ECLI:BE:GBAPD:2024:DEC.20241128.1

Chambre Contentieuse Décision quant au fond 146/2024 du 28 novembre 2024 Numéro de dossier : DOS-2019-04308 Objet : Enquête concernant deux traitements mis en place par Freedelity La Chambre Contentieuse de l'Autorité de protection des données, constituée de Monsieur Hielke Hijmans, président, et de Messieurs Yves Poullet et Romain Robert, membres; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après "RGPD" ; Vu la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données 1 (ci-après « LCA ») ; Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 20192 ; Vu les pièces du dossier ; A pris la décision suivante concernant : La défenderesse : Freedelity, dont le siège social est établi à la Rue Altiero Spinelli 7, 1401 Nivelles, inscrite sous le numéro d'entreprise 0818.399.886, représentée par Maîtres Christian Defauw, Alexandre Cassart, Etienne Wéry, Victoria Ruelle et Fanny Cotton, ci-après : « la défenderesse » I. Faits et procédure 1. Le 8 juillet 2019, le journal de l’Echo a publié un article intitulé « Freedelity propose de mutualiser la gestion des données clients »3. Le 2 août 2019, un membre du Comité de direction a proposé au président du Comité de direction d’examiner ce service. 2. Cette discussion a été mise à l’ordre du jour de la réunion du Comité de direction du 20 août 2019. Lors de cette réunion, le Comité de direction a décidé d’envoyer une lettre à la défenderesse pour s’enquérir du fonctionnement du service décrit dans l’article de l’Echo. 3. Le 30 août 2019, le directeur du Secrétariat général a envoyé une lettre comprenant une série d’environ 10 questions à la défenderesse. Le 9 octobre 2019, la défenderesse a transmis ses réponses au Secrétariat général. 4. Sur la base de ces réponses, le Secrétariat général a rédigé une lettre à l’attention du Comité de direction intitulée « Rapport DIRCO – Lettre d’information préliminaire - Freedelity ». Le 6 décembre 2019, sur la base de cette dernière, le Comité de direction de l’Autorité de protection des données (ci-après « APD ») a décidé de demander une enquête au Service d'Inspection, en vertu de l’article 63.1° de la LCA. 5. Le 20 avril 2022, l’enquête du Service d’Inspection est clôturée, le rapport est joint au dossier et celui-ci est transmis par l’Inspecteur général au président de la Chambre Contentieuse (art. 91, § 1er et § 2 de la LCA). Le Service d’Inspection constate, dans les grandes lignes, que : - Constatation 1 : Freedelity n’a pas été en mesure de démontrer la collecte d’un consentement valable (conformément à l’article 4.11 du RGPD) en violation des articles 5.1.a., 6.1.a., 7 et 5.2. du RGPD. - Constatation 2 : Freedelity n’a pas été en mesure de démontrer que des mesures appropriées avaient été mises en place en vue de faciliter le retrait du consentement en violation de l’article 7.3. du RGPD lu à la lumière du principe de responsabilité (articles 5.2., 24 et 25 du RGPD). - Constatation 3 : Freedelity n’a pas été en mesure de démontrer qu’il a mis en œuvre des mesures appropriées en vue de garantir la validité et la collecte du consentement (au sens de l’article 4.11. du RGPD) pour les traitements pour lesquels Freedelity agit en qualité de responsable du traitement en violation des articles 5.2., 24 et 25 du RGPD. - Constatation 4 : Freedelity a violé le principe de minimisation des données inscrit à l’article 5.1.c. du RGPD et l’article 25.1 du RGPD. - Constatation 5 : Freedelity n’a pas su justifier les durées de conservation des données déterminées en violation des articles 5.1.e., 5.2., 24 et 25.1. du RGPD. 6. Le 6 juillet 2022, la Chambre Contentieuse décide, en vertu de l’article 95, § 1er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond. 7. Le même jour, la défenderesse est informée par envoi recommandé des dispositions telles que reprises aux articles 95§2 et 98 de la LCA. Elle est également informée, en vertu de l'article 99 de la LCA, des délais pour transmettre ses conclusions. 8. La date limite pour la réception des conclusions en réponse de la part de la défenderesse a été fixée au 31 août 2022 9. Le 7 juillet 2022, la défenderesse demande une copie du dossier (art. 95, §2, 3° LCA), laquelle lui est transmise le 12 juillet 2022. 10. Le 18 juillet 2022, la défenderesse accepte de recevoir toutes les communications relatives à l'affaire par voie électronique et manifeste son intention de recourir à la possibilité d'être entendue, conformément à l'article 98 de la LCA. Elle demande également un report de la date limite d’envoi de conclusions au 30 octobre 2022. 11. Le 2 août 2022, la Chambre Contentieuse accepte un report de la date limite au 21 septembre 2022. 12. Le 15 septembre 2022, la défenderesse demande à pouvoir consulter la version papier du dossier administratif. Elle sollicite également une extension du délai de remise des conclusions au 21 octobre 2022. 13. Le 21 septembre 2022, la Chambre Contentieuse accepte de reporter le délai pour le dépôt des conclusions de deux semaines, jusqu’au 5 octobre 2022. Elle rappelle à la défenderesse que celle-ci a déjà, à sa demande, obtenu une copie numérique complète du dossier administratif le 12 juillet 2022. Elle ajoute cependant qu’elle peut consulter le dossier en prenant contact avec le greffe. 14. Le 28 septembre 2022, la consultation du dossier administratif papier a lieu dans les locaux de l’APD. 15. Le 5 octobre 2022, la Chambre Contentieuse reçoit les conclusions de la part de la défenderesse. Lors de l’envoi de ses conclusions, la défenderesse sollicite également, avant dire droit, des documents qu’elle estime nécessaires à l’exercice des droits de la défense. Elle demande également à pouvoir disposer d’un nouveau délai de conclusions après la réception de ces documents. 16. Le 2 mai 2023, la Chambre Contentieuse transmet à la défenderesse de nombreux documents et autorise également la défenderesse à conclure sur ces éléments jusqu’au 17 mai 2023. 17. Le 3 mai 2023, la défenderesse demande de repousser la date limite de remise des conclusions au 15 juin. 18. Le 8 mai 2023, la Chambre Contentieuse accepte de prolonger le délai d’une semaine, jusqu’au 24 mai 2023. 19. Le 9 mai 2023, les parties sont informées du fait que l'audition aura lieu le 14 juin 2023. 20. Le 23 mai 2023, la défenderesse indique à la Chambre Contentieuse qu’elle souhaite recevoir la copie complète du procès-verbal de la réunion du Comité de direction du 6 décembre 2019. Elle demande la copie de la décision de levée de mandat du président de l’APD, en 2022, et, dans l’hypothèse où l’APD n’en disposerait pas, elle exige que cette dernière fasse les démarches pour l’obtenir. Elle estime que les délais de remise des conclusions qui lui sont octroyés sont déraisonnables, que l’audition est prématurée et que le dossier n’est pas en état. 21. Le 24 mai 2023, la Chambre Contentieuse reçoit les conclusions additionnelles de la part de la défenderesse. 22. Le 2 juin 2023, la Chambre Contentieuse répond à la défenderesse en indiquant que les extraits du procès-verbal de la réunion du Comité de direction contiennent toutes les informations relatives au présent dossier. Elle ajoute qu’elle a fourni tous les documents dont elle dispose et qu’il appartient à la défenderesse de présenter à l’appui de ses conclusions tous les documents qu’elle estime utiles. La Chambre Contentieuse en conclut que le dossier est en état et que l’audition peut avoir lieu. 23. Le 12 juin 2023, la défenderesse informe la Chambre Contentieuse du fait qu’elle a introduit une demande à la Commission d’accès aux documents administratifs (ci-après, « CADA ») à l’encontre de la Chambre Contentieuse. Elle demande un nouveau report de l’audience. 24. Le 12 juin 2023, la Chambre Contentieuse rappelle la position exprimée le 2 juin 2023. Elle ajoute que l’APD ne s’estime actuellement pas soumise à la loi du 11 avril 1994 relative à la publicité de l'administration. 25. Le 12 juin 2023, la défenderesse fait savoir à la Chambre Contentieuse qu’un de ses conseils est indisponible pour cause de maladie et qu’elle est dès lors dans l’impossibilité de plaider le dossier à la date d’audition prévue. 26. Le 13 juin 2023, la Chambre Contentieuse informe la partie défenderesse du fait que l’audition a été déplacée au 29 juin 2023. 27. Le 15 juin 2023, la défenderesse envoie à la Chambre Contentieuse une demande en récusation de son président sur la base de l’article 828, 1° du Code judiciaire 4. 28. Le 19 juin 2023, le président de la Chambre Contentieuse rejette la demande en récusation en rappelant notamment que le Code judiciaire ne lui est pas applicable, et que les arguments de la défenderesse concernant le manque d’impartialité du président de la Chambre Contentieuse sont infondés. 29. Le 20 juin 2023, la défenderesse dépose une requête en récusation auprès de la Cour des marchés, qui en informe la Chambre Contentieuse le 22 juin 2023. 30. Le 26 juin 2023, le greffe de la Chambre Contentieuse informe la défenderesse que l’audition qui était prévue pour le 29 juin 2023 est reportée à une date à déterminer. 31. Le 27 juin 2023, la défenderesse envoie un courriel à la présidente de l’Autorité de protection des données. Dans ce courriel, la défenderesse rappelle ses différentes demandes concernant les documents et indique qu’elle estime que cette question doit être traitée par la présidente de l’APD ou le Comité de direction de l’APD et non par le président de la Chambre Contentieuse. 32. Le 4 juillet 2023, l’APD reçoit l’avis n°2023-95 de la CADA. Cette dernière s’estime compétente pour donner un avis sur une demande d’accès à un document formulée à l’égard de l’APD. Elle estime également que la demande de la défenderesse est recevable. 33. Dans son avis, la CADA indique que l’APD n’est pas tenue de garantir l’accès à un document dont elle n’est pas en possession, mais qu’elle doit désigner, si elle a connaissance, l’autorité qui détient le document demandé. Suite à cet avis, la défenderesse sollicite à nouveau l’accès à des documents qu’elle estime nécessaires à l’exercice des droits de la défense. 34. Le 11 juillet 2023, la Chambre Contentieuse répond à la défenderesse en lui indiquant qu’elle transmet sa demande au Comité de direction de l’APD. 35. Le 18 juillet 2023 le Comité de direction, par le biais de la présidente de l’APD, répond à la défenderesse. Elle indique tout d’abord que la position de la CADA constitue un revirement par rapport à sa position précédente. Elle ajoute qu’elle ne prend pas position à ce stade sur l’applicabilité de la loi du 11 avril 1994 à l’APD, mais elle ne voit pas d’objection à ce que, en l’espèce, l’agenda et le PV de la réunion du Comité de direction du 6 décembre 2019 soient fournis à la partie défenderesse, avec retrait des informations concernant d’autres responsables de traitement. 36. Le 31 octobre 2023, la Cour des marchés rend un arrêt 2023/7566 concernant la requête en récusation formulée par la défenderesse à l’égard du président de la Chambre Contentieuse5. Dans cet arrêt, la Cour des marchés se déclare sans juridiction et sans compétence pour connaître de la demande en récusation formée par la défenderesse à l’encontre du président de la Chambre Contentieuse. 37. Le 28 novembre 2023, la défenderesse est informée du fait que l'audition aura lieu le 15 janvier 2024. 38. Le 22 décembre 2023, la défenderesse introduit une citation en référé auprès de la Chambre des référés du Tribunal de première instance de Bruxelles sollicitant la production de tous les documents liés à Freedelity sous peine d’astreinte. 39. La Chambre des référés rend une première ordonnance le 12 février 2024 dans laquelle elle déclare la demande de Freedelity non-fondée en ce qui concerne la production de la décision de levée du mandat de l’ancien président de l’APD et les documents qui ne sont pas liés à la décision du Comité de direction du 6 décembre 2019. Elle ordonne à l’APD de produire plusieurs des documents demandés par la défenderesse. 40. Le 20 mars 2024, la Chambre des référés rend une ordonnance dans laquelle elle juge la demande de Freedelity partiellement fondée et ordonne à l’APD de produire plusieurs documents additionnels, dont des courriels internes entre collaborateurs de l’APD qui étaient repris dans l’inventaire des pièces. 41. Le 22 mars 2024, l’APD fournit les pièces additionnelles à Freedelity. Conformément à la seconde ordonnance de la Chambre des référés, elle accorde un délai de 15 jours à Freedelity pour conclure sur toutes les pièces fournies par l’APD et l’invite à l’audition qui aura lieu le 11 avril. 42. Le 9 avril Freedelity dépose ses conclusions additionnelles. 43. Le 11 avril 2024, la défenderesse est entendue par la Chambre Contentieuse. 44. Le 29 avril 2024, le procès-verbal de l’audition est soumis à la défenderesse. 45. Le 3 mai 2024, la défenderesse communique à la Chambre Contentieuse qu’elle ne souhaite pas commenter le procès-verbal de l’audition et qu’elle s’en tient à ses écrits de procédure et aux plaidoiries. II. Motivation II.1. Mise en contexte 46. Depuis sa création en 2010, Freedelity propose une technologie visant à simplifier la collecte et la mise à jour de données personnelles en utilisant notamment des données contenues dans la puce de la carte d'identité électronique belge (ci-après, « eID »). 47. Les services de Freedelity permettent de centraliser des avantages commerciaux offerts par différentes enseignes aux consommateurs, ainsi que les cartes de fidélité ou preuves d’achat de ces derniers. Ces services sont offerts à la fois (i) par Freedelity à ses clients du type « enseignes » (selon un modèle B2B, dans le cadre du service CustoCentrix), et (ii) par Freedelity à des consommateurs (selon un modèle B2C). 48. Si l’article dans l’Echo susvisé se concentrait sur la présentation de CustoCentrix, à partir de la phase d’inspection, l’enquête s’est concentrée sur le « fichier Freedelity », maintenu par Freedelity en qualité de responsable de traitement 6 , ce fichier demeurant largement alimenté par des données collectées par les enseignes. 49. Comme l’explique Freedelity dans ses réponses au service d’inspection (pièce 5 du dossier), « le fichier Freedelity permet en effet l’identification personnelle de chaque consommateur, l’accès au portail Myfreedelity ainsi que la gestion du processus de mutualisation de la tenue à jour des données de consommateurs entre les clients de Freedelity ». 50. Le Service d’inspection a analysé uniquement la conformité des traitements en lien avec le fichier Freedelity, et par conséquent (1) la collecte des données personnelles d’identification et de contact, (2) la mutualisation de ces données personnelles, et (3) le transfert de données d’identité contenues dans le fichier Freedelity à des tiers tels que Z1 et Z2. 51. La Chambre Contentieuse analysera successivement la légalité des traitements (1) et (2) susvisés dans la section II.5. Elle relève toutefois que le rapport d’enquête du Service d’inspection ne contient pas suffisamment d’éléments pour permettre un examen approfondi du traitement (3), notamment concernant les bases légales possibles et les rôles des acteurs en cause. En conséquence, la présente décision ne portera pas sur ce traitement (3) . II.2. Question liminaire : Déportation du président de la Chambre Contentieuse 52. A titre liminaire, la défenderesse demande au président de la Chambre Contentieuse de se déporter en raison du doute légitime qui existerait quant à son impartialité. A des fins de lisibilité et de clarté de la présente décision, la réponse de la Chambre Contentieuse à cet argument sera examinée ultérieurement dans la décision, dans la section consacrée au respect des droits de la défense, et plus particulièrement à l’impartialité des membres du Comité de direction, dont le président de la Chambre Contentieuse (section II.4.1.1). II.3. Procédure : Etapes de la procédure 53. La Chambre Contentieuse observe que la défenderesse a soulevé un nombre important d’arguments relatifs à l’ensemble des étapes de la procédure. Cependant, sans préjuger de sa compétence et de l’étendue de son devoir de motivation à l’égard des arguments soulevés - questions qui n’ont pas été tranchées par la Cour des Marchés -, la Chambre Contentieuse souhaite y répondre ci-dessous pour la bonne compréhension de la décision. II.3.1. L’interpellation du directeur du Secrétariat général (à l’époque, également président du Comité de direction) par la directrice du Centre de connaissances 54. La défenderesse estime que la directrice du Centre de connaissances de l’époque7 n’avait aucune compétence pour interpeller le directeur du Secrétariat général, que ce soit en sa qualité de membre du Comité de direction ou de directrice du Centre de connaissances. 55. A toutes fins utiles, la Chambre Contentieuse rappelle que le Comité de direction est composé des cinq directeurs de l’APD (article 12 de la LCA). A ce titre, la directrice du Centre de connaissances était, de pair avec cette fonction, membre du Comité de direction à l’époque de l’interpellation du directeur du Secrétariat général. Par ailleurs, le directeur du Secrétariat général de l’époque était également le président de l’Autorité de protection des données, et donc, à ce titre, présidait le Comité de direction conformément à l’article 13§1 de la LCA. 56. L’article 10§1 de la LCA dispose que « Le comité de direction suit les évolutions dans les domaines technologiques, commerciaux et autres qui ont une incidence sur la protection des données à caractère personnel » (soulignement ajouté). 57. Il ressort des pièces du dossier que la directrice du Centre de connaissances (membre du Comité de direction) a proposé au président du Comité de direction d’examiner un service de Freedelity dont le fonctionnement était décrit comme novateur dans un article de L’Echo publié le 8 juillet 2019, intitulé « Freedelity propose de mutualiser la gestion des données clients »8. 58. L’APD, à travers son prédécesseur la Commission de la Protection de la Vie Privée (ci-après « CPVP »), était au courant de l’existence du service proposé par Freedelity, consistant en une technologie innovante permettant d’accéder depuis sa carte d’identité, à des avantages économiques (ex : des points accumulés sur une carte de fidélité). Cependant, l’article de L’Echo présentait une évolution du service technologique en cause : « Aujourd’hui, la société nivelloise va un cran plus loin. Avec Custocentrix, elle lance une plateforme cloud permettant aux détaillants de mieux organiser et de tenir à jour l’ensemble des données personnelles et comportementales de leurs clients ». 59. Il est à noter qu’une évolution d’un service technologique offert par une entreprise privée nécessitant l’usage de la carte d’identité belge, laquelle contient un identifiant unique à caractère hautement sensible9 et réglementé (le numéro de registre national), a une incidence sur la protection des données personnelles en Belgique. Si les membres du Comité de direction de l’APD n’étaient pas en mesure de comprendre l’étendue de l’incidence de cette évolution sur la base d’un simple article de journal, ni si le traitement du numéro de registre national était impliqué dans cette évolution, ces derniers ont assumé pleinement leur responsabilité en décidant d’analyser ladite évolution sur la base de l’article 10 de la LCA. Toute interprétation contraire de cet article reviendrait à limiter ce pouvoir de suivi conféré spécifiquement aux membres du Comité de direction 10 et à le vider de son sens. La directrice du Centre de connaissances était dès lors fondée à demander formellement au président du Comité de direction que cette discussion soit mise à l’ordre du jour de la réunion du Comité de direction du 20 août 2019. 60. Dans les conditions mentionnées aux deux paragraphes précédents, tout membre du Comité de direction est habilité à demander formellement au président du Comité de direction d’inscrire une discussion concernant un tel suivi à l’ordre du jour des réunions du Comité de direction. Pour la Chambre Contentieuse, cette interpellation intervient dans le cadre de cette obligation de suivi des évolutions dans les domaines technologiques, incombant à l’APD et donc, au premier chef, aux membres du Comité de direction. Un tel suivi nécessite la possibilité d’une interpellation interne entre membres du Comité de direction et est donc parfaitement justifiée. 