La nouvelle loi sur la protection de la vie privée est entrée en vigueur

Pascale Blondiau - Novembre 2001
   ImprimerImprimer   

L'auteur

Pascale Blondiau

L'arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel est entré en vigueur le 1er septembre 2001, concrétisant dans le droit belge la transposition de la directive européenne du 24 octobre 1995. En effet, une loi du 11 décembre 1998 avait adapté la loi du 8 décembre 1992 aux dispositions de la directive, la modifiant en profondeur. Cette réforme n'était cependant pas encore entrée en vigueur, dans l'attente d'un nouvel arrêté royal d'exécution. Longuement mûri, celui-ci a vu le jour le 13 février 2001 [1]. Les lignes qui suivent sont consacrées au nouveau régime, en vigueur depuis le 1er septembre 2001, spécialement sous l'angle de ses implications pour les communes.


I. LA LOI DU 11 DECEMBRE 1998

La loi impose un principe de transparence et de respect de l'ensemble des libertés et droits fondamentaux des personnes physiques, en ce compris la protection de sa vie privée, dans le traitement des données à caractère personnel les concernant "toute personne a droit au respect de sa vie privée, lors du traitement des données à caractère personnel qui la concernent" [2].

La notion de "respect" indique que la vie privée ne bénéficie pas d'une protection absolue mais qu'une atteinte ne peut être justifiée que si l'inconvénient que la personne en éprouve n'est pas disproportionnel par rapport à l'intérêt qui justifie cette atteinte [3].

Nous allons tenter de décrire les conditions dans lesquelles semblable atteinte peut intervenir. Avant cela, il est cependant indispensable de bien cerner notre propos …


A. NOUVEAUX CONCEPTS

1. Que sont les données à caractère personnel?

Il s'agit de "toute information concernant une personne physique identifiée ou identifiable". Il peut s'agir du numéro de téléphone d'une personne, de sa fonction, de la mention de sa présence et de ses interventions à une réunion, etc.

La nouvelle loi répute comme identifiable "une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale" (art. 1er, par. 1er). Selon les travaux préparatoires, dès lors qu'il existe un moyen raisonnablement utilisable d'identifier les personnes concernées, soit dans le chef du responsable du traitement, soit même par un tiers, il s'agit d'une donnée à caractère personnel dont le traitement est susceptible d'être réglementé par la loi.

2. Qu'est-ce qu'un traitement de données à caractère personnel?

La notion de "traitement" a été sensiblement modifiée. Par traitement, on entend dorénavant "toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliqués à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de données à caractère personnel" (art. 1er, par. 2).

Dorénavant, le traitement existe, que des procédés automatisés soient utilisés ou non [4]. Par ailleurs, la loi s'applique à chaque opération effectuée sur les données et non pas qu'en ce qui concerne ce qui est contenu au sein des banques de données ou des fichiers. Ainsi, la simple collecte de données constitue déjà un traitement. A cet égard, la loi a fait l'objet de vives critiques. On a souvent reproché aux auteurs de la loi de faire fi de la réalité et d'avoir créé par conséquent un système en dehors de toute réalité dont l'application pratique laisse à désirer: quelle est par exemple la portée de l'obligation d'information et de notification quand les données consultées ne font aucunement l'objet d'une conservation ou d'un enregistrement par la personne qui les consulte [5]?

3. Qu'est-ce que le responsable du traitement?

Les concepts de "maître du fichier" et de "gestionnaire du traitement" font place aux notions de "responsable du traitement" et de "sous-traitant".

Le "responsable du traitement" est la personne physique, morale ou l'administration publique qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel (art. 1er, par. 4). La loi précise que, lorsque les finalités et les moyens du traitement sont déterminés par la loi, le responsable est la personne physique ou morale désignée par ladite loi.

Dans le cadre des activités communales, différentes hypothèses peuvent se présenter. Soit une loi, un décret ou un arrêté d'exécution désigne le responsable du traitement (par exemple, la commune).

Soit c'est l'organe ou la personne qui a le pouvoir de décision sur ce traitement, celui qui décide de le mettre en place dans un but particulier, qui sera le responsable du traitement [6].

Par "sous-traitant", on entend la personne physique ou morale, l'association de fait ou l'administration publique qui traite des données à caractère personnel pour le compte du responsable du traitement et est autre que la personne qui, placée sous l'autorité directe du responsable du traitement, est habilitée à traiter les données. On peut penser, par exemple, à un secrétariat social chargé du traitement des salaires.


B. CHAMP D'APPLICATION DE LA LOI

1. Principe

La loi s'applique à tout traitement de données à caractère personnel automatisé en tout ou en partie, ainsi qu'à tout traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Précisons que la protection organisée par la loi est limitée aux personnes physiques; les personnes morales ne sont pas visées. Ainsi, par exemple, une liste des intercommunales dont la commune est membre peut être gérée librement par cette dernière [7].

Sur le plan territorial, la loi s'applique lorsque le traitement est effectué dans le cadre des activités réelles et effectives d'un établissement fixe du responsable du traitement sur le territoire belge ou un lieu où la loi belge s'applique en vertu du droit international public.

