decision-quant-au-fond-n0-96-2026.pdf

1/14 Chambre Contentieuse Décision quant au fond 96/2026 du 30 avril 2026 Numéro de dossier : DOS-2024-00800 Objet : Plainte relative au double fichage du plaignant en tant que mauvais payeur La Chambre Contentieuse de l'Autorité de protection des données (ci-après « APD ») ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), (ci-après « RGPD ») ; Vu la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après « LCA ») ; Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 20191 ; Vu les pièces du dossier, en ce compris les conclusions en réponse et de synthèse des parties qui ont régulièrement été échangées, et entendu les parties lors de l’audition du 27 novembre 2025 ; A pris la décision suivante concernant : Le plaignant : X, représenté par Maître Thameur Ellouze, ci-après « le plaignant » ; La défenderesse : Y S.A, dont le siège social est établi à […], inscrite sous le numéro d'entreprise […], représentée par Maîtres Guillaume Couneson et Guillaume Croisant, ci- après « la défenderesse » ou « la banque ». 1 Le nouveau règlement d’ordre intérieur de l’APD, consécutif aux modifications apportées par la Loi du 25 décembre 2023 modifiant la loi du 3 décembre 2017 portant création de l’autorité de protection des données (LCA) est entré en vigueur le 01/06/2024. Conformément à l’article 56 de la loi du 25 décembre 2023, il est uniquement d’application aux plaintes, dossiers de médiation, requêtes, inspections et procédures devant la Chambre Contentieuse initiés à partir de cette date : https://www.autoriteprotectiondonnees.be/publications/reglement-d-ordre-interieur-de-l-autorite-de-protection-des- donnees.pdf. Les dossiers initiés avant le 01/06/2024 comme en l’espèce sont soumis aux dispositions de la LCA non-modifiée par la Loi du 25 décembre 2023 et du règlement d'ordre intérieur tel qu'il existait avant cette date. Décision quant au fond 96/2026 — 2/14 I. Faits et procédure 1. Le 9 février 2024, le plaignant introduit une plainte auprès de l’APD contre la défenderesse. 2. Le plaignant exerçait une activité professionnelle en indépendant personne physique. La défenderesse est une banque belge, dont le plaignant fut client. 3. Le plaignant a souscrit auprès de la défenderesse deux crédits d’investissement. En raison d’une multitude de faits et de malentendus, le plaignant s’est trouvé en défaut de paiement à partir du 28 février 2020 pour l’un crédit, et à partir du 2 mars 2020 pour l’autre. 4. Le 29 avril 2020 et le 4 mai 2020, la défenderesse somme le plaignant de régulariser immédiatement la situation pour chacun des crédits qu’il a contractés, et ce au moyen de courriers recommandés. La défenderesse précise en outre que la loi la contraint de communiquer toutes les données qui y sont relatives à la Banque Nationale de Belgique (« BNB ») en cas de défaut de paiement. 5. Le 30 avril 2020 et le 6 mai 2020, la défenderesse transmet à la BNB les données visées au paragraphe précédent en vue du fichage du plaignant au sein des Enregistrements non régis (« ENR ») de la Centrale des crédits aux particuliers (« CCP »). Il y est indiqué que le fichage concerne un prêt à tempérament. De manière concomitante, le plaignant est également fiché en tant que mauvais payeur au sein de la Centrale des crédits aux entreprises2 (« CCE »). Il y est indiqué que le fichage concerne un prêt à terme. 6. Le plaignant engage plusieurs procédures, administrative et judiciaires (une première en référé, une autre au fond), à l’encontre de la défenderesse. Il conteste le fichage à l’ENR, qu’il considère comme étant illicite au sens du RGPD. 7. Au cours de la procédure en référé, la défenderesse supprime l’enregistrement du plaignant à l’ENR. 8. Aux mois d’octobre et novembre 2021, le plaignant se trouve à nouveau en situation de défaut de paiement pour ses deux crédits. Il fera encore l’objet d’un fichage à l’ENR et à la CCE . 9. Le 5 mars 2024, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA. 10. Le 20 février 2025, la Chambre Contentieuse décide, en vertu de l’article 95, § 1er, 1° et de l’article 98 de la LCA, que le dossier peut être traité sur le fond. 2 A été remplacée par le Registre des crédits aux entreprises au mois de janvier 2022. Néanmoins, il ne sera fait référence qu’à la CCE dans la décision. Décision quant au fond 96/2026 — 3/14 II. Motivation II.1. Propos liminaire 11. Le plaignant reproche à la défenderesse d’avoir transmis ses données à caractère personnel à la BNB en vue de le ficher en tant que « mauvais payeur » à l’ENR, alors qu’il a aussi fait l’objet d’un fichage similaire à la CCE – ce qu’il ne conteste pas. Aussi, il reproche à la défenderesse d’avoir opéré ce traitement sans l’en avoir informé au préalable. Il reproche encore à la défenderesse d’avoir indiqué au sein de l’ENR que le fichage concernait un « prêt à tempérament », alors qu’elle a indiqué dans la CCE que le fichage concernait un « prêt à terme ». 