61. Un membre du Comité de direction a souhaité mettre à l’ordre du jour une discussion concernant le nouveau service proposé par Freedelity, afin de permettre au Comité de direction d’assurer un suivi de cette évolution dans le domaine technologique. Cette interpellation légitime intervient dans le cadre de l’article 10§1 de la LCA et est donc conforme à la loi. II.3.2. Envoi d’une lettre de demande d’information à la défenderesse par le président du Secrétariat général (à l’époque, également président du Comité de direction) 62. Premièrement, la défenderesse estime qu’à la suite de la décision du Comité de direction d’assurer le suivi du service de Freedelity, le Secrétariat général a outrepassé ses compétences en envoyant une lettre de demande d’informations à la défenderesse (pièce 2 du dossier). Elle se base notamment sur un rapport de la Cour de comptes qui, selon elle, critique le fait que le Secrétariat général s’octroie un « rôle de filtrage des dossiers ». Deuxièmement, la défenderesse avance que l’envoi de cette lettre de demande d’informations en néerlandais à la défenderesse est contraire à la loi sur l’emploi des langues en matière administrative et que par application de l’article 58 de la loi du 18 juillet 1966, la nullité de cet acte doit être constatée et par extension, celle de toute la procédure. 63. Premièrement, la Chambre Contentieuse souligne que pendant la séance du Comité de direction, ses membres ont décidé qu’un courrier pouvait être envoyé sur base de l’article 20§1,1° de la LCA, après avoir consulté les dossiers qui avaient auparavant été ouverts à propos de la défenderesse auprès du Service de Première Ligne (« SPL »). Le premier courrier est rédigé par le Secrétariat général et envoyé à la défenderesse le 30 août 2019. 64. Le président de l’APD (et donc du Comité de direction) était assisté dans l'exécution de ses tâches par le Secrétariat général (article 13§3 de la LCA). En outre, le Secrétariat général dispose d’une mission propre de « surveillance » des développements technologiques, qui ont un impact sur la protection des données à caractère personnel (article 20§1,1° de la LCA). Cette mission présente une redondance certaine avec celle du Comité de direction, consistant à « suivre » les évolutions dans le domaine technologique ayant une incidence sur la protection des données personnelles (article 10 de la LCA). Toutefois, la mission de « surveillance »11 du Secrétariat général implique a priori un contrôle actif d’un degré supérieur à celui impliqué par la notion de « suivi »12 incombant au Comité de direction. Par ailleurs, le Comité de direction n’a pas de département propre et ne peut assurer son suivi sans passer par un autre organe de l’APD pour l’assister, lequel était en l’occurrence le Secrétariat général, dont le directeur présidait le Comité de direction. 65. La Chambre Contentieuse ne partage pas la lecture de la défenderesse selon laquelle le Secrétariat général se serait arrogé en l’espèce des pouvoirs « d’enquête » (mission incombant uniquement au Service d’inspection) ou de « filtrage des dossiers ». Dans la présente affaire, le Secrétariat général a envoyé une dizaine de questions neutres concernant le fonctionnement du nouveau service de Freedelity, afin d’en connaître le fonctionnement. Le Secrétariat général est en effet habilité à exercer une telle surveillance en vertu de l’article 20§1,1° de la LCA), lequel se distingue en tout point du pouvoir d’enquête réservé au Service d’inspection (article 28 de la LCA). 66. Ainsi, les critiques de la Cour des comptes portant sur le fait que le Secrétariat général opérerait un rôle de filtrage des dossiers ne sont pas pertinentes pour le présent dossier, puisqu’en l’espèce, le dossier a été ouvert à la demande d’un membre du Comité de direction et que le Comité de direction a décidé de l’envoi d’un courrier le 20 août 2019. Le Secrétariat général s’est contenté d’assister le président du Comité de direction en restant dans les limites de ses compétences légales, et, par ce biais, a permis au Comité de direction d’assurer le suivi des évolutions dans le domaine technologique en cause. 67. Interdire au Secrétariat général de contacter les acteurs concernés concernant les développements technologiques afin d’assumer pleinement sa mission de « surveillance », reviendrait pour l’APD à solliciter l’intervention d’un autre organe (par exemple le Service d’inspection) pour assurer cette surveillance. Ce mode de fonctionnement serait tout à fait contraire à l’esprit de la LCA, et à la logique de répartition des compétences internes entre organes de l’APD, comme expliqué ci-dessus : il est non seulement prévu dans le texte que le Secrétariat général suive les évolutions technologiques, mais il est en outre logique que le Secrétariat général assiste le Comité de direction dans l’exécution de ses tâches, notamment lorsque l’article 13§3 de la LCA prévoit que le président de l’APD – donc le président du Comité de direction - est assisté dans l’exécution de ses tâches par le Secrétariat général. En outre, le Service d’inspection ne pouvait être saisi à ce stade, puisque sa saisine ne peut émaner d’une demande du Secrétariat général (article 63 de la LCA) et qu’aucune procédure ne justifie le partage d’une enquête du Service d’inspection au Secrétariat général, laquelle doit rester secrète par principe (article 28 de la LCA). 68. Pour ces raisons, le Secrétariat général est resté dans les limites de ses compétences en contactant Freedelity, dans le cadre de sa mission de surveillance, afin de mesurer lui-même l’impact d’une évolution technologique sur la protection des données, tel que prévu par l’article 20§1,1° de la LCA, pour se renseigner sur le développement technologique que constitue le nouveau service offert par Freedelity, service dont l’impact était certain du fait du caractère sensible du traitement en cause nécessitant l’usage de la carte d’identité. L’envoi d’une lettre de demande d’informations concernant le traitement des données personnelles dans le cadre du nouveau service de Freedelity constitue donc une mesure proportionnée dans le cadre de la mission de surveillance du Secrétaire général et de suivi des développements technologiques du ressort du Comité de direction. 69. Deuxièmement, s’agissant de l’usage de la langue, comme l’a déjà décidé la Cour des marchés, « Malgré son caractère d'ordre public, une illégalité relative à la langue d'une décision ne peut donner lieu à une annulation si elle n'est pas de nature à affecter le sens de la décision, si elle n'a pas privé les intéressés de toute garantie ou si elle n'a pas eu pour effet d'influencer la compétence de l'auteur de la décision»13. (traduction libre). En l’espèce, la pièce 2 du dossier a été traitée par la défenderesse sans difficulté, et son envoi a eu lieu à un stade antérieur à l’enquête du Service d’inspection. 70. En l’espèce, la Chambre Contentieuse rappelle la chronologie des faits : - Envoi d’une lettre de demande d’information en néerlandais (pièce 2) - 30.08.2019 ; - Freedelity demande à pouvoir répondre en français – 10.09.2019 ; - APD accepte que le dossier soit traité en français - 20.09.2019 ; - Freedelity envoie ses réponses en français - 09.10.2019 - Le reste du dossier est traité dans son intégralité en français. 71. Les réponses apportées par la défenderesse à la lettre de demande d’information en néerlandais, ont été rédigées en français par la défenderesse, qui était donc parfaitement en mesure de comprendre les questions qui lui étaient adressées. 72. Conformément à la demande de la défenderesse, la suite de la procédure s’est déroulée dans sa totalité en français. La défenderesse n’a donc aucunement été privée de garanties procédurales, de nature à affecter la présente procédure. 73. Par conséquent, la Chambre Contentieuse considère que l’envoi d’une lettre de demande d’information à la défenderesse par le président du Secrétariat général (à l’époque, également président du Comité de direction) est conforme aux articles 10 et 20§1,1° de la LCA. Le fait que cette lettre ait été rédigée en néerlandais n’est pas de nature à entacher la procédure de nullité dès lors que les droits de la défense n’en ont pas souffert. II.3.3. Envoi d’une note au Comité de direction par le Secrétariat général (« Rapport DIRCO – Lettre d’information préliminaire – Freedelity ») 74. Premièrement, la défenderesse critique le fait que le Secrétariat général ait rédigé une note (« Lettre d’information préliminaire ») pour le Comité de direction sur la base des réponses apportées par la défenderesse (pièce 6 du dossier). Elle critique également que cette note utilise des éléments provenant des contacts entre la CPVP et des réponses apportées par Freedelity aux questions du Secrétariat général. Deuxièmement, la défenderesse prétend que la pièce intitulée « probe letter » qui est jointe à la décision du Comité de direction du 6 décembre 2019 n’est pas produite au dossier. Elle ajoute que l’utilisation de la terminologie « probe » démontre la mise en place de procédures exploratoires, abusives, déloyales et arbitraires. Elle conclut qu’en l’espèce, l’APD ne disposait d’aucun indice sérieux au moment où elle a pris contact avec Freedelity. 75. Premièrement, la Chambre Contentieuse note qu’à la suite de la réponse de la défenderesse à la lettre de demande d’informations, un avis a été rédigé par le Secrétariat général pour le Comité de direction sur la base des réponses apportées (pièce 6 du dossier). Le Comité de direction a, sur cette base, décidé le 6 décembre 2019 de demander au Service d’inspection d’ouvrir une enquête. 76. Comme énoncé précédemment, la Chambre Contentieuse rappelle que le Secrétariat général dispose d’une mission de surveillance (article 20§1, 1° de la LCA). Lorsque cette mission de surveillance fait suite à une demande de suivi du Comité de direction (article 10 de la LCA), il est logique qu’un document soit établi sur la base des réponses apportées aux questions posées, pour permettre au Comité de direction d’assurer la continuité de son suivi (article 10 de la LCA). 77. En effet, pour suivre « les évolutions dans le domaine technologique » (soulignement ajouté) au sens de l’article 10 de la LCA, il est nécessaire que le Comité de direction prenne en compte toutes les informations pertinentes à la compréhension de telles évolutions. Le Comité de direction a donc légitimement recoupé et utilisé les informations mises à disposition par Freedelity lors de ses prises de contact avec la CPVP, dont l’APD est la continuation. 78. La mise à disposition d’informations nécessaires au suivi ne peut être réalisée par le Comité de direction lui-même puisqu’il ne dispose pas de département -comme déjà indiqué précédemment - et doit donc nécessairement être réalisé par un organe de l’APD. En l’espèce, le Secrétariat général était le département de l’APD naturel pour ce faire : la demande de renseignements émanait déjà du Secrétariat général qui a en toute logique assuré le suivi de son courrier, sans compter par ailleurs que cet organe est investi par l’article 10 de la LCA d’une mission de surveillance d’un développement technologique. 79. La Chambre Contentieuse en conclut que le Secrétariat général était parfaitement fondé à rédiger un avis pour le Comité de direction en réunissant les informations mises à sa disposition pour que le Comité de direction décide d’ouvrir une enquête ultérieurement. Ce n’est d’ailleurs que sur la base des informations rapportées par le Secrétariat général que le Comité de direction a pu apprécier les suites à donner à la procédure. Aucun avis ou recommandation ne lie le Comité de direction, lequel est souverain dans son appréciation. En l’occurrence, le Comité de direction a décidé que la suite de la procédure serait la mise en œuvre de l’article 63.1° de la LCA. 80. Deuxièmement, la pièce intitulée « probe letter » dont la défenderesse conteste la légalité est bien la pièce 6 de l’inventaire qui a fait partie du dossier depuis le début de l’affaire et qui a été fournie à la défenderesse lorsqu’elle a demandé une copie du dossier. 81. Par ailleurs, le terme « probe » sur lequel se fonde le grief de Freedelity n’est utilisé qu’une seule fois par un conseiller juridique qui a écrit l’avis au Comité de direction sur lequel ce dernier s’est prononcé le 6 décembre 2019. Le terme n’est jamais repris par la suite et la lettre est officiellement intitulée (« Rapport DIRCO – Lettre d’information préliminaire – Freedelity ») 82. Dans ses communications internes, l’APD utilise tour à tour les termes « monitoring », ou « procédure surveillance système » s’agissant de cette lettre. On ne peut déduire de la simple utilisation de ces termes le caractère déloyal de l’APD. En effet, ces termes sont repris de la lettre même de la LCA, tout au plus sont-ils traduits en anglais. La Chambre Contentieuse reconnaît tout au plus l’utilisation de termes différents dans les communications internes pour identifier la procédure en question, ce qui n’emporte aucune conséquence juridique sur la procédure. 83. Les actes posés par le Secrétariat général constituent une étape nécessaire afin de pouvoir fournir un dossier complet au Comité de direction afin que celui-ci puisse prendre une décision informée. La défenderesse confond à tort d’une part (i) les actes préparatoires au suivi d’un dossier ainsi que la décision du Comité de direction, et d’autre part (ii) l’enquête elle-même. 84. La Chambre Contentieuse réaffirme fermement qu’une enquête ne peut être effectuée que par le Service d’inspection (article 28 de la LCA). A la différence de ce dernier, ni le Secrétariat général, ni le Comité de direction, ne disposent du pouvoir de constater des infractions ou des violations du RGPD avant de soumettre leurs constatations à la Chambre Contentieuse. 85. L’envoi par le Secrétariat général au Comité de direction de la note contestée (« Rapport DIRCO – Lettre d’information préliminaire – Freedelity ») est intervenu légalement, sur la base des articles 10 et 20§1, 1° de la LCA. II.3.4. Constatation d’indices sérieux par le Comité de direction 86. Premièrement, la défenderesse soutient que c’est le Secrétariat général qui a saisi le Comité de direction, avec référence à l’article 63.1 de la LCA, alors qu’il ne disposait pas d’indices sérieux pour ce faire et qu’il a donc de manière illégale décidé de poser des questions à la défenderesse. Elle estime que l’article de l’Echo n’était pas à lui seul suffisant pour déclencher l’ouverture d’un dossier. Deuxièmement, elle ajoute que le Comité de direction n’a pas constaté d’indices sérieux dans sa décision du 6 décembre 2019 puisqu’il n’a fait que reprendre le rapport fait par le Secrétariat général. Elle se réfère notamment à l’arrêt de la Cour des marchés du 22 février 2023 14 pour avancer que la motivation du Comité de direction est lacunaire. Troisièmement, la défenderesse considère que l’APD a porté atteinte à la confiance légitime de la défenderesse en utilisant les informations présentes dans des dossiers de 2014 à 2016 alors que le prédécesseur de l’APD, la CPVP avait clôturé ces dossiers. 87. Premièrement, en ce qui concerne la question de la compétence du Secrétariat général, la Chambre Contentieuse renvoie à la section II.3.3 ci-dessus dans laquelle aucune illégalité est établie. Par ailleurs, la Chambre Contentieuse note une erreur de lecture de la part de la défenderesse. Le Secrétariat général n’a pas assisté le Comité de direction sur la base de l’article 63.1° de la LCA, mais bien sur la base de l’article 20§1, 1° de la LCA, tel qu’il en ressort clairement des pièces du dossier. 88. La Chambre Contentieuse rappelle qu'en vertu des pouvoirs conférés au Comité de direction, il lui appartient de demander au Service d’inspection d’ouvrir une enquête si des indices sérieux révèlent l’existence de pratiques pouvant donner lieu à une violation des principes fondamentaux de la protection des données (article 63.1° de la LCA). Comme l’a rappelé la Cour des marchés, il s’agit là d’une compétence discrétionnaire de l’APD 15. 89. Les éléments faisant l’objet du rapport sont conformes à la lettre de la LCA, dans la mesure où l’objet du suivi ou de la surveillance est précisément l’impact ou l’incidence sur la protection des données personnelles comme l’exigent les articles 10 et 20§1, 1° de la LCA). Les éléments retenus par le Secrétariat général se concentraient bien sur un tel objet : a) L’article 10 de la LCA s’intéresse aux domaines technologiques qui ont une « incidence sur la protection des données à caractère personnel » b) L’article 20§1, 1° de la LCA exige la surveillance des développements technologiques ayant un « impact sur la protection des données à caractère personnel » 90. Un rapport sur une technologie ayant une incidence ou un impact sur la protection des données personnelles, peut révéler des indices sérieux de l’existence d’une pratique susceptible de donner lieu à une infraction aux principes fondamentaux de la protection des données personnelles (article 63.1 de la LCA). 91. Deuxièmement, concernant le renvoi par référence, la Chambre Contentieuse rappelle que le Conseil d’Etat accepte la motivation par référence, pour autant que la pièce à laquelle il est fait référence fasse partie du dossier 16. C’est le cas en l'espèce puisque la pièce numéro 6 qui constitue l’avis du Secrétariat général (« Rapport DIRCO – Lettre d’information préliminaire – Freedelity ») est annexée à la décision du Comité de direction et a toujours fait partie du dossier. La décision du Comité de direction est formulée de la manière suivante : « Les conclusions de l'annexe ci-jointe contiennent des indications de non-respect des principes suivants : obtention du consentement, profilage et partage des données, minimisation des données, durée de conservation et destinataires des données » (traduction libre)17. 92. La décision du Comité de direction motive donc sa décision en faisant référence à la note qui lui a été fournie, et se fonde sur celle-ci pour retenir des indices sérieux de manquements aux principes suivants : - l'obtention du consentement, - le profilage et le partage des données, - la minimisation des données, - la durée de conservation, - et les destinataires des données. 93. Troisièmement, s’agissant de l’argument de la défenderesse selon lequel la consultation et l’utilisation des informations présentes dans les dossiers ouverts au sein de la CPVP, prédécesseur de l’APD, auraient violé le principe de confiance légitime, la Chambre Contentieuse rappelle que comme toute autorité publique, elle est soumise au devoir de minutie qui lui impose de « procéder à une recherche minutieuse des faits, à récolter les renseignements nécessaires à la prise de décision et à tenir compte de tous les éléments du dossier pour prendre sa décision en pleine connaissance de cause et après avoir raisonnablement apprécié tous les éléments utiles à la résolution du cas d'espèce »18. 94. Ce devoir impose à l’APD, lorsqu’elle souhaite prendre une décision qui concerne un administré, de vérifier si et dans quelle mesure des dossiers ont déjà été ouverts à l’encontre de ce même administré. Cette recherche est également indispensable pour pouvoir s’assurer du respect du principe non bis in idem. La Chambre Contentieuse considère donc que le Secrétariat général était parfaitement habilité à consulter l’ensemble des dossiers concernant la défenderesse, y compris les dossiers clôturés, pour permettre au Comité de direction de prendre une décision informée. 