Accesso

oppure

Dallo store:

La banca dati:

220 voci nel dizionario
3846 documenti
1102 temi
115 dossier

store
i prodotti

marketing

2025-11-27 · NEW: Appunta · Stampa · Cita: 'Doc 100597' · pdf

Belgio, 40.000 per marketing telefonico senza poter render conto del consenso

abstract:

L'azienda ha dichiarato di avere il consenso, ma non l'ha potuto provare. In area riservata i rilievi dell'autorità Belga. Chiaro il criterio per valutare l'assenza di libertà del consenso. Nell'area riservata riportiamo anche il reasoning dell'AI, di estremo interesse di studio.

Fonte: autoriteprotectiondonnees.be
Link: https://www.autoriteprotectiondonnees.be/citoyen/l

analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

....... ..... .....:

.........:

... .., ...'. .... .. ... ........ .... .. .... .... ... ....... .... .. ... ........ ... .... .. ...... ............ ..... .... ... ....... .... .. ... ........ ...'. ..... .... .... .. ... ........ ... ... ..... ... ....... .........

....., .'.. .... ....... ... ........ .... ".. ..... .. ................" (..... ... .........), "... .........." (..........), ".... ..... ... ............." (......... .............), ...., ....... ... ... .... ..... ... ....... ........ ... .........

....... .. ... ".. ..... .. ................" ......., .....'. . .... ..... ... ....... ........ ..... ........ ... ......., ..... "... .. . ..... ...., .. ....... ............ ...... ..'.. .'... ... ................. .. ....... ... ............. .. ........... .. ....... ............ ...... ... ............. ... ............... ....." ...., "... .. .. ... ...., .. ....... ............ ............. ... ........... .. .............. ... ....... ....................." ... ..... ..... ..... .... ... ........

...., ...'. ..... ... ".... .........." ......., ..... ........ "..... ........... .. .........." (........... .. .........) ... "...... .........." (..........). ..... "...... ..........", ... ....... .... ...... .... ".... .. ....., .. ................ ....... ... .. . ...... ... .............. ........ ................ ......... .. ........ ... .., ... ...... .. ............. ......................... .... .. ......... ....... .. ..... ........ ... .... ...... ... .............. .'....... (.......................... .......), .. ........ .. .............. ............, ... ..... ............ ...... ... .............. .. .. (.......................... ..)." .... ..... .... ....... ... .... ... ... .... .... .., .... .. .... ......./......., .... ... ... .... .... ..... .. .......?

...., ..... "...... .......... ... .......... ......................." (......... ........ ..........), ... ....... ...... .... ... ....... ... ..... .. .., ... .... ......... ... ......., ".. ................ ....... ... .. . ...... ... .............. ........ ................ ......... .. ........ ... .., ... ...... .. ............. ......................... .... .. ......... ....... .. ..... ........ ... .... ...... ... .............. .'....... (.......................... .......), .. ........ .. .............. ............, ... ..... ............ ...... ... .............. .. .. (.......................... ..)." .... .. .... .. ..... ........... .. ... .... ........ ... ...., ... ........... . ....... ....... ... ......... .......

...., .... ... ....... ............ .... .. ... .... .... .... ..... ...., ... ....... .... ".. ................ ... ... .. .... .. .............. .'... .... ............... ...... .... .. ... ... .............. ... ................. ................., ......... ... .. .... .. ..................... .......... ... ... .............. ... ...... ..... ........ .. .............. .. ............." .... .. .......... ..... ....... ....-........., ... ......... ... ..........

.... ..... ..... ... ....... ..... ......., ... ....... ...... .... ... .... ... ......., .. .. ... ... ... .. ........ ...., .... ... .... ... .... .. .... ..... ........ ......... ... .......... ....... ... .... ... ...... .......... ......... ... ..... ... .... ............ .. ..... ....... ...... .... . ....... ....... ... ..........

.. ... "........ ................... .. ............" (............ .. .......) ......., ... ....... ...... .... ... ....... ... ..... ....... ... .... ... ........ ... ... ....... ............ ...... .... ... ........ .....'. ...... ... .... .... ... ....... ....'. ..... ..........

.., ... .......'. .... ........ .... .. ..:

.... ... ... .... ... ......., .. .. ... ..... ... .. ......., ........ ... ......... ....'. .......

.... ..... .... ... .... .. ....... ...... ... .......... ....... ... .... ... ........ ...........

.... ..... .... ... ....... ... ..... ....... .... ........ .......... (.... ....... ....... .... .. .....).

... .... .. ..... ..... ...... ... .......... ......., .... ... .. ....... ..... ....... ..... ... ......... ......... .., ... .......'. ....... ...... ........ .......... ... ... ......... ...'. ........ .. ... ... ............ ...'. ......, ...... .... ....... ... ......... ....'. ......

........., ... .......'. ....... ......... ........ .. .......... ..... ....... (.... ........) ... .......... ... ......, ...... .... ......... . .... ....... .. ... ......... .......

---

........... ... .... ....... .. ..... .....:

........ .../.... ..... ...... ........... .......................... ..... ... .. .......... ... ....

........ ... ...... ... .. ........ ................... .. ...-....-..................:............. .. .... ......... . .... .. ......... ....... .. ..... .. ............ ......

... ...........

..... ........ .... ........ .......... ..... ........ .....) ...., . .... . .. ....

.. ........ ... ........... ... .... .........

........ .........

................... ........ ..... .......... ... .... (.... . ....)................ ... ................... ... .... ....................... ...... .... .. ...... .. ... ............... ........................ .................. ..., ... ...:

........ ............................(.... .....)
........... .. .......................(.... .....)
........... .. ............... ............(.... .....)
.......... .................... .................................. (.... .....)
......... ............... ......... .............. ...............(.... .....)
......... .................. ........ ... ........... (.... .....)

... .... .. .....,...................(.. .........) .. ........ .... .... ......... ......................(.... .....), .......... ... .. .......... ...... ............ .. ........... ... ...... .... ... ............... ................. .................... .. ....... ......... .......... (..).

......... ... ........ ...... (.... .... ....)

.............. .. ........ ... ......, .... ......:

............(... ............ . .......)
...............(........ . ............... ...... . ........)
...............(................... .... ......... ............... ... ........, ..............., .... ........, ....... .. ......)
.............(.............. ......, ... ........ . ...-.........)

..... ..... ...........(.... ... ....):

...... ................ ... .................(.......) .......... ... .. ........ ... ..... ........... .........

....... ... .... .........

........ ......?

.. ........ .................. .... ......... .. .. ........ ................(......... ... ..).
....... ............ ... ...., .. .. ........ ........................ ... .. ........ ... ............ .........., ... ........ .......
...........: .. ........ ... ... ......, ............. .. .......... ... ..... .............. .................(... ......... .. ......... ..... ....... .. ........ ..........).

........ .........?

.................. ........ .. .................... .... ... . .... ........ ............"................"........ .., .. ... ... ......... .................... . ...........(.... .......) .................. ........
... ... ........ ...........-.. ................. ...... ................
...........: .. ........ ... ... ......... ... .. ......... . .... .. ..........

........ .........?

.. ................... ... . ................... ....... ....... ........ . .... .....
.. .......... ........ .. .. ... ................................... .............
...........: .. ........ ... ... ........., ............. ....... .. ........... ........................ ........ . .... .......... ..... ................

........ .......?

.. .......... .. .. ... ...........-.........(.. ....... ...... ........ .......................... ..... ..... "..........").
....... .................... .. ...., ................ . ......................... ... ............. .........
...........: ... .. ... ....................... .............. ...............

..................... .. ....... (.... .. ....)

................ .. .................. .... .......... .. ............... ... .........
.. ........ ........ ......................... .. ...... ........ .. ........ ......, ..... ..... .........
.......... ............... .. ..........(....... ......................): .. ........ ............................ ................. .. .....

.........:

.......... .................... ........:
..... ..........(......... .. ..............)
... ..........(........ .. .... ......... ......)
.. ..........(........ .. ..... ... ........)

..... ........ .... ........ .......... ............... .. .... (....... ...............)

.. .......... .. ....... ..................... ... .... ..........(. ........ ....).
....... .. .......... .. ...................... ..... .......... ....... .....
...........:............. ............................... .., ............. .. ......... ........ ..... ............

.... ...... .......... . ........

...... ...... .......... (.... .... ....)

........ . ....... ..:

..................... . .... ......... ... . ..... ... .......... .......... ... .... ......... ...... (.... ....., ..., .. ....).
......... ..... . .................... .... ... .. .... ......... ........ ... ... ........ .. .....

........ .............. (.... .. ....):

.......:............ ............(......... .. .... .:
.............. ..... .......... (........... ........ .......... ... .....).
......... ..... .. ....... (......... ...... ... ....).
........... .......... (.............. ... ....................... . ............. ... .... ... ....).

...... ........... ..... ........

........ (.... .... ....)	...........
.............. . ......	..................... . ................(....-....) .. .. ......... ............ (..............).
...................../..........	.......... .....: ....... ... .. .......... .. ............... ... .........
......... .. ....	.... ... ........., .. ................... ............
............ ... .......................	..............(....... ...... .. ..............).
......... .........	..........: ....... .. ...... ........ ... .... .. .... ........ .............
...... .......... ........	..........: ............. ... .... ... .....

....... ..... ........:

......... ............(.... .... ....):................ ....................% ... ......... .............(.. ........).
..... .. ........:........% ... ...............(......... ......) ... .......... ...................... ......
........... .. .........:.......,.% ... ..... .. ................................ .......
.............:

+..... ............... ......... ......... .........
-...... ............... ............. ... ..... ..................: ...... .......

... ............. ..... .........

.. ......... ........... .......... ............. .......................... ..... ... .. .......... ... ....,............. .. ................. .. ......., ...:
...................... . ..........
....... .. ................ ..... ............. ........... (.... ..... ...).

....... ..... .......... .........

........ .......	...........	........
..... + ... ....	........... ........ ... ........ .. ........ .......	...... ...... + .............
.. ....	....... ............. ..... ................. .. .... (..............).	....... ..... ........
.. ....	(....... ..........) ......... .. ............. ............	-

...........

....... .. ....... . ........ ............ ............................ .... .................... .. ........ ......, ................... ............ ....................... .................. ..... .. ........ .............. ......................................., ........ . .........., ...... ..... ..... .............., ...... . ......... ...................

................. ........... .......................... ..... ... .. .......... ... ............ ........ ....

---

....... ... .... .........

........ ......?

.. ........ .................. .... ......... .. .. ........ ................(......... ... ..).
....... ............ ... ...., .. .. ........ ........................ ... .. ........ ... ............ .........., ... ........ .......
...........: .. ........ ... ... ......, ............. .. .......... ... ..... .............. .................(... ......... .. ......... ..... ....... .. ........ ..........).

........ .........?

.................. ........ .. .................... .... ... . .... ........ ............"................"........ .., .. ... ... ......... .................... . ...........(.... .......) .................. ........
... ... ........ ...........-.. ................. ...... ................
...........: .. ........ ... ... ......... ... .. ......... . .... .. ..........

........ .........?

.. ................... ... . ................... ....... ....... ........ . .... .....
.. .......... ........ .. .. ... ................................... .............
...........: .. ........ ... ... ........., ............. ....... .. ........... ........................ ........ . .... .......... ..... ................

........ .......?

.. .......... .. .. ... ...........-.........(.. ....... ...... ........ .......................... ..... ..... "..........").
....... .................... .. ...., ................ . ......................... ... ............. .........
...........: ... .. ... ....................... .............. ...............

..................... .. ....... (.... .. ....)

................ .. .................. .... .......... .. ............... ... .........
.. ........ ........ ......................... .. ...... ........ .. ........ ......, ..... ..... .........
.......... ............... .. ..........(....... ......................): .. ........ ............................ ................. .. .....

---

........... ........ .. ............. .. ....
........... .. ...... .... .. ....... ... ........ .. ...... .... .. ............. ... .... ....... ... .. ......... .. ...., ........ .. .. ......... .........., .. ... .. ......... ..... .. ........ ...... ..... ....... ............ ........... ...... ....... . ....... .. ......... .. ... ....... ....... .. ...... ..........

......... .. .... ... ......... ..... ........ ......
.... .... ........ ............. ........... ..... ... ..... ....... .. ................ .. ... ... ... ......., .. ........... ... ........ .... .. ....... ................. ......... ..... ................. .... ...... ........ . .... ..... . .... ..... ..... ........ .. ................ ....., ... . ... ..... .. ..... ........ ... ............. ... .... ........ ....... .. ... ............... ......... . .... ...... .. ......... ...........

........... .. ...... ...., ..................... ... .... .. ........ ... ......... . .... ......... ..... .... ... ........ ..... ....... ............ ........, .. ...... .......... .............. ....... ... .. ........, ... ...... ...... .. ..... ... ........... ........ ..... .......... ... .... (....), .... .......... ..... ... ..... .. ........... ...... ........ ...., ... ... ....., ......:

.........: .. ....... .... ...... ... ...... . .... .... . ............., ............... ..... ........ .. ........ .. .... .......... .. ........... ... ... ..... .. ...... ..... ......... ... . .... .... ......... ..... ................ .. ........ ...... ....... ...... ........ ..... .. ........... .. .......... ............... ... ... ...... .. ... ....... .. ........ .. ........, ............. ... ... . .......... ... ...... ....... ........ . ........ . .... .....
.......: .. ........ .... ...... .... .. .... ....... ... .......... ...... ........ ... ............... . ....... ....... ...-............ ....... ..............., .. ........ ... ........... .... ......... ... .... .... ........ ..... ....... ..... .......... ........, ... .. ............... ........ ...... .. ..... ....
.........: ............... ... ......... .. ........ ... ............... ....... ........ ......... .. ........ ........ ... .... ................ .. ....... .... ....... ..... .. .............. .. ........ .. ........ (. ....) ... ........ .. ..... .. ...... .... ........., ...... ........ ........ ........ ..... ......... ... .. ......... ... .... . .... .. ......... ........

.. ...... .......... .. ...... .......... ... .. .......... ... .. ........ .. ..... ... .... ... ..... ..... .........., . ... ....... ... ..... .......... ... .. ........... ..... ........ .. ........ (...........) .... ......... ... .... .....

