APD/GBA (Belgium) - 17/2020: Difference between revisions

From GDPRhub
(Replaced content with "{{DPAdecisionBOX |Jurisdiction=Belgium |DPA-BG-Color= |DPAlogo=LogoBE.png |DPA_Abbrevation=APD/GBA |DPA_With_Country=APD/GBA (Belgium) |Case_Number_Name=DOS-2019-05450 |...")
Line 16: Line 16:


|Type=Complaint
|Type=Complaint
|Outcome=Partly Upheld
|Outcome=Upheld
|Date_Decided=
|Date_Decided=
|Date_Published=
|Date_Published=
Line 23: Line 23:
|Currency=
|Currency=


|GDPR_Article_1=Article 5(1)(a) GDPR
|GDPR_Article_1=Article 15 GDPR
|GDPR_Article_Link_1=Article 5 GDPR#1a
|GDPR_Article_Link_1=Article 15 GDPR
|GDPR_Article_2=Article 6(1)(f) GDPR
|GDPR_Article_Link_2=Article 6 GDPR#1f




Line 50: Line 48:
}}
}}


The Belgian data protection authority (APD/GBA) ruled that an employer who collected orally personal information relating to a former employee and further shared to a third party for the purpose of legal defense, breached the GDPR.
TO BE COMPLETED.  


== English Summary ==
== English Summary ==


=== Facts ===
=== Facts ===
The complainant has been dismissed in December 2017 and April 2018 by  the two defendants who are thus, former employers. In April 2018, the Complainant and his Union challenged the first dismissal and further exchanged with the first employers regarding the dismissal. The second employer initiated a proceeding against him to retrieve documents, over the same period in 2018.
The complainants are clients of the defendant, a bank. In September 2019, the complainants made an access request to the bank’s controller. More precisely, they both sent a letter through their counsel, requesting “a copy of all the personal data you hold as well as any additional information you have against them asking”.  In response, the Defendant asked them to provide for their ID card and to specify which right they wanted to exercise. As the complainant found that the question was self-explanatory, they did not answer and lodged directly a complaint with the DPA in October 2019.
The complainants learned through his Union that the second employer gave personal information linked to the undergoing litigation to the first employer. The first employer further shared the same information to the Union.  
The complainants argued that the Defendant should not have made the exercise of their access right conditional on either a clarification of the right at stake nor the sending of on a copy of the complainants' identity card.  
Thus, the Complaint filed a complaint with the Belgian data protection authority claiming that the second employer unlawfully transmitted personal data to the first employer who unlawfully collected and further shared that information with a third party, the Union.  
The Defendant mainly argued that the data protection authority was not competent because the banking sector is not subject to data protection act.  
 


=== Dispute ===
=== Dispute ===
The Authority had to discuss whether the two processing at stake fallen into the scope of the GDPR and then, if there were unlawful.  
The authority has to discuss on the interplay between the GDPR and the specific legal framework applicable to the banking sector.  


=== Holding ===
=== Holding ===
Concerning the second employer, the authority ruled that personal information linked to the litigation was not a processing within the meaning of Article 2(1) GDPR. Indeed, the first employer never had access to the ruling which was issued shortly before the two employers talked about the complainant only orally. Thus, there is neither an automated processing system, nor a filing system. As a consequence, the first part of the complaint was rejected.  
The authority ruled that the data subject who exercised their access right are not required to identify the applicable and relevant legal framework as long as the authority can assist them and ensure a clear understanding of the potential violation which is under its jurisdiction. Thus, if necessary the authority can change the legal basis.  
Concerning the first employer, the authority ruled that the information collected from the second employer was unlawfully processed under Aticle 6(1)(f) GDPR, and thus, the controller breached the principle of fairness under Article 5(1)(a) GDPR.
The authority also ruled that the request for exercise of a GDPR right, such as the access right, implies that the authority exercise on the basis of objective law and does not concern only the subjective rights of the parties.  
First, the authority pointed out that the information linked to the civil litigation does not fall under Article 10 GDPR which only applies to criminal convictions and offences.
 
Secondly, the authority recalled that the processing is lawful under Article 6(1)(f) GDPR to the extent that the pursuit of a legitimate interest by the controller (a), the necessity of the processing for the fulfilment of the legitimate interest pursued (b) and the condition that the fundamental rights and freedoms of the data subjects do not prevail over the interest pursued (c), are cumulative -.
The authority acknowledged that the interest invoked by the controller, namely his legal defense, was legitimate. However, it also ruled that the necessity and proportionally criteria were not fulfilled. Indeed, the authority highlighted that it would be excessive and disproportional to accept that all previous employers can exchange any information relating to an employee, for their legal defense. Thus the sharing of information to the Union was unlawful.


