search Rechercher
Ulys logo
menu MENU

Cabinet d’avocats à Bruxelles et Paris
Leader en droit de l’innovation depuis 30 ans

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Accueil keyboard_arrow_right Actualités keyboard_arrow_right Detail

L’autorité de protection des données souhaite contourner la Cour des marchés qu’elle trouve trop sévère à son égard

Publié le par 10 vues

Récemment, le journal Le Soir interviewait longuement deux directeurs de l’autorité belge de protection des données (APD), pour faire le bilan après les nombreux dysfonctionnements qui ont affecté l’autorité dans le passé. Bonnes nouvelles : l’ambiance est bonne, la collégialité est de retour, il y a une stratégie, l’indépendance est préservée. L’autorité se dit par…

Récemment, le journal Le Soir interviewait longuement deux directeurs de l’autorité belge de protection des données (APD), pour faire le bilan après les nombreux dysfonctionnements qui ont affecté l’autorité dans le passé. Bonnes nouvelles : l’ambiance est bonne, la collégialité est de retour, il y a une stratégie, l’indépendance est préservée. L’autorité se dit par contre mécontente de la jurisprudence de la Cour des marchés : la Cour serait trop protectrice des entreprises et considérerait la protection des données comme un luxe. L’APD envisage de recourir à l’action pénale pour contourner ce problème et être plus efficace.

L’autorité de protection des données (APD) est enfin sur de bons rails

L’article revient d’abord sur la crise traversée par l’APD à partir de 2020 : accusations d’influence politique, conflits internes, révélations de lanceuses d’alerte, départs forcés et condamnations judiciaires de l’État belge liées à la gestion de l’institution. Il rappelle également le retour au sein du comité de direction de la lanceuse d’alerte qui avait, à juste titre, secoué le cocotier à l’époque.

Un premier thème important est celui du changement de gouvernance. Les dirigeants actuels mettent en avant une culture de la collégialité et de la concertation, en opposition avec la période antérieure décrite comme conflictuelle et centralisée. L’APD insiste sur le fait que les décisions ne sont plus prises de manière isolée par chaque directeur et que les désaccords internes sont désormais traités par la discussion.

L’article aborde ensuite la nouvelle stratégie de contrôle de l’APD. L’autorité explique vouloir concentrer ses ressources sur les traitements de données ayant le plus d’impact collectif : grandes plateformes numériques, courtiers en données (« data brokers »), profilage massif, biométrie, dossiers médicaux ou traitements visant les mineurs. L’APD indique ainsi qu’elle souhaite moins se focaliser sur les litiges individuels et davantage sur les traitements de masse susceptibles d’affecter un grand nombre de personnes.

La question de l’indépendance institutionnelle constitue un autre axe central. Les responsables de l’APD affirment que l’autorité agit désormais de manière pleinement indépendante, y compris lorsqu’elle rend des avis critiques à l’égard du gouvernement. Ils expliquent que, par le passé, certains avis auraient été édulcorés sous l’influence de membres externes, alors qu’aujourd’hui l’APD revendique une parole plus directe et plus ferme.

L’article évoque également les relations entre l’APD et le pouvoir politique. Les dirigeants soulignent que l’autorité est davantage consultée qu’auparavant, notamment par le Parlement et par la ministre du Numérique Vanessa Matz. Ils mentionnent plusieurs projets législatifs sensibles, comme les systèmes de vérification d’âge sur les réseaux sociaux ou la fin de l’anonymat en ligne. Sur ces sujets, l’APD indique comprendre certains objectifs politiques, notamment la lutte contre le cyberharcèlement, tout en annonçant une vigilance particulière quant aux atteintes potentielles à la vie privée.

Le texte souligne ensuite l’augmentation importante du nombre de plaintes et de demandes d’avis adressées à l’APD, présentée comme le signe d’une sensibilisation croissante aux questions de protection des données. Les dirigeants insistent toutefois sur le manque de moyens humains et budgétaires par rapport à d’autres autorités européennes comparables.

L’article traite ensuite des évolutions européennes, notamment du projet « Omnibus » visant à simplifier certaines obligations réglementaires, y compris dans le RGPD. L’APD adopte une position nuancée : elle accepte l’idée d’une simplification proportionnée pour les petites structures, mais s’oppose fermement à toute remise en cause de notions fondamentales comme la définition des données personnelles ou l’élargissement des possibilités de traitement à des fins de recherche. Les dirigeants dénoncent explicitement l’influence des grandes plateformes technologiques américaines (« GAFAM ») dans ces débats européens.

