ECLI:BE:GBAPD:2024:DEC.20241121.1

Chambre Contentieuse Décision 140/2024 du 21 novembre 2024 Numéro de dossier : DOS-2022-01885 Objet : Plainte relative à l’exercice d’un droit d’accès au regard de documents échangés dans le cadre d’une médiation devant un Ombudsman La Chambre Contentieuse de l'Autorité de protection des données, constituée de monsieur Hielke HIJMANS, président, et de messieurs Romain Robert en Dirk Van Der Kelen, membres ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données), ci-après « RGPD » ; Vu la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après « LCA ») ; Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 20191 ; Vu les pièces du dossier ; A pris la décision suivante concernant : Le plaignant : X, Ci-après « le plaignant » ; La défenderesse : ASBL Service Ombudsman des Assurances, dont le siège social est établi à 1000 Bruxelles, Square de Meeûs, 35 et inscrite à la Banque Carrefour des Entreprises (BCE) sous le numéro 0884.072.054, Ci-après « la défenderesse ». I. Faits et procédure 1. Le 12 avril 2022, le plaignant introduit une plainte auprès de l’Autorité de protection des données (APD) contre la défenderesse. 2. La défenderesse est une « entité qualifiée indépendante et impartiale » définie au Titre 4 de la Loi relative aux assurances du 4 avril 2014 introduit dans le livre XVI « Règlement extrajudiciaire des litiges de consommation » du Code de droit économique. Elle est soumise en tant que telle aux règles qui y sont énoncées (voy. infra). Ces règles résultent en partie de la transposition en droit belge de la Directive 2013/11/UE du 21 mai 2013 relative au règlement extrajudiciaire des litiges de consommation et modifiant le règlement (CE) n°2006/2004 et la directive 2009/22/CE 2. 3. Les compétences de la défenderesse3 sont décrites à l’article 322 de la Loi relative aux assurances du 4 avril 2014 comme suit : « § 1er. Il est instauré un système extrajudiciaire4 de traitement des plaintes chargé de contribuer à résoudre les différends entre, d'une part, les entreprises d'assurances et les intermédiaires d'assurances et les intermédiaires d'assurance à titre accessoire et, d'autre part, leurs clients, en rendant un avis ou en intervenant en qualité de médiateur. Ce service ombudsman des assurances doit prendre la forme d'une personne morale. § 2. Le service ombudsman a les missions suivantes : 1° examiner toutes les plaintes des preneurs d'assurance, des assurés, des bénéficiaires et des tiers ayant un intérêt à l'exécution du contrat d'assurance, portant sur : - les activités des entreprises d'assurances relevant du champ d'application de la présente loi ou de la loi du 13 mars 2016, y compris les entreprises d'assurances de l'EEE qui ont un établissement en Belgique et/ou y exercent des activités d'assurance, pour les contrats régis par le droit belge, et/ou portant sur - les activités des intermédiaires d'assurance et des intermédiaires d'assurance à titre accessoire relevant du champ d'application de la présente loi, y compris les intermédiaires d'assurance et les intermédiaires d'assurance à titre accessoire qui ont comme Etat membre d'origine un autre Etat membre de l'EEE et qui opèrent en Belgique, pour les actes régis par des dispositions d'intérêt général qui leur sont applicables et proposer une solution ; 2° faire de la médiation pour faciliter la résolution à l'amiable des litiges qui font l'objet d'une plainte telle que visée au 1° 5, étant entendu qu'il n'est pas porté préjudice aux compétences que les articles 58, 8° et 9°, 64bis et 64ter de la loi du 10 avril 1971 sur les accidents du travail attribuent au Fonds des accidents du travail en ce qui concerne la médiation, le contrôle de l'indemnisation et l'assistance sociale aux victimes ; 3° (…) ». 4. L'objet de la plainte concerne l’exercice par le plaignant de son droit d’accès (article 15 du RGPD) auprès de la défenderesse. Le plaignant dénonce l’absence de suite donnée à sa demande de recevoir copie de certains documents échangés entre la défenderesse et sa compagnie d’assurance dans le contexte d’une médiation qu’il a initiée, la défenderesse invoquant, à tort selon lui, l’obligation de confidentialité à laquelle elle est légalement tenue dans l’exercice de sa compétence de médiation pour lui refuser, lui répondant tardivement de surcroît, cet accès. 5. Il ressort des pièces produites devant la Chambre Contentieuse que par courriel du 24 novembre 2021, le plaignant s’adresse à sa compagnie d’assurance mettant la défenderesse en copie de son message. 6. Le 25 novembre 2021, la défenderesse indique au plaignant qu’elle note qu’elle se trouve en copie du message susvisé (point 5) et lui conseille d’attendre la réaction de sa compagnie d’assurance qu’il met en cause. La défenderesse ajoute par ailleurs que si un désaccord devait survenir ou si le plaignant n’obtenait pas de réponse de la part de sa compagnie d’assurance dans le mois, il peut la recontacter en décrivant la situation et en y joignant toutes les références utiles. La défenderesse indique qu’elle n’en enregistre pas moins le mail du plaignant sous le numéro 2021/YYYY. 7. Il ressort également des pièces du dossier que le 30 novembre 2021, le plaignant s’adresse une nouvelle fois à sa compagnie d’assurance, lui demandant de lui « communiquer 2 éléments qui doivent servir à ma demande de conciliation devant le juge de paix de [….] avec votre PME (lisez la compagnie d’assurance) ». Le plaignant ajoute « afin de préparer au mieux cette réunion chez le Juge de paix, pourriez-vous me fournir les 2 documents écrits où vous faites mention de mes données personnelles ». L’APD est également destinataire de ce courriel aux termes duquel le plaignant précise à son attention qu’il s’agit d’un courriel informatif dans le dossier DOS-201X-XXXXX, soit dans un dossier de plainte alors déjà pendante devant l’APD aux termes de laquelle le plaignant met sa compagnie d’assurance directement en cause. La Chambre Contentieuse note que la défenderesse est également destinataire de ce courriel. 8. Le 5 janvier 2022, le plaignant adresse un courriel aux services de la défenderesse (dont à son délégué à la protection des données - DPO). - Le plaignant y dénonce l’absence de réponse de sa compagnie d’assurance à sa demande de 2 documents de novembre 2021 (voy. supra points 6 et 7). Il demande à la défenderesse d’insister auprès de sa compagnie d’assurance pour que cette dernière réponde à ses demandes. - Le plaignant demande par ailleurs directement à la défenderesse de lui « donner copie des courriers échangés, comportant mes (lisez « ses ») données personnelles, avec cette compagnie de 2019 à 2021 ». Il ajoute qu’il souhaite partager son litige avec le monde politique, avec les médias et auprès du législateur. - Le plaignant y copie la demande qu’il a préalablement adressée à la défenderesse et à sa compagnie d’assurance le 30 novembre 2021 (dont question au point 7 ci-dessus). 9. Ce courriel du 5 janvier 2022 est également envoyé à 5 adresses e-mail de sa compagnie d’assurance à qui le plaignant réitère sa demande de de communication des 2 documents susvisés contenant des données personnelles le concernant ainsi qu’à l’adresse e-mail de la Chambre Contentieuse (litigationchamber@apd-gba.be) dans le cadre du DOS-201X-XXXXX précité. 10. Le 29 janvier 2022, le plaignant adresse un rappel à la défenderesse soulignant son absence de réaction à ses demandes du 30 novembre 2021 (point 7) et du 5 janvier 2022 ci-dessus (point 8). Le plaignant réitère sa demande de lui donner « copie des courriers échangés, comportant mes (lisez « ses ») données personnelles, avec la compagnie d’assurance X (lisez sa compagnie d’assurance) de 2019 à 20226 ». La Chambre Contentieuse est également destinataire de cet e-mail (avec référence du DOS-201X-XXXXX) sans toutefois que le contenu ne lui soit spécifiquement adressé. 11. Par courriel du 17 février 2022 adressé cette fois à la seule défenderesse, le plaignant indique qu’à défaut d’avoir reçu la copie précédemment demandée, la défenderesse est en infraction par rapport au RGPD eu égard à ses demandes du 5 janvier 2022 (point 8). Le plaignant menace par ailleurs de saisir l’APD. 12. Comme déjà mentionné au point 1, le plaignant saisit l’APD le 12 avril 2022. 13. Aux termes du formulaire de plainte qu’il dépose à l’encontre de la défenderesse, le plaignant expose ce qui suit : « Depuis [….] 2019, j’ai des problèmes avec la compagnie d’assurance X [soit sa compagnie d’assurance]. Vous avez déjà acté une plainte à ce propos et mon dossier passera devant votre président prochainement [lisez le DOS-201X-XXXXX]. Ici je demande d’avoir une copie de l’ensemble des documents où l’échange de données à mon propos a été transmis entre la compagnie d’assurance X [lisez sa compagnie d’assurance] et l’Ombudsman des assurances [lisez la défenderesse]. Ce dernier ne donne aucune réponse à mes demandes que j’ai faites par mail et par téléphone. C’est urgent car c’est pour une demande chez le juge de paix de ma commune (…) »7. 