== Comment ==
== Comment ==
Line 79: Line 76:


<pre>
<pre>
Chambre Contentieuse
Décision 03/2020 du 21 février 2020
N° de dossier : DOS-2018-05326
Objet : Plainte de Monsieur X à l’encontre deux anciens employeurs 
La Chambre Contentieuse de l'Autorité de protection des données, constituée de Monsieur Hielke
Hijmans, président, et de Messieurs Romain Robert et Christophe Boeraeve, membres ;
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données), ci-après RGPD;
Vu la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après LCA);
Vu le règlement d'ordre intérieur de l’Autorité de protection des données tel qu'approuvé par la
Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
A pris la décision suivante concernant :
- le plaignant 
- le responsable de traitement 1 (ci-après  le premier défendeur)
- le responsable de traitement 2 (ci-après le second défendeur) 
 
I. Rétroactes de la procédure
Vu la plainte déposée le 30 septembre 2018 par le plaignant auprès de l’Autorité de protection des données ; 
Vu la décision du 15 octobre 2018 du Service de première ligne de l’Autorité de protection des données déclarant la plainte recevable et la transmission de celle-ci à la Chambre Contentieuse à cette même date ; 
 
Vu la décision prise par la Chambre Contentieuse lors de sa séance du 23 octobre 2018 de considérer que le dossier était prêt pour traitement quant au fond en vertu des articles 95 § 1er, 1° et 98 LCA ; 
Vu le courrier daté du 30 octobre 2018 de la Chambre Contentieuse informant les parties de sa décision précitée de considérer le dossier comme étant prêt pour traitement au fond sur la base de l’article 98 LCA ;   
Vu l’invitation du 29 novembre 2018 adressée par la Chambre Contentieuse aux parties les invitant à faire valoir leurs arguments selon un calendrier établi ; 
Vu les modifications apportées au calendrier initial par décisions de la Chambre Contentieuse du 9 janvier 2019, du 30 avril 2019 et du 12 juin 2019; 
Vu les conclusions en réponse du premier défendeur déposées par ses conseils, reçues le 28 janvier  2019 ; 
Vu la demande  formulée par le premier défendeur aux termes de ces conclusions d’être, à l’issue de l’échange de conclusions, entendu par la Chambre Contentieuse en application de l’article 51 du Règlement d’ordre intérieur de l’Autorité de protection des données; 
Vu les conclusions du plaignant reçues par la Chambre Contentieuse le 27 mars 2019 ; 
Vu la demande formulée par le plaignant dans ses conclusions d’être entendu par la Chambre Contentieuse à l’issue de l’échange des conclusions en application de l’article 51 du Règlement d’ordre intérieur de l’Autorité de protection des données;
Vu les conclusions déposées par le second défendeur représenté par ses conseils, reçues par la Chambre Contentieuse le 26 avril 2019 ; 
Vu les conclusions en réplique du premier défendeur déposées par ses conseils, reçues le 3 mai 2019 ; 
2
Vu l’octroi par la Chambre Contentieuse d’un dernier délai pour conclure adressé à toutes les parties en date du 12 juin 2019 ;
Vu les invitations à l’audition adressées par la Chambre Contentieuse en dates du 20 décembre 2019 et du 15 janvier 2020 ; 
Vu l’audition lors de la séance de la Chambre Contentieuse du 28 janvier 2020 au cours de laquelle seul le plaignant était présent ; 
Vu le procès-verbal d’audition du 28 janvier 2020 et les annotations du plaignant du 4 février 2020 qui y ont été jointes et communiquées aux premier et second défendeurs le 11 février 2020.
II. Les faits et l’objet de la plainte
La plainte introduite par le plaignant s’inscrit dans le contexte d’un conflit qui l’oppose à son ancien employeur, le premier défendeur ainsi qu’à un second ancien employeur, le deuxième défendeur.
Le premier défendeur – qui regroupe plusieurs médecins généralistes - a engagé le plaignant le 24 août 2016 en qualité d’assistant marketing et communication. Le plaignant a été licencié par le premier défendeur moyennant l’exécution d’un préavis à prester de deux mois par courrier recommandé du 2 octobre 2017. 
Le premier défendeur produit dans le cadre de la présente procédure un certain nombre de courriers adressés au plaignant desquels il ressort que, selon le premier défendeur, ce dernier n’exécutait pas les prestations demandées pendant la période de préavis, soit au cours des mois de novembre et de décembre 2017. Dans son courrier recommandé adressé au plaignant le 10 janvier 2018, le premier défendeur considère que le plaignant a manqué à ses obligations professionnelles en ne prestant pas l’entièreté du travail convenu et décide dès lors, pour le mois de décembre 2017, de le déclarer en congé sans solde sans droit à rémunération. 