2. Exceptions

Il existe une série de cas dans lesquels la loi ne s'applique pas ou ne s'applique que partiellement. Seuls ceux qui intéressent les autorités publiques retiendront notre attention.

Ainsi, les traitements de données à caractère personnel à finalité de sécurité publique échappent à une série de dispositions de la loi lorsqu'ils sont gérés non seulement par la Sûreté de l'Etat mais aussi par le Service général du renseignement et de la sécurité des forces armées, par l'autorité de sécurité, par les officiers de sécurité et par le Comité permanent de contrôle des services de renseignements et d'enquête, lorsqu'ils sont nécessaires aux missions de ces services [8].

Toute une série d'exceptions aux droits à l'information ainsi qu'aux droits d'accès et de rectification de la personne concernée est aussi prévue à l'égard des traitements effectués par des autorités publiques, principalement les services de police, en vue de l'exercice de leurs missions de police judiciaire et administrative [9].

Plus précisément, il s'agit:

  • de toute autorité publique exerçant des missions de police judiciaire;
  • des services de police visés à l'article 3 de la loi du 18 juillet 1991 en vue de l'exercice de leurs missions de police administrative;
  • d'autres autorités publiques désignées par arrêté royal en vue de l'exercice de leurs missions de police administrative [10];
  • du Comité permanent de contrôle des services de police et de son service d'enquêtes en vue de l'exercice de leurs missions légales.

Enfin, notons que pour les traitements effectués en application de certaines lois, il conviendra de se référer au régime organisé par ces lois. "Certaines exceptions découlent simplement de l'application des lois qui ont généré la création du fichier concerné. Les registres de population, le registre des cartes d'identité, le registre d'attente, etc. sont autant d'exemples de cet état de choses. En effet, puisque la loi impose l'inscription dans les registres de population ou la délivrance d'une carte d'identité, la faculté de contester ou de refuser l'enregistrement n'existe pas. Dans ce cas, l'exonération d'information des personnes concernées est automatique pour les communes" [11].


C. CONDITIONS GENERALES DE LICEITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL

Le traitement de données à caractère personnel ne peut intervenir que dans une série de cas limitativement énumérés dans la loi et dans le respect de certains principes de gestion, eux aussi définis par le texte.

1. Cas dans lesquels des données à caractère personnel peuvent être traitées

Il s'agit de cas dans lesquels un traitement peut être considéré a priori comme licite, encore faut-il que le traitement soit légitime (cf. infra). Une commune ne pourra recueillir et utiliser des données à caractère personnel que dans les cas suivants [12]:

  • lorsque la personne concernée a indubitablement donné son consentement [13];
  • lorsque c'est nécessaire à la tenue de négociations ou à l'exécution d'un contrat auquel la personne concernée est partie;
  • lorsque c'est imposé par une obligation à laquelle la commune est soumise en vertu d'une loi ou d'un décret;
  • pour l'exécution d'une mission d'intérêt public relevant de l'autorité de la commune (fichier des abonnés à la bibliothèque, fichier des élèves,...);
  • lorsque c'est nécessaire à la réalisation de l'intérêt légitime de la commune et que l'intérêt ou les libertés et droits fondamentaux de la personne concernée ne prévalent pas (fichier des repas sociaux, fichier des fournisseurs, etc.). Ainsi, même si le traitement est nécessaire au responsable, il ne pourra être poursuivi si l'opposition des intérêts en présence se résout en faveur de la personne concernée [14].

2. Gestion des données à caractère personnel

Pour gérer légalement les données à caractère personnel, le responsable du traitement doit respecter une série de principes. Ceux-ci se retrouvent dans l'article 4 de la loi.

Les données doivent être:

  1. traitées loyalement et licitement.
    Pour être licite, un traitement de données doit respecter l'ensemble des prescrits légaux et réglementaires applicables. La loyauté du traitement évoque la transparence des opérations propres au traitement. Cela implique principalement l'information donnée - dès la collecte - aux personnes concernées par le traitement de ce que la commune "fait" de ces données, but d'utilisation des données, entre quelles mains elles se trouvent, à quelles fins elles sont communiquées, etc. [15].

  2. Elles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables (...) [16].

    Le principe de finalité des traitements, véritable "pierre angulaire" [17] de la protection, est repris dans la nouvelle loi. La finalité de la collecte des données doit être déterminée et annoncée a priori, c'est-à-dire avant la collecte, par le responsable du traitement. En conséquence, un traitement sans but précis, sans motif de base, n'est pas autorisé (principe de finalité).

    "L'articulation entre les articles 4, 2°, et 5 de la nouvelle loi doit être bien comprise (...) le fait de se trouver dans un des cas énoncés ci-avant - c'est-à-dire décrits par l'article 5 - n'emporte pas par lui-même le respect de l'article 4, 2°. Les différentes dispositions doivent au contraire s'appliquer cumulativement. Ainsi, le consentement de la personne concernée ne permet pas nécessairement - même si ce sera souvent le cas - de légitimer la finalité du traitement" [18].