14. Aux termes du courrier accompagnant son formulaire de plainte, le plaignant demande que ses données ne soient pas effacées par la défenderesse. Il ajoute, comme dans le formulaire déposé, que cette plainte contre la défenderesse est liée à celle déjà pendante à l’APD sous le numéro de référence DOS-201X-XXXXX mettant directement en cause sa compagnie d’assurance. 15. Enfin, le plaignant met la défenderesse en copie du mail d’accompagnement et de la plainte déposée. 16. Le 14 avril 2022, la défenderesse indique au plaignant qu’en réponse à sa demande du 25 novembre 2021 (point 6), elle lui adresse un relevé des données personnelles le concernant qu’elle traite et qu’elle est, de son point de vue, légalement autorisée à lui communiquer. Ce relevé comprend : - d’une part le nom, le prénom et l’adresse e-mail de contact du plaignant ; - d’autre part, un tableau reprenant les informations suivantes au regard des dossiers ouverts au nom du plaignant auprès de ses services : l’année desdits dossiers (de 2018 à 2021), le numéro attribué à ces dossiers par la défenderesse, la société / l’intermédiaire d’assurance mis en cause ainsi que le résultat obtenu, soit, selon les termes de la défenderesse « 1ère ligne, fondé, solution amiable ou la mention que la compétence relève d’autres ». Pour le surplus, la défenderesse ajoute « qu’en ce qui concerne les échanges, nous ne pouvons pas les fournir dans la mesure où ceux-ci sont confidentiels »8. La défenderesse précise qu’elle peut cependant refournir au plaignant une copie (informatisée) des réponses qu’elle lui a adressées si tel était son souhait. La Chambre Contentieuse relève que parmi les 7 dossiers identifiés, figure le dossier 2021/YYYY (réf. de la défenderesse) au regard duquel le plaignant demande la copie des échanges intervenus entre sa compagnie d’assurance et la défenderesse. 17. Le même 14 avril 2022, le plaignant écrit dans un courriel en réponse adressé tant à la défenderesse qu’à la Chambre Contentieuse qu’il s’interroge sur la conformité au RGPD du refus de la défenderesse. Outre le grief tiré de l’absence de réponse reçue à sa demande de copie dans le délai prescrit par le RGPD, il ajoute à sa plainte le grief tiré de la dénégation indue de son droit d’accès (copie). 18. Le 28 avril 2022, la plainte est déclarée recevable par le Service de Première Ligne (SPL) de l’APD sur la base des articles 58 et 60 de la LCA et transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA. 19. Le 11 octobre 2022, les parties concernées sont informées par envoi recommandé des dispositions telles que reprises à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions au regard de manquements potentiels aux articles 12, 13, 14, 15 et 24 du RGPD dans le chef de la défenderesse. La date limite pour la réception des conclusions en réponse de cette dernière est fixée au 23 novembre 2022, celle pour les conclusions en réplique du plaignant au 15 décembre 2022 et celle pour les conclusions en réplique de la défenderesse au 6 janvier 2023. 20. Le 23 novembre 2022, la Chambre Contentieuse reçoit les conclusions en réponse de la défenderesse dans lesquelles cette dernière accepte par ailleurs de recevoir toutes les communications relatives à l'affaire par voie électronique. 21. La défenderesse réfute tout manquement au RGPD dans son chef. - S’agissant de la réponse proprement dite fournie au plaignant le 14 avril 2022, la défenderesse indique avoir transmis les données qu’elle était autorisée à communiquer au plaignant, toutes autres données étant couvertes par le sceau de confidentialité applicable à tous les échanges entre elle et la compagnie d’assurance mise en cause par le plaignant (ce, au même titre que les échanges qui interviennent entre le consommateur même – ici le plaignant – et la défenderesse, à l’exception de la transmission de la plainte) ce, en exécution de l’article XVI. 25, 12° du Code de droit économique, tel qu’explicité par les travaux préparatoires et par ailleurs repris à l’article 11 de son règlement de procédure (voy. infra). - S’agissant du délai mis à répondre au courriel du 24 novembre 2021 du plaignant dont elle était en copie, la défenderesse expose que ce courriel était dirigé vers différents destinataires dont la compagnie d’assurance du plaignant. La défenderesse explicite qu’il arrive souvent qu’un consommateur la mette en copie d’un courriel dirigé vers son assureur pour mettre une certaine pression dans le dossier. La défenderesse prend alors une position d’attente comme elle l’a fait en l’espèce dans sa réaction immédiate du 25 novembre 2021 (point 6). 22. Le 9 décembre 2022, la Chambre Contentieuse reçoit les conclusions en réplique du plaignant. - Aux termes de celles-ci, le plaignant sollicite que les échanges que la défenderesse a pu avoir avec sa compagnie d’assurance dans l’exercice de sa mission soient conservés jusqu’à la décision de la Chambre Contentieuse. - Le plaignant estime que les arguments invoqués par la défenderesse sont, dans la hiérarchie des normes, inférieurs au RGPD. Il en conclut que la défenderesse a manqué aux obligations qui découlent du RGPD au regard de son droit d’accès et de la réponse qu’il aurait dû recevoir ce, dans le délai d’un mois à dater de sa demande. 23. Le 6 janvier 2023, la Chambre Contentieuse reçoit les conclusions en réplique de la défenderesse qui viennent compléter ses conclusions en réponse (points 20-21). - En réponse à l’argument de la hiérarchie des normes soulevé par le plaignant dans ses conclusions en réplique (point 22), la défenderesse oppose l’article 14.5.d) du RGPD9 aux termes duquel le responsable de traitement est, en cas de collecte indirecte, dispensé de fournir les éléments d’information listés à l’article 14.1 du RGPD. - La défenderesse indique plus généralement que la finalité du RGPD ne peut être de permettre à une partie d’obtenir des informations, remarques et opinions confiés par l’autre partie à un médiateur dans le cadre d’une médiation pas plus que d’accéder aux notes personnelles du médiateur. - Enfin, la défenderesse ajoute que nonobstant l’effacement des dossiers conservés auprès de ses services après 3 ans, elle conservera les dossiers introduits par le plaignant depuis 2019 jusqu’à la fin du différend qui l’oppose à ce dernier. II. Motivation II.1. Quant au refus opposé par la défenderesse à l’exercice du droit d’accès du plaignant (article 15 du RGPD) II.1.1. Point de vue des parties Position du plaignant 24. Il ressort des paragraphes qui précèdent que le plaignant estime avoir, à l’appui du RGPD, droit à une copie des échanges intervenus entre sa compagnie d’assurance et la défenderesse entre 2019 et 2022. Il précise à plusieurs reprises tant à sa compagnie d’assurance, qu’à la défenderesse ou encore à la Chambre Contentieuse - que ce soit aux termes d’e-mails envoyés (point 8) ou du formulaire de plainte déposé (point 13) -, qu’il entend partager son litige avec le monde politique et les médias et qu’il a besoin de ces documents dans le cadre d’une procédure devant le juge de paix. Il ajoute que sa demande d’accès est liée à la plainte, distincte de celle qui conduit à la présente décision, déposée directement à l’encontre de sa compagnie d’assurance à l’APD sous la référence DOS-201X-XXXXX. 25. Le plaignant estime que le refus qui lui a été signifié par la défenderesse le 14 avril 2022 est contraire au RGPD. Il objecte en particulier que le motif tiré de l’obligation légale de confidentialité qu’invoque la défenderesse - soit l’article XVI. 25, 12° du Code de droit économique (voy. ci-dessous) - est contraire à la hiérarchie des normes qui place le RGPD au-dessus de la disposition légale invoquée par la défenderesse. Position de la défenderesse 26. La défenderesse motive le refus qu’elle a opposé à la demande du plaignant à l’appui de l’obligation qui lui incombe de « garantir le caractère confidentiel des renseignements communiqués par les parties » telle que formulée à l’article XVI. 25, 12° du Code de droit économique et reprise à l’article 11 de son règlement de procédure. La défenderesse souligne que cette obligation de confidentialité est au cœur de la mission de médiation qui lui est légalement confiée à l’article 322 de la Loi du 4 avril 2014 (point 3). Pour faciliter les négociations et garder un débat ouvert et serein, la correspondance qui lui est adressée est confidentielle. La confidentialité qu’il lui incombe de garantir empêche ainsi toute communication de son chef des renseignements fournis par les parties à d’autres fins que celles de la médiation. La défenderesse ajoute qu’il appartient aux parties de décider quels documents elles produisent dans le cadre d’une procédure judiciaire. Le fait qu’en sa qualité d’ombudsman elle puisse consulter toutes les pièces du dossier pour vérifier si un règlement amiable est possible ne signifie pas que l’assureur (en l’espèce la compagnie d’assurance du plaignant) est disposé à les communiquer à l’assuré (en l’espèce au plaignant) et que ce dernier puisse les utiliser en justice. La défenderesse n’est pas autorisée à communiquer au plaignant les données transmises par sa compagnie d’assurance sans l’accord de cette dernière. Cette dernière peut toutefois être directement contactée par le plaignant. La défenderesse ajoute avoir, le 14 avril 2022, communiqué au plaignant les données à caractère personnel le concernant en sa possession qu’elle pensait être autorisée à lui transmettre (point 16). 