Feedback
ella
Données à caractère personnel et respect de la vie privée — Nouvelle loi belge sur la protection de la vie privée
Du moniteur du 05/09/2018
Publié le 05/09/2018

Contexte
Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) s'applique directement aux États membres de l'UE, sans transposition en droit national.

 

Le RGPD vise l'harmonisation de la protection des libertés et droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement et donne aux citoyens plus de contrôle sur l’utilisation de leurs données à caractère personnel.

 

Dans certains domaines, le RGPD laisse aux États membres la possibilité d'imposer des règles supplémentaires ou de prévoir des exceptions.

 

Cette loi met en œuvre ce règlement.
Le législateur veut par ailleurs, à travers cette loi :

  • transposer en droit belge la directive 2016/680 (pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière) ;

  • prévoir des régimes dérogatoires pour les autorités publiques et les traitements en dehors du champ d'application de l'UE (par exemple les services de renseignement et de sécurité).

 

Cette loi ne fait donc pas que mettre en œuvre le RGPD.

Dans ce Bulletin d’information, nous nous limiterons toutefois aux dispositions pouvant revêtir de l'importance pour un employeur « ordinaire ».

 

 

La Belgique met en œuvre les clauses ouvertes du RGPD

 

La loi contient peu de dispositions qui s'appliquent à un employeur « ordinaire ». Bien que le RGPD laisse aux États membres la possibilité d'imposer des règles spécifiques dans le cadre de la relation de travail, le législateur n'a pris aucune mesure en ce sens.

 

Toutefois, même si elle ne stipule aucune règle spécifique dans le cadre de la relation de travail, la loi contient tout de même quelques dispositions qui revêtent de l'importance pour un employeur « ordinaire ». Il s'agit :

  • d'obligations additionnelles dans le cadre du traitement de données génétiques, biométriques ou concernant la santé ;

  • de dérogations à l'interdiction du traitement de données judiciaires ;

  • d'une limitation des droits de la personne concernée : un responsable du traitement qui transmet des données à caractère personnel aux forces armées ou à l'organe de coordination pour l'analyse de la menace n'est pas autorisé à en informer la personne concernée ;

  • de sanctions administratives et pénales.

 

 

Cette loi contient surtout des dispositions importantes pour des services publics comme les forces armées, les services de renseignement et de sécurité, l'organe de coordination pour l'analyse de la menace, etc. La loi a moins d'impact sur un employeur « ordinaire » que l'ancienne Loi sur la protection de la vie privée de 1992, qui a été abrogée. Ce constat est à mettre en relation avec l'application directe du RGPD, qui dispense le législateur belge de répéter ce que le RGPD réglemente déjà.


Entrée en vigueur

La plupart des dispositions de cette loi entrent en vigueur le 5 septembre 2018.

Qu'est-ce que cela signifie pour l'employeur?

La loi a moins d'impact sur un employeur « ordinaire » que l'ancienne Loi sur la protection de la vie privée de 1992, qui a été abrogée. Ce constat est à mettre en relation avec l'application directe du RGPD, qui dispense le législateur belge de répéter ce que le RGPD réglemente déjà. Cette loi contient surtout des dispositions importantes pour des services publics comme les forces armées, les services de renseignement et de sécurité, l'organe de coordination pour l'analyse de la menace, etc.

 

Les rares dispositions qui revêtent de l'importance pour un employeur « ordinaire » traitent :

  • d'obligations additionnelles dans le cadre du traitement de données génétiques, biométriques ou concernant la santé ;

  • de dérogations à l'interdiction du traitement de données judiciaires ;

  • d'une limitation des droits de la personne concernée : un responsable du traitement qui transmet des données à caractère personnel aux forces armées ou à l'organe de coordination pour l'analyse de la menace n'est pas autorisé à en informer la personne concernée ;

  • des sanctions administratives et pénales.