12. La Chambre Contentieuse va examiner (i) le principe de limitation des finalités sous le point II.2. de la présente décision ; (ii) le principe de licéité sous le point II.3. de la présente décision ; (iii) le principe de transparence sous le point II.4. de la présente décision, et ; (iv) le principe d’exactitude des données sous le point II.5. de la présente décision. II.2. Sur le principe de limitation des finalités (articles 5.1.b) et 6.4 du RGPD) II.2.1. Position du plaignant 13. Le plaignant considère que son fichage à l’ENR constitue un traitement ultérieur de ses données à caractère personnel par la défenderesse. 14. Il ajoute que la finalité poursuivie initialement était déjà parfaitement atteinte par le fichage de ses données à caractère personnel à la CCE. 15. En procédant à un second fichage de ces mêmes données à l’ENR, le plaignant considère que la défenderesse ne respecte pas le principe de limitation des finalités. De plus, le plaignant relève encore que le fichage à l’ENR a un effet stigmatisant que ne revêt pas le fichage à la CCE, ce qui constitue une conséquence du traitement ultérieur que n’a pas dûment pris en compte la défenderesse. II.2.2. Position de la défenderesse 16. La défenderesse soutient qu’aucun traitement ultérieur de données à caractère personnel n’a pris cours, et que dès lors elle ne pourrait se voir reconnaître un quelconque manquement à l’article 5.1.b) du RGPD. 17. De surcroît, même dans l’hypothèse où il devait être considéré que le fichage du plaignant à l’ENR constituait effectivement un traitement ultérieur de ses données à caractère personnel, il conviendrait de reconnaître qu’il est compatible avec les finalités poursuivies par le traitement de données à caractère personnel initial en ce que l’un et l’autre partagent Décision quant au fond 96/2026 — 4/14 un « lien suffisamment concret, logique et étroit […] dans la mesure où les deux enregistrements portent sur des données relatives à des crédits octroyés à des personnes physiques dans le cadre de leur activité professionnelle et que les deux enregistrements se font dans le cadre de la mission légale de la BNB »3. Ainsi, le traitement de données dénoncé était prévisible pour le plaignant. II.2.3. Appréciation de la Chambre Contentieuse 18. La Chambre Contentieuse relève que la défenderesse soutient que la finalité pour laquelle les données à caractère personnel du plaignant ont été traitées s’inscrit dans le respect des réglementations bancaires et financières, ce qui consiste notamment à pouvoir évaluer le niveau des risques de crédit, contrôler et déclarer les risques auxquels elle peut être exposée, ainsi que d’autres éléments y afférents. 19. L’article 5.1.b) du RGPD prévoit que les données à caractère personnel doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ». 20. L’article 6.4 du RGPD expose que « Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n'est pas fondé sur le consentement de la personne concernée ou sur le droit de l'Union ou le droit d'un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l'article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres: a) de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé; b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement; c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l'article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l'article 10; 3 Conclusions de synthèse de la défenderesse, p. 30. Décision quant au fond 96/2026 — 5/14 d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées; e) de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. ». 21. Les questions qu’il convient dès lors de trancher sont (i) si la finalité au départ de la collecte, à savoir l’évaluation du risque de crédit, le contrôle et la déclaration du risque encouru par la défenderesse et d’autres éléments y afférents, comprenait également la transmission des données à caractère personnel du plaignant vers la BNB en vue de son enregistrement à l’ENR, de sorte qu’il n’y a pas lieu de considérer que ce transfert poursuivait une finalité distincte de celle pour laquelle ces données ont été collectées, et, dans la négative, (ii) si ce transfert était compatible avec la finalité poursuivie initialement. 