    Par ailleurs, il faut que cette finalité soit non seulement énoncée mais également qu'elle soit bien déterminée et légitime. Cela signifie que la finalité ne peut impliquer elle-même une atteinte disproportionnée aux droits et libertés individuels de la personne concernée au nom des intérêts poursuivis par le responsable du traitement (la commune) [19].

    Enfin, les données ne peuvent pas être utilisées d'une manière qui est incompatible avec la fin. Par exemple, si la commune tient un fichier des demandeurs de permis de bâtir, la finalité légitime du traitement est la bonne gestion de l'aménagement du territoire communal. Utiliser les données contenues dans ce fichier pour les communiquer aux entreprises générales de construction ne serait nullement conforme à la finalité du traitement [20].

  3. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement (principe de proportionnalité).

    Il s'agit d'une reprise du principe de proportionnalité déjà présent dans l'ancienne loi. Le nouveau texte l'élargit au traitement ultérieur. La règle signifie que seules les données nécessaires à l'égard de la finalité visée peuvent être collectées et traitées.

  4. Elles doivent également être exactes et, si nécessaire, mises à jour.

    La commune doit prendre les mesures concrètes pour effacer ou rectifier les données inexactes ou incomplètes dont elle a connaissance (principe de qualité des données).

  5. Enfin, elles doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement.

    Si la finalité du traitement n'exige plus l'utilisation des données, leur effacement s'impose [21]. En d'autres termes, les données ne peuvent être conservées indéfiniment. Elles peuvent être conservées pendant la durée nécessaire à la réalisation des objectifs annoncés mais pas au-delà.

3. Traitement de certaines catégories de données

La loi interdit de collecter certaines données sensibles. Il s'agit des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que les données relatives à la vie sexuelle et à la santé [22].

Les données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale ainsi que les données relatives à la vie sexuelle et à la santé, ne pourront être exceptionnellement récoltées qu'avec l'accord écrit de la personne concernée ou lorsque ces données sont rendues manifestement publiques par la personne concernée (l'appartenance à un groupe politique d'un mandataire communal, par exemple) [23] ou encore, pour les premières, lorsque le traitement est effectué en exécution de la loi du 4 juillet 1962 relative à la statistique publique [24].


D. DROITS DE LA PERSONNE CONCERNEE

Pour permettre à la personne concernée par les données d'exercer son droit au respect de sa vie privée, la loi lui octroie une série de droits (d'être informé, d'accès, de rectification et d'opposition), lesquels se traduisent en autant d'obligations à charge du responsable du traitement.

1. Droit du citoyen à être informé [25]

L'article 9 de la loi regroupe en un seul article les devoirs d'information de la personne concernée par le responsable du traitement.

a. Quand le responsable du traitement est-il tenu d'informer?

La commune, en tant que "responsable du traitement", se doit d'informer le citoyen, personne concernée, lorsqu'elle effectue un traitement de données à caractère personnel. Cette obligation d'information existe dans tous les cas, peu importe que le traitement soit manuel ou automatisé, et peu importe qu'il soit déclaré à la Commission de la protection de la vie privée ou exempté de la déclaration.

Le responsable du traitement doit fournir aux personnes dont les données sont collectées les informations énumérées ci-dessous "au plus tard au moment où ces données sont obtenues (...) sauf si la personne concernée en est déjà informée" [26]. Ainsi, l'information n'est requise que lorsque la personne concernée n'a pas connaissance encore des informations requises.

La loi régit aussi deux cas particuliers: soit la commune reçoit les informations d'un tiers, soit elle les transmet à un tiers.

- Dans le cas où les données proviennent d'un tiers (par exemple, un autre service) et non directement des personnes concernées, le responsable du traitement doit informer la personne concernée dès l'enregistrement des données, sauf si la personne en est déjà informée.

- Dans le cas où les données sont communiquées à un tiers (une association communale, un mandataire communal, etc.), le responsable du traitement devra fournir ces informations dès la première communication, sauf si la personne en est déjà informée.

Dans ces deux cas particuliers, la commune est toutefois dispensée de son obligation d'information lorsque:

  • en particulier pour un traitement aux fins de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés;
  • l'enregistrement ou la communication des données à caractère personnel est effectué en vue de l'application d'une disposition prévue par la loi ou un décret [27],

le tout aux conditions fixées par arrêté royal (cf. infra).

b. Quelles informations faut-il fournir?

Lorsque la commune met en œuvre un traitement, elle doit:

  • décliner le nom et l'adresse du responsable du traitement des données et, le cas échéant, de son représentant;
  • énoncer les finalités du traitement, c'est-à-dire informer le citoyen du but poursuivi par la collecte de données (par exemple, accélérer le service, informer l'usager de nouveaux services, etc;
  • informer l'usager de son droit de s'opposer gratuitement à l'utilisation des données le concernant à des fins de marketing direct (c-à-d. dans l'hypothèse où les données sont récoltées à ces fins, ce qui nous paraît être une hypothèse assez marginale dans le cas des communes).

