte d’identité permettant de justifier son identité. A cet égard, le plaignant indique qu’il s’en est étonné dès le 10 février 2020 dès lors que cette l’adresse e-mail au départ de laquelle il avait formulé sa demande était régulièrement utilisée par la défenderesse dans ses contacts avec lui et ce depuis 2008. Cette adresse était notée dans un document de proposition de contrat de 2016 émanant de la défenderesse et donc manifestement connue de celle-ci. La gestion de ses sinistres de 2017, 2018 et 2019 du plaignant, s’était par ailleurs faite avec cette adresse et ses factures annuelles étaient également envoyées uniquement par e-mail à cette adresse. 31. Enfin, comme il l’indiquait à l’APD dès le 10 février 2020 également, le plaignant juge que les données le concernant qui lui ont été communiquées en réponse à sa demande d’accès étaient incomplètes. Il en veut pour preuve qu’ il a reçu un dossier plus fourni de sa société d’assurance protection juridique à qui il avait adressé une demande similaire. Ainsi qu’il a déjà été mentionné, dans son e-mail du 10 février 2020, le plaignant indique également tant à la défenderesse qu’à l’APD qu’il soupçonne la défenderesse de disposer d’une fiche le concernant qui ne figure pas dans ce qui lui a été communiqué. La défenderesse 32. La défenderesse plaide que l’e-mail du 11 août 2019 du plaignant ne contient pas de demande d’exercice de son droit d’accès au sens de l’article 15 du RGPD, telle demande n’étant ni valablement formée ni adressée via l’un des nombreux canaux mis à la disposition des personnes concernées pour faciliter l’exercice de leurs droits. Partant, la défenderesse estime qu’elle n’était pas tenue d’y répondre dans le délai de l’article 12.3 du RGPD. Elle ne s’est donc rendue coupable d’aucune violation des articles 12.3 et 15 du RGPD. 33. La défenderesse relève à cet égard que : - La demande du plaignant n’était pas adressée aux adresses fournies dans ce but puisqu’elle a été envoyée aux adresses « feedback@ « .. ».be » et « info.claims@ « .. ».be » de la défenderesse qui constituent des boites de courriel génériques non destinées à recevoir des demandes d’exercice des droits que tirent les personnes concernées du RGPD. La défenderesse souligne que la page dédiée à l’information relative à la privée de son site Internet renseigne les coordonnées de son délégué à la protection des données (DPO) pour recevoir de telles demandes et que l’adresse e-mail de ce dernier est par ailleurs communiquée dans les documents suivants : la déclaration à propos de la confidentialité des données, la déclaration relative au respect de votre vie privée, la déclaration en matière de cookies ainsi que dans les conditions particulières du contrat d’assurance. D’autres canaux sont par ailleurs à la disposition des personnes concernées soit l’envoi d’un courrier postal, un numéro de téléphone ou encore en se rendant directement « en magasin » pour exercer sa demande. - La demande du plaignant tenant en une phrase était noyée dans un e-mail conséquent (4 pages A4), perdue au milieu d’une longue liste de griefs variés. - La volonté du plaignant d’exercer l’un des droits que lui confère le RGPD ne ressortait pas de l’objet de son mail formulé comme suit : « Objet : Demande d’une réponse de la part de D. en extrême urgence ». - Cette demande, contrairement aux autres griefs ou demandes, n’était pas particulièrement identifiée et n’était pas reprise dans la liste récapitulative des demandes par laquelle le plaignant concluait son e-mail ; demandes qu’il attribuait cette fois à un destinataire identifiable parmi les destinataires de son e-mail (dont seules deux adresses concernaient la défenderesse). - Le périmètre de la demande n’était pas défini (« Pourriez-vous me délivrer l’ensemble des documents (notes internes, …) qui me concerne (voir le RGPD) » ? et ne permettait pas à la défenderesse d’y répondre. - Le plaignant n’avait pas spécifié la modalité par laquelle il souhaitait obtenir communication de ses données. 34. La défenderesse souligne les circonstances atténuantes relevées par le SI et rappelées au point 27 ci-dessus. II.2.3. Appréciation de la Chambre Contentieuse 35. Aux termes de l’article 15.1 du RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées (1ère facette du droit d’accès). 36. Lorsque c’est le cas, la personne concernée a le droit d’obtenir une série d’informations listées à l’article 15.1 a) - h) et 15.2 du RGPD relatives aux données traitées ainsi que l’accès à celles-ci (2ème facette du droit d’accès)8. 37. Le RGPD prévoit enfin à l’article 15.3, que le responsable de traitement fournit une copie des données à caractère personnel à la personne concernée. La fourniture d’une copie est la principale modalité de l’octroi de l’accès aux données traitées. 38. La personne concernée n’a pas à justifier pourquoi elle demande à accéder à ses données à caractère personnel9. 39. L’article 15 du RGPD doit nécessairement être lu et appliqué en combinaison avec l’article 12 du RGPD relatif aux modalités d’exercice des droits des personnes concernées. a. Ainsi, aux termes de l’article 12.2 du RGPD, le responsable du traitement est tenu de faciliter l'exercice des droits conférés à la personne concernée au titre des articles 15 à 22 du RGPD. b. Aux termes de l’article 12.3 du RGPD, « le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu'il en soit autrement ». 40. La Chambre Contentieuse considère à l’appui de la motivation qui suit que la demande formulée par le plaignant dans son e-mail du 11 août 2019 consiste en une demande d’exercice de son droit d’accès au sens de l’article 15 du RGPD.10 41. La Chambre Contentieuse relève à titre liminaire que ce n’est qu’une fois devant l’APD que la défenderesse a indiqué qu’elle n’aurait pas identifié la demande du plaignant comme une demande d’accès pour justifier l’absence de réponse dans le délai de l’article 12.3 du RGPD (voy. infra) qui lui était reprochée. Dans son courrier du 21 janvier 2020, la défenderesse indique en effet que c’est parce que le plaignant n’avait pas joint sa carte d’identité à sa demande qu’elle ne lui pas répondu (point 10). 