Blog d'Axel Beelen, spécialiste en propriété intellectuelle

Des billets pour vous présenter la matière des droits d'auteur (et plus…)

Protection des données personnelles: analyse de la réglementation

Avant d’écrire un billet sur l’implication de la loi de 1992 sur la protection des données à caractère personnel, je vais tenter ici, néophyte que je suis, d’analyser cette importante loi. Je vous l’avais présentée dans le post précédent.

Vous trouverez une copie de la loi à cet endroit:

http://www.privacycommission.be/sites/privacycommission/files/documents/CONS_loi_vie_privee_08_12_1992.pdf

Je vous conseille également le lien vers les Codes commentées Larcier en cette matière:

http://www.privacycommission.be/sites/privacycommission/files/documents/04.02-les-codes-commentes-loi-vie-privee-larcier-.pdf

Introduction du système mis en place

Les traitements de vos données personnelles par autrui sont donc encadrés par la loi du 8 décembre 1992. Cette loi est issues de directives européennes , principalement la Directive 95/46/CE du 24 octobre 1995.

Imaginons une entreprise qui voudrait collecter des informations relatives à ses clients en vue de créer en interne une banque de données. L’entreprise devra respecter toute une série de balises.

Tout d’abord, l’entreprise devra se demander si elle effectuera un réel « traitement » de « données personnelles ».

La loi de 1992 précise ce qu’il faut entendre par « traitement« . Il s’agit de « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction de données à caractère personnel » (art. 1, § 2).

Ce que l’entreprise envisage de faire est clairement un traitement puisqu’elle envisage de collecter des informations, de les enregistrer et de les conserver voire par après de les utiliser.

S’agit-il de « données personnelles« ?

Ici aussi, il faut se reporter à la définition de la loi: « Pour l’application de la présente loi, on entend par “données à caractère personnel” toute information concernant une personne physique identifiée ou identifiable, désignée ci-après “personne concernée”; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale » (art. 1, § 1er).

Les informations que l’entreprise envisage de collecter et de traiter automatiquement (art. 3, § 1 et art. 3bis) sont donc bien des données personnelles puisqu’elles pourront identifier une personne physique au sein de l’entreprise en question.

Ce que compte faire l’entreprise tombe donc bien dans le champ d’application de la loi de 1992. Cette loi a un champ d’application matérielle très large (article 3) puisqu’elle s’applique « à tout traitement de données à caractère personnel automatisé en tout ou en partie, ainsi qu’à tout traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier« .

Elle ne s’applique pas aux traitements de données à caractère personnel effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.

De plus, pour devoir satisfaire aux obligations de cette loi, il suffit que l’entreprise souhaite effectuer son traitement dans le cadre de ses activités réelles et effectives que ce soit dans le cadre d’un de ses établissements fixes établi sur le territoire belge ou en un lieu où la loi belge s’applique en vertu du droit international public. La loi sera aussi d’application lorsque le responsable du traitement n’est pas établi de manière permanente sur le territoire de la Communauté européenne et recourt, à des fins de traitement de données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire belge, autres que ceux qui sont exclusivement utilisés à des fins de transit sur le territoire belge.

Cela étant posé, l’entreprise peut-elle réaliser tous les traitements qu’elle souhaite?

Hypothèses où les traitements sont permis (article 5)

La loi énonce 6 cas où un traitement de données à caractère personnel est possible. A contrario, hors ces six hypothèses, tout traitement est interdit.

Ces possibilités sont les suivantes:

  1. lorsque la personne concernée a indubitablement donné son consentement. Par “consentement de la personne concernée”, on entend « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement » (article 1, § 8);
  2. lorsque le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;
  3. lorsque le traitement est nécessaire au respect d’une obligation à laquelle le responsable du traitement est soumis par ou en vertu d’une loi, d’un décret ou d’une ordonnance
  4. lorsque le traitement est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée;
  5. lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées;
  6. lorsque le traitement est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée qui peut prétendre à une protection au titre de la présente loi.

Dans le cas d’un traitement tel qu’envisagé ici, il sera nécessaire à notre entreprise d’obtenir l’accord de l’entreprise-client préalablement au traitement.

