Perte de contrats bancaires : l'APD sanctionne pour violation des obligations de sécurité RGPD

Les faits : une demande d'accès révèle une perte de documents contractuels

Un client d'une banque belge a exercé son droit d'accès en vertu de l'article 15 du RGPD et a sollicité la communication de ses contrats d'ouverture de compte. La banque a répondu dans le délai légal d'un mois (art. 12, §3, RGPD) mais a indiqué qu'elle n'était plus en mesure de retrouver les contrats d'ouverture de compte originaux, ceux-ci ayant été égarés dans le cadre d'un problème d'archivage.

Le client a alors introduit une plainte auprès de l'APD, invoquant deux griefs distincts : (1) la violation de son droit d'accès aux documents, et (2) la violation des obligations de sécurité et de protection des données par la banque, qui avait perdu des documents constituant pourtant la base légale de son traitement de données personnelles.

Le droit d'accès (art. 15 RGPD) : pas de violation en l'espèce

Sur le premier grief, la Chambre Contentieuse a conclu à l'absence de violation des articles 12 et 15 du RGPD. En effet, le droit d'accès est un droit à obtenir communication des données personnelles que le responsable du traitement détient au moment de la demande, et non un droit à la restitution de documents que le responsable a perdus ou détruits.

La Chambre rappelle, à cet égard, la jurisprudence de la Cour de Justice de l'Union européenne (CJUE, 4 mai 2023, C-487/21, F.F. / Österreichische Datenschutzbehörde) selon laquelle l'article 15, §3, RGPD implique le droit d'obtenir une copie des données personnelles — au sens de données elles-mêmes et non nécessairement du document dans lequel elles figurent — sous une forme intelligible. La banque avait communiqué, dans le délai imparti, l'ensemble des données personnelles du client qu'elle détenait dans ses systèmes actifs. Elle n'a donc pas violé le droit d'accès.

La base légale du traitement (art. 6.1.b RGPD) : compétence de l'APD confirmée par la Cour de cassation

La question de la base légale du traitement a soulevé un débat procédural important. Le défendeur contestait la compétence de l'APD pour apprécier si un contrat avait ou non été conclu entre les parties, estimant que cette question relevait de la compétence exclusive des juridictions civiles.

La Chambre Contentieuse a écarté cet argument en s'appuyant sur l'arrêt de la Cour de cassation du 10 janvier 2025 (C.14.0189.N), qui a confirmé que l'APD est compétente pour vérifier, à titre incident, si une base légale de traitement — dont l'exécution d'un contrat au sens de l'article 6.1.b RGPD — existe effectivement, dès lors que cette appréciation est nécessaire pour statuer sur la plainte en protection des données. Cette compétence incidente ne prive pas les cours et tribunaux de leur compétence exclusive sur les litiges contractuels de fond.

Sur le fond, la Chambre a estimé que la banque avait suffisamment établi l'existence d'un contrat d'ouverture de compte à travers d'autres éléments probants (historique de transactions, correspondances, extraits de compte) et qu'il n'y avait donc pas lieu de conclure à une absence de base légale. Le grief tiré de l'article 6.1.b RGPD a été écarté.

La violation centrale : perte de documents = défaut de sécurité (arts. 5.1.f, 25 et 32 RGPD)

C'est sur le terrain des obligations de sécurité que la Chambre Contentieuse a retenu une violation caractérisée. Les dispositions applicables sont les suivantes :

Article 5, §1er, f) RGPD (principe d'intégrité et de confidentialité) : les données personnelles doivent être traitées de manière à garantir une sécurité appropriée, y compris la protection contre la perte accidentelle, la destruction ou la détérioration.

Article 25 RGPD (protection des données dès la conception et par défaut) : le responsable du traitement est tenu d'intégrer les mesures techniques et organisationnelles appropriées pour garantir le respect des principes de sécurité dès la conception des systèmes de traitement.

Article 32 RGPD (sécurité du traitement) : le responsable et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris — aux termes de l'article 32, §1er, c) — les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement.

La Chambre a relevé que la banque ne disposait d'aucune procédure de sauvegarde, d'aucun système de récupération et d'aucune copie de sécurité permettant de retrouver les contrats d'ouverture de compte. Or, ces documents constituent précisément la base légale sur laquelle repose l'intégralité du traitement de données personnelles du client. L'impossibilité de les produire après plusieurs décennies de relation bancaire démontre une défaillance systémique dans l'architecture de gestion documentaire de la banque.

