ECLI:BE:GBAPD:2025:DEC.20250107.2

Chambre Contentieuse Décision quant au fond 02/2025 du 7 janvier 2025 Numéro de dossier : DOS-2024-01344 Objet : Plainte relative à un traitement illicite de données à caractère personnel par un employeur. La Chambre Contentieuse de l'Autorité de protection des données, constituée de monsieur Hielke HIJMANS, président, et de messieurs Romain Robert et Christophe Boeraeve, membres; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après « RGPD » ; Vu la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après « LCA ») ; Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ; Vu les pièces du dossier ; A pris la décision suivante concernant : Le plaignant : X, représenté par Me Alexandre Cassart, ci-après « le plaignant » ; La défenderesse : L’Institut Belge Y, représenté par Me Mireille Buydens et Me Charles Bernard, ci-après « la défenderesse ». I. Faits et procédure 1. Le 5 mars 2024, le plaignant a introduit une plainte auprès de l’Autorité de protection des données contre la défenderesse. 2. L'objet de la plainte concerne un traitement illicite de données à caractère personnel. 3. Le 24 octobre 2024, le supérieur hiérarchique, après avoir reçu la décision motivée du refus de prolongation de l’habilitation de sécurité du plaignant (ci-après, « décision motivée »), l’a informé qu’une enquête disciplinaire avait été ouverte à son encontre. Cette décision motivée reprend de manière explicite le dossier en cours d’information auprès du Procureur du Roi (ci-après, « Procureur ») dans lequel le plaignant est suspecté d’attentat à la pudeur sur mineur. 4. L’octroi et le retrait des habilitations de sécurité sont encadrés par la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé (ci-après, « loi du 11 décembre 1998 »)1. 5. Le 19 janvier 2023, l’officier de sécurité demande à l’Autorité nationale de sécurité (ci-après, « ANS ») de prolonger l’habilitation de sécurité du plaignant. 6. Le 7 juillet 2023, l’ANS notifie à l’officier de sécurité de la défenderesse son refus de prolongation de l’habilitation de sécurité du plaignant (ci-après, « notification de la décision ») (pièce 2), y attache la décision motivée (pièce 1) et demande à l’officier de sécurité de la communiquer à ce dernier2. 7. Le 24 juillet 2024, le plaignant réceptionne la décision motivée, conformément à l’article 22 alinéas 3 et 5 de la loi du 11 décembre 1998. 8. Au moment des faits3, l’officier de sécurité est chargé du suivi des éléments relatifs aux habilitations de sécurité qui peuvent mener à leur révision4. Dans le cadre de cette obligation, il fait rapport à son fonctionnaire dirigeant 5, le Conseil de la défenderesse6, en lui communiquant la décision motivée. 9. A son tour, le Conseil de la défenderesse communique la décision motivée au supérieur hiérarchique du plaignant pour qu’il puisse initier une enquête disciplinaire à l’encontre de ce dernier7. 10. Enfin, le Conseil de la défenderesse communique la décision motivée à ses avocats pour demander l’accès au dossier en cours d’information devant le Procureur. 11. Le 27 mars 2024, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA. 12. Le 3 mai 2024, la Chambre Contentieuse décide, en vertu de l’article 95, § 1 er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond. En vertu de l’article 92, 1° de la LCA, la Chambre Contentieuse prendra une décision sur le fond en ce qui concerne l’objet de la plainte. 13. Le 15 mai 2024, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions. Les griefs constatés par la Chambre Contentieuse portent sur des violations présumées des articles suivants : - Violation présumée des articles 5.1.a), 6 et 10 du RGPD, en raison de l’absence de base légale prévoyant le traitement des données judiciaires du plaignant, ce qui a mené à l’ouverture d’une procédure disciplinaire à son encontre. - Violation présumée des articles 5.1.b) et 6 du RGPD, en raison du manque d’information relatif à la compatibilité des finalités des traitement concernés, à savoir d’une part, la transmission de la décision motivée au Conseil de la défenderesse et d’autre part, la transmission de cette décision au supérieur hiérarchique du plaignant. - Violation présumée des articles 12.1, 12.3, 12.4 et 15 du RGPD, en raison du refus de se soumettre à l’exercice du droit d’accès du plaignant pour des motifs qui entreraient sous l’exception de l’article 23.1.d) du RGPD. - Violation présumée des articles 5.1.f) et 32 du RGPD, en raison de l’absence de mesures techniques et organisationnelles appropriées afin de garantir la confidentialité des données à caractère personnel du plaignant, par l’envoi de la décision motivée à son supérieur hiérarchique. - Violation présumée des articles 5.2, 24.1 et 25.2 du RGPD, en raison de manquements aux responsabilités mentionnées ci-dessus, ce qui a entrainé la transmission de la décision motivée, l’ouverture d’une procédure disciplinaire à l’égard du plaignant, et la transmission d’un dossier au Procureur. Pour les constatations relatives à l’objet de la plainte, la date limite pour la réception des conclusions en réponse de la défenderesse a été fixée au 26 juin 2024, celle pour les conclusions en réplique du plaignant au 24 juillet 2024 et enfin celle pour les conclusions additionnelles de synthèse de la défenderesse au 21 août 2024. 14. Le 29 mai 2024, la défenderesse demande une copie du dossier (art. 95, §2, 3° LCA), laquelle lui est transmise le 10 juin 2024. 15. Le 26 juin 2024, la Chambre Contentieuse reçoit les conclusions en réponse de la défenderesse en ce qui concerne les constatations relatives à l'objet de la plainte. 16. Le 23 juillet 2024, la Chambre Contentieuse reçoit les conclusions en réplique du plaignant en ce qui concerne les constatations relatives à l’objet de la plainte. 