ECLI:BE:GBAPD:2025:DEC.20250127.1
Détails de la décision
🏛️ Autorité de protection des données
📅 2025-01-27
🌐 FR
Décision
Matière
burgerlijk_recht
Législation citée
Loi du 3 décembre 2017; Loi du 30 juillet 2018
Résumé
La Chambre Contentieuse de l'Autorité de protection des données décide, après délibération, - d'adresser à la défenderesse un avertissement tel que formulé au point 101 de la présente décision en exécution des articles 58.2.a) du RGPD et de l'article 100.1.5° de la LCA ; - de classer la plainte s...
Texte intégral
Chambre Contentieuse
Décision quant au fond 17/2025 du 27 janvier 2025
Numéro de dossier : DOS-2018-04762
Objet : Plainte relative à l’utilisation du service « Auvio » de la RTBF
La Chambre Contentieuse de l'Autorité de protection des données, constituée de monsieur Hielke HIJMANS, président, et de messieurs Dirk Van Der Kelen en Christophe Boeraeve, membres, reprenant l’affaire en cette composition;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après « RGPD » ;
Vu la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après « LCA ») ;
Vu la Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD ») ;
Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 20191 ;
Vu les pièces du dossier ;
Vu la décision 170/2022 du 22 novembre 2022 de la Chambre Contentieuse ;
A pris la décision suivante concernant :
Le plaignant : X, Ci-après "le plaignant" ;
La défenderesse : La Radio Télévision Belge de la Communauté française (RTBF), entreprise publique autonome à caractère culturel,
Ayant pour conseil Maître Peter Craddock, avocat, dont le cabinet est établi Avenue Louise, 54 à 1050 Bruxelles.
Ci-après « la RTBF » ou « la défenderesse ».
I. Faits et procédure
1. Le 18 juin 2018, le plaignant a introduit une plainte auprès de l’Autorité de protection des données (APD) contre la défenderesse.
2. Aux termes de sa plainte, le plaignant dénonce le fait que le service en direct de la défenderesse (web streaming – Auvio) est accessible sur le territoire belge uniquement si les visiteurs fournissent leurs données personnelles (adresse e-mail/login par leurs comptes Facebook ou Google). Il pointe par ailleurs que le processus de connexion au service en direct ne fonctionne pas si l’utilisateur désactive les cookies et les trackers des sociétés tierces utilisés par le site de la défenderesse.
3. Le 15 octobre 2018, la plainte est déclarée recevable sur la base des articles 58 et 60 de la LCA et transmise à la Chambre Contentieuse en vertu de l'article 62, § 1 er de la LCA. Le plaignant en est informé à cette même date.
4. Le 23 octobre 2018, la Chambre Contentieuse décide de demander une enquête au Service d'Inspection (SI) en vertu des articles 63, 2° et 94, 1° de la LCA.
5. Le 29 octobre 2018, conformément à l’article 96, § 1er de LCA, la demande de la Chambre Contentieuse de procéder à une enquête est transmise au SI. Le plaignant en est informé à cette même date.
6. Le 28 janvier 2020, l’enquête du SI est clôturée, le rapport est joint au dossier et celui-ci est transmis par l’inspecteur général au Président de la Chambre Contentieuse (art. 91, § 1er et § 2 de la LCA). Le rapport d’enquête s’appuie sur deux rapports d’analyses techniques respectivement des 1er juillet 2019 et 9 janvier 2020.
7. Aux termes de son rapport, le SI fait les constats suivants :
- Quant au fondement juridique sous-tendant le traitement de données d’inscription d’une part et des données liées à la personnalisation (profilage) d’autre part (constatation 1) :
Le SI est d’avis que la défenderesse ne peut s’appuyer sur son intérêt légitime qu’elle invoque à l’appui du traitement de données d’inscription (article 6.1.f) du RGPD).
S’agissant du consentement invoqué en sus en ce qui concerne la licéité des traitements de données liées à la personnalisation, le SI rappelle que le responsable de traitement doit avoir identifié une base de licéité préalablement au traitement des données (en l’espèce la collecte) et ne peut passer d’une base à l’autre2.
- Quant à la légitimité du traitement de données à caractère personnel à des fins de profilage publicitaire et la possibilité d’opposition (constatations 2, 3 et 4) : le SI relève que si le contrat de gestion de la défenderesse lui permet de faire usage d’algorithmes de recommandation de contenu 3, la définition de ce terme n’inclut pas la publicité. Le SI en conclut que la légitimité de la finalité de profilage publicitaire du traitement dans le chef de la défenderesse (et partant le respect de l’article 5.1.b) du RGPD) peut être mise en doute. Dès lors qu’au moment de son inscription, l’utilisateur ne peut refuser le profilage publicitaire et que la plateforme ne semble pas permettre une opposition facile à celui-ci après inscription, le SI conclut que les stipulations des articles 12.2., 21 et 25 du RGPD ne semblent pas être rencontrées. Enfin, le SI constate que la mise à jour des finalités dans le formulaire d’inscription en y incluant la finalité de profilage publicitaire n’a, à la date du 9 janvier 2020, pas été réalisée alors même que la défenderesse s’y était engagée. Le SI conclut que cela apparait incompatible avec les prescrits des articles 12.1, 13 et 14 du RGPD.
- Quant à l’utilisation de données de réseaux sociaux à des fins de connexion/inscription (constatations 5 et 6) : le SI conclut que la différence entre le mécanisme de connexion et d’inscription à la plateforme via les réseaux sociaux (Facebook, Google) manque de clarté et d’explications en contrariété avec les articles 12.1, 13 et 14 du RGPD. Le SI ajoute que le mécanisme utilisé à couvert de la connexion via un compte Facebook est en fait la création d’un compte RTBF avec la fourniture de données Facebook de l’utilisateur, sans que ce dernier n’en soit informé. Le SI conclut que ce procédé est en contradiction avec les articles 5.1.a), 5.1.b) et 5.1.c) ainsi qu’avec les articles 12.1, 13 et 14 du RGPD.
8. Le 17 mars 2020, la Chambre Contentieuse décide, en vertu de l’article 95, § 1 er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond.
9. A cette même date, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions, soit les 14 avril (conclusions en réponse) et 14 mai 2020 (conclusions en réplique) pour la défenderesse et le 29 avril 2020 (conclusions en réplique) pour le plaignant.
10. Le 19 mars 2020, la défenderesse demande une copie du dossier (art. 95, §2, 3° LCA), laquelle lui est transmise le 25 mars 2020. Elle manifeste par ailleurs le souhait d’être entendue par la Chambre Contentieuse conformément à l’article 51 du Règlement d’ordre intérieur de l’APD.
11. Le 14 avril 2020 la Chambre Contentieuse reçoit les conclusions en réponse de la défenderesse. Le 14 mai 2020, elle reçoit les conclusions de synthèse de cette dernière.
Son argumentation peut être synthétisée comme suit, les détails de sa défense étant discutés dans la motivation de la présente décision (voy. infra).
- La première partie des conclusions de la défenderesse tend à démontrer que les constatations de l’enquête du SI doivent être écartées dès lors que l’établissement de son rapport et des rapports d’analyses techniques sur lesquelles il s’appuie n’a pas été fait dans le respect des principes de bonne administration.
- Quant au fond, la défenderesse conteste qu’il y ait un quelconque manquement au RGPD dans son chef.
12. Le 28 avril 2020, la Chambre Contentieuse reçoit les conclusions en réponse du plaignant.
De manière générale, le plaignant dénonce l’attitude de la défenderesse et insiste notamment sur la pratique des cookies, le défaut de transparence et la question de la pertinence de la collecte de données personnelles comme étape obligatoire pour accéder à du contenu en ligne.
