La Belgique implémente la directive européenne sur la protection de la vie privée pour le traitement des données à caractère personnel par la police et la justice

Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Nous savons tous que depuis le 25 mai 2018, avec l’entrée en vigueur du règlement RGPD (Règlement général sur la protection des données ou ‘General Data Protection Regulation’) du 27 avril 2016, de nouvelles règles sont d’application en matière de protection de la vie privée. Ce même 27 avril 2016, la Commission européenne a également adopté un autre cadre étendu regroupant des règles de protection de la vie privée : la Directive européenne sur la protection de la vie privée Police-Justice (2016/680). Elle contient des dispositions spécifiques à la protection des données dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière.

À de très nombreux égards, cette directive est un reflet du RGPD. Elle est rédigée de la même manière et contient des droits et obligations similaires, mais elle prévoit également des règles spécifiques adaptées aux besoins des services de police et de justice en Europe. Dans l’exercice de leurs missions, ceux-ci traitent en effet des informations sensibles et des données à caractère personnel. Une attention particulière est donc requise pour garantir le droit au respect de la vie privée, tout en veillant également à la sécurité publique.

À la différence du RGPD, règlement directement d’application dans les États membres, il s’agit ici d’une directive. Les dispositions ne s’appliquent donc pas directement, les États membres doivent les mettre en œuvre dans leur législation et réglementation nationales. La Belgique n’est pas une exception.

Notre législateur a décidé d’intégrer les dispositions de transposition dans la Loi-cadre sur le traitement des données à caractère personnel du 30 juillet 2018. Cette loi transpose dès lors la Directive sur la protection de la vie privée Police-Justice, mais elle aborde aussi en profondeur la mise en œuvre des règles RGPD (le RGPD laisse en effet une marge pour une interprétation nationale limitée ; c’est ce que l’on appelle la clause ouverte). Enfin, le législateur crée un cadre dérogatoire pour les autorités et les traitements qui ne relèvent pas du champ d’application de l’UE, les services de renseignement et de sécurité, par exemple. Ces différents points seront davantage examinés dans une information ultérieure.

Règles de protection de la vie privée police-justice

La directive 2016/680 — et désormais aussi la Loi-cadre belge sur le traitement des données à caractère personnel du 30 juillet 2018 — contient des règles pour la protection des données à caractère personnel qui sont traitées à des fins de prévention et de détection d’infractions pénales et de poursuites en la matière ou d’exécution de sanctions pénales. Le texte aborde aussi l’échange de telles données avec les autorités compétentes d’autres pays.

Champ d’application

Le champ d’application ne vise que les services qui ont exclusivement ou essentiellement des compétences en matière de recherche et de détection des infractions pénales :
  • les services de police ;
  • les autorités judiciaires : les cours et tribunaux de droit commun et le ministère public (à noter qu’il s’agit de l’ensemble des institutions dont la fonction est de faire appliquer la loi en tranchant les litiges, c’est-à-dire les magistrats, tribunaux et organes concourant à l’exercice du pouvoir de juger dans l’ordre judiciaire, tels que les greffes et les collèges des cours et tribunaux) ;
  • les services Enquêtes du Comité permanent P et du Comité permanent I ;
  • le service de l’inspection générale de la police fédérale (AIG) ;
  • l’unité de renseignements passagers dans le cadre de la législation PNR ;
  • la Cellule de Traitement des Informations Financières (CTIF) ; et
  • l’Administration générale des douanes et accises. La Loi-cadre constitue la base pour toutes les missions que doit exécuter l’AGDA, non seulement les missions relatives aux douanes et accises (fiscal et pénal) pour lesquelles il existe une obligation de déclaration, mais aussi toutes les missions pour lesquelles diverses législations imposent à l’AGDA des tâches de constatation et de recherche, notamment en cas de commerce depuis, vers ou par l’Union européenne. Peuvent être citées, à titre d’exemples, les missions de l’AGDA en matière de précurseurs de drogues, d’autorisations économiques, de trafic d’armes, de diamants, de sécurité alimentaire, de contrefaçon, de déchets, de CITES, etc.