95. La Chambre Contentieuse rappelle que, selon le Conseil d’Etat, le principe de confiance légitime, « signifie que l’administré doit pouvoir compter sur une ligne de conduite claire et bien définie de l’autorité ou, en principe, sur des promesses qui lui auraient été faites par l’autorité dans un cas concret. La violation du principe général de confiance légitime suppose trois conditions, à savoir une erreur de l’administration, une attente légitimement suscitée à la suite de cette erreur et l’absence d’un motif permettant de revenir sur cette reconnaissance. Ce principe ne peut être invoqué sur la base d’actes émanant d’une autorité distincte de celle qui a adopté l’acte attaqué. »19 96. La Chambre Contentieuse constate que dans son analyse 20, le Secrétariat général a constaté cinq indices de non-conformité. Deux de ces indices (les indices 3 et 5) se fondent uniquement sur les réponses fournies par la défenderesse dans sa lettre du 9 octobre 2019. Ces indices ne se basent en rien sur des éléments de dossiers plus anciens. Les trois autres indices de non-conformité se basent sur une comparaison entre les éléments contenus dans un courrier de la défenderesse à la CPVP du 26 novembre 2015 et la réponse du 9 octobre 2019. Le Secrétariat général a dans ses trois instances relevé un changement dans la pratique de la défenderesse qui pouvait selon lui consister en une infraction aux principes de la protection des données personnelles. Le Secrétariat général devait effectuer cette vérification pour permettre au Comité de direction le « suivi des évolutions », tel qu’expliqué précédemment, et décider de saisir le Service d’inspection. 97. Ainsi dans son analyse, le Secrétariat général avance qu’entre 2015 et 2019, la durée de conservation des données par la défenderesse serait passée de 5 à 8 ans. Il écrit également que la défenderesse effectuerait dorénavant du profilage sur base des données collectées, ce qu’elle aurait indiqué ne pas faire auparavant. 98. Pour la Chambre Contentieuse, l’analyse du Secrétariat général, ne révèle aucun changement de position de l’APD ni une interprétation erronée de sa part. Elle n’a donc aucune incidence sur la procédure. En effet, il ressort de l’analyse de la Chambre, que lorsque le Secrétariat général utilise les informations de dossiers passés, c’est pour les comparer avec les pratiques actuelles dont la défenderesse lui a fait part. Cette comparaison a permis au Comité de direction d’assurer son suivi (article 10 de la LCA). 99. Pour la Chambre Contentieuse, même si la CPVP avait autorisé les traitements en cause par la défenderesse, quod non, le principe de confiance légitime ne signifie pas que face à des faits nouveaux et des évolutions de pratiques, l’autorité publique doive maintenir une ligne de conduite qu’elle aurait exprimée par le passé sur des faits qui étaient sensiblement différents. C’est donc de manière erronée que la défenderesse invoque une violation du principe de confiance légitime. 100. Au vu des éléments qui précèdent, la Chambre Contentieuse conclut que la décision du Comité de direction respecte le prescrit de l’article 63.1 de la LCA. II.3.5. Saisine du Service d’inspection par le Comité de direction (validité du procès-verbal) 101. Premièrement, la défenderesse explique que les versions du PV qui lui ont été envoyées ne permettent pas d’établir si le président de la Chambre Contentieuse, qui s’est abstenu lors du vote du Comité de direction sur ce point, a participé à la discussion. En outre, elle considère qu’il n’est pas démontré que la majorité des membres du Comité de direction étaient présents, ni qu’une majorité des membres ait voté favorablement en vertu de l’article 3 du ROI. Finalement, la défenderesse estime qu’il existe des doutes qu’un PV de la décision du Comité de direction ait été dressé et signé par le président du Comité de direction, ce qui constituerait une violation de l’article 16 de la LCA. 102. Deuxièmement, la défenderesse argumente également que cette décision ayant été prise en néerlandais, elle serait contraire à la loi sur l’emploi des langues en matière administrative, puisque la défenderesse est basée en région de langue française. 103. Premièrement, la Chambre Contentieuse rappelle que les procès-verbaux du Comité de direction couvrent de nombreux thèmes, y compris des décisions stratégiques de l'APD et qu’ils contiennent des données personnelles. Conformément au principe de minimisation des données (article 5.1.c du RGPD), et du respect du principe de confidentialité s’appliquant aux membres du Comité de direction (art. 48 LCA), la Chambre Contentieuse ne transmet pas les procès-verbaux du Comité de direction dans leur intégralité aux parties concernées par une procédure, mais seulement un extrait dudit procès-verbal afin de permettre aux parties à une procédure d’apprécier leur existence pour la partie qui les concerne. 104. La défenderesse a disposé dès l’entame de la procédure quant au fond d’un extrait du PV du Comité de direction concernant l’activation de l’article 63.1° à son encontre. A sa demande, un extrait plus large lui a été fourni le 2 mai 2023. Une version complète du PV lui a été fournie le 18 juillet 2023 par la présidente de l’APD. 105. La défenderesse a pu constater sur le procès-verbal, premièrement, que l’ensemble des membres du Comité de direction était présent lors de la réunion du Comité de direction, mais que le président de la Chambre Contentieuse s’est récusé pour ce point de l’agenda, deuxièmement, qu’aucune objection de la part d’un des membres du Comité de direction n’est annotée, troisièmement, que le procès-verbal a bien été signé par le président du Comité de direction, et quatrièmement, que le Comité de direction a décidé de saisir le Service d’inspection sur la base de l’article 63.1° de la LCA. Les conditions des articles 15 et 16 de la LCA sont donc remplies. L’argument de la défenderesse tendant à contester l’existence d’un procès-verbal et le respect de son formalisme n’est donc pas fondé. 106. En ce qui concerne le grief portant sur la partialité des membres, la Chambre Contentieuse renvoie à son examen à la section II.4.1 ci-dessous. 107. Dès lors, ni la validité du procès-verbal du Comité de direction, ni la participation des directeurs ne peuvent être remises en cause. La procédure a respecté les exigences légales, et aucune preuve de partialité n’a été apportée. 108. Deuxièmement, dans un arrêt du 7 juillet 2021 21, la Cour des marchés a rappelé que l’APD doit être considérée comme un service central au sens de la loi sur l’emploi des langues en matière administrative et qu’à ce titre, elle doit observer les articles 40 et suivants de cette loi. 109. Or, la décision de saisine du Service d’inspection par le Comité de direction ne constitue pas une communication avec les particuliers, au sens de l’article 41 de la loi sur l’emploi des langues en matière administrative, mais une communication interne ; l’usage du français par le Comité de direction n’était donc pas requis. 110. La saisine du Service d’inspection par le procès-verbal du Comité de direction est donc valable, et respecte le prescrit des articles 15 et 16 de la LCA, ainsi que l’article 3 du ROI. II.3.6. Procédure devant le Service d’inspection 111. La défenderesse avance que la référence de dossier utilisée par l’APD est la même depuis le premier courrier adressé par le Secrétariat général ce qui tend à prouver qu’il y avait une procédure de « préinspections » bien établie au sein de l’APD. Elle ajoute que le Service d’inspection a repris les échanges intervenus entre le Secrétariat général et Freedelity sous l’appellation « Surveillance du Secrétariat général ». La défenderesse estime par ailleurs qu’il n’y a aucune preuve de la prestation de serment d’un inspecteur ayant travaillé sur le dossier (« inspecteur concerné ») alors que ce dernier a contribué à l’enquête. 112. La Chambre Contentieuse note que la défenderesse ne tire aucune conclusion des deux premiers arguments mentionnés et liés à la référence et à l’intitulé du dossier. Pour autant que de besoin, elle renvoie à cet égard aux développements précédents sur ce point (voir paragraphe 8282). 113. En ce qui concerne la prestation de serment, à la demande de la défenderesse, la Chambre Contentieuse lui a fourni le 2 mai 2023 un document dont l’objet est « désignation des inspecteurs du service d’inspection ». Ce document signé de l’Inspecteur général et du directeur du Secrétariat général est daté du 25 juin 2019. Il indique que « Seuls les noms des agents de l’Autorité de protection des données ci-dessous ayant prêté serment en date du 19 novembre 2018 conservent la qualité d’inspecteur du service d’inspection. » S’ensuit une liste d’agents dont les noms ont été caviardés par la Chambre Contentieuse pour des raisons de vie privée, à l’exception du nom de l’inspecteur concerné qui apparaît dans la liste. 114. Pour le Chambre Contentieuse, ce document démontre que l’inspecteur concerné a prêté serment le 19 novembre 2018 et qu’à la date du 25 juin 2019, l’APD a estimé qu’il conservait la qualité d’inspecteur du service d’inspection. A la date de la saisine du Service d’inspection par le Comité de direction le 6 décembre 2019, l’inspecteur concerné avait bien prêté serment et était toujours inspecteur. 115. La Chambre Contentieuse rappelle également que ce type de demande n’est fondé sur aucune base légale. En effet, la loi prévoit que les inspecteurs prêtent serment (article 30 §1 de la LCA), ce qui doit être considéré comme un fait établi, sauf en cas de doute sérieux dont la preuve doit être rapportée par la défenderesse. La défenderesse ne peut donc se prévaloir d'aucune base légale pour exiger la transmission de ces documents. 116. La Chambre Contentieuse en conclut que la procédure devant le Service d’inspection n’est pas viciée. II.3.7. Saisine de la Chambre Contentieuse par le Service d’inspection 117. La défenderesse avance que la Chambre Contentieuse n’a pas pu être valablement saisie étant donné que le Service d’inspection n’a lui-même pas été valablement saisi. 118. La Chambre Contentieuse n’a pas constaté d’irrégularité dans la saisine du Service d’inspection. Par conséquent, elle s’estime légalement saisie sur la base de l’article 92.3° de la LCA. 119. La saisine de la Chambre Contentieuse est intervenue légalement sur la base de l’article 92.3° de la LCA. II.4. Procédure : respect des droits de la défense II.4.1. Impartialité des membres du Comité de direction et du Comité lui-même 120. Il y a lieu de distinguer les griefs soulevés par la défenderesse selon qu’ils concernent les membres du Comité de direction ou le Comité de direction lui-même. II.4.1.1. Le président de la Chambre Contentieuse Position de la défenderesse 121. A titre liminaire, et comme énoncé à la section II.2, la défenderesse demande au président de la Chambre Contentieuse de se déporter en raison du doute légitime qui existerait quant à son impartialité. En l’absence de procédure spécifique établie par la LCA, la défenderesse avance que l’article 828, 1° du Code judiciaire devrait s’appliquer par analogie. 122. Selon la défenderesse, la possibilité de demander la récusation d’un juge est une partie intégrante de l’article 6 de la Convention Européenne des Droits de l’Homme et de l’article 47 de la Charte des droits fondamentaux de l'Union européenne. Ces mêmes garanties d’indépendance et d’impartialité ressortiraient de l’article 52 du RGPD, qui a été transposé en droit belge par l’article 36 de la LCA. 123. Dans l’hypothèse où la Chambre Contentieuse estimerait que l’absence de disposition explicite dans la loi signifierait que la récusation n’est pas possible, la défenderesse demande qu’une question préjudiciable soit posée à la Cour constitutionnelle. 124. Elle estime que cette partialité ou apparence de partialité découlent des éléments suivants : a) Premièrement, le président de la Chambre Contentieuse a eu connaissance de plusieurs documents concernant Freedelity qui ont mené à la décision du Comité de direction du 6 décembre 2019 et que malgré sa récusation lors de l’examen de ce point, il est impossible de savoir quel était son rôle lors de cette réunion. b) Deuxièmement, le président du Secrétariat général aurait été démis de son mandat, notamment en raison de procédures de « préinspections » telles qu’effectuées dans le présent dossier. Or, le président de la Chambre Contentieuse a témoigné devant la Commission justice à l’occasion de la levée de mandat du président de l’APD devant la Chambre des représentants et s’est par ailleurs constitué partie intervenante dans le recours en suspension d’extrême urgence intenté par le président de l’APD devant le Conseil d’Etat contre la décision de levée de mandat. Il a lui-même introduit un recours en suspension de la décision de levée de mandat devant le Conseil d’Etat. Pour la défenderesse, le président de la Chambre Contentieuse défendrait le comportement du président de l’APD qui aurait été à l’origine de sa levée de mandat. c) Troisièmement, le président de la Chambre Contentieuse ne pouvait refuser l’accès à la demande formulée par la défenderesse d’accéder à la décision de levée de mandat du président de l’APD au motif qu’il ne disposait pas de ce document, dès lors qu’il est intervenu dans diverses procédures devant le Conseil d’Etat au sujet de cette décision et qu’il y avait donc nécessairement accès. d) Quatrièmement, le fait que le président de la Chambre Contentieuse ait refusé de fournir certains documents demandés par la défenderesse et qu’il ait pris position sur la compétence de la CADA en ce qui concerne des demandes d’accès concernant des documents détenus par l’APD. e) Cinquièmement, la défenderesse estime également que le fait d’être créancier est un motif de récusation, ce qui serait le cas du président de la Chambre Contentieuse en l’espèce puisque dans le cadre de la procédure en récusation intentée par Freedelity devant la Cour des marchés, le président a demandé et obtenu une indemnité de procédure dont dans les faits, il n’a pas encore exigé le paiement. Examen par la Chambre Contentieuse 125. A titre préliminaire, la Chambre Contentieuse ne conteste pas que le principe d’impartialité s’applique aux autorités administratives. Il convient cependant de souligner que le principe d’impartialité « doit se concilier avec la structure de l’administration active » 22, tel qu’il sera décrit infra, dans le paragraphe 127. 126. La Chambre Contentieuse de l’APD est présidée par M. Hijmans. Le bon fonctionnement de la Chambre Contentieuse et de l’APD impose que le président soit disponible, et puisse siéger lors de décisions sur le fond (articles 33§1 et 92 à 107 de la LCA), ainsi qu’au sein du Comité de direction, tel que cela ressort de la double compétence des directeurs des organes de l’APD établie par l’article 12 de la LCA. 127. Selon une jurisprudence constante du Conseil d’Etat : « le principe général d’impartialité doit être appliqué à tout organe de l’administration active. Il suffit qu’une apparence de partialité ait pu susciter chez le requérant un doute légitime quant à l’aptitude à aborder sa cause en toute impartialité. Cependant, ce principe ne s’applique que dans la mesure où il se concilie avec la nature spécifique, et notamment avec la structure de l’administration active. Par ailleurs, l’impartialité d’un organe collégial ne peut être mise en cause que si, d’une part, des faits précis qui font planer des soupçons de partialité sur un ou plusieurs membres de ce collège peuvent être légalement constatés et que, d’autre part, il ressort des circonstances que la partialité de ce ou de ces membres a pu influencer l’ensemble du collège. Il appartient à celui qui allègue que l’autorité n’a pas agi avec indépendance, impartialité et minutie d’en apporter la preuve » 23. 128. C’est donc à la partie qui invoque la méconnaissance du principe d’impartialité qu’il appartient de démontrer l’existence de faits précis dont il faudrait conclure que le principe d’impartialité a été méconnu. Si les faits concernent un membre d’un organe collégial, il convient que la partie qui invoque la méconnaissance du principe d’impartialité démontre que les faits qu’elle identifie sont susceptibles d’avoir affecté l’impartialité non seulement de leur auteur, mais également d’au moins une majorité des membres de l’organe collégial en question24. - La partialité du président de la Chambre Contentieuse comme membre soit du comité de direction, soit de la Chambre Contentieuse siégeant à trois membres. 129. Premièrement, la critique porte sur le fait que président de la Chambre Contentieuse aurait reçu des documents concernant la défenderesse préalablement à la réunion du Comité de direction du 6 décembre 2019. La défenderesse ne démontre pas en quoi le fait de recevoir ces documents démontrerait des indices de partialité de la part du président de la Chambre Contentieuse, d’autant plus que ce dernier n’a, à aucun moment, réagi à ces documents et qu’il s’est récusé lors de la discussion sur ce point comme le prouve le PV de la réunion. Il n'est pas non plus démontré en quoi cette partialité, si elle était démontrée, aurait pu influencer les autres membres du Comité de direction. 130. Deuxièmement, la Chambre Contentieuse juge que l’impartialité du président de la Chambre Contentieuse ne peut pas non plus être remise en question par le fait qu’il a introduit en son nom propre un recours en suspension de la décision de levée de mandat du président de l’APD, dès lors que ce recours a été introduit parce qu’il estimait que cette décision présentait un risque pour son indépendance personnelle en tant que président de la Chambre Contentieuse25. Par ailleurs, le président de l’APD n’a pas conduit de « préinspections » dans le présent dossier (voir la section II.3.2 de la décision) et la défenderesse expose des éléments sans preuve de ce qu’elle avance, ni explication permettant à la Chambre Contentieuse de la suivre dans son raisonnement. - La partialité du président de la Chambre Contentieuse siégeant seul 131. Troisièmement, le fait que le président de la Chambre Contentieuse ait répondu à la défenderesse que l’APD ne dispose pas de la décision de levée de mandat du président de l’APD est une observation factuelle qui ne révèle aucune partialité. Cette affirmation a par ailleurs été corroborée par la présidente de l’APD dans sa lettre datée du 18 juillet 2023. 132. Le fait que le président de la Chambre Contentieuse aurait pu avoir connaissance de ce document est sans pertinence dès lors que celle-ci a eu lieu dans le cadre de ses activités privées, puisqu’il intervenait devant le Conseil d’Etat « de son propre chef, sans y être autorisé par l'autorité de protection des données » (traduction libre)26. Il ne peut être raisonnablement soutenu que la demande d’accès à des documents que la défenderesse a effectuée auprès de l’APD s’étendrait également aux documents qui pourraient être détenus par les directeurs en dehors de leur fonction au sein de l’APD. 133. La Chambre Contentieuse souligne par ailleurs que l’accès à ce document a également été refusé par la Chambre des représentants lorsque la défenderesse lui en a demandé l’accès. Dans son ordonnance du 12 février 2024, la Chambre des référés du tribunal de première instance a également débouté la défenderesse dans sa demande de production de ce document. 134. Quatrièmement, le fait que le président de la Chambre Contentieuse ait donné accès à certains documents et pas à d’autres demandés par la requérante ne signifie pas pour autant qu’il ait de ce fait manqué d’impartialité. Le président de la Chambre Contentieuse est amené à poser un certain nombre d’actes dans le cadre de l’organisation de la procédure, actes qu’il estime légitimes et ceux-ci ne préjugent pas de son appréciation personnelle du dossier au fond. 135. Au demeurant, la partialité du président de la Chambre Contentieuse n’est pas plus démontrée par la réponse à la demande de production de documents effectuée par la défenderesse sur base de la loi du 11 avril 1994 relative à la publicité de l'administration. En effet, dans sa réponse, la Chambre Contentieuse indique que l’APD ne s’estime actuellement pas soumise à la loi du 11 avril 1994 relative à la publicité de l'administration. Cette position ne démontre pas la partialité du président de la Chambre Contentieuse dès lors qu’il s’agit de la position du Comité de direction dans son ensemble et que la CADA elle-même partageait cette position dans le passé 27. 136. A cet égard, la jurisprudence de la Cour européenne des droits de l’homme enseigne qu’un problème lié à un manque d’impartialité judiciaire ne se pose pas lorsque le juge a déjà rendu des décisions formelles et procédurales à d’autres stades de la procédure28. En revanche, ce problème peut se poser si, à d’autres stades de la procédure, le juge s’est déjà prononcé sur la culpabilité de l’accusé29. 137. Or, en l’espèce, ce qui est reproché au président de la Chambre Contentieuse n’implique aucune prise de position quelconque de ce dernier quant au fond de l’affaire et, en particulier, quant au comportement ou à la responsabilité de la requérante. 