La Belgique transpose (enfin) le RGPD (GDPR)
Publié le 05/09/2018 par Bojana Salovic, Olivia Guerguinov, Thierry Léonard
Promise pour le début d’année et accusant déjà plus de trois mois de retard depuis l’entrée en vigueur du nouveau règlement général européen sur la protection des données (GDPR), la loi belge du 30 juillet 2018 exécutant le GDPR a été publiée ce 5 septembre 2018 au Moniteur Belge. La loi du 8 décembre 1992 n’est plus. Un premier aperçu.
Le « paquet GDPR »
La loi du 30 juillet relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (ci-après « la loi cadre ») abroge l’ancienne loi du 8 décembre 1992 et ses arrêtés-royaux d’exécution. Elle fait partie du « paquet belge » exécutant le GDPR. Ce sont en effet deux projets distincts qui avaient été déposés les 11 et 20 juin dernier à la Chambre, et votés dès le 19 juillet, soit un peu plus d’un mois après leur dépôt. Ces textes s’ajoutent donc à la loi du 3 décembre 2017 qui organise la nouvelle Autorité nationale de protection des données (pour plus d’information, nous vous renvoyons à notre article concernant la nouvelle Autorité ici.).
La loi-cadre est une loi à vocation générale. Elle est pour le moins gargantuesque, comptant plus de 280 articles. Elle inclut non seulement l’exécution du GDPR sensu stricto mais aussi la transposition la directive 2016/680 relative aux traitements de données liées à la commission d’infractions pénales et à leurs sanctions, ainsi que des règles spécifiques concernant certaines autorités publiques dont les traitements sont hors champ d’application du droit européen (services de renseignements, de sécurité etc…). On ne s’intéresse ici qu’aux dispositions édictées en application du GDPR. La quasi-totalité de ses dispositions entrent en vigueur au jour de la publication, soit ce 5 septembre 2018.
L’autre texte exécutant le GDPR est une loi très spécifique sur laquelle nous reviendrons après sa publication. Il s’agit de la loi instituant un comité de sécurité de l’information, qui ressuscite en son sein les anciens Comités sectoriels de la sécurité sociale et de la santé, ainsi que le Comité sectoriel pour l’Autorité fédérale. Ce projet de loi a également été adopté mais n’a pas encore été publié au Moniteur.
Le champ d’application territorial
Le titre préliminaire de la loi aborde la question de son propre champ d’application territorial, non réglé et harmonisé par le GDPR. Le texte s’inspire néanmoins ici des critères du GDPR, précisant que la loi s’applique aux traitements effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant établi sur le territoire belge, que le traitement ait lieu ou non sur le territoire. Elle s’applique aussi en cas de traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire belge, par un responsable du traitement ou un sous-traitant établi hors de l’UE dans les situations visées par le GDPR en son article 3 (offre de biens ou services sur le territoire belge ou suivi du comportement de ces personnes sur le territoire belge).
Les nouvelles règles d’exécution et d’application du GDPR
Le GDPR est un règlement européen. Et qui dit règlement, dit texte directement et immédiatement applicable dans chacun des Etats membres. A priori, plus besoin d’une loi nationale transposant le texte européen. Néanmoins, le GDPR laisse encore une marge de manœuvre aux Etats Membres afin de préciser l’application de certaines règles ou conditions d’application prévues par le GDPR.
Ainsi, l’exécution et les mesures d’application du Règlement se traduisent notamment dans la loi cadre par :
La fixation à 13 ans de l’âge à partir duquel les enfants peuvent consentir seuls – et donc indépendamment de leurs parents ou autres représentants légaux- à un traitement de données poursuivi dans le cadre d’offres de services de la société de l’information (article 7);
Une liste exhaustive des traitements étant considérés comme nécessaires pour des motifs d’intérêt public important (article 8) et constituant une exception à l’interdiction des traitements de données « sensibles » ;.
L’article 9 du GDPR interdit le traitement des données dites « sensibles » en prévoyant notamment une exception en faveur des traitements nécessaires pour des motifs d’intérêt public important (article 9.2.g) du GDPR), sur base du droit de l’Union ou du droit d’un Etat membre. La Belgique a donc établi la liste exhaustive des traitements qui rentrent dans le cadre de cette exception.