27. S’agissant de l’argument du plaignant tiré du respect dû à la hiérarchie des normes, la défenderesse invoque l’article 14.5.d) du RGPD qui prévoit selon elle une exception pour le droit d’accès aux données personnelles qui n’ont pas été collectées directement auprès de la personne concernée lorsque ces données doivent rester confidentielles en raison d’une obligation légale de secret. II.1.2. Appréciation de la Chambre Contentieuse Qualification et rappel des principes 28. La Chambre Contentieuse établit que la défenderesse est responsable de traitement des données à caractère personnel qui lui sont communiquées par l’une et l’autre partie qui, comme le plaignant, sollicite son intervention en sa qualité d’ombudsman ou qui, comme la compagnie d’assurance de ce dernier, est invitée à faire valoir son point de vue lorsqu’elle est mise en cause. 29. La défenderesse est ainsi responsable de traitement des données à caractère personnel relatives au plaignant que lui aurait communiquées la compagnie d’assurance dans le contexte de sa saisine en médiation et qu’elle aurait conservées ainsi que plus largement, de toute donnée personnelle le concernant traitées 10 dans le contexte de son intervention (en ce compris celles qu’elle aurait elle-même communiquées à la compagnie d’assurance dans l’exercice de sa mission). Il découle en effet de la mission confiée par le législateur à la défenderesse aux termes de l’article 322 de la Loi relative aux assurances du 4 avril 2014, que c’est elle qui est responsable de traitement au sens de l’article 4.7. du RGPD. En effet, cette qualité - laquelle est attribuée à celui ou celle qui détermine les finalités et les moyens du traitement - peut découler de la loi qui le désigne spécifiquement ou résulter, comme en l’espèce, de l’attribution qui lui est faite d’une mission d’intérêt public.11 30. Le RGPD définissant la donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou identifiable », il n’est pas contesté que des documents échangés entre des tiers à la personne concernée peuvent contenir des données à caractère personnel concernant cette dernière. Ainsi, les documents échangés entre la compagnie d’assurance du plaignant et la défenderesse dans le cadre de la saisine en médiation de cette dernière et réclamés par le plaignant contiennent selon toute vraisemblances des « informations relatives au plaignant » l’identifiant directement ou indirectement au sens de l’article 4.1 du RGPD. La Chambre Contentieuse note que la défenderesse ne conteste pas que ce soit le cas (voy. sa réponse du 14 avril 2022 – point 16 de la présente décision et le contenu de ses conclusions). 31. La Chambre Contentieuse constate également que la demande formulée par le plaignant visant, selon ses termes, à obtenir une « copie des courriers échangés, comportant mes (lisez « ses ») données personnelles, avec la compagnie d’assurance X (lisez sa compagnie d’assurance) de 2019 à 202212 », doit être qualifiée de demande d’accès au sens de l’article 15 du RGPD, le plaignant visant plus particulièrement à obtenir une copie de ses données à caractère personnel au sens de l’article 15.3. du RGPD (voy. infra). 32. La Chambre Contentieuse constate que la demande du plaignant porte sur des courriers échangés dans le cadre de la médiation opérée par la défenderesse. Cette procédure de médiation est règlementée comme la Chambre Contentieuse le détaillera ci-après, en ce compris dans des aspects relatifs aux « renseignements échangés »13 lesquels peuvent inclure des données à caractère personnel au sens de l’article 4.1. du RGPD (voy. point 31 ci-dessus). Pour autant, dès que la demande relève du champ d’application du RGPD comme en l’espèce, l’existence d’une telle règlementation spécifique ne prime pas sur l’application générale du droit d’accès, tel que prévu par le RGPD. Des restrictions à ce droit n’en peuvent pas moins être prévues par le droit de l’Union ou le droit national, lorsque l’article 23 du RGPD le permet (voy. infra)14. 33. Le RGPD n’introduit aucune exigence formelle pour les personnes demandant l’accès aux données les concernant. Pour introduire une demande d’accès, il suffit que les demandeurs précisent qu’ils souhaitent connaître les données à caractère personnel les concernant traitées par le responsable du traitement. Par conséquent, le responsable du traitement ne peut refuser de donner suite à une demande en se référant à l’absence d’indication de la base juridique de la demande, en particulier à l’absence de référence spécifique au droit d’accès ou au RGPD15. En l’espèce, le plaignant vise ses données personnelles de manière tout à fait explicite. 34. En sa qualité de responsable de traitement désigné en vertu de la loi, la défenderesse est dans l’exercice des missions qui lui sont confiées, tenue de respecter les principes de protection des données et doit être en mesure de démontrer que ceux-ci sont respectés. Elle doit par ailleurs mettre en œuvre toutes les mesures nécessaires à cet effet, conformément au principe de responsabilité 16. 35. L’une de ses obligations consiste à répondre aux demandes d’exercice de leurs droits des personnes concernées, dont le droit d’accès consacré à l’article 15 du RGPD mobilisé en l’espèce. Quant au plaignant, il lui incombait de s’adresser à la défenderesse en sa qualité de responsable de traitement de données à caractère personnel le concernant qu’il présumait être en sa possession. 36. Aux termes de l’article 15.1 du RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées (1ère facette du droit d’accès). 37. Lorsque c’est le cas, la personne concernée a le droit d’obtenir une série d’informations listées à l’article 15.1 a) - h) et 15.2 du RGPD relatives aux données traitées ainsi que l’accès à celles-ci (2ème facette du droit d’accès)17. 38. Le RGPD prévoit aux termes de l’article 15.3, que le responsable de traitement fournit une copie des données à caractère personnel à la personne concernée. Cette obtention d’une copie est la principale modalité de l’octroi de l’accès aux données traitées. Dans un arrêt C-487/21 du 4 mai 2023, la Cour de Justice de l’Union européenne (CJUE) a considéré que l’article 15.3 du RGPD doit être interprété en ce sens que « le droit d’obtenir de la part du responsable du traitement une copie des données à caractère personnel faisant l’objet d’un traitement implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose celui d’obtenir la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement, étant souligné qu’il doit être tenu compte, à cet égard, des droits et libertés d’autrui »18. 39. La Chambre Contentieuse rappelle que le droit d’accès est un des piliers du droit à la protection des données. Dans la foulée du droit à l’information qui éclaire les personnes concernées de manière générale sur les traitements de données opérés par le responsable de traitement (articles 13 et 14 du RGPD), le droit d’accès constitue une « porte d’entrée » qui permet l’exercice des autres droits que le RGPD confère à la personne concernée au regard des données traitées le concernant spécifiquement, tels que le droit à la rectification (article 16 du RGPD) ou le droit à l’effacement (article 17 du RGPD)19. Pour autant, le droit d’accès n’est pas conditionné par un motif que le demandeur aurait à invoquer pour exercer son droit. En d’autres termes, la personne concernée n’a pas à justifier pourquoi elle demande à accéder à ses données à caractère personnel20. 40. Comme d’autres droits prévus par le RGPD, le droit d’accès n’est cependant pas un droit absolu. Il doit être mis en balance avec d’autres droits ou d’autres objectifs d’intérêt général. 41. Ainsi, l’article 15.4 du RGPD prévoit que le droit d’obtenir une copie (article 15.3 du RGPD) ne peut porter atteinte aux droits et libertés d’autrui. 42. Cette limitation est expliquée dans les cinquième et sixième phrases du considérant 63 du RGPD : « ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel ». Dans les Lignes directrices qu’il a consacrées au droit d’accès, le Comité européen de la protection des données (CEPD) précise que ces droits et libertés explicitement mentionnés audit considérant doivent être considérés uniquement comme des exemples, étant donné que, en principe, tout droit ou liberté fondé sur le droit de l’Union européenne (UE) ou le droit d’un État membre peut être considéré au titre de la limitation prévue à l’article 15.4 du RGPD, en ce compris le droit à la protection des données à caractère personnel (article 8 de la Charte des droits fondamentaux de l’UE). En ce qui concerne le droit d’obtenir une copie, le droit à la protection des données d’autrui est un cas typique dans lequel la limitation doit être évaluée.21 43. « Autrui » signifie toute autre personne ou entité autre que la personne concernée qui exerce son droit d’accès. Par conséquent, les droits et libertés du responsable du traitement ou du sous-traitant mêmes (telle la préservation de la confidentialité des secrets d’affaires et de la propriété intellectuelle) peuvent être pris en considération. Le législateur européen n’a en effet pas opté pour le terme « tiers » qui, tel que défini à l’article 4.10 du RGPD, aurait exclu le responsable de traitement et le sous-traitant22. 