RGPD : quelles sont les particularités belges pour le secteur privé ?

Bien que le RGPD ne nécessite pas de transposition au niveau national, il laisse aux États membres quelques possibilités de précisions ou dérogations. La Belgique dispose depuis ce 5 septembre d’une loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

gdpr_gegevensbeschermingsautoriteit_artikel

Voici 4 points qui concernent tout particulièrement l’ensemble des entreprises privées :

Rabaissement de l’âge de la majorité digitale

Comme annoncé, la Belgique rabaisse l’âge à partir duquel un enfant peut consentir seul au traitement de ses données dans le cadre de services de la société de l’information de 16 à 13 ans.

Cela ne concerne que les « services de l’information », c’est-à-dire la fourniture dématérialisée de services à distance. On peut penser à l’achat de musique dans un catalogue digital, à un abonnement de musique en streaming, à un service de jeux en ligne ou encore aux réseaux sociaux. Précision importante : dès qu’on sort de ce cadre « dématérialisé » en livrant un bien physique, il ne s’agit plus d’un service de la société de l’information. Donc la vente de jeux, livres, ou vêtements pour enfants via une commande en ligne n’est pas visée par cette question.

Exigences supplémentaires pour les données de santé et les données pénales

Lorsqu’ils traitent des données génétiques, biométriques, des données concernant la santé ou des données pénales, le responsable du traitement et le sous-traitant doivent prendre des mesures supplémentaires :

  • dresser une liste des catégories de personnes (donc pas de façon nominale) ayant accès à ces données, en décrivant leur fonction par rapport au traitement des données,
  • mettre cette liste à la disposition de l’Autorité de Protection des données. Il sera donc utile de la joindre au registre des traitements,
  • veiller à ce que les personnes désignées sur la liste soient tenues au respect du caractère confidentiel des données (par une obligation légale, statutaire, ou par un engagement contractuel).

Exceptions supplémentaires pour le traitement des données pénales

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions pénales ou aux mesures de sûreté connexes devrait être autorisé par le droit belge :

  • pour la gestion de leurs propres contentieux,
  • par des avocats ou d’autres conseils juridiques pour la défense de leurs clients,
  • en cas de consentement écrit explicite de la personne concernée,
  • si la personne concernée a spontanément rendu publiques ces données pour une finalité bien déterminée (l’utilisation d’informations pénales glanées sur des réseaux sociaux ne sera donc pas autorisée).

Désignation plus fréquente d’un délégué à la protection des données pour les entreprises qui travaillent pour les autorités publiques fédérales

En temps normal, une entreprise du secteur privé ne doit désigner un délégué à la protection des données qu’en cas de suivi régulier et systématique à grande échelle des personnes concernées, ou en cas de traitement à grande échelle de données particulières.

Or, si cette entreprise souhaite travailler pour une autorité publique fédérale ou reçoit des données d’une autorité publique fédérale, elle devra désigner ce délégué dès que le traitement de données présente un risque élevé pour les personnes concernées. Ce critère déclenche déjà en vertu du RGPD l’obligation de réaliser une analyse d’impact préalable (ou d’y collaborer en tant que sous-traitant). L’Autorité de protection des données a d’ores et déjà édicté une liste de cas où elle estime que ce risque élevé est rencontré.

Les hypothèses dans lesquelles une entreprise qui travaille pour une autorité publique fédérale devra désigner un délégué à la protection des données seront donc plus nombreuses que pour un sous-traitant qui se voit confier des données du secteur privé ou d’une autorité publique d’un autre niveau de pouvoir.

Il devient donc particulièrement crucial de savoir quand on est ou non devant une autorité publique. La loi les liste comme suit :

  • l’état fédéral, les entités fédérées et les autorités locales,
  • les personnes morales de droit public qui en dépendent,
  • mais aussi de façon plus large, les personnes dotées de la personnalité juridique (quelles que soient leur forme et leur nature) qui ont été créées pour satisfaire spécifiquement des besoins d’intérêt général et qui sont soumises à ces autorités (que ce soit pas un financement majoritaire, par un contrôle sur la gestion ou par la désignation de la majorité des membres de l’organe d’administration, de direction ou de surveillance),
  • les associations formées par les trois premières catégories.

Maintien des sanctions

À côté des sanctions administratives qui contribuent au respect du RGPD, la loi belge maintient des sanctions pénales, comme le faisait la législation belge antérieure au RGPD.

Mieux vaut donc respecter le RGPD et la loi belge !

 

 

Fanny COTON

fanny-coton

Fanny COTON est associée du cabinet d’avocat LEXING. Avocate du barreau de Liège depuis 2006, elle est spécialiste en droit de la vie privée. Elle conseille couramment des entreprises et des administrations au sujet de traitements de données à caractère personnel. Elle est l’auteur de nombreux articles dans ce domaine et intervient fréquemment dans des séminaires au sujet du Règlement général sur la protection des données.

Jean-François HENROTTE

jean-francois_henrotte

Jean-François HENROTTE est associé fondateur du cabinet d’avocats LEXING. Avocat aux barreaux de Liège et de Bruxelles, il est spécialiste en droit des TIC et de la propriété intellectuelle. Il est lauréat du Prix de l’innovation du Conseil des Barreaux Européens en 2016. La protection des données à caractère personnel, des créations et l’encadrement des TIC sont ses principaux domaines d’expertise. Il est l’un des auteurs de GDPR - General Data Protection Regulation: texts, commentaries and practical guidelines édité par Wolter Kluwers. Il a rédigé de nombreux articles dans ce domaine et intervient fréquemment dans des séminaires au sujet du GGP.

 

 

  1213