A la suite de ce courrier, le plaignant a saisi son organisation syndicale. Celle-ci indique au plaignant avoir adressé une mise en demeure au premier défendeur en date du 11 avril 2018. Un échange de lettres s’en est suivi entre le syndicat et le premier défendeur, dont le courrier - objet du litige porté devant la Chambre Contentieuse - du 14 juin 2018 adressé par le premier défendeur au syndicat. 
3
Il ressort des pièces déposées dans le cadre de la procédure que, par ce courrier du 14 juin 2018, le premier défendeur écrit au syndicat notamment ce qui suit (extrait) : 
« Depuis, son nouvel employeur – le second défendeur - , nous a contacté pour nous faire part de son attitude comparable à celle qu’il avait au sein de notre société, c’est-à-dire qu’il ne s’est plus présenté sur son lieu de travail après un certain temps et n’a plus rendu compte de ses prestations. La société a dû lui remettre son préavis après 2 mois. 
D’après mes informations, un litige s’est récemment déroulé entre votre affilié et son nouvel employeur au cours duquel il aurait utilisé des faux arguments et agit à l’encontre du règlement de la société.
Le tribunal l’a condamné à payer des dommages et intérêts pour ces faits».
Après avoir été licencié par le premier défendeur, le plaignant a travaillé de janvier à avril 2018 pour le second défendeur. Il a été licencié par le second défendeur quelques mois après avoir débuté auprès de cette société, soit en avril 2018. Il ressort du jugement prononcé par le Tribunal de première instance de Bruxelles siégeant en référé produit dans le cadre de la présente procédure que le second défendeur a engagé une procédure en référé par citation à l’encontre du plaignant pour récupérer des fichiers auprès de lui. C’est à cette décision – avec mention erronée de sa date – que le premier défendeur fait allusion dans son courrier du 14 juin adressé au syndicat. 
Ce courrier du 14 juin est la réponse du premier défendeur au courrier que lui a adressé le syndicat le 23 mai 2018. 
Dans ce courrier du 23 mai, le syndicat conteste les motifs du licenciement du plaignant (qualifiant le licenciement de manifestement déraisonnable) et réclame notamment, outre le paiement des prestations effectuées pendant son préavis par le plaignant : 
- Une indemnité correspondant à 17 semaines de rémunération conformément à l’article 9 de la Convention collective n° 109 du 12 février 2014 concernant la motivation du licenciement 
(absence de motif de licenciement) ; 
La plainte déposée par le plaignant auprès de l’Autorité de protection des données comporte deux volets : 
 Premier volet à l’encontre du second défendeur
Le plaignant reproche au second défendeur d’avoir communiqué au premier défendeur des informations relatives à l’exécution de son travail auprès de ce dernier ainsi que des informations relatives à la procédure judiciaire l’opposant au second défendeur pour récupération de documents appartenant à cette société à l’issue de leur relation contractuelle (décision du Tribunal de première instance de Bruxelles siégeant en référé). 
4
 Second volet à l’encontre du premier défendeur
Le plaignant reproche en outre au premier défendeur d’avoir collecté ces mêmes informations auprès du second défendeur et de les avoir, par courrier du 14 juin 2018, communiqué  à son syndicat. 
Le plaignant demande à l’Autorité de protection des données de déclarer sa plainte fondée et de considérer les sanctions appropriées aux actes qui ont été posés et aux dommages qui en ont suivi. 
III. L’audition du 28 janvier 2020 
Lors de son audition du 28 janvier 2020, le plaignant a rappelé les faits et contesté plusieurs éléments mis en avant par le premier défendeur dans ses conclusions en se référant à ses propres conclusions. Il a ajouté les éléments suivants : 
- Sa lecture des conclusions du premier défendeur révèle que des contacts préalables à celui au terme duquel le second défendeur a communiqué au premier défendeur les informations litigieuses relatives à sa condamnation en justice ont eu lieu à son sujet entre les défendeurs ; 
- La nature de droit fondamental du droit à la protection des données ; 
- Le non-respect du principe de proportionnalité et de minimisation dans le chef des défendeurs lors de la communication de données le concernant et l’absence de pertinence des données communiquées au regard de la problématique d’absence de délivrance de l’original de son formulaire C4 (certificat de chômage) et de la nature du licenciement dont il avait fait l’objet de la part du second défendeur ; 
- L’absence de respect du principe de loyauté à son égard lors de cette même communication de données le concernant ;
- L’absence de base de licéité admissible, l’intérêt légitime prépondérant dans le chef des défendeurs tel qu’invoqué ne pouvant selon lui être retenu ;
- Une atteinte à son droit à l’oubli ainsi qu’à son droit d’opposition fut-ce celui-ci d’application ;