17. Le 13 aout 2024, la Chambre Contentieuse accuse réception de la demande de la défenderesse visant à inclure l’ANS comme partie tierce intéressée. Le même jour, la Chambre Contentieuse invite la défenderesse à étayer sa demande en fournissant des éléments démontrant que l’ANS serait susceptible de subir un préjudice personnel, direct, certain, actuel et légitime en raison de la procédure quant au fond. 18. Le 20 août 2024, la Chambre Contentieuse reçoit les conclusions additionnelles de synthèse de la part de la défenderesse concernant les constatations relatives à l’objet de la plainte. 19. Le 12 septembre 2024, la Chambre Contentieuse reçoit les arguments de la défenderesse quant à l’implication de l’ANS comme partie tierce intéressée. 20. Le 18 septembre 2024, la Chambre Contentieuse estime ne pas avoir reçu suffisamment d’arguments indiquant que l’ANS serait susceptible de subir un préjudice personnel, direct, certain, actuel et légitime en raison de la procédure en cours et décide de ne pas l’inviter comme partie tierce intéressée. II. La décision du refus de prolongation de l’habilitation de sécurité 21. La Chambre Contentieuse considère important de détailler le cadre légal de ce refus de prolongation de l’habilitation de sécurité du plaignant. 22. Au vu de l’ingérence flagrante des enquêtes de sécurité pour la vie privée des personnes concernées, le législateur a encadré leur retrait par la loi du 11 décembre 1998, conformément à l’article 8.2 de la Charte des droits fondamentaux de l’Union Européenne (ci-après, « Charte »)8. Il s’ensuit que la loi du 11 décembre 1998 consiste en une autorisation officielle d’accéder à des données classifiées dans les limites prévues par cette loi. 23. Lorsque l’ANS décide, sur base d’une enquête de sécurité, de ne pas prolonger une habilitation de sécurité, elle en notifie, par l’intervention de l’officier de sécurité, la personne concernée, en y attachant les motifs 9. Cette obligation de notifier la décision motivée à la personne concernée, exclut de jure toute autre récipiendaire10. 24. L’obligation de l’officier de sécurité de l’article 13/1 de la loi du 11 décembre 199811 implique le suivi des individus soumis à une habilitation de sécurité afin de détecter à temps des changement inquiétants comme la radicalisation et les communiquer à l’ANS12. 25. Ce même article oblige l’officier à faire rapport, auprès des dirigeants de l’autorité administrative auprès de laquelle ce dernier est attaché, des nouveaux éléments ou des irrégularités tels que repris au point précédent à ses responsables. III. Motivation III.1. Quant à la violation présumée des articles 5.1.a), 6 et 10 du RGPD III.1.1. Position du plaignant 26. En l’espèce, le plaignant estime que l’ouverture de l’enquête disciplinaire est le résultat d’une chaine de cinq traitements : - Traitement 1) : La collecte initiale de ses données à caractère personnel par l’ANS ; - Traitement 2) : La communication de la décision motivée attachée à la notification de la décision par l’ANS à l’officier de sécurité de la défenderesse; - Traitement 3) : la communication de la décision motivée par l’officier de sécurité de la défenderesse au Conseil de cette dernière; - Traitement 4) : La transmission de la décision motivée par le Conseil de la défenderesse au supérieur hiérarchique du plaignant ; et - Traitement 5) : La communication de la décision motivée par le Conseil de la défenderesse à son avocat. 27. En outre, le plaignant estime que la décision motivée concerne une suspicion d’infraction, qui, selon lui, revête incontestablement un caractère pénal même si elle n’est pas établie en l’occurrence. Renvoyant à l’arrêt de la Cour de Justice de l’Union Européenne (ci-après, « CJUE ») du 24 septembre 201913, le plaignant considère que ces données entrent dans le champ d’application de l’article 10 du RGPD et bénéficient de sa protection supplémentaire. 28. Quant à la licéité des traitements 1) et 2), le plaignant affirme qu’ils reposent, respectivement, sur les obligations légales découlant des articles 16 et 22 de la loi du 11 décembre 1998 juncto avec l’article 110 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (ci-après, « loi du 30 juillet 2018 »). Il estime le fondement de ces traitements sur l’article 6.1.c) du RGPD justifié et par conséquent les traitements 1) et 2) licite. 29. Quant au traitement 3), le plaignant assume que la défenderesse le fonderait sur la nécessité de l’officier de sécurité de faire rapport à son supérieur hiérarchique, tel que prescrit par l’article 13/1 de la loi du 11 décembre 1998. Néanmoins, il considère cette disposition pas claire, précise et prévisible. De plus, le plaignant estime que la finalité poursuivie par cette obligation légale ne correspond pas à celle invoquée par la défenderesse, à savoir, l’adoption de mesures organisationnelles appropriées à son encontre. 30. Quant au traitement 4), le plaignant estime que les articles 10 §1, 1er et 10 §1, 3e de la loi du 30 juillet 2018 ne peuvent être invoqués, dans le cas d’espèce, pour justifier le traitement de données judiciaires au sens de l’article 10 du RGPD. Tout d’abord, le plaignant affirme que l’autorisation découlant de l’obligation légale de gestion de son propre contentieux est une autorisation ex post du traitement. Le contentieux entre le Conseil de la défenderesse et le plaignant n’étant survenu qu’après les traitements litigieux. Ensuite, n’ayant pas été informé de tels échanges concernant ses données, le plaignant affirme ne pas avoir eu connaissance d’un contentieux avec la défenderesse au moment du traitement. Le plaignant estime que cette absence d’information rendrait impossible de fonder le traitement 4) sur des motifs d’intérêt public pour l’accomplissement de tâches d’intérêt général. 