42. Même si cette demande est, comme le relève la défenderesse, quelque peu perdue dans un e-mail relatif à un litige entre le plaignant et la défenderesse relatif aux activités d’assurance de cette dernière et au contrat passé entre eux, cette seule circonstance ne la disqualifie pas pour autant. Le RGPD ne prévoit aucune exigence formelle pour les personnes demandant l’accès aux données les concernant. Pour introduire une demande d’accès, il suffit que les demandeurs précisent qu’ils souhaitent connaître les données à caractère personnel les concernant traitées par le responsable du traitement sans même devoir se référer explicitement au RGPD11. Par conséquent, le responsable du traitement ne peut refuser de donner suite à une demande en invoquant l’absence de référence spécifique au droit d’accès ou au RGPD ni à fortiori à l’absence de référence l’article 15. Il ne peut pas plus s’appuyer sur l’objet de l’e-mail qui contient la demande et qui ne se référerait pas au RGPD ou à une demande d’accès. 43. En l’espèce, la Chambre Contentieuse est d’avis que les termes utilisés par le plaignant dans son e-mail du 11 août 201912 étaient suffisants pour que la défenderesse doive l’identifier comme une demande d’exercice du droit d’accès. Le plaignant y a de surcroît expressément fait référence au RGPD. La Chambre Contentieuse relève surabondamment que la formulation dans cet e-mail n’est par ailleurs pas très différente de celle utilisée dans le rappel du 21 janvier 202013 qui a quant à lui été pris en considération par la défenderesse comme demande d’accès. 44. La Chambre Contentieuse décide que c’est donc en vain, que la défenderesse tente de se retrancher derrière le fait que l’objet de l’e-mail du plaignant ne faisait pas état de qu’il s’ agissait d’une demande de droit d’accès ou encore que sa demande n’était pas reprise dans ce que la défenderesse qualifie de « liste récapitulative de ses demandes » en fin d’e-mail. 45. Le plaignant ayant formulé une demande d’exercice de son droit d’accès au sens de l’article 15 du RGPD, l’article 12.2 du RGPD rappelé ci-dessus est d’application. S’agissant des éléments restants invoqués par la défenderesse à l’appui de sa défense selon laquelle la demande du plaignant ne consistait pas en une demande d’accès (point 33), la Chambre Contentieuse les rejette un à un pour les motifs ci-après. Elle conclut qu’aucun de ces éléments n’est pertinent au regard de l’article 15 du RGPD. Ils apparaissent, au vu de la motivation initiale contenue dans la lettre du 21 janvier 2020 (points 6 et 41 ), être de vaines tentatives de justification a posteriori. Ces éléments invoqués par la défenderesse sont en toute hypothèse contraires à ce qui est attendu d’elle en exécution de son obligation de facilitation des droits de la personne concernée (article 12.2 du RGPD). - S’agissant de la copie de la carte d’identité du plaignant, il incombait en toute hypothèse à la défenderesse, à supposer qu’elle ait été autorisée à demander une telle copie (voy. infra), de s’adresser au plaignant pour l’obtenir au lieu d’ignorer sa demande au motif qu’elle ne lui a pas été fournie. - S’agissant du périmètre de la demande du plaignant, le responsable de traitement (ici la défenderesse) ne peut ignorer une demande d’accès au motif que celle-ci ne serait pas suffisamment précise. Ici encore c’était à la défenderesse à revenir vers le plaignant pour qu’il précise le cas échéant l’ampleur de sa demande 14. - Quant aux modalités de communication des données personnelles le concernant que le plaignant n’aurait pas (suffisamment) précisées, l’article 15.3,du RGPD prévoit - ainsi qu’il a été rappelé - que le responsable de traitement fournit une copie des données à caractère personnel à la personne concernée. Dans un arrêt C-487/21 du 4 mai 2023, la Cour de Justice de l’Union européenne (CJUE) a considéré que l’article 15.3 du RGPD doit être interprété en ce sens que « le droit d’obtenir de la part du responsable du traitement une copie des données à caractère personnel faisant l’objet d’un traitement implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement, étant souligné qu’il doit être tenu compte, à cet égard, des droits et libertés d’autrui »15. Si cet arrêt de 2023 est postérieur aux faits, il n’en demeure pas moins qu’en cas de doute et nonobstant la clarté du texte qui mentionne explicitement la copie des données personnelles, il revenait une fois encore à la défenderesse de prendre contact avec le plaignant pour lui demander le cas échéant la modalité selon laquelle il souhaitait avoir accès à ses données personnelles. 46. S’agissant du calcul du délai d’un mois dans lequel le responsable du traitement doit fournir des informations sur les suites données à une demande d’exercice des droits (telle la demande d’accès en l’espèce) en exécution de l’article 12.3. du RGPD, ce calcul doit s’opérer conformément au droit de l’Union européenne 16. C’est par ailleurs la date de la réception de la demande par le responsable du traitement qui déclenche ce délai 17. En d’autres termes, le délai d’un mois commence à courir lorsque le responsable du traitement a reçu une demande et il n'est pas nécessaire à cet égard qu’il ait effectivement pris connaissance de celle-ci18. 47. La réception par le responsable de traitement implique également que la demande lui soit parvenue par l’un de ses canaux pertinents au sens qui sera précisé ci-dessous. Les responsables du traitement sont ainsi encouragés à fournir les canaux de communication les plus appropriés et les plus conviviaux, conformément aux articles 12.2 (obligation de facilitation de l’exercice des droits) et 25 du RGPD afin de permettre à la personne concernée d'introduire une demande efficace. Il peut s'agir, par exemple, de données de communication du responsable du traitement fournies dans ses communications adressées directement aux personnes concernées ou de données de contact fournies publiquement par le responsable du traitement, par exemple dans sa politique de confidentialité ou dans d'autres mentions légales obligatoires du responsable du traitement (par exemple, les coordonnées du propriétaire ou de l'entreprise sur un site web).19 Il n’est à cet égard pas contesté que la défenderesse a mis sur pied plusieurs canaux de communication, dont une adresse mail de DPO comme elle l’a exposé dans ses conclusions (point 33). 