Elle doit également fournir les informations supplémentaires suivantes si et seulement si elles sont nécessaires pour garantir un traitement loyal à la personne concernée:

  • informer le citoyen de son droit d'accès aux données le concernant conservées par la commune;
  • informer l'usager de son droit de rectifier les données le concernant;
  • informer la personne concernée des catégories de destinataires des données lorsque les données sont transférées à des tiers;
  • déterminer le caractère obligatoire ou facultatif de la réponse aux questions ainsi que les conséquences d'un défaut de réponse.

c. Comment faut-il fournir ces informations?

La manière dont cette information doit parvenir à la personne concernée n'est pas déterminée dans la loi, une information orale peut suffire [28].

Lorsqu'elle se fait par écrit, la clause suivante peut être proposée: "Conformément à la loi relative à la protection de la vie privée, nous vous informons que la commune (nom + adresse) est la responsable du traitement des données que vous lui confiez concernant...

Ces données sont récoltées afin de....

Conformément à la loi sur la protection de la vie privée, vous disposez d'un droit d'accès, de modification, de rectification et, dans une certaine mesure, de suppression des données qui vous concernent. Pour l'exercer, adressez-vous à (nom + adresse du responsable du traitement).

Sauf opposition de votre part, elles pourront être communiquées à des tiers (asbl communales, intercommunales,...)".

2. Exiger concrètement la transparence du traitement des données à caractère personnel (droit d'accès)

La commune doit donner certaines informations à la demande (datée et signée) de la personne qui apporte la preuve de son identité [29].

Les informations à donner en réponse à une demande sont les suivantes:

  • la confirmation que des données concernant le demandeur sont ou ne sont pas traitées;
  • les informations portant sur les finalités du traitement;
  • les données traitées elles-mêmes;
  • l'origine des données (lorsqu'elle est disponible);
  • l'avertissement de la possibilité pour la personne d'exercer certains recours: le droit d'opposition, de rectification, de suppression et le droit de s'adresser au président du tribunal de première instance pour faire valoir ses droits;
  • en cas de traitement automatisé, la personne concernée a le droit d'obtenir communication de la logique qui sous-tend le traitement.

Ces renseignements doivent être communiqués sans délai et au plus tard dans les 45 jours de la réception de la demande.

3. Exiger concrètement un traitement légal des données à caractère personnel

La commune doit accepter, sur demande datée et signée, de [30]:

  • rectifier sans frais toutes données à caractère personnel inexactes, à la demande de la personne concernée (droit de rectification);
  • ne pas traiter les données à caractère personnel, lorsque la personne concernée s'y est opposée pour des raisons sérieuses et légitimes tenant lieu à une situation particulière (droit d'opposition) [31]. Le droit d'opposition ne pourra cependant être invoqué lorsque la licéité du traitement est basée sur l'article 5b (traitement strictement nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures contractuelles prises à la demande de celle-ci) ou l'article 5c (traitement nécessaire au respect d'une obligation à laquelle le responsable du traitement est soumis par ou en vertu d'une loi, d'un décret, d'une ordonnance);
  • ne pas traiter les données à caractère personnel collectées à des fins de marketing direct lorsque la personne concernée s'y est opposée (sans justification et gratuitement) [32];
  • supprimer ou ne pas utiliser, à la demande de la personne concernée, les données à caractère personnel qui sont incomplètes, non pertinentes ou conservées au-delà de la période autorisée compte tenu du but du traitement (droit de suppression).

La commune devra alors procéder aux rectifications ou effacements de données et les communiquer au requérant et aux tiers [33] auxquels l'information a été donnée, dans le mois de la demande.


E. CONTROLE DES TRAITEMENTS

1. Contrôles internes: confidentialité et sécurité du traitement [34]

Déjà sous l'ancienne loi, un certain nombre de mesures de sécurité devaient être prises. Cette obligation a été reprise dans la nouvelle loi (art. 16) et ne connaît pas de grands changements si ce n'est qu'elle a été étendue au sous-traitant.

Afin de garantir la sécurité des données à caractère personnel, la commune (et son éventuel sous-traitant) doit prendre les mesures techniques et organisationnelles requises. Cette protection doit être effective contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.

Les mesures prises doivent être d'un niveau adéquat, compte tenu de l'état de la technique (technologie standard qui existe sur le marché) et des frais qu'entraînent de telles mesures [35].

a. Lorsque la commune traite elle-même les données [36]

La commune doit:

  • mettre tout en œuvre pour tenir les données à jour, pour rectifier ou supprimer les données inexactes, incomplètes ou non pertinentes;
  • veiller à ce que les personnes qui travaillent sous son autorité n'aient qu'un accès limité aux données et à ce dont elles ont besoin pour l'exercice de leurs fonctions ou ce qui est nécessaire pour les nécessités du service;
  • informer les personnes agissant sous son autorité des dispositions de la loi sur la protection de la vie privée et des prescriptions pertinentes en matière de protection de la vie privée.

b. Lorsque la commune confie le traitement à un sous-traitant [37]

Dans l'hypothèse où la commune confie totalement ou partiellement le traitement à un sous-traitant, elle doit, en tant que responsable du traitement, choisir le sous-traitant en s'assurant que celui-ci apporte des garanties suffisantes de sécurité technique et d'organisation du traitement.