A titre d’exemple, on retrouve ici le traitement effectué par des associations dotées de la personnalité juridique ou par des fondations qui ont pour objet statutaire principal la défense et la promotion des droits de l’homme et des libertés fondamentales et qui donc, aux conditions soumises par la loi, ont le droit de traiter des données sensibles (par exemple, des données concernant les convictions religieuses). Certaines de ces exceptions se retrouvaient déjà dans la loi vie privée de 1992.
Des mesures de protection supplémentaires en cas de traitements de données génétiques, biométriques ou de santé (article 9).
Il s’agit ici des garanties qui étaient prévues, de manière presque identique, par l’arrêté royal du 13.02.2001 exécutant la loi vie privée de 1992. A titre d’exemple, le responsable du traitement doit veiller à désigner les catégories de personnes ayant accès aux données, avec une description précise de leur fonction par rapport aux traitements opérés.
Les cas de levée de l’interdiction de traitements des données relatives à des condamnations et infractions pénales (article 10).
Il s’agit ici d’une liste limitative qui précise les cas de figures exemptés de l’interdiction. Ainsi, les personnes physiques ou morales, de droit public ou privé, ont le droit de traiter de telles données pour les besoins de la gestion de leur propre contentieux ; les avocats sont également exonérés de cette interdiction pour la défense de leurs clients etc.
On notera qu’à présent, le consentement de la personne concernée lève l’interdiction sous certaines conditions, ce qui n’était pas le cas avant (article 10,§1,5°). De même, une nouvelle exception a également été introduite, sous certaines conditions, pour les données manifestement rendues publiques par la personne concernée (article 10,§1,6°).
Les cas de limitations des droits reconnus aux personnes concernées; (articles 11 à 17)
L’article 23 du GDPR prévoit que le droit de l’Union ou le droit d’un Etat membre peuvent limiter la portée de certains droits et obligations prévus par le GDPR.
A titre d’exemple, l’article 14 de la loi prévoit les limitations à certains droits et obligations, pour les traitements de données émanant directement ou indirectement des autorités judiciaires, des services de police, de l’Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l’Administration générale des douanes et accises, et de l’Unité d’information des passagers.
Les spécificités apportées au secteur public (articles 19 à 23)
La loi apporte plusieurs précisions quant aux traitements du secteur public.
Ainsi, des protocoles doivent être conclus entre l’autorité publique fédérale qui transfère des données sur base de l’articles 6.1 c) et e) du GDPR, et le destinataire des données. La loi précise ce que le protocole peut contenir comme informations. Le protocole doit être adopté après avis du DPO de l’autorité fédérale détentrice des données, et du destinataire. Le protocole doit ensuite être publié sur le site internet des responsables concernés.
On soulignera également que la loi élargit les cas de figures nécessitant la désignation d’un DPO. La loi précise en effet qu’un organisme privé qui traite des données à caractère personnel pour le compte d’une autorité publique fédérale ou à qui une autorité publique fédérale a transféré des données à caractère personnel, doit désigner un DPO lorsque le traitement de ces données peut engendrer un risque élevé tel que visé à l’article 35 du Règlement.
Les très (trop ?) larges exemptions et dérogations pour les traitements à des fins journalistiques et d’expression universitaire, artistique et littéraire (article 24)
Toute une série d’obligations du GDPR ne doivent pas être respectées pour les traitements mentionnés ci-avant. A titre d’exemple, aucune obligation d’information (prévue à l’article 13 du GDPR), ne doit être respectée par les responsables du traitement mettant en œuvre un traitement journalistique, ou d’expression universitaire, artistique ou littéraire.
Autre exemple, l’article 58 du GDPR (relatif aux pouvoirs de l’Autorité de protection de données), n’est pas applicable lorsque son application aboutirait à fournir des indications sur les sources d’information ou si son contrôle constituerait une mesure de contrôle préalable à la publication d’un article. Une réduction drastique des pouvoirs de l’Autorité, réduction destinée à préserver la liberté d’expression et le secret des sources.
Le régime des finalités de recherches scientifiques, historiques et statistiques
Le texte (articles 186 à 208 de la nouvelle loi) s’inspire de l’ancien régime particulier aux traitements à finalités de recherches scientifiques, historiques et statistiques.