L’article aborde également le risque de fragmentation réglementaire dans l’application du RGPD et de l’AI Act. L’APD critique particulièrement le choix envisagé par le gouvernement fédéral de confier à l’Institut belge des services postaux et des télécommunications (IBPT) certaines compétences de contrôle sur les systèmes d’intelligence artificielle à haut risque. Selon l’APD, cela pourrait conduire à des décisions contradictoires entre autorités, par exemple en matière de biométrie, et créer une insécurité juridique importante pour les entreprises.

Enfin, l’article se termine sur la question de la Vlaamse Toezichtcommissie (VTC), présentée comme une forme d’« APD flamande ». Les dirigeants de l’APD dénoncent l’absence de coordination entre cette structure et l’autorité fédérale, craignant des divergences de règles entre Régions et un accroissement supplémentaire de l’insécurité juridique.

Jusque-là, on ne peut que se réjouir : la protection des données à caractère personnel est un sujet important pour « l’économie des data » dans laquelle nous vivons, et un régulateur qui « tourne bien » est un must.

L’autorité est mécontente de la manière dont la Cour des marchés exerce son contrôle juridictionnel, et souhaite la contourner

Le dernier sujet abordé est par contre beaucoup plus interpellant. Il y est question, en substance, de la Cour des marchés, que l’APD trouve trop sévère à son égard, qui considérerait la protection des données comme un luxe et protégerait trop les entreprises.

C’est quoi la Cour des marchés ?

L’article 78 RGPD, intitulé « droit à un recours juridictionnel effectif contre une autorité de contrôle » pose notamment les principes suivants :

  1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.
  2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77.

Le point 1) ci-dessus est central :

  • Lorsqu’une autorité de contrôle prend une décision, toute personne (physique ou morale) concernée par cette décision a le droit de former un recours juridictionnel ;
  • Ce recours doit être « effectif ».

Le droit au recours effectif est ouvert à la « personne concernée » au sens du RGPD, c’est-à-dire la personne dont les données sont traitées, mais aussi au responsable de traitement, au sous-traitant et de façon générale à toute personne physique ou morale qui intervient dans le traitement des données.

En Belgique, c’est la Cour des marchés qui été désignée pour exercer ce contrôle juridictionnel.

Il s’agit d’une chambre spéciale (bilingue) de la Cour d’appel de Bruxelles, qui est compétente non seulement pour l’APD, mais également pour toutes les autorités administratives de régulation dans le domaine de l’économie, des finances et des marchés. En substance, la Cour des marchés offre aux parties un recours effectif contre la plupart des décisions des régulateurs sensu lato.

L’idée du législateur est la suivante : plutôt que de confier les recours contre les décisions des régulateurs au Conseil d’État, en principe compétent pour tous les actes administratifs, il a créé une chambre spécialisée de la Cour d’appel en raison de la nature particulière des autorités de régulation qui sont certes des autorités administratives, relevant du pouvoir exécutif, mais dont l’intervention impacte l’économie au sens large (concurrence, protection des données, énergie, télécommunications, etc.). Il en résulte un mécanisme hybride qui n’est ni un appel ordinaire (principe de séparation des pouvoirs : le juge judiciaire ne statue pas « à la place » de l’autorité administrative comme un juge d’appel ordinaire le ferait à l’encontre de la décision attaquée), mais il en contrôle l’activité dans le cadre d’un recours de pleine juridiction (et contrôle ultérieur par la Cour de cassation s’il échet).

Une autorité peut-elle sérieusement avoir pour objectif de contourner la Cour des marchés ?

Nous reprenons in extenso la partie de l’interview consacrée à ce sujet :

« Mais là où le bât blesse, c’est en termes d’impact. La faute à la Cour des marchés, une chambre spécialisée de la Cour d’appel de Bruxelles qui, entre autres, traite les recours contre les décisions des régulateurs. « On nous demande de frapper fort, mais la Cour des marchés ne nous aide pas. C’est regrettable de voir que lorsque l’on inflige des amendes sévères, la Cour des marchés les réduit parfois à 1 euro. Ils soutiennent que c’est encore dissuasif, mais excusez-moi, 1 euro ou rien… » « La Cour des marchés, c’est le tribunal des entreprises », embraie Alexandra Jaspar. « Et on a le sentiment qu’elle considère que la protection des données est un luxe, un droit qui ne vaut pas la peine d’être défendu, que les entreprises ont d’autres problèmes à régler… »

« Nous allons donc utiliser d’autres instruments plus efficaces », annonce Koen Gorissen. « Plutôt que de passer par le civil, nous allons désormais passer, pour des cas spécifiques, par un tribunal pénal. On a déjà intenté une action directe devant une cour correctionnelle. On peut aussi envisager des transactions pénales, via le parquet. Pour nous, ce qui compte, c’est de mettre fin à un traitement problématique de données. »

Changement de stratégie radical, donc, pour l’APD qui, au passage, permet de contourner les recours interminables devant la Cour des marchés. Voire devant la Cour européenne de justice, comme les grandes plateformes ont coutume de faire. »

Ce passage de l’article appelle un certain nombre de commentaires.