La commune doit fixer dans le contrat qui la lie au sous-traitant:

  • des contraintes de sécurité et de confidentialité des données à caractère personnel;
  • la responsabilité du sous-traitant à son égard;
  • que le sous-traitant n'agit que sur la seule instruction du responsable du traitement;
  • que le sous-traitant est tenu aux mêmes obligations que le responsable du traitement.

2. Contrôles externes

En principe, la commune doit faire une déclaration auprès de la Commission de la protection de la vie privée préalablement à la mise en œuvre d'un traitement automatisé [38]. Cette déclaration permettra à la Commission de s'assurer de la conformité du traitement déclaré avec les principes de la loi.

Plusieurs tempéraments doivent être apportés à cette obligation. D'une part, les traitements "manuels" ne sont pas visés par l'obligation de déclaration. D'autre part, la loi prévoit que semblable déclaration ne doit pas intervenir lorsque le traitement a pour seul objet la tenue d'un registre qui, par ou en vertu d'une loi, d'un décret ou d'une ordonnance, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime [39]. Enfin, l'arrêté royal du 13 février 2001 prévoit une série de cas dans lesquels les communes bénéficient d'une exemption de déclaration de traitement (cf. infra).

Dans cette déclaration, la commune doit mentionner:

  • la date de la déclaration et, lorsque c'est le cas, la loi, le décret ou l'acte réglementaire décidant de la création du traitement automatisé;
  • la dénomination et l'adresse du responsable du traitement (la commune ou un service particulier);
  • la dénomination du traitement automatisé;
  • les finalités du traitement automatisé;
  • les catégories des données qui sont traitées;
  • les catégories de destinataires à qui les données peuvent être fournies;
  • les garanties imposées aux tiers lorsque les données leur sont communiquées;
  • les moyens d'information des personnes concernées;
  • le service auprès duquel s'exerce le doit d'accès;
  • la période après laquelle les données ne peuvent plus être gardées, utilisées ou diffusées;
  • une description générale des mesures prises pour assurer la sécurité du traitement.

La Commission adresse dans les trois jours ouvrables un accusé de réception de la déclaration. La Commission a le pouvoir de demander d'autres éléments d'information.

Il s'agit par la suite de veiller à la conformité de ce qui est réalisé par le traitement avec la déclaration adressée à la Commission. En cas de modification des finalités du traitement, il faut mettre à jour la déclaration.

Quiconque le veut à le doit de consulter le registre des traitements automatisés de données à caractère personnel qui est tenu auprès de la Commission de la vie privée.


F. SANCTIONS

Le non-respect des dispositions de la loi est sanctionné pénalement [40]: le responsable du traitement pourra être poursuivi s'il effectue un traitement en dehors du cadre légal fixé.


II. L'ARRETE ROYAL DU 13 FEVRIER 2001

Avant la transposition de la directive européenne par la loi du 11 décembre 1998, une quinzaine d'arrêtés royaux portant exécution de la loi du 8 décembre 1992 avaient été promulgués. L'une des principales caractéristiques de l'arrêté commenté réside dès lors dans le fait qu'il abroge la quasi-totalité des arrêtés royaux précédemment promulgués et les remplace, dans toute la mesure du possible, par un seul et unique arrêté général.

En voici brièvement le contenu.


A. TRAITEMENT ULTERIEUR DE DONNEES A CARACTERE PERSONNEL A DES FINS HISTORIQUES, STATISTIQUES OU SCIENTIFIQUES

La plus grande partie du texte est consacrée à l'organisation du régime des traitements ultérieurs de données à des fins historiques, statistiques ou scientifiques.

Pour rappel, la loi prévoit en son article 4, par. 1er, 2°, qu'"un traitement ultérieur (de données à caractère personnel) à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par le Roi, après avis de la commission de la protection de la vie privée".

Nous n'allons pas nous étendre sur le régime ainsi mis en place, par ailleurs assez complexe.

Précisons cependant que par "traitement ultérieur", l'hypothèse suivante est visée: le responsable du traitement qui traite des données à caractère personnel dans le cadre de ses activités habituelles et légitimes, souhaite réutiliser lui-même ces données ou désire les communiquer à un destinataire en vue d'une recherche scientifique, historique ou technique [41].

Par ailleurs, le système mis en place est "gradué": en principe, le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques ne peut être effectué qu'à l'aide de données anonymes [42]. Si un traitement ultérieur de données anonymes ne permet pas d'atteindre ces fins, alors le responsable du traitement ultérieur peut traiter des données à caractère personnel codées [43]. Enfin, si un traitement ultérieur de données codées ne permet pas d'atteindre ces fins, alors le responsable du traitement peut traiter des données à caractère personnel non codées [44].