138. Cet enseignement de la Cour européenne des droits de l’homme concerne les juges ; il vaut à plus forte raison en ce qui concerne des membres d’un collège administratif. 139. Cinquièmement, le président de la Chambre Contentieuse n'agit pas en son nom personnel dans cette affaire. L'indemnité de procédure dont il est question a été demandée dans le cadre de l’exercice de ses fonctions au sein de l'APD, c’est-à-dire en tant que président de la Chambre Contentieuse, il n’a pas d'intérêt personnel ou financier dans cette créance. 140. Le manque d’impartialité du président de la Chambre Contentieuse n’est, dès lors, pas démontré. Aucune raison valable ne saurait justifier son déport de la présente affaire. II.4.1.2. La directrice du Centre de connaissances 141. La défenderesse avance que la directrice du Centre de connaissances de l’époque, aurait dans le cadre de son emploi précédent, travaillé avec Freedelity et validé leur modèle juridique. La défenderesse estime que ces accords étaient couverts par le secret professionnel, le secret des affaires et des accords de confidentialité et que ces informations ont été partagées avec l’APD qui se serait rendue complice de la violation de cette confidentialité. 142. La Chambre Contentieuse rappelle que les membres du Comité de direction sont tenus au principe d’impartialité (article 43 de la LCA), lequel leur interdit d’être présents lors d’une délibération ou d’une décision sur des dossiers pour lesquels ils ont un intérêt personnel et direct. Selon la doctrine, « L'intérêt personnel et direct peut être de nature morale, notamment lorsqu’un ou plusieurs membres de l'autorité décisionnelle ont déjà exprimé un point de vue clair ou ont formé une opinion personnelle et ne pourraient pas revenir sur celle-ci sans perdre la face.» (traduction libre)30. 143. Ce principe signifie qu’aucun membre du Comité de direction ne peut avoir un intérêt personnel à ce que la décision prenne une certaine direction (nemo iudex in causa sua). Notamment, le fait d’être dans l’impossibilité morale de réviser un point de vue antérieur comporte le risque que des membres de l'administration, ayant déjà exprimé (publiquement) leur opinion, ne puissent plus évaluer l'affaire en toute objectivité 31. Par ailleurs, la Chambre Contentieuse note que la défenderesse ne justifie pas en quoi la situation répond à la définition d’un conflit d’intérêts prévue à l’article 58 du ROI. 144. En l’espèce, la directrice du Centre de connaissances n’a jamais travaillé au sein de Freedelity, et donc n’était pas dans une situation où la démonstration d’un intérêt personnel et direct au sujet de Freedelity, ou un conflit d’intérêts, pouvait se déduire de sa fonction précédente. Le fait que la directrice du Centre de connaissances connaissait le modèle juridique de Freedelity et l’ait « validé » dans le passé, ne démontre pas qu’elle ait eu un intérêt personnel et direct concernant les décisions du Comité de direction sur base des articles 10 et 63.1° de la LCA. La directrice du Centre de connaissances n’a jamais exprimé aucune opinion négative publique concernant Freedelity. Tout au plus, la directrice du Centre de connaissances a exprimé une opinion positive dans le cadre de ses anciennes fonctions sur Freedelity dans le passé. Si la directrice du Centre de connaissances avait effectivement utilisé des informations recueillies dans le cadre de ses fonctions précédentes, celle-ci aurait dû aboutir à la seule conclusion que le service de Freedelity était valide. 145. En outre, contrairement à ce qu’avance Freedelity, il n’y a aucune preuve dans le dossier que la directrice du Centre de connaissances ait fait usage d’informations confidentielles ou les ait partagées avec l’APD. La seule mention sur laquelle se base Freedelity est la suivante : « Quand j’ai analysé l’offre Freedelity il y a un an, elle constituait une claire violation de la réglementation Vie Privée à plusieurs égards. » 32 146. Aucune autre phrase ou information de la part de la directrice du Centre de connaissances se retrouve dans les échanges, avis et pièces du dossier subséquents. La Chambre Contentieuse ne peut donc conclure qu’il s’agissait d’informations confidentielles citées par la défenderesse et l’ensemble de la procédure ne se fonde que sur des informations recueillies légitimement par l’APD. 147. La Chambre Contentieuse en conclut que la directrice du Centre de connaissances n’a pas manqué au principe d’impartialité applicable aux membres du Comité de direction (article 43 de la LCA). II.4.1.3. Le directeur du Secrétariat général (président du Comité de direction) 148. Premièrement, la défenderesse reproche également à l’APD de ne pas lui avoir transmis la décision relative à la levée de mandat du président de l’APD. Deuxièmement, la défenderesse soutient que le directeur du Secrétariat général était partial parce qu’il était à l’initiative de la demande de renseignements à la défenderesse. Troisièmement, la défenderesse avance que le type de procédure ayant été suivi par le Comité de direction au sein du présent dossier serait la cause de la levée de son mandat. Elle se justifie à l’appui d’articles de presse et d’arrêts rendus par le Conseil d’Etat dans des affaires concernant la décision de levée de mandat. 149. Premièrement, la Chambre Contentieuse maintient que l’APD ne dispose pas de la décision de levée de mandat de son ancien président. 150. Deuxièmement, la Chambre Contentieuse rappelle que les situations de partialité ne peuvent découler de l’application normale de la loi 33. Or, la loi prévoit que le directeur du Secrétariat général peut être en situation de présider le Comité de direction (article 13§2 de la LCA), et que le président du Comité de direction est assisté dans l’exécution de ses tâches par le Secrétariat général (article 13§3 de la LCA). Pour le surplus, la Chambre Contentieuse renvoie aux développements précédents sur ce point (voir section II.3.2). 151. Troisièmement, sur les neuf articles de presse fournis par la défenderesse, un seul (pièce 28 du dossier de la défenderesse) fait une brève référence (une phrase dans un article de quatre pages) à un éventuel dépassement de compétence de la part du président de l’APD. Le dossier en question concernait des questions posées à une école gantoise sur une éventuelle utilisation de données biométriques. Aucun autre dossier n’est mentionné. 152. La partie défenderesse n’apporte pas la preuve que cet élément ait véritablement été, seul ou parmi d’autres, à l’origine de la levée de mandat du président de l’APD. Elle n’explique pas non plus en quoi le constat de dépassement de compétence qui aurait été constaté par la Chambre des représentants dans le dossier identifié par la presse serait transposable au présent dossier ni même pertinent pour son traitement. 153. Il ne ressort pas non plus des extraits d’arrêts du Conseil d’Etat que le président de l’APD aurait vu son mandat levé pour des faits liés au présent dossier, ou aux procédures mises en place pour l’activation de l’article 63.1 de la LCA. Les éléments ressortant des extraits cités sont en effet très généraux et font état de manquements graves et d’inaptitudes qui ne sont pas spécifiés. Par ailleurs, comme il a été démontré ci-dessus, le présent dossier a été proposé au Comité de direction par un autre directeur que le président de l’APD. L’envoi de la première lettre à la défenderesse, ainsi que la demande d’ouverture d’une enquête ont été décidés par le Comité de direction. Ces éléments semblent difficilement conciliables avec des allégations de dépassement de compétences du président de l’APD. 154. La Chambre Contentieuse en conclut qu’aucun des éléments avancés par la défenderesse ne lui permet de conclure que le Secrétariat général ou son directeur aurait été en situation de partialité ou de dépassement de compétences. II.4.1.4. Le directeur du Service d’inspection (l’Inspecteur général) 155. Premièrement, la défenderesse avance que l’Inspecteur général (également membre du Comité de direction) aurait rencontré et examiné Freedelity par le passé alors qu’il travaillait pour la CPVP et d’autre part, aurait participé à l’élaboration du dossier et décidé de sa propre saisine. Elle soutient que l’implication de l’Inspecteur général au stade de la préparation du dossier pour examen par le Comité de direction impacte sa propre saisine et la recevabilité de ses travaux. 156. Deuxièmement, elle soutient également que l’Inspecteur général ne peut prendre position sur l’activation de l’article 63.1 de la LCA par le Comité de direction sans affecter son impartialité. 157. Premièrement, s’agissant des arguments sur la partialité de l’Inspecteur général, la Chambre Contentieuse renvoie à ses développements précédents s’agissant de l’analyse des situations de partialité (voir paragraphes 142-143) et rappelle qu’une situation de partialité ne peut découler de l’application normale de la loi. Le fait que l’Inspecteur général siège au Comité de direction lors de la phase de décision de suivi d’évolution dans le domaine technologique (article 10 de la LCA) ou la phase de constatation d’indices sérieux (article 63.1° de la LCA), est légalement prévu pour être compatible avec sa fonction d’Inspecteur général (article 12 de la LCA). 158. En outre, l’activation de l’article 63.1 de la LCA (ou de l’article 63.6) ne peut en aucun cas être assimilée à une procédure d’accusation ou d’instruction comme le soutient la défenderesse. Il s’agit d’une étape préalable à l’ouverture d’une enquête, qui n’emporte aucun constat définitif et qui n’empêche en aucun cas le Service d’inspection de mener son investigation de manière impartiale par la suite. Comme il l’a prouvé par le passé, le Service d’inspection est parfaitement en mesure de mener une enquête concluant à l’absence de violations malgré les constats d’indices sérieux du Comité de direction 34. 159. Le fait qu’un membre du Comité de direction ait « rencontré » un ou des membres du personnel d’une société ne le met pas en situation de partialité vis-à-vis de cette société de ce seul fait. La partialité doit être concrètement démontrée, ce qui suppose de mettre en évidence des faits ou des comportements précis.35 Ceci ne relève évidemment pas du fait qu’il a travaillé sur un dossier dans le passé ni rencontré une personne à cette occasion. 160. Pour la Chambre Contentieuse, l’échange d’informations au sein de l’APD est une condition sine qua non de la bonne exécution de sa mission de veiller au respect de la protection des données. Un cloisonnement des informations entre services n’a lieu que lorsqu’elle est prévue par la loi. C’est le cas de l’article 64.3 de la LCA qui prévoit que l’enquête est secrète. 161. La LCA ne prévoit aucune autre restriction à l’échange d’informations au sein de l’APD lorsque cet échange est nécessaire à son fonctionnement. Les échanges informels entre directeurs lors de la réalisation d’actes préparatoires à l’adoption d’une décision sont des étapes normales et indispensables du processus décisionnel. Les dossiers ouverts auprès du SPL au sujet de la défenderesse et les informations dont dispose l’Inspecteur général qui était impliqué dans ces dossiers comme juriste à l’époque sont tout à fait pertinents pour évaluer s’il y a lieu de demander une enquête à l’encontre de la défenderesse. L’APD aurait fait preuve de négligence en n’exploitant pas les informations dont elle dispose sur la défenderesse pour informer sa décision. 162. En effet, si ce dernier ne pouvait traiter des dossiers dans lesquels il avait été impliqué en tant que juriste avant sa nomination en tant qu’Inspecteur général, ceci empêcherait de facto le Service d’inspection d’exercer ses compétences vis-à-vis d’un grand nombre de responsables de traitement. Ceci n’est certainement pas la volonté de la Chambre des représentants qui a nommé l’Inspecteur général en étant parfaitement informée du fait qu’il avait été juriste au sein de la CPVP. Selon la Chambre Contentieuse, cette situation ne permet pas de remettre en doute son impartialité. 163. Deuxièmement, l’argument selon lequel l’Inspecteur général ne peut prendre position sur l’activation de l’article 63.1 de la LCA par le Comité de direction sans affecter son impartialité ne convainc pas plus la Chambre Contentieuse. En effet, le Comité de direction n’est pas le seul à pouvoir demander une enquête sur la base d’indices sérieux, puisque l’article 63.6° de la LCA dispose que le Service d’inspection peut, de sa propre initiative, ouvrir une enquête s’il existe des indices sérieux d’une infraction. Si la loi prévoit que le Service d’inspection, et donc l’Inspecteur général, peut décider seul qu’il y a des indices sérieux d’infraction, il peut en toute logique le décider collégialement dans le cadre du Comité de direction, sans que cela n’affecte son impartialité pour mener l’enquête. 164. La LCA prévoit par ailleurs une distinction claire entre la compétence d’instruction qui est dévoué au Service d’inspection et celle de sanction qui est l’apanage de la Chambre Contentieuse. 165. En l’espèce, la Chambre Contentieuse conclut qu’aucun indice de partialité n’est démontré dans le chef de l’Inspecteur général, lequel s’est contenté de remplir des missions qui lui incombent en vertu de la LCA. II.4.1.5. Le Comité de direction 166. La défenderesse avance que puisque la majorité des membres du Comité de direction étaient en situation de partialité, le Comité de direction était lui-même partial. 167. Comme déjà rappelé par la Chambre Contentieuse à maintes reprises dans la présente décision, conformément à la jurisprudence constante du Conseil d’Etat, la critique de la partialité ne peut se fonder sur une situation découlant de l'application normale de la loi 36. 168. Par ailleurs « l’impartialité d’un organe collégial ne peut être mise en cause que si, d’une part, des faits précis qui font planer des soupçons de partialité sur un ou plusieurs membres de ce collège peuvent être légalement constatés et que, d’autre part, il ressort des circonstances que la partialité de ce ou de ces membres a pu influencer l’ensemble du collège. Il appartient à celui qui allègue que l’autorité n’a pas agi avec indépendance, impartialité et minutie d’en apporter la preuve » 37. 169. La Cour des marchés précise que la prétendue partialité d’un organe collégial doit être concrètement démontrée, ce qui suppose de mettre en évidence des faits ou des comportements précis qui concernent cet organe, donc posés par ses membres 38. 170. Le Comité de direction est composé des directeurs de l’APD (article 12 LCA). Chaque directeur assure la direction d’un organe, tel qu’il ressort des compétences établies par la LCA. Le Comité de direction est compétent pour saisir le Service d'inspection en cas de constatation d'indices sérieux de l'existence d'une pratique susceptible de violer les principes fondamentaux de la protection des données personnelles (article 63.1° de la LCA). 171. Pour la Chambre Contentieuse, la défenderesse doit donc démontrer pour chacun des membres du Comité de direction auquel elle fait ce reproche, que d’une part, il a fait preuve de partialité, et que d’autre part, il a pu influencer les autres membres du collège. La Chambre Contentieuse ajoute, en outre, que le fait qu’un membre du Comité de direction aurait fait preuve d’un manque de partialité – quod non dans le cas d’espèce – ne suffit en soi pas pour invalider une décision du Comité de direction. 39 172. Or, comme il l’a été expliqué aux sections II.4.1.1, II.4.1.2, II.4.1.3 et II.4.1.4, la partialité des membres n’est pas démontrée. En outre, quand bien même la partialité d’un membre du Comité de direction serait démontrée, celle-ci n’est pas de nature à entacher les décisions prises par le Comité de direction, lesquelles sont valides à la condition que la « majorité » des membres ait été présente (article 15 de la LCA). 173. Dès lors, ni la partialité des membres du Comité de direction, ni celle du Comité de direction lui-même n’est démontrée. La Chambre Contentieuse en conclut que les arguments de la défense sur la question de la partialité ne sont pas valables. II.4.2. Traitement dans un délai raisonnable et délai utile pour préparer sa défense 174. La défenderesse argumente que la procédure a duré près de cinq ans après le premier courrier litigieux, ce qui excède le délai raisonnable et qu’elle n’a pas eu l’occasion de correctement se défendre. Elle accuse l’APD d’avoir délibérément sollicité des contributions écrites de la défenderesse pendant des périodes de congé. Elle cite notamment un arrêt de la Cour d’appel de Bruxelles qui prévoit qu’un dossier qui avait connu une période d’inertie de deux ans dépassait le délai raisonnable. 175. La défenderesse invoque une jurisprudence non référencée pour avancer que les droits de la défense sous l’angle du délai utile et le droit au délai raisonnable s’appliquent à l’APD. 176. La Chambre Contentieuse confirme qu’elle est en effet soumise au respect des droits de la défense, dont le droit au délai raisonnable, protégés par l’article 48 du Charte des droits fondamentaux de l'Union européenne et l’article 6 de la Convention européenne des Droits de l’Homme. 177. Concernant le délai raisonnable, la défenderesse mentionne un arrêt de la Cour d’appel de Bruxelles dans lequel celle-ci aurait constaté un dépassement du délai raisonnable dans un dossier qui avait connu un période d’inertie de deux ans. Cet arrêt n’est pas fourni à la Chambre Contentieuse. Elle ne peut donc y faire égard. 178. La Chambre Contentieuse rappelle que, selon la jurisprudence du Conseil d’Etat, « le principe du délai raisonnable, qui est dérivé des principes généraux de bonne administration et de sécurité juridique, est susceptible d’être appliqué à l’ensemble des décisions administratives. Le délai raisonnable dans lequel toute autorité administrative doit veiller à prendre une décision ne commence à courir qu’à partir du moment où elle est en mesure de le faire. L’appréciation du délai raisonnable ou non de la durée d’une procédure est une question d’espèce qui dépend, notamment, des circonstances de la cause, et plus particulièrement des comportements respectifs de l’autorité et de la personne concernée. »40 179. Le Service d’inspection a envoyé des courriers contenant des questions à la défenderesse en juin et en octobre 2020. Il a par la suite effectué des constats techniques et posé de nouvelles questions à Freedelity en octobre 2021. Il a effectué de nouveaux constats techniques entre décembre 2021 et février 2022. En avril 2022, il a envoyé son rapport à la Chambre Contentieuse. 180. La Chambre Contentieuse juge qu’une enquête ayant duré environ deux ans ne dépasse pas le délai raisonnable dès lors que de nombreux actes d’enquête ont été menés au cours de ces deux années, ce qui est le cas en l’espèce. De plus, dans la présente affaire, la Chambre Contentieuse ne constate aucune période d’inertie qui avoisinerait les deux ans. 181. La Chambre Contentieuse a pour sa part notifié à la défenderesse son intention de traiter le dossier sur le fond en juillet 2022, soit trois mois après sa saisine. La période séparant cette décision de traiter le dossier sur le fond et l’adoption de la présente décision a été marquée successivement par des demandes de production de documents41, par une demande à la CADA, par une demande en récusation suivie d’une procédure devant la Cour des marchés et d’une citation en référé, par des demandes de report d’audience42, et par de multiples demandes de sursis à statuer, notamment en l’attente de la parution d’un arrêt de la Cour de Justice de l’Union Européenne 43, demandes qui ont toutes été formulées par la partie défenderesse. Au vu de ces très nombreuses procédures qui ont conduit à plusieurs reports de l’audition, il ne peut être raisonnablement soutenu que le dossier a fait l’objet d’une période d’inertie anormalement longue ou que la Chambre Contentieuse était en mesure d’adopter une décision plus rapidement. 