RAPPORT AU ROI
1. Introduction
La loi du 11 décembre 1998 a adapté la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel aux dispositions de la Directive européenne 95/46/CE du 24 octobre 1995.
La transposition de cette directive a modifié en profondeur la loi du 8 décembre 1992. Un nouvel arrêté d'exécution s'est dès lors avéré nécessaire. Aux termes de l'article 32 de la Directive européenne, les dispositions de cette directive sont transposées dans la législation nationale par les Etats membres uniquement après l'entrée en vigueur des mesures légales et des mesures judiciaires administratives nécessaires. Le délai pour la transposition a expiré le 24 octobre 1998.
Avant la transposition de la Directive européenne par la loi du 11 décembre 1998, une quinzaine d'arrêtés royaux portant exécution de la loi du 8 décembre 1992 ont été promulgués. Ce nombre élevé d'arrêtés d'exécution n'a pas favorisé la transparence de la réglementation en la matière. L'une des principales caractéristiques du présent l'arrêté réside dès lors dans le fait qu'il abroge la quasi-totalité des arrêtés royaux précédemment promulgués sur la base de la loi du 8 décembre 1992 et les remplace, dans toute la mesure du possible, par un seul et unique arrêté général.
Il est à noter que la directive 95/46/CE sera évalué, en vertu de son article 33, à partir de juin 2001, en tenant compte des développements de la technologie de l'information et à la lumière des travaux sur la société de l'information.
L'éventail des tâches confiées au Roi par la loi du 8 décembre 1992, après sa modification par la loi du 11 décembre 1998, est très large. Pas moins de 35 dispositions de la loi doivent ou peuvent être exécutées par le Roi.
1) art. 3, § 6 : autorisation pour le Centre européen pour enfants disparus et sexuellement exploités de s'écarter de certaines dispositions de la loi, en ce compris la durée et les conditions de l'autorisation, ainsi que statut du préposé à la protection des données;
2) art. 4, § 1^er, 2° : traitement ultérieur de données à caractère personnel à des fins scientifiques;
3) art. 4, § 1^er, 5° : conservation de données à caractère personnel à des fins scientifiques;
4) art. 5, f) : autorisation d'un traitement de données à caractère personnel en fonction d'une pondération des intérêts; le Roi peut déterminer les cas où il ne peut être recouru à cette justification;
5) art. 6, § 2, a) : dérogation au principe de l'autorisation du traitement de données sensibles sur la base du consentement écrit de l'intéressé;
6) art. 6, § 2, g) : conditions pour le traitement de données sensibles à des fins scientifiques;
7) art. 6, § 2, k) : autorisation individuelle pour le traitement de données sensibles par des associations dotées de la personnalité juridique ou par des établissements d'utilité publique qui ont pour finalité principale la défense des droits de l'homme et des libertés fondamentales;
8) art. 6, § 3 : autorisation individuelle pour le traitement de données à caractère personnel concernant la vie sexuelle par une association dotée de la personnalité juridique ou par un établissement d'utilité publique, qui a pour but principal l'évaluation, la guidance et le traitement des personnes dont le comportement sexuel peut être qualifié d'infraction, et qui est agréé et subventionné par l'autorité compétente en vue de la réalisation de ce but;
9) art. 6, § 4 : conditions particulières pour le traitement de données sensibles;
10) art. 7, § 2, a) : possibilité pour le Roi de déterminer les cas dans lesquels l'interdiction de traiter des données relatives à la santé ne peut être levée par le consentement écrit de la personne concernée;
11) art. 7, § 2, k) : conditions pour le traitement de données relatives à la santé pour les nécessités de la recherche scientifique;
12) art. 7, § 3 : conditions particulières pour le traitement de données relatives à la santé;
13) art. 7, § 4, alinéa 2 : possibilité pour le Roi de déterminer les catégories des personnes qui sont considérées comme des professionnels des soins de santé pour l'application de la présente loi;
14) art. 8, § 2, e) : conditions pour le traitement de données à caractère personnel de nature judiciaire à des fins scientifiques;