Dans tous ces cas, le responsable du traitement doit suivre une procédure d'information et ces différents traitements sont soumis à diverses garanties et restrictions [45].

Notons que ces dispositions ne sont pas applicables aux services et autorités [46] visés à l'article 3, par. 4, de la loi, qui effectuent un traitement ultérieur à des fins historiques, statistiques ou scientifiques nécessaire à l'exercice de leur mission.

2. Traitement des données sensibles, médicales et judiciaires

L'arrêté [47] dresse ensuite le régime de traitement des données sensibles, médicales et judiciaires. La loi prévoit en effet des cas dans lesquels le traitement de ces données est admis, moyennant le respect de garanties supplémentaires, fixées dans l'arrête royal.

3. Conditions d'exemption à l'obligation d'information [48]

L'arrêté royal établit les conditions d'exemption de l'obligation d'information pesant sur le responsable du traitement, exemption ne pouvant jouer que lorsque les données n'ont pas été obtenues directement auprès de la personne concernée.

Pour rappel, plusieurs cas sont visés par la loi.

  • Le traitement ultérieur à des fins historiques, …

    Lorsque, en particulier pour un traitement aux fins de statistiques ou de recherche historique ou scientifique ou pour le dépistage motivé par la protection et la promotion de la santé publique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés, le responsable du traitement est dispensé de celle-ci.

    "Il y a lieu de déterminer précisément le champ d'application de cette exemption. Elle ne vise, en effet, que les cas où le responsable du traitement initial ou un tiers, qui n'ont pas obtenu les données directement auprès de la personne concernée, souhaitent ensuite traiter les données à des fins historiques, statistiques ou scientifiques. Il y a donc eu une information de la personne concernée au départ sur la finalité initiale mais pas concernant cette finalité ultérieure. Cela suppose également que le traitement ultérieur ne soit pas compatible avec la finalité initiale car sinon une information sur une finalité secondaire ne serait pas nécessaire" [49].

    L'arrêté royal prévoit cette exemption en faveur du responsable du traitement ultérieur des données codées à des fins historiques, statistiques ou scientifiques pour autant qu'il respecte les conditions fixées dans l'arrêté royal. "Désormais donc, lorsqu'un responsable collecte des données pour des finalités particulières et décide ultérieurement de réaliser des statistiques à partir de données récoltées qu'il coderait pour ce faire, il ne doit pas informer la personne concernée sauf s'il s'agit de données sensibles, médicales ou judiciaires" [50].

  • Lorsque l'enregistrement ou la communication est effectué sur base d'une obligation légale.

    La deuxième exemption concerne plus concrètement les communes: une autorité administrative chargée explicitement par ou en vertu de la loi de rassembler et de coder les données à caractère personnel et soumise à cet égard à des mesures spécifiques visant à protéger la vie privée, instituées par ou en vertu de la loi, est exempte de l'obligation d'information lorsqu'elle agit en tant qu'organisme intermédiaire [51]. L'arrêté vise ici des organismes tels que la Banque-carrefour ou l'INS. Ne pourrait-on pas y inclure les communes lorsqu'elles collaborent pour l'organisation de recensements de toutes sortes, organisés en exécution de la loi du 14 juillet 1962 relative à la statistique publique?

  • L'information se révèle impossible ou implique des efforts disproportionnés.

    Dans ce cas, le responsable du traitement doit communiquer l'information visée à l'article 9, par. 2, de la loi "à la première prise de contact avec la personne concernée" [52]. Lorsque le responsable du traitement communique les données à caractère personnel à un tiers, l'information visée à l'article 9, par. 2, est communiquée par ce tiers lors de la première prise de contact entre ce tiers et la personne concernée.

  • L'information se révèle impossible ou demande des efforts disproportionnés et il n'y a pas de prise de contact avec la personne intéressée.

    Dans ce cas, le responsable du traitement doit justifier de cette impossibilité dans la déclaration faite à la Commission sur base de l'article 17 de la loi.

4. Exercice du droit d'accès, de rectification et d'opposition

Les modalités du droit d'accès et du droit de rectification des données telles qu'elles sont prévues à l'article 10 de la loi sont précisées. Toute personne justifiant de son identité a le droit d'obtenir, dans les conditions prévues par la loi, communication de l'information visée à l'article 10 de la loi en adressant une demande signée et datée qu'elle remet sur place, ou qu'elle envoie par la poste ou par tout moyen de télécommunication [53] au responsable du traitement. En cas de remise de la demande sur place, la personne qui la reçoit délivre immédiatement un accusé de réception daté et signé à l'auteur de la demande.

Notons que les demandes de suppression et d'interdiction de traitement des données seront faites suivant la même procédure. Enfin, les modalités du droit de s'opposer au traitement effectué dans un but de marketing direct - hypothèse marginale pour les communes - sont précisées.