1.

La Cour des marchés a en effet considéré, dans un dossier particulier, que l’amende était disproportionnée et elle l’a réduite à 1 euro. La question s’est posée de savoir si cette amende réduite conservait son caractère dissuasif. Il nous parait important de compléter l’information du public : cet arrêt a été soumis à la Cour de cassation qui a validé le raisonnement de la Cour des marchés, et il n’est donc pas une lubie incompréhensible d’un juge isolé.

2.

Au-delà de ce cas particulier, affirmer que la Cour des marchés est trop sévère à l’égard de l’autorité est une opinion, respectable, mais qu’on n’est pas obligé de partager.

La Cour a, dans plusieurs affaires importantes, pris des positions qui permettent d’affirmer qu’elle ne considère pas la protection des données comme un luxe, et qu’elle n’est pas spécialement protectrice des entreprises.

Certains arrêts se sont même montrés très cléments par rapport à des soucis de motivation, de transparence ou de légalité, probablement pour prendre en compte la nécessaire période d’apprentissage et de rodage de la chambre contentieuse de l’APD, créée en 2018, qui devait encore faire ses maladies de jeunesse. Des arrêts très favorables à l’APD sont régulièrement rendus, y compris en cassation, preuve que la jurisprudence n’est certainement pas à sens unique.

La Cour des marchés a également envoyé plusieurs dossiers à la Cour de justice de l’Union européenne, jouant pleinement le jeu de l’harmonisation de la jurisprudence.

Au final, la Cour des marchés est ce qu’elle est : un juge spécialisé qui applique le droit, et dont les décisions sont censurables par la Cour de cassation. Bref, un mécanisme judiciaire normal, avec des décisions en sens divers que l’on a le droit de critiquer mais qu’on se doit respecter dans un état de droit (surtout si l’on est soi-même une autorité publique).

3.

Cela nous amène à l’observation suivante.

Est-il acceptable qu’une autorité administrative, quelle qu’elle soit, mette en œuvre ses prérogatives pénales ? La réponse est affirmative : lorsque la loi prévoit une incrimination, il n’y a rien qui s’oppose sur le plan des principes à ce que l’affaire prenne une tournure pénale à l’initiative d’un plaignant, du parquet ou de l’APD.

La question qui se pose est tout autre.

Elle consiste à savoir s’il est acceptable qu’une autorité administrative, quelle qu’elle soit, mette en œuvre ses prérogatives pénales dans le but de contourner le recours juridictionnel ordinaire qu’elle estime lui être trop souvent défavorable ?

Le raisonnement pose question sur un plan démocratique : lorsqu’une autorité administrative émet publiquement un signal de défiance à l’égard des décisions du pouvoir judiciaire, on flirte allègrement avec une violation du sacro-saint principe de séparation des pouvoirs.

Le raisonnement pose question sur le plan constitutionnel. Il faut en effet s’inquiéter lorsqu’une autorité administrative met en œuvre une stratégie destinée, au bout du compte, à changer de juge (« puisque le juge naturel que la loi désigne me déplait, essayons le juge pénal »). L’enjeu est clair : le recours exercé contre la décision de la chambre contentieuse de l’APD va directement à la Cour des marchés, tandis qu’un recours exercé à l’encontre d’une décision pénale serait tranché, non par la Cour des marchés, mais par les chambres correctionnelles ordinaires de la Cour d’appel. Le résultat est atteint : on contourne le juge naturel prévu par la loi. Or, en principe, nul ne peut échapper au juge que la loi lui désigne. L’utilisation des prérogatives pénales spécifiquement dans ce but, pose problème.

Le raisonnement pose aussi question par rapport au RGPD.

L’article 51 RGPD prévoit la création, dans chaque État membre, d’une autorité indépendante chargée « de surveiller l’application du présent règlement (…) ». Il en découle un principe d’action : bien que le plaignant n’ait pas un droit subjectif à voir l’autorité enquêter et sanctionner, celle-ci doit néanmoins veiller à mettre en œuvre ses pouvoirs de manière effective (voir la jurisprudence de la CJUE). Quand l’APD annonce changer de stratégie pour privilégier désormais l’action pénale, cela revient en quelque sorte à démissionner : au lieu de trancher elle-même, elle laisse le juge pénal décider à sa place. Elle décide donc de ne pas exercer elle-même ses prérogatives légales, et sa décision est directement influencée pas la volonté de ne pas devoir en répondre devant la Cour des marchés.