Un traitement à des fins historiques, statistiques ou scientifiques est réputé compatible lorsqu’il est effectué conformément à certaines conditions : ces conditions qui étaient avant fixées par l’AR. du 13/02/2001 sont désormais fixées à l’art. 89.1 GDPR. S’il est satisfait à ces conditions, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise.
La différence fondamentale avec le précédent régime est le fait que le nouveau régime ne s’applique pas uniquement aux traitements ultérieurs à des fins de recherches scientifiques, historiques et statistiques, mais comprend également certaines dispositions applicables à tous les traitements à des fins de recherches scientifiques, historiques et statistiques pour autant que le responsable du traitement entend déroger aux droits des personnes concernées visés à l’article 89, 1 et 2 du GDPR.
Le nouveau régime impose ainsi des garanties particulières ::
- La désignation d’un DPO par le responsable du traitement si le traitement est susceptible d’engendrer un risque élevé tel que visé par l’art. 35 GDPR
- La tenue d’un registre des activités de traitement, avec des indications spécifiques (justification de l’utilisation des données pseudonymisées ou non, motifs pour lesquels l’exercice des droits risque de rendre impossible ou entraver la réalisation de la finalité, le cas échéant l’analyse d’impact si des données sensibles sont traitées et qu’elles ne sont pas anonymisées ni pseudonymisées)
La loi distingue ensuite plusieurs cas de figure différents de traitements ultérieurs, impliquant l’application de règles différentes : une distinction est notamment faite entre le cas où (1) le responsable du traitement initial est le même que le responsable du traitement ultérieur et (2) le responsable du traitement initial n’est pas le même que le responsable du traitement ultérieur. Ces règles portent, par exemple, sur l’obligation de pseudonymiser les données, l’obligation d’information ou encore l’obligation de conclure une convention spécifique entre le responsable initial et le responsable ultérieur.
Les voies de recours
On peut aussi relever la généralisation l’action en cessation comme arme judiciaire de base en cas de violation des dispositions du Règlement et des lois de protection des données. Elle est non seulement formée par la personne concernée -le cas échéant représentée par une association- mais aussi par l’autorité de contrôle compétente. Conformément au GDPR, la loi prévoit également que suite à l’action introduite, le demandeur peut réclamer, par une action distincte, la réparation de son dommage conformément à la responsabilité contractuelle ou extracontractuelle.
L’action est de la compétence du président du tribunal de première instance, siégeant comme en référé. Dans son avis 33/2018, la CPVP avait préconisé la centralisation de toutes les procédures à Bruxelles, vu la spécialisation de la matière. Une recommandation qui n’a pas été suivie par les parlementaires, et qui impliquera donc de nouveau challenges en termes de compréhension de matière pour les présidents de l’ensemble des tribunaux belges de première instance.
Les sanctions
Enfin, la loi prévoit (articles 221 à 230) -comme le GDPR le permet- la non application des amendes administratives aux autorités publiques, leurs préposés et mandataires. Comme l’a fait judicieusement remarquer l’Autorité de protection des données, on peut se demander quelle sera alors la sanction réelle des autorités publiques en cas de violation des règles de protection. En effet, les interdictions ou limitations de traitement butteront sur le principe de continuité du service public. Quant aux sanctions pénales, on peut douter tant de leur effectivité que de leur effet compensateur à l’absence d’amendes.
Un débat nécessaire qui n’a pas eu lieu
La protection des données personnelles est un des grands enjeux de nos sociétés démocratiques hyper-connectées. Ces textes de loi méritaient d’être discutés et analysés soigneusement. Or, force est de constater que nos parlementaires n’ont eu ni le temps, ni les moyens de s’approprier ces textes, explications et avis souvent techniques et très complexes -même pour les plus aguerris- qui accompagnaient les deux projets déposés. Soulignons que le projet concernant la loi cadre –parcouru ici- a été déposé le 11 juin et voté au Parlement 5 semaines plus tard, soit le 19 juillet dernier. Le débat attendu n’a donc pas eu lieu, ce que l’on ne peut que déplorer. On craint dès lors que l’analyse approfondie de ces nouvelles dispositions engendrent quelques (mauvaises) surprises. Tant pour le citoyen que pour les destinataires de ces normes.
Plus d’infos ?
En lisant la loi, disponible en annexe.