5. Exercice du droit d'accès indirect

Le chapitre VI de l'arrêté royal organise l'accès des personnes concernées aux données à caractère personnel enregistrées dans les traitements gérés par des autorités publiques à des fins de renseignement, de police judiciaire et de police administrative. Pour rappel, il s'agit d'un accès indirect puisqu'il est exercé par l'intermédiaire de la Commission. C'est en effet le président de la Commission de la protection de la vie privée qui est chargé d'exercer les droits à l'information et à la rectification des données à la demande de la personne concernée.

6. Modalités et exemptions à l'obligation de déclaration de traitement

Les articles 47 à 50 de l'arrêté royal traitent des montants à payer et des formalités de déclaration des traitements automatisés à la Commission de la protection de la vie privée.

La déclaration peut être réalisée selon deux formules:

  • sur le formulaire papier proposé par la Commission: le montant de la contribution est fixé à 5.042 BEF (125 euros);
  • sur support magnétique mis à disposition par la Commission: le montant de la contribution est fixé à 1.008 BEF (25 euros).

En cas de modification à la déclaration originale, la contribution à verser s'élève à 807 BEF (20 euros).

Les catégories de traitements exemptés de la déclaration, aux conditions fixées par l'arrêté royal, lesquelles sont propres à chaque type d'exemption, sont énumérées.

Il s'agit de ceux qui figuraient dans l'arrêté royal n° 13 en vigueur auparavant, notamment [54]:

  • les traitements nécessaires à l'administration des salaires des personnes au service du ou travaillant pour le responsable du traitement;
  • les traitements qui visent l'administration du personnel au service du ou travaillant pour le responsable du traitement;
  • les traitements qui se rapportent à la comptabilité du responsable du traitement;
  • les traitements qui visent la gestion de la clientèle ou des fournisseurs;
  • les traitements indispensables à la communication effectués dans le seul but d'entrer en contact avec l'intéressé;
  • les traitements portant sur l'enregistrement de visiteurs effectués dans le cadre d'un contrôle d'accès;
  • les traitements par les établissements d'enseignement en vue de gérer leurs relations avec leurs élèves ou étudiants;
  • les traitements effectués par les communes relatifs aux registres de la population et aux cartes d'identité, aux registres de l'état civil ou encore effectués conformément à la législation électorale;
  • les traitements effectués par des autorités administratives s'ils sont soumis à des prescriptions particulières légales qui réglementent l'accès, l'utilisation et l'obtention des données (par exemple, les registres de demande de permis d'urbanisme, …).

7. Accès au registre public des traitements automatisés de données à caractère personnel

Enfin la dernière partie de l'arrêté royal détermine les modalités de consultation du registre public des traitements automatisés à caractère personnel.


III. CONCLUSION

La législation relative à la protection de la vie privée est essentielle en ce qu'elle garantit à tout un chacun la protection d'un droit fondamental. Cela étant, sa mise en œuvre dans la pratique n'est pas toujours des plus facile. Notre propos ne visait pas à donner une description exhaustive de l'ensemble de la loi mais de se limiter à l'explication des mécanismes susceptibles de s'appliquer aux pouvoirs locaux. Songeons par exemple aux communes de plus en plus nombreuses à se doter d'un site Internet et qui, dans cette entreprise, se verront confrontées au respect obligatoire de la législation sur la protection de la vie privée.

Dure tâche s'il en est, tant la législation est complexe, technique, voire abstraite, dans les termes utilisés et son champ d'application est vaste. Tout au plus peut-on se rassurer en se disant que la pratique et les réponses aux questions posées apporteront leur lot d'éclaircissements …