31. Quant au traitement 5), le plaignant suppose que la défenderesse le fonde sur son obligation légale de mener une enquête urgente et approfondie découlant de l’article 90 de l’Arrêté royal du [date] (ci-après, « Statut Administratif »)14, régie par le principe général du délai raisonnable. Néanmoins, le plaignant renvoie à une lettre de son supérieur hiérarchique qui précise qu’en cas d’action pénale, la procédure disciplinaire est suspendue 15 et à l’article 93 du Statut Administratif qui prévoit la suspension de l’enquête en cas d’instruction. III.1.2. Position de la défenderesse 32. En premier lieu, la défenderesse estime que la décision motivée n’est pas une donnée judiciaire au sens de l’article 10 du RGPD dès lors qu’elle se réfère à une suspicion d’infraction pénale. Elle souligne à cette fin que l’article 10 du RGPD a un champ d’application plus restreint que sa contrepartie dans la Directive 95/46/CE 16. La défenderesse considère la pertinence de la jurisprudence invoquée par le plaignant limitée. En tout état de cause, la défenderesse estime que les traitements auraient été conformes à l’article 10 §1 de la loi du 30 juillet 2018 pour la gestion de son contentieux l’opposant au plaignant et à l’article 10 §3 de cette même loi comme étant nécessaire pour la gestion et le fonctionnement d’un organisme d’intérêt public chargé par la loi du [date] (ci-après, « loi du régulateur »)17 d’une mission d’intérêt public. 33. En deuxième lieu, la défenderesse soutient l’absence de compétence de la Chambre Contentieuse pour connaitre les traitements 1) à 3) suite à une lecture combinée des articles 107 et 128 §1er de la loi du 30 juillet 2018 attribuant au Comité permanent R la compétence de contrôler les traitements de données à caractère personnel effectués par les autorités de sécurité comme entendu par l’article 107, 1° de la loi du 11 décembre 1998. 34. A titre subsidiaire, la défenderesse estime les cinq traitements licites. Comme souligné par le plaignant, les traitements 1) et 2) sont fondés sur les articles 16 et 22 de la loi du 11 décembre 1998. 35. Concernant le traitement 3), la défenderesse l’estime nécessaire pour le respect de l’obligation légale, découlant de l’article 13/1 de la loi du 11 décembre 1998, de l’officier de sécurité de faire rapport à son fonctionnaire dirigeant, le Conseil de la défenderesse, pour notifier des informations sensibles, de nouveaux éléments ou des irrégularités concernant les individus ayant reçu ou devant recevoir une habilitation. Dans ce sens, la défenderesse souligne que la décision motivée s’inscrit dans le respect de cette obligation, nécessitant que le Conseil de la défenderesse prenne les mesures nécessaires et appropriées eu égard à la nature de la menace à la sécurité ayant justifié cette décision. La défenderesse ajoute que la décision motivée ne contient pas d’informations classifiées, telles qu’entendues par l’article 22.5 de la loi du 11 décembre 1998 et que, de ce fait, ils peuvent être communiqués par l’officier de sécurité au Conseil de la défenderesse. 36. Concernant le traitement 4), la défenderesse estime qu’il poursuit deux finalités distinctes, d’une part le respect de ses règles de procédure (finalité correspondant à l’article 6.1.c) du RGPD), d’autre part la gestion de son contentieux disciplinaire (finalité correspondant à l’article 6.1.e) du RGPD). La défenderesse considère que le traitement 4) est nécessaire pour respecter ses règles de procédure en matière disciplinaire telles que prévues par l’article 90 du Statut Administratif. Cette norme juridique de droit belge claire et précise ne laisserait pas d’autres choix au Conseil de la défenderesse que de transmettre la décision motivée au supérieur hiérarchique du plaignant, seul habilité à pouvoir ouvrir une enquête disciplinaire. Deuxièmement, la défenderesse explique que le Statut Administratif lui incombe l’exécution des fonctions disciplinaires relatives à ses agents statutaires lesquelles impliquent des traitements pouvant se justifier sur base de l’article 6.1.e) du RGPD. La défenderesse ajoute que la procédure disciplinaire étant réalisée par le supérieur hiérarchique de la personne concernée, ce dernier doit être en mesure d’évaluer tout fait pouvant résulter en une mesure disciplinaire dans le cadre de son enquête urgente et approfondie18. 37. Enfin, la défenderesse estime que le traitement 5) est licite et se fonde sur les mêmes bases légales que le traitement 4), à savoir les articles 6.1.c) et 6.1.e) du RGPD. La défenderesse explique que la jurisprudence du Conseil d’Etat 19 lui impose l’obligation d’exercer toutes les diligences possibles dans le cadre de ces enquêtes disciplinaires, en ce inclus la prise de contact avec le Procureur en vue d’obtenir l’accès au dossier répressif de la personne concernée pour établir la matérialité des faits susceptibles de donner lieu à une sanction disciplinaire. III.1.3. Position de la Chambre Contentieuse 38. A titre préliminaire, la Chambre Contentieuse remarque que ni la défenderesse, ni le plaignant ne conteste la licéité des traitements 1) et 2). 39. Par ailleurs, ces traitements sont effectués par l’ANS, autorité de sécurité intégrée à la Sûreté de l’Etat20, et ne relèvent pas des dispositions du RGPD tel qu’entendu par l’article 2.2.a)21. 40. Dès lors, la Chambre Contentieuse considère que ces traitements relèvent de la compétence du Comité permanent R22 et ne seront pas analysés dans la présente décision. 41. A titre liminaire, il convient d’établir si la décision motivée entre dans le champ d’application de l’article 10 du RGPD. 42. Ce dernier requiert, de manière non-cumulative, que les traitements de données à caractère personnel relatifs aux condamnations pénales, aux infractions ou aux mesures de sureté connexes soient effectués sous le contrôle de l’autorité publique ou, qu’ils soient encadrés par le droit de l’Union ou par le droit belge, en l’occurrence la loi du 30 juillet 2018 23. i. Articles 2, 4.1 et 4.2 du RGPD 43. Il importe à la Chambre Contentieuse d’établir si la décision motivée entre dans la définition de l’article 4.1. du RGPD, et si les traitements, tel qu’identifié au point 26 de la présente décision, relèvent du champ d’application matériel tel que défini par l’article 2 du RGPD 24. Traitement de données à caractère personnel 44. Dans le cas d’espèce, le plaignant est identifiable sur base de son nom et son prénom qui sont repris dans la décision motivée ce qui la qualifie de donnée à caractère personnel au sens de l’article 4.1. du RGPD. 45. En conséquence, sa communication par l’officier de sécurité et le Conseil de la défenderesse constitue un « traitement », au sens de l’article 4.2. du RGPD. Champ d’application matériel du RGPD 46. En second lieu, il importe de constater que la communication de la décision motivée relève de la définition du champ d’application matériel de l’article 2.1 du RGPD et n’est pas exclue du RGPD par les exceptions de son article 2.2.a) et d). 