RGPD et vie privée: publications de plusieurs lois

Viennent d’être publiées au Moniteur belge, plusieurs lois chargées d’implémenter les nouvelles règles en matière de protection des données à caractère personnel. Pour rappel, l’Union européenne s’est dotée en 2016 de deux instruments normatifs concernant la protection de la vie privée des personnes physiques à travers le traitement de leurs données : d’une part le Règlement général de protection des données à caractère personnel (« RGPD ») qui a une portée générale[1] et d’autre part, une directive relative à la protection des données à caractère personnel en matière de police et de justice[2]. Il appartient donc à la Belgique d’implémenter ces nouvelles normes, qui visent à renforcer la protection des données à caractère personnel via toute une série de nouvelles contraintes[3], mais aussi de réorganiser l’ancienne Commission de protection de la vie privée, ce qu’elle a commencé à faire déjà fin de l’année 2017 par l’adoption d’une loi ad hoc, commentée précédemment[4].

Outre cette loi portant création de l’Autorité de Protection des Données, l’autorité fédérale a donc tout récemment adopté :

-       la loi du 30 juillet 2018 qui est souvent nommée « loi-cadre » qui pose un cadre législatif aux traitements de données à caractère personnel et qui remplace la loi du 8 décembre 1992[5] ;

-       la loi du 30 juillet 2018 qui modifie la loi relative aux caméras de surveillance en vue de sa conformité au RGPD[6] ;

-       la loi du 5 septembre 2018 qui, essentiellement, institue le comité de sécurité de l'information[7].

Autant le dire tout de suite, on peut s’attendre encore à d’autres modifications en vue d’adapter toutes les réglementations qui ont trait aux traitements de données à caractère personnel et elles sont nombreuses. Le RGPD n’a donc pas fini de faire parler de lui d’autant que de nombreuses zones d’ombres sont encore à éclairer.

Toujours est-il qu’il est intéressant de faire un premier tour d’horizon de la nouvelle loi « vie privée »[8]. L’on rappellera utilement que cette dernière a essentiellement deux objets : premièrement, compléter le RGPD sur les points laissés libres par l’Union européenne[9] et deuxièmement, transposer la directive « Justice-police ». Nos propos n’aborderont que le premier objet.

La nouvelle loi « vie privée » abroge donc l’ancienne loi « Vie privée » et ses arrêtés d’exécution avec un effet immédiat à la date du 5 septembre 2018, date de publication de la loi[10]. L’un de ces arrêtés d’exécution concernait certains comités sectoriels, qui tombent donc eux aussi[11]. Une réattribution des anciennes compétences dévolues aux anciens comités sectoriels est en cours.

Premier élément intéressant les pouvoirs publics locaux : la loi fédérale définit l’autorité publique en reprenant la méthode utilisée en matière de réutilisation des données du secteur public, elle-même tirée de la réglementation relative aux marchés publics. Outre l’état fédéral, les entités fédérées et les autorités locales, sont qualifiées d’ « autorité publique » :

-       les personnes morales de droit public qui dépendent de l'Etat fédéral, des entités fédérées ou des autorités locales;
-       les personnes, quelles que soient leur forme et leur nature qui :

• ont été créées pour satisfaire spécifiquement des besoins d'intérêt général ayant un caractère autre qu'industriel ou commercial; et
• sont dotées de la personnalité juridique; et
• dont soit l'activité est financée majoritairement par les autorités publiques ou organismes mentionnés au 1° ou 2°, soit la gestion est soumise à un contrôle de ces autorités ou organismes, soit plus de la moitié des membres de l'organe d'administration, de direction ou de surveillance sont désignés par ces autorités ou organismes;

- les associations formées par une ou plusieurs autorités publiques visées au 1°, 2° ou 3°[12].

De cette définition large d’autorité publique, découle l’application de spécificités apportées au secteur public (articles 19 à 23 de la loi). Quelles sont-elles ?

Tout d’abord, l’article 20 de la loi prévoit que des protocoles de collaboration peuvent être conclus entre une autorité publique fédérale émettrice des données et une autre autorité publique ou une organisation privée, destinataire des données. La loi définit le contenu minimal facultatif de ce protocole. Ce dernier est adopté après avis respectifs des délégués à la protection des données puis est publié sur le site internet des responsables du traitement concerné. Il est à noter que le législateur fédéral a fait usage de la possibilité offerte par le RGPD aux Etats membres d’imposer une analyse d’impact spécifique, même si une analyse d’impact générale a été réalisée dans le cadre de l’adoption de la base légale.[13]

Ensuite, les autorités publiques sont exonérées de l’application des amendes administratives sauf s’il s’agit de personnes morales de droit public qui offrent des biens ou des services sur un marché[14]. Il faut se réjouir de ce que les pouvoirs locaux bénéficient de cette exonération car les débats parlementaires ont été intenses sur ce point. Notre association a d’ailleurs plaidé pour le maintien de cette exemption controversée.