13. Le 22 novembre 2022, la Chambre Contentieuse adopte la décision 170/2022 aux termes de laquelle elle classe sans suite la plainte en vertu de l'article 100.1.1°de la LCA en ce qui concerne les griefs couverts par la décision 168/2022 de transaction de la Chambre Contentieuse.
14. Cette décision 168/2022 de transaction s’adressait à la défenderesse de la présente décision, soit à la RTBF. Elle était consécutive à une enquête d’initiative menée par le SI sur une série de griefs communs à la plainte dont il est ici question.
15. L’objet de cette transaction portait, sur « les infractions potentielles au RGPD, en ce qui concerne les cookies et, plus généralement, le stockage et le consentement au placement et au traitement ultérieur d'informations sur l'appareil de l'utilisateur en tant que personne concernée ». La transaction couvre ainsi le grief « cookies » dans son ensemble soulevé par le plaignant aux termes de sa plainte (second volet) ainsi que les constats 1 (uniquement pour le profilage publicitaire), 2, 3 et 4 du rapport d’enquête du SI.
16. Dans les limites de cette décision 168/2022, la Chambre Contentieuse avait ainsi épuisé sa saisine quant aux faits dénoncés par le plaignant et quant aux griefs « cookies » y correspondants. Aux termes de sa décision 170/2022 précitée, la Chambre Contentieuse a dès lors classé sans suite la plainte du plaignant eu égard à ces griefs pour motif technique ce, dans les mêmes limites matérielle et temporelle.
17. Pour la période du 20 novembre 2020 (échéance temporelle de la transaction – laquelle est par ailleurs postérieure à la date de clôture de l’enquête du SI au 28 janvier 2020 dans le présent dossier) à ce jour, la Chambre Contentieuse ne disposant pas de constatations étayant lesdits griefs invoqués par le plaignant, elle n’a donc pas été mesure de constater un quelconque manquement dans le chef de la défenderesse et a classé la plainte sans suite quant à ce pour motif technique également à l’appui du critère A.1. de sa note de politique de classement sans suite.
18. Dans cette même décision 170/2022, la Chambre Contentieuse précise qu’en ce qui concerne en revanche les traitements de données dans le cadre de la connexion et de l’inscription à la plateforme Auvio (constatations 1 (en ce qui concerne l’inscription) et constatations 5 et 6 du rapport d’inspection), elle poursuivra la procédure par un examen au fond (point 28 de la décision) :
« S’agissant des griefs liés aux traitements de données dans le cadre de la connexion et de l’inscription à la plateforme Auvio (premier volet de la plainte du plaignant et constatations 1 (en ce qui concerne l’inscription), 5 et 6 du rapport d’inspection), la Chambre Contentieuse décide d’en poursuivre l’examen, ces griefs n’étant pas couverts par sa décision de transaction 168/2022. La défenderesse ayant demandé à être entendue dans le cadre de ce dossier, la Chambre Contentieuse fixera en temps utile une audition en présence des parties ».
19. Le 30 novembre 2022, les parties sont informées du fait que l'audition aura lieu le 27 janvier 2023. Aux termes de son courrier d’invitation à l’audition, la Chambre Contentieuse indique que compte tenu de sa décision 170/2002 intervenue au regard d’une partie des griefs soulevés dans la plainte (voy. ci-dessus), l’audition ne portera que sur les griefs non couverts par cette décision 170/2022 ainsi qu’il a été mentionné par la Chambre Contentieuse au point 28 de celle-ci.
20. La Chambre Contentieuse y demande par ailleurs à la défenderesse, compte tenu du laps de temps écoulé depuis les faits et depuis les constats du SI ainsi que compte tenu des modifications apportées par la défenderesse sur son site Internet au cours de la procédure, de bien vouloir actualiser les informations fournies à la Chambre Contentieuse : (a) quant au processus de connexion / création de compte-inscription au système Auvio, notamment via les réseaux sociaux d’une part et (b) quant à l’information donnée aux utilisateurs à ce jour quant à ce d’autre part. Il est demandé à la défenderesse de communiquer ces informations factuelles à la Chambre Contentieuse et au plaignant pour le 4 janvier 2023 au plus tard. La Chambre Contentieuse ajoute que s’il le souhaite, le plaignant pourra réagir à ces actualisations jusqu’au 13 janvier 2023. La défenderesse disposera in fine et le cas échéant d’un dernier droit de réplique jusqu’au 24 janvier 2023.
21. Le 4 janvier 2023, la défenderesse informe la Chambre Contentieuse que dans la mesure où
la fonctionnalité d’inscription par connexion à un compte Facebook ou Google n’a pas changé, mais que l’interface a évolué (tant du côté de la RTBF que du côté de Facebook/Meta d’une part et Google d’autre part), elle lui transmet un document contenant des mises à jour principalement sous la forme de nouvelles captures d’écran. Elle précise que ce document doit être lu en combinaison avec ses conclusions de synthèse du 14 mai 2020.
22. Le 27 janvier 2023, la défenderesse seule est entendue par la Chambre Contentieuse, le plaignant ayant indiqué à la Chambre Contentieuse qu’il ne participerait pas à l’audition.
23. Le 31 janvier 2023, le procès-verbal de l’audition est communiqué aux parties.
24. Le 14 février 2023, la Chambre Contentieuse reçoit de la défenderesse quelques remarques relatives à ce procès-verbal dont elle tient compte dans sa délibération.
II. Motivation
II.1. Quant à la licéité du traitement des données collectées lors de la phase d’inscription
II.1.1. Le point de vue du SI
25. Ainsi qu’il a été mentionné ci-dessus, le SI est d’avis que la défenderesse ne peut s’appuyer sur l’intérêt légitime qui serait le sien et qu’elle a invoqué en cours d’enquête dans son courrier du 11 juillet 2019 en réponse aux interrogations du SI quant à la licéité du traitement des données d’inscription notamment que le SI identifie comme étant un nom, un prénom, un mot de passe et une adresse mail valide. Le SI n’excluant pas que la défenderesse puisse être qualifiée d’autorité publique au sens de l’article 5 de la LTD, il questionne l’applicabilité de l’article 6.1. f) du RGPD4 et pointe en toute hypothèse que la défenderesse n’a pas démontré au SI qu’elle a opéré la balance des intérêts requise par l’article 6.1.f) du RGPD.
26. Le SI considère que la défenderesse n’est pas plus fondée à s ’appuyer sur son intérêt légitime et/ou sur le consentement des utilisateurs pour ce qui est du traitement de données collectées dans la phase d’inscription à des fins de personnalisation. La base de licéité doit être identifiée préalablement au traitement et le responsable de traitement ne peut passer de l’une à l’autre.
II.1.2. Le point de vue des parties
Le plaignant
27. Le plaignant met en cause l’impossibilité de regarder en direct un programme sur Auvio (en l’espèce un match de football des Diables Rouges) sans devoir communiquer à la défenderesse certaines données personnelles (la création d’un compte avec communication de certaines données étant obligatoire). Il indique qu’il ne peut adhérer à la manière dont la défenderesse a conçu le service Auvio - dont la valeur ajoutée serait celle d’un service personnalisé : voy. infra - estimant « qu’il devrait pouvoir aller en ligne sur le site de la défenderesse et suivre en direct le programme de son choix sans communication de données » (page 2 des conclusions du plaignant). En conséquence, le plaignant est d’avis que « la RTBF n’a rien fait pour limiter le traitement des données personnelles uniquement aux cas essentiels, nécessaires à la prestation de services et avec le consentement libre et clair de la personne concernée » (page 1 des conclusions du plaignant du 28 avril 2020).