47. D’une part, l’article 2.2.a) du RGPD 25 lu à la lumière du considérant 16, exclut du champ d’application du RGPD les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie 26. 48. En outre, les traitements 3), 4), et 5) sont effectués par le régulateur de l’Institut Belge Y, organisme d’intérêt public doté de la personnalité juridique 27, dans le cadre d’activités relatives à la gestion de son personnel. En conséquence, ces traitements ne sont pas exclus du RGPD par l’article 2.2.a). 49. D’autre part, l’article 2.2.d) du RGPD28 exclut du RGPD les traitements de données protégées par la Directive 2016/680 du 27 avril 201629, tel que transposée dans le Titre II de la loi du 30 juillet 2018. 50. Ce Titre II s’applique aux traitements de données effectués par les autorités compétentes 30, aux fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales 31. 51. Bien que la loi du régulateur octroie des pouvoirs d’inspection à la défenderesse, ces derniers n’entrent pas dans les finalités énoncées ci-dessus. 52. La première condition n’est pas remplie. Les conditions d’application du Titre II de la loi du 30 juillet 2018 étant cumulatives, la Chambre Contentieuse considère qu’il n’est pas nécessaire d’en analyser la seconde et décide que les traitements 3) à 5) ne sont pas exclus du RGPD par son article 2.2.d). ii. Article 10 du RGPD 53. Il convient en premier lieu d’évaluer si la décision motivée peut être qualifiée de « données judiciaires » en ce sens « des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexe »32. 54. Dans un deuxième temps, la Chambre Contentieuse s’emploiera à vérifier si l’officier de sécurité et le Conseil de la défenderesse font partie des entités habilitées à traiter des données judiciaires tel que prévu par les exceptions de l’article 10 du RGPD et de l’article 10 de la loi du 30 juillet 2018. Des « données judiciaires » 55. La Chambre Contentieuse rappelle que la décision motivée mentionne explicitement le dossier du Procureur dans lequel le plaignant est suspecté d’attentat à la pudeur sur mineur. 56. A ce propos, la Chambre Contentieuse renvoie à l’arrêt C-136/17 de la CJUE33 qui explique que « les informations concernant une procédure judiciaire menée […] telles que celles relatant sa mise en examen ou le procès […] constituent des données relatives aux « infractions » et aux « condamnations pénales » au sens de l’article 8, paragraphe 5, premier alinéa, de la directive 95/46 et de l’article 10 du règlement 2016/679 ». 57. Il en ressort que la CJUE entend inclure dans le champ d’application de l’article 10 du RGPD les suspicions d’infraction pénale lorsqu’elles font l’objet d’un dossier en cours d’information auprès du Procureur. 58. La décision motivée contient, dans le cas d’espèce, des données judicaires tel qu’entendu par l’article 10 du RGPD dans la mesure où elle reprend les données relatives au dossier en cours d’information auprès du Procureur dans lequel le plaignant est suspect. Du traitement des données judiciaires 59. Comme expliqué au point 54, il convient à la Chambre Contentieuse d’évaluer si l’officier de sécurité et le Conseil de la défenderesse sont exceptionnellement autorisés à traiter des données judiciaires comme entendu par l’article 10 du RGPD et l’article 10 de la loi du 30 juillet 2018. 60. La Chambre Contentieuse souligne qu’une lecture combinée de la deuxième exception de l’article 10 du RGPD et de l’article 10 §1, 3e de la loi du 30 juillet 2018 autorise l’officier de sécurité à effectuer un tel traitement lorsqu’il est nécessaire pour des motifs d’intérêt public important pour l’accomplissement de tâches d’intérêt général confiées par ou en vertu d’une loi. 61. En l’occurrence, une lecture combinée des articles 13/1 et 22, alinéa 3 de la loi du 11 décembre 1998 tel qu’analysé au Titre II de la présente décision astreint l’officier de sécurité à communiquer la décision motivée à la personne concernée, par exclusion de jure au Conseil de la défenderesse. 62. Il s’ensuit que la loi du 11 décembre 1998 n’autorise pas l’officier de sécurité à transmettre la décision motivée au Conseil de la défenderesse. 63. La communication de la décision motivée par l’officier de sécurité au Conseil de la défenderesse dépasse donc le cadre de l’exception prévue à l’article 10 §1, 3e de la loi du 30 juillet 2018 et rend le traitement 3) illégal par l’absence de base légale. 64. La Chambre Contentieuse en conclut que les articles 5.1.a), 6 et 10 du RGPD sont violés. 65. En conséquence, la communication originelle sous le traitement 3) de la décision motivée n’ayant pas de base légale, la Chambre Contentieuse considère que les traitements 4) et 5) sont également illégaux pour les mêmes raisons. 66. A toutes fins utiles, la Chambre Contentieuse remarque que la communication de la notification de la décision – donc sans relever sa motivation – par l’officier de sécurité et le Conseil de la défenderesse aurait pu, prima facie, être un moyen moins intrusif pour les libertés et droits fondamentaux du plaignant d’atteindre les finalités des traitements 3), 4), et 5). III.2. Quant à la violation présumée des articles 12.1, 12.3 et 12.4 et 15 du RGPD III.2.1. Position du plaignant 67. Le plaignant estime que, conformément à l’article 15.4 du RGPD tel qu’interprété par la CJUE dans son arrêt du 4 mai 2023 34, il est possible d’obtenir une copie de documents entiers, lorsque cette copie s’avère indispensable pour permettre à la personne concernée d’exercer les droits qu’elle détient du RGPD. Il lui est indispensable d’obtenir une copie du contenu intégral des courriers échangés entre la défenderesse et le Procureur afin de comprendre et, si nécessaire contester, le traitement de ses données à caractère personnel. 