Source:
Loi du 30 juillet 2018 relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel

Sommaire

1. Contexte

Le Règlement général sur la protection des données (RGPD) s'applique depuis le 25 mai 2018. Il fixe les règles pour la protection des personnes physiques à l'égard du traitement de leurs données à caractère personnel.

 

Le RGPD s'applique directement aux États membres, rendant inutile la transposition des dispositions en droit national.


Les États membres peuvent néanmoins encore élaborer un certain nombre de points du RGPD.

 

Mise en œuvre du RGPD par le législateur belge

 

À travers cette loi, le législateur veut :

  • mettre en œuvre les dispositions ouvertes du RGPD ;

  • transposer en droit belge la directive 2016/680 (pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière) ;

  • prévoir des régimes dérogatoires pour les autorités publiques et les traitements en dehors du champ d'application de l'UE (par exemple les services de renseignement et de sécurité).

 

La loi ne se contente donc pas de mettre en œuvre le RGPD, mais transpose aussi la directive 2016/680.

 

2. Structure de la loi

La loi contient peu de dispositions qui revêtent de l'importance pour un employeur « ordinaire ». Le législateur n'a pas fait usage de la possibilité d'établir des règles spécifiques dans le cadre de la relation de travail. Une possibilité qui est pourtant explicitement prévue dans le RGPD.

 

Dans ce Bulletin d’information, nous aborderons principalement les dispositions qui sont tout de même susceptibles de revêtir de l'importance pour un employeur « ordinaire ».

 

Ce Bulletin d’information ne commente donc pas la loi dans son intégralité.

 

Par souci d'exhaustivité, nous présentons toutefois ci-dessous la structure de l'ensemble du texte de loi :

  • Titre préliminaire : art. 1-5
  • Titre 1er : De la protection des personnes physiques à l’égard du traitement des données à caractère personnel : art. 6-24
  • Titre 2 : De la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces : art. 25-71
  • Titre 3 : De la protection des personnes physiques à l’égard du traitement des données à caractère personnel par d’autres autorités que celles visées aux titres 1er et 2
    • Sous-titre 1er : De la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les services de renseignements et de sécurité : art. 72-104
    • Sous-titre 2 : De la protection des personnes physiques concernant le traitement des données à caractère personnel par les Forces armées : art. 105
    • Sous-titre 3 : De la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans le cadre de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité : art. 106-137
    • Sous-titre 4 : De la protection des personnes physiques à l’égard du traitement des données à caractère personnel par l’organe de coordination pour l’analyse de la menace : art. 138-167
    • Sous-titre 5 : De la protection des personnes physiques à l’égard de certains traitements de données à caractère personnel par l’unité d’information des passagers : art. 168-184
    • Sous-titre 6 : Dispositions particulières : art. 185
  • Titre 4 : Traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques en exécution de l’article 89, §§ 2 et 3 du règlement : art. 186-208
  • Titre 5 : Voies de recours et représentation des personnes concernées : il s'agit de l'action en cessation et de la possibilité pour la personne concernée de se faire représenter : art. 209-220
  • Titre 6 : Sanctions : art. 221-230
  • Titre 7 : L’organe de contrôle de l’information policière : art. 231-251
  • Titre 8 : Dispositions finales : art. 252-286

 

 

Attention : dans ce Bulletin d’information, nous parlons de l'« autorité de contrôle compétente » et non de l'Autorité de protection des données (APD). Cette dernière n'est en effet pas la seule autorité belge compétente pour la protection des données. Les services d'enquête, de renseignement et de sécurité et les services similaires ont dans le cadre de certaines activités une autorité de contrôle autre que l'APD. Pour un employeur « ordinaire », l'autorité de contrôle compétente sera toutefois l'APD. 

3. À qui la loi s'applique-t-elle ?