Les conditions générales de licéité des traitements

Dans le cadre du traitement et pour qu’il puisse être considéré toujours comme valable, l’entreprise devra (article 4):

  1. traiter loyalement et licitement les données personnelles qui seront en sa possession;
  2. collecter les données personnelles pour des finalités déterminées, explicites et légitimes, et ne pas les traiter ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de la personne concernée et des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible lorsqu’il est effectué conformément aux conditions fixées par le Roi, après avis de la Commission de la protection de la vie privée;
  3. traiter des données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement;
  4. vérifier si les données sont exactes et, si nécessaire, à jour. L’entreprise devra prendre toutes les mesures raisonnables pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;
  5. conserver les données sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement. Le Roi prévoit, après avis de la Commission de la protection de la vie privée, des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

La loi précise que l’ensemble de ces obligations repose sur les épaules du responsable du traitement. Elle définit le responsable du traitement comme « la personne physique ou morale, l’association de fait ou l’administration publique qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par ou en vertu d’une loi, d’un décret ou d’une ordonnance, le responsable du traitement est la personne physique, la personne morale, l’association de fait ou l’administration publique désignée comme responsable du traitement par ou en vertu de cette loi, de ce décret ou de cette ordonnance. ».

Les interdictions spécifiques

Panneau d’interdiction

L’entreprise devra d’abord vérifier si elle PEUT effectuer un tel traitement. En effet, nous l’avons vu brièvement la dernière fois, la loi de 1992 comporte des interdictions plus ou moins bien rédigées. Quelles sont ces interdictions de traitement et quand peut-on aller au-delà de ces interdictions?

  1. une entreprise ne peut pas effectuer un « traitement de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la vie sexuelle » (art. 6, § 1er) sauf (art. 6, § 2) lorsque (i) la personne a donné son accord un arrêté royal pouvant préciser les cas où même l’accord de la personne ne rend pas le traitement légal dans ce cas-ci, lorsque (ii) le traitement est nécessaire afin « d’exécuter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail » (en clair les responsables du service RH de votre société peut traiter vos données issues de votre contrat de travail);  lorsque (iii) le traitement est « lorsque le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement« ; lorsque les traitements sont effectués par une ASBL ou une fondation et que les données concernent uniquement les membres de l’ASBL ou de la fondation et que l’ASBL ou la fondation s’engage à ne pas communiquer les données personnelles sans l’accord de ses membres; l’entreprise pourra toujours traiter des données manifestement rendues publiques par leurs propriétaires; « lorsque le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice » (il s’agit ici de LA disposition qui pourrait servir de base au traitement de données relatives aux infractions sur internet – nous verrons comment et si elle est vraiment utile); « lorsque le traitement est effectué par des associations dotées de la personnalité juridique ou par des établissements d’utilité publique qui ont pour objet social principal la défense et la promotion des droits de l’homme et des libertés fondamentales, en vue de la réalisation de cet objet, à condition que ce traitement soit autorisé par le Roi, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée« ;
  2. de plus, une entreprise ne peut effectuer des traitements de données personnelles concernant la vie sexuelle sauf « lorsque le traitement est effectué par une association dotée de la personnalité juridique ou par un établissement d’utilité publique, qui a pour objet statutaire principal l’évaluation, la guidance et le traitement des personnes dont le comportement sexuel peut être qualifié d’infraction, et qui est agréé et subventionné par l’autorité compétente en vue de la réalisation de ce but; ces traitements, qui doivent être destinés à l’évaluation, la guidance et le traitement des personnes visées dans le présent paragraphe et qui ne peuvent porter que sur des données à caractère personnel qui, pour autant qu’elles sont relatives à la vie sexuelle, concernent les personnes visées dans le présent paragraphe, sont soumis à une autorisation spéciale individuelle accordée par le Roi, dans un arrêté royal délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée »;
  3. une entreprise ne pourra pas non effectuer de traitement de données à caractère personnel relatives à la santé de ses clients (art. 7, § 1er) sauf dans un certain nombre d’hypothèses (art. 7, § 2 à 5);
  4. une entreprise ne peut pas non réaliser de traitement de données à caractère personnel relatives à des « litiges soumis aux cours et tribunaux ainsi qu’aux juridictions administratives, à des suspicions, des poursuites ou des condamnations ayant trait à des infractions, ou à des sanctions administratives ou des mesures de sûreté » (art. 8, § 1er) sauf (art. 8 § 2 et suivants) lorsque le traitement est effectué (i) sous le contrôle d’une autorité publique ou d’un officier ministériel au sens du Code judiciaire, lorsque le traitement est nécessaire à l’exercice de leurs tâches; (ii) par d’autres personnes lorsque le traitement est nécessaire à la réalisation de finalités fixées par ou en vertu d’une loi, d’un décret ou d’une ordonnance (disposition fourre-tout); (iii) par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l’exige (disposition qui pourrait également être très utile en matière de lutte contre les téléchargements illicites); (iv) par des avocats ou d’autres conseils juridiques, pour autant que la défense de leurs clients l’exige (même remarque) et (v) pour les nécessités de la recherche scientifique, dans le respect des conditions fixées par le Roi par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection
    de la vie privée.