68. En outre, le plaignant considère que la défenderesse n’est pas appelée à prêter un quelconque concours à l’information, premièrement car l’accès au dossier répressif lui a été refusé par le Procureur et deuxièmement car l’article 93 du Statut Administratif impose la suspension de la procédure disciplinaire tant qu’une action pénale est en cours. Ensuite, le plaignant estime important de rappeler que l’information, conformément à l’article 28bis, §1er du Code d’Instruction Criminelle (ci-après, « C.i.c. »), désigne l’ensemble des éléments des actes destinés à rechercher les infractions, les auteurs et les preuves, et à rassembler les éléments utiles à l’exercice de l’action publique. Le courrier envoyé par l’avocat de la défenderesse au Procureur ne correspond en aucun cas à un acte d’enquête. Ainsi, les échanges de correspondance dont le plaignant souhaite obtenir l’accès ne relèvent pas de l’information et ne sont pas couverts par son secret. III.2.2. Position de la défenderesse 69. La défenderesse estime que la correspondance avec le Procureur entre dans le champ d’application de l’article 23 du RGPD par le biais de l’article 28quinquies, §1er, du C.i.c. disposant que « sauf les exceptions prévues par la loi, l’information est secrète. Toute personne qui est appelée à prêter son concours professionnel à l’information est tenue au secret. 70. Outre ceci, la défenderesse soutient que le droit d’accès à une copie de l’article 15.3 du RGPD n’emporte pas le droit pour la personne concernée d’obtenir une copie du document original mais uniquement d’obtenir une copie de ces données. Elle en conclut qu’elle n’est pas sous l’obligation de fournir une copie de la correspondance adressée au Procureur et que la demande d’accès du plaignant consiste en une tentative de détournement des finalités du droit d’accès consacré à l’article 15 du RGPD afin d’interférer dans l’information judiciaire et l’enquête disciplinaire menée par la défenderesse. Elle ajoute qu’une copie d’un extrait d’un document ou d’un document entier ne peut être exigé que lorsque la contextualisation des données traitées est nécessaire pour en assurer l’intelligibilité. En ce sens, la présente affaire constitue la meilleure preuve de la connaissance du plaignant des données contenues dans la correspondance avec le Procureur. III.2.3. Position de la Chambre Contentieuse 71. La Chambre Contentieuse s’emploiera d’une part à évaluer si la défenderesse peut légitimement justifier son refus de donner suite à la demande d’accès du plaignant sur base de l’article 23 du RGPD et, d’autre part, évaluera le prescrit de l’article 15.3 du RGPD et le droit du plaignant d’obtenir une copie. i. Article 15 du RGPD 72. Aux termes de l’article 15.1 du RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsqu’elles sont traitées, la personne concernée a le droit d’obtenir l’accès auxdites données ainsi qu’à une série d’informations listées à l’article 15.1.a) à h) du RGPD. 73. La Chambre Contentieuse rappelle que le droit d’accès constitue une exigence essentielle du droit à la protection des données, puisqu’il constitue la « porte d’entrée » qui permet l’exercice des autres droits conférés par le RGPD à la personne concernée 35. 74. En vertu de l'article 12.1 du RGPD, il appartient au responsable du traitement de prendre «des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples [...]. ». ii. Article 23 du RGPD 75. L’article 23 du RGPD prévoit qu’en vertu du droit de l’Union ou du droit d’un Etat membre, l’application des droits énumérés aux articles 15 à 22 et 34 du RGPD peuvent être limités en respectant les conditions formulées par cet article. Les dispositions de l’article 23 du RGPD visent à créer un équilibre entre ces droits et d’autres intérêts légitimes dans une société démocratique. Pour ce faire, les restrictions aux droits susmentionnés sont possibles moyennant le respect des conditions suivantes : - Premièrement : la dérogation doit être prévue par une mesure législative ; - Deuxièmement : la dérogation doit poursuivre un des motifs énumérés dans la liste exhaustive de l’article 23.1 du RGPD36; - Troisièmement : la dérogation doit respecter l’essence des droits et libertés fondamentaux ; - Quatrièmement : la dérogation doit être une mesure nécessaire et proportionnée dans une société démocratique (test de proportionnalité) ; - Cinquièmement : la mesure législative doit contenir des dispositions spécifiques relatives à certaines caractéristiques du traitement en cause.37 La dérogation prévue par une mesure législative 76. Concernant la première condition, la mesure législative ne doit pas forcément être une loi au sens formelle mais toute norme juridique suffisamment claire et précise, dont l’application est prévisible pour toute personne concernée suffit38. 77. En l’occurrence, la défenderesse invoque la dérogation prévue par le C.i.c., une loi qui prévoit une limitation au droit d’accès à travers le secret de l’information criminelle de son article 28quinquies. 78. L’article 28bis C.i.c. établit une liste des actes inclus dans l’information et dérogeant au droit d’accès, à savoir « l’ensemble des actes destinés à rechercher les infractions, leurs auteurs et les preuves, et à rassembler les éléments utiles à l’exercice de l’action publique. ». 79. En l’occurrence, les données à caractère personnel constituant l’objet de la demande d’accès du plaignant consistent en la correspondance entre la défenderesse et le Procureur. 