48. Néanmoins, la Chambre Contentieuse considère que si une personne concernée formule une demande en utilisant un canal de communication fourni par le responsable du traitement mais qui est différent de celui indiqué comme étant préférable, cette demande n’en doit pas moins, en général, être prise en considération et le responsable du traitement doit la traiter en conséquence. L’ignorer purement et simplement n’est pas conforme à l’obligation qui lui incombe en exécution de l’article 12.2 du RGPD rappelée ci-dessus.20 49. A l’inverse, le responsable du traitement n'est pas tenu de donner suite à une demande envoyée à une adresse électronique (ou postale) aléatoire ou incorrecte, non fournie directement par le responsable du traitement, ou à un canal de communication qui n'est manifestement pas destiné à recevoir des demandes concernant les droits de la personne concernée, si le responsable du traitement a fourni un canal de communication approprié à la personne concernée.21 50. En l’espèce, la Chambre Contentieuse constate que le plaignant n’a pas adressé sa demande au DPO de la défenderesse ni utilisé les autres canaux mis à la disposition des personnes concernées spécifiquement pour l’exercice des droits qu’elles tirent du RGPD. Le plaignant n’en a pas moins adressé sa demande à une adresse dont il affirme qu’elle lui a été renseignée comme une adresse pertinente dans le cadre de la gestion des réclamations « claims » (soit, outre l’adresse feedback@ « .. ».be à l’adresse info.claims@« .... »be). La Chambre Contentieuse constate qu’il s’agit bien d’une adresse fournie par le responsable de traitement et qu’il ne s’agit pas d’une adresse aléatoire. Si l’adresse e-mail du département « claims » n’est pas renseignée comme étant celle spécifiquement destinée à recevoir les demandes d’exercice des droits tirés du RGPD, la Chambre Contentieuse est d’avis qu’on ne peut raisonnablement aller jusqu’à dire qu’elle n’est manifestement pas destinée à recevoir de telles demandes. 51. Une demande d’accès n’est pas nécessairement formulée de façon indépendante de toute autre demande que la personne concernée aurait vis-à-vis du responsable de traitement dans le cadre des relations commerciales ou professionnelles qu’ils entretiennent. Exiger que la personne concernée isole sa demande d’accès dans un e-mail distinct, adressé à un autre destinataire que le gestionnaire de son sinistre par exemple ou que le département contentieux du responsable de traitement lorsqu’elle est en litige avec ce dernier, serait totalement artificiel et contraire à l’article 12.2 du RGPD déjà rappelé. Il revient par ailleurs au responsable de traitement de former son personnel pour qu’il soit en mesure d’identifier une demande de droit d’accès au RGPD, ce qui n’exclut pas que la demande ainsi identifiée soit ensuite relayée à un autre service compétent ou au DPO lorsqu’il a été désigné. 52. Pour autant que de besoin, la Chambre Contentieuse précise que c’est à elle qu’il revient de considérer si, au regard du cas d’espèce, l’adresse doit ou non être considérée comme n’étant « manifestement pas destinée à recevoir les demandes d’exercice des droits des personnes concernées » et qu’il ne suffit pas que le responsable de traitement la qualifie comme telle. 53. En l’espèce, le plaignant avait outre son envoi à info.claims@« ... ».be fait expressément référence au RGPD ainsi qu’il a déjà été mentionné. 54. A l’appui de ce qui précède, la Chambre Contentieuse constate que le délai d’un mois prévu à l’article 12.3 du RGPD a commencé à courir le 11 août 2019, la réception de cet e-mail par la défenderesse à l’adresse info.claims@« ... ».be n’étant pas contestée. Il n’est pas contesté non plus que la défenderesse n’a pas répondu à cette demande et que ce n’est qu’à la suite du rappel du plaignant du 15 janvier 2021 qu’elle a réagi le 21 janvier 2020, soit plus de 5 mois après la demande initiale du plaignant du 11 août 2019. 55. La Chambre Contentieuse en conclut que la défenderesse n’a pas respecté les prescrits des articles 12.3 et 15 du RGPD en ce qu’elle n’a pas répondu à la demande d’accès du plaignant du 11 août 2019 dans le délai d’un mois à dater de sa réception. 56. Quant au caractère jugé incomplet des données reçues in fine en réponse à l’exercice de son droit d’accès par le plaignant, la Chambre Contentieuse n’est pas en mesure de constater que toutes les données traitées par la défenderesse n’auraient pas été communiquées au plaignant. Le rapport du SI ne contient par ailleurs pas d’éléments à cet égard. La seule circonstance que la société d’assurance juridique aurait transmis davantage de données au plaignant en réponse à la demande d’accès qu’il lui aurait également adressée n’est pas nécessairement de nature à prouver que ce qui aurait été transmis par la défenderesse était incomplet. 57. A l’appui de ce qui précède, la Chambre Contentieuse conclut qu’elle n’est pas en mesure de constater un manquement à l’article 15.3 du RGPD du fait de données à caractère personnel qui n’auraient pas été fournies au plaignant par la défenderesse à l’occasion de l’exercice du droit d’accès de ce dernier. 58. Quant à la demande de communication d’une copie de la carte d’identité du plaignant aux fins d’identification de ce dernier préalablement à toute réponse à son droit d’accès, la Chambre Contentieuse se limite dans la présente décision aux rappels qui suivent et aux notes citées, par référence notamment aux Lignes directrices relatives au droit d’accès du CEPD déjà mentionnées. 