La Chambre Contentieuse inflige 3 amendes

---

Changement au niveau de la Chambre Contentieuse de l’APD

L’actuel directeur de la Chambre Contentieuse de l’APD, Hielke Hijmans, nommé par la Chambre des représentants en 2019, puis une nouvelle fois en 2025, quitte ses fonctions à partir du 16 mai 2026. Aujourd’hui, la Chambre Contentieuse de l’APD prend ses dernières décisions sous sa direction. Trois de ces décisions sont détaillées ci-dessous. 

Hielke Hijmans, directeur de la Chambre Contentieuse : « En 7 ans, la Chambre Contentieuse a pris des décisions qui contribuent, chacune à leur manière, à une meilleure protection des données personnelles en Belgique, et même en Europe.

Ces dernières décisions prises sous ma direction, dans lesquelles une amende significative est imposée,  confirment l’importance des interventions de la Chambre Contentieuse. Que ce soit pour une grande partie des consommateurs d’eau en Wallonie, pour des utilisateurs d’un système d'authentification et d'identification ou encore pour une ex-employée dont les mails sont toujours traités, les dossiers clôturés aujourd’hui, bien que tous différents, montrent l’importance pour les organisations d’agir de manière transparente et conforme à la législation en vigueur.»

86.000 euros à l’encontre de la SWDE pour l’enregistrement et l’écoute non conforme d’appels à son call center

L’APD a imposé deux amendes d’un montant combiné de 86.000 EUR à la Société Wallonne des Eaux (“SWDE”), en raison de manquements au RGPD constatés dans le cadre d’une enquête relative aux enregistrements et écoutes d’appels entrants vers son call-center. Cette décision traite notamment de l’interaction entre le RGPD et les lois protégeant la confidentialité des communications électroniques, et en particulier de l’interprétation à donner à l’exception qui permet d’enregistrer les conversations des employés d’un call center (« exception call center »).

Dans le cadre de l’enquête et de la procédure au fond qui a suivi, l’APD a constaté différents manquements à cet égard :  

• Manque de transparence vis-à-vis des appelants : l’APD a sanctionné le manque de transparence vis-à-vis des appelants dont les appels ont fait l’objet d’enregistrements et/ou d’écoutes (et en particulier le fait que l’accès à l’information complète relative aux traitements de données personnelles dans ce cadre est conditionnée à un accès internet, ce qui est particulièrement problématique au regard du caractère tous publics du service de fourniture d’eau, qui ne permet pas à la SWDE de supposer que tous les appelants disposent d’un accès – facile – à internet) ainsi que l’absence de modalités mises en place par la SWDE pour permettre aux appelants d’exercer en temps utile leur droit d’opposition aux enregistrements réalisés entre novembre 2018 et octobre 2022 ;
• Absence de contrat de sous-traitance : les clauses RGPD entre la SWDE et un sous-traitant engagé dans le cadre de l’évaluation des écoutes n’ont pas été finalisées et signées pendant une période s’étendant sur près de 5 ans;
• Illicéité de certains enregistrements tests ;
• Manque de transparence vis-à-vis des employés enregistrés ;
• Conservation des enregistrements au-delà d’un mois : les procédures mises en place au sein de la SWDE ne permettaient pas de s’assurer que les enregistrements soient effacés dans le mois, alors que cette condition est essentielle pour bénéficier de l’exception call center.

La Chambre Contentieuse de l’APD a donc décidé d’infliger à la SWDE une amende de 85 000 euros pour ne pas avoir satisfait à ses obligations de transparence vis-à-vis des appelants, assortie d’un ordre de mise en conformité visant à remédier au manquement constaté, ainsi qu’une amende de 1000 EUR pour l’absence de contrat de sous-traitance. Les autres manquements constatés ont fait l’objet de réprimandes.

Lisez la décision complète ici.

120.000 euros d’amende à l’encontre d’une fintech belge s’étant soustraite aux  obligations qu’il lui incombaient en tant que responsable du traitement

La Chambre Contentieuse de l'APD a infligé une amende administrative de 120.000 EUR à Isabel SA, acteur majeur du secteur FinTech belge, pour ne pas avoir reconnu sa responsabilité pour le traitement d'authentification et d'identification de son service TruliUs (comparable à Itsme).