80. Le refus du Procureur de donner accès au dossier en instruction à la défenderesse sur base de cet article 28quinquies, est une indication que cette correspondance n’est pas utile à l’exercice de l’action publique. Au contraire, elle semble s’apparenter à une demande d’information à propos du dossier en instruction, laquelle a été refusée sur base du secret d’enquête de l’article 28quinquies du C.i.c. 81. La Chambre Contentieuse comprend prima facie, que rien dans la correspondance entre la défenderesse et le Procureur ne touche à l’enquête et conclut qu’elle ne consiste pas en un acte tel qu’entendu par l’article 28bis du C.i.c. 82. De ce fait, la justification du refus à la demande d’accès du plaignant ne satisfait pas la première condition de l’article 23 du RGPD. 83. En conséquence, la Chambre Contentieuse n’estime pas nécessaire de continuer son analyse de l’article 23 du RGPD et en conclut que la demande d’accès ne peut pas être refusée sur base de cet article. iii. Article 15.3 du RGPD 84. A titre préliminaire, la Chambre Contentieuse rappelle qu’un refus de donner suite à la demande d’accès à une copie doit se baser sur le résultat d’un exercice de pondération des intérêts tel que prévu par l’article 15.4 du RGPD et non sur le motif que le plaignant ne démontrerait pas que la contextualisation des données traitées soit nécessaire pour en assurer l’intelligibilité. La Chambre Contentieuse considère l’interprétation de la défenderesse erronée suite à une mauvaise lecture de l’arrêt de la CJUE39 dont elle s’inspire. 85. Le RGPD prévoit aux termes de l’article 15.3 que le responsable du traitement fournit une copie des données à caractère personnel à la personne concernée. Ce droit à une copie est la principale modalité de l’octroi de l’accès aux données traitées 40. 86. Dans l’arrêt C-487/21 du 4 mai 2023, la CJUE a considéré que le droit de l’article 15.3 du RGPD suppose celui d’obtenir la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement, étant souligné qu’il doit être tenu compte, à cet égard, des droits et libertés d’autrui »41 (la Chambre Contentieuse souligne). 87. Le droit d’accès n’étant pas un droit absolu, l’article 15.4 du RGPD prévoit que le droit d’obtenir une copie ne peut porter atteinte aux droits et libertés d’autrui 42. Dès lors, l’interprétation de l’article 15.4 du RGPD requiert une prudence particulière pour ne pas élargir de manière injustifiée les limitations autorisées par l’article 23 du RGPD, en particulier à l’article 23.1.i) 43 qui retient également le motif de limitation tiré de « l’atteinte aux droits et libertés d’autrui ». Ces limitations ne sont en effet autorisées, notamment au droit d’accès, que dans des conditions strictes. 88. S’il peut donner l’impression d’être formulé en termes absolus, l’article 15.4. du RGPD n’en nécessite pas moins une approche proportionnée. Une mise en balance avec d’autres droits fondamentaux devra, conformément au principe de proportionnalité, être opérée au cas par cas par le responsable du traitement qui entend s’en prévaloir 44. 89. En l’espèce, la Chambre Contentieuse note que la défenderesse n’a pas effectué de balance des droits qui justifierait son refus de donner suite au droit d’obtenir une copie du plaignant. 90. La défenderesse ne justifie ce refus que sur la base de l’article 23 du RGPD en ce que cette demande permettrait au plaignant d’interférer dans l’information judiciaire et l’enquête disciplinaire menée par la défenderesse. Refus qui s’avère non valable, tel qu’analysé ci-dessus. 91. En conséquence, le plaignant est en droit de recevoir une copie de cette correspondance dès lors que la défenderesse n’a pas justifié son refus de donner suite au droit d’obtenir une copie conformément à l’article 15.4. du RGPD. 92. En conclusion, la Chambre Contentieuse considère que la défenderesse a manqué aux obligations résultant des articles 12.1, 12.3, 12.4 et 15 du RGPD. De ce fait, la Chambre Contentieuse ordonne à la défenderesse de donner accès au plaignant à une copie de la correspondance qu’elle a eue avec le Procureur. III.3. Quant aux violations présumées des articles 5.1.f), 5.2, 24.1, 25.2 et 32 du RGPD III.3.1. Position du plaignant 93. En l’espèce, le plaignant estime que l’ensemble des mesures listées par la défenderesse ne permettent pas d’expliquer en quoi l’accès par le supérieur hiérarchique à ses données respecte le prescrit des articles 5.1.f) et 32 du RGPD. Il note également que seuls les officiers de sécurité et le personnel administratif chargé du suivi des dossiers individuels sont repris dans la liste de catégories de personnes ayant accès aux données à caractère personnel relatives aux condamnations pénales et aux infractions collectées dans le cadre de la procédure de screening45. Dès lors, le plaignant considère que cette liste ne présente aucune pertinence pour justifier un accès licite ou légitime à ses données par son supérieur hiérarchique. 94. Enfin, quant au registre du traitement, le plaignant remarque qu’il n’est pas daté et conteste fortement sa fiabilité et sa pertinence. Indépendamment de cela, le plaignant pointe le fait que le registre n’illustre pas en quoi l’accès à ses données par son supérieur hiérarchique respecte les principes d’intégrité et de confidentialité consacré par le RGPD. 95. Le plaignant souligne également que plusieurs membres du Conseil de la défenderesse sont au courant des faits dont il est suspecté dans le cadre de l’information judiciaire ouverte à son encontre ce qui constitue une divulgation non autorisée de ses données et une faille de sécurité expressément mentionnée à l’article 32.2 du RGPD. 96. Par conséquent, le plaignant estime que la défenderesse ne démontre pas à suffisance que les mesures adoptées pour garantir l’intégrité et la confidentialité des données qu’elle a traitées, de surcroit illicitement, étaient appropriées par rapport au niveau de risque identifié. 97. Enfin, le plaignant considère que la défenderesse, en n’ayant pas fourni de preuves suffisantes pour démontrer sa conformité avec les articles 5.1.a), 5.1.b), 5.1.f) , 6, 10, 12.1, 12.3, 12.4, 15 et 32 du RGPD, ne prouve pas non plus qu'elle a respecté les obligations de responsabilité imposées par les articles 24.1 et 25.2 du RGPD. Ce principe de responsabilité requiert que le responsable du traitement prenne non seulement des mesures adéquates pour se conformer au RGPD, mais également qu'il soit capable de démontrer cette conformité de manière tangible. L'absence de preuve satisfaisante quant au respect des articles susmentionnés met en évidence une défaillance dans l'application de ce principe fondamental. III.3.2. Position de la défenderesse 98. La défenderesse estime avoir mis en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques. Ces mesures organisationnelles concernent en particulier la sécurité et la confidentialité des données récoltées par la défenderesse dans le cadre de l’application de la loi du 11 décembre 1998 et consistent en une cellule dédiée aux opérations dites de « screening ». 