22. La Chambre Contentieuse considère qu’en ce que le transfert des données à caractère personnel du plaignant vers la BNB en vue de son enregistrement à l’ENR a eu lieu précisément en raison du non-remboursement des crédits que celui-ci a contractés avec la défenderesse, et qu’il visait dès lors à refléter son état d’endettement, il convient de conclure que le transfert s’inscrivait dans la finalité pour laquelle les données du plaignant ont été collectées, puisque, ce faisant, ce transfert permettait de contrôler et déclarer le risque encouru par la défenderesse. 23. Par conséquent, la Chambre Contentieuse que la défenderesse n’a pas manqué au respect des articles 5.1.b) et 6.4 du RGPD. II.3. Sur la licéité du traitement (articles 5.1.a) et 6.1 du RGPD) II.3.1. Position du plaignant 24. Le plaignant soutient que le traitement de données à caractère personnel litigieux, à savoir l’enregistrement du plaignant à l’ENR, ne repose sur aucune base de licéité valable. 25. Il avance que la loi ne prévoit pas un tel traitement de données à caractère personnel, et que celui-ci repose, en réalité, sur une convention signée sous seing privé en 2006 entre la BNB et d’autres organismes de crédit à caractère privé. 26. De surcroît, le plaignant avance que le fichage d’une personne concernée à l’ENR n’est qu’une faculté dont dispose la défenderesse, et non pas une obligation systématique. Du reste, les accords privés que la défenderesse a conclus avec la BNB, et autres règlements, n’ont pas de valeur normative. Dès lors, la défenderesse ne peut pas se prévaloir d’une obligation légale au sens de l’article 6.1.c) du RGPD. 27. Le plaignant considère que la défenderesse ne peut pas davantage se prévaloir d’une mission d’intérêt public au sens de l’article 6.1.e) du RGPD. Il rappelle qu’il ne s’agit que d’une Décision quant au fond 96/2026 — 6/14 faculté permise à la défenderesse et non une obligation systématique. De plus, il soulève qu’il n’est pas nécessaire de procéder au fichage du plaignant à l’ENR étant entendu que, par le fichage du plaignant dans la CCE, la BNB remplit déjà sa mission de centralisation des données relatives aux crédits. II.3.2. Position de la défenderesse 28. À titre principal, la défenderesse soutient que l’enregistrement du plaignant à l’ENR était nécessaire au respect d’une obligation légale, conformément aux articles 5.1.a) et 6.1.c) du RGPD. 29. Elle avance en effet que « cet enregistrement était nécessaire au respect de l’engagement pris par [elle-même] à l’égard de son régulateur, lui-même agissant dans le cadre de sa mission qui lui a été prescrite par la loi »4. L’article 12bis de la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique prévoit que la BNB « exerce le contrôle des établissements financiers »5 et qu’elle peut, dans le cadre de ses compétences, adopter des « règlements complétant les dispositions légales ou réglementaires sur des points d'ordre technique »6. La défenderesse cite encore les travaux préparatoires de la loi du 28 novembre 2021 portant organisation d'un Registre des crédits aux entreprises desquels il ressort l’extrait suivant : « Le législateur a confié une mission de centralisation de données relatives aux crédits à la Banque nationale de Belgique »7. La défenderesse précise qu’elle n’a pas eu l’occasion de négocier cet accord, et qu’il ne lui était pas possible, dans les faits, de refuser de le signer étant entendu que toutes les autres grandes banques du pays mais également une multitude d’autres entités telles les CPAS ou les compagnies d’assurance ont également conclu cette convention-type avec la BNB. Eu égard à la place qu’elle occupe dans le secteur banquier belge, la défenderesse avance qu’elle ne voit pas comment elle aurait pu se soustraire à cet engagement. 30. Ensuite, la défenderesse explique que si plusieurs dispositions légales attribuent l’obligation à la BNB d’enregistrer certains défauts de paiement, rien ne porte toutefois sur les défauts de paiements des personnes physiques agissant à titre professionnel – tel que le plaignant. Dès lors, la BNB a décidé d’elle-même mettre en place l’ENR « pour combler le vide législatif »8. Cela se justifie par la nécessité des banques d’avoir un aperçu complet de la solvabilité de leurs clients. 4 Conclusions de synthèse de la défenderesse, p. 22. 