............. ... .... . ............. .... ....... .......
.. ...... .......... ...... ........ . ....... ... ........ .. ...... .... ... .. ......... .. .... ... ... .. ......... ..... ........ .. .. ........ ....... ..... .............. ......................, .. ...... .......... .. ..... .. .............. .. ..... ..., ....... ......., .. ..... .... .. ......... ... ........ .......... .......... ... ...., . ... . .... .. ...... ..... .... .... ..... ...........

......., ...... ................. .. .......... . .... ......... ... . ..... ............... ... .......... .......... .. ........ .. ... .... ......... (.... .. ....... .. ........ ......) ... ........ .. ........... ... .....

......, .. ...... .......... ...... . ....... .. .......... .. ....... ....... ... ..... ........ ... .... .. ... . .. .........., .. .. ...., ...................... .. ............. ... ...., ., ................, ..... ... ................. .. .... ... ........ .. ... .. ...... .. .... ............

.. ..... ......... ..... ......... .......... .. .. ....... .. .. ...... ... .... ........

...... ......., ......... ..... ...... ..........: ......... ............... ... ............ ... .... (........... ..............) ......... ... . .... .. ... ....... ..... ........ .. .... ......... . .......... ... ... ........... .. ...... ... . ..... ...... ....... ... ........ ............... ......, .. ..... ... .... ... ........ ...... . .......... ... . .... .... ....... ........, . ..... ..... . .. .... ... ...... ....... ....... ... ........ ... .... ........., .... .. ......... ... .... ... ... .. ...... .. .. ........ ......... ..............

............ ... ....: ........................ ... .... ...... ...........
... ............ ... .... (. ........... .............. .. .......) .... ....... ... .......... .... ......... .. ..... ......., ........ ........., .. ........ . .. ......... . ..... ... .. .......... ... ....... .... .. ............... (... ........., ......., ....).

.. ..... ... . .... ........ . ......... ..... ............ ... .... ... ..... ............ ........ ............ ..... ....... ........... .......... ....... ................. .. ....... .. ..........., ...... .. ........... ........ ... ..... ...... ............ ... ..... ........ ....... ............. .. ....... ..... ... . .... .... ....... ........ ... ....... .......... . ...... ....... .. ....... .. .......... ... ...., .... .. ....... .. ....... .. ....... .. ........... ... ...... .... . .. ....... .. ..... .......... ...... .....

............ ............
......... .../....

...... .......... ........ .. ........... ......... ... ....., .............. .. ....... .............. . ...... .. .......... ...... . ........ .. ......... .... ....... ......... ... ... ......: ... .... ......., ... ....... (.... ....... ..........), ... ....... ........ (...... ...., ...... .......), ... ... ....... ....... ..... .... ....... ... .............

index:

Indice

....... ..... .....:
........ .../.... ..... ...... .........
.......:
... ...........
..... ........ .... ........ ..........
.. ........ ... ........... ... .... ...
........ .........
........ ...
........ ......................
.........
....... ......
......... ......
...... .........
......... .........
..
......... ... ........ ...... (.... ....
......
.........
.........
.......
..... ..... .....
........ ... ...........
....... ... .... .........
........ ......?
......... .... ......... .. .. ........
.......... ... .. ........ ... .........
..... ...........
........ .........?
......... .......
...-.. ........
...........
........ .........?
... ... . ..........
.......
... ..... ...............
........ .......?
...
........ . ......................... ...
.............. ......
..................... .. ....... (.... .
... .. ..........
.........
..........
.........
.......... .........
..... ....
... ....
.. ....
..... ........ .... ........ ..........
............. ... .... ....
.......... ..... .......... ....... ....
....... ..........
.... ...... .......... . ........
...... ...... .......... (.... .... ....
........ . ....... ..
..........
......... ..... . ...........
........ .............. (.... .. ....)
...... ......
...... ........... ..... ........
...........
.............. . ......
..... . ..........
...................../..........
.......... .....
......... .. ....
..... ...........
............ ... .......................
........
......... .........
..........
...... .......... ........
..........
....... ..... ........
.% ... ......... .......
.............. .....
...... ......
.............
+..... ......
......: ...... ......
... ............. ..... .........
....... .. ................. .. .......
...........
....... .. .......
....... ..... .......... .........
........
..... + ... ....
.. ....
.. ....
...........
............., ........ . ..........
.....
....... ... .... .........
........ ......?
......... .... ......... .. .. ........
.......... ... .. ........ ... .........
..... ...........
........ .........?
......... .......
...-.. ........
...........
........ .........?
... ... . ..........
.......
... ..... ...............
........ .......?
...
........ . ......................... ...
.............. ......
..................... .. ....... (.... .
... .. ..........
.........
..........
........... ........ .. ............. ..
......... .. .... ... ......... ..... ..
............. ... .... . ............. .

testo:

L’APD met un courtier en données à l’amende

L’APD a décidé aujourd’hui d’imposer une amende de 40.000 euros au courtier en données Infobel pour la revente de données, obtenues auprès d’un opérateur télécom, à des fins de marketing sans un consentement valable de la personne concernée. L’APD impose également à Infobel d’informer ses entreprises clientes de cette décision.

Revente de données à des fins de marketing sans consentement valable

Après avoir reçu des communications marketing dans sa boîte aux lettres de la part d’une entreprise dont il n’était pas client, le plaignant dans ce dossier a demandé à l’entreprise émettrice de la publicité comment celle-ci avait obtenu ses données. Les données avaient été obtenues d’une agence média, qui elle-même les avait reçues du courtier en données Infobel. Infobel s’était initialement procuré les données auprès d’un opérateur télécom.

Interrogé dans ce dossier, le courtier en données a indiqué qu’il revend(ait) des données personnelles sur la base du consentement des personnes concernées. La Chambre Contentieuse de l’APD rappelle cependant qu’un consentement, pour être valable au sens du Règlement Général sur la protection des données (RGPD), doit satisfaire à toute une série de conditions. Celui-ci doit, entre autres, être :

Informé : la personne doit savoir qui traite ses données et pourquoi afin de pouvoir consentir de manière éclairée au traitement de ses données. Or le plaignant n’avait nulle part été informé que ses données seraient commercialisées par Infobel. Ce manque d’information empêchait également au plaignant de contacter la société pour faire valoir son droit à retirer son consentement, étant donné qu’il n’était pas au courant que cette entreprise détenait et traitait ses données.
Univoque : le consentement doit être donné de manière active, il ne peut pas être supposé par défaut en cas d’inactivité ou de case pré-cochée. Or selon l’entreprise, le consentement du plaignant à la revente de ses données découlait de la lecture de conditions générales, et non pas d’une action positive claire de sa part.
Spécifique : l’entreprise qui sollicite le consentement pour diverses finalités spécifiques devrait prévoir un consentement distinct pour chaque finalité : la personne doit en effet avoir la liberté de consentir (ou non) pour chacune d’elles. Or aucun consentement distinct n’a été demandé dans le cas d’espèce pour la revente de données à des fins de marketing direct.

La Chambre Contentieuse a donc constaté que les conditions pour un consentement au sens du RGPD n’étaient pas réunies, et qu’Infobel n’a pas démontré que le plaignant avait consenti (valablement) à la revente de ses données.

Effacement des données et communication aux entreprises clientes

La Chambre Contentieuse impose donc à Infobel une amende de 40.000 euros pour la revente de données à des fins de marketing sans disposer d’un consentement valable. Dans le calcul de l’amende, la Chambre Contentieuse a pris en compte le fait que selon Infobel, la base de données en cause n’est plus utilisée depuis 2023, et que les données de cette base de données ont été supprimées.

De surcroit, elle impose à l’entreprise de supprimer les données personnelles pour lesquelles l’entreprise ne peut pas démontrer qu’elle dispose d’une base juridique (comme par exemple un consentement valable) permettant de traiter les données.

Enfin, la Chambre Contentieuse ordonne à Infobel de contacter les entreprises clientes qui ont reçu des données de sa part et de les informer, d’une part, de l’injonction d’effacement des données, et, d’autre part, de la non-conformité au RGPD du consentement sur lequel reposait leur traitement.

Les parties concernées par la décision disposent d’un délai de 30 jours pour faire appel.

Hielke Hijmans, directeur de la Chambre Contentieuse : « Les activités de courtiers en données (« data brokers ») impliquent que des données sur une personne sont obtenues de manière indirecte et transférées entre une multitude d’acteurs avec lesquels celle-ci n’est pas forcément liée, de sorte qu’elle n’est pas toujours au courant que ses données sont traitées, dans quel but, et par qui. C’est pourquoi nous avons imposé une amende dans le cas d’espèce, étant donné que la revente de données ne reposait pas sur un consentement informé valable. »

Courtiers en données : une activité qui doit être transparente

Les courtiers en données (ou data brokers en anglais) sont des entreprises qui collectent des données personnelles de sources variées, parfois indirectes, les traite et les revend à des tiers qui les utilisent pour différents types de finalités (ex : marketing, recherche, etc.).

Le fait que les données traitées et revendues par les courtiers en données ne sont généralement pas collectées directement auprès des personnes concernées peut poser des difficultés en termes de transparence, or la transparence est l’une des pierres angulaires du RGPD. C’est parce que les personnes sont informées que leurs données sont traitées qu’elles peuvent exercer leurs droits en matière de protection des données, comme par exemple le droit de s’opposer au traitement de ses données, ou le droit de les faire effacer.

Les courtiers en données doivent donc être particulièrement vigilants quant à l’information fournie aux personnes dont ils traitent des données. L’APD a déjà sanctionné des courtiers en données, notamment en 2021, 2024 et 2025.