Attention : ces règles s’appliquent uniquement lorsque ces services traitent des données à caractère personnel à des fins de prévention et de détection d’infractions pénales et de poursuites en la matière ou d’exécution de sanctions pénales. S’ils traitent des données à caractère personnel à d’autres fins, par exemple pour la gestion des ressources humaines, c’est bien le RGPD qui s’applique. La banque de données relative aux jeux de hasard est également soumise au règlement RGPD.

Définitions et principes de base du traitement

Bien que le droit belge soit très strict dans le domaine du respect de la vie privée et réponde déjà en grande partie aux exigences de la directive (à travers des lois, décrets et ordonnances sectoriels), le législateur a opté pour une transposition détaillée des dispositions. Les différentes définitions de la directive sont reprises, notamment la définition des « données à caractère personnel », du « responsable du traitement » ou encore de l’« autorité de contrôle ».

Les principes de base du traitement trouvent également place dans la loi. Les services concernés doivent veiller à ce que les données à caractère personnel :
  • soient traitées de manière licite et loyale ;
  • soient collectées pour des finalités déterminées, explicites et légitimes et ne soient pas traitées d’une manière incompatible avec ces finalités ;
  • soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;
  • soient exactes et, si nécessaire, mises à jour (toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder) ;
  • soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • soient traitées avec des mesures techniques et organisationnelles adéquates de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts.

Traitement ultérieur

Le texte précise les principes qui s’appliquent dans le cadre du « traitement ultérieur ». Ce traitement ultérieur est opéré par le même ou par un autre responsable du traitement, pour une finalité autre que celles pour lesquelles les données ont été collectées ou pour une finalité qui ne s’inscrit pas dans la prévention et la détection des infractions pénales, les poursuites en la matière ou l’exécution de sanctions pénales.

En vertu de la règle générale, le traitement ultérieur à des fins de prévention et de détection des infractions pénales, de poursuites en la matière ou d’exécution de sanctions pénales qui sont autres que les fins pour lesquelles les données ont été collectées est autorisé aux conditions suivantes :
  • le responsable du traitement est autorisé à traiter ces données à caractère personnel pour une telle finalité conformément à la loi, au décret, à l’ordonnance, au droit de l’Union européenne et à la convention internationale ; et
  • ce traitement est nécessaire et proportionné conformément à la loi, au décret, à l’ordonnance, au droit de l’Union européenne et à la convention internationale.

Un traitement ultérieur en dehors du cadre de la prévention et de la détection des infractions pénales, des poursuites en la matière ou de l’exécution de sanctions pénales n’est autorisé que si la finalité poursuivie est permise conformément à la loi, au décret, à l’ordonnance, au droit de l’Union européenne et à la convention internationale.

For police use only

Les autorités compétentes qui transmettent les données collectées aux destinataires dans les autres États membres de l’Union européenne ne peuvent appliquer des conditions spécifiques supplémentaires autres que celles applicables aux transferts nationaux de données.

Il convient de souligner ici que cela ne concerne que les conditions relatives à la protection des données à caractère personnel, car il est supposé que tous les pays de l’Union européenne appliquent les mêmes normes élevées de protection des données. D’autres conditions peuvent toutefois être imposées. L’interdiction d’utiliser des données personnelles échangées entre les services de police comme preuve en matière pénale (« for police use only ») sans le consentement du ministère public, par exemple, ne vise pas à protéger les données à caractère personnel du point de vue de la vie privée. Cette condition est imposée pour des raisons de coopération policière et judiciaire et de fiabilité des preuves. Une telle condition peut donc encore être imposée en cas d’échange de données personnelles entre forces de police au sein de l’UE.

