Des billets pour vous présenter la matière des droits d'auteur (et plus…)
Avant d’écrire un billet sur l’implication de la loi de 1992 sur la protection des données à caractère personnel, je vais tenter ici, néophyte que je suis, d’analyser cette importante loi. Je vous l’avais présentée dans le post précédent.
Vous trouverez une copie de la loi à cet endroit:
Cliquer pour accéder à CONS_loi_vie_privee_08_12_1992.pdf
Je vous conseille également le lien vers les Codes commentées Larcier en cette matière:
Cliquer pour accéder à 04.02-les-codes-commentes-loi-vie-privee-larcier-.pdf
Introduction du système mis en place
Les traitements de vos données personnelles par autrui sont donc encadrés par la loi du 8 décembre 1992. Cette loi est issues de directives européennes , principalement la Directive 95/46/CE du 24 octobre 1995.
Imaginons une entreprise qui voudrait collecter des informations relatives à ses clients en vue de créer en interne une banque de données. L’entreprise devra respecter toute une série de balises.
Tout d’abord, l’entreprise devra se demander si elle effectuera un réel « traitement » de « données personnelles ».
La loi de 1992 précise ce qu’il faut entendre par « traitement« . Il s’agit de « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction de données à caractère personnel » (art. 1, § 2).
Ce que l’entreprise envisage de faire est clairement un traitement puisqu’elle envisage de collecter des informations, de les enregistrer et de les conserver voire par après de les utiliser.
S’agit-il de « données personnelles« ?
Ici aussi, il faut se reporter à la définition de la loi: « Pour l’application de la présente loi, on entend par “données à caractère personnel” toute information concernant une personne physique identifiée ou identifiable, désignée ci-après “personne concernée”; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale » (art. 1, § 1er).
Les informations que l’entreprise envisage de collecter et de traiter automatiquement (art. 3, § 1 et art. 3bis) sont donc bien des données personnelles puisqu’elles pourront identifier une personne physique au sein de l’entreprise en question.
Ce que compte faire l’entreprise tombe donc bien dans le champ d’application de la loi de 1992. Cette loi a un champ d’application matérielle très large (article 3) puisqu’elle s’applique « à tout traitement de données à caractère personnel automatisé en tout ou en partie, ainsi qu’à tout traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier« .
Elle ne s’applique pas aux traitements de données à caractère personnel effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.
De plus, pour devoir satisfaire aux obligations de cette loi, il suffit que l’entreprise souhaite effectuer son traitement dans le cadre de ses activités réelles et effectives que ce soit dans le cadre d’un de ses établissements fixes établi sur le territoire belge ou en un lieu où la loi belge s’applique en vertu du droit international public. La loi sera aussi d’application lorsque le responsable du traitement n’est pas établi de manière permanente sur le territoire de la Communauté européenne et recourt, à des fins de traitement de données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire belge, autres que ceux qui sont exclusivement utilisés à des fins de transit sur le territoire belge.
Cela étant posé, l’entreprise peut-elle réaliser tous les traitements qu’elle souhaite?
Hypothèses où les traitements sont permis (article 5)
La loi énonce 6 cas où un traitement de données à caractère personnel est possible. A contrario, hors ces six hypothèses, tout traitement est interdit.
Ces possibilités sont les suivantes:
Dans le cas d’un traitement tel qu’envisagé ici, il sera nécessaire à notre entreprise d’obtenir l’accord de l’entreprise-client préalablement au traitement.
Les conditions générales de licéité des traitements
Dans le cadre du traitement et pour qu’il puisse être considéré toujours comme valable, l’entreprise devra (article 4):
La loi précise que l’ensemble de ces obligations repose sur les épaules du responsable du traitement. Elle définit le responsable du traitement comme « la personne physique ou morale, l’association de fait ou l’administration publique qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par ou en vertu d’une loi, d’un décret ou d’une ordonnance, le responsable du traitement est la personne physique, la personne morale, l’association de fait ou l’administration publique désignée comme responsable du traitement par ou en vertu de cette loi, de ce décret ou de cette ordonnance. ».
Les interdictions spécifiques
L’entreprise devra d’abord vérifier si elle PEUT effectuer un tel traitement. En effet, nous l’avons vu brièvement la dernière fois, la loi de 1992 comporte des interdictions plus ou moins bien rédigées. Quelles sont ces interdictions de traitement et quand peut-on aller au-delà de ces interdictions?
Un arrêté royal doit à chaque fois préciser les conditions auxquelles doivent satisfaire les traitements lorsque ceux-ci sont permis.