28. Le plaignant dénonce également qu’en demandant à pouvoir entrer en dialogue avec les services de l’APD dans le courant de l’enquête, la défenderesse a procédé à « des tentatives répétées de fausser l’enquête de la Chambre (lisez du SI) », notamment en « sollicitant un accès privilégié aux membres de la Chambre » (lisez aux membres du SI) (page 2 des conclusions du plaignant).5
La défenderesse
29. Dans ses « Conclusions » et « Conclusions de synthèse », la défenderesse défend à titre principal que les rapports du SI sont inadmissibles et doivent être écartés pour violation du principe général de bonne administration auquel l’APD (et ses organes) est tenue en sa qualité d’autorité administrative. Plus particulièrement la défenderesse est d’avis que le principe d’impartialité (article 41 de la Charte des droits fondamentaux de l’Union 6) n’a pas été respecté compte tenu de ce que l’enquête a été menée bien plus « à charge » que « à décharge » ce, au vu notamment des tournures de phrases dans les rapports, du vocabulaire choisi ou encore de la ponctuation utilisée dans ceux-ci (points d’exclamation intempestifs notamment). Par répercussion, ces rapports soutiennent selon la défenderesse une apparence de partialité dans le chef de la Chambre Contentieuse.
30. La défenderesse ajoute que le devoir de minutie et le principe de motivation interne (article 41.2, 3ème tiret de la Charte des droits fondamentaux de l’Union) sont également bafoués, le rapport final contenant des erreurs de droit, tout particulièrement au regard de l’interprétation du Règlement (UE) 2017/1128 « Portabilité » du 14 juin 2017 relatif à la portabilité transfrontière des services de contenu en ligne du marché intérieur 7.
31. La défenderesse ajoute encore que le SI n’ayant pas respecté la LCA, en particulier son article 66 § 1er8, la procédure d’enquête entière s’en trouve entachée. Plus particulièrement, la défenderesse reproche au SI d’avoir refusé de donner suite à sa demande de rencontre du 17 juin 2019, demande qu’elle formulait pour s’expliquer dans un but de coopération active dans le cadre des pouvoirs d’audition du SI.
32. A titre subsidiaire, la défenderesse défend que les allégations de fond du SI sont non fondées.
33. Quant au fondement juridique du traitement des données d’inscription (constatation 1 du SI), la défenderesse expose que cette question ne peut être examinée sans tenir compte du contexte dans lequel elle lui été posée par le SI et du délai dans lequel il a été exigé qu’elle y réponde. La défenderesse souligne ainsi qu’elle a bénéficié de (trop) peu de temps pour répondre à la dizaine de questions qui lui étaient posées, en pleine période de vacances d’été, sous la menace d’un constat d’absence de coopération en violation de l’article 31 du RGPD et en essuyant un refus de rencontrer le SI (article 66 de la LCA – voy. supra). Le délai mis par le SI à répondre, après rappel de la défenderesse du 21 juin 2019 par ailleurs, à cette demande de rencontre a par ailleurs été comptabilisé dans le délai déjà bref qui lui avait été accordé pour transmettre ses réponses, le SI ayant refusé toute prolongation de délai. La défenderesse souligne que c’est dans ce contexte qu’une erreur malheureuse en ce qui concerne le fondement juridique s’est glissée dans son courrier de réponse du 11 juillet 2019.
34. Cette erreur est cependant sans conséquence selon la défenderesse puisqu’elle agit dans le respect du RGPD.
35. La défenderesse développe ainsi que nonobstant la mention de l’article 6.1. f) du RGPD, son courrier du 11 juillet 2019 n’en contient pas moins toutes les indications factuelles attestant que le véritable fondement juridique du traitement des données d’inscription est le contrat passé avec l’utilisateur (article 6.1. b) du RGPD). Elle souligne qu’à cet égard, la Chambre Contentieuse ne saurait s’arrêter à la formulation de l’intérêt légitime (article 6.1. f) du RGPD) reprise dans ledit courrier du 11 juillet 2019 dès lors qu’il lui appartient de vérifier les faits au regard du droit, indépendamment de cette erreur manifeste de la défenderesse.
36. La défenderesse explicite que selon ses Conditions générales d’utilisation (CGU), l’utilisateur peut « accéder à nos [lisez ses] services soit librement soit moyennant une inscription préalable notamment via un formulaire mentionnant les données nécessaires à compléter pour permettre une utilisation optimale » (article B.1. CGU)
37. La défenderesse décrit que le service Auvio n’est pas un simple service de contenu : il s’agit d’un service personnalisé comme en atteste les informations fournies à ce sujet dans la fenêtre d’inscription sur le site ainsi que dans les premiers éléments de sa Charte d’utilisation des données aux termes de laquelle il est précisé ce qui suit : « Nous vous proposons de nouveaux contenus pour être au plus près de vos goûts » et « Votre expérience est enrichie ;
une utilisation de vos informations uniquement pour servir vos intérêts » ou encore que la défenderesse « cherche en premier lieu à vous apporter une valeur ajoutée, tant au niveau du contenu que de la forme sous laquelle il est délivré. Cette valeur ajoutée peut par exemple prendre la forme de recommandations personnalisées ou de services visant à améliorer l’accessibilité de nos contenus ».
38. La défenderesse précise que lors de la création de son compte (par l’intermédiaire du recours ou non à un connecteur de réseau social tel Facebook ou Google), il est rendu manifeste au souscripteur qu’il doit accepter les CGU de la défenderesse avant de pouvoir bénéficier du service. L’inscription crée ainsi une relation contractuelle entre l’utilisateur et la défenderesse.
39. En réponse au plaignant qui estime qu’il devrait librement pouvoir suivre les programmes de la défenderesse en direct sur Auvio sans aucune communication de données à caractère personnel le concernant (soit sans souscription) ainsi qu’à la question du SI sur ce même sujet, la défenderesse a, tant le 15 avril 2019 en réponse au SI que par voie de conclusions, répondu « qu’il n’est actuellement pas permis d’avoir accès au service de diffusion en direct sur le site Auvio sans fournir de données d’inscription afin d’assurer une saine gestion centralisée et sécurisée des services offerts par la RTBF sur ses différentes plateformes internet et mobiles et ce, en conformité avec l’article 43 du contrat de gestion de la RTBF qui ne lui impose une obligation de service universel qu’en diffusion par voie hertzienne en radio et en TV ou par le biais de la distribution par câbles en TV ».
40. Quant aux données traitées lors de la phase d’inscription, la défenderesse expose9 que ce qui est « nécessaire à l’exécution du contrat » au sens de l’article 6.1.b) du RGPD n’englobe pas uniquement les données dont la fourniture est obligatoire. La délivrance du service peut être différente selon que toutes les données qu’il est proposé au souscripteur de fournir sont effectivement fournies ou non. En d’autres termes, le contrat Auvio a plusieurs fonctionnalités dont la délivrance dépend de la fourniture ou non des données personnelles optionnelles. Il n’en demeure pas moins que ces données sont, selon la défenderesse, toutes nécessaires à l’exécution du contrat au sens de l’article 6.1.b) du RGPD.
- Ainsi, les nom et prénom sont traités à des fins de fourniture de recommandations personnalisées mais également à des fins de sécurité, plus particulièrement de lutte anti-fraude.
- L’adresse e-mail est traitée à des fins d’authentification pour clôturer la procédure d’inscription. Soit l’adresse e-mail introduite est déjà connue de la défenderesse ce qui atteste d’un compte existant ; soit l’adresse n’est pas connue de la défenderesse qui envoie à ladite adresse e-mail fournie par le candidat souscripteur un e-mail contenant un lien hypertexte à activer pour finaliser l’inscription.