15) art. 8, § 4 : conditions particulières pour le traitement de données à caractère personnel de nature judiciaire;
16) art. 9, § 1^er, e) : informations complémentaires, en fonction du caractère spécifique du traitement, à fournir par le responsable au moment où il obtient les données auprès de la personne concernée elle-même;
17) art. 9, § 2, e) : informations complémentaires, en fonction du caractère spécifique du traitement, à fournir par le responsable lorsqu'il collecte les données autrement qu'auprès de la personne concernée;
18) art. 9, § 2, alinéa 3 : conditions pour être dispensé de l'obligation de fournir les informations imposées par l'art. 9, § 2;
19) art. 10, § 1^er, alinéa 2 : désignation des personnes auprès desquelles le droit de consultation peut être exercé;
20) art. 10, § 1^er, alinéa 4 : possibilité pour le Roi de fixer les modalités pour l'exercice du droit de consultation;
21) art. 12, § 2 : désignation des personnes auprès desquelles le droit de rectification et le droit d'opposition doit être exercé;
22) art. 13, alinéa 2 : modalités de l'exercice du droit de consultation indirect par le biais de la Commission;
23) art. 13, alinéa 4 : informations qui peuvent être communiquées à l'intéressé par la Commission dans le cas d'un traitement par des services de police en vue de contrôles d'identité;
24) art. 16, § 4, alinéa 3 : fixation de normes appropriées en matière de sécurité informatique pour le traitement de données à caractère personnel;
25) art. 17, § 8 : exemption de déclaration pour certaines catégories de traitements de données à caractère personnel;
26) art. 17, § 9 : fixation de la contribution à payer par le responsable au moment de la déclaration;
27) art. 17bis : détermination par le Roi des catégories de traitements qui présentent des risques particuliers au regard des droits et libertés des personnes concernées et fixe pour ces traitements, des conditions particulières pour garantir les droits et libertés des personnes concernées;
28) art. 18, alinéa 3 : modalités de consultation du registre public des traitements automatisés;
29) art. 21, § 2 : détermination par le Roi des catégories de traitements de données à caractère personnel pourlesquels et des circonstances auxquelles la transmission de données à caractère personnel vers des pays non membres de la Communauté européenne n'est pas autorisée;
30) art. 22, § 2 : possibilité pour le Roi d'autoriser un transfert ou ensemble de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat lorsque le responsable du traitement offre des garanties suffisantes;
31) art. 32bis, § 1^er : en vue de l'application de conventions internationales, le Roi peut désigner la Commission de la protection de la vie privée pour exercer, en vertu de ces conventions, des missions identiques à celles qui lui sont reconnues par la présente loi;
32) art. 32bis, § 2 : le Roi détermine les modalités de la représentation de la Commission par certains de ses membres, ou membres du personnel, en qualité de représentants auprès d'autorités internationales;
33) art. 44 : le Roi peut préciser la mise en oeuvre des dispositions contenues dans la présente loi en vue de tenir compte de la spécificité des différents secteurs;
34) art. 45 : le Roi peut déterminer les autorités qui donneront l'ordre de détruire ou qui seront chargées de la destruction des traitements des données en temps de guerre et pendant les époques qui lui sont assimilées en vertu de l'article 7 de la loi du 12 mai 1927 sur les réquisitions militaires, ainsi que pendant l'occupation du territoire belge par l'ennemi. Le Roi peut également déterminer le taux des indemnités pour les destructions prévues à l'alinéa précédent;
35) art. 52 : fixation des dates d'entrée en vigueur des articles de la loi et des délais dans lesquels les responsables doivent se conformer aux dispositions de la présente loi.
L'arrêté qui vous est soumis aujourd'hui, ne porte pas (encore) exécution des dispositions suivantes :
1) art. 3, § 6,
2) art. 5, f),
3) art. 6, § 2, k),
4) art. 6, § 3,
5) art. 7, § 4, alinéa 2,
6) art. 16, § 4, alinéa 3,
7) art. 17bis,
8) art. 21, § 2,
9) art. 22, § 2,
10) art. 32bis, § 1^er,
11) art. 32bis, § 2,
12) art. 44,
13) art. 45.
