RGPD : publication de la loi de protection des données belge

Loi de protection des données belgeLa Belgique a publié sa loi de protection des données le 5 septembre 2018 dans le Moniteur, l’équivalent de notre journal officiel.

Cette loi en date du 30 juillet 2018 (1)  (ci-après « la loi belge ») comporte 286 articles et semble particulièrement dense (à titre de comparaison la loi française en contient « à peine » une centaine).

Ce texte a pour effet :

  • d’abroger la loi du 8 décembre 1992 relative à la protection de la vie privée ;
  • d’introduire des spécificités nationales conformément au RGPD ;
  • de transposer la directive 2016/680 relative aux traitements mis en œuvre à des fins de prévention et détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales et à la libre circulation de ces données (dite « directive police-justice »).

La Belgique a donc usé des marges de manœuvre offertes par le RGPD.

L’âge du consentement numérique (art. 7)

L’article 8 du RGPD fixe à 13 ans le seuil à partir duquel un mineur peut donner son consentement au traitement de ses données dans le cadre des services de la société de l’information (c’est-à-dire en ligne).

En deçà, l’accord du titulaire de l’autorité parentale est nécessaire.

Cette disposition peut faire l’objet d’un aménagement. La France a ainsi choisi de relevé ce seuil à 15 ans et la Belgique a retenu 13 ans.

L’ajout d’exceptions permettant le traitement des catégories particulières de données (art. 8)

L’article 9 du RGPD interdit par principe le traitement des catégories particulières de données (2).

Des dérogations sont possibles notamment lorsque la personne concernée a donné son consentement explicite au traitement de ses données ou lorsqu’un traitement est nécessaire pour des motifs d’intérêt public important.

La Belgique précise ce dernier point et fixe une liste limitative de responsables du traitement pouvant invoquer cette exception.

Ces organismes sont :

  • les associations/fondations dont l’objet statutaire principal est la défense et la promotion des droits de l’homme et des libertés fondamentales (sous réserve que le Roi autorise le traitement par arrêté délibéré en Conseil des ministres et après avis de l’autorité de contrôle) ;
  • la fondation pour Enfants Disparus et Sexuellement Exploités ;
  • les associations/fondations agrées dont l’objet statutaire principal est la prise en charge des personnes dont le comportement sexuel relève d’infraction (sous réserve d’une autorisation spéciale du traitement par un arrêté royal délibéré en Conseil des ministres après avis de l’autorité de contrôle).

Des conditions supplémentaires pour le traitement des données génétiques, biométriques ou concernant la santé (art. 9)

L’article 9.4 du RGPD permet aux états membres d’imposer des conditions supplémentaires pour le traitement de ces données.

Désormais, en Belgique, les organismes souhaitant traiter ces données devront :

  • lister les personnes pouvant y accéder (en précisant leur mission) ;
  • mettre cette liste à disposition de l’autorité de contrôle ;
  • s’assurer que les personnes précitées ont une obligation de confidentialité.

L’élargissement des situations permettant le traitement des données relatives aux infractions et condamnations pénales (art. 10)

L’article 10 du RGPD prévoit deux hypothèses dans lesquelles le traitement de données d’infractions ou de condamnations est autorisé. D’une part, lorsque l’autorité publique exerce un contrôle. D’autre part, lorsque l’Union ou un état membre autorise ce type de traitement.

Ainsi, la France a intégré, dans sa loi de protection des données, une disposition permettant aux organismes de traiter les données susvisées aux fins de préparation et de gestion de leurs contentieux.

La loi de protection des données belge a prévu quant à elle une longue série d’exceptions permettant le traitement des données relatives aux infractions et condamnations pénales. Il est notamment possible pour la gestion des contentieux, pour la réalisation de motifs d’intérêt public important ou encore lorsque la personne concernée a donné son consentement explicite par écrit.

La limitation des droits des personnes dans le cadre des traitements émanant de certaines autorités (art. 11 et s.)

L’article 23 du RGPD offre la faculté aux états membres d’apporter des limitations aux droits des personnes.

En ce sens, la loi de protection des données belge prévoit que :

  • lorsque des responsables de traitement (3), traitent des données émanant de certaines autorités (4), les droits des personnes sont limités.
  • le responsable du traitement qui communique des données aux forces armés ou à l’organe de coordination pour l’analyse des menaces, ne doit pas indiquer que les autorités précitées sont destinataires des données.