182. Pour ce qui concerne le droit au délai utile pour la défense, la Cour des marchés a dans un arrêt du 12 juin 2019 jugé que « L’établissement d'un calendrier des conclusions où chaque partie dispose d'environ un mois et où la partie défenderesse obtient le dernier délai est conforme aux règles des droits de la défense. » (traduction libre)44 183. La Chambre Contentieuse constate que lors de l’enquête du Service d’inspection, la défenderesse a toujours disposé d’un délai de réponse d’au moins 30 jours calendaires et de maximum 45 jours, ce qui est conforme à la jurisprudence de la Cour des marchés. La Chambre Contentieuse ne peut donc conclure à une violation du droit au délai utile pour la défense au stade de l’enquête. 184. Pour ce qui concerne les délais accordés à la défenderesse lors de la procédure quant au fond, la Chambre Contentieuse rappelle que ceux-ci sont identiques dans toutes les affaires qu’elle traite sur le fond et qu’ils sont étendus de deux semaines durant les mois de juillet et août. La défenderesse a donc disposé d’un délai de 8 semaines, qui est identique à celui qui aurait été accordé à toute autre défenderesse dans une procédure basée sur un rapport d’enquête. Ce délai a par la suite été étendu de trois semaines à la demande de la défenderesse. Il a été une nouvelle fois étendu de deux semaines à sa demande, portant le total à 13 semaines. 185. Lorsque des documents supplémentaires ont été fournis à la défenderesse suite à ses demandes, elle a disposé d’un délai de deux semaines45 pour adapter ses conclusions (délai étendu d’une semaine à sa demande). La défenderesse ne peut donc raisonnablement soutenir que les délais qui lui ont été accordés par la Chambre Contentieuse, et qui ont été étendus de son fait à de multiples reprises, ne lui ont pas permis de disposer d’un délai utile pour préparer sa défense. 186. La Chambre Contentieuse en conclut qu’il n’y a pas eu de dépassement du délai raisonnable dans le présent dossier, ni de manquement concernant le droit au délai utile. II.4.3. Le principe du contradictoire 187. La défenderesse estime qu’en refusant de manière répétée et constante de fournir certains documents qu’elle sollicitait, l’APD a violé le principe du contradictoire et les droits de la défense. La défenderesse considère que l’APD a refusé de manière répétée de fournir des éléments déterminants dans le dossier et dans sa défense. 188. La Chambre Contentieuse rappelle que la LCA ne définit pas la composition du dossier administratif. Celui-ci se compose de toutes les décisions et pièces officielles liées à une affaire (décisions du SPL, rapport d’enquête du SI, décisions de la CC etc). La Chambre Contentieuse a transmis à Freedelity l’ensemble du dossier administratif lorsque cette dernière le lui a demandé. 189. La défenderesse a par la suite exigé la production de pièces internes à l’APD qui ne sont pas traditionnellement présentes dans un dossier administratif. Les demandes de la défenderesse ont varié à de nombreuses reprises et ont été effectuées sur des fondements variables. 190. Le 2 mai 2023, la Chambre Contentieuse a transmis à Freedelity tous les documents additionnels que celle-ci demandait, dans la mesure où l’APD disposait de ceux-ci. 191. Le 18 juillet 2023, l’APD a encore transmis à Freedelity certains documents à la suite de l’avis de la CADA46, à savoir l’agenda de la réunion du Comité de direction de l’APD du 6 décembre 2019 ainsi qu’une version plus complète du procès-verbal de cette même réunion. 192. Ce n’est que le 22 décembre 2023, par une première citation en référé, que Freedelity a demandé (au Tribunal) un accès plus large à celui précédemment demandé et obtenu. 193. L’APD a fait suite à cette nouvelle demande en transmettant à Freedelity les pièces plus récentes du dossier administratif – ces pièces étant du reste toutes déjà connues de Freedelity - puisqu’il s’agit de correspondances entre Freedelity et l’APD. 194. L’APD a encore transmis de sa propre initiative des pièces complémentaires à Freedelity en date du 12 janvier 2024, dont elle estimait qu’elles pouvaient être pertinentes dans le cadre de la critique que Freedelity entendait formuler quant à la manière dont l’APD a été saisie de l’affaire la concernant. 195. Ensuite, dans le cadre de la procédure en référé, Freedelity et l’APD se sont accordés pour que l’APD fournisse certaines pièces additionnelles. 196. Finalement, à la suite de l’ordonnance de la Chambre des référés, l’APD a fourni des pièces additionnelles, dont des pièces préparatoires, telles que des communications internes entre collaborateurs de l’APD. 197. Il ressort du descriptif chronologique ci-dessus que l’APD a, à plusieurs reprises et de manière volontaire fourni des documents additionnels à la défenderesse. Elle a également donné suite à l’ordonnance de la Chambre des référés lorsque celle-ci lui a imposé de fournir certains documents additionnels. 198. Le fait qu’une partie à une affaire sollicite la production de documents additionnels au dossier administratif ne signifie pas que la Chambre Contentieuse soit dans l’obligation d’y donner suite sans pouvoir contester la nécessité d’une telle production. 199. Le fait que l’APD ait contesté, pour certains documents, la nécessité de les produire ne peut entraîner une violation du principe du contradictoire et du droit de la défense. C’est d’ailleurs à raison que l’APD s’est opposée à la production de certains documents et puisque tant la CADA que la Chambre des référés ont refusé à Freedelity l’accès à certaines pièces. En outre, toutes les pièces ont pu faire l’objet d’un débat contradictoire, notamment lors de l’audition. 200. Pour ce qui concerne plus précisément la décision de levée de mandat de l’ancien président de l’APD, la Chambre Contentieuse renvoie aux développements ci-dessus (voir paragraphes 130-133 et section II.4.1.3). 201. Par ailleurs, la Chambre Contentieuse constate que la défenderesse a pu, in fine, obtenir tous les documents nécessaires à sa défense, puisqu’elle a pu de manière exhaustive formuler les griefs qu’elle souhaitait concernant la légalité de la procédure. 202. La Chambre Contentieuse ne peut constater une violation des principes du contradictoire et du droit de la défense en l’espèce. II.4.4. Violations des principes de bonne administration 203. La défenderesse estime que le devoir de « fair play », le devoir de « sollicitude » et le devoir de motivation n’ont pas été respectés par l’APD, sans davantage de précisions concernant ces griefs. 204. La Chambre Contentieuse constate que la défenderesse n’explique pas ce qu’elle entend par « devoir de fair-play » et de « sollicitude », ne cite pas ses sources, et ne justifie pas en quoi le devoir de motivation n’aurait pas été respecté par l’APD. 205. S’agissant des devoirs de « fair-play » et de « sollicitude », les griefs de la défenderesse sont formulés comme suit : « L’Autorité manque gravement à son devoir de fair-play et de sollicitude, lesquels constituent des principes de bonne administration à part entière. » La Chambre Contentieuse ne peut que constater l’absence d’arguments factuels qui devraient corroborer le manque de respect de tels devoirs. 206. La Chambre Contentieuse ne peut dès lors répondre à ces arguments, et renvoie pour autant que de besoin à ses considérations concernant le principe du contradictoire et de l’accès aux dossiers ci-dessus (voir section II.4.3). 207. La Chambre Contentieuse considère que les principes de bonne administration ont été respectés. II.5. Sur le fond II.5.1. Sur les traitements en cause, la responsabilité des traitements et les bases juridiques 1. Sur les traitements en cause 208. L’article 4, 2) du RGPD définit un traitement comme « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ». 209. En l’espèce, la Chambre Contentieuse relève sur la base des informations fournies par Freedelity au Service d’inspection, que les traitements de données suivants sont mis en place : 210. Premièrement, la collecte des données personnelles47 : a) directement fournies par les clients à travers la lecture de la carte eID. La lecture de la carte eID peut être réalisée, notamment via des lecteurs eID, via une borne installée chez les clients de Freedelity, ou via tout autre type de terminal. Pour les personnes n'ayant pas de carte eID belge ou ne voulant pas en faire usage, les mêmes données peuvent être introduites manuellement dans l'écran d'une borne ou via le site Internet du partenaire par la personne concernée ou le personnel des clients de Freedelity, sur la base des informations fournies par la personne concernée. b) par Freedelity : - via sa plateforme ou son application MyFreedelity, y compris les cookies intégrés dans les courriers électroniques et autres interfaces numériques, ou - en enregistrant les données communiquées par la personne concernée dans le cadre de son inscription volontaire au fichier Freedelity. 211. Dans ses réponses aux questions du Service d’inspection 48, Freedelity indique que les données collectées le sont en très grande partie par le biais de bornes Freedelity 49, dans une portion moins significative, les données sont collectées via l’intermédiaire d’un vendeur habilité par le client de Freedelity, et de manière très rare, les données sont collectées par le biais du remplissage d’un formulaire en ligne. 212. Deuxièmement, la mutualisation des données personnelles50 consiste à partager et mettre à jour automatiquement les informations d'un consommateur commun entre plusieurs enseignes ayant souscrit au service Custocentrix, avec lesquelles il a une relation, tout en garantissant que celles disposant déjà de ses données puissent accéder à ces mises à jour si les données personnelles du consommateur ont changé. Pour comprendre ce traitement, il est essentiel de rappeler que la plupart des données électroniques contenues dans la carte d’identité sont mises à jour en cas de changement 51. Ainsi, comme le rappelle la défenderesse dans ses conclusions, si une enseigne A possède des informations plus récentes sur un consommateur commun avec une Enseigne B, alors la mutualisation permet de transférer ces données à jour à l'Enseigne B. Seules les entreprises qui ont déjà une relation commerciale avec le consommateur (c'est-à-dire qu'elles ont, préalablement à l’octroi de la carte, ce consommateur dans leur base de données) peuvent accéder aux données mises à jour via cette mutualisation. 213. La Chambre Contentieuse estime que les traitements de collecte et de mutualisation sont inextricablement liés, dans la mesure où la finalité de la collecte des données issues de la carte d’identité électronique est de permettre l’alimentation du fichier Freedelity, qui se présente comme une base de données précise et constamment mise à jour. En effet, comme le souligne Freedelity52, « L’enregistrement dans le fichier Freedelity n'entraîne pas de finalités particulières autres que celles liées à la gestion du fichier Freedelity. Il s’agit d’un seul et même traitement. Ces flux de données nous parviennent par le biais des différentes méthodes de collecte de données et de consentements telles que décrites précédemment ». Ceux-ci seront examinés conjointement dans les sections suivantes. 214. La Chambre Contentieuse relève que la défenderesse ne conteste pas mettre en œuvre les traitements décrits aux paragraphes précédents. 2. Sur la responsabilité des traitements 215. Un responsable de traitement est défini comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement » (article 4.7 du RGPD) (soulignement ajouté). Il s'agit d'un concept autonome propre à la réglementation en matière de protection des données, qui doit être évalué en fonction des critères qu'elle établit : la détermination des « finalités » et des « moyens » d'un traitement consiste à décider du « pourquoi » (la raison ou l’objectif du traitement) et du « comment » (la manière dont cet objectif sera atteint)53. 216. Dans certains cas, la responsabilité est considérée comme conjointe. Pour qu’il y ait responsabilité conjointe en matière de traitement de données, il est nécessaire que deux entités ou plus participent ensemble à la détermination des finalités et des moyens du traitement. Cette participation peut se manifester par une décision commune ou par des décisions convergentes qui se complètent et sont essentielles à la réalisation du traitement. Un critère clé est que le traitement ne pourrait se faire sans la contribution de chaque partie, ce qui signifie que les traitements sont indissociables et inextricablement liés54. 217. La Chambre Contentieuse rappelle qu’en cas de responsabilité conjointe, l’article 26 du RGPD oblige les responsables de traitement conjoints à s’assurer, par le biais d’un contrat, qu’ils respectent mutuellement le RGPD. 218. Selon les lignes directrices de l’EDPB sur les notions de responsable du traitement et de sous-traitant55, « Une participation conjointe peut prendre la forme d’une décision commune prise par deux entités ou plus ou découler de décisions convergentes adoptées par deux entités ou plus, lorsque les décisions se complètent et sont nécessaires à la réalisation du traitement de telle sorte qu’elles ont un effet concret sur la détermination des finalités et des moyens du traitement. Un critère important est que le traitement ne serait pas possible sans la participation des deux parties en ce sens que le traitement par chacune des parties est indissociable de celui de l’autre, c’est-à-dire inextricablement lié. La participation conjointe doit englober, d’une part, la détermination des finalités et, de l’autre, la détermination des moyens » (soulignement ajouté). 219. La Chambre Contentieuse analysera successivement les situations de participation commune dans le cadre de la détermination des finalités (a) et la détermination des moyens (b). a) La détermination des finalités 220. Premièrement, la Chambre Contentieuse constate que la finalité de la collecte et de la mutualisation des données personnelles, est l’alimentation du fichier Freedelity mutualisé pour permettre une identification unique et actualisée des consommateurs. 221. Freedelity considère qu’elle contrôle exclusivement cette finalité, les enseignes n’intervenant que dans les modalités de collecte et sans prise de décision quant aux objectifs finaux des traitements. En ce sens, Freedelity considère que la responsabilité conjointe ne s’applique pas. 222. Contrairement à ce que soutient la défenderesse, la Chambre Contentieuse considère que cette finalité est commune à Freedelity et aux enseignes. En effet, cette finalité est nécessaire pour permettre à Freedelity d’enrichir sa base de données pour attirer des enseignes intéressées par une identification fiable et à jour de leurs consommateurs. Elle est également indispensable aux enseignes souhaitant éviter toute confusion entre leurs consommateurs et prévenir ainsi l’accumulation de données obsolètes. 223. Le fait que ces traitements interviennent l’un après l’autre est sans incidence sur la qualification de responsable conjoint de traitement. Selon la CJUE, « l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce »56. 224. Afin de lever toute ambigüité, la Chambre Contentieuse précise que la présente décision ne porte pas sur les finalités de traitement spécifiques aux enseignes (telles que l'inscription aux programmes de fidélité des consommateurs, l’envoi de factures numériques etc.), pour lesquelles Freedelity n'a pas de responsabilité conjointe. Il est important de ne pas confondre ces finalités spécifiques aux enseignes avec la finalité commune en question, qui est la collecte et la mutualisation des données pour mettre à jour le fichier Freedelity. Confondre ces différentes finalités, comme le fait la défenderesse, entraîne une mauvaise qualification des rôles des parties. Par ailleurs, la Chambre Contentieuse ne conteste pas non plus que lorsqu’une enseigne cesse sa collaboration avec Freedelity, Freedelity demeure responsable de traitement unique pour les traitements futurs, quand bien même les données ont été collectées initialement par l’enseigne ayant résilié son contrat avec Freedelity. b) La détermination des moyens 225. Deuxièmement, pour ce qui est des moyens, la Chambre Contentieuse rappelle que selon les lignes directrices de l’EDPB 57, « Il se peut également que l’une des entités concernées fournisse les moyens du traitement et les mette à disposition pour les activités de traitement de données à caractère personnel effectuées par d’autres entités. L’entité qui décide d’utiliser ces moyens pour que des données à caractère personnel puissent être traitées pour une finalité particulière participe également à la détermination des moyens du traitement. Ce scénario peut notamment se produire dans le cas de plateformes, d’outils standardisés ou d’autres infrastructures qui permettent aux parties de traiter les mêmes données à caractère personnel et qui ont été créés d’une certaine façon par l’une des parties pour être utilisés par d’autres parties, qui peuvent aussi décider de la manière de les créer ». 226. En l’espèce, les moyens du traitement sont également définis en commun : la collecte est réalisée principalement par les clients via des dispositifs fournis par Freedelity et proposés par les enseignes (particulièrement via les bornes). En termes de moyens, Freedelity centralise les données dans une infrastructure technique qu’elle a développée, mais la mutualisation est elle-même rendue possible par les contributions continues des clients, lesquels transfèrent régulièrement des données d’identité pour rendre possible l’actualisation des informations. 227. En outre, Freedelity explique que le contenu de la borne varie entre les enseignes afin de prendre en compte les multiples parcours clients et actions liées à la collecte de données personnelles ainsi que les attentes de ses clients quant à la prise en compte des éléments qui leurs sont propres, notamment leur identité et leurs chartes graphiques58. Concernant les formulaires manuels, Freedelity explique que les formulaires peuvent varier d’un client à l’autre (c’est-à-dire le visuel et le contenu du texte). Pour certains, c’est même Freedelity qui fait le travail de mise en forme pour le compte du client 59. 228. Concernant ce dernier point, le Service d’inspection a demandé des éclaircissements supplémentaires. Freedelity a répondu que : « Le processus est semblable à celui de la conception des formulaires utilisés dans les Kiosques quand la mise en place du formulaire nous est confiée. Nous ne réinventons pas la roue pour chaque client, ce qui explique que la logique sous-jacente reste similaire » 60. 229. Dans un document à destination des enseignes, bien qu’après avoir exclu la responsabilité conjointe, Freedelity dévoile une liste non-exhaustive de cas où une collaboration évidente doit s’opérer entre Freedelity et les enseignes, ce qui renforce d’autant l’analyse de la Chambre Contentieuse qu’il s’agit d’un cas de responsabilité conjointe. 61 Cette liste non-exhaustive fait entre autres référence à : - la validation des formulaires et processus de collecte de données personnelles via des bornes, systèmes de caisse ou autres interfaces digitales, - la production et la remise des dépliants destinés à informer les consommateurs, - l’information des consommateurs lors de la collecte de leur consentement au traitement de leurs données via la fourniture d’explications orales appuyée par la remise du dépliant d’information explicatif, - la mise à disposition de solutions alternatives à la lecture de la carte d’identité afin de bénéficier des avantages ou du programme de fidélité. - la mention explicite du recours aux services de Freedelity dans les termes et politique de protection de vie privée, - la validation de la robustesse du traitement des flux de données entre les applications des clients et CustoCentrix, - la coordination obligatoire et immédiate en cas de constat de fuites de données personnelles, - la coordination en réponse à des demandes de suppression de leurs données par certains consommateurs, - la mise en place de systèmes informatiques assurant la sécurité informatique requise. 230. En conclusion, si la collecte incombe principalement aux enseignes, tandis que la mutualisation est réalisée par Freedelity, ces opérations sont indissociables et inextricablement liées, puisque la seconde ne pourrait arriver sans la première. En d’autres termes, la mutualisation par Freedelity n’est possible qu’à travers la collaboration des enseignes dans le processus de collecte des données d’identité. 