La Belgique complète les règles européennes en matière de protection de la vie privée

Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Les nouvelles règles en matière de protection de la vie privée sont d’application depuis le 25 mai 2018 en Belgique, comme dans les autres États membres de l’Union. C’est la conséquence de l’entrée de vigueur du Règlement général sur la protection des données (RGPD) du 27 avril 2016. Le règlement s’applique directement dans notre pays, mais il peut, dans une certaine mesure, être complété au niveau national. D’où la nouvelle loi du 30 juillet 2018, qui vient compléter ces clauses ouvertes. Nous épinglons ici quelques nouveautés.

Enfants

En Belgique, les enfants peuvent créer un profil sur les médias sociaux dès l’âge de 13 ans sans l’accord des parents. L’Europe a fixé la limite à 16 ans, tout en laissant une marge d’appréciation aux États membres. Notre pays a donc opté pour un âge moins élevé. Pour les enfants de moins de 13 ans, le consentement des parents reste toutefois nécessaire.

Traitement de données sensibles

Le traitement de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale est, en principe, interdit. Tout comme le traitement de données génétiques, de données biométriques aux fins d’identifier une personne physique de manière unique, de données concernant la santé ou de données concernant la vie sexuelle ou l’orientation sexuelle.

Dans un certain nombre de cas définis de manière restrictive, ces catégories particulières de données à caractère personnel peuvent tout de même être traitées. Le traitement est autorisé, par exemple, pour des motifs d’intérêt public importants qui sont décrits dans la législation nationale.

Notre pays prévoit trois types de traitement qui peuvent être considérés comme des traitements nécessaires pour des motifs d’intérêt public importants, à savoir le traitement par :
  • des associations qui œuvrent à la défense des droits de l’homme ;
  • Child Focus ; et
  • des associations qui assurent l’aide aux délinquants sexuels.

Attention : ces associations ne sont pas autorisées à traiter des données à caractère personnel sans condition. Le traitement doit, comme l’exige le RGPD, être proportionné au regard de la finalité poursuivie et respecter le droit à la protection des données. En outre, des mesures appropriées et spécifiques doivent être prises pour protéger les droits fondamentaux et les intérêts vitaux de la personne concernée.

Le traitement de données génétiques et biométriques par ces associations et fondations aux fins d’identifier une personne physique de manière unique est interdit sur la base de ce régime complémentaire général. Ce type de traitement ne peut intervenir que si une disposition légale particulière l’autorise.

Condamnations pénales

En vertu du RGPD, les données à caractère personnel relatives à des condamnations pénales et des infractions peuvent être traitées, à condition, notamment, que la législation nationale l’autorise et qu’elle offre des garanties appropriées pour les droits et libertés de la personne concernée. Le législateur belge autorise désormais le traitement de données à caractère personnel relatives à des condamnations pénales ou à des infractions si la personne concernée a expressément marqué son accord par écrit au traitement de ces données à caractère personnel pour des finalités spécifiques. Le traitement sera également autorisé s’il porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée, de sa propre initiative et pour des finalités spécifiques. Dans les deux cas, le traitement doit se limiter à ces finalités.

Dérogations aux droits de la personne concernée

Le RGPD confère de très nombreux droits à la personne dont les données à caractère personnel sont traitées (« la personne concernée »). Notamment le droit à l’information, le droit de consultation, le droit de rectification des données inexactes, le droit d’opposition, le droit à l’oubli, le droit à la limitation du traitement, le droit à la portabilité des données et le droit d’être informée des violations de la sécurité.

Le législateur belge énumère un certain nombre de cas strictement définis dans lesquels il peut être dérogé à ces droits. Ces droits ne sont pas d’application, notamment, lorsque le responsable du traitement dispose de données à caractère personnel qui proviennent directement ou indirectement des autorités judiciaires, des services de police, de l’inspection générale de la police fédérale ou de la police locale, de la Cellule de Traitement des Informations financières (CTIF), de l’Administration générale des douanes et accises et de l’Unité d’information des passagers (UIP). Ces droits ne s’appliquent pas davantage aux traitements de données à caractère personnel par l’UIP elle-même. Et ils ne s’appliquent toujours pas lorsque le responsable du traitement dispose de données à caractère personnel émanant directement ou indirectement des services de renseignement et de sécurité, de l’OCAM ou de l’Autorité de sécurité nationale, entre autres.