Liens intéressants

Décision 199/2025

---

1/35
Chambre Contentieuse
Décisionquant au fond 199/2025 du 27 novembre 2025
Numéro de dossier : DOS-2025-01687
Objet : La vente de données à caractère personnel à des fins de marketing direct par un
courtier en données
La Chambre Contentieuse de l'Autorité de protection des données ;
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et
à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la
protection des données), ci-après le "RGPD" ;
Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après la
"LCA") ;
Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le
20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;
Vu les pièces du dossier ;
A pris la décision suivante concernant :
Le plaignant : X, ci-après "le plaignant"
Le défendeur : Infobel, dont le siège social est établi à la Chaussée de Saint-Job 506, 1180 Uccle,
et portant le numéro d'entreprise 0453.604.761, représenté par Me Marcel
Joachimowicz, ci-après "le défendeur"
Décision quant au fond 199/2025 — 2/35
I. Faits et procédure
1. Le 18 octobre 2023, le plaignant introduit une plainte auprès de l'Autorité de protection des
données contre Z1, Z2, Z3 et Infobel.
2. La plainte concerne le traitement des données à caractère personnel du plaignant par les
défendeurs, dans le but final de procéder à des envois de marketing direct par Z1 au
plaignant. Z1 a obtenu les données à caractère personnel en question via Z3, une agence de
médias spécialisée dans le marketing direct. Z3 avait à son tour obtenu ces données
d'Infobel (précédemment Kapitol), un courtier en données commerciales, qui avait
initialement obtenu les données de Z4 (précédemment Z4).
3. Le 25 octobre 2023, la plainte est déclarée recevable par le Service de Première Ligne sur
la base des articles 58 et 60 de la LCA et est transmise à la Chambre Contentieuse en vertu
de l'article 62, § 1er de la LCA.
4. Le 11 mars 2024, la Chambre Contentieuse décide, en vertu de l’article 95, § 1er, 1° et de
l’article 98 de la LCA, que le dossier peut être traité sur le fond.
5. Le 11 mars 2024, les parties concernées sont informées par envoi recommandé des
dispositions visées à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elles sont également
informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions.
6. Le 12 mars 2024, Infobel demande une modification de la langue de procédure pour passer
au français ainsi qu'un report des délais pour introduire les conclusions.
7. Le 18 mars 2024, Z1 manifeste le souhait de recourir à la possibilité d’être entendu,
conformément à l'article 98 de la LCA.
8. Le 25 mars 2024, Z3 demande également une modification de la langue de la procédure
pour passer au français ainsi qu'un report des délais pour introduire les conclusions.
9. Le 27 mars 2024, la Chambre Contentieuse propose aux parties que chacune rédige ses
conclusions dans sa propre langue. Chaque partie se charge alors elle-même de la traduction
des conclusions des autres parties. La décision finale de la Chambre Contentieuse sera
rédigée en français et en néerlandais. Par ailleurs, la Chambre Contentieuse décide de
prolonger les délais de deux semaines, car jusqu'à la date de ce courrier, la langue dans
laquelle les conclusions pouvaient être présentées pour chaque partie n'était pas claire.
10. Le 28 mars 2024, Z1 demande de prévoir des délais de conclusion distincts pour Z1 d'une
part et Infobel et Z3 d'autre part.
11. Le 3 avril 2024, Z3 se joint à la demande d'Z1 de prévoir des délais de conclusion distincts
pour chaque partie défenderesse.
Décision quant au fond 199/2025 — 3/35
12. Le 8 avril 2024, la Chambre Contentieuse estime qu'il n'est pas nécessaire de scinder les
délais de conclusion. Les parties défenderesses ont en effet la possibilité de réagir aux
conclusions des autres parties dans les conclusions de synthèse, ainsi que lors de l'audition.
Tenant compte de la transmission d'une copie du dossier aux défendeurs, la Chambre
Contentieuse adapte les délais une dernière fois.
13. Le 16 mai 2024, la Chambre Contentieuse reçoit les conclusions en réponse des parties
défenderesses.
14. Le 6 juin 2024, la Chambre Contentieuse reçoit les conclusions en réplique de la part du
plaignant.
15. Le 27 juin 2024, la Chambre Contentieuse reçoit les conclusions en duplique des parties
défenderesses.
16. Le 28 octobre 2024, les parties sont informées du fait que l'audition aura lieu le 28 novembre
2024. Afin de garantir le bon déroulement de l'audition, la Chambre Contentieuse demande
aux parties d'indiquer dans leur accusé de réception si elles acceptent une audition bilingue
en néerlandais et en français.
17. La Chambre Contentieuse n'ayant reçu aucune objection concernant une audition bilingue,
elle informe les parties le 19 novembre 2024 que l'audition se déroulera en deux langues et
sans interprète. La Chambre Contentieuse informe les parties que si elles souhaitent encore
faire objection, elles doivent le faire savoir au plus tard le 22 novembre 2024.
18. Le 26 novembre 2024, la Chambre Contentieuse informe les parties qu'en raison d'un cas
de force majeure, elle doit reporter l'audition au 17 décembre 2024.
19. Le 17 décembre 2024, les parties sont entendues par la Chambre Contentieuse.
20. Le 3 janvier 2025, le procès-verbal de l’audition est soumis aux parties.
21. Le 8 janvier 2025, la Chambre Contentieuse reçoit de la part d'Infobel quelques remarques
relatives au procès-verbal qu'elle décide de reprendre dans sa délibération.
22. Le 9 janvier 2025, la Chambre Contentieuse reçoit de la part de Z3 et Z1 quelques remarques
relatives au procès-verbal qu'elle décide de reprendre dans sa délibération.
23. Sur la base des pièces du dossier, la Chambre Contentieuse estime que Z4 est susceptible
d'être un tiers intéressé au sens de l'article 108, § 3, deuxième alinéa de la LCA, eu égard aux
infractions éventuelles commises par Infobel. Le 31 janvier 2025, Z4 est informée par envoi
recommandé des dispositions visées à l'article 95, § 2 ainsi qu'à l'article 98 de la LCA. Elle
est également informée, en vertu de l'article 98 de la LCA, de la possibilité d'intervenir dans
la procédure. La Chambre Contentieuse informe les autres parties qu'en cas d'intervention
éventuelle de Z4, elles auront la possibilité d'y répondre.
Décision quant au fond 199/2025 — 4/35
24. Le 26 février 2025, Z4 confirme son intervention en tant que tiers intéressé dans la
procédure.
25. Le 14 mars 2025, la Chambre Contentieuse reçoit les conclusions en réponse de la part de
Z4.
26. Le 18 mars 2025, la Chambre Contentieuse reçoit les conclusions en réplique de la part du
plaignant.
27. Le 31 mars 2025, Z3 signale ne pas vouloir répliquer.
28. Le 8 avril 2025, la Chambre Contentieuse reçoit les conclusions en duplique de la part
d'Infobel.
29. Le 9 avril 2025, la Chambre Contentieuse reçoit les conclusions en duplique de la part d'Z1.
30. Le 24 avril 2025, la Chambre Contentieuse décide de scinder le dossier en deux dossiers
distincts. Cette décision est motivée, d'une part, par la nécessité de garantir l'efficacité de la
procédure étant donné que plusieurs parties défenderesses sont impliquées et, d'autre part,
par l'existence de différences substantielles dans la nature des traitements de données
reprochés aux défendeurs respectifs. Alors que les traitements effectués par Z1 et Z3
s'inscrivent principalement dans le cadre du marketing direct, ceux effectués par Infobel
concernent le commerce de fichiers de données. La Chambre Contentieuse informe les
parties que la plainte du plaignant contre Z1, Z2 et Z3 sera poursuivie sous le numéro de
dossier DOS-2023-04302. La plainte du plaignant contre Infobel sera poursuivie sous le
numéro de dossier DOS-2025-01687.
31. Dans le dossier DOS-2023-04302, la Chambre Contentieuse rend la Décision 77/2025.
Cette décision est envoyée pour information à Infobel et Z4 le 29 avril 2025.
32. La présente décision concerne le dossier DOS-2025-01687, et vise uniquement Infobel.
33. Le 15 mai 2025, la Chambre Contentieuse décide d'entendre les parties d'office. Les parties
sont informées du fait que l'audition aura lieu le 25 juin 2025. Z4 est également invitée à
l'audition en tant que tiers intéressé.
34. Le 26 mai 2025, Infobel informe la Chambre Contentieuse qu'elle a introduit un recours
contre la Décision 77/2025 dans le dossier DOS-2023-04302. Infobel demande à la
Chambre Contentieuse de reporter l'audition dans le dossier DOS-2025-01687.
35. Le 4 juin 2025, la Chambre Contentieuse informe les parties que l'audition dans le dossier
DOS-2025-01687 ne sera pas reportée.
36. Le 25 juin 2025, les parties sont entendues par la Chambre Contentieuse.
37. Le 10 juillet 2025, le procès-verbal de l’audition est soumis aux parties.
Décision quant au fond 199/2025 — 5/35
38. Le 24 juillet 2025, la Chambre Contentieuse reçoit quelques remarques du défendeur
concernant le procès-verbal, qu'elle décide de reprendre dans sa délibération.
39. Le 26 septembre 2025, la Chambre Contentieuse a fait connaître au défendeur son
intention de procéder à l'imposition de sanctions, dont une amende administrative, ainsi que
le montant de celle-ci, afin de donner au défendeur l'occasion de se défendre avant que la
sanction soit effectivement infligée.
40. Le 13 octobre 2025, la Chambre Contentieuse reçoit la réaction du défendeur concernant
l'intention d'infliger des sanctions, dont une amende administrative, ainsi que le montant de
celle-ci.
II. Motivation
II.1. Vue d'ensemble
41. Avant d'examiner le respect des dispositions légales, le traitement des données est décrit
dans la partie II.2 de la présente décision, où sont également expliqués le rôle et la position
du tiers intéressé.
42. En ce qui concerne les infractions présumées, la Chambre Contentieuse examine le respect
des articles mentionnés dans la lettre de conclusion du 11 mars 2024. À cette date, la
Chambre Contentieuse a informé le défendeur que les violations potentielles des articles
suivants le concernaient : article 5.1.a) du RGPD j° l'article 6 du RGPD (obtention et revente
illicites de données à caractère personnel) ; article 24.1 du RGPD (contrôle de la licéité de
l'ensemble de données) ; article 17 du RGPD (non-exécution d'une demande d'effacement).
43. Les deux premières violations présumées sont traitées conjointement dans la partie II.3 de
la présente décision. L'article 24 du RGPD impose des obligations générales de
responsabilité et de conformité aux responsables du traitement pour le traitement de
données à caractère personnel1
. Il a une incidence directe sur l'appréciation d'autres articles,
notamment les articles 5.1.a) et 6.1 du RGPD, ce qui rend approprié, en l'espèce, d'apprécier
conjointement ces violations présumées.
44. La troisième violation présumée est traitée dans la partie II.4 de la présente décision.
II.2. Description du traitement
Explication du défendeur
1 Arrêt de la Cour de justice de l'Union européenne du 27 octobre 2022, Z4 NV contre Autorité de protection des données, C129/21, ECLI-EU:C:2022:833, point 81.
Décision quant au fond 199/2025 — 6/35
45. Les activités principales du défendeur consistent, d'une part, à offrir gratuitement un service
d'annuaire téléphonique et, d'autre part, à vendre des données à des fins de recherche
historique et statistique ou à des fins commerciales2
. Il affirme que les données à caractère
personnel constituent le cœur de ses activités commerciales3
.
46. Dans ce cadre, le défendeur a conclu plusieurs contrats avec Z4 (anciennement "Z4"), qui est
impliquée dans la présente procédure en tant que tiers intéressé.
47. Dans ses conclusions de synthèse, le défendeur fait référence aux contrats "(…) (2004)" et
"(…) (18 novembre 2013)". Il affirme que Z4 lui a accordé, par ces contrats, le droit d'accéder
à la base de données (…) de Z4 et de l'utiliser, notamment à des fins de marketing, dans les
limites et conditions prévues par les contrats en question4
. Le défendeur renvoie à l'article
2.a) du contrat (…), modifié par un avenant "(…)" du 18 juin 2018, qui définit la "base de
données (…)" comme suit :
"l’ensemble des noms, des numéros de téléphone et/ou numéros de fax et des
adresses des clients (personne physique ou morale) disposant d’un raccordement
téléphonique, en Belgique, auprès de Z4, et b) auprès d’opérateurs tiers dans le cas
où Z4 a prévu des accords appropriés tant avec ces opérateurs tiers qu’avec
l’Utilisateur. Dans tous les cas, à l’exclusion de : a) des numéros « Restrictel » ; b) des
numéros privés ; y inclus les Mises à jour des données …5
".
Le tiers intéressé, avec lequel ces contrats ont été conclus, conteste cette interprétation
des contrats (voir ci-dessous).
48. Le défendeur affirme dans ses conclusions de synthèse que Z4 a fourni le 3 mai 2006 les
données à caractère personnel suivantes du plaignant : prénom, nom, rue, numéro, code
postal, ville, date de création et source des données. Selon le défendeur, cela s'est produit
dans le cadre des contrats " (…)" de 2004 et "(…)" de 20136
. Dans sa réaction à l'intervention
du tiers intéressé, il précise que Z4 a fourni les données à caractère personnel du plaignant
dans le cadre des "Services Orders" de la modification N2 et 2/A "data Sales", et que ces
données n'ont été mises à jour que dans le cadre du contrat (…)7
.
2 Point 1.1 des conclusions de synthèse du défendeur. “Depuis près de 30 années, elle œuvre d’une part à offrir gratuitement
un service d’annuaire universel au citoyen belge, mais parallèlement et notamment afin de financer ce service universel et sa
propre existence, elle travaille à la mise à disposition de données à des fins d’enquêtes, historiques, statistiques, ou encore à
des fins commerciales.
Active dans tous les pays du monde, la concluante propose également de multiples solutions B2B dont une large gamme de
produits et de services qui permettent d’améliorer, d’acquérir ou d’utiliser des données à des fins de publication, marketing,
webvertising, etc.”
3 Point 1.2 des conclusions de synthèse du défendeur : “Consciente que la donnée à caractère personnel est le cœur de son
activité commerciale, elle en a fait le cœur de ses préoccupations quotidiennes.”
4 Point 1.4 des conclusions de synthèse du défendeur.
5 Point 1.4 des conclusions de synthèse du défendeur et pièce 6 du défendeur.
6 Point 3.1 des conclusions de synthèse du défendeur.
7 Point 3 de la réaction du défendeur à l'intervention du tiers intéressé.
Décision quant au fond 199/2025 — 7/35
49. Selon le défendeur, ces données ont été ajoutées à sa base de données marketing sur la
base du consentement que le plaignant aurait donné à Z4. En effet, lors de la souscription
d'un abonnement téléphonique, le plaignant aurait donné son consentement à l'utilisation
de ses données à des fins de marketing8
. Le plaignant conteste avoir donné son
consentement au traitement de ses données à caractère personnel par Infobel9
.
50. Le nom, le prénom et l'adresse du plaignant ont été vendus par le défendeur à une tierce
partie dans le cadre d'une campagne marketing par courrier postal10
.
51. Lors de l'audition du 25 juin 2025, le dpo d'Infobel déclare que la base de données
concernée n'est plus utilisée par Infobel depuis 2023. Cette décision a été prise sur la base
d'évolutions juridiques au sein de la Cour de justice de l'Union européenne qui ont soulevé
des doutes quant à la qualité du consentement. De plus, les données n'auraient plus présenté
d'intérêt commercial. Infobel affirme que les données ont été supprimées11
.
Explication du tiers intéressé (Z4) :
52. Le 31 janvier 2025, la Chambre Contentieuse a informé les parties que Z4 était un tiers
intéressé potentiel dont les intérêts pourraient subir un préjudice par la procédure quant au
fond (art. 108.3, deuxième alinéa de la LCA). Z4 a eu la possibilité d'intervenir, si elle le