Traitement des données à caractère personnel

Lors du traitement des données à caractère personnel, une distinction claire est établie, le cas échéant et dans la mesure du possible, entre les catégories de personnes concernées, telles que suspects, personnes reconnues coupables d’une infraction pénale, victimes, témoins, personnes détenant des informations ou des contacts utiles et complices de personnes soupçonnées et de criminels condamnés.

Les données à caractère personnel fondées sur des faits doivent être distinguées, autant que possible, de celles fondées sur des appréciations personnelles.

Le traitement est licite :
  • s’il est nécessaire à l’exécution d’une mission exécutée par l’une des autorités compétentes à des fins légalement encadrées de prévention et de détection des infractions pénales, de poursuites en la matière ou d’exécution de sanctions pénales ; et
  • s’il est fondé sur une obligation légale ou réglementaire.

Droits de la personne concernée

Le responsable du traitement doit prendre des mesures appropriées pour informer la personne concernée de, notamment, les finalités du traitement, l’existence du droit d’introduire une plainte auprès de l’autorité de contrôle, l’existence du droit de demander l’accès aux données à caractère personnel, l’existence du droit de faire rectifier et compléter des données à caractère personnel inexactes ou encore la durée de conservation des données à caractère personnel. Ces différents sujets sont abordés plus en détail dans la Loi-cadre.

Registre des activités de traitement

Chaque responsable du traitement doit tenir un registre des catégories d’activités de traitement effectuées sous sa responsabilité. Ce registre contient, entre autres, le nom et les coordonnées du responsable du traitement ou sous-traitant (ou de son délégué ou représentant), les finalités du traitement, les catégories de personnes concernées, les catégories de données à caractère personnel et les catégories de destinataires.

Sécurité

Le responsable du traitement et le sous-traitant prennent les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque en ce qui concerne le traitement des données à caractère personnel (état des connaissances, coûts de mise en œuvre, nature et contexte des finalités, gravité des risques pour les droits et libertés des personnes physiques, etc.).

Toute violation de la sécurité est notifiée dans les meilleurs délais, excepté lorsque l’infraction n’engendre pas de risque pour les droits et les libertés d’une personne physique.

Délégué à la protection des données

Le responsable du traitement désigne un ou plusieurs délégués à la protection des données. Les modalités le ou les concernant seront définies ultérieurement par AR.

Organe de contrôle de l’information policière

L’Organe de contrôle de l’information policière est désigné comme autorité de contrôle indépendant (Data Protection Authority). Il contrôlera donc l’application de la directive et de la Loi-cadre.

L’Organe de contrôle existe déjà, mais la Loi-cadre fixe au Titre VII un cadre juridique totalement neuf. Sa structure, sa composition et son fonctionnement sont modifiés pour répondre aux exigences de respect de la vie, mais aussi pour éviter un vide juridique. Conformément à la législation actuelle, un Organe de contrôle de l’information policière est en effet créé au sein de la Commission de la protection de la vie privée. Les nouvelles règles en matière de respect de la vie privée ayant entraîné le remplacement de la Commission de la protection de la vie privée par la nouvelle Autorité de protection des données, une nouvelle base s’imposait pour la création de cette autorité.

La directive laisse aux États membres la liberté de confier à l’autorité de contrôle des rôles parallèles qui sont compatibles à son rôle principal. C’est pourquoi le législateur a décidé de charger l’Organe de contrôle de surveiller l’utilisation des caméras à des fins policières administratives.

Enfin, les missions, tâches et compétences actuelles en matière de gestion de l’information policière sont poursuivies et pérennisées. Les membres actuels restent en service.

Entrée en vigueur

Les Titres II et VII de la Loi-cadre sur le traitement des données à caractère personnel du 30 juillet 2018 sont en vigueur depuis le 5 septembre 2018, soit le jour de la publication au Moniteur belge.

Source: Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, MB 5 septembre 2018 (Titres II et VII).
Voir également :
Règlement (UE) n° 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, JO L 119 du 4 mai 2018.
Laure Lemmens
Wolters Kluwer
  761