44. L’article 15.4 du RGPD est comme tout exception d’interprétation et d’application restrictives. Le considérant 63 déjà cité précise en ce sens que « cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée ». Le libellé de l’article 15.4 est par ailleurs clair en ce que l’exception qu’il prévoit ne s’applique pas aux informations relatives aux traitement visées à l’article 15. 1 a) à h) et 15.2. du RGPD mais bien uniquement au droit à l’obtention d’une copie des données à caractère personnel faisant l'objet d'un traitement consacré à l’article 15.3. du RGPD. 45. Enfin, lors de l’interprétation de l’article 15.4 du RGPD, une prudence particulière s’impose pour ne pas élargir de manière injustifiée les limitations autorisées par l’article 23 du RGPD, en particulier à l’article 23.1 i) qui retient également le motif de limitation tiré de « l’atteinte aux droits et libertés d’autrui »23 (voy. infra). Ces limitations ne sont en effet autorisées, notamment au droit d’accès, que dans des conditions strictes comme la Chambre Contentieuse l’exposera ci-après. S’il peut donner l’impression d’être formulé en termes absolus, l’article 15.4. du RGPD n’en nécessite pas moins une approche proportionnée. Une mise en balance avec d’autres droits fondamentaux devra, conformément au principe de proportionnalité, être opérée au cas par cas et in concreto par le responsable de traitement qui entend s’en prévaloir (article 52.1 de la Charte des droits fondamentaux de l’UE) et qui devra démontrer que toutes les conditions de son application sont réunies dans le cas d’espèce. 46. Comme il vient d’être évoqué, l’article 23 du RGPD permet également de déroger notamment au droit d’accès en ce qu’il autorise le législateur national (belge ici) à limiter la portée des obligations et des droits prévus aux articles 12 à 22 du RGPD notamment, moyennant le respect de certaines conditions. Les dispositions de l’article 23 du RGPD visent à créer un équilibre entre ces droits et d’autres intérêts légitimes dans une société démocratique listés à l’article 23.1. Pour ce faire, des limitations au droit d’accès de l’article 15 du RGPD sont possibles moyennant le respect d’un certain nombre de conditions cumulatives. 47. Ainsi, la Chambre Contentieuse rappelle que la limitation doit être prévue par une mesure législative et que celle-ci doit s’imposer au responsable de traitement qui l’invoque. Cette mesure ne doit pas forcément être une loi, une ordonnance ou un décret adopté par un parlement, mais peut être toute norme juridique suffisamment claire et précise, dont l’application est prévisible pour toute personne concernée 24. En particulier, le droit national doit user de termes clairs pour indiquer à tous de manière suffisante en quelles circonstances et sous quelles conditions il habilite le/les responsable(s) de traitement à recourir à de telles limitations. La limitation doit poursuivre un des motifs énumérés dans la liste exhaustive de l’article 23.1 du RGPD25. La limitation doit en outre respecter l’essence des droits et libertés fondamentaux 26 et consister en une mesure nécessaire et proportionnée dans une société démocratique (test de proportionnalité). Enfin, conformément à l’article 23.2 du RGPD, cette norme juridique doit contenir des dispositions spécifiques relatives à certaines caractéristiques du traitement en cause ce, de façon à donner corps aux exigences de l’article 23.1 du RGPD27. 48. La Chambre Contentieuse précise que sur le plan des principes, le responsable de traitement est donc autorisé à s’appuyer sur une norme de droit interne (belge) qui prévoirait une exception au droit d’accès si et seulement si ladite norme satisfait aux conditions posées par l’article 23 du RGPD et que le responsable est dans les conditions de l’invoquer. Ce faisant, la Chambre Contentieuse souligne que le responsable de traitement ne contrevient pas au respect dû à la hiérarchie des normes (invoqué par le plaignant – supra point 22). L’article 23 du RGPD permet en effet au législateur national de prévoir, sous certaines conditions, des limitations à l’article 15 du RGPD notamment. 49. Enfin, conformément au principe de primauté du droit de l’UE et à la jurisprudence de la CJUE à cet égard, le « devoir de laisser inappliquée une législation nationale contraire au droit de l’Union incombe non seulement aux juridictions nationales, mais également à tous les organes de l’État, en ce compris les autorités administratives, chargés d’appliquer, dans le cadre de leurs compétences respectives, le droit de l’Union »28. En d’autres termes, il en découle que la Chambre Contentieuse doit laisser inappliquée une norme adoptée en exécution de l’article 23 du RGPD qui ne satisferait pas aux conditions posées par celui- ci (et telles que rappelées ci-dessus). En l’espèce 50. A l’aune des rappels qui précèdent, la Chambre Contentieuse examinera dans les paragraphes qui suivent si le refus opposé le 14 avril 2022 par la défenderesse à la demande d’accès du plaignant en raison de l’obligation de confidentialité à laquelle elle se déclare légalement tenue en application de l’article XVI. 25, 12° du Code de droit économique était conforme à l’article 15 du RGPD (titre II.1.), lequel s’applique en combinaison avec l’article 12 du RGPD (titre II.2). 51. Il n’est pas contesté que l’article XVI. 25, 12°du Code de droit économique invoqué par la défenderesse lui est applicable en tant qu’entité qualifiée. Pour rappel, il prévoit que « l’entité (soit la défenderesse ici) garantit le caractère confidentiel des renseignements communiqués par les parties »29. Cet article exprime l’une des conditions auxquelles la défenderesse doit satisfaire pour être qualifiée comme telle. Elle traduit par ailleurs une obligation mise à sa charge. 52. Au regard des faits qui lui sont rapportés, la Chambre Contentieuse est d’avis que la défenderesse pouvait légitimement se poser la question de savoir si compte tenu de son obligation de garantir la confidentialité des renseignements qu’elle avait reçus de la compagnie d’assurance du plaignant (article XVI. 25, 12° du Code de droit économique), elle était ou non autorisée, en exécution du RGPD, à communiquer au plaignant les documents qu’il demandait. Les documents demandés visant « les échanges entre-elle même et cette compagnie d’assurance », la Chambre Contentieuse comprend que ces documents lui avaient été fournis par la compagnie d’assurance à l’occasion de la médiation qu’elle avait menée. Ils pouvaient par ailleurs également inclure des réactions de sa part en sa qualité d’Ombudsman lesquels dévoileraient des renseignements communiqués par la compagnie d’assurance. Le plaignant entendait par ailleurs les utiliser en dehors du processus de médiation, devant le juge de paix de sa commune de [….] 30 d’une part ainsi que possiblement devant l’APD d’autre part31. La Chambre Contentieuse relève également qu’il ressort des pièces du dossier que la compagnie d’assurance s’abstenait de communiquer ces documents directement au plaignant et qu’il semble donc que ce dernier n’y ait pas eu accès au cours de la médiation (cet accès en cours de médiation n’apparait en toute hypothèse pas de manière certaine) 32. Quant à l’article 23 du RGPD 53. Il incombe à la Chambre Contentieuse de déterminer si l’article XVI. 25, 12° du Code de droit économique invoqué par la défenderesse respecte les conditions de l’article 23 du RGPD et pouvait, à ce titre, être opposé au plaignant pour refuser sa demande d’accès. 54. La Chambre Contentieuse est en effet d’avis que c’est à l’aune de l’article 23 du RGPD qu’il convient d’apprécier la pertinence de l’exception invoquée par la défenderesse à l’appui de l’article XVI. 25, 12° du Code de droit économique. En effet, la défenderesse mobilise une exception prévue par une obligation légale à laquelle elle déclare être soumise. 55. La Chambre Contentieuse constate que l’article XVI. 25, 12° du Code de droit économique énonce l’obligation pour la défenderesse, de « garantir le caractère confidentiel des renseignements communiqués par les parties ». En l’occurrence, cette obligation est prévue par une loi belge au sens formel du terme, soit par l’article XVI. 25, 12°du Code de droit économique introduit par la Loi du 4 avril 2014 relative aux assurances. Il s’impose par ailleurs à la défenderesse qui doit le respecter. Ainsi qu’il a été indiqué déjà, il énonce une exigence qualitative pour être reconnue comme « entité qualifiée indépendante et impartiale » et consiste en une obligation pour la défenderesse. Cette obligation est par ailleurs expressément circonscrite et restreinte dans sa portée aux « renseignements fournis par les parties à une entité telle la défenderesse dans l’exercice des missions qui lui ont légalement été confiées » (article 322 de la loi du 4 avril 2014). 