Un arrêté royal doit à chaque fois préciser les conditions auxquelles doivent satisfaire les traitements lorsque ceux-ci sont permis.

Donc, notre entreprise doit se poser la question de savoir si le traitement qu’elle envisage de faire ressort oui ou non de l’un des traitements interdits mais permis quand même sous certaines conditions (autrement dit, les traitements des articles 6 à 8).

Je ne pense pas que la simple collecte et le traitement d’informations relatives aux clients d’une entreprise ressort de l’un ou l’autre de ces trois articles. En effet, il ne s’agit pas d’un traitement qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques,
l’appartenance syndicale de ses clients (si le traitement est bien réalisé), il ne s’agit pas non plus d’un traitement des données relatives à la vie sexuelle de ses clients. Il ne s’agit pas non plus de données d’un traitement relatif aux données médicales de ses clients ni un traitement relatif à ses litiges.

Le traitement est donc a priori permis. Quelle est donc la suite du parcours?

La déclaration préalable du traitement à la Commission vie privée

L’entreprise devra déclarer le traitement qu’elle envisage de faire auprès de la Commission de la protection de la vie privée « préalablement à la mise en œuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble de tels traitements ayant une même finalité ou des finalités liées » (art. 17, § 1er). La déclaration auprès de la Commission vie privée est donc toujours préalable. Il doit s’effectuer avant tout traitement. La loi en ses articles 23 et suivants a prévu l’organisation de cette Commission.

Toutefois, là aussi, la loi prévoit une exception. En effet, la déclaration préalable ne s’applique pas aux « traitements ayant pour seul objet la tenue d’un
registre qui, par ou en vertu d’une loi, d’un décret ou d’une ordonnance, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime« . Ce ne sera pas le cas pour notre entreprise. Donc, elle devra déclarer le traitement qu’elle envisage de faire à la Commission vie privée. Notons que chaque finalité ou ensemble de finalités liées pour lesquelles il est procédé à un ou à plusieurs traitements partiellement ou totalement automatisés doit faire l’objet d’une déclaration.

La déclaration de notre entreprise devra contenir (article 17, § 3):

  1. la date de la déclaration et, le cas échéant, la mention de la loi, du décret, de l’ordonnance ou de l’acte réglementaire décidant la création du traitement automatisé;
  2. les nom, prénoms et adresse complète ou la dénomination et le siège du responsable du traitement et, le cas échéant, de son représentant en Belgique;
  3. la dénomination du traitement automatisé;
  4. la finalité ou l’ensemble des finalités liées du traitement automatisé;
  5. les catégories de données à caractère personnel qui sont traitées avec une description particulière des données visées aux articles 6 à 8;
  6. les catégories de destinataires à qui les données peuvent être fournies;
  7. les garanties dont doit être entourée la communication de données aux tiers;
  8. les moyens par lesquels les personnes qui font l’objet des données en seront informées, le service auprès duquel s’exercera le droit d’accès et les mesures prises pour faciliter l’exercice de ce droit;
  9. la période au-delà de laquelle les données ne peuvent plus, le cas échéant, être gardées, utilisées ou diffusées;
  10. une description générale permettant d’apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement en application de l’article 16 de cette loi (quand le responsable du traitement fait appel à un sous-traitant);
  11. les motifs sur lesquels le responsable du traitement fonde, le cas échéant, l’application de l’article 3, § 3, de la présente loi (en matière de traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire car là certaines dispositions de la loi ne s’appliquent pas);
  12. si les données traitées sont destinées, même occasionnellement, à faire l’objet d’une transmission vers l’étranger, quel que soit le support utilisé, la déclaration doit mentionner: 1° les catégories de données qui font l’objet de la transmission et 2° pour chaque catégorie de données, le pays de destination.