- L’absence de consentement dans son chef à la communication de données à caractère personnel le concernant entre les défendeurs.
- Les difficultés rencontrées pour obtenir son C4 (certificat de chômage) et le fait que celui-ci a été établi avant les contacts noués entre les défendeurs. 
IV. Quant à la compétence de l’APD, en particulier de la Chambre Contentieuse
Quant à la compétence de l’Autorité de protection des données, en particulier de la Chambre Contentieuse
En application de l’article 4 § 1er de la LCA, l'Autorité de protection des données (APD) est responsable du contrôle du respect des principes fondamentaux de la protection des données à caractère personnel
5
contenus dans le RGPD et dans d’autres lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel. 
En application de l’article 33 § 1er de la LCA, la Chambre Contentieuse est l’organe de contentieux administratif de l’APD.  Elle est saisie des plaintes que le Service de première ligne lui transmet en application de l’article 62 § 1er LCA, soit des plaintes recevables dès lors que conformément à l’article 60 alinéa 2 LCA, ces plaintes sont rédigées dans l'une des langues nationales, contiennent un exposé des faits et les indications nécessaires pour identifier le traitement de données à caractère personnel sur lequel elles portent et relèvent de la compétence de l'Autorité de protection des données.
Des traitements de données sont opérés dans de multiples secteurs d’activité, notamment dans le cadre des relations de travail contractuelles et post-contractuelles comme dans le cas d’espèce. Il n’en demeure pas moins que la compétence de l’Autorité de protection des données en général, et de la Chambre Contentieuse en particulier, est limitée au contrôle du respect de la règlementation applicable aux traitements de données, quel que soit le secteur d’activité dans lequel ces traitements de données interviennent. Son rôle n’est pas de se substituer aux juridictions du travail dans l’exercice des compétences qui sont les leurs en matière de droit du travail notamment. 
L’article 2 § 1 du RGPD définit le champ d’application matériel du RGPD comme suit: 
« Le présent règlement s’applique au traitement de données à caractère personnel automatisé en tout ou en partie, ainsi qu’au traitement non  automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». 
Quant à la communication d’informations par le second défendeur au premier défendeur (volet 1 de la plainte), les défendeurs indiquent tous deux aux termes de leurs conclusions que cet échange d’information a bien eu lieu mais uniquement de manière orale. 
Dans ses conclusions, le premier défendeur précise à cet égard  :
«  Avoir en effet eu un contact avec l’employeur suivant du plaignant qui mettra un terme à son contrat de travail quelques mois plus tard le 6 avril 2018 (cette information, relève du dossier de la présente procédure). 
Visiblement, les relations professionnelles entre le plaignant et son nouvel employeur sont conflictuelles comme le plaignant l’explique dans sa plainte en l’espèce. 
6
La démarche du premier défendeur, dans sa relation avec le deuxième défendeur, était essentiellement de comprendre la manière la plus optimale de réagir face aux plaintes du plaignant. (…) ». 
Aux termes de ses conclusions, le premier défendeur certifie qu’il n’a cependant eu accès à aucun jugement  « puisque le jugement du … dont il est fait mention dans le courrier du 14 juin 2018 n’est même pas une donnée correcte dès lors que le plaignant affirme, dans sa plainte, que son jugement a été rendu le …, ce qui rend d’ailleurs plus malaisé une transmission de ce jugement entre les deux sociétés en cause, le même jour que celui de son prononcé par le tribunal d’une part, et de la rédaction, et l’envoi du courrier recommandé du 14 juin 2018 par le premier défendeur d’autre part ! ».   
Quant au second défendeur, il précise aux termes de ses conclusions dans le même sens  : 
Traduction 
« 1.26. (…) En juin 2018,  la Deputy Executive Director du second défendeur, a été contactée par le précédent employeur du plaignant. Celui-ci lui a demandé quelles étaient ses expériences avec le plaignant. De bonne foi et de manière assez informelle, le second défendeur a dépeint de manière générale ses expériences avec le plaignant. Et a notamment fait savoir que le contrat de travail avec le plaignant avait pris fin et qu’ils avaient dû engager une procédure en référé afin de pouvoir récupérer auprès du plaignant certaines propriétés de l'entreprise. Aucune information écrite n'a été fournie, et encore moins a fortiori la décision (!)." 
Plus loin au point 3.2. de ses conclusions, le second défendeur conclut que:
Traduction 