- La date de naissance (introduite en cours de procédure) est traitée consécutivement à une décision du 8 mars 20128 du Conseil supérieur de l’audiovisuel (CSA) qui faisait grief à la défenderesse de ne pas respecter l’obligation de mettre en place un système protégeant les mineurs contre les programmes télévisuels susceptibles de nuire à leur épanouissement physique, mental et moral ce, en application de l’arrêté du Gouvernement de la Communauté française du 21 février 2013 relatif à la protection des mineurs contre les programmes télévisuels susceptibles de nuire à leur épanouissement physique, mental ou moral, plus particulièrement son article 4 § 1.10 Afin de se mettre en conformité avec cette obligation, la défenderesse indique avoir mis en place plusieurs mesures recommandées par le CSA telles que l’instauration du contrôle parental par défaut, la possibilité de créer un code d’accès pour les contenus à partir de « -12 ans » et l’interdiction pour les enfants de moins de 13 ans de créer un profil Auvio. 11
- Quant au numéro de GSM, la défenderesse expose que le règlement (UE) 2017/1128 du Parlement européen et du Conseil du 14 juin 2017 relatif à la portabilité transfrontalière des services de contenu en ligne dans le marché intérieur applicable depuis le 20 mars 2018, oblige le fournisseur de ce service (soit la défenderesse) à vérifier l’état membre de résidence (qui doit être un état membre de l’Union européenne (UE)) de l’abonné en utilisant un des moyens de vérification qu’il énumère. Une simple adresse e-mail se terminant par « .be » ne fait pas partie de la liste des moyens de vérification énumérés par ce règlement. Le numéro de GSM en fait en revanche partie.
La défenderesse, en demandant leur numéro de GSM aux utilisateurs d’Auvio qui désirent bénéficier de la portabilité transfrontalière lorsqu’ils partent notamment en vacances dans un des pas de l’UE, respecte dès lors le RGPD puisqu’il s’agit d’une information nécessaire à l’utilisation d’AUVIO à l’étranger.
- Le traitement de l’adresse répond à la même nécessité mais aussi à celle de la personnalisation.
- La donnée de genre est également traitée à des fins de personnalisation du service Auvio.
41. Enfin, la défenderesse rappelle que le consentement (article 6.1. a) du RGPD) – dont le plaignant allègue qu’il aurait dû être recueilli - n’est pas la seule base de licéité pouvant être mobilisée et que partant, le consentement n’est pas toujours requis avant que tout traitement ne puisse avoir lieu.
II.1.3. Appréciation de la Chambre Contentieuse
Quant à l’admissibilité des rapports du SI
42. En ce qui concerne les griefs de partialité et d’absence de minutie opposés par la défenderesse aux rapports d’inspection, la Chambre Contentieuse estime qu’à supposer même qu’ils soient fondés, ils n’entachent pas par répercussion l’impartialité qui est la sienne au regard du grief tiré de la licéité du traitement des données lors de la phase d’inscription.
43. Lorsqu’elle fait le choix de saisir le SI comme en l’espèce, la Chambre Contentieuse conserve, ainsi que le lui reconnait la Cour des marchés 12, un pouvoir d’appréciation souveraine de la plainte. Tant les constats du SI que les arguments développés par voie de conclusions et les pièces déposées par les parties nourrissent la prise de décision de la Chambre Contentieuse.
En tant qu’organe autonome, elle conserve toutefois un pouvoir d’appréciation et la liberté d’émettre, non sans motivation pertinente et renforcée conformément aux exigences de la Cour des marchés13,, ses propres considérations juridiques sur la situation qui est portée devant elle14, en ce compris au regard du rapport d’inspection et des griefs opposés les cas échéant à l’encontre de celui-ci par les parties.
44. En l’espèce, la Chambre Contentieuse relève que le rapport du SI avait, au regard du grief discuté dans la présente section, conclu à l’inadmissibilité du recours à l’article 6.1.f) du RGPD invoqué par la défenderesse elle-même. La Chambre Contentieuse demeure libre, après examen, de souscrire ou non à cette analyse. Cette appréciation propre est à fortiori indispensable en l’espèce dès lors que la défenderesse a indiqué en termes de conclusions avoir erronément – et ce consécutivement aux circonstances dans lesquelles elle a été amenée à devoir répondre au SI - invoqué l’article 6.1. f) du RGPD en lieu et place de l’article 6.1. b) du RGPD et que la Chambre Contentieuse en tiendra compte dans la présente décision ainsi qu’il sera détaillé dans la section ci-dessous.
45. Quant au refus de donner suite à la demande de rencontre du SI formulée par la défenderesse, la Chambre Contentieuse relève que par courrier du 24 juin 2019, le SI a répondu que « la tenue d’une réunion avec le responsable de traitement ne relevait pas de ses compétences d’enquête telles que mentionnées à l’article 66 §1er de la LCA ». Il y a ajouté qu’il avait fait le choix d’une enquête écrite dans ce dossier. La Chambre Contentieuse ne peut substituer son appréciation à celle du SI quant à ce. Elle retient que la défenderesse a en toute hypothèse eu l’occasion de faire part de sa position à ce dernier. Quant à l’interprétation du plaignant selon laquelle la défenderesse aurait, par sa demande, tenté de fausser l’enquête, la Chambre Contentieuse est d’avis que cette interprétation lui appartient exclusivement et qu’elle ne dispose d’aucun élément permettant de la corroborer.
Quant à l’obligation d’identifier une base de licéité
46. En application des articles 5.1. a) et 6.1. du RGPD, tout traitement de données doit reposer sur une des bases de licéité listées à l’article 6.1. a) à f) du RGPD. La Chambre Contentieuse rappelle qu’en application de l’article 6.1 du RGPD, le traitement de données à caractère personnel n'est en effet licite que si, et dans la mesure où, il s’appuie sur l’une des bases de licéité qui y est listée.
47. Cette base de licéité doit être identifiée préalablement au traitement. Il ne fait aucun doute que cette identification préalable résulte de l’article 6.1. du RGPD même si elle n’y est pas formulée explicitement15. Elle découle de la lecture combinée dudit article 6.1 du RGPD et de l’article 13.1. c) du RGPD notamment aux termes duquel le responsable de traitement est tenu de fournir à la personne concernée, au moment où il obtient les données la concernant de sa part, toutes les informations listées à l’article 13.1 et 13.2 du RGPD, dont «les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement » (article 13.1. c) du RGPD). La mise en œuvre de cette obligation présuppose nécessairement que le responsable de traitement ait identifié cette base juridique au préalable16. Cette identification de la base de licéité préalablement à l’opérationnalisation du traitement participe du respect des principes de loyauté et de transparence (article 5.1. a), 13.1 c) et 14.1 c) du RGPD) ainsi que de celui dû au principe d’accountability et des obligations qui en découlent (article 5.2 et 24 du RGPD).
48. La Chambre Contentieuse rappelle également qu’il incombe au responsable de traitement d’identifier une unique base de licéité sur laquelle il fonde son traitement. Cette exigence participe aussi des principes de loyauté et de transparence qu’il lui incombe de mettre en œuvre (article 5.1.a) du RGPD). Des conséquences différentes découlant de l’une ou l’autre base de licéité, notamment en termes de droits pour les personnes concernées, il n’est pas admis que le responsable de traitement invoque l’une ou l’autre au gré des circonstances17.
De manière générale, en invoquant des bases de licéité distinctes, le responsable de traitement crée un flou certain en termes d’exercice des droits des personnes concernées.