5 Loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique, art. 12bis, § 1er. 6 Loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique, art. 12bis, § 2. 7 Conclusions de synthèse de la défenderesse, p. 22. 8 Conclusions de synthèse de la défenderesse, p. 23. Décision quant au fond 96/2026 — 7/14 31. À titre subsidiaire, la défenderesse soutient que l’enregistrement du plaignant à l’ENR était nécessaire à l’exécution d’une mission d’intérêt public, conformément aux articles 5.1.a) et 6.1.e) du RGPD. 32. Dans un cas comme dans l’autre, la défenderesse souligne que le fichage des mauvais payeurs à l’ENR n’est pas un enregistrement facultatif, mais bien une obligation ressortant de la convention conclue entre la BNB et elle-même, dès lors que la convention prévoit en son septième article que « Le participant s’engage à communiquer à la BNB les mises à jour du fichier des ENR (nouveaux défauts de paiement, évolutions et régularisations de défauts de paiement enregistrés, etc…) selon les modalités du dossier d’instructions »9. II.3.3. Appréciation de la Chambre Contentieuse 33. Il ressort de la sous-section II.3. de la présente décision que le traitement litigieux s’inscrivait dans la finalité pour laquelle les données à caractère personnel ont été collectées. 34. Par conséquent, il n’est pas requis que la défenderesse justifie ce traitement sur une base de licéité distincte de celle fondant au départ la collecte10. 35. Étant entendu que la défenderesse n’a pas été invitée à se défendre vis-à-vis de la licéité de la collecte des données à caractère personnel du plaignant, la Chambre Contentieuse n’examinera pas davantage ce point dans la décision. II.4. Sur le principe de transparence (articles 5.1.a), 12 et 13 du RGPD) II.4.1. Position du plaignant 36. Le plaignant soutient qu’à aucun moment la défenderesse ne lui a signalé que ses données pourraient faire l’objet d’un fichage complémentaire en tant que mauvais payeur. 37. En effet, les conditions générales applicables aux contrats de crédit de la défenderesse exposaient simplement qu’un potentiel fichage ne se ferait qu’auprès de la CCE sans mention d’un fichage à l’ENR. 38. De plus, le plaignant allègue que la défenderesse ne lui a jamais communiqué sa déclaration Vie privée, et que quand bien même cela avait été fait, celle-ci ne respecte pas les exigences issues du RGPD. En effet, selon lui, le fichage d’un mauvais payeur à l’ENR est facultatif, et non obligatoire. Dès lors, ce traitement de données à caractère personnel ne peut être reconnu comme étant « prévisible ». 9 Conclusions de synthèse de la défenderesse, p. 24. 10 Considérant 50 du RGPD : « Le traitement de données à caractère personnel pour d'autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s'il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n'est requise. […] ». Décision quant au fond 96/2026 — 8/14 39. Enfin, le plaignant déclare que si la défenderesse lui a certes envoyé plusieurs e-mails afin de l’informer que la loi la contraignait de communiquer toutes les données relatives à un retard de paiement à la BNB, ces e-mails ne précisaient pas pour autant que cela pouvait aboutir à un fichage complémentaire au sein de l’ENR. II.4.2. Position de la défenderesse 40. La défenderesse soutient qu’elle n’a pas manqué au respect du principe de transparence pour les raisons qui suivent. 41. Tout d’abord, la défenderesse déclare avoir communiqué au plaignant ses conditions générales. 42. De surcroît, la défenderesse relève avoir convenablement transmis sa « Déclaration Vie Privée ». Elle précise que cette Déclaration contient toutes les informations visées à l’article 13 du RGPD – l’article 14 du RGPD n’étant pas pertinent en l’espèce dès lors que la collecte des données à caractère personnel du plaignant a eu lieu directement auprès de ce dernier. 43. Aussi, la défenderesse mentionne deux courriers recommandés qu’elle a adressés les 29 avril et 4 mai 2020 au plaignant lui signalant « l’imminence de la communication des données concernant son retard de paiement à la BNB »11. Elle ajoute avoir fait de même pour le second enregistrement (voy. point 8) par le biais d’une mise en demeure adressée par courrier en date du 4 octobre 2021. 