----------

  1. [remonter] A.R. 13.2.2001 portant exécution de la L. 8.12.1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, M.B. 13.3.2001.
  2. [remonter] L., art. 2.
  3. [remonter] P. Blontrock, Protection de la vie privée, éd. Van den Broele, Bruges, 2001, p. 11.
  4. [remonter] L. art. 3, par. 1er.
  5. [remonter] P. Blontrock, op. cit., p. 27.
  6. [remonter] P. Blondiau, C. de Terwangne et V. Tilman, Création et gestion d'un site Internet communal, UVCW, 2000, p. 79.
  7. [remonter] M. Boverie, Les pouvoirs locaux et la législation sur la protection de la vie privée, Mouv. comm., 10/1996, p. 447.
  8. [remonter] Art. 3, par. 4.
  9. [remonter] Voyez L., art. 3, par. 5.
  10. [remonter] Au 1.11.2001, nous n'avons pas connaissance de l'adoption de semblable arrêté.
  11. [remonter] P. Blontrock, op. cit., p. 157.
  12. [remonter] L., art. 5. Cet article contient d'autres hypothèses qui ne concernent cependant pas directement une commune.
  13. [remonter] Par "consentement de la personne concernée" on entend toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement. L., art. 1er, par. 8.
  14. [remonter] Th. Léonard et Y. Poullet, op. cit., p. 384.
  15. [remonter] Th. Léonard et Y. Poullet, La protection des données à caractère personnel en pleine (r)évolution, J.T., 1999, p. 385.
  16. [remonter] L., art. 4, 2°, lequel prévoit également "(...) un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par le Roi, après avis de la Commission de la protection de la vie privée". Près d'un tiers de l'arrêté royal du 13.2.2001 est consacré à la question du traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques.
  17. [remonter] Th. Léonard et Y. Poullet, La protection des données à caractère personnel en pleine (r)évolution, J.T., 1999, p. 384.
  18. [remonter] Th. Léonard et Y. Poullet, op. cit., p. 384.
  19. [remonter] Th. Léonard et Y. Poullet, op. cit., p. 384.
  20. [remonter] M. Boverie, op. cit., p. 453.
  21. [remonter] Th. Léonard et Y. Poullet, op. cit., p. 386.
  22. [remonter] L., art. 6, par. 1er et 7.
  23. [remonter] Voyez les art. 6, par. 2, art. 7, par. 2, et art. 8, par. 2, de la loi qui énumèrent les cas dans lesquels l'interdiction est levée.
  24. [remonter] L., art. 6, par. 1er, i).
  25. [remonter] Les lignes qui suivent sont reprises de P. Blondiau, C. de Terwangne et V. Tilman, op. cit., pp. 87 et ss.
  26. [remonter] L., art. 9, par. 1er.
  27. [remonter] L., art. 9, par. 2.
  28. [remonter] Th. Léonard et Y. Poullet, op. cit., p. 389.
  29. [remonter] L., art. 10.
  30. [remonter] L., art. 12, par. 2.
  31. [remonter] L., art. 12, par. 1er.
  32. [remonter] L., art. 12, par. 1er.
  33. [remonter] "A condition que la notification à ces destinataires ne paraisse pas impossible ou n'implique pas des efforts disproportionnés", L., art. 12, par.3.
  34. [remonter] Les lignes qui suivent sont issues de P. Blondiau, C. de Terwangne et V. Tilman, Création et gestion d'un site Internet communal, UVCW, pp. 95 et ss.
  35. [remonter] L., art. 16, par. 4.
  36. [remonter] L., art. 16, par. 2.
  37. [remonter] L., art. 16, par. 1er, al. 1er.
  38. [remonter] L., art. 17.
  39. [remonter] L., art. 17, par. 1er, al. 2.
  40. [remonter] Voy. art. 37 à 41 de la loi.
  41. [remonter] B. Carmelier, Loi sur la protection de la vie privée: enfin la maturité?, Intercontact, 2001, p. 61.
  42. [remonter] Les données anonymes sont les données qui ne peuvent être mises en relation avec une personne identifiée ou identifiable et qui ne sont donc pas des données à caractère personnel (A.R., art. 1er, 5°).
  43. [remonter] Les données à caractère personnel codées sont celles qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que par l'intermédiaire d'un code (A.R., art. 1er, 3°).
  44. [remonter] Les données à caractère personnel non codées sont celles qui ne sont pas codées (A.R., art. 1er, 4°).
  45. [remonter] Voy. art. 7 à 23, A.R. et C. de Terwangne et S. Louveaux, Protection de la vie privée face au traitement de données à caractère personnel: le nouvel arrêté royal, J.T., 2001, n° 6013, pp.
  46. [remonter] Pour rappel, il s'agit de la Sûreté de l'Etat, du Service général du renseignement et de la sécurité des forces armées, de l'autorité de sécurité, des officiers de sécurité et du Comité permanent de contrôle des services de renseignements et son service d'enquête.
  47. [remonter] Art. 25 à 27.
  48. [remonter] A.R., art. 28 à 31.
  49. [remonter] C. de Terwangne et S. Louveaux, Protection de la vie privée face au traitement de données à caractère personnel: le nouvel arrêté royal, J.T., 2001, n° 6013, p. 460.
  50. [remonter] C. de Terwangne et S. Louveaux, Protection de la vie privée face au traitement de données à caractère personnel: le nouvel arrêté royal, J.T., 2001, n° 6013, p. 460.
  51. [remonter] Par organisation intermédiaire, il y a lieu d'entendre la personne physique ou morale, l'association de fait ou l'administration publique, autre que le responsable du traitement des données non codées, qui code les données, art. 1er, 6°, de l'arrêté royal.
  52. [remonter] A.R., art. 30.
  53. [remonter] Une demande introduite via Internet peut donc être envisagée. Dans ce cas, cependant, en l'absence de signature électronique, comment pourrait-on s'assurer de l'identité du demandeur?
  54. [remonter] A.R., art. 51 à 62.

Facebook Twitter Google Plus Linkedin
 
Ce document, imprimé le 23-01-2018, provient du site de l'Union des Villes et Communes de Wallonie (www.uvcw.be).
Les textes, illustrations, données, bases de données, logiciels, noms, appellations commerciales et noms de domaines, marques et logos sont protégés par des droits de propriété intellectuelles.
Plus d'informations à l'adresse www.uvcw.be/plan-du-site/disclaimer.cfm
© Union des Villes et Communes de Wallonie asbl
Contact  | Liens utiles  |  Vie privée & cookies  |     ©   2018 Union des Villes et Communes de Wallonie asbl