49. La Chambre Contentieuse retient qu’en l’espèce, la défenderesse a (fut-ce de manière erronée comme elle invoque) dans un premier temps déclaré fonder le traitement de données d’inscription sur l’article 6.1. f) du RGPD (auprès du SI dans le cadre de l’enquête comme déjà mentionné) pour ensuite déclarer s’appuyer sur l’article 6.1. b) du RGPD dans ses conclusions. Si la défenderesse a pu juger trop court son délai de réponse au SI, il ne revient pas à la Chambre Contentieuse de commenter la longueur de celui-ci. Sans préjuger de la loyauté des responsables de traitement confrontés à des devoirs d’enquête, il apparait en toute hypothèse à la Chambre Contentieuse que dès lors qu’il s’agit d’une obligation qui doit être satisfaite avant l’opérationnalisation du traitement (donc dès la conception de celui-ci), l’information quant à la base de licéité mobilisée devait a priori être immédiatement disponible, l’identification de celle-ci ayant dû avoir été faite avant toute mise en oeuvre du service Auvio.
50. Or la Chambre Contentieuse constate que d’une part, c’est de manière détaillée et au regard des différentes données traitées que la défenderesse a fait état de la base de l’intérêt légitime dans ses réponses au SI tout en soulignant d’autre part, dans ce même courrier au SI, des éléments de ses documents qui, selon elle, reflètent à l’évidence que le traitement s’inscrit dans le cadre de « l’exécution du contrat Auvio ». Si comme le soutient la défenderesse, ces éléments textuels devaient révéler qu’effectivement un contrat est passé avec l’utilisateur à l’époque des faits, il est d’autant plus incompréhensible que la défenderesse se soit appuyée sur eux dans un courrier aux termes duquel elle invoque son intérêt légitime ce, alors même qu’elle aurait identifié la base de licéité adéquate au préalable.
51. Eu égard à l’ensemble des circonstances de l’espèce, aux arguments des parties et à son devoir de minutie, la Chambre Contentieuse examinera ci-dessous la pertinence du recours à l’article 6.1. b) du RGPD non sans conclure à un manquement aux articles 5.1. a) et 6.1 du RGPD dans le chef de la défenderesse du fait de la communication de l’article 6.1.
f) du RGPD au titre de base de licéité par la défenderesse au SI. Cette communication, même par erreur - laquelle erreur ne supprime pas ledit manquement -, traduit selon la Chambre Contentieuse un défaut d’identification préalable de la base de licéité qu’elle choisira toutefois de ne pas sanctionner (voy. infra).
Quant au recours à la base de licéité de l’article 6.1.b) du RGPD
52. La Chambre Contentieuse rappelle que le recours à la base de licéité de l’article 6.1. b) du RGPD est soumis à 3 conditions :
- (1) une relation contractuelle ou précontractuelle existe entre le responsable de traitement et la personne concernée ;
- (2) le contrat doit être valide au regard du droit applicable ;
- (3) le traitement des données à caractère personnel satisfait à la condition de nécessité, en d’autres termes, les données traitées sont effectivement nécessaires à l’exécution du contrat.
53. La manière dont l’article 6.1. b) du RGPD doit être appliqué a fait l’objet ces dernières années de plusieurs clarifications au travers de Lignes directrices du Comité européen de la protection des données (CEPD)18, de décisions contraignantes du CEPD sur la base de l’article 65 du RGPD19 ainsi qu’in fine aux termes d’un arrêt de la Cour de Justice de l’Union européenne (CJUE) du 4 juillet 2023 20. Cette jurisprudence est synthétisée ci-dessous et appliquée au cas d’espèce.
54. S’agissant des conditions (1) et (2), le responsable de traitement doit, conformément à son obligation de responsabilité (accountability) au titre de l’article 5.2. du RGPD, pouvoir démontrer a) qu’un contrat existe – soit que la personne concernée et le responsable de traitement sont engagés dans une relation contractuelle - et b) que le contrat est valable en vertu du droit national des contrats applicable.
55. En l’espèce, la Chambre Contentieuse est d’avis qu’un contrat est effectivement passé entre l’utilisateur d’une part, ici le plaignant, et la défenderesse d’autre part par le biais de la souscription au service Auvio (adhésion aux conditions aux CGU et fourniture des données personnelles). Aucun élément ne remet en cause la validité de ce contrat au regard du droit belge qui lui est applicable. Quant à la question de savoir si le passage par un contrat était indispensable, la Chambre Contentieuse prend acte du contrat de gestion de la défenderesse et de l’absence d’obligation pour cette dernière de donner un accès libre à ses contenus médias via Internet. En l’espèce, la Chambre Contentieuse ne dispose d’aucun élément de nature, dans l’exercice des compétences qui lui reviennent, à contester l’applicabilité de ce contrat de gestion, son contenu ou les conséquences qui en sont tirées in casu.
56. Quant à la condition de nécessité du traitement des données à caractère personnel concernées (3), la Chambre Contentieuse rappelle que dans son arrêt Huber, la Cour de Justice de l’Union européenne (CJUE), a, au regard de cette condition de nécessité, spécifié ce qui suit :
« eu égard à l’objectif consistant à assurer un niveau de protection équivalent dans tous les États membres, la notion de nécessité telle qu’elle résulte de l’article 7, sous e)21, de la directive 95/46, qui vise à délimiter précisément une des hypothèses dans lesquelles le traitement de données à caractère personnel est licite, ne saurait avoir un contenu variable en fonction des États membres. Partant, il s’agit d’une notion autonome du droit communautaire qui doit recevoir une interprétation de nature à répondre pleinement à l’objet de cette directive tel que défini à l’article 1er, paragraphe 1, de celle-ci »22 (C’est la Chambre Contentieuse qui souligne).
57. Cette jurisprudence formulée au regard de l’article 7.e) de la directive 95/46/CE vaut pour toutes les bases de licéité qui retiennent cette condition de nécessité. Elle demeure aujourd’hui pertinente alors même que la directive 95/46/CE a été abrogée dès lors que cette condition de nécessité est maintenue aux termes de l’article 6.1 b) à f) du RGPD.
58. Le Groupe de l’Article 29 a également fait référence à la jurisprudence de la Cour européenne des droits de l’homme (Cour eur. D.H.) pour cerner l’exigence de nécessité 23 . Il a conclu que l’adjectif « nécessaire » n’a ainsi pas la souplesse de termes tels que « admissible », « normal », « utile », « raisonnable » ou « opportun ».24
59. S’agissant plus particulièrement de l’article 6.1.b) du RGPD, la nécessité du traitement de données s’apprécie ainsi tout d’abord au regard de l’objectif principal du contrat : le responsable du traitement doit s’assurer que la fourniture du produit ou du service ne peut pas intervenir en l’absence de mise en œuvre du traitement des données en cause. Si, au contraire, l’objectif du contrat peut être atteint sans que le traitement de données spécifiques soit mis en œuvre, la condition de nécessité n’est pas remplie.
60. Le caractère nécessaire du traitement s’apprécie en outre au regard des attentes de chacune des parties s’agissant de l’objectif du contrat : le responsable du traitement ne doit pas se fonder exclusivement sur son point de vue pour évaluer sa nécessité au vu de cet objectif, il doit également prendre en compte la perspective de la personne concernée, son appréhension de l’objectif principal du contrat ou la manière dont le service a été promu. L’objectif doit être mutuellement compris comme nécessitant le traitement de données concerné.
61. Il convient dès lors d’interpréter de façon restrictive la condition de nécessité au moment d’analyser la base juridique du contrat : elle ne couvre pas les situations dans lesquelles le traitement n’est pas véritablement nécessaire à l’exécution de celui-ci mais plutôt imposé unilatéralement à la personne concernée par le responsable de traitement. En d’autres termes, le traitement concerné ne doit pas viser un autre objectif, permettant par exemple la poursuite d’intérêts distincts ou exclusifs du responsable de traitement.