"Tout d'abord, il ne s'agit pas dans ce cas d'un traitement automatisé de données à caractère personnel ou d'un traitement non-automatisé de données à caractère personnel qui sont reprises dans un fichier. En effet, le second défendeur a uniquement communiqué verbalement et par téléphone des informations générales à l'ancien employeur du plaignant, à la demande de ce dernier. Dès lors, (…) et le Règlement général sur la protection des données ne sont, à titre principal, pas d’application”. 
7
Il ne résulte par ailleurs pas des pièces du dossier déposées par le plaignant que cette communication aurait eu lieu de manière automatisée par le second défendeur. 
En conclusion, la communication par le second défendeur de l’information selon laquelle le plaignant avait fait l’objet d’une condamnation par les cours et tribunaux n’est pas constitutive, dans le chef du second défendeur, d’un traitement automatisé de données ni d’un traitement manuel de données appelées à figurer dans un fichier au sens de l’article 2 du RGPD. 
La Chambre Contentieuse de l’Autorité de protection des données n’est donc pas compétente à l’égard de ces faits. La plainte dans son volet dirigé à l’encontre du second défendeur est non-fondée.
V. Sur les motifs de la décision 
Sur le manquement à l’obligation de licéité par le premier défendeur (volet 2 de la plainte)
En sa qualité de responsable de traitement, le premier défendeur est tenu de respecter les principes de protection des données et doit être en mesure de démontrer que ceux-ci sont respectés (principe de responsabilité – article 5.2. du RGPD) et de mettre en œuvre toutes les mesures nécessaires à cet effet (article 24 du RGPD).
En application de l’article 5 § 1 a) du RGPD, tout traitement de données à caractère personnel, fut-il totalement ou partiellement automatisé, doit notamment être loyal et licite. Pour être licite, tout traitement de donnée à caractère personnel doit notamment trouver un fondement à l’article 6 du RGPD. Il appartient au responsable de traitement de déterminer quel est ce fondement. 
En l’espèce, la collecte d’informations auprès du second défendeur et la communication par courrier du 14 juin 2018 du premier défendeur au syndicat de l’information des difficultés rencontrées dans  la relation de travail avec le plaignant ainsi que l’information selon laquelle le plaignant a fait l’objet d’une décision judiciaire sont des traitements de données à caractère personnel soumis à l’application du RGPD. Ils doivent s’appuyer sur l’une des base de licéité listées à l’article 6 du RGPD. 
Quant à la nature des données traitées, la Chambre Contentieuse rappelle que l’article 10 du RGPD concerne le traitement des seules données personnelles liées aux condamnations pénales et aux infractions ou aux mesure de sûreté connexe.  L’article 10 du RGPD ne peut être étendu aux sanctions administratives ou jugements civils. Le champ d’application de cette disposition est réduit et la marge
8
de manœuvre contenue dans la Directive 95/46/CE relative à la protection des personnes physiques
à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (article 8 § 5 alinéa 2) pour élargir la notion de « données judiciaires » n’existe plus. 
L’information selon laquelle le plaignant a été condamné par décision du Tribunal de première instance de Bruxelles ne constitue donc pas une donnée « judiciaire » au sens de l’article 10 du RGPD. Il n’en demeure pas moins que par nature, les informations relatives à des condamnations en justice telle que des données judiciaires à caractère civil comme en l’espèce, revêtent une sensibilité certaine. 
L’inexactitude de cette donnée (soit la date du jugement mentionnée au premier défendeur par le second défendeur, laquelle n’était pas la date exacte du jugement) ne lui fait cependant pas perdre sa qualification de donnée à caractère personnel. L’objet du jugement et le contexte dans lequel il s’inscrit sont autant de données à caractère personnel relatives au plaignant fut-ce la date du jugement inexacte. Cette même inexactitude, fut-elle imputable au second défendeur et non au premier défendeur, n’est pas non plus de nature à supprimer la matérialité des faits comme l’invoque le premier défendeur. 
Quant à licéité du traitement (article 5 § 1 a) du RGPD), le premier défendeur indique qu’il se fonde sur l’article 6 § 1 f) du RGPD aux termes duquel le traitement de données est licite « si, et dans la
mesure où, il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ».
Le premier défendeur expose que dans le contexte litigieux existant entre lui-même et le syndicat du plaignant, eu égard aux menaces d’enclencher une action en justice à son encontre formulées par le syndicat et compte tenu de la nécessité de faire valoir sa défense, le premier défendeur a recueilli et communiqué l’information litigieuse au syndicat. 
 