Entre octobre 2020 et mars 2023, Isabel SA a exploité ce service qui permettait à des utilisateurs de s'authentifier auprès de partenaires. Pour assurer ce service, Isabel SA collectait un ensemble très étendu de données à caractère personnel, comprenant notamment le nom, l'adresse, le numéro de registre national, la date et le lieu de naissance, ainsi que la photo de la carte d'identité électronique. Le plaignant, utilisateur du service, a découvert l’ampleur de cette collecte de données et a introduit une demande d’accès auprès d’Isabel SA, qui n’y a pas répondu, estimant agir uniquement en qualité de sous-traitante et non de responsable du traitement.

La Chambre Contentieuse a constaté, sur la base des éléments rapportés par l'enquête menée par le Service d'Inspection de l'APD, qu'Isabel SA avait elle-même conçu, paramétré et exploité le service TruliUs, en déterminant les finalités et les moyens essentiels du traitement. Elle aurait donc dû se reconnaître responsable du traitement au sens du RGPD, et non sous-traitante. La qualité de responsable du traitement entraine davantage d’obligations dans le chef de l’organisation qui traite des données personnelles.

Cette qualification erronée a donc entraîné en cascade plusieurs manquements, comme un défaut d'information préalable des utilisateurs du système, l'absence de réponse aux demandes d'accès du plaignant, ainsi qu'une collecte de données excédant ce qui était nécessaire à la finalité d'authentification poursuivie. À travers cette décision, la Chambre Contentieuse rappelle l’importance d’une qualification correcte des acteurs d’un traitement de données, dont dépend l’effectivité de l’ensemble des garanties prévues par le RGPD. Une qualification erronée des responsabilités entraîne des conséquences graves, comme en l’espèce, où le plaignant s’est notamment retrouvé dans l’impossibilité d’exercer effectivement ses droits. En conséquence, la Chambre Contentieuse a prononcé une amende administrative de 120.000 euros pour la violation du principe de responsabilité, accompagnée d'une réprimande pour les manquements consécutifs au RGPD.

Lisez la décision complète ici.

176.000 euros d’amende pour la conservation de la boîte mail d’une employée après son départ

L’APD a infligé une amende d’environ 176.000 euros au total à une grande entreprise technologique pour ne pas avoir supprimé en temps utile la boîte mail d’une ancienne employée.

La plaignante s’est rendue compte, une demie année après son départ, que son ancienne boîte mail professionnelle était toujours active. Elle a donc demandé d’avoir accès à celle-ci et à ce qu’elle soit ensuite supprimée.

La Chambre Contentieuse a constaté, entre autres :

• que les données personnelles contenues dans la boîte mail de la plaignante avaient été traitées de manière illicite. En effet, l’entreprise a un intérêt légitime à conserver une boîte mail pendant un mois après un départ, mais pas pendant plus d’un an comme dans le cas d’espèce, afin de pouvoir rediriger les contacts de l'ancien(ne) employé(e) vers le ou la collègue qui reprend les dossiers. Cet intérêt disparait dans le temps.
• que l’entreprise a manqué à son obligation de transparence vu que la plaignante et ses correspondants ne savaient pas que leurs données étaient encore traitées.
• que l’entreprise n’a pas pris les mesures techniques et organisationnelles nécéssaires pour s’assurer que la boîte mail de la plaignante soit effacée.
• que le droit d’accès de la personne concernée n’avait pas été respecté.

Pour ces raisons, l’APD a infligé à l’entreprise une amende d’un peu plus de 160.000 euros (pour le traitement illicite de données), ainsi qu’une amende d’environ 16.000 euros (pour les manquements en termes de transparence). Elle a également ordonné à l’entreprise de répondre à la demande d’accès et de suppression de la plaignante.

Lisez la décision complète ici (temporairement disponible uniquement en néerlandais).

Les parties concernées par les décisions disposent d’un délai de 30 jours pour faire appel.