56. Pour autant, la Chambre Contentieuse constate que le texte de l’article XVI.25.12° ne fait pas expressément état de ce que cette obligation emporterait une limitation du droit d’accès d’une partie à la médiation aux données à caractère personnel la concernant ni, a fortiori, de la portée de la limitation à ce droit d’accès. La question qui se pose dès lors est de savoir si, en l’absence de limitation textuellement prévue, il est suffisamment prévisible pour la personne concernée qu’elle n’aura, au sens du RGPD, pas accès aux données à caractère personnel qui la concernent et que traite la défenderesse dans des circonstances comme celles du cas d’espèce. 57. Les travaux préparatoires invoqués par la défenderesse justifient la confidentialité de la manière suivante (DOC 53, 3360/001, p. 20), précisant que ce qui y est dit (voir ci-dessous) au regard du Service de médiation pour le consommateur - compétent par défaut en l’absence d’ombudsman sectoriel et auquel la même obligation de confidentialité s’impose - vaut également pour toute entité qualifiée telle la défenderesse 33 : « Afin d’aboutir à un bon règlement extrajudiciaire d’un tel litige, il importe que les parties fassent preuve d’un esprit d‘ouverture lesquelles sont censées communiquer nombre de renseignements, parfois même à caractère personnel. Les parties doivent dès lors être assurées que ces données ne seront utilisées que dans le seul cadre de la recherche d’un règlement extrajudiciaire et n’auront aucune autre finalité par exemple une enquête pénale. Le service de médiation pour le consommateur doit absolument s’en tenir à un traitement confidentiel des demandes de règlement extra judicaire et de leur contenu. La même règle vaut par ailleurs pour les autres entités qualifiées, si bien que la garantie du caractère confidentiel des renseignements fournis est considérée comme une exigence qualitative34 ». 58. Il en découle que la communication des renseignements communiqués par les parties à la défenderesse en dehors du contexte de la médiation est exclue et qu’il appartient à la défenderesse de garantir la confidentialité de ces « renseignements » en ce sens. En d’autres termes, cette obligation vise à protéger le caractère confidentiel des documents et autres renseignements communiqués par les parties (qui comme déjà mentionné peuvent contenir des données à caractère personnel concernant l’une ou l’autre partie) ainsi que le processus de médiation en tant que mode de règlement extra -judiciaire des conflits. 59. Au regard des conséquences en termes de droit d’accès au sens de l’article 15 du RGPD et de limitations éventuelles à celui-ci, une lecture utile de la disposition pourrait donc englober l’interdiction de communication desdits renseignements tant aux tiers qu’aux parties elles-mêmes lorsque cette communication compromettrait la confidentialité desdits renseignements à l’égard des tiers au processus de médiation. Dans le cas spécifique d’espèce, la communication au plaignant qui déclare vouloir partager les renseignements échangés au cours de la médiation en-dehors de celle-ci, serait contraire à l’obligation de garantie à laquelle la défenderesse est tenue, cette dernière n’ignorant pas les déclarations du plaignant. A cet égard, et pour autant que de besoin, la Chambre Contentieuse rappelle l’arrêt C-307/22 déjà cité dont il découle qu’assurément, la personne concernée n’est pas tenue d’invoquer l‘un ou l’autre motif (que le responsable de traitement apprécierait) à l’appui de sa demande d’accès. Pour autant, si le motif invoqué par le demandeur devait emporter l’application d’une exception au droit d’accès, que ce soit au titre de l’article 15.4 du RGPD ou de l’article 23 du RGPD, le refus du droit d’accès peut alors être justifié. 60. La Chambre Contentieuse n’en est pas moins d’avis que nonobstant l’objectif du texte de l’article XVI. 25, 12° du Code de droit économique et ce qui pourrait en être déduit, l’absence de mention spécifique de la limitation au droit d’accès de la personne concernée est problématique eu égard à l’exigence de prévisibilité de la norme (et ici de la limitation en particulier), tout particulièrement compte tenu du caractère essentiel du droit d’accès tel que rappelé plus haut (point 39). 61. Il est en effet aussi fondamental qu’absolument nécessaire de savoir sans aucune ambiguïté si la garantie de confidentialité fait obstacle à la communication de ces renseignements à des tiers aux échanges intervenant avec la défenderesse exclusivement ou si elle fait (également) obstacle à toute communication par l’Ombudsman à la personne concernée elle-même lorsque des données la concernant lui sont transmises par l’autre partie à la médiation ou lorsque ces données émanent de la défenderesse elle-même. En effet, ainsi qu’il a été rappelé, l’article 15 du RGPD permet l’accès par la personne concernée aux données qui la concerne, même en cas de collecte indirecte (soit la collecte de données non pas directement auprès de la personne concernée mais auprès d’un tiers). L’interdiction de communication de données à caractère personnel la concernant à des tiers est une hypothèse distincte de celle de l’accès par la personne concernée à ses propres données, et non couverte par l’article 15 du RGPD. La spécificité de la situation du cas d’espèce qui, du fait de l’objectif de la préservation de la confidentialité certes à l’égard de tiers emporterait une limite à la communication à la personne concernée elle-même, exige d’autant plus de clarté et de prévisibilité. 62. La Chambre Contentieuse n’ignore pas que la défenderesse invoque également l’article 11 de son règlement de procédure qui pour sa part, et dans sa version de mai 2019 telle que communiquée dans le cadre du présent dossier et applicable au moment des faits dénoncés35, mentionne explicitement que la confidentialité doit être garantie à l’égard des tiers36. Ce règlement de procédure n’a toutefois pas valeur de norme, a fortiori s’il entend préciser le champ d’application d’un principe aussi essentiel à la médiation que la confidentialité. Par ailleurs, il n’apporte en toute hypothèse pas de clarification complémentaire dès lors qu’ainsi qu’il a été précisé, il est des cas où la confidentialité à garantir à l’égard de tiers s’opposerait à la communication de données de l’une des parties à la médiation dès l’instant où, comme invoqué en l’espèce, la défenderesse ne pourrait ignorer que le demandeur (soit le plaignant en l’espèce) déclare vouloir partager les documents demandés avec des tiers à la médiation. 63. La Chambre Contentieuse relève également que l’article XVI. 25, 11° du Code de droit économique énonce pour sa part que « la procédure offre à chaque partie la possibilité d’exprimer son point de vue et de prendre connaissance des arguments et des faits avancés ». Si cette disposition utilise les termes « prendre connaissance des arguments et de faits » sans prévoir expressément la communication en tant que telle des renseignements ou des documents qui les contiendraient, l’article 10 du règlement de procédure de la défenderesse (de la version produite datée de mai 2019) prévoit pour sa part, sous les mêmes réserves que celles qui viennent d’être exprimées quant à sa valeur normative au regard de son article 11, que « L’Ombudsman des assurances veille à ce que les parties bénéficient d’un délai raisonnable pour prendre connaissance de tous les documents, arguments et faits avancés par l’autre partie ainsi que pour y répondre ». Le même article 10 ajoute que « dès qu’une demande de règlement de litige est déclarée recevable, l’Ombudsman des assurances demande à toutes les personnes concernées de ne plus communiquer directement entre-elles dans le dossier concerné mais de communiquer les documents, arguments et faits avancés à l’Ombudsman qui s’assure de leur transmission à l’autre partie. (…) ». 64. En d’autres termes, il semble bien que les parties aient droit à l’ensemble des documents échangés dans le cadre de la médiation, fut ce par l’intermédiaire de la défenderesse ou à tout le moins à leur contenu. Doit-on en déduire, à l’inverse de l’analyse qui précède, que partant, l’obligation de confidentialité qu’il incombe à la défenderesse de garantir ne vise que la communication aux tiers et non aux parties elles-mêmes ou à l’une d’entre-elle ? La Chambre Contentieuse est d’avis que l’articulation de ces dernières dispositions du règlement de procédure de la défenderesse et de l’article XVI, 25, 11° du Code de droit économique avec l’obligation de l’article XVI. 25, 12° du même Code complexifie encore la compréhension de la portée de cet article et ses limites éventuelles sur le droit d’accès de la personne concernée tel que consacré par l’article 15 du RGPD. 65. Il ressort de ce qui précède que les conséquences de l’obligation pour la défenderesse de garantir la confidentialité prévue à l’article XVI. 25, 12° du Code de droit économique sur le droit d’accès de la personne concernée (article 15 du RGPD) ne sont ni explicitement formulées par le texte dudit article ni n’en découlent de manière limpide et précise, même par référence à d’autres textes.37. La Chambre Contentieuse conclut que l’article XVI. 25, 12° du Code de droit économique manque de prévisibilité au sens requis par l’article 23 du RGPD. La Chambre Contentieuse relève en outre que l’article XVI. 25, 12° du Code de droit économique est invoqué par la défenderesse au regard de l’ensemble de la demande du plaignant alors que cette disposition ne vise en toute hypothèse que les « renseignements communiqués par les parties ». Quid dès lors des données personnelles concernant le plaignant traitées par la défenderesse contenues dans les courriers échangés entre la compagnie d’assurance et la défenderesse et qui ne constitueraient pas des « renseignements communiqués par les parties » (soit par la compagnie d’assurance du plaignant) au sens dudit article XVI. 25, 12° du Code de droit économique ? A cet égard, la défenderesse avance pour seul argument que le RGPD ne peut avoir pour conséquence de donner accès aux notes personnelles d’un médiateur. Cet argument ne rencontre pas, lui non plus, les conditions de l’article 23 du RGPD. 66. S’agissant des autres conditions d’application de cet article 23, la Chambre Contentieuse est d’avis que, dès lors que la norme invoquée par la défenderesse ne satisfait pas à l’exigence de prévisibilité, il n’est pas strictement nécessaire qu’elle examine le respect des autres conditions, celles-ci étant cumulatives. 