231. Cette infrastructure technique, configurée par Freedelity mais intégrée principalement dans l’environnement des clients montre une convergence des moyens du traitement et des finalités mis en œuvre pour le réaliser. La Chambre Contentieuse considère, tout comme le Service d’inspection, qu’il s’agit d’un cas de responsabilité conjointe. 232. Freedelity est responsable conjoint de traitement avec ses clients pour la collecte et la mutualisation des données d’identité. 3. Sur les bases juridiques des traitements é. L’article 5.1.a du RGPD exige que les données soient traitées de manière licite, loyale et transparente, ce qui impose notamment de sécuriser une base juridique pour mettre en œuvre le traitement de données. 234. Aux termes de l’article 6.1, du RGPD, plusieurs bases juridiques peuvent être invoquées par le responsable de traitement, dont le consentement : « le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : 235. a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; 236. […] ». 237. La collecte et la mutualisation des données personnelles doivent intervenir en conformité avec le droit applicable, notamment l’article 6, §4 de la loi de 199162 et le RGPD. Cet article de la loi de 1991 exige l'obtention préalable du consentement « libre, spécifique et informé » pour la lecture électronique des données figurant sur la carte d'identité. La CPVP (prédécesseur de l’APD) a émis une recommandation du 25 mai 2011 63 au sein de laquelle elle recommandait : « L'obtention préalable du consentement libre, spécifique et informé du client pour procéder à la lecture électronique de sa carte d’identité dans le cadre d’un système de fidélisation. Une alternative à l’usage de sa carte d’identité doit également lui être proposée » (soulignement ajouté). 238. Ces critères font un écho direct aux critères du consentement valable au sens du RGPD 64 et doivent remplir les conditions de consentement de l’article 6.1.a) du RGPD, prévues dans l’article 4.11) du RGPD, et expliquées dans les Lignes directrices 5/2020 du CEPD sur le consentement au sens du règlement (UE) 2016/679. 239. Ces critères garantissent que chaque individu conserve un contrôle total sur l'usage de ses données personnelles, particulièrement lorsqu'il s'agit de la lecture de sa carte d'identité électronique, pour laquelle le législateur belge a prévu un régime spécifique. En France, la Commission Nationale de l’Informatique et des Libertés a même considéré qu’une carte d'identité électronique contient des informations pouvant être considérées comme « données à caractère hautement personnelles »65. 240. Le consentement assure que ce contrôle est exercé en toute connaissance de cause, permettant ainsi à la personne concernée de décider librement si elle accepte ou non que ses données soient utilisées dans ce contexte précis. Ce choix doit être fait librement et spécifiquement, c'est-à-dire se rapporter à une finalité clairement définie. En outre, l’obligation de proposer une alternative à l'usage de la carte eID est essentielle pour garantir que l'usage de cette carte reste une option, et non une obligation. 241. En ce sens, l'article 6§4 de la loi de 1991 protège les citoyens en assurant que le traitement de leurs données d’identité s'opère dans un cadre transparent, respectueux de leur vie privée, et en conformité avec les principes fondamentaux énoncés par le RGPD. Le recours au consentement, tel que prévu à l'article 6.1.a du RGPD, est donc la base juridique appropriée pour les traitements de collecte et mutualisation des données personnelles. 242. En conclusion, la collecte et la mutualisation des données personnelles doivent se fonder sur le consentement des personnes concernées, à savoir les consommateurs des enseignes, conformément à l’article 6.1.a du RGPD. II.5.2. Constatation 1 : Sur la validité du consentement (5.1.a., 6.1.a, 7 et 5.2. du RGPD): 243. A titre liminaire, il sera rappelé quelques mécanismes de consentement mis en place par Freedelity et certaines enseignes. Les enseignes dont les traitements ont été examinés proposent une alternative à la collecte de données par carte d’identité, c’est-à-dire, en remplissant un formulaire manuel. Cette obligation est prévue par la loi de 199166 et est appliquée – à titre d’exemple - de la manière suivante : a) Sur le site Internet de Freedelity, pour se créer un profil, la personne concernée doit renseigner son numéro de carte d’identité et activer le toggle « Je consens à l’inscription chez Freedelity et adhère à sa charte vie privée » (associé à un lien). b) Chez Enseigne A, une borne associée à un écran d’accueil propose au consommateur d’introduire sa carte d’identité pour donner son consentement, lequel doit être réputé obtenu, selon la défenderesse, lorsque la personne introduit sa carte dans le lecteur de carte et poursuit sa navigation au sein des pages de la borne : « En utilisant votre carte d’identité, vous acceptez que Enseigne A et Freedelity utilisent les données d’identité pour vous informer d’actions qui correspondent à votre profil et à vos intérêts et mettre à jour les bases de données des partenaires commerciaux de Freedelity. En savoir plus ». En cliquant sur « En savoir plus », une page s’ouvre sur laquelle Enseigne A présente trois finalités distinctes pour lesquelles ce consentement est obtenu : (i) Mettre à jour les informations des personnes concernées dans les bases de données de Enseigne A et des autres partenaires de Freedelity, (ii) Permettre à Enseigne A d’effectuer ses actions marketing sur la base de l’enregistrement du numéro de téléphone et de l’adresse email, (iii) Permettre à Enseigne A d’envoyer une preuve de garantie numérique (preuve d’achat) en remplacement du ticket de caisse. c) Chez Enseigne B, deux mécanismes de consentement sont proposés à travers les bornes : 1) « J’accepte que Enseigne B utilise mes données pour m’informer d’actions à venir basées sur mes intérêts », et 2) « J’accepte que Freedelity, partenaire Enseigne B désigné pour gérer ma carte de fidélité, gère mes données dans ce cadre, m’informe d’actions basées sur mes intérêts et mette à jour les bases de données des partenaires de Freedelity ». Cependant, sur le site Internet Enseigne B, trois mécanismes de consentement sont présents : 1) « Je consens à l’inscription chez Enseigne B et adhère à sa charte vie privée [lien] », 2) « Je consens à l’inscription chez Freedelity et adhère à sa charte vie privée [lien] », 3) « Je consens à recevoir des offres par SMS et par email de la part Enseigne B ». d) Sur le site de Enseigne C, trois mécanismes de consentement sont proposés lors de l’inscription manuelle : 1) « J’accepte l’inscription, les conditions générales [lien] et de vie privée [lien] de Freedelity », 2) « J’accepte l’inscription et les conditions générales de Enseigne C [lien] », 3) « J’accepte de recevoir des offres par SMS et par email de la part de Enseigne C ». 244. La défenderesse soutient que les différents mécanismes d’obtention du consentement mis en place par les enseignes pour la collecte et la mutualisation des données personnelles sont tous conformes au RGPD. Concernant ses trois partenaires susmentionnés, elle analyse successivement les caractéristiques du consentement pour tenter de démontrer qu’elles répondent aux exigences de l’article 4.11 du RGPD. S’il n’est pas possible de présenter en détail l’argumentaire de la défenderesse dans cette section, lequel s’étend sur Décision quant au fond 146/2024 – 44/67 50 pages de conclusions, la Chambre Contentieuse répondra aux arguments de la défenderesse dans son analyse ci-dessous. 245. La Chambre Contentieuse renvoie à ses paragraphes précédents concernant la nécessité d’obtenir une base juridique pour les traitements au sens de l’article 5.1.a du RGPD (voir paragraphe é), et le consentement pris en tant que base juridique possible au sens de l’article 6.1.a du RGPD (voir paragraphe 234234). 246. Elle rappelle qu’en vertu de l’article 4.11) du RGPD, le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». 247. L’article 7.1 du RGPD relatif aux conditions applicables au consentement prévoit que : « dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ». En outre, le responsable de traitement doit être en mesure de démontrer qu’un consentement valable a été donné (article 5.2 du RGPD). 248. Il ressort de l’enquête du Service d’inspection et des observations transmises par Freedelity, que les enseignes sont désignées contractuellement comme responsables de traitement distincts. Les clauses du contrat les soumettent à des obligations générales de coopération avec Freedelity, pour collecter un consentement valable et fournir l’information aux personnes concernées. La Chambre Contentieuse rappelle qu’elle n’est pas liée par une qualification du rôle des parties telle qu’elle résulte des accords conclus entre elles67. 249. La Chambre Contentieuse constate que les différents mécanismes présentés au paragraphe 243243 sont sensiblement différents, et chacun manque à sa manière, aux critères essentiels du consentement. La défenderesse utilise comme argument général que les lignes directrices du CEPD sur le consentement, utilisées à l’appui de l’analyse faite par le Service d’inspection, ne sont pas opposables à Freedelity car adoptées postérieurement à l’enquête. Cet argument est dénué de pertinence, puisque ces lignes directrices reprennent en substance les acquis des lignes directrices sur le consentement adoptées en 2017 par le Groupe de Travail Article 29 (« G29 »)68 : A) Caractère libre du consentement : Pour que le consentement soit considéré comme libre au sens de l’article 4.11 du RGPD, la personne concernée doit pouvoir consentir librement, c’est-à-dire sans subir de pression ou de conséquences négatives si elle refuse le traitement de ses données personnelles. Le consentement doit être donné sans obligation d’adhérer à d’autres conditions, et la personne concernée doit pouvoir retirer son consentement sans subir de préjudice69. En outre, le titulaire de la carte eID peut refuser que ses données soient lues et/ou enregistrées dans le contexte d’une fidélisation70, ce qui signifie qu’il doit pouvoir bénéficier de la possibilité de souscrire à un programme de fidélisation en dehors de toute lecture de carte eID. Dans les situations présentées, plusieurs éléments montrent que le consentement n'est pas libre : - Chez Enseigne C, les services proposés nécessitent l’acceptation des conditions générales de Freedelity en guise de consentement au sens de l’article 6.1.a du RGPD. Le fait que la personne concernée doive accepter les conditions générales de Freedelity pour bénéficier des avantages commerciaux offerts par Enseigne C démontre une absence de liberté offerte aux personnes concernées. Un tel consentement qui fusionne à la fois (i) l’acceptation des conditions générales de Freedelity et (ii) l’obtention d’un consentement (article 6.1.a du RGPD) nécessaire pour les traitements de collecte et mutualisation des données personnelles, se fait au détriment de la personne concernée et est non libre par nature71. - Il est incorrect de la part de la défenderesse d’affirmer que lorsque le consentement est demandé de manière distincte pour le traitement des données par (i) une enseigne et (ii) par Freedelity, cette circonstance rend le consentement libre. En effet, à supposer que toutes les autres conditions du consentement soient remplies, il appartient à la défenderesse de démontrer que le consentement aux opérations de traitement par Freedelity est complètement facultatif, de sorte que, par la mise en place de mécanismes de consentement distincts, la personne concernée n’a pas besoin de consentir au service de mutualisation offert par Freedelity et ses partenaires pour bénéficier des avantages commerciaux offerts par l’enseigne. - Ainsi, dans tous les cas où les personnes concernées sont contraintes de consentir aux traitements de leurs données personnelles par Freedelity (notamment la mutualisation), pour obtenir les avantages commerciaux désirés, ce consentement est vicié car non libre (voir en particulier l’exemple de Enseigne A). En effet, le consentement ne peut être libre que si la personne a le choix d’accepter ou de refuser la mutualisation de ses données personnelles, envisagée en tant que service qui lui profiterait distinctement des avantages commerciaux offerts par l’enseigne en cause. B) Caractère spécifique du consentement : Pour être considéré comme spécifique au sens de l’article 4.11 du RGPD, le consentement doit porter sur des finalités précises et distinctes. Chaque finalité doit être clairement séparée des autres afin d’éviter tout usage des données collectées n’ayant pas été préalablement et clairement annoncé à la personne concernée72. Dans l’ensemble des cas présentés, le consentement n’est pas spécifique : - Sur le site Internet de Freedelity, la demande de consentement liée à la création d’un profil inclut l’obligation de renseigner son numéro de carte d’identité et d’accepter la charte de vie privée. Contrairement aux allégations de la défenderesse, la présence d’un lien vers la charte de vie privée contenant davantage d’informations sur les traitements ne permet pas de rendre le consentement spécifique. En effet, la Chambre Contentieuse observe que la demande est globale, ne distinguant pas les consentements (i) à la création d’un compte, et (ii) à l’utilisation ultérieure des données afin d’alimenter le fichier Freedelity mutualisé à l’aide des données collectées par d’autres partenaires. L’absence de spécification de chaque finalité empêche la personne concernée de comprendre et de consentir distinctement aux différents usages de ses données personnelles. - Chez Enseigne A la borne ne permet pas un consentement spécifique : en introduisant sa carte d’identité, la personne concernée accepte globalement l’utilisation de ses données pour trois finalités distinctes (mise à jour des bases de données de Freedelity, actions marketing, et envoi de preuves de garantie numérique). Or, chaque finalité devrait être présentée comme appelant une demande de consentement distincte pour garantir le contrôle des données de l’utilisateur, ce qui n’est pas le cas en l’espèce. La Chambre Contentieuse conteste les allégations de la défenderesse selon lesquelles les lignes directrices sur le consentement du CEPD n’interdisent pas que plusieurs finalités soient liées. La Chambre Contentieuse renvoie à la version de ces lignes directrices adoptée en 2017 par le G2973. - Enseigne B et Enseigne C proposent différents mécanismes de consentement à travers un système de bornes (Enseigne B uniquement) et leurs sites Internet, mais la structure de ces options crée de la confusion. Sur la borne Enseigne B, le consentement aux opérations de traitements de Freedelity regroupe plusieurs finalités distinctes. Sur les sites Internet de ces enseignes, les consentements ne sont pas spécifiquement reliés à des finalités claires et distinctes. Par exemple, il n’est pas précisé si les données collectées servent uniquement à Enseigne B ou si elles seront mutualisées dans le fichier Freedelity, accessible par les autres partenaires. Un consentement spécifique aurait exigé de séparer les finalités liées à Enseigne B et celles communes à Enseigne B et Freedelity, pour obtenir l’accord explicite de la personne concernée pour que ses données personnelles soient partagées et mises à jour dans le fichier Freedelity, à l’aide des contributions des partenaires de Freedelity. 250. C) Caractère éclairé du consentement : Le RGPD exige que le consentement soit éclairé, c’est-à-dire permettant aux personnes concernées de comprendre précisément ce à quoi elles consentent74. En outre, les exigences minimales d’un consentement éclairé sont reprises dans les lignes directrices sur le consentement 75 et incluent notamment (i) l’identité du responsable du traitement, (ii) la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité, (iii) les (types de) données collectées et utilisées, (iv) l’existence du droit de retirer son consentement (etc.). Concernant les points (i) et (iii), l’EDPB signale que si le consentement sollicité doit servir de base à plusieurs responsables (conjoints) du traitement ou si les données doivent être transférées à, ou traitées par, d’autres responsables qui souhaitent se fonder sur le consentement original, ces organisations devraient toutes être nommées. 251. La loi de 199176 impose également de fournir un consentement « informé » en cas de lecture électronique des informations figurant sur la carte d’identité. Dans les situations décrites, le consentement ne peut être qualifié d’éclairé : - Sur les sites Internet de Freedelity, Enseigne B, et Enseigne C, le concept de mutualisation, nécessitant le partage des données aux partenaires de Freedelity, n’est aucunement expliqué à la personne concernée lors de l’obtention de son consentement. Cette information est pourtant essentielle pour que les personnes concernées comprennent le traitement qui sera fait de leurs données personnelles, rendant le consentement non éclairé. Le fait que les catégories de destinataires soient reprises dans la charte vie privée de Freedelity ne suffit pas à rendre le consentement éclairé comme le soutient la défenderesse, puisque cette obligation distincte est régie par les obligations de transparence des articles 13 et 14 du RGPD. - Sur les bornes de Enseigne A et Enseigne B, s’il est fait référence au concept de mutualisation de manière plus ou moins directe, les destinataires des données personnelles ne sont pas mentionnés. Or, chaque destinataire des données agissant en tant que responsable de traitement (conjoint) avec Freedelity, et donc comme destinataire potentiel des données collectées par les autres responsables conjoints de Freedelity, il est indispensable d’informer la personne en lui annonçant l’identité des destinataires de ces données. Il convenait donc de les nommer individuellement, sans quoi le consentement ne pouvait être considéré comme éclairé, et donc valide. Les lignes directrices sur le consentement tant dans leur version antérieure 77 que dans leur version actuelle78 mentionnent spécifiquement ce point. Cette omission, en violation du RGPD, est aggravée par les circonstances du traitement, qui nécessitent la collecte électronique de données d’identité particulièrement sensibles, et leur échange ultérieur automatisé entre responsables de traitement en cas de mise à jour de ces dernières. D) Caractère univoque du consentement : Pour que le consentement soit considéré comme univoque, il doit résulter d’un acte positif clair de la personne concernée. Cette exigence exclut toute ambiguïté : l’action par laquelle la personne concernée consent doit se distinguer nettement des autres actions possibles, notamment la simple poursuite de la navigation79. La Chambre Contentieuse note que le consentement ne peut être qualifié d’univoque pour les raisons suivantes : - Dans le cas de Enseigne A, la défenderesse considère que la personne qui insère sa carte d'identité dans un lecteur et clique sur un bouton vert pour poursuivre la navigation, donne un consentement univoque. Contrairement à ce que soutient la défenderesse, le simple fait de naviguer de page en page sur une borne en appuyant sur un bouton vert pour continuer n’équivaut pas à une expression claire de consentement. Pour la Chambre Contentieuse, le simple clic sur le bouton vert pour naviguer de page en page ne remplit pas les exigences d’un consentement valable, conformément à l’article 4.11) du RGPD.80 - En effet, la navigation successive d’une page à l’autre peut tout aussi bien indiquer une exploration des options ou une prise de connaissance des informations, plutôt qu’une approbation d’un traitement de données spécifique. Le fait de passer de page en page, même avec une option de retour (via un bouton rouge), reste ambigu et peut signifier plusieurs choses : exploration, recherche de plus d’informations, ou simple navigation, sans qu'il soit possible de déduire de manière univoque l’intention de consentir. Ainsi, pour que le consentement soit univoque, la borne devrait inclure un mécanisme explicite de demande de consentement, comme un bouton spécifique et dédié, formulé de manière à ce que la personne concernée comprenne sans équivoque qu’en cliquant, elle donne son consentement aux traitements de ses données personnelles. 