 

3.1. Champ d’application matériel de la loi

Tout comme le RGPD, la loi s'applique à tout :

  • traitement de données à caractère personnel, automatisé en tout ou en partie. Pensons par exemple à la mention de personnes sur une page Internet, avec des informations sur leur situation professionnelle.

  • traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. Pensons par exemple à la version imprimée des Pages Blanches.

 

Attention :

La loi rend également le RGPD applicable au traitement de données à caractère personnel :

  • dans le cadre d'activités qui ne relèvent pas du champ d'application du droit de l'Union ;

  • par les États membres dans le cadre de leurs activités en rapport avec la politique étrangère et de sécurité commune de l'Union (titre V, chapitre 2 du TUE) ;


L'objectif de cette extension du RGPD est de ne pas laisser de domaine hors réglementation.

 

Ces activités sont en effet exclues par le RGPD lui-même et se retrouveraient sans cela dans un vide juridique.

 

Pour un employeur ordinaire, cette extension n'a aucun impact.

 

 

3.2. Champ d’application territorial

Cette loi s'applique au traitement de données à caractère personnel :

  • effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire belge, que le traitement ait lieu ou non sur le territoire belge.

    Toutefois, lorsque le responsable de traitement est établi dans un État membre de l’Union européenne et fait appel à un sous-traitant établi sur le territoire belge, le droit de l’État membre en question s’applique au sous-traitant pour autant que le traitement ait lieu sur le territoire de cet État membre.

 

  • relatives à des personnes concernées qui se trouvent sur le territoire belge par un responsable du traitement ou un sous-traitant qui n’est pas établi sur le territoire de l’Union européenne, lorsque les activités de traitement sont liées :

    • à l’offre de biens ou de services à ces personnes concernées sur le territoire belge, qu’un paiement soit exigé ou non desdites personnes ; ou

    • au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu sur le territoire belge.

 

  • par un responsable du traitement qui n’est pas établi sur le territoire belge mais dans un lieu où le droit belge s’applique en vertu du droit international public.


3. Traitement de données sensibles et pénales

 

 

3.1. Données sensibles

En principe, le traitement de données sensibles (race, croyance religieuse, orientation sexuelle, etc.) est interdit.

 

Le RGPD prévoit un certain nombre d'exceptions à cette règle.

C'est ainsi que le traitement est notamment autorisé sous certaines conditions pour des motifs d’intérêt public important en vertu du droit de l'Union ou de l'État membre.  

 

Traitement nécessaire pour des motifs d'intérêt public important

La nouvelle loi met en œuvre le RGPD et détermine quels traitements sont nécessaires pour des motifs d'intérêt public important.

Il s'agit de certains traitements effectués par :

  • les organismes de défense et de promotion des droits de l’homme et des libertés fondamentales ;

  • Child Focus ;

  • les organismes d'aide aux délinquants sexuels.

 

La loi considère ces domaines comme étant d'intérêt public important. Les autres domaines sont exclus. Un employeur ne peut donc pas invoquer cette exception (à moins qu'il ne fasse partie de l'un des organismes susmentionnés, et le cas échéant seulement sous certaines conditions, sur lesquelles nous ne nous étendrons pas dans ce Bulletin d’information).

 

 

Conditions spécifiques pour le traitement de données génétiques, biométriques ou concernant la santé

 

Le RGPD octroie aux États membres la faculté de maintenir ou d’introduire des conditions supplémentaires pour le traitement des données génétiques, des données biométriques ou des données concernant la santé.

 

Le législateur reprend à cet égard les garanties existantes.

 

C'est ainsi que le responsable du traitement ou le sous-traitant doit :

  • désigner les catégories de personnes ayant accès à ces données, avec une description de leur fonction par rapport au traitement des données visées ;

  • tenir la liste des catégories de personnes ainsi désignées à la disposition de l'autorité de contrôle compétente ;

  • veiller à ce que les personnes désignées soient soumises à une obligation légale, statutaire ou contractuelle de respect du caractère confidentiel des données visées.