La suppression d’un traitement automatisé ou toute modification d’une de ces informations doit également faire l’objet d’une déclaration à la Commission vie privée.

Le site de la Commission vie privée définit les finalités d’un traitement de la façon suivante: « Le responsable ne peut pas poursuivre n’importe quel objectif. Il va de soi qu’il doit s’agir d’un objectif légitime. Cela signifie que les intérêts du responsable du traitement doivent être en équilibre avec les intérêts de la personne concernée. Une finalité susceptible de porter atteinte à la vie privée de la personne concernée n’est pas une finalité légitime. Par exemple : la constitution d’un fichier reprenant des personnes qui approchent des soixante ans en vue de leur envoyer, lors de leur soixantième anniversaire, de la documentation sur une assurance obsèques « parce qu’il est temps d’y penser », n’est pas une finalité légitime. Le préjudice subi par ces personnes dans ce cas est indubitablement plus grand que l’intérêt commercial de la personne qui constitue le fichier.« .

La Commission adresse dans les trois jours ouvrables un accusé de réception de la déclaration. Si la déclaration est incomplète, la Commission devra en informer notre entreprise. Dans les 21 jours, la Commission vous transmettra les éléments suivants : votre numéro d’identification personnel (numéro HM), le numéro d’identification de votre traitement (numéro VT), et enfin une facture (voir infra).

Outre l’hypothèse que j’ai mentionnée supra par rapport aux registres, certaines catégories de la déclaration peuvent être exemptées lorsque, compte tenu des données traitées, il n’y a « manifestement pas de risque d’atteinte aux droits et libertés des personnes concernées et que sont précisées les finalités du traitement, les catégories de données traitées, les catégories de personnes concernées, les catégories de destinataires et la durée de conservation des données« . Toutefois, lorsqu’une exemption de déclaration est accordée pour des traitements automatisés, les informations en question devront quand même pouvoir être communiquées par le responsable du traitement à toute personne qui en fait la demande.

Un arrêté royal peut décider que certaines catégories de traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées et bénéficier dès lors d’un traitement particulier (article 17bis).

Une contribution est due pour chaque déclaration: 25 EUR si la déclaration est introduite par voie électronique, 125 EUR si le formulaire papier est utilisé. Un montant unique sera facturé pour toutes les nouvelles déclarations papier envoyées à la Commission vie privée par un même responsable de traitement et qui nous parviennent simultanément, le cachet de la poste faisant foi.

Le traitement qu’envisage d’effectuer notre entreprise sera lui-même enregistré à la Commission vie privée. Le registre de la Commission vie privée est consultable par le public selon des modalités fixées par le Roi.

Si la Commission de la protection de la vie privée estime qu’un traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier est susceptible de porter atteinte à la vie privée, elle peut soit d’office, soit sur requête d’une personne concernée enjoindre au responsable du traitement de lui communiquer tout ou partie des informations énumérées à l’article 17 (et vues supra).

Imaginons que notre entreprise ait correctement fournie à la Commission vie privée l’ensemble des informations nécessaires et ait payé la facture correspondante. Peut-elle commencer son traitement des informations de ses clients?

Les droits de la personne concernée

Oui, tout à fait.

Toutefois, il faudra que l’entreprise respecte également les droits de la personne concernée par le traitement de ses données.

Ces droits sont énoncés à l’article 9 de la loi de 1992.

En vertu de l’article 9, la personne concernée peut obtenir au plus tardau moment où les données sont obtenues (notre entreprise sera obligée de fournir ces informations à la personne concernée sauf si la personne concernée en est déjà informée):

  1. le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant;
  2. les finalités du traitement;
  3. l’existence d’un droit de s’opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant envisagé à des fins de direct marketing;
  4. d’autres informations supplémentaires, notamment:
    – les destinataires ou les catégories de destinataires des données,
    – le caractère obligatoire ou non de la réponse ainsi que les conséquences éventuelles d’un défaut de réponse,
    – l’existence d’un droit d’accès et de rectification des données la concernant; sauf dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont obtenues, ces informations supplémentaires ne sont pas nécessaires pour assurer à l’égard de
    la personne concernée un traitement loyal des données;
  5. d’autres informations déterminées par le Roi en fonction du caractère spécifique du traitement, après avis de la commission de la protection de la vie privée.