99. Elle souligne notamment les mesures techniques et organisationnelles suivantes : toute correspondance lui étant adressée dans le cadre de la procédure de screening ne peut en aucun cas être ouverte par le greffe mais doit être immédiatement transmise au service compétent ; les documents physiques contenant des données liées aux habilitations, attestations et avis de sécurité sont conservés dans une armoire spécifique et sécurisée dont l’accès est limité aux officiers de sécurité de la défenderesse ; et la défenderesse a établi une liste des catégories de personnes ayant accès aux données à caractère personnel relatives aux condamnations pénales et aux infractions pénales ou aux mesures de sûreté connexes collectées dans le cadre de la procédure de screening ; les opérations de screening sont soumises à un processus opérationnel strict défini dans un document interne et décrivant les interactions autorisées entre les officiers de sécurité et les autres organes ; les données informatiques récoltées dans le cadre du processus de screening sont conservées sur un serveur spécifique qui fait l’objet de mesures techniques et informatiques appropriées et qui n’est accessible qu’aux officiers de sécurité et au personnel administratif utile au traitement de ces données. 100. La défenderesse explique que la violation alléguée de ces articles qui serait caractérisée par l’envoi de la décision motivée au Conseil de la défenderesse et au supérieur hiérarchique du plaignant ne porte pas sur le caractère approprié des mesures techniques et organisationnelles de la défenderesse mais uniquement sur la licéité des traitements résultant d’une obligation légale imposée à l’officier de sécurité et à la défenderesse46. 101. La défenderesse estime qu’elle a été en mesure de démontrer que le traitement en cause a été effectué conformément aux dispositions du RGPD et que les violations alléguées sont superfétatoires puisqu’elles reposent sur les prétendues autres violations alléguées par le plaignant. III.3.3. Position de la Chambre Contentieuse i. Principes de sécurité et de responsabilité 102. La Chambre Contentieuse rappelle, qu’en sa qualité de responsable du traitement, la défenderesse est tenue de mettre en œuvre les principes de protection des données et doit être en mesure de démontrer que ceux-ci sont respectés (principe de responsabilité – articles 5.2. du RGPD). 103. Sur base de l’article 5.1.f) du RGPD, les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée, « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées ». 104. A cet égard, il faut tenir compte de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité des risques que présente le traitement pour les droits et libertés des personnes. De plus, la Chambre Contentieuse rappelle que la décision motivée est une donnée judiciaire pour laquelle la défenderesse doit porter une attention particulière. 105. La Chambre Contentieuse rappelle que la défenderesse, toujours en sa qualité de responsable du traitement, doit mettre en œuvre toutes les mesures nécessaires à cet effet (article 24 du RGPD). La Chambre Contentieuse insiste, comme elle a déjà eu l’occasion de le rappeler dans de précédentes décisions prises à l’encontre de mandataires publics47, sur le fait que le secteur public, doit, de manière générale, être vecteur d’exemple dans les mesures qu’il adopte pour garantir le respect du droit fondamental à la protection des données à caractère personnel. 106. L’article 32.1 du RGPD dispose que lors de l'évaluation du niveau de sécurité approprié, il faut tenir compte en particulier des risques que présente le traitement, résultant notamment de la destruction, la perte, l'altération, et la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite. 107. La Chambre Contentieuse rappelle que cet article 32 doit être lu à la lumière des articles 5.2 et 24 du RGPD qui imposent au responsable du traitement de démontrer le respect de l’article 32 du RGPD, en prenant des mesures techniques et organisationnelles appropriées, de façon transparente et traçable. La Chambre Contentieuse rappelle par ailleurs que l’article 25 du RGPD impose au responsable du traitement d’implémenter les mesures nécessaires pour respecter les règles du RGPD en amont de ses actes et procédures. 108. Il convient de relever que le principe de sécurité avec ses différentes composantes d’intégrité, confidentialité et disponibilité est repris aux articles 5.1.f) et 32 du RGPD et est désormais érigé au même rang que les principes fondamentaux de licéité, transparence et loyauté. A ce propos l’article 32.2.b) du RGPD prévoit que « […] Le[s] responsable[s] du traitement […] mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins ; b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité […] ». 109. Enfin, la Chambre Contentieuse tient à souligner que la décision motivée est une donnée judiciaire tel qu’entendu par l’article 10 du RGPD qui porte sur un comportement entrainant la désapprobation de la société même lorsque la personne n’a pas (encore) été condamnée, le cas échéant. De par sa nature, cette décision motivée mérite une protection spécifique de par l’ingérence grave dans la vie privée et professionnelle que constitue son traitement. ii. Mesures techniques et organisationnelles de la défenderesse 110. En l’occurrence, l’illicéité des traitements 3) à 5) indique un manquement à la confidentialité de la décision motivée. A ce propos, la défenderesse a communiqué un extrait, non daté, de son registre de traitement (pièce 6) dans lequel elle identifie le risque de divulgation des décisions motivées et y attache comme mesure organisationnelle une gestion d’accès (i.e., l’officier de sécurité et le personnel administratif – 3 agents) et comme mesure technique un accès restreint à ces données (i.e., les décisions motivée sont gardées sous scellé). 