Donc, notre entreprise doit se poser la question de savoir si le traitement qu’elle envisage de faire ressort oui ou non de l’un des traitements interdits mais permis quand même sous certaines conditions (autrement dit, les traitements des articles 6 à 8).
Je ne pense pas que la simple collecte et le traitement d’informations relatives aux clients d’une entreprise ressort de l’un ou l’autre de ces trois articles. En effet, il ne s’agit pas d’un traitement qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques,
l’appartenance syndicale de ses clients (si le traitement est bien réalisé), il ne s’agit pas non plus d’un traitement des données relatives à la vie sexuelle de ses clients. Il ne s’agit pas non plus de données d’un traitement relatif aux données médicales de ses clients ni un traitement relatif à ses litiges.
Le traitement est donc a priori permis. Quelle est donc la suite du parcours?
La déclaration préalable du traitement à la Commission vie privée
L’entreprise devra déclarer le traitement qu’elle envisage de faire auprès de la Commission de la protection de la vie privée « préalablement à la mise en œuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble de tels traitements ayant une même finalité ou des finalités liées » (art. 17, § 1er). La déclaration auprès de la Commission vie privée est donc toujours préalable. Il doit s’effectuer avant tout traitement. La loi en ses articles 23 et suivants a prévu l’organisation de cette Commission.
Toutefois, là aussi, la loi prévoit une exception. En effet, la déclaration préalable ne s’applique pas aux « traitements ayant pour seul objet la tenue d’un
registre qui, par ou en vertu d’une loi, d’un décret ou d’une ordonnance, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime« . Ce ne sera pas le cas pour notre entreprise. Donc, elle devra déclarer le traitement qu’elle envisage de faire à la Commission vie privée. Notons que chaque finalité ou ensemble de finalités liées pour lesquelles il est procédé à un ou à plusieurs traitements partiellement ou totalement automatisés doit faire l’objet d’une déclaration.
La déclaration de notre entreprise devra contenir (article 17, § 3):
La suppression d’un traitement automatisé ou toute modification d’une de ces informations doit également faire l’objet d’une déclaration à la Commission vie privée.
Le site de la Commission vie privée définit les finalités d’un traitement de la façon suivante: « Le responsable ne peut pas poursuivre n’importe quel objectif. Il va de soi qu’il doit s’agir d’un objectif légitime. Cela signifie que les intérêts du responsable du traitement doivent être en équilibre avec les intérêts de la personne concernée. Une finalité susceptible de porter atteinte à la vie privée de la personne concernée n’est pas une finalité légitime. Par exemple : la constitution d’un fichier reprenant des personnes qui approchent des soixante ans en vue de leur envoyer, lors de leur soixantième anniversaire, de la documentation sur une assurance obsèques « parce qu’il est temps d’y penser », n’est pas une finalité légitime. Le préjudice subi par ces personnes dans ce cas est indubitablement plus grand que l’intérêt commercial de la personne qui constitue le fichier.« .
La Commission adresse dans les trois jours ouvrables un accusé de réception de la déclaration. Si la déclaration est incomplète, la Commission devra en informer notre entreprise. Dans les 21 jours, la Commission vous transmettra les éléments suivants : votre numéro d’identification personnel (numéro HM), le numéro d’identification de votre traitement (numéro VT), et enfin une facture (voir infra).
Outre l’hypothèse que j’ai mentionnée supra par rapport aux registres, certaines catégories de la déclaration peuvent être exemptées lorsque, compte tenu des données traitées, il n’y a « manifestement pas de risque d’atteinte aux droits et libertés des personnes concernées et que sont précisées les finalités du traitement, les catégories de données traitées, les catégories de personnes concernées, les catégories de destinataires et la durée de conservation des données« . Toutefois, lorsqu’une exemption de déclaration est accordée pour des traitements automatisés, les informations en question devront quand même pouvoir être communiquées par le responsable du traitement à toute personne qui en fait la demande.
Un arrêté royal peut décider que certaines catégories de traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées et bénéficier dès lors d’un traitement particulier (article 17bis).
Une contribution est due pour chaque déclaration: 25 EUR si la déclaration est introduite par voie électronique, 125 EUR si le formulaire papier est utilisé. Un montant unique sera facturé pour toutes les nouvelles déclarations papier envoyées à la Commission vie privée par un même responsable de traitement et qui nous parviennent simultanément, le cachet de la poste faisant foi.
Le traitement qu’envisage d’effectuer notre entreprise sera lui-même enregistré à la Commission vie privée. Le registre de la Commission vie privée est consultable par le public selon des modalités fixées par le Roi.