62. En synthèse, le traitement en cause doit être « objectivement indispensable » à l’exécution du contrat (soit pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée aux utilisateurs) de telle sorte que l’objet principal de ce contrat ne pourrait être atteint en l’absence de ce traitement. La nécessité n’est pas déterminée par la seule formalisation du contrat et de son contenu. S’il existe des alternatives réalistes et moins intrusives, le traitement n’est pas nécessaire 25. Le responsable du traitement devrait être en mesure de justifier la nécessité de son traitement de données par rapport à la finalité contractuelle fondamentale et mutuellement comprise. A cet égard, il devrait enfin, être possible pour un utilisateur ordinaire de connaître la finalité « fondamentale et mutuellement comprise » sur la base des informations présentées par le responsable de traitement.
63. La Chambre Contentieuse décide que le service Auvio étant conçu comme un contrat d’offre de contenu personnalisé, l’objectif de ce contrat ne peut se concrétiser sans le traitement d’un certain nombre de données à caractère personnel (voy. infra). Elle considère - outre le fait que l’on peut raisonnablement penser que la perception d’une offre personnalisée implique nécessairement, à l’heure d’aujourd’hui, un certain nombre de données personnelles - que dans le contexte du cas d’espèce, les informations fournies par la défenderesse lors de la souscription au contrat (via la création du compte) sont par ailleurs suffisamment explicites. En d’autres termes, l’objectif du contrat Auvio doit selon la Chambre Contentieuse être considéré comme mutuellement compris.
64. Seules les données « nécessaires » à l’exécution dudit contrat, ce quelle que soit la voie choisie pour y souscrire (par la fourniture directe de données personnelles sur la page «Auvio » du site internet de la défenderesse ou via la connexion au réseau social Facebook ou Google du souscripteur selon le choix de ce dernier) n’en peuvent pas moins être traitées.
65. Quant aux données relevées par le SI dans son rapport d’enquête comme étant les données d’inscription obligatoires à l’époque de l’enquête (nom, prénom, mot de passe et adresse e-mail), la Chambre Contentieuse considère qu’elles sont effectivement « nécessaires à l’exécution du contrat « Auvio ». Ces données permettent d’identifier de manière sécurisée l’utilisateur et de créer son compte26.
66. Quant aux autres données évoquées au point 40 ci-dessus, la Chambre Contentieuse formule les constats suivants.
- S’agissant du numéro de téléphone et de la résidence de l’utilisateur, la Chambre Contentieuse est d’avis que l’applicabilité du règlement (UE) 2017/1128 du Parlement européen et du Conseil du 14 juin 2017 relatif à la portabilité transfrontalière des services de contenu en ligne dans le marché intérieur est effectivement susceptible de nécessiter le traitement de ces données aux fins de permettre l’accès au service Auvio aux résidents belges lorsque ceux-ci se trouvent dans un autre pays de l’UE. Ce faisant, ces données peuvent être considérées comme « nécessaires à l’exécution du contrat » ainsi « élargi » quant à l’accessibilité du service Auvio. La Chambre Contentieuse rappelle que si l’une de ces données devait être suffisante aux fins de cette offre personnalisée élargie, seule une de celle-ci pourrait être traitée en exécution du principe de minimisation, nonobstant le fait que la donnée résidence est par ailleurs également traitée à des fins de personnalisation (météo par exemple).
- S’agissant du traitement de la date de naissance du souscripteur, la Chambre Contentieuse est d’avis qu’elle ne dispose pas de suffisamment d’éléments et de constats techniques pour conclure sur la nécessité objective de son traitement aux fins d’exécution du contrat. La Chambre Contentieuse prend acte de la motivation invoquée par la défenderesse fondée sur une décision du CSA et sur les obligations auxquelles elle est tenue découlant du décret relatif à la protection des mineurs à l’égard de certains contenus. La vérification de l’âge à ces fins, si telle est l’obligation qui en découle, doit se faire dans le respect des règles de protection des données, en particulier du principe de minimisation Comme pour tout système de vérification d’âge, le responsable de traitement doit opter pour un système qui garantit le respect de la vie privée et la protection des données personnelles des utilisateurs concernés. La défenderesse doit donc être en mesure de démontrer que la date de naissance est effectivement indispensable pour pouvoir exécuter le contrat en toute légalité et que toute autre mesure moins attentatoire en termes de protection des données personnelle ne pourrait parvenir au résultat recherché 27.
- Quant à la donnée de genre, la Chambre Contentieuse constate qu’ici aussi, elle ne dispose pas de suffisamment d’informations quant à la personnalisation du service à laquelle le traitement de cette donnée aboutit. La Chambre Contentieuse rappelle que ce traitement à des fins de personnalisation doit nécessairement intervenir dans le respect du droit de manière générale, en ce compris , outre le RGPD28, des règles de non -discrimination par exemple et de l’ensemble des normes (juridiques notamment) auxquelles la défenderesse est tenue. Il appartient également à la défenderesse de pouvoir démontrer que c’est le cas.
- S’agissant de la photo de profil traitée lorsque l’utilisateur fait le choix de s’inscrire via le réseau social auquel il est déjà inscrit, la Chambre Contentieuse renvoie au point 89 ci-après.
67. En conclusion, pour autant qu’elle puisse démontrer que toutes ces données sont indispensables à la personnalisation variable du service « Auvio » (service tel que présenté aux termes des différents documents d’information portés à la connaissance des utilisateurs du service), la défenderesse est autorisée à s’appuyer sur l’article 6.1. b) du RGPD. Lorsque ces données sont optionnelles, il importe que cela soit très clairement précisé à l’utilisateur ainsi que la personnalisation du service qui en résultera ; ce pour que le souscripteur puisse opérer un choix éclairé.
II.2. Quant à l’utilisation de données de réseaux sociaux à des fins de connexion/inscription
II.2.1. Le point de vue du SI
68. Ainsi qu’il a été exposé plus haut, le SI fait remarquer aux termes de son rapport d’enquête que la distinction entre le mécanisme de connexion et d’inscription via les réseaux sociaux manque de clarté en contrariété avec les articles 12.1, 13 et 14 du RGPD. Il relève que les mécanismes d’inscription et de connexion sont quasi identiques.
69. Le rapport ajoute qu’à la suite de sa connexion avec son identifiant Facebook, un conseiller technique du SI s’est vu, à son insu, créer un profil avec ses données Facebook sur le site de la défenderesse, données qu’il lui a par ailleurs été proposé de compléter. Le SI conclut que le mécanisme utilisé, sous couvert de connexion via un compte Facebook, est en fait la création d’un compte RTBF avec la fourniture de données Facebook de l’utilisateur, sans que ce dernier n’en soit informé. Le SI en conclut que ce procédé est en contradiction avec les articles 5.1a), 5.1.b), 5.1. c), 12.1, 13 et 14 du RGPD.
II.2.2. Le point de vue des parties
Le plaignant
70. Le plaignant indique que le problème ne réside pas tant dans la question de l’information de l’utilisateur qui cherche à s’inscrire que dans le choix fait par la défenderesse de faire d’Auvio un service personnalisé pour lequel il faudra par conséquent créer un compte et communiquer certaines données à caractère personnel à cet effet.
La défenderesse
71. A titre principal, la défenderesse conclut, comme évoqué au titre II.1.1. déjà, que les constatations du SI doivent être écartées. Les constats 5 et 6 opérés par le SI étant selon elle, ici aussi, de tristes exemples de son manque de minutie et d’impartialité, ils entachent l’impartialité de la Chambre Contentieuse par répercussion.