3.2. Condamnations pénales et infractions

Selon le RGPD, le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes ne peut être effectué que :

  • sous le contrôle de l'autorité publique ;

  • ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées.

Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.


Que dit la Belgique ?

Le législateur met en œuvre cette disposition du RGPD.

Il reprend ici en partie l'article 8 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, du moins les dispositions qui ne sont pas encore prévues dans le RGPD. 

 

Bien que le traitement de données judiciaires soit interdit, il peut être dérogé à cette interdiction lorsqu'il est effectué :

  • par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l’exige ;

  • par des avocats ou d’autres conseils juridiques, pour autant que la défense de leurs clients l’exige ;

  • par d’autres personnes lorsque le traitement est nécessaire pour des motifs d'intérêt public important dans le cadre de l'accomplissement de missions d'intérêt public.  Une loi, un décret, une ordonnance ou le droit de l’Union européenne le détermine ;

  • pour autant que le traitement soit nécessaire pour la recherche scientifique, historique ou statistique ou à des fins archivistiques ;

  • si la personne concernée a consenti explicitement et par écrit au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques et si le traitement reste limité à ces finalités ;

  • si le traitement porte sur des données à caractère personnel qui ont manifestement été divulguées par la personne concernée de sa propre initiative, pour une ou plusieurs finalités spécifiques. Le traitement doit se limiter à ces finalités.

 

Obligations additionnelles du responsable du traitement/sous-traitant

Si l'une de ces dérogations est invoquée, le responsable du traitement ou le sous-traitant doit :

  • établir une liste des catégories de personnes ayant accès aux données à caractère personnel, avec une description de leur fonction par rapport au traitement des données visées ;

  • tenir la liste susmentionnée à la disposition de l'autorité de contrôle compétente ;

  • veiller à ce que les personnes désignées soient soumises à une obligation légale, statutaire ou contractuelle de respect du caractère confidentiel des données visées.

5. Limitation des droits de la personne concernée

Le RGPD renforce les droits des citoyens à l'égard de leurs données à caractère personnel. Ils obtiennent davantage de contrôle sur l’utilisation de leurs données personnelles.

C'est ainsi que la personne concernée a le droit :

  • à une information concise, transparente et intelligible concernant le traitement de ses données à caractère personnel ;

  • d'accéder à ses données à caractère personnel qui font l'objet d'un traitement (droit d'accès) ;

  • de faire corriger les données à caractère personnel inexactes et de faire compléter les données à caractère personnel incomplètes (droit de rectification) ;

  • de demander la suppression de ses données à caractère personnel sous certaines conditions (droit à l'effacement) ;

  • de s’opposer à un traitement de ses données à caractère personnel (droit d'opposition).

  •  

Le responsable du traitement doit également signaler l'infraction à la personne concernée lorsque celle-ci est susceptible d'induire un risque élevé pour le respect de la vie privée de personnes physiques. À moins que certaines conditions ne soient remplies. Ce point a déjà été abordé dans un bulletin d’information précédent. 

Le RGPD permet toutefois aux États membres d'introduire des dispositions limitant les droits susmentionnés. Cette limitation doit cependant respecter l'essence des droits et libertés fondamentaux. La limitation doit être une mesure nécessaire et proportionnée, par exemple pour garantir la sécurité publique ou nationale, des finalités d'intérêt public, la protection de la personne concernée ou la préservation des droits et libertés d'autres personnes.


 

Le législateur belge limite les droits de la personne concernée

Dans cette loi, notre législateur fait usage de cette possibilité. La plupart des limitations ne revêtent aucune importance pour un employeur. Dans ce Bulletin d’information, nous aborderons uniquement les limitations susceptibles de revêtir de l'importance pour un employeur.

La loi dispose notamment qu'un responsable du traitement qui transmet des données à caractère personnel aux forces armées ou à l'organe de coordination pour l'analyse de la menace (OCAM) n'est pas autorisé à en informer la personne concernée.