59. Le CEPD y considère que l’utilisation d’une copie d’un document d’identité à des fins d’authentification crée un risque pour la sécurité des données à caractère personnel qui pourrait résulter en un traitement non autorisé de celles-ci. A ce titre, cette pratique - certes répandue - devrait être considérée comme inappropriée, à moins que cela ne soit nécessaire, approprié et conforme au droit national 22. 60. Lorsqu’un document d’identité est demandé (et que cela est à la fois conforme au droit national ainsi que justifié et proportionné au titre du RGPD), le responsable de traitement doit mettre en œuvre des garanties pour empêcher le traitement illicite de la carte d’identité, de la copie de celle-ci et des données personnelles qui y figurent. Nonobstant toute disposition nationale applicable en matière d’authentification d’identité, il peut s’agir notamment de s’abstenir de faire une copie ou de supprimer une copie d’un document d’identité immédiatement après l’authentification réussie de l’identité de la personne concernée ou encore d’inviter la personne concernée à occulter les données figurant sur la carte d’identité non-nécessaires à l’identification/authentification. Le CEPD recommande, à titre de bonne pratique, que le responsable de traitement, après avoir vérifié la carte d’identité, fasse une note indiquant par exemple « la carte d’identité a été vérifiée » afin d’éviter la copie ou le stockage inutile de copies de cartes d’identité. 23 II.3. Quant à la violation alléguée de l’article 32 du RGPD II.3.1. Le point de vue du SI 61. Ainsi qu’il a été mentionné dans les rétroactes de procédure, le SI conclut à une violation de données et à un manquement à l’article 32 du RGPD, les critères de sélection des données de sinistre dans le système de la défenderesse ayant eus pour conséquence que des sinistres de Madame W. ont erronément été rattachés au plaignant lors de l’extraction de la fiche de sinistre du plaignant, ces critères n’étant pas suffisants pour exclure ce risque d’erreur. Le SI relève également les informations fournies par la défenderesse selon lesquelles dès le 26 juin 2019 (l’envoi litigieux datant du 18 juin 2019), les critères de sélection de son programme informatique ont été corrigés. 62. Sans constater de manquement quant à ce, le SI relève également que le DPO de la défenderesse indique n’avoir été informé du dossier qu’en 2020 alors qu’il était DPO au moment des faits, (soit en juin 2019) comme en témoigne la communication de ses coordonnées à l’APD en qualité de DPO de la défenderesse enregistrées à la date du 25 mai 201824. II.3.2. Le point de vue des parties Le plaignant 63. La Chambre Contentieuse relève que le plaignant a dénoncé l’envoi erroné, s’inquiétant sur la fiabilité du système et le risque que des données le concernant soient à son retour indûment transmises à des tiers. 64. Le plaignant dénonce également le fait qu’en réponse à sa demande d’accès, les données personnelles le concernant lui aient été envoyé par courriel postal (certes recommandé) sans autre mesure de sécurité. Il en veut pour preuve que l’enveloppe lui est parvenue ouverte. Il s’étonne également qu’aucune vérification par la prise de copie de sa carte d’identité n’ait été opérée avant de lui envoyer ses données. La défenderesse 65. La défenderesse ne conteste pas que l’envoi erroné de données relatives à Madame W. au plaignant consiste en une violation de donnée. 66. S’agissant des mesures de sécurité entourant l’envoi des données personnelles du plaignant en janvier 2020 en réponse à sa demande d’accès, la défenderesse est d’avis que l’envoi par courrier recommandé est suffisamment sécurisé et qu’il n’était plus nécessaire à cette date qu’elle procède à la vérification de l’identité du plaignant, celle-ci étant suffisamment établie. II.3.3. Appréciation de la Chambre Contentieuse 67. L’article 4.12 du RGPD définit la «violation de données à caractère personnel » (data breach) comme étant « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». 68. En l’espèce, la Chambre Contentieuse constate que l’envoi au plaignant d’une fiche de sinistralité contenant des données relatives aux sinistres de Madame W. constitue une violation de donnée au sens de l’article 4.12 du RGPD précité. Plus particulièrement, il s’agit d’une « divulgation non autorisée de données à caractère personnel ». 69. La Chambre Contentieuse constate en effet que l’attestation de sinistre25 communiquée au plaignant contient les éléments d’information suivants : - le numéro de contrat d’assurance de l’assuré, la date d’échéance annuelle de celui-ci, la date de la prise d’offre de contrat ( garantie RC) et la date de fin du contrat ; - le numéro de la plaque d’immatriculation du véhicule assuré et la catégorie de véhicule ainsi que le type d’usage de celui-ci (usage privé, usage professionnel ou usage mixte) ; - la date des sinistres, les nom, prénom et date de naissance du conducteur ainsi que le montant des indemnités réellement payées et l’état de clôture du dossier (oui ou non). Un code conducteur est par ailleurs accolé à chaque sinistre qui permet de savoir si la responsabilité du conducteur est engagée, partagée, non engagée ou non encore déterminée. 70. La Chambre Contentieuse établit que ces éléments d’information constituent des données à caractère personnel au sens de l’article 4.1 du RGPD, qui définit la donnée à caractère personnel comme étant « toute information relative à une personne physique identifiée ou identifiable ». La Chambre Contentieuse précise qu’il ressort des écrits du plaignant et de la défenderesse que la fiche de sinistralité envoyée au plaignant contient à la fois des données personnelles relatives au plaignant ( nom, prénom, véhicule, plaque d’immatriculation) et des données relatives à Madame W. (nom, prénom et données relatives à ses sinistres). 71. Il n’est par ailleurs pas contesté que la défenderesse a par erreur transmis ces dernières données (soit les données personnelles d’une tierce personne) au plaignant alors qu’aux termes de son droit d’accès, ce dernier a le droit d’obtenir une copie des seules données personnelles qui le concernent. Les données personnelles relatives à Madame W. n’en sont pas. 72. Il y a donc bien eu divulgation non autorisée de données à caractère personnel par la défenderesse qui partant, s’est rendue coupable d’une violation de données au sens de l’article 4.12 du RGPD. 73. La Chambre Contentieuse rappelle ici qu’en application de l’article 32.5, toute violation de donnée survenue doit être documentée. Elle relève qu’en l’espèce, la défenderesse indique dans ses conclusions en réponse qu’elle a documenté cette violation. 