Le plaignant estime quant à lui qu’aucun motif ne permet de légitimer la prise de contact opérée par les défendeurs entre – eux, en particulier par le premier défendeur auprès du second défendeur, ni la communication des informations le concernant à son organisation syndicale.   
La Chambre Contentieuse relève que le point f) de l’article 6 du RGPD renvoie à un intérêt légitime poursuivi par le responsable du traitement (a). Le traitement des données à caractère personnel doit être «nécessaire à la réalisation de l’intérêt légitime»  poursuivi par le responsable du traitement (b).
9
Enfin, le recours à l’intérêt légitime est expressément subordonné à un critère supplémentaire de mise en balance, qui vise à protéger l’intérêt et les droits et libertés fondamentaux des personnes concernées. En d’autres termes, l’intérêt légitime poursuivi par le responsable du traitement doit être comparé avec l’intérêt ou les droits et libertés fondamentaux de la personne concernée, l’objectif de la mise en balance étant de prévenir une incidence disproportionnée sur ces droits et libertés. L’intérêt poursuivi par le responsable de traitement, fut-il légitime et nécessaire, ne peut valablement être invoqué que si les droits et libertés fondamentaux des personnes concernées ne prévalent pas sur cet intérêt. La Cour de Justice de l’Union européenne a précisé que ces trois conditions – soit la poursuite d’un intérêt légitime par le responsable de traitement (a), la nécessité du traitement  pour la réalisation de l’intérêt légitime poursuivi (b) et la condition que les droits et libertés fondamentaux des personnes concernées ne prévalent pas sur l’intérêt poursuivi (c), sont cumulatives . 
Si c’est au responsable du traitement des données qu’il revient initialement d’apprécier si les conditions énoncées à l’article 6 § 1 (en ce compris donc le litera f)) du RGPD sont satisfaites, la légitimité du traitement peut ensuite faire l’objet d’une autre évaluation, et éventuellement être contestée, entre autres par les personnes concernées et par les autorités chargées du contrôle de la protection des données. Un examen au cas par cas, tenant compte des circonstances concrètes de chaque plainte, permettra ainsi à la Chambre Contentieuse de l’APD de conclure quant à la licité de traitements fondés sur la base de l’intérêt légitime invoqué, comme en l’espèce, par le responsable de traitement. 
Le traitement des données à caractère personnel doit être «nécessaire à la réalisation de l’intérêt légitime»  poursuivi par le responsable du traitement. Cette condition de nécessité entre le traitement opéré et l’intérêt légitime poursuivi est particulièrement pertinente dans le cas de l’article 6 § 1 f) du RGPD afin de garantir que le traitement des données fondé sur l’intérêt légitime ne débouche pas sur une interprétation trop large de l’intérêt à traiter des données. 
Dans ce contexte, la Chambre Contentieuse est d’avis que l’utilisation de moyens de défense s’appuyant sur des données résultant d’une collecte directe de données auprès de la personne concernée doit, pour satisfaire le principe de loyauté, être privilégiée.
Le premier défendeur invoque pour intérêt légitime sa défense à l’égard des griefs qui lui étaient opposés par l’organisation syndicale représentant le plaignant. La Chambre Contentieuse estime qu’en l’espèce, cette défense participe de  la « défense  en justice », soit d’un droit fondamental consacré à l’article 48 de la Charte des droits fondamentaux de l’Union. De manière générale, la « défense en
10
justice » peut effectivement être considérée comme un intérêt légitime licite dans le contexte de l’application de l’article 6 § 1 f) du RGPD.  Conformément à l’Avis 06/2014 du Groupe de l’Article 29 sur la notion d’intérêt légitime  , cet intérêt doit être réel et présent, soit non hypothétique. 
La Chambre Contentieuse constate que cet intérêt constituait au moment des faits un intérêt légitime réel et présent. En effet,  lors de  la prise de contact entre le premier défendeur et le second défendeur en juin 2018, le premier défendeur s’était vu adresser plusieurs courriers déjà depuis avril 2018, notamment le courrier du 23 mai 2018  de la part du syndicat le mettant en cause comme cela a été relaté ci-dessus dans l’exposé des faits. 
Néanmoins, pour que cet intérêt légitime de « défense en justice » du premier défendeur prévale, le traitement des données doit être «nécessaire» et «proportionné» à l’exercice de cette défense en justice. Il serait excessif et contraire à ces exigences de nécessité et de proportionnalité d’admettre que tous les précédents employeurs d’un employé puissent, de par cette qualité, échanger toute information relative à un employé, fut-ce pour des besoins de défense en justice.   
A cet égard, la Chambre Contentieuse, sur la base des pièces du dossier, constate que le premier défendeur a licencié le plaignant et formulé les motifs de ce licenciement avant tout échange avec le second défendeur.  Dans sa lettre du 14 juin 2018 au syndicat, le premier défendeur écrit avoir notifié les motifs de licenciement du plaignant à ce dernier en date du 21 décembre 2018. Ledit courrier du
21 décembre 2018 est par ailleurs produit. Lors de son audition, le plaignant a indiqué que son C4 (certificat de chômage) transmis à l’Office National de l’Emploi (ONEM) avait lui aussi été rédigé avant cette prise de contact. 
En d’autres termes, les motifs du licenciement du plaignant dont le premier défendeur pouvait légitimement se prévaloir à l’égard du syndicat sont indépendants  et antérieurs à toute information que le second défendeur a pu ou aurait pu apporter. En effet, c’est au moment du licenciement, de l’information du plaignant quant à ses motifs ainsi que de l’établissement du C4 qu’il appartenait au premier défendeur d’identifier les motifs du licenciement. Et c’est au regard de ceux-ci que le premier défendeur pouvait légitimement se défendre, le syndicat qualifiant le licenciement intervenu de manifestement déraisonnable.
11
La « défense en justice » ne peut légitimer la collecte et d’autres traitements subséquents tels la diffusion ou la communication à des tiers de toute donnée relative à la personne concernée. Ces traitements de données doivent, pour être nécessaires et proportionnés, s’inscrire de manière pertinente et proportionnée dans la finalité précisément identifiée de cet intérêt légitime, soit sa défense en justice à l’égard du litige concerné. 
En l’espèce, les informations traitées par le premier défendeur  sont en réalité venues compléter les moyens de défense dont disposait déjà le premier défendeur à l’égard du licenciement du plaignant et ce, sans avoir de lien de pertinence avec celui-ci. Les motifs de licenciement sur lesquels le premier défendeur s’était appuyé pour licencier le plaignant et délivrer son C4 étant au cœur du litige avec le syndicat, d’autres données personnelles étrangères à ces motifs étaient sans pertinence, et a fortiori non nécessaires en l’espèce, pour sa défense sur cet aspect vis-à-vis du syndicat. 
 