souhaitait, dans la procédure devant la Chambre Contentieuse. Elle a confirmé son
intervention le 26 février 2025. La Chambre Contentieuse a reçu ses conclusions le
14 mars 2025.
53. Z4 est un opérateur de télécommunications. Dans le cadre de ses activités, elle avait
développé une base de données contenant tous les noms, numéros de téléphone et/ou de
fax et adresses de ses clients (personnes physiques ou morales) disposant d'une ligne
téléphonique et/ou de fax fixe.
54. Z4 (à l'époque Z4) et le défendeur (à l'époque Kapitol) avaient initialement conclu des
accords en vue de la création et de la publication d'annuaires téléphoniques par le
défendeur.
55. Selon Z4, le "contrat (…)" et le "contrat (…)" concernent des relations contractuelles
distinctes avec le défendeur. Toujours selon Z4, et contrairement à ce que prétend le
défendeur, ces contrats concernent uniquement la demande de données par le défendeur,
ce qui exige que la partie demandeuse (le défendeur) dispose déjà de certaines données12
.
Z4 fait remarquer que le défendeur affirme au paragraphe 1.6 de ses conclusions de
8 Point 1.6 des conclusions de synthèse du défendeur et lettre du défendeur au plaignant du 12 octobre 2022.
9 Conclusions du plaignant contre Infobel, page 1.
10 Point 1.5 (pages 5-6) des conclusions de synthèse du défendeur.
11 PV d’audition du 25 juin 2025, page 5.
12 Point 22 des conclusions du tiers intéressé.
Décision quant au fond 199/2025 — 8/35
synthèse qu'il a reçu les données à caractère personnel du plaignant sur la base du contrat
(…). Elle affirme toutefois, sur la base de ce qui précède, que le défendeur devait déjà traiter
à l'époque au moins un point de données concernant le plaignant13
.
56. Z4 note en outre que les données du plaignant datent de 2006. Elle renvoie aux lignes
directrices du WP29 d'avril 2018, et notamment à des passages tels que : "Il est important
que les responsables du traitement évaluent minutieusement les processus de travail et les
méthodes d'enregistrement existants avant le 25 mai 2018 afin de s'assurer que le
consentement est conforme à la norme du RGPD (voir considérant 171 du RGPD)". Selon Z4,
seul le défendeur avait la responsabilité d'évaluer si tout traitement des données à caractère
personnel du plaignant par Infobel à partir du 25 mai 2018 était conforme aux exigences du
RGPD14
.
57. Z4 affirme en outre que le défendeur ne peut pas invoquer le consentement donné par le
plaignant pour la publication de ses données dans des annuaires téléphoniques. Elle renvoie
à cet égard à l'arrêt Proximus rendu par la Cour de justice de l'Union européenne concernant
les annuaires téléphoniques, dans lequel la Cour a confirmé que le consentement donné
pour la publication de coordonnées dans des annuaires téléphoniques s'applique à tout
fournisseur d'annuaires téléphoniques, mais que personne ne peut invoquer un tel
consentement pour traiter ces coordonnées à d'autres fins. La Cour de justice a en effet jugé
ce qui suit :
"[...] si la partie qui a collecté ces données auprès de l'abonné ou un tiers quelconque
auquel elles ont été transmises souhaitent les exploiter à d'autres fins, ladite partie
ou ledit tiers devront obtenir une nouvelle fois le consentement de l'abonné."
15
58. Z4 affirme que "tout traitement par [le défendeur] suite à l'obtention de données à caractère
personnel en vertu du contrat (…) ou du contrat (…) […] doit reposer sur une base juridique
distincte, qu'il s'agisse d'un autre consentement (qui n'est plus lié à une finalité, mais qui
comporte l'identification du responsable du traitement) ou d'une autre base juridique […] 16".
Z4 affirme que, dans le cas présent, le défendeur "ne lui a jamais demandé d'obtenir un
quelconque consentement de ses clients (et encore moins de ses anciens clients) pour le
traitement par [le défendeur] de données à caractère personnel à des fins de marketing
direct17." (NdT : tous les passages cités dans la présente décision ont été traduits librement
par le Service traduction de l'Autorité de protection des données, en l’absence de traduction
officielle).
13 Point 29 des conclusions du tiers intéressé.
14 Points 30-34 des conclusions du tiers intéressé.
15 Cour de justice de l'Union européenne, 27 octobre 2022, Proximus, C-129/21, EU:C:2022:833, para. 50
16 Point 39 des conclusions du tiers intéressé.
17 Point 40 des conclusions du tiers intéressé.
Décision quant au fond 199/2025 — 9/35
59. En outre, Z4 affirme que ni le contrat (...), ni le contrat (…) ne contiennent de garantie de la
part de Z4 que les données à caractère personnel obtenues peuvent être traitées
légalement à des fins de marketing direct18
.
II.3. Concernant les violations présumées de l'article 5.1.a) du RGPD juncto l'article 6 du
RGPD et de l'article 24 du RGPD
60. L'article 5.1.a) du RGPD établit que les données à caractère personnel doivent être traitées
de manière licite, loyale et transparente au regard des personnes concernées. L’article 6.1
du RGPD précise que le traitement de données à caractère personnel n’est licite que si, et
dans la mesure où il repose sur une des bases juridiques définies à l'article 6.1.a) - f) du
RGPD. Préalablement au traitement, le responsable du traitement doit vérifier si les
conditions d'une des bases juridiques possibles sont remplies. Enfin, conformément à
l'article 24 du RGPD, le responsable du traitement doit prendre des mesures techniques et
organisationnelles appropriées pour garantir et être en mesure de démontrer que le
traitement est effectué conformément à ce règlement.
61. En l'occurrence, le défendeur invoque l'article 6.1.a) du RGPD : "la personne concernée a
consenti au traitement de ses données à caractère personnel pour une ou plusieurs
finalités spécifiques". Plus précisément, le défendeur affirme que les données à caractère
personnel du plaignant ont été ajoutées à sa base de données marketing sur la base du
consentement que le plaignant aurait donné à son opérateur télécom19. Le défendeur
affirme que le contenu de la base de données (…) concerne les données à caractère
personnel d'abonnés téléphoniques qui, lors de la conclusion d'un abonnement
téléphonique, ont donné leur consentement à l'utilisation de leurs données à des fins de
marketing20. Pour le démontrer, le défendeur renvoie à la pièce 13 de ses conclusions de
synthèse, qui reprend les conditions générales de Z4 (version du 01/11/03). Le défendeur
affirme que le plaignant aurait donné son consentement en 2006 pour la transmission de
ses données à caractère personnel à des fins de marketing direct. Il renvoie à nouveau aux
conditions générales de Z4 et affirme avoir continué à vérifier ce consentement. Lors de
l'audition du 17 décembre 2024, le défendeur répète que le plaignant aurait donné son
consentement en 2006 pour la transmission de ses données à caractère personnel à des
fins de marketing direct21. Le défendeur renvoie une nouvelle fois aux conditions générales
de Z4 et affirme avoir continué à vérifier le consentement22. Lorsqu'on lui demande
18 Point 45 des conclusions du tiers intéressé.
19 Voir le courrier du défendeur au plaignant du 12 octobre 2022.
20 Conclusions de synthèse du défendeur, page 12.
21 PV d’audition du 17 décembre 2024, page 5.
22 Lors de l'audition du 25 juin 2025, Infobel précise qu'il s'agissait de vérifier si le plaignant s'était désinscrit. Infobel vérifie
également si le numéro de téléphone et l'adresse sont toujours à jour via Bpost, Experian et des opérateurs de
Décision quant au fond 199/2025 — 10/35
comment cette vérification a été effectuée, le défendeur affirme que si Z4 a transmis les
données, c'est qu'elle confirmait avoir toujours obtenu le consentement des personnes
concernées pour le faire23
.
62. Lors de l'audition du 27 juin 2025, le dpo d'Infobel a également affirmé que la directive
e-Privacy dispose que le consentement est la seule base de licéité pour le marketing direct.
Cela signifie que l'accès à une base de données à des fins de marketing direct doit être
fondé sur ce consentement. Étant donné que Z4 était au courant des objectifs poursuivis
par Infobel, le dpo d'Infobel a estimé que celle-ci pouvait supposer que Z4 avait obtenu le
consentement nécessaire des personnes concernées. Si tel n'avait pas été le cas, le contrat
entre Z4 et Infobel n'aurait eu aucun sens24
.
63. Le plaignant et le tiers intéressé contestent que le défendeur puisse invoquer l'article 6.1.a)
du RGPD. Le plaignant lui-même affirme n'avoir jamais donné son consentement à Infobel
pour le traitement de ses données à caractère personnel25. Le tiers intéressé affirme que le
défendeur ne peut invoquer le consentement qu'il a obtenu du plaignant pour la publication
de ses données dans des annuaires téléphoniques. Il affirme que "tout traitement par [le
défendeur] à la suite de l'obtention de données à caractère personnel dans le cadre du
contrat (...) ou du contrat 1307-PRO […] doit reposer sur une base juridique distincte, qu'il
s'agisse d'un autre consentement (qui n'est plus lié à une finalité, mais qui comporte
l'identification du responsable du traitement) ou d'une autre base juridique […]26". Z4
affirme que, dans le cas présent, le défendeur "ne [lui] a jamais demandé d'obtenir un
quelconque consentement de ses clients (et encore moins de ses anciens clients) pour le
traitement par [le défendeur] de données à caractère personnel à des fins de marketing
direct27."
Vérification du consentement
64. Étant donné que le défendeur invoque l'article 6.1.a) du RGPD, la Chambre Contentieuse
doit vérifier s'il existe un consentement valable en droit pour traiter les données du
plaignant. Le consentement est défini par l’article 4.11 du RGPD comme étant "toute
manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne
télécommunications, et si la personne concernée s'est inscrite sur une liste d'opt-out telle que la liste Robinson. Voir PV de
l'audition du 25 juin 2025, page 5 et remarques du défendeur du 24 juillet 2025.
23 PV d’audition du 17 décembre 2024, page 5.
24 PV d’audition du 25 juin 2025, page 4.
25 Voir la plainte et la page 1 des conclusions du plaignant contre le défendeur.
26 Point 39 des conclusions du tiers intéressé.
27 Point 40 des conclusions du tiers intéressé.
Décision quant au fond 199/2025 — 11/35
concernée accepte, par une déclaration ou par un acte positif clair, que des données à
caractère personnel la concernant fassent l'objet d'un traitement".
65. La Chambre Contentieuse n'examinera pas d'autres bases juridiques possibles dans
l'article 6 du RGPD. En effet, le responsable du traitement ne peut pas remplacer le
consentement par d'autres bases juridiques lorsque des problèmes sont rencontrés ou
soulevés concernant la validité du consentement28. En raison de l'obligation de mentionner
la base juridique sur laquelle le responsable du traitement se fonde pour collecter des
données à caractère personnel, il doit avoir décidé, avant de commencer la collecte, quelle
est la base juridique appropriée à cet effet29. Le Comité européen de la protection des
données (ci-après EDPB) précise en outre ce qui suit : "Indiquer que les données seront
traitées sur la base du consentement, alors que le traitement se fonde sur une autre base
juridique, serait fondamentalement déloyal envers les personnes concernées."30
.
66. L'EDPB identifie quatre éléments qui doivent être présents pour que le consentement soit
valable31 : le consentement est (1) libre/donné librement ; (2) spécifique ; (3) éclairé ; et (4)
une manifestation de volonté univoque par laquelle la personne concernée accepte, par
une déclaration ou par un acte positif clair, que des données à caractère personnel la
concernant fassent l’objet d’un traitement.
67. L’article 7.1 du RGPD dispose que le responsable du traitement doit être en mesure de
démontrer que la personne concernée a donné son consentement au traitement de
données à caractère personnel la concernant. Cela découle également de l’article 24.1 du
RGPD, en vertu duquel le responsable du traitement doit "être en mesure de démontrer que
le traitement est effectué conformément au présent règlement". Dans les points suivants,
la Chambre Contentieuse examine si le défendeur démontre que la personne concernée a
donné son consentement à la collecte et à la revente de ses données par le défendeur à des
fins de marketing direct.
Consentement libre / donné librement
68. Selon l'EDPB, l'élément "libre" implique un choix et un contrôle réels pour la personne
concernée. En règle générale, le RGPD dispose que si la personne concernée n’est pas
véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des
28 Voir par exemple les décisions 81/2020, 38/2021, 54/2023, 77/2023 et 109/2024 de la Chambre Contentieuse.
29 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 123.
30 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 122.
31 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 11.
Décision quant au fond 199/2025 — 12/35
conséquences négatives importantes si elle ne donne pas son consentement, le
consentement n’est pas valable32
.
69. L'article 7.4 du RGPD dispose qu'au moment de déterminer si le consentement est donné
librement, "il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si
l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au
consentement au traitement de données à caractère personnel qui n'est pas nécessaire à
l'exécution dudit contrat". Le considérant 43 du RGPD dispose que le consentement "est
présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être
donné à différentes opérations de traitement des données à caractère personnel bien que
cela soit approprié dans le cas d'espèce, ou si l'exécution d'un contrat, y compris la
prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas
nécessaire à une telle exécution". L'EDPB résume : "Si le consentement est présenté
comme une partie non négociable des conditions, on considère qu’il n’a pas été donné
librement"33
.
70. Dans le cas présent, le défendeur renvoie aux conditions générales de Z4 (version du
01/11/03)34, dont découlerait le consentement du plaignant. La finalité de l'exécution du
contrat entre Z4 et le plaignant était la fourniture de services de téléphonie. Il n'y a pas de
lien direct et objectif35 entre l'exécution du contrat entre Z4 et le plaignant et la revente des
données à caractère personnel du plaignant par le défendeur.
71. Sur la base de ce qui précède, conformément à l'article 7.4 du RGPD, il convient de
présumer que le consentement était invalide. L'article 7.4 du RGPD n'est pas formulé de
manière absolue, ce qui signifie que dans des cas "très" exceptionnels36, il peut être jugé
qu'une telle conditionnalité ne rendrait pas le consentement invalide. Quoi qu'il en soit, la
charge de la preuve de l'article 7.4 du RGPD incombe au responsable du traitement37
.
En l'espèce, le défendeur n'a pas démontré que le consentement du plaignant aurait
néanmoins été donné librement. La Chambre Contentieuse ne dispose pas non plus
d'autres éléments indiquant qu'il pourrait s'agir ici d'un cas très exceptionnel.
Spécifique
32 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 13.
33 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 13.
34 Conclusions de synthèse du défendeur, pièce 13.
35 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 30.
36 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 35.
37 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 36.
Décision quant au fond 199/2025 — 13/35
72. Selon l'article 6.1.a) du RGPD, le consentement de la personne concernée doit être donné
pour "une ou plusieurs finalités spécifiques" et la personne concernée doit avoir le choix à
l'égard de chacune de ces finalités38
. Selon l'EDPB, le responsable du traitement doit veiller
à :