Si l’avant-projet de loi prévoyait à l’origine une exemption plus large, il faut constater que c’est via un amendement qu’une exception a été introduite[15]. Elle concerne les personnes morales de droit public qui offrent des biens ou des services sur un marché. Cet amendement ne définit pas la notion de « personnes morales de droit public »[16] ni celle de « biens ou de services sur un marché ». La justification de cet amendement indique qu’il s’agit : « d’entités du gouvernement qui entrent en concurrence avec des joueurs privés sur le marché. Nous songeons en particulier aux autorités publiques qui sont actives sur le marché du transport, de la poste et de la livraison de colis, de la téléphonie, de la communication, … ». Cette exception à l’exemption pourrait impacter les pouvoirs locaux, tels que les communes, les CPAS, les sociétés de logements de services public[17], les intercommunales[18], les associations de projet[19] ou les régies communales autonomes qui œuvrent (parfois) en concurrence avec le privé. On ne peut que regretter la formulation peu précise de cette limitation.

A noter que cette exemption (partielle) des amendes administratives ne préjuge pas des obligations à charge des autorités publiques ni des sanctions pénales ou des actions judiciaires prévues dans la réglementation[20].

Un autre élément notable de cette loi concerne la fixation à 13 ans de l’âge à partir duquel les enfants peuvent consentir seuls, sans l’accord de leur(s) parent(s) ou de leur(s) représentant(s) légal(aux), à un traitement de données poursuivi dans le cadre d’offres de services de la société de l’information[21]. Cet abaissement de l’âge ne devrait en principe pas concerner les pouvoirs locaux. En effet, l’on doit considérer de manière générale que les pouvoirs publics n’offrent pas de services de la société de l’information[22].

En exécution de l’article 9.4. du RGPD, la loi prend des mesures supplémentaires en cas de traitements de données génétiques, biométriques ou relatives à la santé[23].

Enfin, autre élément intéressant, la loi généralise le recours de l’action en cessation devant le président du tribunal de première instance, siégeant comme en référé, pour constater l’existence d’un traitement constituant une violation aux dispositions relatives à la protection des données à caractère personnel[24].

La loi est entrée en vigueur ce 5 septembre 2018[25] à l’exception de l’article 20 relatif au protocole de collaboration portant sur le transfert de données d’une autorité publique fédérale vers une autre autorité publique ou organisation privée[26].

[1] Ci-après, le règlement ou le RGPD : règlement 2016/679 du Parlement européen et du Conseil du 27.4.2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, J.O.U.E., 4.5.2016

[2] Ci-après la directive ; directive (UE) 2016/680 du Parlement européen et du Conseil du 274.2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.

[3] V. nos précédents articles à ce sujet : http://www.uvcw.be/rgpd/

[4] V. notre article spécifique : http://www.uvcw.be/actualites/3,8,2,0,7357.htm

[5] Ci-après, « loi » ; Loi du 30.7.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, M.B., 5.9.2018.

[6] Loi du 30.7.2018 modifiant la loi du 21.3.2007 réglant l'installation et l'utilisation de caméras de surveillance, en vue d'améliorer la cohérence du texte et sa conformité avec le Règlement général sur la protection des données (RGPD), M.B., 31.8.2018.

[7] Loi du 5.9.2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en œuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27.4.2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, M.B., 10.9.2018.

[8] Le lecteur curieux pourra consulter l’excellent commentaire effectué Droit & technologies : https://www.droit-technologie.org/actualites/belgique-transpose-enfin-rgpd-gdpr/

[9] S’agissant d’un règlement, le RGPD ne nécessite pas de transposition via une loi idoine puisqu’il a un effet direct en droit interne belge.

[10] Art. 280 et 281 de la loi.

[11] Art. 280, al. 3 de la loi.

[12] Art. 5, al. 2 de la loi.

[13] Art. 35.10 du RGPD et art. 23 de la loi.

[14] Art. 221, § 2 de la loi.

[15] Projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, Amendement n°44, Doc. parl., Ch. repr., sess. ord. 2014-2019, n°54-3126/002, p. 55.

[16] Ce sont plutôt les réglementations organiques qui le prévoient.

[17] Art. 130, par. 1^er, al. 1 du CWLHD.

[18] Art. 1512-6 du CDLD.

[19]Ibid.

[20] En ce qui concerne les sanctions pénales, voyez les articles 222 et s. de la loi ; en ce qui concerne les actions judiciaires, v. notamment les articles 209 et s. de la loi et art. 77 et s. du RGPD.

[21] Art. 7 de la loi ; le service de la société de l’information est défini comme étant « tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire du service » (art. I.18, 1° du Code de droit économique).

[22] Projet de loi sur certains aspects juridiques des services de la société de l’information, Exposé des motifs, Doc. parl., Ch. repr., sess. ord., 1999-2003, 50-2100/001, p. 14 ; voir aussi : art. I.18, 1° du Code de droit économique, intégrant l’article 2, 1° de la loi du 11.3.2003 sur certains aspects juridiques des services de la société de l'information.

[23] Mesures décrites à l’article 9 de la loi et qui étaient déjà reprises dans l’arrêté royal du 13.2.2001 exécutant l’ancienne loi « Vie privée ».

[24] Art. 209 et s. de la loi.

[25] Art. 281 de la loi.

[26] Cette disposition entre en vigueur le premier jour du mois qui suit l’expiration d’un délai de six mois prenant cours le jour suivant la publication de la loi au Moniteur belge, soit le 1.4.2019.