La Chambre Contentieuse conclut au regard de ce qui précède que le premier défendeur ne pouvait fonder les traitements de données visés par la plainte sur son intérêt légitime à défaut  pour ces traitements d’être nécessaires et proportionnés au sens de l’article 6 § 1 f) du RGPD.  En l’absence de base de licéité, la Chambre Contentieuse conclut que l’article 5 § 1 a) du RGPD combiné à l’article 6 du RGPD n’ont pas été respectés en l’espèce. 
La Chambre Contentieuse constate également que le premier défendeur n’a pas respecté le principe de loyauté également consacré à l’article 5 § 1 a) du RGPD en traitant des informations disproportionnées et non pertinentes - puisque, comme exposé ci-dessus, sans lien avec les motifs sur lesquels elle avait fondé le licenciement du plaignant - obtenues auprès de tiers à l’insu délibéré du plaignant. 
VI. Sur les mesures correctrices et les sanctions
Aux termes de l’article 100 LCA, la Chambre Contentieuse a le pouvoir de : 
1° classer la plainte sans suite ; 
2° ordonner le non-lieu ; 
3° prononcer une suspension du prononcé ; 
4°  proposer une transaction ; 
5° formuler des avertissements ou des réprimandes ; 
6° ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits;
7° ordonner que l'intéressé soit informé du problème de sécurité;
8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement;
9° ordonner une mise en conformité du traitement;
10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données;
12
11° ordonner le retrait de l'agréation des organismes de certification;
12° donner des astreintes;
13° donner des amendes administratives;
14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international;
15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier;
16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données. 
Les principes de licéité et de loyauté consacrés à l’article 5 § 1 a) du RGPD sont des principes fondateurs de l’encadrement de la protection des données. Leur respect est essentiel. L’exigence d’une base de licéité - laquelle fait défaut en l’espèce - en fait partie. 
Quant à la nature des données à caractère personnel traitées, la Chambre Contentieuse a déjà rappelé qu’il y a notamment eu traitement de données judiciaires à caractère civil. Ces données ne sont pas visées par l’article 10 du RGPD mais elles n’en revêtent pas moins une sensibilité certaine. 
Quant à la manière dont les données à caractère personnel ont été  traitées, la Chambre Contentieuse constate que les données litigieuses ont été initialement collectées oralement et rendues accessibles par un courrier unique, à un destinataire unique, le syndicat, lequel représentait le plaignant lui-même. La Chambre Contentieuse relève également que le personnel du syndicat est, outre le fait que le syndicat est lui-même tenu de respecter les obligations découlant du RGPD, soumis à une obligation de confidentialité propre.
La Chambre Contentieuse relève également la nature ponctuelle des dits traitements et l’absence de violation pertinente commise précédemment par le premier défendeur. 
En conclusion, au regard de l’ensemble des éléments développés ci-dessus propres à cette affaire, la Chambre Contentieuse estime que les faits constatés et le manquement aux articles 5 § 1 a) et 6 du
RGPD, justifient qu’au titre de sanction effective, proportionnée et dissuasive telle que prévue à l’article 83 du RGPD une réprimande (article 100 § 1er, 5° LCA) soit prononcée à l’encontre du premier défendeur.
Compte tenu de l'importance de la transparence en ce qui concerne le processus décisionnel et les  décisions de la Chambre Contentieuse, cette décision sera publiée sur le site Internet de l'Autorité de protection des données moyennant la suppression des données d’identification directe des parties et des personnes citées, qu’elles soient physiques ou morales. 
13
PAR CES MOTIFS,
La Chambre Contentieuse de l'Autorité de protection des données décide, après délibération : 
- de déclarer la plainte non-fondée à l’égard du second défendeur ;
- de prononcer à l’encontre du premier défendeur une réprimande sur la base de l’article 100 § 1er, 5° LCA ; 
En vertu de l’article 108, § 1 LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des marchés dans un délai de 30 jours à compter de sa notification, avec l'Autorité de protection des données en tant que défenderesse.
 