"i) la spécification des finalités en tant que garantie contre tout détournement
d’usage,
ii) le caractère détaillé des demandes de consentement, et
iii) la séparation claire des informations liées à l’obtention du consentement au
traitement des données et des informations concernant d’autres sujets39".
73. En ce qui concerne le point i), la spécification des finalités, l'EDPB renvoie dans ses lignes
directrices à un avis du Groupe 29 sur la limitation des finalités, dans lequel il est indiqué ce
qui suit : "Pour ces raisons, les finalités vagues ou générales, telles que des fins
d’"amélioration de l’expérience utilisateur", des "fins commerciales", des "fins de sécurité
informatique" ou des fins de "recherches futures", ne satisferont généralement pas – si pas
davantage détaillées – au critère d’être "spécifiques".
40
"
74. Les conditions générales de Z4 mentionnent que les données à caractère personnel
"peuvent également être commercialisées par Z4, à l’exception des données de trafic et de
facturation. Toutefois, les clients ne souhaitant pas que leurs données soient
commercialisées par Z4 peuvent, à tout moment et en s’adressant au service local de Z4,
demander à figurer gratuitement sur une liste spéciale, dénommée « liste Restrictel ». Les
numéros privés sont portés d’office sur la liste Restrictel41." Il n'en résulte pas que le
défendeur, une partie qui n’est pas mentionnée dans les conditions générales, puisse
invoquer ce consentement pour ses propres finalités, qui ne sont pas non plus
mentionnées.
75. En ce qui concerne le point ii) le caractère détaillé des demandes de consentement, l'EDPB
précise que si le responsable du traitement a regroupé plusieurs finalités de traitement et
n’a pas cherché à obtenir un consentement distinct pour chaque finalité, la liberté est
limitée42. Cela signifie qu’un responsable du traitement qui sollicite le consentement pour
diverses finalités spécifiques devrait prévoir un consentement distinct pour chaque finalité
38 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 55.
39 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 55.
40 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 56 et note de bas de page.
41 Version originale du texte en français.
42 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 44.
Décision quant au fond 199/2025 — 14/35
afin que les utilisateurs puissent donner un consentement spécifique à des finalités
spécifiques43
.
76. En l'espèce, il n'y a pas eu d'opt-in distinct proposé pour permettre aux personnes
concernées de donner leur consentement spécifique à des finalités spécifiques, et en
particulier à la finalité spécifique de la revente des données à caractère personnel à des fins
de marketing direct par Infobel.
77. En conclusion, le défendeur n'a pas apporté la moindre preuve que le plaignant avait donné
son consentement spécifique au traitement de ses données à caractère personnel par le
défendeur en vue de leur revente à des fins de marketing.
Éclairé
78. Par ailleurs, le RGPD exige que le consentement soit éclairé. Afin que la personne
concernée puisse prendre une décision éclairée, il est nécessaire de lui fournir des
informations avant d'obtenir son consentement. Si le responsable du traitement ne fournit
pas d'informations accessibles, le consentement ne constitue pas une base valable pour le
traitement44
.
79. Le considérant 42 du RGPD dispose que pour que le consentement soit éclairé,
"la personne concernée devrait connaître au moins l’identité du responsable du traitement
et les finalités du traitement auquel sont destinées les données à caractère personnel".
80. L’EDPB estime qu’il faut au moins prévoir les informations suivantes afin d’obtenir un
consentement valable45 :
i. l’identité du responsable du traitement46
,
ii. la finalité de chacune des opérations de traitement pour lequel le consentement
est sollicité47
,
iii. les (types de) données collectées et utilisées48
,
iv. l’existence du droit de retirer son consentement49
,
43 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 60.
44 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 62.
45 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 64.
46 Voir le considérant 42 du RGPD : Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins
l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel.
47 Ibidem.
48 Voir également l’avis 15/2011 du Groupe de travail "Article 29" sur la protection des données sur la définition du
consentement (WP187), pp.19-20.
49 Voir l'article 7.3 du RGPD.
Décision quant au fond 199/2025 — 15/35
v. des informations concernant l’utilisation des données pour la prise de décision
automatisée conformément à l’article 22, § 2, point c), le cas échéant50, et
vi. des informations sur les risques éventuels liés à la transmission des données en
raison de l’absence de décision d’adéquation et de garanties appropriées telles que
décrites à l’article 46 du RGPD.
Dans le cas présent, les informations mentionnées aux points i. à iv. inclus s’appliquent.
81. Pour commencer par i. et ii., les conditions explicitement mentionnées dans le considérant
42, la Chambre Contentieuse fait remarquer que l'identité d'Infobel n'est mentionnée nulle
part dans les conditions générales de Z4, et par conséquent, l'objectif de son traitement
des données à caractère personnel non plus. Le considérant 42 du RGPD indique pourtant
clairement qu'il ne peut y avoir de consentement éclairé que si les personnes concernées
connaissent au moins l'identité du responsable du traitement et les finalités du traitement
des données à caractère personnel. L’EDPB précise que "si le consentement sollicité doit
servir de base à plusieurs responsables (conjoints) du traitement ou si les données doivent
être transférées à, ou traitées par, d’autres responsables qui souhaitent se fonder sur le
consentement original, ces organisations devraient toutes être nommées51."
82. Les pièces du dossier ne montrent nulle part que le plaignant savait que le défendeur allait
traiter ses données à un moment donné, et encore moins que le plaignant était
suffisamment informé des finalités pour lesquelles ce traitement allait avoir lieu. Lors de
l'audition du 17 décembre 2024, la Chambre Contentieuse demande au défendeur si le
plaignant a été expressément informé du fait qu'Infobel traiterait ses données.
Le défendeur a répondu qu'à l'époque, l'identité d'Infobel n'avait pas été mentionnée.
Pour cette raison, compte tenu de la nouvelle jurisprudence, Infobel aurait cessé d'utiliser
les données concernées52
.
83. Le plaignant n'aurait pas pu savoir, sur la base des conditions générales de Z4, que le
défendeur traiterait ses données dans le but de les commercialiser à des fins de marketing
direct. Les conditions générales stipulent que Z4 peut commercialiser elle-même les
données53, mais cela ne s'étend pas à leur commercialisation ultérieure par le défendeur.
84. En ce qui concerne les points iii. et iv., la Chambre Contentieuse fait remarquer que le
plaignant a été partiellement informé. Les conditions générales de Z4 précisent quelles
données à caractère personnel du plaignant seraient traitées, et la page 12 des conditions
50 Voir également les lignes directrices du Groupe de travail "Article 29" sur la protection des données sur les décisions
individuelles automatisées et le profilage au titre du règlement 2016/679 (WP251), paragraphe IV.B, pp. 23 et suivantes.
51 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 65.
52 PV d’audition du 17 décembre 2024, page 5.
53 Version originale dont dispose la Chambre Contentieuse.
Décision quant au fond 199/2025 — 16/35
générales stipule que les clients peuvent demander à Z4 d'être inscrits sur une liste ("liste
Restrictel") s'ils ne souhaitent pas que leurs données soient commercialisées par Z454
.
Toutefois, étant donné que le plaignant n'est pas informé du traitement de ses données à
caractère personnel par Infobel, il lui est impossible de savoir qu'il peut retirer directement
auprès d'Infobel son consentement au traitement de ses données à caractère personnel
par Infobel.
85. En conclusion, le défendeur n'a pas démontré que le plaignant avait donné son
consentement éclairé au traitement de ses données à caractère personnel par le défendeur
en vue de leur revente à des fins de marketing.
Manifestation de volonté univoque par une déclaration ou par un acte positif clair
86. L'article 4.11 du RGPD dispose que le consentement doit être donné "par une déclaration
ou par un acte positif clair". Le considérant 32 du RGPD précise que le consentement doit
être donné par le biais d'un "acte positif clair" et cite quelques exemples : "une déclaration
écrite, y compris par voie électronique, ou une déclaration orale, […] en cochant une case
lors de la consultation d'un site internet, en optant pour certains paramètres techniques
pour des services de la société de l'information, …". Le considérant 32 exclut en revanche
expressément qu’il y ait un consentement "en cas de silence, de cases cochées par défaut
ou d’inactivité".
87. En l'espèce, les conditions générales de Z4 indiquent que les données à caractère
personnel précitées "peuvent également être commercialisées par Z4, à l’exception des
données de trafic et de facturation. Toutefois, les clients ne souhaitant pas que leurs
données soient commercialisées par Z4 peuvent, à tout moment et en s’adressant au
service local de Z4, demander à figurer gratuitement sur une liste spéciale, dénommée «
liste Restrictel ». Les numéros privés sont portés d’office sur la liste Restrictel55."
88. Lors de l'audition du 17 décembre 2024, la Chambre Contentieuse a demandé au défendeur
si le consentement donné par le plaignant en 2006 n'était pas un "opt-out". Le défendeur a
répondu qu'il ne s'agissait pas d'un "opt-out", mais d'un "opt-in", peut-être trop large, mais
certainement conforme en son temps56".
89. La Chambre Contentieuse estime que la disposition susmentionnée des conditions
générales de Z4 est clairement un "opt-out" et ne peut donc être considérée comme un
54 Version originale dont dispose la Chambre Contentieuse : “Toutefois, les clients ne souhaitant pas que leurs données soient
commercialisées par Z4 peuvent, à tout moment et en s’adressant au service local de Z4, demander à figurer gratuitement sur
une liste spéciale, dénommée « liste Restrictel ».
55 Version originale du texte en français.
56 Version française tirée du procès-verbal de l'audition, avec modifications apportées par le défendeur le 8 janvier 2025 :
“M. (…) demande si le consentement donné par le plaignant en 2006 n'était pas un "opt-out". M. (…) répond qu'il ne s'agissait
pas d'un "opt-out", mais d'un "opt-in", peut-être trop large, mais certainement conforme en son temps. Il ajoute que néanmoins,
Infobel S.A. a reçu la confirmation de Z4/Z4 en 2018 et 2020 que le plaignant aurait renouvelé son consentement.”
Décision quant au fond 199/2025 — 17/35
consentement. En effet, en cas de silence de la personne concernée, son consentement
est présumé. Le considérant 32 du RGPD dispose clairement que "le silence, les cases
cochées par défaut ou l'inactivité" ne peuvent être considérés comme un consentement.
La Chambre Contentieuse renvoie en outre au paragraphe suivant des lignes directrices de
l'EDPB :
"Un responsable du traitement doit également être conscient que le consentement
ne peut être obtenu moyennant la même action que lorsqu’une personne
concernée accepte un contrat ou les conditions générales d’un service.
L’acceptation globale des conditions générales ne peut être considérée comme un
acte positif clair visant à donner son consentement à l’utilisation de données à
caractère personnel.57
"
90. Il ne fait donc aucun doute que le consentement du plaignant ne pouvait être valablement
obtenu par le biais des conditions générales de Z4.
91. Concernant l'article 24 du RGPD
92. L’article 7.1 du RGPD dispose que le responsable du traitement doit être en mesure de
démontrer que la personne concernée a donné son consentement au traitement de
données à caractère personnel la concernant58. La charge de la preuve incombe au
responsable du traitement59. Cette disposition se reflète à l'article 24.1 sur la base duquel
le responsable du traitement a une obligation générale de prendre des mesures techniques
et organisationnelles appropriées afin de garantir et de pouvoir démontrer que le
traitement est réalisé conformément à ce règlement.
93. La Chambre Contentieuse rappelle que le simple renvoi à des déclarations et à des accords
contractuels avec d'autres parties (en l'occurrence, le tiers intéressé) ne suffit pas.
Conformément à l’article 24 et à l'article 7.1 du RGPD, le responsable du traitement est
lui-même tenu de pouvoir démontrer que la personne concernée a donné son
consentement au traitement de données à caractère personnel la concernant. La charge
de la preuve incombe au défendeur. La Chambre Contentieuse n'a pas la compétence de
se prononcer sur les litiges contractuels entre le défendeur et le tiers intéressé, notamment
en ce qui concerne le droit (contractuel) du défendeur de revendre les données concernées
à des fins de marketing direct. Dans la présente décision, elle examine uniquement si le
défendeur a respecté ses obligations en vertu du RGPD. En tant que responsable du
57 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 81.
58Voir également le considérant 42 du RGPD : "Lorsque le traitement est fondé sur le consentement de la personne concernée,
le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement.
59 Comité européen de la protection des données (European Data Protection Board), Lignes directrices 05/2020 sur le
consentement conformément au règlement 2016/679, version 1.1, adoptées le 4 mai 2020, point 104.
Décision quant au fond 199/2025 — 18/35
traitement, le défendeur est tenu, sur la base de l'article 24 du RGPD, d'être en mesure de
le démontrer lui-même, comme expliqué ci-dessus.
94. La Chambre Contentieuse a donc donné à plusieurs reprises au défendeur la possibilité de
démontrer que le plaignant avait donné son consentement valable. Lors de l'audition du
25 juin 2025, le défendeur a eu une nouvelle fois l'occasion de le démontrer. La Chambre
Contentieuse a souligné l'importance de ce point dans sa convocation à cette audition,
dans laquelle elle a inclus le paragraphe suivant :
"Lors de l'audition, Infobel aura en particulier l'occasion de démontrer qu'elle a traité les
données à caractère personnel du plaignant (et des autres personnes concernées dans
la même base de données) en vertu d'une base juridique valable, comme l'exige l'article
6 du RGPD. La Chambre Contentieuse note qu'Infobel a fait référence à un
consentement présumé donné pour la première fois par le plaignant en 2006, et
qu'Infobel S.A. a continué à le vérifier par la suite. Infobel aurait reçu en 2018 et 2020 la
confirmation de Z4 que le plaignant aurait renouvelé son consentement. Infobel est
expressément invitée à présenter des preuves concrètes et vérifiables de ce
consentement (initial et renouvelé) lors de l'audition, conformément au principe de
responsabilité (article 5.2 du RGPD)."
95. Lors de cette audition, la Chambre Contentieuse a donc expressément demandé au
défendeur s'il disposait d'un document permettant de prouver le consentement opt-in du
plaignant datant de 2006 ou d'une date plus récente. Infobel a répondu que 19 ans s'étaient
écoulés depuis 2006 et que le délai de conservation était de 5 ans. En ce qui concerne les
preuves, Infobel a déclaré pouvoir présenter des factures relatives à la consultation de la
base de données (…). La Chambre Contentieuse a demandé si le simple fait que le plaignant
figure dans la base de données (…) signifie pour Infobel que le plaignant a donné son
consentement "opt-in". Infobel a confirmé que la base de données indique que si une