67. La Chambre Contentieuse n’en est pas moins d’avis que de manière générale, une limitation du droit d’accès pour des motifs tirés de la garantie de la confidentialité des échanges de données en cours de médiation pourrait entrer en ligne de compte au titre du motif de « protection de la personne concernée ou les droits et libertés d’autrui » listé à l’article 23.1. i) du RGPD s’il était satisfait à l’ensemble des conditions de l’article 23 du RGPD. La Chambre Contentieuse estime en revanche ne pas être en mesure de trancher la question de savoir si, et donc a fortiori de conclure, que la limitation au droit d’accès respecte l’essence de celui- ci dès lors que cette limitation n’est pas exprimée et que des incertitudes liées à la portée des conséquences de l‘obligation de confidentialité sur le droit d’accès des personnes concernées demeurent. Il en va de même pour l’appréciation de la proportionnalité de la limitation. Sans limitation clairement énoncée, il n’est pas possible pour la Chambre Contentieuse de conclure que l’ingérence au droit est strictement nécessaire pour répondre à l’objectif poursuivi par ladite limitation.38 Enfin, la Chambre Contentieuse relève qu’il résulte encore et toujours de ses constats sur l’absence de portée claire des conséquences de l’obligation de confidentialité sur le droit d’accès de la personne concernée que, notamment, l’étendue de la limitation n’est pas fixée (article 23.2.c) du RGPD). Les droits concernés (soit ici supposément le droit d’accès) et la mesure dans laquelle ils sont limités ne sont pas précisés par la loi. Ces précisions sont d’autant plus importantes que comme rappelé ci-dessus, le droit d’accès comporte plusieurs facettes (voy. supra points 36 et 37). Ainsi l’on peut se poser la question de savoir si la communication du « renseignement » tel que visé par l’article XVI. 25, 12° du Code de droit économique fait également obstacle à la communication de certains éléments de l’article 15.1-2 du RGPD. 68. A l’appui de ce qui précède, la Chambre Contentieuse conclut que les conditions pour invoquer l’article 23 du RGPD n’étaient pas réunies en l’espèce. En conséquence, elle décide, laissant ainsi inappliqué l’article XVI. 25, 12° du Code de droit économique, que la défenderesse ne pouvait tirer de motif admissible de cette disposition pour refuser de donner au plaignant la copie des documents échangés entre elle-même et la compagnie d’assurance de ce dernier qu’il réclamait39. La Chambre Contentieuse conclura plus loin que de la même façon, le fait que les informations requises au titre de l’article 15.1-2 du RGPD n’aient pas été fournies ne peut être excusé en invoquant l’article XVI. 25, 12° du Code de droit économique (points 82 et suivants). Quant à l’article 15.4. du RGPD 69. Sans préjudice des griefs opposés ci-dessus à l’article XVI. 25, 12° du Code de droit économique au regard de sa conformité aux exigences de l’article 23 du RGPD, la Chambre Contentieuse examine dans les paragraphes qui suivent si, au regard des circonstances concrètes de l’espèce, le refus de la défenderesse pouvait in casu s’appuyer sur l’article 15.4. du RGPD. 70. Les considérations émises par la Chambre Contentieuse ci-dessus (point 43) au regard de ce qu’il faut entendre par « autrui » valant ici également, le motif tiré de « la protection des droit et libertés d’autrui » peut inclure tant ceux de la défenderesse au regard de la mission qui lui est légalement confiée que ceux de la compagnie d’assurance du plaignant. 71. S’agissant de la « protection des droits et libertés » de la défenderesse, la Chambre Contentieuse relève qu’indépendamment de la question de savoir si l’article XVI. 25, 12° du Code de droit économique rencontre, quod non, les exigences de l’article 23 du RGPD, cet article n’en énonce pas moins que la défenderesse est tenue de garantir la confidentialité des renseignements qui lui sont fournis par les parties dans l’exercice de ses compétences et qu’à ce titre, ces mêmes renseignements ne peuvent sortir de la sphère de la médiation pour être utilisés dans d’autres procédures (voy. supra points 57-58). 72. L’obligation qui s’impose à la défenderesse est, ainsi qu’il a déjà été mentionné également, une condition de sa reconnaissance comme entité impartiale et indépendante au sens du livre XVI du Code de droit économique. 73. Cette obligation s’inscrit dans une loi visant à encadrer le règlement extra-judiciaire des litiges entre les consommateurs et, par exemple, les compagnies d’assurance. Plus généralement, un tel mécanisme de règlement extra-judiciaire s’inscrit dans la lignée des objectifs d’intérêt général poursuivis par la Directive européenne 2013/11/UE déjà citée que sont une protection élevée des consommateurs et l’efficacité des règlements de conflit en matière de consommation en lien avec le droit au procès équitable de ces derniers40. La médiation est ainsi privilégiée et ne peut s’opérer que dans le respect strict de la confidentialité des échanges à l’égard des tiers à tout le moins, confidentialité qu’il incombe aux parties de respecter et à l’entité (ici la défenderesse) de garantir41. C’est la nature même du processus de médiation qui est ici en cause. Il y va donc de la préservation du rôle de la défenderesse, de l’efficacité de ses interventions en ce compris du respect de ses engagements à l’égard des parties comme de la confiance de ces dernières à son égard. 74. En effet, la confidentialité bénéficie également à la partie mise en cause dans le processus de médiation, soit en l’espèce à la compagnie d’assurance du plaignant. La confidentialité inhérente aux échanges intervenus dans le processus de médiation risque en effet d’être irrémédiablement compromise si ces échanges sont dévoilés en dehors de la procédure de médiation. S’ils devaient être utilisés dans d’autres procédures au mépris des engagements pris par les parties, ils pourraient toutefois, en principe, être écartés le cas échéant. 75. Comme la Chambre Contentieuse l’a rappelé, l’article 15.4 du RGPD est d’interprétation restrictive et ne peut être utilisé pour contourner les exigences de l’article 23 du RGPD. La Chambre Contentieuse se doit d’y être particulièrement attentive, en particulier lorsque le motif invoqué au départ de l’article 23 du RGPD est, comme en l’espèce, celui de « la protection de la personne concernée ou les droits et libertés d’autrui » qui est aussi celui retenu à l’article 15.4 du RGPD. 76. Ainsi et comme il a été rappelé, la préoccupation générale selon laquelle le respect de la demande d’accès pourrait porter atteinte aux droits et libertés d’autrui n’est pas suffisante pour invoquer l’article 15.4 du RGPD. Le responsable du traitement, soit en l’espèce la défenderesse, doit être en mesure de démontrer que, dans la situation concrète, les « droits ou libertés d’autrui » seraient affectés42. 77. La défenderesse s’appuie certes sur le fait que le plaignant indique sans aucune ambiguïté que son intention est d’utiliser les documents demandés dans le cadre d’une procédure en justice (juge de paix) voire dans le cadre d’une procédure judiciaire ET d’une procédure administrative (devant l’APD – DOS-201X-XXXXX), soit en-dehors du processus de médiation. Elle souligne - ainsi qu’il a déjà été mentionné - que si elle devait communiquer au plaignant les documents réclamés en connaissance de cause et des intentions de ce dernier, ceci l’amènerait à enfreindre sa propre obligation de garantir la confidentialité des renseignements qui lui ont été transmis par la compagnie d’assurance. 78. Si la Chambre Contentieuse conçoit que la communication demandée peut ne pas être exempte de tout risque pour les droits et libertés mentionnés ci-dessus qu’il s’agisse des siens ou ceux de la compagnie d’assurance du plaignant, elle ne peut cependant que constater que la défenderesse ne démontre pas en quoi, in casu et in concreto, la communication des documents demandés porterait atteinte à ses droits et/ou à ceux de la compagnie d’assurance du plaignant. 