4.

Passer par le pénal serait-il tellement plus efficace ?

Nous en doutons.

L’APD déposera-t-elle plainte ? Qui fera l’enquête : un juge d’instruction avec le soutien de la police ? Ni l’un ni l’autre n’est formé à la matière, sans compter qu’il agissent dans un cadre légal général qui n’a pas été conçu pour ce type d’enquête, à l’inverse du service d’inspection de l’APD qui a reçu des pouvoirs spécifiques. Il n’est pas certain qu’on y gagne en qualité, sans compter que l’enquête pourrait durer des années.

L’APD procèdera-t-elle sur citation directe en se basant sur l’enquête préalable de son service d’inspection ? Pas certain que ça passe aussi facilement : la (très controversée) obligation de collaboration qui pèse sur le responsable de traitement devant l’APD n’est pas aisément transposable dans l’univers pénal (voir à titre d’exemple la décision du Conseil constitutionnel du 8 août 2025 sur le « droit de se taire » devant la CNIL). Par ailleurs, le législateur a donné au service inspection des pouvoirs spécifiques très étendus, dans le cadre d’un équilibre global qui nous parait rompu s’il s’avère que l’objectif est de ne pas transmettre le dossier à la chambre contentieuse.

Enfin, le bon sens impose de s’interroger sur l’accueil qui sera réservé au dossier : pas certain que le ministère public, déjà saturé, soit ravi d’être ainsi instrumentalisé ; et que dire du juge correctionnel, tout aussi débordé, à qui on demandera de trancher une matière dont il n’est pas familier ?

5.

Dernière observation : la Cour des marchés exerce son contrôle juridictionnel non seulement à l’égard de l’APD, mais également l’égard de tous les régulateurs. À notre connaissance, il n’est jamais arrivé qu’un régulateur critique ainsi la Cour des marchés et encore moins qu’il envisage de modifier sa stratégie d’action pour l’éviter.

Il faut donc se demander si la Cour des marchés est plus sévère à l’égard de l’APD qu’à l’égard des autres régulateurs.

Il est malheureusement impossible de répondre à cette question, parce que la transparence est améliorable : l’APD a en effet, dans le passé (la pratique récente semble meilleure), sélectionné les arrêts publiés sur son site. Il y manque de nombreux arrêts qui circulent sans être sur le site de l’APD, et qui ont en commun d’être, comme par hasard, défavorables à l’autorité.

Pour pouvoir estimer la sévérité de la Cour des marchés à l’égard de l’APD, il faudrait donc, préalablement, disposer d’un recueil complet des décisions rendues.

L’APD réagit

Contactée avant publication du présent texte et invitée à le commenter, l’APD a tenu à préciser ce qui suit :

  1. Une réponse de l’interview a été incorrectement retranscrite par Le Soir. En effet, le Soir écrit dans son article « On peut aussi envisager des transactions pénales ». Notre Président n’a cependant pas parlé lors de l’interview de transactions pénales mais bien de transactions telles que prévues dans la loi portant création de l’APD. 
  2. La loi portant création de l’APD prévoit explicitement que nous puissions transmettre un dossier au parquet ;
  3. Le but de l’APD n’est donc pas de contourner la Cour des marchés, mais bien d’utiliser, en parallèle des moyens d’actions dont elle use actuellement, d’autres voies efficaces et dissuasives prévues par la loi, en particulier dans le cas des violations qui nous semblent les plus graves, afin de protéger les citoyens contre les comportements les plus dommageables.
  4. Enfin, nous tenons à indiquer que nous publions en principe, bien que nous n’y soyons pas tenus par la loi, tous les arrêts de la Cour des marchés. Ces arrêts demandent cependant un travail certain pour être anonymisés, ce qui provoque certes des retards dans la publication. Pour être les plus transparents possibles, nous indiquons également dans nos rapports annuels combien de décisions ont fait l’objet d’un recours, et combien de celles-ci sont annulées (voir à titre d’exemple la page 47 de notre rapport annuel 2024 : https://www.autoriteprotectiondonnees.be/publications/rapport-annuel-2024.pdf, le rapport annuel 2025 est en cours de préparation.)
Droit & Technologies

Publié dans

Thèmes
Tags ###

Auteurs

Etienne Wery

 Suivez-moi sur LinkedIn

Lui écrire Ses 1371 contributions

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK