chronique

La loi belge sur la protection des données à caractère personnel est entrée en vigueur. Avec quelles incidences?

Fabienne Raepsaet

La loi belge sur la protection des données à caractère personnel est entrée en vigueur le 5 septembre dernier. Cette loi exécute sur quelques points le Règlement Général sur la Protection des Données (RGPD), avec des incidences pour les entreprises du secteur privé et du secteur public.

©rv

Par Fabienne Raepsaet
Avocate chez Claeys & Engels

Le RGPD impose des obligations particulières aux autorités publiques en matière de traitement de données à caractère personnel. Les autorités publiques sont par exemple tenues de désigner un délégué à la protection des données. Ces autorités ne peuvent par ailleurs pas traiter des données sur base d’un simple "intérêt légitime"; elles peuvent en revanche y procéder parce que le traitement est nécessaire pour exécuter une mission d’intérêt public ou pour exécuter une obligation légale ou contractuelle.

Le RGPD prévoit qu’il appartient aux législateurs nationaux de définir la notion d’autorité publique. En Belgique, la loi récemment adoptée définit cette notion, et ce de manière très large. Elle inclut l’État fédéral, les entités fédérées et les autorités locales, les personnes morales de droit public qui en dépendent, ainsi que certains organismes gérés ou financés majoritairement par ces autorités et créés en vue de satisfaire des besoins d’intérêt général, et les associations formées par de telles autorités (par exemple, les intercommunales).

Données sensibles

©Nicolas Vadot

Le RGPD prévoit des règles spécifiques concernant le traitement de certaines catégories de données en raison de leur caractère sensible. Il s’agit notamment des données génétiques, biométriques et concernant la santé, ainsi que des données relatives à des condamnations pénales.

Ces données ne peuvent être traitées que dans des hypothèses restreintes et le consentement du travailleur n’est en principe pas une base licite de traitement dans le cadre d’une relation de travail salarié. En outre, la loi belge prévoit désormais que les personnes ayant accès à ces données dans l’entreprise doivent être clairement identifiées et être soumises à une obligation de confidentialité (légale ou contractuelle).

Délégué à la protection des données

Le RGPD impose aux autorités publiques et aux entreprises qui exercent certains types d’activités de désigner un délégué à la protection des données.

Le RGPD impose aux autorités publiques et aux entreprises qui exercent certains types d’activités de désigner un délégué à la protection des données.

La loi belge ajoute deux hypothèses: les entreprises qui effectuent des traitements pour des recherches historiques ou scientifiques ou à des fins statistiques, et les organismes privés qui traitent des données pour le compte d’une autorité publique fédérale ou à qui une autorité publique fédérale a transféré des données.

Dans ces deux cas, un délégué doit être désigné lorsqu’il existe un "risque élevé" pour les personnes concernées (par exemple, en cas de traitement à grande échelle de données sensibles).

Voies de recours et sanctions

©REUTERS

Une personne qui estime être victime d’une violation de la réglementation dispose de plusieurs moyens d’action: une plainte auprès de l’autorité de contrôle compétente, une action en cessation auprès du tribunal pour faire cesser la violation, ou une action judiciaire tendant au paiement de dommages et intérêts. Il est possible de se faire représenter par une organisation ou association active en matière de protection des données.

En outre, en cas de violation de la réglementation, une amende administrative peut être imposée par l’Autorité de protection des données. Cette possibilité n’existe toutefois pas à l’égard des autorités publiques, sauf à l’égard des personnes morales de droit public qui offrent des biens ou des services sur le marché. La loi prévoit par ailleurs des sanctions pénales, le montant maximum des amendes pénales étant considérablement inférieur à celui des amendes administratives.

Société de l’information et consentement des enfants

En matière d’offres directes de services de la société de l’information, tels que des médias sociaux, sites internet, apps etc., le traitement de données relatives à des enfants n’est licite que si le consentement a été donné par les parents. La loi belge abaisse toutefois à 13 ans (au lieu de 16 ans selon le RGPD) l’âge à partir duquel les jeunes peuvent eux-mêmes donner leur consentement dans le cadre de l’utilisation de ces services.

Lire également

Publicité
Publicité
Publicité
Publicité

Contenu sponsorisé

Partner content