44. En toute hypothèse, la défenderesse rappelle que, lorsque l’article 12.1 du RGPD prévoit que le responsable du traitement doit transmettre de telles informations à la personne concernée en des termes clairs et simples, il convient de tenir compte du niveau de compréhensibilité de celle-ci. Étant entendu que le plaignant est un professionnel, l’on « peut partir du postulat [qu’il] a un niveau de compréhension plus élevé »12. II.4.3. Appréciation de la Chambre Contentieuse 45. L’article 5.1.a) prévoit que les données à caractère personnel doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ». 46. L’article 12.1 du RGPD prévoit que « Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et 11 Conclusions de synthèse de la défenderesse, p. 16. 12 Conclusions de synthèse de la défenderesse, p. 16. Décision quant au fond 96/2026 — 9/14 aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens. ». 47. L’article 13 du RGPD prévoit en son premier paragraphe que lorsque le responsable du traitement collecte des données à caractère personnel auprès de la personne concernée, il doit lui fournir, au moment de la collecte, les informations suivantes : « a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement b) le cas échéant, les coordonnées du délégué à la protection des données; c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement; d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers; e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition; » 48. L’article 13 du RGPD prévoit en son deuxième paragraphe que le responsable du traitement doit fournir, en plus des informations visées ci-avant, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent : « a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée; b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données; c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, Décision quant au fond 96/2026 — 10/14 sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci; d) le droit d'introduire une réclamation auprès d'une autorité de contrôle; e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données; f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée. » 49. La Chambre Contentieuse relève que la défenderesse a en effet transmis au plaignant ses conditions générales. Néanmoins, aucune clause ne se rapporte au fichage à l’ENR. 50. De même, bien que la défenderesse a également transmis préalablement au plaignant sa « Déclaration Vie Privée », et que celle-ci respecte, de manière générale, toutes les exigences de l’article 13 du RGPD, il n’y est pas non plus fait mention d’un fichage à l’ENR à proprement dit. 51. Enfin, la Chambre Contentieuse observe que la défenderesse a, à deux reprises, effectivement informé le plaignant par courrier recommandé de l’imminence de la communication de ses données à caractère personnel à la BNB. Néanmoins, aucun de ces courriers ne comprenait d’information sur le traitement dénoncé en tant quel tel. 52. Il ressort dès lors que le plaignant n’a pas reçu d’information sur le fichage à l’ENR en tant que tel. 53. Or, et tel que cela est évoqué sous le point II.3. de la présente décision, aucun texte législatif ne consacrait le traitement de données à caractère personnel litigieux. D’ailleurs, aucun texte législatif ne consacrait même, au moment des faits, l’existence de l’ENR. Le fichier ENR a en effet été créé par la BNB elle-même, qui a ensuite conclu des conventions avec toute une série d’acteurs, dont la défenderesse. Étant entendu que la licéité du fichage à l’ENR était fondée sur les points c) et e) de l’article 6.1 du RGPD, le traitement était dès lors difficilement prévisible pour le plaignant. 54. Partant, l’obligation d’information se trouvait accrue dans le chef de la défenderesse, qui pour compenser l’absence de fondement légal au traitement litigieux, aurait dû informer le plaignant de manière explicite quant à la possibilité du fichage au sein de l’ENR. Décision quant au fond 96/2026 — 11/14 55. Par voie de conséquence, la Chambre Contentieuse constate que la défenderesse a manqué au respect des articles 5.1.a), 12.1 et 13 du RGPD en ce qu’elle n’a pas informé le plaignant de façon suffisamment claire et explicite à propos du traitement litigieux, de sorte qu’il ne pouvait raisonnablement pas s’attendre à ce qu’il fasse l’objet d’un fichage au sein de l’ENR en plus du fichage à la CCE. II.5. Sur le principe d’exactitude des données (article 5.1.d) du RGPD) II.5.1. Position du plaignant 56. Le plaignant considère que la défenderesse a manqué au respect du principe d’exactitude établi par l’article 5.1.d) du RGPD en ce qu’elle a enregistré ses non-paiements, au sein de la CCE, en tant que « prêt à terme », alors que dans le fichier ENR, ceux-ci ont été enregistrés en tant que « prêt à tempérament », à tort. 57. En ayant qualifié erronément les données financières du plaignant dans le fichier ENR, la défenderesse a manqué au respect de l’article 5.1.d) du RGPD. II.5.2. Position de la défenderesse 58. La défenderesse soutient que dans la pratique et la doctrine, il est régulièrement fait usage de la qualification de « prêt à tempérament » pour désigner tant les contrats de consommation que les contrats conclus à titre professionnel, nonobstant le fait que le Code de droit économique définisse le « prêt à tempérament » comme un crédit à la consommation. 