Hielke Hijmans
Président de la Chambre Contentieuse
14


</pre>
</pre>

Revision as of 16:18, 14 May 2020

APD/GBA - DOS-2019-05450
LogoBE.png
Authority: APD/GBA (Belgium)
Jurisdiction: Belgium
Relevant Law: Article 15 GDPR
Type: Complaint
Outcome: Upheld
Started:
Decided:
Published:
Fine: None
Parties: n/a
National Case Number/Name: DOS-2019-05450
European Case Law Identifier: n/a
Appeal: n/a
Original Language(s): French
Original Source: APD/GBA (in FR)
Initial Contributor: n/a

TO BE COMPLETED.

English Summary

Facts

The complainants are clients of the defendant, a bank. In September 2019, the complainants made an access request to the bank’s controller. More precisely, they both sent a letter through their counsel, requesting “a copy of all the personal data you hold as well as any additional information you have against them asking”. In response, the Defendant asked them to provide for their ID card and to specify which right they wanted to exercise. As the complainant found that the question was self-explanatory, they did not answer and lodged directly a complaint with the DPA in October 2019. The complainants argued that the Defendant should not have made the exercise of their access right conditional on either a clarification of the right at stake nor the sending of on a copy of the complainants' identity card. The Defendant mainly argued that the data protection authority was not competent because the banking sector is not subject to data protection act.


Dispute

The authority has to discuss on the interplay between the GDPR and the specific legal framework applicable to the banking sector.

Holding

The authority ruled that the data subject who exercised their access right are not required to identify the applicable and relevant legal framework as long as the authority can assist them and ensure a clear understanding of the potential violation which is under its jurisdiction. Thus, if necessary the authority can change the legal basis. The authority also ruled that the request for exercise of a GDPR right, such as the access right, implies that the authority exercise on the basis of objective law and does not concern only the subjective rights of the parties.


Comment

Further Resources

Share blogs or news articles here!

English Machine Translation of the Decision

The decision below is a machine translation of the French original. Please refer to the French original for more details.