72. Quant à la constatation 5 qui lui reproche de manquer à son devoir de transparence dans la présentation des deux options de création du compte Auvio, à savoir « l’inscription » d’une part et la « connexion » d’autre part , la défenderesse estime que les utilisateurs ne sont jamais trompés quant aux conséquences de chacune de ces procédures.
73. Quant à la constatation 6 qu’elle juge pour sa part intrinsèquement liée à la constatation 5 et qui lui reproche de ne pas informer l’utilisateur que la connexion via un compte Facebook est « en fait la création d’un compte RTBF avec la fourniture des données Facebook de l’utilisateur », la défenderesse estime qu’il est sans fondement. Elle ajoute qu’elle n’a jamais accès au compte Facebook ou autre de l’utilisateur.
74. Aux termes de ses « Conclusions de synthèse », la défenderesse a détaillé les étapes de la procédure d’inscription via un connecteur de réseau social (Facebook ou Google)29.
75. La défenderesse estime qu’il résulte de ces étapes que contrairement à la conclusion du SI, il est très clair pour l’utilisateur que son nom, sa photo et son adresse e-mail sont communiqués à la défenderesse eu égard (1) aux nombreuses occasions auxquelles tant la Charte d’utilisation des données que ses CGU sont portées à la connaissance de l’utilisateur et à (2) l’indication expresse par Facebook que ces données à caractère personnel sont partagées. Ainsi, en ce qui concerne le partage même des données, les constatations 5 et 6 du SI pour défaut de transparence sont non fondées. Le processus décrit aux termes de captures d’écran actualisées lors de l’audition en atteste selon la défenderesse de la même façon.
76. Enfin, la défenderesse dément tout flux de données « de la RTBF vers Facebook » comme le prétend le plaignant. Elle souligne qu’aussi entachés de défaut de minutie et d’impartialité soient les rapports du SI, ceux-ci ne font nullement état d’un tel flux. Elle insiste sur le fait que sur Auvio, l’interaction avec Facebook ne se fait que pour rechercher des informations permettant de créer plus facilement un compte Auvio. Plus explicitement, ainsi que repris au procès-verbal d’audition, lorsque l’utilisateur fait le choix de s’inscrire pour pouvoir se connecter à Auvio ou se connecte à Auvio au départ desdits réseaux sociaux, il n’y a pas, en retour, de communication de données par la RTBF vers ces réseaux sociaux (par exemple des données relatives à ce qui aurait été visionné).
II.2.3. L’appréciation de la Chambre Contentieuse
Quant à l’admissibilité des rapports du SI
77. Quant aux griefs opposés aux rapports du SI, la Chambre Contentieuse réitère les arguments qu’elle a développés plus haut au titre II.1.3. selon lesquels, à les supposer fondés, ces griefs n’entachent pas par répercussion son pouvoir d’appréciation et sa prise de décision.
Compte tenu du délai écoulé depuis ces rapports, la Chambre Contentieuse a ainsi demandé comme déjà mentionné, que la défenderesse présente la manière dont la procédure d’inscription via connexion à un réseau social s’opérait au plus près de la date d’audition (point 20 ci-dessus).
Quant à la transparence du processus de création de compte via connexion à un réseau social
78. La Chambre Contentieuse rappelle qu’en application du principe de loyauté et de transparence et de son obligation d’information (article 5.1. a) et 12.1 lus en combinaison avec les articles 13 et 14 du RGPD), la défenderesse est tenue de présenter les traitements de données qu’elle opère de manière aisément compréhensible pour l’utilisateur, toute tromperie ou confusion devant être exclue.
79. Il faut donc que la démarche d’inscription via la création d’un compte Auvio, - que ce soit par le biais d’un connecteur de réseau social (Facebook, Google) ou non - soit clairement présentée tant en mots qu’en visuel sans confusion avec une possible connexion directe sans passage par la case « création de compte » ou « j’ai déjà un compte ».
80. Permettre au futur utilisateur de créer un compte au départ de données d’un réseau social sur lequel il est déjà inscrit est un choix conscient de la défenderesse. Au cours de l’audition, cette dernière e a mis en avant que ce choix avait été fait pour faciliter l’accès de ses utilisateurs au contenu Auvio. Celui qui opère ce choix ne peut pour autant totalement se dédouaner de la manière dont la communication de données du réseau social s’opère vers son service. Créer un compte Auvio « from scratch » ou via un réseau social est un choix qui appartient en revanche à l’utilisateur. Ce dernier n'en doit pas moins être informé des traitements de données qui s’opéreront dans ce cas pour lui permettre de poser un choix conscient.
81. Les mentions prévues à cet effet doivent être parfaitement explicites - en texte comme en visuel - pour que l’utilisateur comprenne qu’il a le choix, (1) soit de créer un compte via la communication de données à la défenderesse directement au départ de la page d’inscription « Auvio », (2) soit de créer un compte via une connexion à son réseau social favori dont des données disponibles et nécessaires à l’exécution du contrat Auvio (voy. ci-dessous) seront réutilisées pour la création du compte Auvio. Quant à la création d’un compte via un connecteur de réseau social, il doit également apparaitre clairement que la connexion audit réseau social s’inscrit dans le cadre du processus d’inscription et a pour objectif de créer un compte sur Auvio au départ des données disponibles sur ledit réseau social qui sont nécessaires pour ce service. Il doit en résulter sans doute aucun qu’il ne s’agit pas, ainsi qu’il a déjà été mentionné, d’une simple connexion directe à Auvio par le biais du réseau social.
Toute création de compte à l’insu de l’utilisateur à l’occasion d’une connexion de ce dernier via un réseau social (hors procédure d’inscription) est interdite.
82. Les informations relatives au traitement de données qu’emporte cette création de compte doivent être disponibles (le cas échéant via un hyperlien actif et qui renvoie vers le ou les documents d’information pertinents) au moment de la création du compte.
83. Dans chacun des cas, seules les données indispensables à l’exécution du contrat Auvio peuvent être traitées au titre de l’article 6.1.b) du RGPD ( voy. supra titre II.1.).
84. La Chambre Contentieuse est d’avis que lors de l’audition, la défenderesse lui a suffisamment démontré qu’en ce qui concerne le processus d‘inscription, il n’y avait à cette date, pas de confusion entre connexion d’une part et inscription d’autre part.
- Après avoir cliqué sur « Se connecter » sur la page Auvio, une fenêtre apparait avec deux boutons distincts : « J’ai déjà un compte » et « Démarrer mon inscription ».
- En cliquant sur « Démarrer mon inscription » une nouvelle fenêtre apparait avec les boutons « Continuer avec Facebook », « Continuer avec Google » ainsi qu’ avec un formulaire d’inscription à compléter directement sur la page Auvio.
85. La Chambre Contentieuse constate dès lors que la connexion possible via les réseaux sociaux Facebook ou Google se fait bien dans la continuité de la démarche d’inscription. La configuration des pages ne permet pas de connexion sans compte nouveau « Démarrer une inscription » ou sans compte préexistant « J’ai déjà un compte ».
86. La Chambre Contentieuse constate également que sous les boutons « Continuer avec Facebook » et « Continuer avec Google », le texte suivant est prévu « Si vous vous inscrivez30 via Facebook ou Google, vous autorisez par la même occasion la RTBF à avoir accès à certaines de vos données personnelles et vous acceptez les conditions générales d’utilisation de la RTBF (hyperlien surligné) et le contrat d’utilisation Auvio (hyperlien surligné). La RTBF ne transmet pas d’informations personnelles vous concernant à Facebook et Google dans ce contexte. Pour plus d’information, consultez la FAQ. Leur cookie de suivi s’activera automatiquement ».
