La FEB attaque le RGPD pour discrimination

©Photo News

La loi belge transposant le Règlement européen sur la protection des données personnelles n’a pas prévu de sanction administrative pour le secteur public.

Il était temps… La Fédération des entreprises de Belgique (FEB) a déposé au dernier moment un recours devant la Cour constitutionnelle contre un article de la loi du 30 juillet 2018 transposant en droit belge le Règlement européen de protection des données à caractère personnel (le fameux RGPD). Cette loi-cadre a été publiée au Moniteur le 5 septembre de l’an dernier et le délai pour la contester était de six mois; autrement dit, la FEB est intervenue au dernier jour de la période ouverte aux recours. "On a longtemps pesé le pour et le contre", nous dit-on à la Fédération. On a aussi hésité sur l’identité de l’organisation qui monterait au front: une entreprise, un secteur? Finalement, comme l’ensemble des entreprises est potentiellement impacté, le choix s’est porté sur la fédération généraliste.

"Nous ne critiquons pas le RGPD, mais jugeons la discrimi-nation choquante."
Nathalie Ragheno
premier conseiller à la FEB

Concrètement, la FEB demande à la Cour constitutionnelle d’annuler un des articles de la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Il s’agit de l’article 221, paragraphe 2. Il est libellé ainsi: "L’article 83 du Règlement ne s’applique pas aux autorités publiques et leurs préposés ou mandataires sauf s’il s’agit de personnes morales de droit public qui offrent des biens ou des services sur un marché."

Explication: "En cas de violation ou de non-respect du RGPD, la loi prévoit des sanctions administratives et pénales, dit Nathalie Ragheno, premier conseiller au département juridique de la Fédération. Mais alors que la volonté du législateur européen avait été qu’on traite de la même manière le secteur public et le secteur privé, le législateur belge a décrété que les amendes administratives ne s’appliqueraient pas au secteur public. Il y a là une discrimination."

Comprendre le RGPD en 2 minutes


Deux avis négatifs

L’organisation représentant les entreprises ne discerne pas les raisons qui ont poussé nos législateurs (et le gouvernement fédéral en premier, puisqu’il s’agissait d’un projet de loi) à se distinguer de la sorte du projet européen. "Nous sommes confortés dans notre position par la Commission de la protection de la vie privée (l’organe qui a précédé l’Autorité de protection des données, NDLR), qui lors des travaux préparatoires de la loi avait émis un avis négatif sur cet article, poursuit Nathalie Ragheno. De même, dans son avis, le Conseil d’État avait également souligné cette incohérence dans le texte."

La loi belge a en revanche retenu la possibilité d’infliger des amendes pénales au secteur public comme au privé. "Elles sont aussi moins élevées", précise l’experte. Alors qu’une amende administrative peut s’avérer très lourde pour une entreprise, puisqu’elle peut s’élever jusqu’à 4% de son chiffre d’affaires mondial, plafonné à 20 millions d’euros. "Nous ne critiquons pas le RGPD en soi, ajoute-t-elle. Ce règlement, et donc la loi, correspond à une réalité et à un besoin, mais nous estimons que cette discrimination est choquante."

La notion de service public ici "exemptée" recouvre l’ensemble des niveaux de l’administration, jusqu’aux communes. En ce qu’il gère les numéros nationaux des citoyens, un fonctionnaire communal manipule pourtant des données personnelles sensibles, dont il importe qu’il maîtrise l’accès. Il y a donc là un vrai risque, auquel on devrait pouvoir sensibiliser l’agent public, y compris par l’existence d’un arsenal de sanctions administratives. "Les entreprises privées doivent budgéter désormais le risque lié au RGPD dans leur comptabilité", relève encore Nathalie Ragheno.

Pourquoi dès lors avoir prévu un régime plus léger pour le secteur public? Tentative de réponse: parce que les amendes que paierait celui-ci retourneraient dans les mêmes caisses, celles de l’État. Un raisonnement qu’on pourrait tout aussi bien retourner: cet argent pourrait, d’une part, passer de la caisse d’un niveau de pouvoir à celle d’un autre, et il pourrait, d’autre part, être affecté au financement d’un programme spécifique de sensibilisation à la protection des données personnelles, ou d’amélioration de la sécurité des données.

Un seul autre recours

Le débat est rouvert, dirons-nous. En attendant son issue, on signalera à titre d’information que la loi-cadre transposant le RGPD n’a pas suscité, à notre connaissance, beaucoup de contestations. À présent que le délai de six mois est écoulé, le recours déposé par la FEB est, apparemment, le seul à viser la loi elle-même. Un autre recours, déposé devant la même Cour par un citoyen, vise le décret flamand du 8 juin 2018 contenant l’ajustement des décrets au RGPD et, en particulier, l’obligation de consulter l’Autorité de protection des données. Bref, la Cour constitutionnelle pourra concentrer ses ressources d’analyse sur ces deux seuls dossiers.

Lire également

Publicité
Publicité

Echo Connect