personne y figure, cette personne accepte encore toujours que ses données soient
utilisées à des fins de marketing. Z4 a toutefois souligné que les contrats n'offraient aucune
garantie qu'Infobel pouvait traiter les données comme Infobel l'a fait60
.
96. En outre, le défendeur affirme qu'outre le consentement présumé de 2006, il aurait
également reçu en 2018 et 2020 la confirmation de Z4 que le plaignant aurait renouvelé
son consentement. La Chambre Contentieuse note que Z4 conteste cette affirmation61 et
qu'Infobel ne produit aucun document pour la prouver.
97. En conclusion, le défendeur n'a présenté, tout au long de la procédure devant la Chambre
Contentieuse, aucun document démontrant que le plaignant ait à un quelconque moment
60 PV d’audition du 25 juin 2025, page 6.
61 Point 57 des conclusions du tiers intéressé.
Décision quant au fond 199/2025 — 19/35
donné son consentement au traitement des données concernées. Aucun document ne
prouve même que le plaignant était au courant du fait que le défendeur traitait ses données
à caractère personnel, jusqu'à ce qu'il exerce son droit d'accès auprès de l'expéditeur final
du marketing direct.
98. La Chambre Contentieuse estime que le défendeur ne démontre pas que le plaignant lui
a donné son consentement via une manifestation de volonté, libre, spécifique, éclairée
et univoque pour qu'il puisse traiter ses données dans le but de les vendre à des fins de
marketing. Le défendeur a donc violé l'article 5.1.a) du RGPD juncto l'article 6 du RGPD
et l'article 24 du RGPD.
II.4. Quant à la violation présumée de l'article 17 du RGPD
99. L'article 17.1 du RGPD octroie à la personne concernée le droit d'obtenir l'effacement des
données à caractère personnel et oblige le responsable du traitement à effacer ces données
à caractère personnel dans les meilleurs délais, lorsque l'un des motifs de l'article 17.1.a) du
RGPD s'applique.
100. Le 4 novembre 2022, le plaignant a demandé au défendeur d'effacer ses données à
caractère personnel. Il s'est référé aux motifs énoncés à l'article 17.1.b) et 17.1.c) du RGPD :
"b) la personne retire le consentement sur lequel est fondé le traitement,
conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point
a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s'oppose au traitement en vertu de l'article 21,
paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la
personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2."
101. Le 12 octobre 2022, le défendeur écrit une lettre au plaignant. Dans cette lettre, le défendeur
répond à la fois à la demande d'accès du plaignant et à la demande d'effacement.
Concernant la demande d'effacement, le défendeur écrit qu'il a pris les mesures nécessaires
pour "supprimer les données du plaignant du fichier marketing le 11/10/2022".
102. Le 7 novembre 2022, le défendeur confirme à nouveau au plaignant que les données ont été
supprimées du fichier marketing.
103. Le défendeur affirme dans ses conclusions qu'il a supprimé les données du plaignant le
11 octobre 2022 de sa base de données marketing.
104. La Chambre Contentieuse estime qu'aucune violation de l'article 17 du RGPD ne peut être
constatée.
III. Quant aux mesures correctrices et aux sanctions
Décision quant au fond 199/2025 — 20/35
105. Aux termes de l’article 100, § 1er de la LCA, la Chambre Contentieuse a le pouvoir de :
1° classer la plainte sans suite ;
2° ordonner le non-lieu ;
3° prononcer une suspension du prononcé ;
4° proposer une transaction ;
5° formuler des avertissements et des réprimandes ;
6° ordonner de se conformer aux demandes de la personne concernée d'exercer ses
droits ;
7° ordonner que l'intéressé soit informé du problème de sécurité ;
8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement ;
9° ordonner une mise en conformité du traitement ;
10° ordonner la rectification, la restriction ou l'effacement des données et la notification de
celles-ci aux récipiendaires des données ;
11° ordonner le retrait de l'agréation des organismes de certification ;
12° donner des astreintes ;
13° donner des amendes administratives ;
14° ordonner la suspension des flux transfrontières de données vers un autre État ou un
organisme international ;
15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des
suites données au dossier ;
16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de
protection des données.
III.1. Mesures correctrices
106. La Chambre Contentieuse a estimé que le défendeur a violé l'article 5.1.a) du RGPD juncto
l'article 6 et l'article 24 du RGPD en ne démontrant pas que le plaignant lui avait donné son
consentement via une manifestation de volonté, libre, spécifique, éclairée et univoque pour
qu'il puisse traiter ses données dans le but de les vendre à des fins de marketing.
107. La Chambre Contentieuse décide tout d'abord, en vertu de l'article 58.2.g) du RGPD et de
l'article 100, § 1er, 10° de la LCA, d'ordonner au défendeur l'effacement des données à
caractère personnel pour lesquelles il ne peut pas démontrer qu'il dispose d'une base
juridique valable conformément aux articles 5.1.a), 6.1 et 5.2 du RGPD. Conformément à
Décision quant au fond 199/2025 — 21/35
l'article 108, § 1er, troisième alinéa de la LCA, cette injonction n'est pas exécutoire par
provision.
108. Ensuite, la Chambre Contentieuse décide, en vertu de l'article 58.2.g) du RGPD et de
l'article 100, § 1er, 10° de la LCA, d’ordonner au défendeur d'informer tous les destinataires
des données à caractère personnel susmentionnées de l'injonction ci-dessus et de la
présente décision, et de souligner que la base juridique invoquée pour les traitements
n'est pas conforme au RGPD.
109. Ces injonctions sont nécessaires pour mettre un terme au traitement illicite de données à
caractère personnel.
III.2. Amende administrative
110. Outre les mesures correctrices, la Chambre Contentieuse décide d'infliger une amende
administrative en vue de renforcer l'application des règles du RGPD. Comme il ressort
clairement du considérant 148 du RGPD62, le RGPD met en effet en avant que pour toute
violation – donc aussi lors de la première constatation d'une violation –, des sanctions, y
compris des amendes administratives, devraient être infligées en complément ou à la place
des mesures appropriées.
111. La Chambre Contentieuse tient également à préciser qu’il lui appartient souverainement, en
qualité d’autorité administrative indépendante - dans le respect des articles pertinents du
RGPD et de la LCA -, de déterminer les mesures correctrices et les sanctions appropriées.
Cela découle de l'article 83 du RGPD lui-même, mais la Cour des marchés a également
souligné dans sa jurisprudence l'existence d'une large compétence discrétionnaire de la
Chambre Contentieuse quant au choix de la sanction et à sa portée, comme, entre autres,
dans ses arrêts du 7 juillet 2021 et du 6 septembre 202363
.
112. Le fait qu'il s'agisse d'une première constatation d'une violation du RGPD commise par le
défendeur n'affecte donc en rien la possibilité pour la Chambre Contentieuse d'infliger une
amende administrative. La Chambre Contentieuse inflige l'amende administrative en
application de l'article 58.2.i) du RGPD. L'instrument de l'amende administrative n'a
62 Le considérant 148 du RGPD énonce que : "Afin de renforcer l'application des règles du présent règlement, des sanctions y
compris des amendes administratives devraient être infligées pour toute violation du présent règlement, en complément ou à
la place des mesures appropriées imposées par l'autorité de contrôle en vertu du présent règlement. En cas de violation
mineure ou si l'amende susceptible d'être imposée constitue une charge disproportionnée pour une personne physique, un
rappel à l'ordre peut être adressé plutôt qu'une amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité
et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi,
du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l'autorité de contrôle
a eu connaissance de la violation, du respect des mesures ordonnées à l'encontre du responsable du traitement ou du soustraitant, de l'application d'un code de conduite, et de toute autre circonstance aggravante ou atténuante. L'application de
sanctions y compris d'amendes administratives devrait faire l'objet de garanties procédurales appropriées conformément aux
principes généraux du droit de l'Union et de la Charte, y compris le droit à une protection juridictionnelle effective et à une
procédure régulière."
63 Cour d'appel de Bruxelles, section Cour des marchés, 19e chambre A, chambre des marchés, 2021/AR/320, p. 37-47 ;
Cour d'appel de Bruxelles, section Cour des marchés, 19e chambre A, chambre des marchés, 2020/AR/1160, p. 34.
Décision quant au fond 199/2025 — 22/35
nullement pour but de mettre fin aux violations ; à cet effet, le RGPD et la LCA prévoient
plusieurs mesures correctrices, dont les injonctions citées à l'article 100, § 1er, 8° et 9° de
la LCA.
113. Dans son arrêt Deutsche Wohnen, la Cour de justice de l'UE a estimé qu'une amende
administrative ne peut être infligée que s'il est établi que le responsable du traitement a
commis l'infraction en question de manière intentionnelle ou par négligence64. La présente
décision en tient compte au point 124.
114. L'article 83 du RGPD établit les facteurs dont il faut tenir compte dans chaque cas concret
au moment de décider si une amende administrative est infligée et si oui, pour quel montant.
La Chambre Contentieuse tient notamment compte de la gravité des violations, de leur
durée et de l'effet dissuasif nécessaire pour éviter de futures violations. Afin d'éviter de
répéter l'évaluation de chaque facteur, la Chambre Contentieuse renvoie à l'évaluation
ci-dessous qui aborde conjointement l'imposition d'une amende administrative et le
montant de celle-ci.
115. Afin d'infliger dans chaque cas une amende effective, proportionnée et dissuasive, les
autorités de contrôle doivent adapter les amendes administratives et rester dans le cadre
de la marge prévue dans les Lignes directrices de l'EDPB 04/2022 sur le calcul des amendes
administratives au titre du RGPD (version 2.1, adoptées le 24 mai 2023). Cela peut conduire
à des majorations ou des minorations significatives de l’amende, selon les circonstances du
cas d’espèce. L'application de ces Lignes directrices est nécessaire pour garantir la
cohérence de l'application du RGPD. Conformément aux Lignes directrices de l'EDPB, les
amendes administratives pour des violations du RGPD sont calculées sur la base d'une
méthode comprenant cinq étapes65. Ces cinq étapes sont systématiquement parcourues
dans les paragraphes suivants. La Chambre Contentieuse rappelle qu'elle n'est pas obligée
d'examiner les critères qui ne sont pas d'application66
.
III.2.1. Concours de violations et application de l'article 83.3 du RGPD
116. Pour rappel, la Chambre Contentieuse décide d'infliger une amende en raison d'une violation
de l'article 5.1.a) du RGPD juncto l'article 6 et l'article 24 du RGPD, étant donné que le
défendeur n'a pas démontré que le plaignant lui avait donné son consentement via une
manifestation de volonté, libre, spécifique, éclairée et univoque pour qu'il puisse traiter ses
données dans le but de les vendre à des fins de marketing.
64 Voir l'arrêt de la Cour de justice de l'Union européenne C-807/21, Deutsche Wohnen, ECLI:EU:C:2023:950, point 78.
65 EDPB – Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD (V2.1, 24 mai 2023), p. 9.
66 EDPB - Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD (V2.1, 24 mai 2023), point 6.
Décision quant au fond 199/2025 — 23/35
117. La Chambre Contentieuse estime que les violations de ces articles distincts du RGPD
doivent être considérées comme une seule violation. Les dispositions faisant l'objet d'une
violation poursuivent en effet des objectifs qui sont liés de manière indissociable (le principe
de licéité, les conditions de licéité et la responsabilité du responsable du traitement de
pouvoir démontrer que le traitement est exécuté conformément au RGPD).
118. En résumé, la Chambre Contentieuse estime en l'espèce qu'elle doit infliger une seule
amende.
III.2.2. Montant de départ pour le calcul
119. Les amendes administratives doivent être calculées à partir d’un montant de départ
harmonisé sur la base des Lignes directrices 04/2022 de l'EDPB67. Dans ce cadre, il est tenu
compte de la classification des violations selon leur nature en vertu de l’article 83,
paragraphes 4 à 6 inclus du RGPD, de la gravité de la violation et du chiffre d’affaires de
l’entreprise.
Classification de la violation en fonction de sa nature, en vertu de l'article 83,
paragraphes 4 à 6 inclus du RGPD
120. Le RGPD fait une distinction entre deux catégories de violations : les violations qui sont
punissables en vertu de l'article 83.4 du RGPD d'une part et les violations qui sont
punissables en vertu des articles 83.5 et 83.6 du RGPD d'autre part. L'amende maximale
pour la première catégorie de violations s'élève à 10 000 000 d'euros ou 2 % du chiffre
d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
La deuxième catégorie peut conduire à une amende de maximum 20 000 000 d'euros ou
4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus
élevé étant retenu.
121. Pour la violation de l'article 5.1.a) juncto les articles 6 et 24 du RGPD, conformément à
l'article 83.5.a) du RGPD, l'amende administrative la plus lourde peut s'élever jusqu'à
20 000 000 d'euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial de l'exercice
précédent, le montant le plus élevé étant retenu.
122. Vu que l'amende la plus élevée s'applique, conformément à l'article 83.5.a) du RGPD, la
Chambre Contentieuse peut infliger une amende administrative de maximum
20 000 000 d'euros ou de maximum 4 % du chiffre d'affaires annuel mondial total de
l'exercice précédent, le montant le plus élevé étant retenu.
Gravité de la violation :
67 EDPB – Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD (V2.1, 24 mai 2023), p. 18.
Décision quant au fond 199/2025 — 24/35
123. Article 83.2.a) du RGPD - La nature, la gravité et la durée de la violation : Concernant la
nature de la violation, la Chambre Contentieuse fait remarquer que le principe de licéité
(art. 5.1.a) et 6 du RGPD) est un principe fondamental de la protection qui est garantie par le
RGPD. Ce principe est également repris à l’article 8.2 de la Charte des droits fondamentaux
de l’Union européenne. Les violations de ce principe fondamental constituent dès lors des
violations graves. Concernant la gravité de la violation, la Chambre Contentieuse observe
que le traitement litigieux a eu lieu dans le cadre des activités professionnelles du défendeur.
Ce dernier se spécialise dans la mise à disposition de données contre paiement. En outre, la
Chambre Contentieuse fait remarquer que le traitement est conséquent, vu qu'il concerne
au moins les données à caractère personnel de tous les clients de Z4 (à l'exception des
numéros privés et des numéros "Restrictel") au moment de la collecte des données à
caractère personnel68. Pour ces raisons, la violation doit être jugée plus gravement.
Concernant la durée de la violation, la Chambre Contentieuse fait remarquer qu'Infobel
affirme qu'elle a collecté les données en 2006 et les a traitées jusqu'en 202369. La Chambre
Contentieuse conclut que la violation de données dure depuis plusieurs années.
124. Article 83.2.b) du RGPD - Le fait que la violation a été commise délibérément ou par
négligence : En l'espèce, selon la Chambre Contentieuse, il n'y a pas d'intention - manifeste
- dans le chef du défendeur d'enfreindre délibérément les articles 5.1.a), 6.1 et 24 du RGPD
en invoquant de manière non valable l'article 6.1.a) du RGPD comme base juridique, mais il
est pour le moins question d'une négligence grave, ce qui répond aux exigences de la