111. En outre, Chambre Contentieuse remarque que les mesures techniques et organisationnelles sont suffisantes pour assurer la confidentialité des décisions motivées dans les situations exceptionnelles ou la défenderesse en prendrait connaissance. 112. La Chambre Contentieuse note, cependant, que la défenderesse devrait également inclure des mesures relatives aux situations exceptionnelles dans lesquelles l’officier de sécurité pourrait divulguer une décision motivée à son fonctionnaire dirigeant. 113. De ce fait, la Chambre Contentieuse ne constate pas d’infraction aux articles 5.1.f), 24.1, 25.2 et 32 du RGPD. IV. Quant aux mesures correctrices et sanctions 114. Aux termes de l’article 100 LCA, la Chambre Contentieuse a le pouvoir de : 1° classer la plainte sans suite ; 2° ordonner le non-lieu ; 3° prononcer une suspension du prononcé ; 4° proposer une transaction ; 5° formuler des avertissements ou des réprimandes ; 6° ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits; 7° ordonner que l'intéressé soit informé du problème de sécurité ; 8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement ; 9° ordonner une mise en conformité du traitement ; 10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données ; 11° ordonner le retrait de l'agréation des organismes de certification ; 12° donner des astreintes ; 13° donner des amendes administratives ; 14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international ; 15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier ; 16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données 115. Sur base des pièces du dossier et à l’issue de son analyse, la Chambre Contentieuse conclut, a. à l’illicéité de la communication de la décision motivée des traitements 3), 4) et 5). La Chambre Contentieuse considère que ces traitements ne sont pas justifiés au regard de l’article 10 du RGPD, comme précisé au Titre III.1. b. à une violation des articles 12.1, 12.3, 12.4 et 15 du RGPD suite au refus de la défenderesse de donner suite à la demande d’accès du plaignant qui ne repose sur aucun fondement juridique valable selon l’article 23 du RGPD, comme précisé au Titre III.3. 116. En raison de ces manquements, la Chambre Contentieuse formule une réprimande à l’encontre de la défenderesse sur la base de l’article 100, 5° de la LCA. 117. En raison de l’illicéité de la communication de la décision motivée dans les traitement 3), 4) et 5) et par conséquent, la détention illicite de ces derniers par la défenderesse, la Chambre Contentieuse ordonne à la défenderesse d’effacer la décision motivée, cette dernière ayant fait l’objet de traitements illicites48. 118. Concernant le refus injustifié de la demande d’accès, la Chambre Contentieuse ordonne à la défenderesse de faire suite utile à la demande d’accès du plaignant sur la base de l’article 100, 6° de la LCA, et de lui donner une copie de la correspondance entre le Procureur et la défenderesse. IV. Publication de la décision 119. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site internet de l’Autorité de protection des données (APD) moyennant la suppression des données d’identification directe du plaignant et des personnes citées. 120. La pratique habituelle de la Chambre Contentieuse est de ne pas anonymiser les données d’identification directe relative aux organismes publics, notamment dans un objectif d’intérêt général. Cependant la spécificité des faits et le caractère unique du cas d’espèce fait croire à la Chambre Contentieuse qu’il serait possible d’identifier le plaignant sur base de l’identité de cet organisme public. La Chambre Contentieuse souligne que cette décision de ne pas anonymiser un organisme public est spécifique à la présente affaire et ne constitue, en aucun cas, une pratique. PAR CES MOTIFS, la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération : - En vertu de l’article 58.2.a) du RGPD et de l’article 100, §1, 4° de la LCA, de formuler une réprimande à l’égard de la défenderesse en ce qui concerne : ° les traitements 3 à 5 sui sont illicites ; et ° une justification non-valable de refus de donner suite à la demande d’accès du pklaignant.les traitements 3 à 5 sui sont illicites ; et - En vertu de l’article 58.2.c) du RGPD et de l’article 100, §1, 6° de la LCA, d’ordonner à la défenderesse de se conformer à la demande de la personne concernée d’exercer ses droits, plus précisément le droit d’accès à une copie, et ce dans le délai de 30 jours à dater de la notification de la présente décision ; - En vertu de l’article 58.2.g) du RGPD et de l’article 100, §1, 10° de la LCA, d’ordonner à la défenderesse d’effacer les données à caractère personnel consistant en la décision motivée et la notification de celle-ci aux récipiendaires des données, conformément à l’article 19 du RGPD ; - D’ordonner à la défenderesse d’informer par e-mail l’Autorité de protection des données (Chambre Contentieuse) de la suite qui est donnée à cette décision, dans le même délai, via l’adresse e-mail ligitationchamber@apd-gba.be. Conformément à l'article 108, § 1 de la LCA, un recours contre cette décision peut être introduit, dans un délai de trente jours à compter de sa notification, auprès de la Cour des Marchés (cour d'appel de Bruxelles), avec l'Autorité de protection des données comme partie défenderesse. Un tel recours peut être introduit au moyen d'une requête interlocutoire qui doit contenir les informations énumérées à l'article 1034ter du Code judiciaire49. La requête interlocutoire doit être déposée au greffe de la Cour des Marchés conformément à l'article 1034quinquies du C. jud.50, ou via le système d'information e-Deposit du Ministère de la Justice (article 32ter du C. jud.). (Sé). Hielke HIJMAN Président de la Chambre Contentieuse Document PDF ECLI:BE:GBAPD:2025:DEC.20250107.2