74. Ainsi que le SI a pu le constater, cette violation de données est consécutive à la manière dont le système informatique opérait au moment des faits pour rechercher les sinistres d’un client. En l’occurrence, les critères de sélection des données de sinistre se basaient sur les 6 derniers numéros de la police de l’assuré (pour le cas présent XXXXXX) et non sur la totalité des 8 numéros du contrat de l’assuré (pour le cas présent YYXXXXXX). Pour cette raison, le détail des sinistres généré automatiquement a fait apparaître ceux du contrat YYXXXXXX (du plaignant) ainsi que ceux du contrat ZZXXXXXX de Madame W. 75. L’article 32.1 du RGPD prévoit que « compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) ». 76. La Chambre Contentieuse est d’avis que prévoir un critère de sélection à 6 chiffres alors que les numéros de police en comptaient davantage ne constituait pas une méthode de sélection suffisante pour éviter le risque d’erreur d’attribution d’un sinistre à un assuré étranger à celui-ci. Compte tenu de ce que l’identification des contrats comptait possiblement 8 chiffres, ce risque d’erreur apparait prévisible C’est d’autant plus le cas que la défenderesse a indiqué au SI que le système de génération des fiches de sinistres était automatique. La défenderesse n'a donc pas opté pour une mesure technique suffisante pour garantir une sécurité adéquate. 77. La Chambre Contentieuse ajoute qu’il ne semble par ailleurs y avoir eu aucune vérification de la fiche avant son envoi. L’application du principe des 4 yeux ou à tout le moins la vérification du document – qui plus est requis par la loi ( voy. infra) – aurait pu permettre de constater que les noms de deux assurés distincts figuraient sur le document. 78. Si la défenderesse indique qu’à la suite de l’envoi litigieux, les critères de sélection du programme informatique ont été rapidement corrigés, ce dès le 26 juin 2019, qu’une seule erreur due à la configuration du système est à déplorer et que la recherche s’effectue depuis la correction sur la nomenclature complète du numéro de la police du client (et non plus sur ses 6 derniers chiffres), la Chambre Contentieuse n’en conclut pas moins que la défenderesse s’est rendue coupable d’un manquement à l’article 32 du RGPD à l’époque des faits. 79. Eu égard à la remarque du SI relative au DPO, la Chambre Contentieuse rappelle à la défenderesse que conformément à l’article 38.1 du RGPD, le responsable du traitement doit veiller à ce que son DPO soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. Cette obligation implique que le DPO soit certes informé des plaintes déposées à l’encontre du responsable de traitement relatives à l’exercice des droits des personnes concernées comme il l’a été dans le cas d’espèce, mais également des incidents de sécurité touchant aux données à caractère personnel. Dans les Lignes directrices qu’il a consacrée au DPO26, le Groupe de l’Article 29 avait ainsi, et ce dès 2017, indiqué que le DPO devait être considéré comme un interlocuteur au sein de l’organisme et avait expressément ajouté que cela impliquait que « le DPO soit immédiatement consulté lorsqu’une violation de données ou un autre incident se produit »27. 80. S’agissant du reproche formulé par le plaignant quant à l’envoi non suffisamment sécurisé de ses données personnelles en réponse à sa demande d’accès, la Chambre Contentieuse rappelle qu’étant donné que la communication et la mise à disposition de données à caractère personnel à la personne concernée est une opération de traitement, le responsable du traitement (ici la défenderesse) est toujours tenu de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque du traitement [articles 5.1.f), 24 et 32 du RGPD). Cette obligation s’applique indépendamment de la forme sous laquelle l’accès est fourni. En cas de transmission non électronique des données à la personne concernée, en fonction des risques présentés par le traitement, le responsable du traitement peut envisager d’utiliser le courrier recommandé ou, à défaut, proposer à la personne concernée de collecter le dossier contre signature directement auprès de l’un de ses établissements, sans pour autant pouvoir l’obliger à le faire. 81. En l’espèce, la Chambre Contentieuse est d’avis qu’en adressant un courrier recommandé, la défenderesse a opté pour une communication suffisamment sécurisée. La Chambre Contentieuse ne constate aucun manquement à l’article 32 du RGPD dans le chef de la défenderesse quant à ce. La défenderesse ne peut par ailleurs être tenue responsable d’enveloppes qui arriveraient ouvertes. En revanche, il apparait à la Chambre Contentieuse que le responsable de traitement doit être en mesure de préciser à la personne concernée quel était le contenu de l’envoi qu’il a opéré. 82. Enfin, s’agissant du grief du plaignant tiré de l’absence de prise de précaution suffisante quant à la vérification de son identité dans le contexte de sa demande d’accès, la Chambre Contentieuse renvoie à ce qu’elle a exposé aux points 58-60 ci-dessus. La Chambre Contentieuse y précise que la fourniture de la carte d’identité par le demandeur n’est ni systématiquement nécessaire, ni appropriée, voire autorisée. En l’espèce, la Chambre Contentieuse est d’avis que la défenderesse pouvait conclure, compte tenu de la relation client qu’elle entretenait de longue date avec le plaignant, de la demande formulée par ce dernier au départ d’une adresse e-mail régulièrement utilisée et connue de la défenderesse ainsi que des éléments de fait invoqués par le plaignant ayant trait à sa situation spécifique, qu’il s’agissait bien du plaignant qui formulait la demande d’accès. Aucun manquement à l’obligation de sécurité (article 32 du RGPD) ne peut être reproché à la défenderesse de ce fait. II.4. Quant à la violation alléguée de l’article 33 du RGPD II.4.1. Le point de vue du SI 83. Le SI développe dans son rapport d’enquête que la notification d’une violation de données est la règle et le fait de ne pas notifier « lorsque la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques »28 l’exception. Le SI est d’avis qu’en l’espèce les conditions d’application de cette exception n’étaient pas réunies. A partir du moment où il est avéré que des données relatives à des sinistres automobiles d’assurés ont été divulguées fortuitement à d’autres assurés, le risque d’un préjudice tel qu’esquissé au considérant 85 du RGPD est réel. Le SI ajoute encore que la défenderesse ne peut raisonnablement soutenir que la violation de données n’était pas structurelle et seulement isolée dès lors qu’elle résultait de la manière dont le système de génération des attestations de sinistre était conçu. Le SI conclut à la violation de l’article 33 du RGPD par la défenderesse. II.4.2. Le point de vue des parties Le plaignant 84. Le plaignant ne conclut pas sur cette violation présumée de l’article 33 du RGPD. La défenderesse 85. La défenderesse estime avoir considéré à juste titre que la violation de données intervenue ne devait pas être notifiée à l’APD. 86. Elle indique avoir à cet égard conduit une évaluation de la sévérité de la violation de données selon la méthodologie préconisée par l’ENISA, cette évaluation ayant conclu à une gravité faible. 87. La défenderesse ajoute que son analyse a notamment permis d’établir l’ampleur maximale de l’incident, lequel était susceptible de se reproduire, avant la remédiation à laquelle elle a procédé, pour des recherches de sinistres effectuées relativement à 8 personnes concernées uniquement. La défenderesse précise qu’en l’espèce, il n’y a toutefois eu qu’une et unique divulgation erronée, celles de données relatives à Madame W. au plaignant. 88. La défenderesse ajoute que s’agissant de cette unique victime, un nombre de données personnelles limité (nom, prénom, date de naissance, date de sinistre survenu et montant payé par l’assureur) et non sensibles a été divulgué à une seule personne tierce, le plaignant. II.4.3. Appréciation de la Chambre Contentieuse 89. L’article 33 du RGPD énonce que « en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard »29. 90. Cette notification à l’autorité de protection des données est motivée par les risques susceptibles de sa matérialiser à la suite de la violation de données tels que notamment identifiés au considérant 85 du RGPD30 et a pour but de limiter ceux-ci. 91. L’application de l’article 33 du RGPD présuppose donc une « violation de données » dont la Chambre Contentieuse a conclu à l’existence en l’espèce au point 72 ci-dessus. 92. A moins que « la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques », la notification de ladite violation à l’autorité de contrôle compétente est obligatoire. Pour pouvoir le cas échéant s’appuyer sur cette dispense, le responsable de traitement doit : (1) procéder à l’évaluation des risques que peut entraîner la violation au moment où il prend connaissance de celle -ci et (2) conclure à une absence de risque endéans, au maximum, le délai de 72 heures pour procéder à la notification à l’autorité de contrôle. 93. Au cours de son évaluation des risques, le responsable de traitement devra identifier le type de violation (confidentialité, intégrité, disponibilité), la source de l’incident (si la violation résulte d’une erreur humaine ou est systémique par exemple) et tenir compte de la nature des données (les données sont-elles « publiques » ou ont-elles été rendues publiques par exemple), de leur sensibilité (au sens des articles 9 et 10 du RGPD mais également au sens des Lignes directrices du CEPD relatives à l’analyse d’impact en matière de protection des données qui qualifient certaines données de « hautement personnelles »31), du volume et du contexte des données à caractère personnel concernées par la violation. La nature et le rôle du responsable du traitement ainsi que de ses activités peuvent également influer sur le niveau de risque qu’engendre une violation de données pour les personnes concernées. 94. En l’espèce, la Chambre Contentieuse souscrit à l’analyse du SI qui considère que la défenderesse ne pouvait pas considérer que la violation ne serait pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. 95. S’il ressort des conclusions de la défenderesse et des écrits du plaignant que certaines données de cette attestation de sinistre sont en réalité relatives au plaignant et d’autres relatives à Madame W. (voy. supra), cette distinction ne peut être faite que par le plaignant et la défenderesse. A la lecture de l’attestation, un tiers pourrait conclure que les sinistres et responsabilités qui y sont associées sont en réalité ceux du plaignant et que c’est la mention de Madame W. qui est erronée ou au contraire considérer que les données d’identification sont en réalité celles de Madame W. et non celles du plaignant qui ne serait que destinataire de la fiche sans qu’aucune donnée le concernant n’y figure alors que ce n’est pas le cas. 96. La Chambre Contentieuse relève encore que si l’attestation de sinistre ne contient pas de catégories particulières de données au sens de l’article 9.1 du RGPD, elle n’en contient pas moins des informations qui ne sont pas accessibles au public ou à des tiers, qui interviennent dans un contexte d’assurance et révèlent une mise en cause de la responsabilité d’un conducteur. Elles sont par ailleurs communiquées au travers d’un document requis par la loi (le degré d’exactitude des données n’en est que plus important) qui doit permettre à l’assuré (en principe la personne concernée par les données qui y figurent) de souscrire un contrat d’assurance auprès d’un nouvel assureur et d’informer ce dernier de l’historique des sinistres impliquant son véhicule et qui auront une potentielle incidence financière pour celui-ci. Cet historique sera en effet pris en compte dans l’évaluation du risque et du calcul de la prime d’assurance par le nouvel assureur. Un historique de sinistres trop important peut aller jusqu’à entrainer un refus d’assurance. Un historique incomplet ou erroné entraînera donc des conséquences sur l’assurance souscrite et la prime demandée. 