252. La Chambre Contentieuse tient à préciser que les exemples mentionnés ci-dessus se limitent à trois cas spécifiques détaillés par Freedelity, dans lesquels un consentement, bien que non valable, a effectivement été obtenu. Elle note toutefois que Freedelity ne rapporte pas la preuve de l’existence même d’une quelconque collecte de consentement par les autres enseignes partenaires de Freedelity 81. 253. En conclusion, la Chambre Contentieuse fait valoir que les mécanismes mis en place par les enseignes pour assurer la conformité aux articles 5.1.a et 6.1.a du RGPD ne permettent pas de considérer qu’un consentement valable a été obtenu, et ce en violation des articles 5.2 et 7 du RGPD. II.5.3. Constatation 2 : Mesures mises en place en vue de faciliter le droit de retirer son consentement à tout moment (arts. 7.3, 5.2, 24 et 25 du RGPD) 254. Selon la défenderesse, les personnes concernées qui souhaitent retirer leur consentement au traitement de leurs données par Freedelity peuvent le faire en se rendant sur l’onglet « Mon profil » du portail MyFreedelity et en désactivant le toggle « Validation et tenue à jour de mes données auprès des clients de Freedelity ». Concernant Enseigne A, Freedelity indique que la possibilité pour la personne concernée de revenir à la page précédente en cliquant sur un bouton rouge associé à une croix vaut droit de retrait du consentement. Elle considère que chez certaines enseignes : « Le fait pour la personne concernée d’avoir la possibilité de ne simplement pas aller confirmer son compte est une manière supplémentaire mise à sa disposition par Freedelity pour retirer son consentement au traitement de ses données ». 255. Elle explique également que la personne concernée peut toujours adresser sa demande de retrait via un courrier électronique ou par courrier postal, ou formuler sa demande au vendeur de l’enseigne. En ce sens, Freedelity estime qu’elle permet aux personnes concernées de retirer leur consentement à tout moment. Par ailleurs, et nonobstant ces mesures qu’elle juge satisfaisantes, Freedelity admet être en train de changer les écrans des bornes afin de prévoir la possibilité pour la personne concernée de supprimer ses comptes directement via la borne. 256. La Chambre Contentieuse rappelle que l’article 7.3 du RGPD dispose que : « La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement ». Les articles 24.1 et 5.2 du RGPD imposent des obligations de responsabilité (accountability) au responsable de traitement, en lui imposant d’être en mesure de démontrer que le traitement est effectué conformément au RGPD. 257. L'article 25.1 du RGPD impose au responsable de traitement d'appliquer des mesures de protection des données dès la conception et par défaut, en fonction notamment de la nature, de la portée et des risques du traitement pour les droits et libertés des personnes concernées. Il exige la mise en place de mesures techniques et organisationnelles pour garantir la conformité au RGPD. 258. En l’espèce, il est reproché à Freedelity de ne pas avoir mis en place des moyens suffisamment simples et directs pour permettre le retrait du consentement. Bien que des options existent via le portail MyFreedelity et les bornes en magasin, ces moyens ne remplissent pas l’exigence de simplicité requise par l’article 7.3, du RGPD, selon lequel retirer son consentement doit être aussi simple que de le donner. En effet, la nécessité pour les personnes concernées de naviguer dans divers onglets ou interfaces, ainsi que l’absence d’une option de retrait explicite et immédiate, risquent de décourager les consommateurs de procéder au retrait de leur consentement. 259. Le principe de protection des données dès la conception et par défaut, tel qu’énoncé à l’article 25 du RGPD, impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles adéquates pour garantir la protection des données personnelles, en particulier au regard des droits des personnes concernées. Ce principe de protection par défaut aurait dû mener Freedelity à prévoir des mécanismes de retrait directement au niveau des bornes elles-mêmes, avant même la mise en place du traitement. Le fait de devoir réviser les interfaces des bornes pour faciliter le retrait de consentement démontre un manque d’anticipation quant aux exigences de protection des données par défaut, qui auraient dû guider la conception initiale du dispositif. 260. Freedelity a mis en place un système où le droit de retrait, tel qu’il est proposé actuellement, ne remplit pas pleinement les exigences de simplicité et d’accessibilité établies par le RGPD. Conformément aux lignes directrices sur le consentement82, un mécanisme de consentement ne peut être jugé conforme au RGPD si les conditions du droit de retrait ne sont effectivement respectées. Le fait que les personnes concernées doivent passer par des étapes ou interfaces distinctes pour retirer leur consentement, au lieu d’une fonctionnalité de retrait directement intégrée aux bornes, ne remplit pas les conditions de retrait de consentement prévues dans l’article 7.3 du RGPD. 261. En conclusion, la Chambre Contentieuse considère que Freedelity n’a pas respecté les exigences de documentation et responsabilité issues des articles 24 et 5.2 du RGPD en matière de retrait de consentement, car les mécanismes actuels ne permettent pas un retrait de consentement à la fois simple et direct (art. 7.3 du RGPD), en accord avec le principe de protection des données dès la conception (art. 25 du RGPD). II.5.4. Constatation 3 : Mesures mises en place pour démontrer que le consentement collecté est conforme au RGPD (arts. 5.2, 24 et 25 du RGPD) 262. La défenderesse soutient que son contrat type impose aux enseignes la collecte d’un consentement de qualité, associé à une clause prévoyant que l’enseigne indemnisera Freedelity en cas de manquement relatif à l’obtention du consentement ou à la qualité du consentement. Elle indique également que son registre de consentement reprend des informations importantes, comme la date du consentement ou le log de consentement et la source du consentement. 263. La Chambre Contentieuse rappelle que l’article 5.2 consacre le principe de responsabilité (accountability) et exige que le responsable du traitement soit en mesure de démontrer le respect des principes du RGPD dans ses traitements de données. L’article 24 complète cette obligation en imposant aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles adaptées à la nature, la portée, le contexte, aux finalités du traitement ainsi qu’aux risques pour les droits des personnes concernées, avec une obligation de révision continue pour garantir la conformité. L’article 25.1, enfin, consacre l’obligation de protection des données dès la conception et par défaut, impliquant la mise en place de mesures concrètes qui doivent être appliquées dès la définition des moyens de traitement. La présente constatation se borne à examiner les mesures mises en place pour assurer la validité du consentement collecté. 264. En l’espèce, Freedelity, dont le rôle en tant que responsable de traitement n’est pas contesté, se doit de respecter ces principes de responsabilité, en démontrant que les consentements recueillis sont conformes aux exigences du RGPD. En effet, lorsque le traitement repose sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant (article 7.1 du RGPD). Le considérant 42 prévoit que : «Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement.» 265. Freedelity explique dans ses réponses aux questions du Service d’inspection83 que « La gestion du consentement et de la collecte de celui-ci est adaptée à chaque client. L’aspect informatique de la gestion de ce consentement au sein du logiciel est complexe et n’est pas documenté en soi ». Dans la mesure où ce consentement peut être adapté à chaque client, à tout le moins au niveau des bornes Freedelity, la Chambre Contentieuse s’interroge sur les raisons pour lesquelles Freedelity n’a pas sécurisé un consentement de qualité pour la collecte et la mutualisation des données au niveau des bornes elles-mêmes. 266. En outre, la Chambre Contentieuse observe que les accords conclus par Freedelity avec les enseignes ne permettent pas à Freedelity de démontrer la collecte d’un consentement valide et systématiquement conforme au RGPD pour chaque personne concernée. En se limitant à exiger la mise en œuvre d’un « consentement de qualité » au cas par cas, Freedelity prend le risque que certains formulaires de consentement soient non-conformes. 267. Sans préjuger des démarches de mise en conformité qui auraient pu être considérées pour permettre une mise en conformité, la Chambre Contentieuse note que les démarches suivantes semblaient tout à fait réalisables en l’espèce pour garantir à Freedelity sa conformité aux exigences du RGPD au vu des risques présentés par le traitement en cause: - Freedelity aurait pu établir un modèle précis de collecte de consentement valable, relatif à la collecte et à la mutualisation des données d’identification et de contact, intégré directement au niveau des bornes Freedelity. - Pour les enseignes souhaitant implémenter elles-mêmes les mécanismes de consentement (par exemple via leurs sites Internet), Freedelity aurait pu établir un modèle précis de collecte de consentement, décrit dans ses contrats avec les enseignes. - Pour autant que de besoin, demander aux enseignes de rapporter la preuve qu’elles ont mis en place un consentement valable une fois l’implémentation terminée et assortir à cette obligation une clause d’audit permettant à Freedelity de vérifier la conformité du mécanisme de consentement en temps opportun. 268. La Chambre Contentieuse insiste sur le fait qu’un responsable de traitement, même dans un contexte de responsabilité conjointe 84, ne peut s’exonérer de cette obligation de démontrer la collecte d’un consentement valable. 269. La seule obligation d’indemniser Freedelity en cas de collecte de consentement non valable, ne suffit pas à elle-seule à démontrer la suffisance des mesures mises en œuvre pour garantir la collecte d’un consentement valable. En effet, des mesures techniques et organisationnelles appropriées auraient dû compléter de telles mesures contractuelles. En outre, la présence d’un registre reprenant simplement des informations quant à la présence d’un mécanisme de consentement est elle aussi insuffisante, dans la mesure où elles ne permettent que de constater qu’un consentement a été obtenu. Ni la qualité du consentement, ni son caractère spécifique à Freedelity ne peuvent être déduits d’un tel registre. 270. Dans ces circonstances, la Chambre Contentieuse estime que Freedelity n’a pas mis en place les mesures nécessaires pour lui permettre de démontrer que le consentement collecté pour la collecte et la mutualisation des données est conforme au RGPD au sens des articles 5.2, 24 et 25 du RGPD. II.5.5. Constatation 4 : Principe de minimisation des données personnelles (arts. 5.1.c du RGPD), et principe de protection des données par défaut (art. 25.1 du RGPD) 271. La défenderesse soutient qu’au vu du nombre important de données personnelles traitées par Freedelity, une mise en balance entre le principe de minimisation (art. 5.1.c du RGPD) et le principe d’exactitude (art. 5.1.d du RGPD) doit être effectuée. Elle rappelle que pour mener à bien ses missions, elle doit limiter rapidement le risque de confusion entre les individus, éviter les doublons, et identifier les éventuelles fraudes, d’où le volume important d’informations collectées. Enfin, elle soutient que l’enregistrement des changements d’adresse postale ou électronique afin de permettre aux consommateurs de recevoir les offres promotionnelles, publicités ou toute autre information et aux nouveaux locataires ou acquéreurs de ne pas recevoir de publicité non désirée. 272. La Chambre Contentieuse rappelle que le principe de minimisation des données, énoncé à l'article 5.1.c du RGPD, exige que les données personnelles collectées soient adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées. Autrement dit, seules les données indispensables pour atteindre les objectifs du traitement doivent être recueillies, évitant ainsi toute collecte excessive d’informations qui ne seraient pas directement utiles ou justifiées par les finalités prévues. Comme énoncé précédemment, l’article 25.1 du RGPD, consacre l’obligation de protection des données dès la conception et par défaut, impliquant la mise en place de mesures concrètes qui doivent être appliquées dès la définition des moyens de traitement. 273. Le Service d’inspection a indiqué qu’en ce qui concerne le(s) traitement(s) effectué(s) à des fins d’inscription dans le « fichier Freedelity » ainsi que pour la mutualisation des données auprès des clients et des partenaires de Freedelity, les données à caractère personnel suivantes seraient notamment traitées : - Les données d’identification à savoir : « nom, prénom(s), genre, lieu et date de naissance, nationalité, adresse de domicile, n° de carte d'identité85, commune de délivrance de la carte d'identité, date de validité de la carte d'identité et historiques de ces données » ; et - Les données de contact : « votre adresse email, n° de téléphone/GSM et historiques de ces données ». 274. En outre, la recommandation de 2011 de la CPVP indique : « Certaines pratiques commerciales amènent également la Commission à se pencher sur l’utilisation de la carte d’identité comme carte de fidélité. (…) Ce choix doit être offert à la clientèle de manière transparente et explicite dès qu’un système de fidélisation lui est proposé. De plus, le principe de proportionnalité de la loi vie privée requiert que seules les données nécessaires de la carte d’identité puissent être lues dans ce cadre. Il ne peut en aucun cas être question de traiter et conserver à cet effet ni la photo du titulaire de carte, ni le numéro de sa carte d’identité, ni son numéro d’identification au Registre national, ni sa nationalité, ni son lieu de naissance » (soulignement ajouté). Les données soulignées sont néanmoins collectées par Freedelity. »86. Donc, contrairement à ce que prétend la défenderesse, la CPVP n’a non seulement jamais approuvé cette pratique mais a également limité dans son avis les modalités d’un traitement licite des données d’une carte d’identité. 275. A fortiori, des données telles que la commune de délivrance de la carte d'identité, la date de validité de la carte d'identité et l’historique de ces données n’ont aucune pertinence dans le cadre du traitement effectué par Freedelity et les enseignes. Ces données ne figurent d’ailleurs généralement pas dans le formulaire de collecte manuel mis en place par certaines enseignes, ce qui démontre qu’elles ne sont pas utiles, et donc a fortiori non-nécessaires à la mise en œuvre du traitement. 276. Comme le souligne justement le Service d’inspection, seules quelques données auraient été nécessaires à Freedelity afin de satisfaire pleinement aux principes de minimisation et d’exactitude du RGPD dans le cadre de l’alimentation du fichier Freedelity. La Chambre Contentieuse estime que le nom, le prénom et les coordonnées de contact (adresse postale, email ou téléphone) suffisent à donner une indication suffisamment précise de la personne concernée au vu de la finalité en cause qui ne nécessite pas d’identification irréfutable de l’identité de la personne concernée. Ces données auraient pu être les seules à être collectées dès le début du traitement, sans que le fonctionnement du fichier Freedelity n’en soit affecté. 277. Le risque d’avoir des données obsolètes dans le fichier Freedelity ne justifie pas la collecte d’une dizaine d’informations supplémentaires et facultatives. Par ailleurs, plus le nombre de données personnelles collectées est important, plus il est difficile de respecter à la fois le principe d’exactitude et le principe de minimisation. Les arguments de la défenderesse sur ce point ne peuvent donc convaincre. La Chambre Contentieuse s’inquiète particulièrement de l’impact sur les personnes concernées en cas de violation de données, du fait de leur quantité et de leur précision. En effet, la centralisation massive de données d’une grande partie de la population et de leurs données collectées directement sur leur carte d’identité pose un risque élevé pour la vie privée de millions de consommateurs. 278. Pour ces raisons, la Chambre Contentieuse estime que Freedelity a manqué au principe de minimisation des données personnelles (arts. 5.1.c du RGPD), et au principe de protection des données par défaut (art. 25.1 du RGPD). II.5.6. Constatation 5 : Principe de limitation de la conservation des données personnelles (art. 5.1.e, 5.2, 24 et 25.1 du RGPD) 279. La défenderesse affirme que la conservation des données pour une durée de 8 ans dans le cadre de la gestion du fichier Freedelity est appropriée. Le point de départ de cette durée de conservation est calculé, selon la défenderesse, à partir de la dernière « activité » de la personne concernée (ex : passage en caisse). 280. Elle soutient que la durée de conservation des données de 8 ans est justifiée tout d'abord par la finalité spécifique du fichier Freedelity, qui nécessite une mise à jour régulière et une accessibilité immédiate des données. Ensuite, elle souligne l'intérêt économique légitime de conserver les données pendant une durée suffisante pour permettre une exploitation optimale de son service. Cette durée de conservation est également justifiée par des considérations comptables et fiscales, tant pour les clients que pour l'entreprise elle-même. Elle met en avant le fait que la garantie légale des biens de consommation de 2 ans 87, qui peut être prolongée par les commerçants, nécessite une durée de conservation des données plus longue que la durée de 2 ans stricte proposée par le Service d'Inspection. 281. La Chambre Contentieuse rappelle qu’au sens de l’article 5.1.e du RGPD, les données doivent être conservées d'une manière qui garantisse qu'elles ne sont pas conservées sous une forme permettant l'identification des personnes plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées. Le responsable du traitement est responsable du respect de ce principe et doit être en mesure de démontrer que celui-ci est respecté (arts. 5.2 et 24 du RGPD). La Chambre Contentieuse renvoie à ses constatations précédentes concernant l’art. 25 du RGPD (voir paragraphe 263). 282. La Chambre Contentieuse constate que les arguments de la défenderesse ne suffisent pas à justifier une durée de conservation aussi longue. En effet, si la mise à jour régulière du fichier et l'accessibilité immédiate des données sont nécessaires pour assurer un service client de qualité, il convient de souligner que ces objectifs peuvent être atteints avec une durée de conservation nettement inférieure à 8 ans. 283. Concernant les durées de conservation invoquées par la défenderesse, la Chambre constate que celles-ci s'appliquent principalement à des finalités distinctes de la gestion du fichier Freedelity, et pour lesquelles Freedelity n’intervient pas en tant que responsable de traitement. En effet, les prescriptions légales relatives aux garanties concernent essentiellement les relations entre le consommateur et le vendeur. Ainsi, les obligations légales pesant sur Freedelity en matière de conservation des données ne peuvent se fonder sur ces seules prescriptions. 284. En outre, le fichier Freedelity n’est pas le support adéquat pour conserver des données se fondant sur de telles prescriptions, propres aux clients. En effet, la base de données CustoCentrix est celle qui héberge sous forme de Silos88, les données strictement spécifiques à chaque enseigne et dont le traitement est sous-traité à Freedelity par chacune des enseignes. Dans cette mesure, et sur la base des réponses apportées par Freedelity au Service d’inspection89, le Silo spécifique à chaque client pourrait servir d’archivage intermédiaire90 des données dont la conservation en base active, sur le fichier Freedelity, n’est plus justifiée. 285. En l'espèce, la Chambre estime qu'une durée de conservation de maximum 3 ans à compter de la dernière activité serait suffisante pour répondre aux besoins de la défenderesse, tout en respectant les droits des personnes concernées. Cette durée est alignée avec les pratiques actuelles recommandées par la Commission Nationale de l’Informatique et des Libertés91. La Chambre considère en effet qu'un consommateur n'ayant manifesté aucune activité pendant une période de deux à trois ans au sein des enseignes partenaires de Freedelity peut être présumé ne plus souhaiter bénéficier des services associés à ce fichier. Il est en effet raisonnable de considérer qu'un tel consommateur a perdu tout intérêt pour ce type de programme de fidélité. 