De plus, la personne concernée par le traitement de ses données et qui apporte la preuve de son identité a le droit d’obtenir du responsable du traitement (article 10):

  1. la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les catégories de destinataires auxquels les données sont communiquées;
  2. la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine de ces données;
  3. la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, dans le cas des décisions automatisées visées à l’article 12bis;
  4. un avertissement de la faculté d’exercer les recours prévus aux articles 12 et 14 et, éventuellement, de consulter le registre public prévu à l’article 18.

Toute personne a le droit d’obtenir sans frais la rectification de toute donnée à caractère personnel inexacte qui la concerne. De plus, toute personne a en outre le droit de s’opposer, pour des raisons sérieuses et légitimes tenant à une situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf lorsque la licéité du traitement est basée sur les motifs visés à l’article 5, b) (“lorsqu’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci“) et c) (“lorsqu’il est nécessaire au respect d’une obligation à laquelle le responsable du traitement est soumis par ou en vertu d’une loi, d’un décret ou d’une ordonnance“).

Lorsque les données à caractère personnel sont collectées à des fins de direct marketing, la personne concernée peut s’opposer, gratuitement et sans aucune justification, au traitement projeté de données à caractère personnel la concernant.

En cas d’opposition justifiée, le traitement mis en œuvre par le responsable du traitement ne peut plus porter sur ces données.

Toute personne a également le droit d’obtenir sans frais la suppression ou l’interdiction d’utilisation de toute donnée à caractère personnel la concernant qui, compte tenu du but du traitement, est incomplète ou non pertinente ou dont l’enregistrement, la communication ou la conservation sont interdits ou encore qui a été conservée au-delà de la période autorisée. (article 12)

Cette disposition-ci est aussi à retenir dans le cadre de notre analyse: “Art. 12bis. Une décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité. L’interdiction prévue à l’alinéa 1er ne s’applique pas lorsque la décision est prise dans le cadre d’un contrat ou est fondée sur une disposition prévue par ou en vertu d’une loi, d’un décret ou d’une ordonnance. Ce contrat ou cette disposition doivent contenir des mesures appropriées, garantissant la sauvegarde des intérêts légitimes de l’intéressé. Il devra au moins être permis à celui-ci de faire valoir utilement son point de vue.”. Mais il s’agit de données visant à établir la personnalité de quelqu’un, donc, cela devrait être hors de propos.

Si quelqu’un n’est pas d’accord avec le traitement de ses données, il peut s’adresser soit à la Commission de la protection de la vie privée (article 13), soit au juge (article 14).

Dès la réception de la demande tendant à faire rectifier, supprimer ou interdire d’utiliser ou de divulguer des données à caractère personnel ou dès la notification de l’introduction de l’instance visée à l’article 14, et jusqu’à ce qu’une décision soit coulée en force de chose jugée, le responsable du traitement doit indiquer clairement, lors de toute communication d’une donnée à caractère personnel, que celle-ci est contestée (article 15).

Attention aux traitements illégaux ou disproportionnés car “Art. 15bis. Lorsque la personne concernée subit un dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la présente loi, les alinéas 2 et 3 ci-après s’appliquent, sans préjudice d’actions fondées sur d’autres dispositions légales. Le responsable du traitement est responsable du dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la présente loi. Il est exonéré de cette responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui
est pas imputable.” (+ voir les dispositions pénales des articles 37 et suivants de la loi).

L’article 16 de la loi concerne l’hypothèse où les traitements sont effectués par l’intermédiaire d’un sous-traitant.

Conclusion

Notre entreprise si elle a obtenu l’accord de son client et si elle a bien rempli ses obligations vis-à-vis de la Commission vie privée, pourra traiter les informations collectées sur son client.

Attention aussi à bien respecter les dispositions de la loi de 1992 vu les nombreuses dispositions pénales qui l’accompagnent (articles 37 et suivants).

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Calendrier

septembre 2012
L M M J V S D
« Août   Oct »
 12
3456789
10111213141516
17181920212223
24252627282930

Entrez votre adresse mail pour suivre ce blog et recevoir des notifications de nouveaux articles par mail.

Rejoignez 175 autres abonnés

Catégories

Archives

%d blogueurs aiment cette page :