97. Bien qu’aucune catégorie particulière de données au sens des articles 9 ou 10 du RGPD n’ait été affectée, les données consultées contiennent un certain nombre d’informations, notamment de contact sur les personnes physique et ces données, pourraient être utilisées de diverses manières (ciblage par marketing non sollicité, usurpation d’identité, etc.). 98. S’agissant plus particulièrement du plaignant en l’espèce, la lecture de cette attestation par le tiers auquel elle est destinée (soit une nouvelle compagnie d’assurance) pourrait ainsi conduire à des conséquences, voire un préjudice financier, si ses données d’identité devaient être associées aux sinistres et responsabilités de Madame W. Selon la Chambre Contentieuse, ces données relatives aux sinistres et à la responsabilité de ceux-ci peuvent être qualifiées de « hautement personnelles »32. 99. Quant à Madame W., des données relatives à ses sinistres, à sa responsabilité et à l’intervention de la défenderesse ont en toute hypothèse indûment été communiquées au plaignant. Ainsi qu’il a été mentionné, ces données revêtent une sensibilité particulière. Pour la Chambre Contentieuse, le contexte rappelé ci-dessus dans lequel ces données sont traitées suffit à conclure que la défenderesse ne pouvait considérer qu’il n’y avait aucun risque pour Madame W. 100. Il importe peu au regard des risques identifiés, que la violation de données ne concerne, à suivre la thèse de la défenderesse (quod non) qu’une unique personne. La Chambre Contentieuse a exposé ci-dessus que le plaignant pouvait également se révéler victime de cette violation de données. Par ailleurs, le rapport du SI ayant identifié que la source de l’incident était due au système, la défenderesse ne pouvait considérer l’incident comme nécessairement isolé. 101. La Chambre Contentieuse ajoute, ainsi qu’elle l’a mentionné, que pour pouvoir conclure qu’il n’existait aucun risque pour les droits et libertés des personnes concernées et décider qu’elle n’était pas dans l’obligation de notifier la violation de données à l’APD, la défenderesse devait parvenir à ces conclusion et décision dans le délai de 72 heures visé à l’article 33 du RGPD et être en mesure de le démontrer. A cet effet, La Chambre Contentieuse préconise que ce type d’analyse soit toujours datée. En l’espèce, l’analyse dont se prévaut la défenderesse n’est, si ce devait être cette analyse qui a abouti à la décision de ne pas notifier la violation à l’APD, pas datée. La Chambre Contentieuse n’en prend pas moins en compte le fait que la défenderesse rapporte avoir modifié son système dès le 26 juin 2019 alors que la génération de la fiche date du 18 juin 2019, prenant ainsi les mesures de nature à supprimer le risque qu’elle a nécessaire du avoir identifié de manière très rapide. La Chambre Contentieuse en tiendra compte dans l’appréciation de la sanction qu’elle imposera à la défenderesse. 102. En conclusion et à l’aune de ce qui précède, la Chambre Contentieuse conclut que la défenderesse ne pouvait pas considérer que la violation n’était pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.33 103. Partant, la Chambre Contentieuse décide que la défenderesse s’est rendue coupable d’un manquement à l‘article 33 du RGPD. 104. Quant à la réaction de la défenderesse à l’égard du plaignant à la suite de la prise de connaissance de l’incident, la Chambre Contentieuse rappelle 34 que si un courrier/courriel est envoyé à un destinataire incorrect non autorisé (comme au plaignant en l’espèce), il est recommandé au responsable de traitement (soit la défenderesse en l’espèce) d’envoyer un courrier/courriel demandant au destinataire erroné de détruire/effacer le courrier/courriel en cause ainsi que de l’informer qu’il n’a pas le droit d’utiliser les données d’autrui communiquées par erreur. Comme le souligne le CEPD dans ses Lignes directrices 01/2021, alors que de nombreux destinataires jetteront probablement la lettre indûment reçue à la poubelle, dans certains cas, il n’est pas totalement exclu que la lettre soit postée sur les réseaux sociaux ou que le preneur d’assurance soit contacté. Une confirmation écrite de cette suppression / destruction devrait également être demandée, voire en fonction de la sensibilité du document communiqué, la restitution du document (a fortiori s’il s’agit d’un original par exemple) aux frais du responsable de traitement 35. La confirmation qu’aucune copie n’a été effectuée devrait également être demandée. III. Mesures correctrices et sanctions 105. Aux termes de l’article 100.1 de la LCA, la Chambre Contentieuse a le pouvoir de : 1° classer la plainte sans suite ; 2° ordonner le non-lieu ; 3° prononcer une suspension du prononcé ; 4° proposer une transaction ; 5° formuler des avertissements ou des réprimandes ; 6° ordonner de se conformer aux demandes de la personne concernée d'exercer ses droits; 7° ordonner que l'intéressé soit informé du problème de sécurité ; 8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement ; 9° ordonner une mise en conformité du traitement ; 10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données ; 11° ordonner le retrait de l'agréation des organismes de certification ; 12° donner des astreintes ; 13° donner des amendes administratives ; 14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international ; 15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier ; 16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données 106. A l’appui des constats qui précèdent, la Chambre Contentieuse décide, conformément à l’article 100.1, 5° de la LCA, d’adresser à la défenderesse une réprimande pour le manquement aux articles 12.3 et 15 du RGPD d’une part ainsi qu’une réprimande pour la violation des articles 32 et 33 du RGPD d’autre part, chacune de ces réprimandes sanctionnant un comportement distinct. 