Protocoles

Lorsque la police fédérale communique des données à d’autres autorités ou à des organismes privés, elle formalise cette transmission, pour chaque type de traitement, par un protocole entre le responsable du traitement initial et le responsable du traitement destinataire des données. Le protocole peut mentionner, notamment, les finalités pour lesquelles les données à caractère personnel sont transférées, les catégories de données à caractère personnel transférées, la base légale et la périodicité du transfert et les sanctions applicables en cas de non-respect du protocole.

Délégué à la protection des données

Un organisme privé qui traite des données à caractère personnel pour le compte d’une autorité publique fédérale ou à qui une autorité publique fédérale a transféré des données à caractère personnel est tenu de désigner un délégué à la protection des données, s’il ressort d’une analyse d’impact sur la protection des données qu’il s’agit d’un traitement susceptible d’engendrer un risque élevé pour les droits et les libertés de personnes physiques.

Fins journalistiques

Notre pays décharge de certaines obligations du RGPD le traitement des données à caractère personnel à des fins journalistiques et à des fins académiques, artistiques ou littéraires.

Recherche scientifique ou historique

Lors du traitement de données à caractère personnel à des fins scientifiques ou historiques ou à des fins statistiques, les États membres peuvent déroger à certains droits que le règlement RGPD reconnaît à la personne concernée. Des dérogations sont également possibles pour le traitement à des fins archivistiques dans l’intérêt public. La Belgique fait usage de cette possibilité, non sans prévoir une série de garanties pour les droits et libertés des personnes concernées.

Action en cessation

Le président du tribunal de première instance, siégeant comme en référé, constate l’existence d’un traitement constituant une violation aux dispositions légales ou réglementaires concernant la protection de la vie privée dans le cadre du traitement de données à caractère personnel. Il peut ordonner la cessation de ce traitement.

Il connaît de toute demande relative au droit d’obtenir communication de données à caractère personnel traitées. Toute demande tendant à faire rectifier, supprimer ou interdire d’utiliser des données à caractère personnel inexactes, incomplètes ou non pertinentes ou dont l’enregistrement, la communication ou la conservation est interdite et au traitement desquelles la personne concernée s’est opposée ou qui ont été conservées au-delà de la période autorisée, relève de sa compétence.

Attention toutefois. À partir du moment où le traitement concerne des données à caractère personnel traitées lors d’une information, d’une instruction, d’une procédure pénale devant le juge de fond ou d’une procédure d’exécution d’une peine pénale, le président du tribunal de première instance n’intervient plus. Dans ces différents cas, la décision relative à la rectification, l’effacement ou l’interdiction d’utiliser les données à caractère personnel ou la limitation du traitement appartient exclusivement, suivant la phase de la procédure, au ministère public ou au juge pénal compétent.

L’action en cessation est introduite par requête contradictoire. Le demandeur choisit lui-même devant quel président du tribunal de première instance il porte son action. Trois options s’offrent à lui : son domicile ou sa résidence s’il est lui-même la personne concernée ; le domicile, la résidence, le siège social ou le lieu d’établissement du défendeur ; ou le lieu où est accompli le traitement. L’action peut être formée à la demande de la personne concernée ou de l’autorité de contrôle compétente.

Les cours et tribunaux belges ont une compétence internationale.

À la suite de l’action en cessation, le demandeur peut réclamer la réparation de son dommage conformément à la responsabilité contractuelle ou extracontractuelle.

Représentation

Quiconque estime qu’il y a eu violation de sa vie privée peut se faire représenter par un organe, une organisation ou une ASBL, qui peut alors introduire une réclamation en son nom et exercer en son nom les recours administratifs ou juridictionnels, soit auprès de l’autorité de contrôle compétente, soit auprès de l’ordre judiciaire, et à condition toutefois d’être actif depuis au moins trois ans dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel.

Sanctions

Des sanctions administratives sont prévues pour la quasi-totalité des obligations du RGPD. Les infractions graves sont assorties de sanctions pénales.

Entrée en vigueur

La nouvelle loi du 30 juillet 2018 est entrée en vigueur le 5 septembre 2018. La Loi sur la protection de la vie privée du 8 décembre 1992 et son principal arrêté d’exécution, l’AR du 13 février 2001, sont abrogés.

Source: Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, MB 5 septembre 2018.
Voir également :
Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), JO L 119 du 4 mai 2016.
Ilse Vogelaere
  432