6. Sanctions

 

6.1. Sanctions administratives prévues par le RGPD

Une modification importante apportée par le RGPD est que des sanctions sévères sont désormais prévues pour le non-respect des prescriptions en matière de vie privée.

 

Toutes les autorités de contrôle peuvent ainsi infliger des amendes administratives à concurrence de 20 millions d’euros ou de 4 % du chiffre d’affaires annuel si ce chiffre est plus élevé.

Le RGPD laisse cependant des marges pour atténuer les amendes en fonction des circonstances. Il n’est pas obligatoire d’infliger une amende.  

 

Le RGPD indique que lorsque l’on impose des amendes, il faut notamment tenir compte du fait de savoir si l’auteur :

  • a commis la violation délibérément ou par négligence ;

  • a consacré suffisamment d’attention à la sécurité ;

  • a appliqué une protection de données suffisante dès la conception et par défaut.

 

 

Le RGPD laisse au législateur national le soin d'affiner les sanctions.

 

 

6.2. La Belgique affine les sanctions

Dans cette loi, le législateur belge affine les sanctions en cas d'infractions commises dans le cadre du traitement de données à caractère personnel.

 

La loi prévoit notamment :

  • des sanctions pour des cas qui n'étaient pas visés par le RGPD ;

  • des sanctions pour les obligations additionnelles qu'elle impose.

 

6.2.1. Sanctions administratives

Sanction administrative dans le cadre du traitement de données sensibles ou pénales

Le RGPD prévoit des amendes administratives pour quasiment toutes les obligations qu'il impose. Aucune sanction n'est toutefois prévue pour le traitement des données pénales, et il s'agit probablement d'un oubli.

 

La Belgique prévoit la possibilité d'imposer des sanctions administratives pour le traitement de données sensibles ou pénales (point 3 de ce Bulletin d’information). Il est à noter que le RGPD sanctionne lui aussi le traitement de données sensibles, mais cette loi prévoit des obligations additionnelles qui peuvent également faire l'objet de sanctions.

 

Cela signifie qu'un employeur qui enfreint les dispositions de cette loi relatives aux données sensibles ou pénales peut faire l'objet d'une mesure correctrice imposée par l'Autorité de protection des données. Ces mesures correctrices sont énumérées dans le RGPD et consistent notamment en :

  • un avertissement indiquant que l'opération de traitement envisagée constitue une infraction ;

  • un rappel à l'ordre indiquant que l'opération de traitement a entraîné une infraction ;

  • une limitation temporaire ou définitive du traitement ;

  • un ordre obligeant le responsable du traitement à faire part de l'infraction à la personne concernée, etc.

 

Les autres sanctions administratives ne présentent pas d'intérêt pour un employeur.

 

Pas d'amendes administratives pour les autorités publiques

Les autorités publiques ne peuvent pas se voir infliger des amendes administratives, mais uniquement des sanctions administratives non pécuniaires et

des sanctions pénales.

 

Le législateur fait cependant à cet égard une exception pour les personnes morales de droit public qui commercialisent des biens ou des services. Nous pensons ici surtout aux entreprises publiques actives sur les marchés du transport, de la distribution de courrier et de colis (Bpost), de la téléphonie (Proximus), de la communication, etc. Ces entreprises, elles, peuvent donc se voir infliger des amendes administratives.

 

6.2.2. Sanctions pénales

Cette loi impose également des sanctions pénales. La sanction pénale maximale est de 30 000 euros.

 

La loi ne prévoit une sanction pénale que pour les infractions graves. Il s’agit souvent d’infractions qui se cumulent avec des infractions qualifiées comme pénales dans le Code pénal.

Pour toutes les autres infractions, il est prévu une procédure administrative auprès de l’autorité de contrôle (l'Autorité de protection des données dans le cas d'un employeur « ordinaire »).