La Chambre a expressément retenu que le défaut n'était pas seulement organisationnel mais relevait de l'absence de privacy by design : aucun mécanisme n'avait été conçu pour garantir la récupérabilité de documents dont la conservation conditionne pourtant la licéité du traitement dans sa durée. Cette lacune viole les articles 5.1.f, 25.1 et 32 RGPD de manière concurrente.

La sanction : réprimande formelle (art. 100, 5°, LCA)

Eu égard à l'absence d'intention malveillante, à la coopération de la banque avec l'APD et au fait que le client n'avait pas subi de préjudice financier direct, la Chambre n'a pas prononcé d'amende administrative. Elle a opté pour une réprimande formelle au sens de l'article 100, 5°, de la loi du 3 décembre 2017 portant création de l'Autorité de Protection des Données (LCA).

La réprimande formelle est une mesure moins grave qu'une amende administrative, mais elle n'est pas dépourvue d'effets juridiques. Elle constitue un constat officiel de violation du RGPD, susceptible d'être invoqué dans des procédures ultérieures (plaintes concurrentes, actions en responsabilité civile, contrôles prudentiels par la BNB ou la FSMA). Pour une institution financière, elle peut également déclencher des obligations de reporting interne et réglementaire.

La Chambre a par ailleurs ordonné à la banque de mettre en place, dans un délai de trois mois, des mesures techniques et organisationnelles garantissant la conservation et la récupérabilité des contrats qui constituent la base légale des traitements en cours, et de lui en rendre compte.

Implications pratiques pour les banques et les responsables du traitement

Cette décision s'adresse en premier lieu aux établissements financiers, mais elle énonce des principes qui s'appliquent à tout responsable du traitement dont l'activité repose sur des contrats conclus avec ses clients.

1. La base légale doit pouvoir être prouvée à tout moment : L'article 5.2 RGPD (principe de responsabilité — accountability ) impose au responsable de traitement d'être en mesure de démontrer, à tout moment, que ses traitements reposent sur une base légale valide. Perdre le contrat qui fonde le traitement rend cette démonstration impossible et viole ipso facto le principe d'accountability.

2. La durée de conservation des contrats doit être alignée sur la durée du traitement : Si le traitement de données dure 20 ans (durée de la relation bancaire), le contrat fondateur du traitement doit lui aussi être conservé pendant au moins 20 ans, sous une forme récupérable. La durée légale de conservation applicable en droit commercial belge (art. III.86 CDE, 7 ans) peut être insuffisante au regard des obligations RGPD si la relation contractuelle est plus longue.

3. L'archivage numérique doit prévoir des sauvegardes testées : L'article 32, §1er, c), RGPD impose des moyens garantissant la résilience des systèmes. Une politique d'archivage sans plan de récupération testable ne satisfait pas cette exigence. Les établissements doivent documenter leurs procédures de backup et de restauration dans leur registre des activités de traitement (art. 30 RGPD).

4. La réponse correcte à une demande d'accès ne couvre pas les violations de sécurité sous-jacentes : La décision dissocie clairement les deux obligations. Répondre en temps utile à l'exercice d'un droit (art. 12) n'exonère pas le responsable de ses obligations structurelles de sécurité (arts. 25 et 32). Les deux griefs s'apprécient indépendamment.

5. Responsabilité civile : La réprimande formelle constitue un indice sérieux de faute dans le chef de la banque, susceptible de fonder une action en responsabilité sur la base de l'article 82 RGPD (responsabilité du responsable du traitement) ou du droit commun (art. 5.69 C. civ.). Le client plaignant pourrait ainsi demander réparation devant les tribunaux civils pour le préjudice résultant de l'impossibilité d'obtenir ses documents contractuels.

Articulation avec la jurisprudence de la Cour de cassation du 10 janvier 2025

L'arrêt de la Cour de cassation du 10 janvier 2025 (C.14.0189.N) constitue un élément de doctrine important pour les praticiens. En reconnaissant la compétence incidente de l'APD pour apprécier l'existence d'un contrat, la Cour ouvre la voie à des plaintes RGPD dans des litiges qui ont également une dimension contractuelle.

Concrètement, un client qui conteste la licéité d'un traitement de données — par exemple parce qu'il estime que la relation contractuelle est terminée et que la banque n'a plus de base légale pour traiter ses données — peut désormais utiliser la voie de la plainte APD comme instrument complémentaire, sans avoir à attendre l'issue d'un litige civil sur la résolution du contrat.

Cette décision renforce ainsi le positionnement de l'APD comme autorité à part entière dans les litiges financiers et bancaires, en particulier dans les contentieux liés à la clôture de comptes, à l'archivage des données clients et aux obligations de conservation documentaire.