Si la Commission de la protection de la vie privée estime qu’un traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier est susceptible de porter atteinte à la vie privée, elle peut soit d’office, soit sur requête d’une personne concernée enjoindre au responsable du traitement de lui communiquer tout ou partie des informations énumérées à l’article 17 (et vues supra).
Imaginons que notre entreprise ait correctement fournie à la Commission vie privée l’ensemble des informations nécessaires et ait payé la facture correspondante. Peut-elle commencer son traitement des informations de ses clients?
Les droits de la personne concernée
Oui, tout à fait.
Toutefois, il faudra que l’entreprise respecte également les droits de la personne concernée par le traitement de ses données.
Ces droits sont énoncés à l’article 9 de la loi de 1992.
En vertu de l’article 9, la personne concernée peut obtenir au plus tardau moment où les données sont obtenues (notre entreprise sera obligée de fournir ces informations à la personne concernée sauf si la personne concernée en est déjà informée):
De plus, la personne concernée par le traitement de ses données et qui apporte la preuve de son identité a le droit d’obtenir du responsable du traitement (article 10):
Toute personne a le droit d’obtenir sans frais la rectification de toute donnée à caractère personnel inexacte qui la concerne. De plus, toute personne a en outre le droit de s’opposer, pour des raisons sérieuses et légitimes tenant à une situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf lorsque la licéité du traitement est basée sur les motifs visés à l’article 5, b) (“lorsqu’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci“) et c) (“lorsqu’il est nécessaire au respect d’une obligation à laquelle le responsable du traitement est soumis par ou en vertu d’une loi, d’un décret ou d’une ordonnance“).
Lorsque les données à caractère personnel sont collectées à des fins de direct marketing, la personne concernée peut s’opposer, gratuitement et sans aucune justification, au traitement projeté de données à caractère personnel la concernant.
En cas d’opposition justifiée, le traitement mis en œuvre par le responsable du traitement ne peut plus porter sur ces données.
Toute personne a également le droit d’obtenir sans frais la suppression ou l’interdiction d’utilisation de toute donnée à caractère personnel la concernant qui, compte tenu du but du traitement, est incomplète ou non pertinente ou dont l’enregistrement, la communication ou la conservation sont interdits ou encore qui a été conservée au-delà de la période autorisée. (article 12)
Cette disposition-ci est aussi à retenir dans le cadre de notre analyse: “Art. 12bis. Une décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité. L’interdiction prévue à l’alinéa 1er ne s’applique pas lorsque la décision est prise dans le cadre d’un contrat ou est fondée sur une disposition prévue par ou en vertu d’une loi, d’un décret ou d’une ordonnance. Ce contrat ou cette disposition doivent contenir des mesures appropriées, garantissant la sauvegarde des intérêts légitimes de l’intéressé. Il devra au moins être permis à celui-ci de faire valoir utilement son point de vue.”. Mais il s’agit de données visant à établir la personnalité de quelqu’un, donc, cela devrait être hors de propos.
Si quelqu’un n’est pas d’accord avec le traitement de ses données, il peut s’adresser soit à la Commission de la protection de la vie privée (article 13), soit au juge (article 14).
Dès la réception de la demande tendant à faire rectifier, supprimer ou interdire d’utiliser ou de divulguer des données à caractère personnel ou dès la notification de l’introduction de l’instance visée à l’article 14, et jusqu’à ce qu’une décision soit coulée en force de chose jugée, le responsable du traitement doit indiquer clairement, lors de toute communication d’une donnée à caractère personnel, que celle-ci est contestée (article 15).
Attention aux traitements illégaux ou disproportionnés car “Art. 15bis. Lorsque la personne concernée subit un dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la présente loi, les alinéas 2 et 3 ci-après s’appliquent, sans préjudice d’actions fondées sur d’autres dispositions légales. Le responsable du traitement est responsable du dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la présente loi. Il est exonéré de cette responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui
est pas imputable.” (+ voir les dispositions pénales des articles 37 et suivants de la loi).
L’article 16 de la loi concerne l’hypothèse où les traitements sont effectués par l’intermédiaire d’un sous-traitant.
Conclusion
Notre entreprise si elle a obtenu l’accord de son client et si elle a bien rempli ses obligations vis-à-vis de la Commission vie privée, pourra traiter les informations collectées sur son client.
Attention aussi à bien respecter les dispositions de la loi de 1992 vu les nombreuses dispositions pénales qui l’accompagnent (articles 37 et suivants).