107. La Chambre Contentieuse est d’avis que dans chacun des cas, cette sanction est celle qui, eu égard à l’ensemble des circonstances du cas d’espèce et conformément aux exigences de l’article 84 du RGPD, est adaptée au regard des manquements constatés. 108. S’agissant de l’absence de réponse en temps utile à la demande d’accès du plaignant (violation des articles 12.3 et 15 du RGPD – titre II.2), la Chambre Contentieuse retient, nonobstant la gravité que constitue une absence de réponse dans le délai à une demande d’accès, droit pilier du RGPD, un certain nombre de circonstances spécifiques à ce dossier qui l’amènent à considérer que non l’amende mais bien la réprimande constitue la sanction appropriée au cas d’espèce. 109. Ainsi, si la Chambre Contentieuse n’a pas retenu les arguments invoqués par la défenderesse à l’appui desquels elle considérait - une fois devant la Chambre Contentieuse - qu’il n’y avait pas eu demande d’exercice des droits adressée en bonne et due forme, la Chambre Contentieuse n’en relève pas moins que certes, la demande était quelque peu noyée dans un long mail adressé une multitude de destinataires ce qui a pu ne pas faciliter son identification. La Chambre Contentieuse relève surtout que dès la réception du rappel du 21 janvier 2020, la défenderesse s’est acquittée de sa réponse à l’exercice du droit d’accès du plaignant, ce avant tout dépôt de plainte à l’APD 36. 110. La circonstance qu’il a donc été remédié au manquement entre en compte dans le choix de la réprimande qu’opère ici la Chambre Contentieuse, de même que la période à laquelle les faits se sont déroulés, soit en 2019, peu de temps après l’entrée en application du RGPD ( ce même si la directive 95/46/CE et la Loi du 8 décembre 1992 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel consacraient déjà ce droit). La Chambre Contentieuse tient également compte de l’engagement pris par la défenderesse à l’époque de veiller à la formation de son personnel à l’identification de demandes d’exercice des droits tirés du RGPD. 111. S’agissant de l’envoi de la fiche de sinistre contenant des données d’une tierce assurée au plaignant (article 32 du RGPD – titre II.3) et de l’absence de notification de cette violation de données à l’APD (article 33 du RGPD - titre II.4), la Chambre Contentieuse fait également le choix de sanctionner ces manquements passés par la réprimande et non par une amende s’agissant d’un manquement non contesté et auquel il a rapidement été remédié en ce qui concerne la violation de l’article 32 du RGPD et d’un manquement auquel il ne peut plus être remédié en ce qui concerne l’article 33 du RGPD. La Chambre Contentieuse tient également compte de la période des faits dans son choix et de l’absence à l’époque de ceux-ci du recul qui existe à la date de la présente décision sur l’obligation nouvelle de notification des violations de données à l’APD. 112. S’agissant des manquements tirés de la suppression des données de la base de données CarAttest et des e-mails de marketing (points 13, 17 et 26 ci-dessus), la Chambre Contentieuse décide de les classer sans suite. 113. En matière de classement sans suite, la Chambre Contentieuse est tenue de motiver sa décision par étape37 et de : - prononcer un classement sans suite technique si le dossier ne contient pas ou pas suffisamment d’éléments susceptibles d’aboutir à une sanction ou s’il comporte un obstacle technique l’empêchant de rendre une décision ; - ou prononcer un classement sans suite d’opportunité, si malgré la présence d’éléments susceptibles d’aboutir à une sanction, la poursuite de l’examen du dossier ne lui semble pas opportune compte tenu des priorités de l’Autorité de protection des données (APD) telles que spécifiées et illustrées dans sa Politique de classement sans suite 38. 114. Enfin, s’agissant des cas de classement sans suite fondé sur plusieurs motifs, ces derniers (respectivement, le/les motif(s) de classement sans suite technique et le/les motifs de classement sans suite d’opportunité) doivent être traités par ordre d’importance 39. 115. En l’espèce, à défaut d’investigation plus avancée et de constats du SI à leur égard et compte tenu de ce que la Chambre Contentieuse ne dispose pas davantage d’éléments permettant de conclure que la défenderesse s’est rendue coupable d’une violation du RGPD quant à ce, la Chambre Contentieuse classe ces griefs sans suite pour motif technique. IV. Publication de la décision 116. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l’Autorité de protection des données (APD). Toutefois, il n’est pas nécessaire à cette fin que les données d’identification des parties soient directement mentionnées. PAR CES MOTIFS, la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération : - En vertu de l’article 100.1.5° de la LCA, d’adresser une réprimande à la défenderesse pour le manquement constaté aux articles 12.3 et 15 du RGPD ; - En vertu de l’article 100.1.5° de la LCA, d’adresser une réprimande à la défenderesse pour le manquement constaté aux articles 32 et 33 du RGPD ; - En vertu de l’article 100.1.1° de la LCA, de classer la plainte sans suite pour le surplus Conformément à l'article 108, § 1 de la LCA, un recours contre cette décision peut être introduit, dans un délai de trente jours à compter de sa notification, auprès de la Cour des Marchés (cour d'appel de Bruxelles), avec l'Autorité de protection des données (APD) comme partie défenderesse. Un tel recours peut être introduit au moyen d'une requête contradictoire qui doit contenir les informations énumérées à l'article 1034ter du Code judiciaire (C.jud.)40. La requête interlocutoire doit être déposée au greffe de la Cour des Marchés conformément à l'article 1034quinquies du C.jud.41, ou via le système d'information e-Deposit du Ministère de la Justice (article 32ter du C.jud.). (sé) Hielke HUMAN Président de la Chambre Contentieuse Document PDF ECLI:BE:GBAPD:2025:DEC.20250306.1 Publication(s) liée(s) suivi par: ECLI:BE:GBAPD:2025:AVIS.20250613.2 ECLI:BE:GBAPD:2025:AVIS.20250613.3