Parmi ces dispositions non encore exécutées de la loi, sept donnent au Roi la possibilité d'édicter des mesures (« le Roi peut... » ). Trois autres concernent des autorisations individuelles de déroger à la loi, à la demande ou non des organisations concernées elles-mêmes (Child Focus, Amnesty international, CRASC,...). Mis à part des arrêtés d'autorisation individuelle, qui n'ont d'ailleurs pas leur place dans un arrêté d'exécution général, et les tâches « facultatives » confiées au Roi par la loi, seulement trois dispositions n'ont pas encore été exécutées dans le présent arrêté, à savoir, l'art. 17bis, l'art. 21, § 2 et l'article 22, § 2.
L'article 17bis, alinéa 1^er, dispose que le Roi détermine les catégories de traitements qui présentent des risques afin de fixer ensuite des conditions particulières pour ces traitements. Cette disposition sera exécutée dans des arrêtés spécifiques concernant le traitement de données à caractère personnel, p. ex. dans des secteurs spécifiques.
L'article 17bis, alinéa 2, dispose que le Roi peut déterminer que le responsable du traiement désigne un préposé à la protection des données chargé d'assurer de manière indépendante, l'application de la présente loi et de ses arrêté d'exécution.
Dans son avis 30.495/2, p. 5, le Conseil d'Etat souligne qu'« il appartient aux auteurs du projet d'examiner l'utilité de mettre en oeuvre dès à présent, l'article 17bis de la loi, en ce qui concerne les données visées aux articles 6 à 8 de la loi ( . ).Les traitement des données sensibles peuvent faire l'objet spécialement les données visées à l'article 6 à 8 étant de ceux qui présentent des risques accrus au regard des droits et libertés des personnes concernées, des garanties particulières devraient être, en effet organisées à bref délai, come par exemple, l'obligation de désigner un préposé à la protection des données » ( sic).
Le présent arrêté royal ne prévoit rien en la matière. Il a préféré établir d'autres garanties pour le traitement de données sensibles.
De iure, la loi n'oblige pas le Roi sur ce point, elle lui donne la faculté (le Roi peut).
De facto, l'idée d'instituer un préposé à la protection des données, issue de la directive 95/46/CE et plus précisément d'une pratique allemande n'a jamais rencontré beaucoup d'écho en Belgique.
Si d'aventures, le besoin s'en faisait sentir, cette matière sera régie par un arrêté royal spécifique.
L'article 21, § 2 concerne la liste noire des pays non-membres de la Communauté européenne vers lesquels le transfert de données à caractère personnel est autorisé.
L'article 21, § 1^er, de la loi établit que les données à caractère personnel qui sont soumises à un traitement ou qui sont destinées à être traitées, ne peuvent être transférées dans un pays non membre de la Communauté européenne que dans la mesure où ce pays garantit un niveau de protection adéquat. Sur la base de l'article 21, § 2, il incombe au Roi de déterminer pour quelles catégories de traitements de données à caractère personnel et dans quelles conditions la transmission de données à caractère personnel vers des pays non membres de la Communauté européenne n'est pas autorisée. Cet arrêté royal ne pourra être promulgué que lorsque la concertation à ce sujet entre les Etats membres et la Commission européenne aura progressé davantage.
Ce processus fait actuellement l'objet d'un suivi au sein du Comité qui, selon l'article 31 de la directive Européenne 95/46/EG, a été créé en présence des représentants de tous les Etats membres et sous la présidence de la Commission européenne.
Dans l'attente d'une réglementation plus précise en la matière, tout responsable d'un traitement qui souhaite exporter des données à caractère personnel vers un pays non membre de la Communauté européenne, doit se demander si le pays assure un niveau de protection adéquat. L'article 21, § 1^er, alinéa 2 de la loi énonce quelques critères en guise de réponse à cette question.