286. Dans cette perspective, il est loisible à la défenderesse de mettre en place un mécanisme de vérification régulière de l'activité des personnes concernées pour s’assurer que leurs données -et leur compte- ne doivent pas être supprimées. À titre d'exemple, un courrier électronique pourrait être envoyé aux consommateurs n'ayant pas manifesté d'activité depuis 3 ans, afin de leur demander de confirmer leur souhait de maintenir leur inscription au fichier Freedelity. En l'absence de réponse de leur part dans un délai raisonnable, la défenderesse pourrait considérer que ces personnes ont renoncé à bénéficier de ce service et procéder à l'effacement de leurs données ou leur archivage, le cas échéant. 287. Au vu de l'ensemble de ces éléments, la Chambre considère que la durée de conservation de 8 ans fixée par la défenderesse est disproportionnée au regard de la finalité poursuivie. Le principe de minimisation des données, inscrit à l'article 5.1.e du RGPD, impose au responsable de traitement de limiter la conservation des données à une durée strictement nécessaire. 288. En conclusion, la Chambre Contentieuse retient une violation du principe de limitation de la conservation des données personnelles (art. 5.1.e, 5.2, 24 et 25.1 du RGPD) en raison de la durée excessive de conservation de 8 ans pour la gestion du fichier Freedelity. III. Mesures correctrices et sanctions 289. Aux termes de l’article 100§1 de la LCA, la Chambre Contentieuse a le pouvoir de : 1° classer la plainte sans suite ; 2° ordonner le non-lieu ; 3° prononcer une suspension du prononcé ; 4° proposer une transaction ; 5° formuler des avertissements ou des réprimandes ; 6° ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits; 7° ordonner que l'intéressé soit informé du problème de sécurité ; 8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement ; 9° ordonner une mise en conformité du traitement ; 10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données ; 11° ordonner le retrait de l'agréation des organismes de certification ; Décision quant au fond 146/2024 – 58/67 12° donner des astreintes ; 13° donner des amendes administratives ; 14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international ; 15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier ; 16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données. III.1. Choix de la mesure correctrice ou de la sanction appropriée 290. A la lumière de ce qui précède et sur la base des compétences qui lui ont été attribuées par le législateur, la Chambre Contentieuse décide d’ordonner des mesures de mise en conformité des traitements, en application de l’article 100, §1, 9° de la LCA, ainsi que l’effacement de certaines données, conformément à l’article 100, §1, 10° de la LCA. Afin de garantir l’exécution effective de ces mesures, la Chambre Contentieuse estime nécessaire de les assortir d’astreintes, considérant que cette approche constitue la réponse la plus adaptée aux circonstances du dossier. 291. La Chambre Contentieuse estime qu’une combinaison de telles mesures est appropriée pour atteindre le caractère effectif, proportionné et dissuasif de la sanction. En effet, il est impératif que Freedelity exécute la présente décision par la mise en conformité de ses traitements et l’effacement de certaines données. En l’espèce, l’astreinte prévue est en mesure de mettre une pression suffisante sur Freedelity pour parvenir à cette fin. 292. La Chambre Contentieuse pourrait décider d’infliger une amende administrative en vertu de ses compétences sur la base de l’article 83 du RGPD et de l’article 100, § 1er, 13° de la LCA, en ce qui concerne les violations constatées des articles 4, 5, 6, 7, 24 et 25 du RGPD. 293. Néanmoins, la Chambre Contentieuse considère les ordres de mise en conformité assortis d’astreinte ne nécessitent pas d’imposer d’amende dès lors que les injonctions émises obligent la société à transformer significativement son modèle économique pour se conformer aux exigences du RGPD. Ce processus, complexe et exigeant, nécessitera des ressources financières importantes de la part de la défenderesse. 294. L’astreinte, par son mécanisme incitatif, garantit que les mesures correctrices seront effectivement mises en œuvre sans fragiliser outre mesure la stabilité financière de l’entreprise. Cette approche, combinée aux autres sanctions adoptées, assure une réponse qui respecte les principes d’effectivité, de proportionnalité et de dissuasion du RGPD. 295. Dès lors, en vertu de l'article 100§ 1 de la LCA, la Chambre Contentieuse décide de : a) conformément à l'article 100§ 1, 9° de la LCA, ordonner une mise en conformité des traitements dans un délai de 4 mois, conformément aux injonctions 1 à 5 ; b) conformément à l'article 100§ 1, 10° de la LCA, ordonner l’effacement des données conformément aux injonctions 4 et 5 dans un délai de 4 mois ; c) conformément à l'article 100§ 1, 12° de la LCA, donner des astreintes de 5.000 EUR par jour de retard à partir du jour où la Chambre Contentieuse la notifie qu’elle s’est partiellement ou pas du tout conformée aux injonctions prononcées dans la présente décision, sur la base des réponses apportées par la défenderesse à la Chambre Contentieuse, lesquelles devront avoir été réceptionnées à l’expiration du délai imparti de mise en conformité ; d) conformément à l'article 100§ 1, 16° de la LCA décider de publier la décision sur le site internet de l'Autorité de protection des données, avec identification directe de la défenderesse. III.2. Ordonnance de mise en conformité et d’effacement de données 296. La Chambre Contentieuse considère qu’il est approprié d’imposer plusieurs injonctions de mise en conformité et d’effacement de données à la défenderesse, en vertu des manquements constatés. 297. Injonction 1 : En vertu de l’article 100§ 1, 9° de la LCA, la Chambre Contentieuse ordonne à Freedelity de mettre en place des mécanismes de recueil du consentement garantissant que celui-ci soit libre, spécifique, éclairé et univoque, conformément à l’article 4.11 du RGPD, et ce pour chaque traitement de données personnelles qu’elle effectue, y compris la mutualisation des données avec ses partenaires commerciaux. 298. Freedelity devra notamment : - S’assurer que l’accès aux avantages commerciaux offerts par une enseigne ne soit pas conditionné à l’acceptation d’autres traitements ou conditions non essentiels, y compris la mutualisation des données. - Informer clairement et de manière compréhensible les personnes concernées, au moment de la collecte de leurs données, sur les finalités spécifiques de chaque traitement, les catégories de données concernées, et permettre aux consommateurs de connaître l’identité des destinataires avec lesquels les données seront partagées. - Mettre en œuvre des mécanismes explicites pour obtenir un consentement univoque, tel qu’un bouton non coché par défaut permettant aux personnes concernées de confirmer expressément leur accord pour chaque finalité de traitement envisagé. - Vérifier l’existence d’un consentement libre, éclairé, univoque et spécifique pour l’ensemble des personnes concernées dont les données sont traitées dans le fichier Freedelity, à la lumière des exigences ci-dessus et en cas de constatation négative, soit supprimer les données actuellement présentes dans le fichier Freedelity sans consentement valable, soit renouveler le consentement des personnes concernées avant la fin du délai imparti pour la mise en conformité à cette Injonction 1. - Transmettre à la Chambre Contentieuse les preuves de conformité à cette Injonction 1, dont une copie du modèle de formulaire de consentement propre à Freedelity (ou des formulaires de consentement) modifiés ou mises en place en application de l’Injonction 1 prononcée par la Chambre Contentieuse. 299. Injonction 2 : En vertu de l’article 100§ 1, 9° de la LCA, la Chambre Contentieuse ordonne à Freedelity de mettre en place des mécanismes simples, accessibles et directs pour permettre aux personnes concernées de retirer leur consentement, conformément à l’article 7.3 du RGPD. 300. Freedelity devra notamment : - Intégrer sur toutes les bornes physiques utilisées par ses partenaires une option explicite et immédiate permettant le retrait du consentement, sans qu’il soit nécessaire de naviguer à travers des menus ou interfaces complexes. - Mettre à jour le portail MyFreedelity pour inclure une fonctionnalité bien visible et directement accessible permettant aux personnes concernées de retirer leur consentement en autant d’étapes qu’il ne leur en faut pour donner leur consentement. - Informer les personnes concernées, au moment de la collecte du consentement, des moyens disponibles pour retirer ce consentement, en veillant à ce que ces informations soient claires, compréhensibles et facilement accessibles. - Adopter et documenter des mesures techniques et organisationnelles conformes au principe de protection des données dès la conception et par défaut (article 25 du RGPD), garantissant que les mécanismes de retrait soient intégrés dès la conception de toute nouvelle interface ou borne. - Transmettre à la Chambre Contentieuse les preuves de conformité à cette Injonction 2, dont des captures d’écran des nouveaux mécanismes de retrait du consentement tels que mis en place ou modifiés par Freedelity et les enseignes. 301. Injonction 3 : En vertu de l’article 100§ 1, 9° de la LCA, la Chambre Contentieuse ordonne à Freedelity de documenter précisément le processus de collecte du consentement, de manière à pouvoir démontrer, à tout moment, que celui-ci a été obtenu conformément aux exigences du RGPD, et ce afin d’assurer notamment la conformité aux articles 5.2, 24 et 25 du RGPD. Freedelity devra transmettre à la Chambre Contentieuse les preuves de conformité à cette Injonction 3. 302. Injonction 4 : En vertu de l’article 100§ 1, 9° de la LCA, la Chambre Contentieuse ordonne à Freedelity de cesser immédiatement la collecte et le traitement des données personnelles provenant des cartes d’identité des consommateurs, à l’exception des données strictement nécessaires à la finalité déclarée, à savoir, pour prendre l’exemple d’un programme de fidélisation classique : le nom, le prénom et les coordonnées de contact (adresse postale, email ou téléphone). En vertu de l’article 100§ 1, 10° de la LCA, la Chambre Contentieuse impose également l’effacement de toute donnée ayant été collectée au-delà de ces informations dans un délai de quatre mois. 303. Freedelity devra notamment : - Mettre à jour, ou ordonner la mise à jour de toutes les interfaces de collecte et les outils utilisés par Freedelity et ses partenaires (bornes en magasin, portails numériques, formulaires manuels, etc.) afin de garantir que seules les données autorisées soient collectées. - S’interdire, vis-à-vis des tiers, toute revente ou tout transfert des données non nécessaires collectées avant la suppression définitive de ces données, à moins qu’un consentement valable des personnes concernées ne soit obtenu. Cette interdiction inclut les données collectées précédemment qui ne respecteraient pas le principe de minimisation. - Notifier les personnes concernées de l’effacement des données non nécessaires déjà collectées, en leur rappelant leurs droits quant aux données qui continuent d’être traitées par Freedelity, notamment celui d'accéder, de rectifier, d'effacer leurs données, ainsi que leur droit de retirer leur consentement. - Freedelity devra transmettre à la Chambre Contentieuse les preuves de conformité à cette Injonction 4, notamment une copie du modèle de la notification aux personnes concernées et la preuve de la suppression effective des données personnelles non nécessaires identifiées à la Constatation 4 de la présente décision. 304. Injonction 5 : En vertu de l’article 100§ 1, 9° de la LCA, la Chambre Contentieuse ordonne à Freedelity de réduire la durée de conservation des données personnelles traitées dans le cadre du fichier Freedelity à un maximum de trois ans à compter de la dernière activité des personnes concernées. En vertu de l’article 100§ 1, 10° de la LCA, la Chambre Contentieuse impose à Freedelity d’effacer les données ayant été conservées pendant une durée de plus de trois ans, sauf si une base légale distincte justifie leur conservation dans un archivage intermédiaire tel que les Silos clients (par exemple, obligations légales spécifiques aux enseignes). 305. Freedelity devra notamment : - Supprimer toutes les données personnelles conservées au-delà de cette période de trois ans pour les personnes n’ayant pas manifesté d’activité, sauf si une base légale distincte justifie leur conservation (par exemple, obligations légales spécifiques ou litiges en cours). Appliquer cet effacement à l’ensemble des données actuellement contenues dans le fichier Freedelity et expurger le fichier Freedelity des données obsolètes. - S’assurer que lorsqu’une base légale distincte justifie la conservation des données pendant plus de 3 ans, les données soient archivées sur un support distinct du fichier Freedelity92 et qu’elles soient traitées pour aucune autre finalité que celle du stockage justifié par la base légale en cause. - Envoyer un rappel par courrier électronique ou tout autre moyen approprié aux consommateurs n’ayant pas manifesté d’activité depuis trois ans ou plus, afin de leur demander de confirmer leur souhait de maintenir leur inscription. En l’absence de réponse dans un délai raisonnable (par exemple, un mois), procéder à l’archivage des données dans les conditions énumérées ci-dessus, ou à leur effacement le cas échéant. - Freedelity devra transmettre à la Chambre Contentieuse les preuves de conformité à cette Injonction 5, notamment les documents démontrant l’effacement effectif des données personnelles au-delà des durées autorisées, conformément à la Constatation 5 de la présente décision. III.3. Sanction conditionnelle : l’astreinte III.3.1. Considérations préliminaires 306. L’astreinte a ceci de particulier qu’elle est pleinement conditionnelle. Le montant à verser est en effet incertain. La défenderesse dispose d’abord d’un délai afin de se mettre en conformité ou pour faire appel de la décision. Ce n’est qu’en cas d’inexécution de sa part après un délai de 4 mois à compter de la notification de la présente décision que l’astreinte sera mise en œuvre. Partant, le montant de l’astreinte est variable, et il peut même être nul, le cas échéant. 307. L’astreinte se distingue ainsi de l’amende administrative en ceci qu’elle constitue un moyen d’exécution indirect de la ou les sanction(s) principale(s) en vue de se mettre en conformité avec le droit en vigueur, alors que l’amende administrative revêt un caractère punitif. 308. L’astreinte a donc aussi un caractère accessoire. L’astreinte et l’amende administrative s’éloignent ainsi tant par leur nature que par les objectifs qu’elles poursuivent. 309. À la lumière des raisons évoquées ci-avant, la Chambre Contentieuse décide d’imposer des astreintes à la défenderesse en l’espèce, et ne considère pas qu’elle doit en informer préalablement la défenderesse au moyen d’un formulaire de sanction 93. III.3.2. Modalités pratiques de l’astreinte 310. Afin de donner le temps nécessaire à la défenderesse de se conformer aux injonctions prononcées dans la présente décision, l’astreinte ne sera pas mise en œuvre directement à la suite de la notification de la présente décision à la défenderesse En l’espèce, la Chambre Contentieuse considère qu’un délai de 4 mois à compter de la notification de la présente décision est suffisant pour permettre à la défenderesse de se conformer auxdites injonctions. 311. Le délai court à partir du jour où la défenderesse reçoit le courrier recommandé lui notifiant de la présente décision ou à partir du jour de l’expiration du délai lors duquel la défenderesse est, le cas échéant, amenée à récupérer ledit courrier recommandé au bureau de poste. 312. A compter de l’expiration du délai de 4 mois à compter de la notification de la présente décision, et sous réserve qu’elle ait reçu les preuves demandées au sein des différentes injonctions dans les délais, la Chambre Contentieuse notifie à la défenderesse, après examen des pièces : 1) Que cette dernière s’est pleinement conformée aux injonctions prononcées dans la présente décision ; ou 2) Que la défenderesse s’est partiellement conformée aux injonctions prononcées dans la présente décision ; ou 3) Que la défenderesse ne s’est pas conformée aux injonctions prononcées dans la présente décision. 313. La Chambre Contentieuse initie l’exécution de l’astreinte le jour même de la notification dans les deuxième et troisième hypothèses. En cas de doute, l’APD pourra faire usage de ses pouvoirs qu’elle tire de la LCA ou du ROI afin de poursuivre la procédure ou ouvrir un nouveau dossier, le cas échéant. 314. Le montant des astreintes est défini comme suit : a) Injonction 1 : la défenderesse doit payer 1.000 EUR par jour de retard à partir du jour où la Chambre Contentieuse la notifie qu’elle s’est partiellement ou pas du tout conformée aux injonctions prononcées dans la présente décision ; b) Injonction 2 : la défenderesse doit payer 1.000 EUR par jour de retard à partir du jour où la Chambre Contentieuse la notifie qu’elle s’est partiellement ou pas du tout conformée aux injonctions prononcées dans la présente décision. c) Injonction 3 : la défenderesse doit payer 1.000 EUR par jour de retard à partir du jour où la Chambre Contentieuse la notifie qu’elle s’est partiellement ou pas du tout conformée aux injonctions prononcées dans la présente décision. d) Injonction 4 : la défenderesse doit payer 1.000 EUR par jour de retard à partir du jour où la Chambre Contentieuse la notifie qu’elle s’est partiellement ou pas du tout conformée aux injonctions prononcées dans la présente décision. e) Injonction 5 : la défenderesse doit payer 1.000 EUR par jour de retard à partir du jour où la Chambre Contentieuse la notifie qu’elle s’est partiellement ou pas du tout conformée aux injonctions prononcées dans la présente décision. 315. Si la défenderesse manque à la satisfaction des six injonctions, elle doit alors payer 5.000 EUR par jour de retard à partir du jour où la Chambre Contentieuse la notifie qu’elle s’est partiellement ou pas du tout conformée aux injonctions prononcées dans la présente décision. 316. La Chambre Contentieuse rappelle que l’astreinte ne revêt pas de caractère punitif. Les injonctions sont chacune assorties d’une astreinte afin d’en assurer leur bonne exécution. Le montant des astreintes est raisonnable au regard de l’atteinte qu’a portée la défenderesse aux droits de la plaignante, et des utilisateurs plus globalement, mais aussi au regard de la capacité financière de la défenderesse, dont le chiffre d’affaire est inférieur à [motant], et du bénéfice qu’elle peut tirer dans l’inexécution des injonctions en question. 317. Si la défenderesse considère que la pleine exécution des injonctions s’avère impossible dans le délai prescrit malgré tous les efforts raisonnables, elle peut soumettre une demande de prolongation de délai motivée à la Chambre Contentieuse dans les 45 jours suivant la notification de la présente décision à son égard. 318. L’astreinte est journalière. La Chambre Contentieuse décide que le montant maximum cumulé de l’astreinte ne saurait excéder 100.000 EUR. Conformément à l'article 108, § 1 de la LCA, un recours contre cette décision peut être introduit, dans un délai de trente jours à compter de sa notification, auprès de la Cour des Marchés (cour d'appel de Bruxelles), avec l'Autorité de protection des données comme partie défenderesse. Un tel recours peut être introduit au moyen d'une requête interlocutoire qui doit contenir les informations énumérées à l'article 1034ter du Code judiciaire94. La requête interlocutoire doit être déposée au greffe de la Cour des Marchés conformément à l'article 1034quinquies du C. jud.95, ou via le système d'information e-Deposit du ministère de la Justice (article 32ter du C. jud.) (sé). Hielke HIJMAN Président de la Chambre Contentieuse Document PDF ECLI:BE:GBAPD:2024:DEC.20241128.1