Deux nouveaux projets de loi pour régler la protection des données personnelles

©ANP XTRA

Promise pour le début d’année et accusant déjà plus d’un mois de retard depuis l’entrée en vigueur du nouveau règlement général européen sur la protection des données (RGPD/GDPR), la réglementation belge exécutant le Règlement a été déposée à la Chambre.

Par Thierry Léonard et Etienne Wéry
Le premier est avocat-associé Ulys et Professeur à l'Université Saint Louis-Bruxelles; le second est avocat-associé Ulys

Plus précisément deux projets distincts ont été déposés les 11 et 20 juin dernier. Ces textes s’ajoutent donc à la loi du 3 décembre 2017 qui organise la nouvelle Autorité nationale de protection des données.

Ce projet prévoit aussi la création d’une vaste banque de données conçue en vue de lutter contre les fraudes sociales.
.
.

Le projet du 20 juin est très spécifique. Instituant un comité de sécurité, il ressuscite en son sein les anciens Comités sectoriels de la sécurité sociale et de la santé, ainsi que le Comité sectoriel pour l’Autorité fédérale. Nouvel organe au statut juridique incertain et critiquable au regard tant de la Constitution que du Règlement, ce Comité sera chargé d’autoriser par " délibérations générales " contraignantes certains flux de données entre acteurs et institutions des secteurs de la santé et de la sécurité sociale ainsi que des communications de données par les autorités fédérales. Ce projet prévoit aussi la création d’une vaste banque de données conçue en vue de lutter contre les fraudes sociales, qui a provoqué les foudres de la nouvelle Autorité de protection des données et du Conseil d’Etat.

Projet gargantuesque

Le projet du 11 juin est général et pour le moins gargantuesque comptant plus de 280 articles. Le gouvernement y inclut non seulement l’exécution du GDPR sensu stricto mais aussi la transposition d’une directive de 2016 relative aux traitements de données liées à la commission d’infractions pénales et à leurs sanctions, ainsi que des règles spécifiques concernant certaines autorités publiques dont les traitements sont hors champ d’application du droit européen (services de renseignements, de sécurité etc…).

L’exécution du Règlement se traduit notamment par :

- La fixation à 13 ans de l’âge pivot des enfants, leur permettant de consentir seuls – et donc indépendamment de leurs parents ou autres représentants légaux - à un traitement de données poursuivi dans le cadre d’offres de services sur internet;

- Des mesures de protection supplémentaires en cas de traitements de données génétiques, biométriques ou de santé;

- Les cas de levée de l’interdiction de traitements des données relatives à des condamnations et infractions pénales ;

- Les cas de limitation des droits reconnus aux personnes concernées;

- Les très (trop ?) larges exemptions et dérogations pour les traitements à des fins journalistiques et d’expression universitaire, artistique et littéraire;

L’anonymisation ou la pseudonymisation (on passe par un code plutôt que par une donnée directement identifiante) des données devient la règle générale.
.
.

Le texte étend l’ancien régime particulier aux traitements à finalités de recherches scientifiques, historiques et statistiques. Il s’applique de manière générale à ces finalités et pas seulement en cas de réutilisation des données lorsque ces finalités n’avaient pas été annoncées initialement à la personne. L’anonymisation ou la pseudonymisation (on passe par un code plutôt que par une donnée directement identifiante) des données devient la règle générale.

On peut aussi relever la généralisation de l’action en cessation comme arme judiciaire de base en cas de violation des dispositions du Règlement et des lois de protection des données. Elle est non seulement formée par la personne concernée -le cas échéant représentée par une association- mais aussi par l’autorité de contrôle compétente.

On peut se demander quelle sera alors la sanction réelle des autorités publiques en cas de violation des règles de protection.
.
.

Enfin, le projet prévoit la non application des amendes administratives aux autorités publiques, leurs préposés et mandataires. Comme l’a fait judicieusement remarquer la nouvelle autorité de protection des données, on peut se demander quelle sera alors la sanction réelle des autorités publiques en cas de violation des règles de protection. En effet, les interdictions ou limitations de traitement butteront sur le principe de continuité du service public. Quant aux sanctions pénales, on peut douter tant de leur effectivité que de leur effet compensateur à l’absence d’amendes.

La protection des données personnelles est un des grands enjeux de nos sociétés démocratiques hyper-connectées. Ces projets méritent d’être discutés et analysés soigneusement. Nos parlementaires auront-ils le temps et les moyens de s’approprier près de 1000 pages de textes, explications et avis parfois horriblement techniques, même pour les plus aguerris ? Une priorité dans le cadre des nombreuses réformes en cours.

Lire également

Publicité
Publicité

Echo Connect

Messages sponsorisés

n