jurisprudence de la Cour de justice de l'Union européenne70. Le RGPD établit clairement que
"le responsable du traitement [doit être] en mesure de démontrer que la personne
concernée a donné son consentement au traitement de données à caractère personnel la
concernant" et que le responsable du traitement doit "être en mesure de démontrer que le
traitement est effectué conformément au présent règlement". En dépit du fait que le
défendeur a traité ces données à caractère personnel dans le cadre de ses activités
professionnelles, dont le traitement de données à caractère personnel constitue l'activité
principale, il n'a fourni aucune preuve d'une "manifestation de volonté, libre, spécifique,
éclairée et univoque par laquelle [le plaignant] accepte, par une déclaration ou par un acte
positif clair, que des données à caractère personnel [le] concernant fassent l'objet d'un
traitement." En outre, la Chambre Contentieuse fait remarquer que depuis 2020, outre les
dispositions du RGPD, le défendeur pouvait également se référer aux Lignes directrices de
l'EDPB en matière de consentement pour vérifier qu'il respectait toutes ses obligations71
.
La Chambre Contentieuse estime dès lors que le défendeur aurait dû être au courant qu'en
68 Pièce 5 des conclusions du défendeur, page 1.
69 Conclusions de synthèse du défendeur et PV de l'audition du 25 juin 2025.
70 Voir l'arrêt de la Cour de justice de l'Union européenne C-807/21, Deutsche Wohnen, ECLI:EU:C:2023:950, point 78.
71 Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679 (version 1.1, adoptées le 4 mai 2020).
Décision quant au fond 199/2025 — 25/35
l'espèce, il ne pouvait pas invoquer un consentement valable en droit des personnes
concernées pour traiter leurs données.
125. Article 83.2.g) du RGPD - Les catégories de données à caractère personnel concernées
par la violation : Le traitement litigieux concerne les prénom, nom, nom de rue, numéro de
maison, code postal, ville et date de création ainsi que la source des données des personnes
concernées. Bien que de telles données à caractère personnel ne soient à première vue pas
de nature sensible ou particulière, la Chambre Contentieuse estime qu'elles appartiennent
néanmoins à des catégories de données à caractère personnel dont, en général, les
personnes concernées ne s'attendraientraisonnablement pas à ce qu'elles soient collectées
et traitées indirectement par des tiers. Cette catégorie est considérée comme neutre.
126. Sur la base d'une évaluation des facteurs susmentionnés, la gravité de la violation est établie.
La Chambre Contentieuse prend en considération le fait qu'il s'agit d'une violation grave, de
grande ampleur et de longue durée d'un principe fondamental du RGPD dans le cadre de
l'activité principale du défendeur, qui a été commise par négligence grave. La Chambre
Contentieuse conclut qu'il s'agit d'une violation de gravité moyenne. Conformément au
paragraphe 60 des Lignes directrices de l'EDPB, la Chambre Contentieuse doit fixer le
montant de départ pour le calcul ultérieur compris entre 10 et 20 % du montant maximal
légal applicable72. Étant donné que le défendeur a commis la violation par négligence et qu'il
ne l'a manifestement pas fait intentionnellement, la Chambre Contentieuse décide de
diminuer le montant de départ.
127. La Chambre Contentieuse fixera le montant de départ pour le calcul ultérieur à 15 % du
montant maximal légal qui est repris à l'article 83.5 du RGPD.
Le chiffre d'affaires du défendeur en tant qu'élément pertinent à prendre en compte en
vue de l'imposition d'une amende effective, dissuasive et proportionnée en vertu de
l'article 83.1 du RGPD
128. Conformément à l'article 83.1 du RGPD, la Chambre Contentieuse doit veiller à ce que les
amendes administratives imposées soient effectives, proportionnées et dissuasives.
Elle établit donc aussi dans les montants de départ une distinction selon l'ampleur de
l'entreprise.
129. Les articles 83.4 à 83.6 du RGPD établissent que le chiffre d'affaires annuel mondial total de
l'exercice précédent doit être utilisé pour le calcul de l'amende administrative. À cet égard,
le terme "précédent" doit être interprété conformément à la jurisprudence de la Cour de
justice en matière de droit de la concurrence, de sorte que l'événement pertinent pour le
72 EDPB - Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD (V2.1, 24 mai 2023),
paragraphe 60.
Décision quant au fond 199/2025 — 26/35
calcul de l’amende est la décision de l'autorité de contrôle relative à l'amende, et non le
moment de l'infraction sanctionnée73
.
130. Dans sa lettre du 13 octobre 2025, le défendeur a informé la Chambre Contentieuse que son
chiffre d'affaires annuel pour l'exercice 2024 s'élevait à 5 946 608 euros.
131. La Chambre Contentieuse constate que 4 % du chiffre d'affaires annuel de l'exercice
précédent représente 237 864,32 euros, ce qui est inférieur à 20 000 000 d'euros.
L'amende administrative maximale s'élève donc à 20 000 000 d'euros, conformément à
l'article 83.5 du RGPD.
132. Concernant la violation des articles 5.1.a), 6.1 et 5.2 du RGPD, la Chambre Contentieuse a fixé
le montant de départ pour le calcul ultérieur à 15 % du montant maximal légal qui est repris
à l'article 83.5 du RGPD. Cela correspond, en l'espèce, à un montant de départ de
3 000 000 d'euros.
133. Conformément aux Lignes directrices de l'EDPB74, la Chambre Contentieuse peut, pour les
entreprises ayant un chiffre d'affaires annuel de 2 à 10 millions d'euros, envisager de
poursuivre le calcul sur la base d'un montant situé entre 0,3 et 2 % du montant de départ
fixé. La Chambre Contentieuse décide que cela est approprié en l'espèce.
134. Concernant la violation des articles 5.1.a), 6.1 et 5.2 du RGPD, le montant de départ de
3 000 000 d'euros est abaissé à 45 000 euros (1,5 % du montant de départ).
III.2.3. Circonstances aggravantes et atténuantes
135. Selon le RGPD, après avoir évalué la nature, la gravité et la durée de la violation, le fait que la
violation a été commise délibérément ou par négligence et les catégories de données à
caractère personnel concernées par la violation (voir ci-dessus), l'autorité de contrôle doit
tenir compte des autres facteurs aggravants ou atténuants tels que repris à l'article 83.2 du
RGPD75
.
a. Article 83.2.c) du RGPD – Toute mesure prise par le responsable du traitement
ou le sous-traitant pour atténuer le dommage subi par les personnes
concernées : La Chambre Contentieuse tient compte du fait que lors de l'audition
du 25 juin 2023, le défendeur a affirmé que la base de données en question n'était
plus utilisée depuis 2023 et que les données avaient été supprimées, notamment
sur la base de considérations juridiques qui ont soulevé des doutes quant à la
qualité du consentement. Ceci est considéré comme une circonstance atténuante.
b. Article 83.2. d) du RGPD – Le degré de responsabilité du responsable du
traitement ou du sous-traitant, compte tenu des mesures techniques et
organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32 :
Pas d'application.
73 EDPB – Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD (V2.1, 24 mai 2023), point 131.
74 EDPB - Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD (V2.1, 24 mai 2023), point 65.
75 EDPB - Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD (V2.1, 24 mai 2023), point 70.
Décision quant au fond 199/2025 — 27/35
c. Article 83.2.e) du RGPD – Toute violation pertinente commise précédemment
par le responsable du traitement ou le sous-traitant : La Chambre Contentieuse
tient compte du fait que le défendeur n'a pas été déclaré coupable de précédentes
violations du RGPD. Ce facteur peut donc être considéré comme neutre.
d. Article 83.2.f) du RGPD – Le degré de coopération établi avec l'autorité de
contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets
négatifs : La Chambre Contentieuse fait remarquer que le défendeur s'est montré
coopératif à son égard. Conformément aux Lignes directrices de l'EDPB, la Chambre
Contentieuse considère l'obligation ordinaire de coopération comme étant neutre, vu
l'obligation générale de coopération inscrite à l'article 31 du RGPD.
e. Article 83.2.h) du RGPD – La manière dont l'autorité de contrôle a eu
connaissance de la violation, notamment si, et dans quelle mesure, le
responsable du traitement ou le sous-traitant a notifié la violation :
Pas d'application.
f. Article 83.2. i) du RGPD – Lorsque des mesures visées à l'article 58, paragraphe
2, ont été précédemment ordonnées à l'encontre du responsable du traitement
ou du sous-traitant concerné pour le même objet, le respect de ces mesures : Pas
d'application.
g. Article 83.2. j) du RGPD – L'application de codes de conduite approuvés en
application de l'article 40 ou de mécanismes de certification approuvés en
application de l'article 42 : Pas d'application.
h. Article 83.2. k) du RGPD – Toute autre circonstance aggravante ou atténuante
applicable aux circonstances de l'espèce, telle que les avantages financiers
obtenus ou les pertes évitées, directement ou indirectement, du fait de la
violation : Le défendeur a réalisé pendant une période de plusieurs années des
bénéfices financiers en traitant des données à caractère personnel sans base
juridique valable, ce qui est considéré comme une circonstance aggravante.
136. La Chambre Contentieuse tient compte du fait que lors de l'audition du 25 juin 2025,
le défendeur a affirmé que la base de données en question n'était plus utilisée depuis 2023
et que les données avaient été supprimées, notamment sur la base de considérations
juridiques qui ont soulevé des doutes quant à la qualité du consentement. Ceci est considéré
comme une circonstance atténuante. La Chambre Contentieuse décide de diminuer le
montant de l'amende de 10 000 euros pour le faire passer à 35 000 euros.
137. La Chambre Contentieuse constate toutefois également que le défendeur a réalisé pendant
une période de plusieurs années des bénéfices financiers en traitant des données à
caractère personnel sans base juridique valable, ce qui est considéré comme une
circonstance aggravante. La chambre Contentieuse décide de majorer le montant de
l'amende pour cette violation de 5 000 euros et de la faire passer à 40 000 euros.
138. La Chambre Contentieuse conclut qu'aucune autre circonstance n'est pertinente au point
de devoir être prise en compte en tant que circonstance aggravante ou atténuante.
Le défendeur est libre d'y réagir et en particulier de fournir des informations pertinentes
dont la Chambre Contentieuse n'a pas encore pu prendre connaissance.
Décision quant au fond 199/2025 — 28/35
III.2.4. Harmonisation avec les montants maximaux
139. Le montant maximal pour l'amende dans le cas présent a déjà été calculé ci-dessus.
Conformément à l'article 83.5.a) du RGPD, ce montant peut s'élever jusqu'à
20 000 000 d'euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice
précédent, le montant le plus élevé étant retenu.
140. Dans sa lettre du 13 octobre 2025, le défendeur a informé la Chambre Contentieuse que son
chiffre d'affaires annuel pour l'exercice 2024 s'élevait à 5 946 608 euros.
141. Sur la base de ce qui précède, la Chambre Contentieuse constate que 4 % de la marge brute
au cours de l'exercice précédent représentent 237 864,32 euros, ce qui est inférieur à
20 000 000 d'euros. L'amende administrative maximale s'élève donc à
20 000 000 d'euros, conformément à l'article 83.5 du RGPD.
142. Le montant de l'amende s'élève en l'espèce à 40 000 euros, ce qui est largement inférieur
au montant maximal de l'amende de 20 000 000 d'euros.
III.2.5. Effectivité, proportionnalité et effet dissuasif
Efficacité
143. Le considérant 148 du RGPD souligne que les amendes administratives doivent être
infligées "[a]fin de renforcer l'application des règles du présent règlement". L'amende
infligée doit dès lors être suffisamment élevée pour réaliser cette finalité.
144. La Chambre Contentieuse considère que l'amende de 40 000 euros est appropriée pour
renforcer l'application des principes fondamentaux ayant fait l'objet d'une violation.
Proportionnalité
145. Le principe de proportionnalité implique que les montants des amendes ne peuvent pas être
disproportionnés au regard des finalités poursuivies et que l'amende infligée doit être
proportionnée à la violation, vue dans son ensemble, en tenant compte notamment de sa
gravité.
146. En l'espèce, la violation en question a été jugée comme étant de gravité moyenne.
Conformément au paragraphe 60 des Lignes directrices de l'EDPB, dans le cas de violations
de gravité moyenne, la Chambre Contentieuse doit fixer le montant de départ pour le calcul
ultérieur compris entre 10 et 20 % du montant maximal légal applicable76. La Chambre
Contentieuse fait remarquer que la violation était de longue durée et de grande ampleur et
76 EDPB - Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD (V2.1, 24 mai 2023),
paragraphe 60.
Décision quant au fond 199/2025 — 29/35
qu'elle a été commise par négligence grave. Dès lors, la Chambre Contentieuse a fixé le
montant de départ pour le calcul ultérieur à 15 % du montant maximal légal qui est repris à
l'article 83.5 du RGPD.
147. La Chambre Contentieuse tient également compte du chiffre d'affaires du défendeur, raison
pour laquelle elle n'a utilisé que 1,5 % du montant de départ pour le calcul de l'amende
(voir ci-dessus). La Chambre Contentieuse a invité le défendeur à fournir des informations
conformément au point 140 des Lignes directrices 04/2022 de l'EDPB s'il estime que
l'amende en question compromettrait irrémédiablement sa viabilité. Le défendeur ne l'ayant
pas fait, la Chambre Contentieuse en déduit que ce n'est pas le cas.
148. En outre, la Chambre Contentieuse a décidé de réduire l'amende de 10 000 euros en raison
des mesures prises par le responsable du traitement ou le sous-traitant pour limiter les
dommages subis par les personnes concernées.
149. La Chambre Contentieuse estime que l'amende est proportionnée.
Effet dissuasif
150. Lors de l'imposition d'une amende, la Chambre Contentieuse tient compte tant de la
dissuasion spécifique que de la dissuasion générale. Une amende est dissuasive lorsqu'elle
dissuade un particulier de violer les finalités et les réglementations reprises dans le droit de
l'Union européenne.
151. Le caractère dissuasif de l'amende doit comporter deux dimensions. Dissuader la personne
à laquelle l'amende est infligée de réitérer la violation à l'avenir mais également dissuader
d'autres personnes de répéter le comportement constitutif de la violation de la première
personne. La Chambre Contentieuse ne doit donc en aucun cas choisir la "mesure la moins
contraignante", mais est au contraire tenue de fixer une sanction suffisamment
"contraignante" pour satisfaire aux exigences de l'article 83.1 du RGPD.
152. Le fait qu'il s'agisse d'une première constatation d'une violation du RGPD commise par le
défendeur n'affecte en rien la possibilité pour la Chambre Contentieuse d'infliger une
amende administrative si cela s'avère être la sanction la plus appropriée sur la base de
raisons objectives.
153. La Chambre Contentieuse renvoie aux points 144 à 148 de la présente décision dans
lesquels elle examine la proportionnalité de l'amende administrative. Les mesures moins
contraignantes qui, selon le défendeur, devraient être envisagées sont un avertissement ou
une réprimande. Étant donné qu'un avertissement est orienté vers l'avenir et que la
Chambre Contentieuse estime qu'une infraction a été commise en l'espèce, il n'est pas
applicable. En ce qui concerne la possibilité de prononcer une réprimande, la Chambre
Contentieuse observe que cela ne serait ni effectif, ni proportionné, ni dissuasif dans le cas
Décision quant au fond 199/2025 — 30/35
présent. Comme indiqué au point 136 de la présente décision, le défendeur a tiré pendant