79. S’agissant des droits et libertés de la défenderesse, cette absence de démonstration tient - indépendamment ici encore de la conclusion selon laquelle l’article XVI. 25, 12° du Code de droit économique ne satisfait pas aux exigences de l’article 23 du RGPD quant aux limites qu’il pose en termes de droit d’accès du plaignant au sens de l’article 15 du RGPD - notamment au fait que la défenderesse de démontre pas quelle est la portée exacte de son obligation de garantir la confidentialité, les conséquences et les limites de celle-ci et en quoi dès lors, cette obligation et les droits et libertés qu’elle emporte entre en balance avec le droit d’accès du plaignant et doit primer sur celui-ci. 80. S’agissant des droits et libertés de la compagnie d’assurance, la défenderesse ne démontre pas non plus qu’in casu, la communication des documents demandés par le plaignant (dont la Chambre Contentieuse ne dispose pas) serait, in concreto, attentatoire aux droits et libertés de la compagnie d’assurance. Quels sont précisément ces droits de la compagnie d’assurance ? En quoi seraient-ils compromis et dans quelle mesure ? En quoi cette compromission primerait-elle sur le droit d’accès du plaignant (sachant que des pièces utilisées en dehors de la procédure de médiation seraient, a priori, écartées des débats devant la juridiction auprès e laquelle ils seraient invoqués) et existe-il une voie alternative pour éviter un refus pur et simple ? Pour pouvoir mobiliser l’article 15.4 du RGPD, un responsable de traitement telle la défenderesse doit donc 43 : - Identifier spécifiquement les droits et libertés mis en péril par l’exercice par la personne concernée (soit le plaignant en l’espèce) de son droit d’accès tel que formulé aux termes de sa plainte ; - Identifier en quoi ces droits et libertés sont concrètement mis en danger, qu’elle est l’atteinte concrète qui serait causée à ceux-ci s’il devait être fait droit à la demande d’accès de la personne concernée / plaignant ; - Démontrer qu’il serait disproportionné de donner une suite favorable au droit d’accès de la personne concernée / du plaignant au vu de cette atteinte et qu’il n’existerait aucune manière pour la défenderesse de concilier les droits en présence, par exemple en mettant en œuvre des mesures appropriées atténuant le risque pour les droits et libertés d’autrui identifiés. 81. En conclusion, à défaut pour la défenderesse de démontrer qu’elle était et demeure autorisée à s’appuyer sur l’article 15.4 du RGPD pour refuser au plaignant l’accès (sous la forme de copie des courriers échangés tels que demandés) aux données le concernant, la Chambre conclut que la défenderesse a violé l’article 15.3 du RGPD, ce en combinaison avec l’article 12.4 du RGPD (voy. infra titre II.2). Quant à l’article 15.1-2 82. Ainsi qu’il a été rappelé au point 44, l’exception de l’article 15.4 du RGPD ne s’applique en toute hypothèse pas aux informations relatives aux traitement visées à l’article 15. 1 a) à h) et 15.2. du RGPD mais bien uniquement au droit à l’obtention d’une copie des données à caractère personnel faisant l'objet d'un traitement consacré à l’article 15.3. du RGPD. 83. La Chambre Contentieuse ayant décidé de laisser inappliqué l’article XVI. 25, 12° du Code de droit économique (voy. supra point 68), elle est d’avis qu’indépendamment de sa conclusion sur la violation de l’article 15.3 du RGPD, il incombait également à la défenderesse de fournir au plaignant les éléments d’information de l’article 15.1-2 du RGPD pertinents au regard des données personnelles le concernant contenues dans la copie des échanges qu’il réclamait. 84. La Chambre Contentieuse constate que ces éléments n’ont pas été communiqués par la défenderesse dans sa réponse du 14 avril 2022. Celle-ci a certes communiqué au plaignant qu’elle traitait des données d’identification le concernant, lui a communiqué le résultat obtenu dans des dossiers traités et indiqué qu’elle pouvait lui refournir les échanges intervenus entre elle et lui (point 16). Cette réponse ne répond toutefois pas aux exigences des paragraphes 1 et 2 de l’article 15 du RGPD appliqués aux données contenues dans la copie des échanges réclamés par le plaignant. 85. En conclusion, la Chambre Contentieuse décide que la défenderesse s’est rendue coupable d’une violation de l’article 15.1-2 du RGPD, ce en combinaison avec l’article 12.4 du RGPD (voy. infra titre II.2). Quant à l’argument tiré de l’article 14.5. d) du RGPD 86. Sans préjudice de ce qui précède, la Chambre Contentieuse ajoute que l’article 14.5. d) du RGPD invoqué par la défenderesse dans ses conclusions en réplique (point 23) est sans incidence sur une éventuelle exception au droit d’accès. Cet article prévoit en effet une dispense d’information à la personne concernée « lorsque et dans la mesure où les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel ». L’article 14 du RGPD est consacré au droit à l’information en cas de collecte indirecte de données à caractère personnel par le responsable de traitement et non au droit d’accès (article 15 du RGPD) dont question en l’espèce. Le droit d’information vise à informer les personnes concernées sur les activités de traitement du responsable de traitement en détaillant une série d’éléments listés aux §§ 1 et 2 de l’article 14 tels que les finalités, les destinataires, la durée de conservation, les droits dont bénéficient les personnes concernées (avec le cas échéant leurs limites) etc.44. Cette information peut par exemple prendre la forme d’une politique de confidentialité. Le droit d’accès vise pour sa part, ainsi qu’il a été rappelé, à permettre à la personne concernée d’obtenir (1) une réponse à la question de savoir si des données la concernant sont traitées, (2) le cas échéant lesquelles, dans quel(s) but(s) etc., autant d’éléments d’information au regard des données effectivement traitées le concernant qui, pour un grand nombre d’entre eux, rejoignent ceux listés à l’article 14. 1-2 du RGPD mais seront ciblés au regard des données du demandeur, ainsi que (3) d’en obtenir copie. En conséquence, l’exception à l’information de l’article 14.5. d) du RGPD ne s’applique pas au regard d’une demande d’accès comme en l’espèce (article 15 du RGPD). 87. Si la défenderesse devait envisager de s’appuyer sur l’article 14.5 d) du RGPD (pour les données recueillies par voie de collecte indirecte) au titre de dispense d’information, la Chambre Contentieuse rappelle que comme toute exception, l’article 14.5 d) du RGPD est d’interprétation restrictive. Son libellé précise en outre que l’exception ne vaut pas nécessairement pour tous les éléments listés aux §§ 1 et 2 mais uniquement « lorsque et dans la mesure où » l’obligation de secret empêche l’information de chaque élément. Il incombe dès lors à la défenderesse d’examiner et de pouvoir démontrer, conformément au principe d’accountability (articles 5.2 et 24 du RGPD), que la dispense sur laquelle elle entend s’appuyer vaut pour l’ensemble des éléments d’information listés tant aux paragraphes 1 que 2 de l’article 14 du RGPD. 88. Quant à la collecte de données à caractère personnel directement auprès des parties, l’article 13 du RGPD s’applique à la défenderesse tant dans ses paragraphes 1 que 2 également. La seule exception possible est prévue à l’article 13.4 du RGPD qui énonce que ces paragraphes ne s'appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations. II.2. Quant au respect des modalités de l’article 12 du RGPD au regard de la réponse de la défenderesse au plaignant II.2.1. Position des parties Position du plaignant 89. Le plaignant dénonce l’absence de réponse reçue à sa demande dans le délai d’un mois prescrit par le RGPD. Ses demandes datant de novembre 2021 et de janvier 2022 - assorties de rappels en février 2022-, la réponse reçue de la défenderesse le 14 avril 2022, soit près de 5 mois après sa demande initiale, est donc selon lui tardive. Position de la défenderesse 90. Quant au délai mis à répondre au plaignant, la défenderesse expose comme il a été mentionné au point 6 de l’exposé des faits, qu’elle a dans un premier temps adopté une attitude d’attente dès lors que la demande du plaignant lui semblait d’abord s’adresser à sa compagnie d’assurance et pouvoir trouver une solution entre eux sans recours immédiat à sa compétence de médiation. II.2.2. Appréciation de la Chambre Contentieuse Rappel des principes 91. S’agissant de l’exercice du droit d’accès consacré à l’article 15 du RGPD, l’article 12 du RGPD relatif aux modalités d’exercice de leurs droits par les personnes concernées est applicable en cas de demande d’accès. Au regard du cas d’espèce, la Chambre Contentieuse rappelle plus spécifiquement que l’article 12.4. exige du responsable de traitement qui n’a pas l’intention de donner suite à une demande, de notifier les motifs de son refus à la personne concernée dans un délai d’un mois accompagné de l’information selon laquelle un recours contre ce refus peut être introduit auprès de l’autorité de contrôle de protection des données (article 77 du RGPD) ainsi que de la possibilité d’intenter un recours