Par exception, le responsable du traitement peut communiquer les données à la personne concernée dans deux cas :

  • lorsque la loi l’y oblige ;
  • lorsque l’autorité dont émane les données l’y a autorisé.

En tout état de cause, les responsables qui mettent en œuvre des traitements dans ce cadre doivent :

  • mettre en place des mesures de sécurité appropriées ;
  • s’assurer que les personnes amenées à traiter les données aient un accès limité aux données nécessaires à l’accomplissement de leur mission et qu’elles soient soumises à un devoir de discrétion.

Les dérogations pour les traitements à des fins journalistiques, d’expression universitaire, artistique ou littéraire

L’article 85 2° du RGPD permet aux états membres d’introduire des dérogations aux obligations posées par le RGPD lorsqu’un responsable met en œuvre des traitements aux fins susvisées.

L’article 24 de la loi de protection des données belge prévoit une série de dispenses concernant ces catégories de traitement. Ainsi, elles portent sur :

  • les principes applicables au traitement (consentement, consentement des enfants dans la société d’information, traitement des données relatives aux condamnations pénales et infractions…) ;
  • les droits des personnes ;
  • les obligations à la charge du responsable du traitement et du sous-traitant en matière de communication et coopération avec l’autorité de contrôle (mise à disposition du registre du traitement, coopération avec l’autorité de contrôle, notification des violations de données, consultation préalable …) ;
  • les exigences en matière de transfert de données ;
  • les pouvoirs d’enquête de l’autorité de contrôle.

L’action de groupe en matière de protection des données

L’article 80 du RGPD offre la possibilité aux États membres d’adopter des dispositions spécifiques afin d’introduire l’action de groupe en matière de protection des données.

La Belgique (comme la France) a choisi d’introduire cette possibilité. Ainsi, l’article 220 de la loi de protection des données belge offre la possibilité aux personnes concernées de mandater des organismes (6) pour qu’ils exercent un recours en leur nom (en cessation et en indemnisation du préjudice subi) devant l’autorité de protection des données ou une juridiction.

Les sanctions administratives et pénales de la loi de protection des données belge

L’article 83 7° du RGPD offre la possibilité aux états membres de déterminer dans quelle mesure une amende administrative peut être imposée à une autorité publique.

En ce sens, la loi de protection des données belge prévoit une exonération d’amende administratives pour les autorités publiques qui commettent des atteintes la protection des données.

Néanmoins, elles pourront faire l’objet d’amendes lorsqu’elles offrent des biens ou des services sur un marché.

Par ailleurs, la loi de protection des données belge introduit des nouvelles sanctions pénales en cas d’atteinte à la protection des données aux articles 222 à 230. Par exemple, le fait de traiter des données personnelles sans base juridique est passible d’une amende de deux cent cinquante euros à quinze mille euros.

Les règles applicables en matière de conflit de lois (art. 252)

Dans l’hypothèse d’un conflit de loi concernant la mise en œuvre d’un traitement, les règles de la loi du 30 juillet 2018 priment.

Aurélie Banck
Alicia Béré
Département Conformité RGPD Banques et Assurances

(1) Loi Belge C-2018/40581 du 30 juillet 2018, relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
(2) Donnée personnelle qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ; mais aussi les données génétiques, biométriques d’identification ou concernant la santé, la vie ou l’orientation sexuelle d’une personne. (art. 9 du RGPD).
(3) Sont visés les responsables du traitement désignés aux articles 11 et suivants de la loi de protection des données belge (fonctionnaires et agents de services publics, ministres et autorités administratives, personnes ou organisme relevant du secteur privé, etc.).
(4) Ces autorités sont celles visées aux articles 11 et suivants de la loi de protection des données belge. Il s’agit des services de renseignement et de sécurité, forces armées, organe de coordination pour l’analyse de la menace ; ou encore unité d’information des passagers, autorités judiciaires, services de police, etc.
(5) Cette obligation ne s’applique pas aux données publiques ou lorsque ce traitement est prévu par des dispositions UE ou nationales.
(6) Les organismes concernés doivent répondre aux conditions suivantes :
– ne pas poursuivre de but lucratif,
– être valablement constitué conformément au droit belge,
– avoir la personnalité juridique,
– avoir des objectifs statutaires d’intérêt public,
– être actif dans le cadre de la protection des droits et libertés dans le cadre de la protection des données depuis au moins trois ans.