des années un profit financier d'un traitement illicite de données à caractère personnel. Une
amende administrative est la seule mesure appropriée pour éviter que de telles pratiques ne
soient commercialement attrayantes et pour obtenir ainsi un effet dissuasif. Pour la même
raison, la réduction du montant de l'amende à 0 EUR ou à 1 EUR symbolique constituerait
une méconnaissance de l'article 83.1 du RGPD, car cela ne saurait satisfaire aux exigences
selon lesquelles une amende administrative doit être "effective, proportionnée et
dissuasive".
154. La sanction a pour objectif de dissuader l'auteur de l'infraction de commettre à nouveau la
même infraction (dissuasion spécifique) et de dissuader d'autres personnes de commettre
la même infraction à l'avenir (dissuasion générale). La Chambre Contentieuse doit tenir
compte de ces deux aspects lorsqu'elle détermine la sanction77. Il ne fait aucun doute qu'une
réprimande ou un avertissement est moins dissuasif et donc moins efficace qu'une amende.
À cet égard, la Cour des marchés a estimé que :
"L'imposition d'amendes augmente incontestablement la portée et l'impact d'une
décision de la Chambre Contentieuse par rapport à une simple réprimande ou un
simple avertissement. Il appartient à la Chambre Contentieuse elle-même de faire
un choix à cet égard et de motiver cette décision de manière adéquate […]"78
155. Le défendeur invoque ensuite un moyen en trois parties, sur la base duquel l'amende
administrative doit, selon lui, être supprimée ou réduite.
156. Premièrement, le défendeur fait valoir qu'il n'y a pas eu violation pour cause de négligence.
Le défendeur affirme que l'invalidité du consentement sur lequel reposait son traitement
des données à caractère personnel ne constitue pas une négligence de sa part, ce qui
constituerait une violation du RGPD, mais tout au plus une faute contractuelle de Z4, qui lui
a vendu les données à caractère personnel. Selon le défendeur, il s'agit tout au plus
d' "inadvertance". La Chambre Contentieuse ne suit pas ce point de vue et a jugé, au point
123 de cette décision, qu'il y a au moins une négligence grave, satisfaisant ainsi aux
exigences de la jurisprudence de la Cour de justice de l'UE79. Le RGPD établit clairement que
"le responsable du traitement [doit être] en mesure de démontrer que la personne
concernée a donné son consentement au traitement de données à caractère personnel la
concernant" et que le responsable du traitement doit "être en mesure de démontrer que le
traitement est effectué conformément au présent règlement". En dépit du fait que le
défendeur a traité ces données à caractère personnel dans le cadre de ses activités
professionnelles, dont le traitement de données à caractère personnel constitue l'activité
77 Comité européen de la protection des données, Lignes directrices 4/2022, point 142.
78 Bruxelles (Cour des marchés), 20 décembre 2023, 2023/AR/817, point 64.
79 Voir l'arrêt de la Cour de justice de l'Union européenne C-807/21, Deutsche Wohnen, ECLI:EU:C:2023:950, point 78.
Décision quant au fond 199/2025 — 31/35
principale, il n'a fourni aucune preuve d'une "manifestation de volonté, libre, spécifique,
éclairée et univoque par laquelle [le plaignant] accepte, par une déclaration ou par un acte
positif clair, que des données à caractère personnel [le] concernant fassent l'objet d'un
traitement." En outre, la Chambre Contentieuse fait remarquer que depuis 2020, outre les
dispositions du RGPD, le défendeur pouvait également se référer aux Lignes directrices de
l'EDPB en matière de consentement pour vérifier qu'il respectait toutes ses obligations80
.
La Chambre Contentieuse estime dès lors que le défendeur aurait dû être au courant qu'en
l'espèce, il ne pouvait pas invoquer un consentement valable en droit des personnes
concernées pour traiter leurs données. Le défendeur ne peut en tout état de cause pas
prétendre que Z4 était responsable de l'infraction, étant donné que le défendeur, en tant que
responsable du traitement, a lui-même la responsabilité de démontrer qu'il traite les
données sur la base d'un fondement juridique valable.
157. Deuxièmement, le défendeur fait valoir qu'il n'y avait aucun risque, ou que ce risque était
négligeable. Pour étayer cette affirmation, le défendeur fait valoir que les données
concernées sont disponibles en ligne, dans des annuaires papier et électroniques. Selon le
défendeur, il semble évident que des données aussi facilement accessibles puissent être
collectées et traitées par des tiers dans le respect des dispositions du RGPD. En outre, le
défendeur affirme que s'il n'avait pas acheté les données à Z4, qui les a collectées sur la base
d'un consentement, il aurait pu fonder son propre traitement de ces mêmes données sur un
intérêt légitime. Selon le défendeur, cela constituerait une circonstance atténuante. La
Chambre Contentieuse n’accepte pas ces arguments. Le fait que les données ne soient pas
de nature particulièrement sensible et soient hypothétiquement disponibles sur des sources
publiques n'implique pas que le plaignant aurait pu s'attendre à ce qu'elles soient revendues
à des tiers. Le scénario hypothétique dans lequel le défendeur n'aurait pas acheté les
données à Z4, mais les aurait collectées via une autre source, ne peut pas non plus être
accepté car il est hypothétique. La Chambre Contentieuse maintient son évaluation initiale
du facteur visé à l'article 83.2.g) du RGPD comme étant neutre.
158. Troisièmement, le défendeur fait valoir que son attitude à l'égard de l'Autorité de protection
des données justifie une réduction de l'amende à 9 000 EUR. Le défendeur estime en effet
que le fait qu'il se soit montré coopératif à l'égard de l'Autorité de protection des données
doit être considéré comme une circonstance atténuante et justifie une réduction de
l'amende de 31 000 EUR (77,5 %). Comme indiqué précédemment, la Chambre
Contentieuse considère l'obligation ordinaire de coopération comme étant neutre, vu
l'obligation générale de coopération inscrite à l'article 31 du RGPD. Le respect d'une
obligation légale ne peut être considéré en soi comme une circonstance atténuante.
80 Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679 (version 1.1, adoptées le 4 mai 2020).
Décision quant au fond 199/2025 — 32/35
En outre, la Chambre Contentieuse rappelle qu'elle réduit l'amende de 10 000 EUR parce
que le défendeur a décidé de supprimer les données concernées.
159. À titre tout à fait subsidiaire, le défendeur demande à la Chambre Contentieuse de retenir le
taux de 0,3 % du montant initial de 3 000 000 euros, soit un montant de 9 000 euros, ce
que le défendeur serait prêt à accepter. La Chambre Contentieuse renvoie à cet égard aux
points 127 et suivants de la présente décision, dans lesquels elle tient compte du chiffre
d'affaires du défendeur comme élément pertinent. La Chambre Contentieuse rappelle
qu'elle a fixé le montant de départ pour le calcul de l'amende à 15 % du montant maximal
légal prévu à l'article 83.5 du RGPD, ce qui conduit en l'espèce à un montant de départ de
3 000 000 EUR. Conformément aux Lignes directrices de l'EDPB81, la Chambre
Contentieuse peut, pour les entreprises ayant un chiffre d'affaires annuel de 2 à
10 millions d'euros, envisager de poursuivre le calcul sur la base d'un montant situé entre 0,3
et 2 % du montant de départ fixé. Étant donné que le chiffre d'affaires annuel du défendeur
pour l'exercice 2024 s'élevait à 5 946 608 EUR, la Chambre Contentieuse a décidé que cela
était approprié en l'espèce, ce qui a conduit au montant adapté de 45 000 EUR (1,5 % du
montant de départ). La Chambre Contentieuse estime qu'une réduction du montant de base
à 0,3 % au lieu de 1,5 % ne correspond pas au chiffre d'affaires annuel du défendeur, qui est
largement supérieur à 2 millions d'euros (5 946 608 EUR). En outre, cette réduction doit
garantir que l'amende soit payable par le défendeur sans compromettre sa viabilité.
La Chambre Contentieuse a invité le défendeur à fournir des informations s'il estime que
l'amende compromet irrévocablement sa viabilité économique. Étant donné que le
défendeur ne l'a pas fait, la Chambre Contentieuse comprend que ce n'est pas le cas et que
cette réduction supplémentaire serait disproportionnée. Elle estime donc que la réduction
de l'amende à 1,5 % du montant de départ est largement suffisante pour rendre l'amende
payable compte tenu du chiffre d'affaires du défendeur.
160. La Chambre Contentieuse note que le défendeur ne s'oppose pas à la réduction de l'amende
de 10 000 EUR en raison de la suppression des données concernées, ni à l'augmentation de
l'amende de 5 000 EUR en raison du fait qu'il a réalisé des bénéfices financiers pendant
plusieurs années en traitant des données à caractère personnel sans base juridique valable.
Concernant les autres mesures
161. En outre, le défendeur affirme qu'il ne peut pas informer les personnes concernées, car les
données en question ont été supprimées. La Chambre Contentieuse n'a pas manifesté
l'intention d'ordonner cela au défendeur. Elle a toutefois bien informé le défendeur qu'elle
avait l'intention, en vertu de l'article 100, § 1er, 10° de la LCA, de lui ordonner d'informer tous
les récipiendaires des données à caractère personnel susmentionnées de la présente
81 EDPB - Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD (V2.1, 24 mai 2023), point 65.
Décision quant au fond 199/2025 — 33/35
décision et de l'injonction qui précède et de souligner que la base juridique invoquée pour les
traitements n'est pas conforme au RGPD.
162. Par ailleurs, la Chambre Contentieuse note que le défendeur affirme, sur la base de l'article
105 de la LCA, que les faits sont prescrits cinq ans après leur commission. La Chambre
Contentieuse renvoie toutefois au même article, qui dispose que la prescription est
interrompue par des actes d'enquête ou de poursuite, comme c'est le cas en l'espèce.
III.2.6. Conclusion
163. Compte tenu de l'évaluation ci-dessus des pièces pertinentes ainsi que des circonstances
propres à cette affaire, la Chambre Contentieuse estime approprié :
- en vertu de l'article 100, § 1er, 10° de la LCA, d'ordonner au défendeur l’effacement des
données à caractère personnel pour lesquelles il ne peut pas démontrer qu'il dispose d'une
base juridique valable pour leur traitement sur la base des articles 5.1.a), 6.1 et 24 du RGPD ;
- en vertu de l'article 100, § 1er, 10° de la LCA, d'ordonner au défendeur d'informer tous les
récipiendaires des données à caractère personnel susmentionnées de la présente décision
et de l'injonction qui précède et de souligner que la base juridique invoquée pour les
traitements n'est pas conforme au RGPD ;
- en vertu de l'article 58.2.i) du RGPD et de l'article 100, § 1er, 13° de la LCA juncto l'article 101
de la LCA, d'infliger au défendeur une amende administrative d'un montant de
40 000 euros en raison des violations des articles 5.1.a), 6.1 et 24 du RGPD en ce qui
concerne le traitement illicite de données à caractère personnel.
Décision quant au fond 199/2025 — 34/35
IV. Publication de la décision
164. Le défendeur demande que la Chambre Contentieuse n'inclue pas ses données
d'identification dans la décision qui sera publiée sur le site Internet de l'APD, "au risque de
compromettre l'anonymat requis et octroyé aux parties en la cause dont référence
DOS-2023-04302".
165. La Chambre Contentieuse souligne que le traitement des données par les défendeurs dans
le dossier DOS-2023-04302 était moins important que dans la présente décision, ce qui
justifie un traitement différencié. En outre, Infobel ne justifie en aucune manière pourquoi la
divulgation de ses données d'identification dans la présente décision pourrait
compromettre l'anonymat des parties dans le dossier DOS-2023-04302.
166. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre
Contentieuse, cette dernière décide, en vertu de l'article 100, § 1er, 16° de la LCA, de publier
la présente décision sur le site Internet de l’Autorité de protection des données. À cet égard,
la Chambre Contentieuse estime nécessaire dans le cas présent de divulguer directement
les données d'identification de la partie défenderesse. Cela est notamment nécessaire au
regard du droit des tiers d'introduire un recours contre les décisions de la Chambre
Contentieuse en vertu de l'article 108, § 3 de la LCA. Il ne s'agit donc pas seulement des
intérêts des parties à la présente procédure, mais aussi de l'intérêt général et des droits des
tiers qui pourraient subir un préjudice personnel, direct, certain, actuel et légitime du fait de
la présente décision. La Chambre Contentieuse souligne que le défendeur traite un grand
nombre de données à caractère personnel, ce qui a pour conséquence qu'un grand nombre
de personnes pourraient avoir le droit de former un recours contre la présente décision.
En outre, compte tenu de la nature spécifique des activités d'Infobel, il n'est pas
raisonnablement possible de préserver efficacement son anonymat.
Décision quant au fond 199/2025 - 35/35
PAR CES MOTIFS,
la Chambre Contentieuse de l'Autorité de protection des données décide, après
délibération:
en vertu de l'article 100, § 1er, 10° de la LCA, d'ordonner au défendeur l'effacement
des données à caractère personnel pour lesquelles il ne peut pas démontrer qu'il
dispose d'une base juridique valable pour leur traitement sur la base des articles
5.1.a), 6.1 et 24 du RGPD;
en vertu de l'article 100, § 1er, 10° de la LCA, d'ordonner au défendeur d'informer tous
les récipiendaires des données à caractère personnel susmentionnées de la
présente décision et de l'injonction qui précède et de souligner que la base juridique
invoquée pour les traitements n'est pas conforme au RGPD;
en vertu de l'article 58.2.i) du RGPD et de l'article 100, § 1er, 13° de la LCA juncto
l'article 101 de la LCA, d'infliger au défendeur une amende administrative d'un
montant de 40 000 euros en raison des violations des articles 5.1.a), 6.1 et 24 du
RGPD en ce qui concerne le traitement illicite de données à caractère personnel.
En vertu de l'article 108, § 1ºr de la LCA, cette décision peut faire l'objet d'un recours auprès de la
Cour des marchés (Cour d'appel de Bruxelles) dans un délai de trente jours à compter de sa
notification, avec l'Autorité de protection des données en qualité de défenderesse.
Un tel recours peut être introduit au moyen d'une requête contradictoire qui doit comporter les
mentions énumérées à l'article 1034ter du Code judiciaire82. La requête contradictoire doit être
déposée au greffe de la Cour des marchés, conformément à l'article 1034quinquies du Code
judiciaire83, ou via le système informatique e-Deposit de la Justice (article 32ter du Code judiciaire).
(Sé). Hielke Hijmans
Directeur de la Chambre Contentieuse
82 "La requête contient à peine de nullité:
1° l'indication des jour, mois et an:
2° les nom, prénom, domicile du requérant, ainsi que, le cas échéant, ses qualités et son numéro de registre national ou
numéro d'entreprise;
3° les nom, prénom, domicile et, le cas échéant, la qualité de la personne à convoquer;
4° l'objet et l'exposé sommaire des moyens de la demande;
5° l'indication du juge qui est saisi de la demande;
6° la signature du requérant ou de son avocat."
83 "La requête, accompagnée de son annexe, est envoyée, en autant d'exemplaires qu'il y a de parties en cause, par lettre
recommandée au greffier de la juridiction ou déposée au greffe."

Download Pdf

Link: https://www.autoriteprotectiondonnees.be/citoyen/l

Testo del 2025-11-27 Fonte: autoriteprotectiondonnees.be

Marketing Telefonico Consenso Accountability French Developers

Commenta

i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.

Newsletter

Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza