Bien que le RGPD ne nécessite pas de transposition au niveau national, il laisse aux États membres quelques possibilités de précisions ou dérogations. La Belgique dispose depuis ce 5 septembre d’une loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
Voici 4 points qui concernent tout particulièrement l’ensemble des entreprises privées :
Comme annoncé, la Belgique rabaisse l’âge à partir duquel un enfant peut consentir seul au traitement de ses données dans le cadre de services de la société de l’information de 16 à 13 ans.
Cela ne concerne que les « services de l’information », c’est-à-dire la fourniture dématérialisée de services à distance. On peut penser à l’achat de musique dans un catalogue digital, à un abonnement de musique en streaming, à un service de jeux en ligne ou encore aux réseaux sociaux. Précision importante : dès qu’on sort de ce cadre « dématérialisé » en livrant un bien physique, il ne s’agit plus d’un service de la société de l’information. Donc la vente de jeux, livres, ou vêtements pour enfants via une commande en ligne n’est pas visée par cette question.
Lorsqu’ils traitent des données génétiques, biométriques, des données concernant la santé ou des données pénales, le responsable du traitement et le sous-traitant doivent prendre des mesures supplémentaires :
Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions pénales ou aux mesures de sûreté connexes devrait être autorisé par le droit belge :
En temps normal, une entreprise du secteur privé ne doit désigner un délégué à la protection des données qu’en cas de suivi régulier et systématique à grande échelle des personnes concernées, ou en cas de traitement à grande échelle de données particulières.
Or, si cette entreprise souhaite travailler pour une autorité publique fédérale ou reçoit des données d’une autorité publique fédérale, elle devra désigner ce délégué dès que le traitement de données présente un risque élevé pour les personnes concernées. Ce critère déclenche déjà en vertu du RGPD l’obligation de réaliser une analyse d’impact préalable (ou d’y collaborer en tant que sous-traitant). L’Autorité de protection des données a d’ores et déjà édicté une liste de cas où elle estime que ce risque élevé est rencontré.
Les hypothèses dans lesquelles une entreprise qui travaille pour une autorité publique fédérale devra désigner un délégué à la protection des données seront donc plus nombreuses que pour un sous-traitant qui se voit confier des données du secteur privé ou d’une autorité publique d’un autre niveau de pouvoir.
Il devient donc particulièrement crucial de savoir quand on est ou non devant une autorité publique. La loi les liste comme suit :
À côté des sanctions administratives qui contribuent au respect du RGPD, la loi belge maintient des sanctions pénales, comme le faisait la législation belge antérieure au RGPD.
Mieux vaut donc respecter le RGPD et la loi belge !
Fanny COTON est associée du cabinet d’avocat LEXING. Avocate du barreau de Liège depuis 2006, elle est spécialiste en droit de la vie privée. Elle conseille couramment des entreprises et des administrations au sujet de traitements de données à caractère personnel. Elle est l’auteur de nombreux articles dans ce domaine et intervient fréquemment dans des séminaires au sujet du Règlement général sur la protection des données.
Jean-François HENROTTE est associé fondateur du cabinet d’avocats LEXING. Avocat aux barreaux de Liège et de Bruxelles, il est spécialiste en droit des TIC et de la propriété intellectuelle. Il est lauréat du Prix de l’innovation du Conseil des Barreaux Européens en 2016. La protection des données à caractère personnel, des créations et l’encadrement des TIC sont ses principaux domaines d’expertise. Il est l’un des auteurs de GDPR - General Data Protection Regulation: texts, commentaries and practical guidelines édité par Wolter Kluwers. Il a rédigé de nombreux articles dans ce domaine et intervient fréquemment dans des séminaires au sujet du GGP.