juridictionnel (article 79 du RGPD).45 92. La Chambre Contentieuse souligne tout particulièrement l’importance de la motivation de ce refus. L’article 12.4 doit être lu en combinaison avec l’article 12.2 du RGPD : pour faciliter l’exercice des droits des personnes concernées, un responsable de traitement doit indiquer en des termes clairs et simples le motif de son refus. Si ce refus est fondé sur une disposition légale, la disposition légale pertinente doit être communiquée à la personne concernée. En effet, il serait difficile pour une personne concernée d’évaluer la pertinence du refus qui lui est opposé et de pouvoir exercer utilement ses droits de recours devant une autorité de protection des données ou devant les cours et tribunaux si la motivation d’un tel refus repose sur une base légale erronée ou non mentionnée. En l’espèce 93. Dans sa réponse du 14 avril 2022, la défenderesse fournit certes quelques informations claires et indique au titre de motif de son refus « qu’en ce qui concerne les échanges, nous ne pouvons pas les fournir dans la mesure où ceux-ci sont confidentiels ». Si la confidentialité des échanges intervenus est ainsi avancée comme motif de refus, la Chambre Contentieuse constate que la mention de la disposition légale que la défenderesse a postérieurement invoquée dans le cadre de la présente procédure (soit l’article XVI. 25, 12° du Code de droit économique) n’en fait pas moins défaut (ce indépendamment de la pertinence de cette disposition, par ailleurs écartée par la Chambre Contentieuse en l’espèce). 94. La Chambre Contentieuse relève également que la défenderesse omet d’informer le plaignant de l’existence de son droit de recours auprès de l’APD (article 77 du RGPD) ainsi qu’auprès des cours et tribunaux (article 79 du RGPD). 95. La défenderesse répond par ailleurs tardivement à la demande du plaignant. Si la Chambre Contentieuse n’est pas insensible à l’argument selon lequel une position d’attente de la défenderesse pouvait le cas échéant se justifier lors des premiers échanges de novembre 2021 plus directement adressés à la compagnie d’assurance du plaignant (voy. la réponse d’attente de la défenderesse du 25 novembre 2021 – point 6), il n’en demeure pas moins que la demande formulée par le plaignant aux termes de son courriel du 5 janvier 2022 dont la défenderesse était destinataire (certes aux cotés de la compagnie d’assurance du plaignant) ne laissait plus de place au doute (point 8). En effet, le plaignant s’y adresse directement à la défenderesse (notamment à son DPO) et formule sa demande à son attention, en la soulignant par ailleurs (« Pourriez-vous également me donner copie des courriers échangés, comportant mes données personnelles, avec cette compagnie de 2019 à 202146 »). En n’y répondant que le 14 avril 2022, soit plus de 3 mois après, la défenderesse a largement dépassé le délai d’un mois dans lequel elle était tenue de répondre au plaignant, fut-ce de manière négative. 96. A l’appui de ce qui précède, la Chambre Contentieuse constate que la défenderesse n’a pas respecté les prescrits de l’article 12.4 du RGPD dans la réponse qu’elle a apportée à la demande d’accès du plaignant (ce que ce soit au regard des paragraphes 1-2 ou 3 de l’article 15 du RGPD). 97. La Chambre Contentieuse ajoute qu’en outre, cette réponse n’a été fournie qu’après la notification du dépôt d’une plainte auprès de l’APD, ce qui aggrave encore à ses yeux le manquement de la défenderesse. 98. Il importe en effet que l’exercice des droits des personnes concernées (et plus encore le droit d’accès, pilier de l’exercice de ces droits ainsi qu’il a été rappelé au point 39), s’opère entre les parties et non par l’intermédiaire de l’APD. Sans faire grief aux plaignants, la Chambre Contentieuse regrette tout particulièrement les cas de plaintes déposées en raison de l‘attitude passive ou tardive de responsables de traitement. De telles négligences de ces derniers nuisent gravement à l’effectivité des droits des personne concernées (même en cas de réponse négative, justifiée le cas échéant) ainsi que, par répercussion, à l’effectivité de l’action de l’APD en général et de la Chambre Contentieuse en particulier. Cette dernière ne peut en effet se départir du sentiment que des plaintes motivées par l’absence ou le dépassement du délai de réponse pourraient être évitées s’il était répondu dans le délai à la personne concernée. Ce point d’attention est sans préjudice de la compétence de la Chambre Contentieuse pour connaitre, une fois la réponse fournie, de la validité de l’éventuel motif de refus si le plaignant devait avoir des raisons de mettre en doute celle-ci. III. Mesures correctrices et sanctions 99. Aux termes de l’article 100 LCA, la Chambre Contentieuse a le pouvoir de : 1° classer la plainte sans suite ; 2° ordonner le non-lieu ; 3° prononcer une suspension du prononcé ; 4° proposer une transaction ; 5° formuler des avertissements ou des réprimandes ; 6° ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits; 7° ordonner que l'intéressé soit informé du problème de sécurité ; 8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement ; 9° ordonner une mise en conformité du traitement ; 10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données ; 11° ordonner le retrait de l'agréation des organismes de certification ; 12° donner des astreintes ; 13° donner des amendes administratives ; 14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international ; 15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier ; 16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données. 100. S’agissant du manquement identifié aux points 81 et 96 à l’article 15.3 en combinaison avec l’article 12.4 du RGPD, la Chambre Contentieuse adresse une réprimande à la défenderesse. La Chambre Contentieuse assortit cette réprimande d’un ordre de donner suite, dans le mois de la notification de la présente décision, à l’exercice du droit d’accès du plaignant en exécution de l’article 15.3 du RGPD sur la base de l’article 100,6° de la LCA sauf pour la défenderesse à démontrer qu’elle peut, in concreto et tenant compte des rappels de la présente décision quant à la manière dont il convient d’appliquer l’article 15.4 du RGPD (voy. le point 80), s’appuyer sur ledit article 15.4 du RGPD en combinaison avec l’article 12.4 du RGPD pour refuser, en tout ou en partie, cet accès. 101. S’agissant du manquement identifié aux points 85 et 96 à l’article 15.1-2 du RGPD en combinaison avec l’article 12.4 du RGPD, la Chambre Contentieuse décide également d’adresser une réprimande à la défenderesse assortie d’un ordre de donner suite, dans le mois de la notification de la présente décision, au droit d’accès du plaignant en exécution de ces paragraphes (soit en lui fournissant l’ensemble des éléments pertinents de ceux-ci), ce sur la base de l’article 100,6° de la LCA. IV. Publication de la décision 102. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site internet de l’Autorité de protection des données. 103. Toutefois, il n’est pas nécessaire à cette fin que les données d’identification du plaignant et des autres entités citées soient directement mentionnées. 104. S’agissant de la défenderesse, la Chambre Contentieuse est d’avis que pour l’information du public, la bonne compréhension de sa décision et compte tenu des références légales citées à l’appui de sa motivation, la mention de la qualité d’Ombudsman des assurances de la défenderesse ne peut être omise. PAR CES MOTIFS, La Chambre Contentieuse de l’Autorité de protection des données décide, après délibération : - En vertu de l’article 100, 5° de la LCA, d’adresser une réprimande à la défenderesse pour violation de l’article 15.3 en combinaison avec l’article 12.4 du RGPD ainsi que pour la violation de l’article 15.1-2 du RGPD en combinaison avec l’article 12.4 du RGPD ; - En vertu de l’article 100, 6° de la LCA, d’ordonner à la défenderesse : ° de donner suite, dans le mois de la notification de la présente décision, à l’exercice du droit d’accès du plaignant en exécution de l’article 15.3 du RGPD sauf pour la défenderesse à démontrer, dans le respect des modalités prévues à l’article 12.4 du RGPD, qu’°elle peut s’appuyer sur l’article 15.4 du RGPD pour refuser cet accès ; ° de donner suite, dans le mois de la notification de la présente décision, à l’exercice du droit d’accès du plaignant en exécution de l’article 15.1-2 du RGPD. Conformément à l'article 108, § 1 de la LCA, un recours peut être introduit, dans un délai de trente jours à compter de sa notification, auprès de la Cour des Marchés (cour d'appel de Bruxelles), avec l'Autorité de protection des données (APD) comme partie défenderesse. Un tel recours peut être introduit au moyen d'une requête interlocutoire qui doit contenir les informations énumérées à l'article 1034ter du Code judiciaire47. La requête interlocutoire doit être déposée au greffe de la Cour des Marchés conformément à l'article 1034quinquies du C. jud.48, ou via le système d'information e-Deposit du ministère de la Justice (article 32ter du C. jud.). (se)Hielke HIJMAN Président de la Chambre Contentieuse Document PDF ECLI:BE:GBAPD:2024:DEC.20241121.1