Vie privée et protection des données à caractère personnel

Me Claire Hazée, avocate au barreau de Liège

 

L’utilisation de données à caractère personnel est très fréquente, a fortiori dans le monde des affaires où ses acteurs sont constamment amenés à traiter et utiliser de telles données. Certains acteurs économiques manipulent ces données, parfois même sans le savoir, ou à tout le moins, sans savoir que ces informations sont protégées et que leur utilisation est réglementée de manière stricte.

 

En ce que concerne la règlementation applicable, le droit belge se situe entre deux eaux pour quelques mois encore. En effet, la matière est actuellement régie par la loi du 8 décembre 1992, dite « loi vie privée »[1]. Cette loi, relativement ancienne, a fait l’objet de nombreuses modifications au fil des ans et a surtout été imprégnée du droit européen, au fur et à mesure où le législateur européen investiguait la matière. Cependant, l’Union Européenne vient récemment d’adopter un nouveau règlement[2]. Celui-ci, qui est entré en vigueur, est donc venu remplacer la loi vie privée. Néanmoins, il ne sera appliqué qu’à partir du 25 mai 2018. Par conséquent, pour quelques mois encore, la loi belge reste d’application, et d’ici peu, elle sera remplacée par le règlement européen.

 

Avant d’entamer l’examen des deux règlementations, une précision s’impose : cette règlementation s’applique uniquement au traitement de données qui rentre dans le cadre d’une activité professionnelle. Par conséquent, l’utilisation de données personnelles effectuée par une personne physique pour l’exercice d’activités exclusivement personnelles et domestiques n’est pas visée par ce régime.

 

 

1. Le régime actuel
   
    

Nous ne nous étendrons pas longuement sur ce point, dès lors qu’il n’a plus vocation à s’appliquer que quelques mois seulement. Voici donc brièvement ce que nous pouvons en retenir.

 

La loi « vie privée » définit les données à caractère personnel comme étant celles qui concernent une personne physique directement ou indirectement identifiée ou identifiable. Il s’agit donc, par exemple, d’une adresse mail ou d’un numéro de téléphone.

 

Dès que de telles données sont traitées, la protection spécifique établie par cette loi est applicable. Le traitement de données vise toute opération applicable à des données à caractère personnel, telles que : la collecte de celles-ci, leur enregistrement, leur organisation, leur conservation, leur adaptation, leur extradition, leur utilisation, leur communication ou leur diffusion, etc.

 

Prenons un exemple concret : le fait pour une entreprise qui demande à son client de remplir une fiche d’informations afin de lui adresser ses promotions par email constitue un traitement de données à caractère personnel ; idem pour le site de vente en ligne qui réclamera à son client son adresse afin de lui livrer une commande ou d’établir la facturation.

 

La loi « vie privée » protège la personne dont les données sont traitées et définit également les droits et obligations du responsable du traitement.

 

Au registre des droits et obligations du responsable du traitement, nous pourrons par exemple retenir celle qui l’oblige à communiquer à la personne protégée, au plus tard au moment où les données sont obtenues, ses coordonnées complètes, la finalité du traitement, l’existence d’un droit à s’opposer au traitement et d’autres informations encore.

 

La personne protégée, quant à elle, a par exemple le droit de solliciter la rectification des données qui la concernent. Par ailleurs, l’utilisation de ces données à caractère personnel relatives à sa santé est quant à elle, en principe (c’est-à-dire sauf exception stricte), interdite.

 

 

2. ...Et demain ?
   
    

Plusieurs évolutions verront le jour dès le 25 mai 2018. Dans le rang des obligations supplémentaires à respecter par le responsable du traitement, nous noterons notamment :

 

• des formalités plus lourdes à accomplir pour obtenir le consentement de la personne concernée ; celui-ci doit être donné dans un acte clair et affirmatif. Par conséquent, le fait de ne rien affirmer (par exemple en ne cochant pas une case présélectionnée sur un site internet) ne suffira plus ;
   
• l’obligation pour le responsable du traitement d’informer les autorités et la personne concernée en cas de fuite des données à caractère personnel.
   

Au rang des droits des personnes concernées, nous noterons parmi les différentes améliorations :

 

• le droit à l’oubli (c’est-à-dire le droit à ce que, à un moment donné, les données à caractère personnel soit effacées définitivement) sera consacré ;
   
• idem en ce qui concerne le droit à la portabilité de ces données qui permettra à la personne concernée de voir celles-ci transmises à un autre responsable de traitement dans un format structuré.
   

A noter également que, si la loi vie privée prévoyait déjà des amendes en cas d’infraction, la Commission de la Vie Privée, qui est l’autorité compétente en la matière, n’avait pas le pouvoir d’infliger ces amendes. La situation va évoluer dès le 25 mai 2018 puisqu’elle disposera de ce pouvoir sanctionnateur. Le rôle de cet organe, dont la fonction principale était jusqu’à présent d’informer et de concilier les acteurs en présence, évoluera donc considérablement.

 

En guise de conclusion, nous soulignerons que l’application prochainement programmée du règlement européen, en plus d’augmenter la protection des personnes protégées et les obligations à respecter par les responsables de traitement, a surtout vocation à s’appliquer dans tous les états membres. Ce nouveau régime consacrera donc l’unification de la règlementation applicable dans l’Union, puisque, dans le cas présent, les états membres avaient conservé une certaine marge de manœuvre dont ils ne disposent plus.

 

Pour davantage d’informations, nous vous invitons à prendre conseil auprès d’un  avocat spécialisé, et à consulter le site internet de la Commission de la Protection de la Vie Privée : https://www.privacycommission.be/fr .

 

Avril 2017