59. En tous les cas, la défenderesse relève que l’élément essentiel dans le fichage était le défaut de paiement du plaignant, qui aurait été réalisé peu importe la qualification du prêt. II.5.3. Appréciation de la Chambre Contentieuse 60. L’article 5.1.d) du RGPD dispose que les données à caractère personnel doivent être « exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ». 61. La Chambre Contentieuse relève que le plaignait exploitait une activité commerciale en tant qu’indépendant personne physique, et qu’en cette qualité, il n’a contracté que des prêts à terme. De surcroît, le plaignant n’a conclu aucun prêt à tempérament, lequel se définit comme étant « tout contrat de crédit, quelle que soit sa qualification ou sa forme, aux termes duquel une somme d'argent ou un autre moyen de paiement est mis à la disposition d'un Décision quant au fond 96/2026 — 12/14 consommateur qui s'engage à rembourser le prêt par versements périodiques »13, ce qui exclut la possibilité de conclure un prêt à tempérament à titre professionnel. 62. La circonstance que dans la pratique ou la doctrine certains prêts conclus à titre professionnels soient qualifiés de « prêt à tempérament » ne dispense pas le responsable du traitement des obligations que lui impose le RGPD. 63. La défenderesse doit désigner les contrats qu’elle conclut avec ses cocontractants d’une manière exacte, et cela a fortiori lorsque ces désignations sont définies par la loi. Par ailleurs, la Chambre Contentieuse note que les prêts que le plaignant a conclus avec la défenderesse sont correctement qualifiés dans la CCE. 64. Par voie de conséquence, la Chambre Contentieuse constate que la défenderesse a manqué au respect de l’article 5.1.d) du RGPD étant entendu qu’elle a erronément qualifié un « prêt à terme » de « prêt à tempérament » dans l’ENR. III. Mesures correctrices et sanctions 65. Aux termes de l’article 100 de la LCA, la Chambre Contentieuse a le pouvoir de : 1° classer la plainte sans suite ; 2° ordonner le non-lieu ; 3° prononcer une suspension du prononcé ; 4° proposer une transaction ; 5° formuler des avertissements et des réprimandes ; 6° ordonner de se conformer aux demandes de la personne concernée d'exercer ses droits; 7° ordonner que l'intéressé soit informé du problème de sécurité ; 8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement ; 9° ordonner une mise en conformité du traitement ; 10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données ; 11° ordonner le retrait de l'agréation des organismes de certification ; 12° donner des astreintes ; 13° donner des amendes administratives 13 Article I.9, 48° du Code de droit économique. Décision quant au fond 96/2026 — 13/14 14° ordonner la suspension des flux transfrontières de données vers un autre État ou un organisme international ; 15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier ; 16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données. 66. En synthèse, la défenderesse a manqué (i) au principe de transparence étant entendu qu’elle n’a pas fourni au plaignant les informations nécessaires pour qu’il puisse raisonnablement s’attendre à ce qu’en cas de défaut de paiement ses données à caractère personnel seraient transmises à la BNB pour son enregistrement à l’ENR, en plus de l’enregistrement à la CCE, et (ii) au principe d’exactitude en ce qu’elle a erronément qualifié un « prêt à terme » de « prêt à tempérament ». Il convient pour chacune de ces violations d’imposer une réprimande. 67. En ce qui concerne le grief portant sur le principe de limitation des finalités, la Chambre Contentieuse décide de le classer sans suite pour des motifs techniques étant entendu qu’il ressort de l’examen réalisé sous la sous-section II.2.3. de la présente décision que le traitement litigieux ne constituait pas en un traitement ultérieur. De la sorte, le grief portant sur la licéité du traitement litigieux est également classé sans suite pour des motifs techniques.