 

Amende de deux cent cinquante euros à quinze mille euros

Un employeur en sa qualité de responsable du traitement ou son sous-traitant, son préposé ou son mandataire peut être puni d'une amende de deux cent cinquante euros à quinze mille euros lorsqu'il :

 

  • traite les données à caractère personnel sans base juridique, y compris les conditions relatives au consentement et aux traitements ultérieurs ;

  • traite les données à caractère personnel en violation des conditions générales imposées pour le traitement (finalité justifiée, traitement suffisant, utile et non abusif…), par négligence grave ou avec intention malveillante ;

  • maintient le traitement ayant fait l’objet d’une objection sans raisons juridiques impérieuses ;

  • transfère des données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, en violation des garanties, conditions ou exceptions prévues dans le RGPD ou dans la loi, par négligence grave ou avec intention malveillante ;

  • ne respecte pas la mesure correctrice adoptée par l’autorité de contrôle visant la limitation temporaire ou définitive du traitement  ;

  • ne respecte pas la mesure correctrice adoptée par l’autorité de contrôle visant la mise en conformité du traitement avec les dispositions du RGPD ;

  • fait obstacle aux missions légales de vérification et de contrôle de l’autorité de contrôle compétente, ses membres ou ses experts ;

  • fait preuve de rébellion à l’encontre des membres de l’autorité de contrôle (au sens de l'article 269 du Code pénal) ;

 

En condamnant du chef d’une infraction susmentionnée, le tribunal peut ordonner l’insertion du jugement, intégralement ou par extraits, dans un ou plusieurs journaux, dans les conditions qu’il détermine, aux frais du condamné.

 

 

Amende de cinq cents euros à trente mille euros

 

L'employeur en sa qualité de responsable du traitement, son sous-traitant ou la personne agissant sous leur autorité est puni(e) d'une amende de cinq cents euros à trente mille euros s'il (si elle) a informé la personne concernée que les forces armées ou l'organe de coordination pour l'analyse de la menace est (sont) le destinataire de l'une de ces données à caractère personnel, et ce, de sa propre négligence, pour autant qu’elle soit grave, ou avec une intention malveillante.

 


En condamnant du chef d’une infraction susmentionnée, le tribunal peut ordonner l’insertion du jugement, intégralement ou par extraits, dans un ou plusieurs journaux, dans les conditions qu’il détermine, aux frais du condamné.

 

 

Amende de cent euros à vingt mille euros

 

Est puni d'une amende de cent euros à vingt mille euros :

  • quiconque, pour contraindre une personne à lui donner son autorisation au traitement de données à caractère personnel la concernant, a usé à son égard de voies de fait, de violence ou menaces, de dons ou de promesses ;

  • quiconque a transféré, fait ou laissé transférer, de sa propre négligence, pour autant qu’elle soit grave, ou avec une intention malveillante, des données à caractère personnel vers un pays non membre de l’Union européenne ou vers une organisation internationale sans qu’il ait été satisfait aux exigences imposées par le RGPD.

 

 

Responsabilité civile du responsable du traitement

Le responsable du traitement, le sous-traitant ou son représentant en Belgique est civilement responsable du paiement des amendes auxquelles ses préposés ou ses mandataires sont condamnés.

 

Oeps,

Désolé, il s'est produit une erreur.

Veuillez réessayer plus tard.

Cette information est-elle utile pour vous ?

Oui Non

Quelle affirmation décrit le mieux votre feedback ?






Votre feedback

La version du navigateur que vous utilisez n'est pas optimale pour ce site web. La plupart des fonctions ne seront pas correctement prises en charge. La version que vous utilisez, n’est plus soutenue par Microsoft. Vous n’êtes donc plus protégé. Afin de pouvoir garantir la sécurité et la confidentialité de vos données, nous vous conseillons de passer le plus rapidement possible à Internet Explorer 11 ou d’utiliser la dernière version d’un autre navigateur.