87. Il en ressort que le candidat souscripteur est ainsi informé que des données de son réseau social seront transférées à la défenderesse à des fins de souscription au contrat Auvio dont le contenu est détaillé dans les documents également renseignés. La Chambre Contentieuse comprend que ces données sont celles détaillées à l’étape ci-dessous. Elle estime qu’une information plus immédiate serait préférable31.
88. La Chambre Contentieuse retient également de l’exposé de la défenderesse qu’en cliquant sur « Continuer avec Facebook », une fenêtre de connexion apparait qui mentionne « Connectez-vous pour utiliser votre compte avec RTBF » et qu’une fois le candidat utilisateur d’Auvio connecté via ses identifiants Facebook, l‘affichage de la mention suivante apparait : « RTBF demande l’accès à Votre nom et photo de profil et adresse e-mail ». Une fois le compte créé, l’utilisateur peut fournir des informations supplémentaires Ainsi, outre l’email, le mot de passe et les nom et prénom, l’utilisateur peut ajouter ses adresse, code postal, Ville et Pays ainsi que son numéro de GSM et sa date de naissance ou son genre (voir la capture d’écran de la présentation du 23 janvier 2023 et la mise à jour factuelle du 4 janvier 2023, page 3).32 La Chambre Contentieuse prend acte qu’un processus comparable est prévu via Google.
89. S’agissant de la photo de profil, la Chambre Contentieuse estime que la défenderesse reste en défaut de démontrer que celle-ci est « nécessaire à l’exécution du contrat au sens de l’article 6.1. b) du RGPD. Pour le surplus, et pour autant que de besoin, la Chambre Contentieuse précise que les considérations qu’elle a émises au titre II.1.3 valent quel que soit le mode de création de compte.
90. En conclusion, la Chambre Contentieuse est consciente du temps écoulé depuis le rapport d’enquête ainsi que depuis la tenue de l’audition. Elle adopte la présente décision sur la base des éléments qui précèdent, en ce compris ceux qui lui ont été présentés lors de l’audition et conclut qu’elle ne dispose en l’état pas d’éléments lui permettant de conclure à une violation des articles épinglés par le SI dans son rapport d’enquête au regard des constats 5 et 6 (points 7 et 68-69).
91. Sous réserve de quelques adaptations d’hyperliens d’information indisponibles ou renvoyant vers un mauvais document et de formulations plus adaptées33, la Chambre Contentieuse estime avoir pu constater que la procédure d’inscription était présentée en étapes claires et qu’une modalité de celle-ci permettait de se connecter à un réseau social en vue de la création d’un compte Auvio.
III. Mesures correctrices et sanctions
92. Aux termes de l’article 100.1 de la LCA, la Chambre Contentieuse a le pouvoir de :
1° classer la plainte sans suite ;
2° ordonner le non-lieu ;
3° prononcer une suspension du prononcé ;
4° proposer une transaction ;
5° formuler des avertissements ou des réprimandes ;
6° ordonner de se conformer aux demandes de la personne concernée d'exercer ses droits;
7° ordonner que l'intéressé soit informé du problème de sécurité ;
8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement ;
9° ordonner une mise en conformité du traitement ;
10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données ;
11° ordonner le retrait de l'agréation des organismes de certification ;
12° donner des astreintes ;
13° donner des amendes administratives ;
14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international ;
15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier ;
16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données
93. A l’appui des constats qui précèdent, la Chambre Contentieuse décide, compte tenu des circonstances de l’espèce, en particulier de l’ancienneté du dossier (1) d’adresser à la défenderesse un avertissement selon lequel, si la défenderesse devait à l’avenir ne pas être en mesure de démontrer que les données traitées lors de la phase d’inscription sont toutes « nécessaires à l’exécution du contrat » Auvio au sens de l’article 6.1. b), elle se rendrait coupable d’un manquement à l’article 6.1 du RGPD.
94. Pour le surplus, la Chambre Contentieuse décide de procéder au classement sans suite de la plainte, conformément à l’article 100.1, 1° de la LCA, pour les raisons exposées ci-après.
95. En matière de classement sans suite, la Chambre Contentieuse est tenue de motiver sa décision par étape34 et de :
- prononcer un classement sans suite technique si le dossier ne contient pas ou pas suffisamment d’éléments susceptibles d’aboutir à une sanction ou s’il comporte un obstacle technique l’empêchant de rendre une décision ;
- ou prononcer un classement sans suite d’opportunité, si malgré la présence d’éléments susceptibles d’aboutir à une sanction, la poursuite de l’examen du dossier ne lui semble pas opportune compte tenu des priorités de l’Autorité de protection des données (APD) telles que spécifiées et illustrées dans sa Politique de classement sans suite 35.
96. En cas de classement sans suite fondé sur plusieurs motifs, ces derniers (respectivement, le/les motif(s) de classement sans suite technique et le/les motifs de classement sans suite d’opportunité) doivent être traités par ordre d’importance 36.
97. La Chambre Contentieuse décide qu’en l’espèce, la plainte doit, hormis l’avertissement formulé ci-dessus au point 101, être classée sans suite. Ce classement sans suite intervient pour motif technique dès lors qu’elle a conclu qu’aucun constat de violation du RGPD ne pouvait être retenu à l’encontre de la défenderesse relativement aux autres griefs qui lui étaient opposés par le plaignant ou le SI, à l’exception du manquement à l’article 5.1 a) et 6.1 tel que formulé au point 59 ci-dessus que la Chambre Contentieuse décide de classer sans suite pour motif d’opportunité compte tenu des circonstances concrètes du dossier.
IV. Publication de la décision
98. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site internet de l’Autorité de protection des données (APD). Toutefois, il n’est pas nécessaire à cette fin que les données d’identification du plaignant soient directement mentionnées.
99. La Chambre Contentieuse juge que l’identification de la défenderesse est nécessaire en l’espèce dès lors que la présente décision fait en référence à la décision 168/2022 adoptée par la Chambre Contentieuse à l’égard de la défenderesse ainsi qu’à la décision 170/2022 de la Chambre Contentieuse dont les dispositifs influent sur la présente décision. L’identité de la défenderesse ayant été publiée aux termes de ces décisions, l’omission de l’identité de la même défenderesse aux termes de la présente décision n’aurait aucun sens. Sa mention explicite permet surabondamment la meilleure compréhension et la cohérence de ces différentes décisions de la Chambre Contentieuse.
PAR CES MOTIFS,
la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération,
- d’adresser à la défenderesse un avertissement tel que formulé au point 101 de la présente décision en exécution des articles 58.2.a) du RGPD et de l’article 100.1.5° de la LCA ;
- de classer la plainte sans suite en vertu de l’article 100.1.1° de la LCA pour le surplus. .
Conformément à l'article 108, § 1 de la LCA, un recours contre cette décision peut être introduit, dans un délai de trente jours à compter de sa notification, auprès de la Cour des Marchés (cour d'appel de Bruxelles), avec l'Autorité de protection des données (APD) comme partie défenderesse.
Un tel recours peut être introduit au moyen d'une requête interlocutoire qui doit contenir les informations énumérées à l'article 1034ter du Code judiciaire37. La requête interlocutoire doit être déposée au greffe de la Cour des Marchés conformément à l'article 1034quinquies du C. jud.38, ou via le système d'information e-Deposit du ministère de la Justice (article 32ter du C. jud.).
(sé). Hielke HIJMAN
Président de la Chambre Contentieuse
Document PDF ECLI:BE:GBAPD:2025:DEC.20250127.1
Publication(s) liée(s)
suivi par:
ECLI:BE:GBAPD:2025:AVIS.20250327.1
ECLI:BE:GBAPD:2025:AVIS.20250327.4