Si le risque existe que le transfert puisse être contesté sur la base de l'article 21, § 1^er de la loi, le pays de destination n'assurant pas un niveau de protection adéquat, le responsable doit déterminer si le transfert relève d'une des exceptions mentionnées à l'article 22, § 1^er de la loi. Il peut par exemple avoir obtenu le consentement explicite des personnes concernées pour procéder au transfert, ou le transfert peut être utile pour exécuter un contrat conclu entre le responsable et la personne concernée ou pour procéder ou exécuter un accord conclu dans l'intérêt de la personne concernée, etc.
L'article 22, § 2, détermine les garanties que doivent offrir les responsables du traitement lorsqu'ils exportent des données vers des pays tiers à l'Union européenne qui n'offrent pas de niveau de protection adéquat et que le transfert ne tombe pas dans les exceptions déterminées par l'article 22, § 1^er de la loi.
Ces garanties, qui peuvent notamment résulter d'un contrat, devront offrir un niveau de protection identique au niveau de protection adéquat, ni plus élevé, ni plus faible, sous peine de créer des discriminations entre les flux. Elles devront en reprendre les mêmes éléments constitutifs.
Les négociations actuellement en cours entre l'Union européenne et différents Etats tiers, détermineront les éléments constitutifs du niveau de protection adéquat.
Il est donc nécessaire ici également d'attendre la conclusion des négociations en cours, avant de déterminer quelles sont les garanties que devront offrir les responsables du traitement qui exportent des données vers des pays tiers à l'Union qui n'offrent pas de niveau de protection adéquat.
Ce projet d'arrêté royal a été mis en consultation publique sur le site internet du Ministère de la Justice, afin de permettre aux acteurs des différents secteurs politiques, économiques et sociaux de faire connaître les problèmes spécifiques posés par la protection des données dans leur domaine.
Une vingtaine de réactions nous sont parvenues, émanant d'entreprises, d'administrations, d'instituts de recherche, d'ONG et de particuliers.
Ces réactions ont attiré l'attention sur certains manques de clarté du texte, ainsi que sur des faiblesse ou des difficultés de mise en pratique, auxquels il a été remédié autant que faire se peut.
Par ailleurs, le texte de l'arrêté royal a été envoyé deux fois pour avis au conseil d'Etat (avis 29.159/2 du 21 juin 1999 et 30.495/2 du 8 novembre 2000) et à la Commission de la protection de la vie privée (avis 8/1999 du 8 mars 1999 et 25/1999 du 23 juillet 1999).
Le texte de l'arrêté royal a dès lors été plusieurs fois modifié et renuméroté, que ce soit à la suite de ces avis ou à des réactions parvenues sur internet.
En conséquence, les numéros d'articles auxquels se réfèrent les avis de la Commission de la protection de la vie privée et du Conseil d'Etat ne correspondent plus toujours aux articles actuels.
Dans son avis 30.495/2, p. 2, le Conseil d'Etat souhaite dès lors que, « pour la bonne compréhension des avis de la Commission, de celui du Conseil d'Etat et du rapport au Roi, il serait souhaitable que ce dernier soit complété par un tableau des concordance des numéros des articles de l'arrêté dans ses versions successives ».
Il n'est malheureusement pas possible de tenir compte du souhait du Conseil d'Etat, dans la mesure où le texte initial de l'arrêté a été rédigé par le gouvernement précédent, qui omis de transmettre toutes les différentes versions au gouvernement actuel.
Néanmoins, afin de rencontrer le souhait du Conseil d'Etat, le rapport au Roi reproduit le plus complètement possible les remarques de la Commission de la protection de la vie privée et du Conseil d'Etat dans les passages qui visent les articles concernés.
2. Commentaire des articles
CHAPITRE I^er. - Définitions
Article 1^er
Au point 3°, le terme « données à caractère personnel codées » vise les données à caractère personnel démunies de tout élément permettant d'identifier la personne et munies d'un code, qui seul permet de relier la donnée à la personne concernée.
Au point 4°, le terme « données à caractère personnel non-codées » désigne une catégorie résiduaire de données à caractère personnel, à savoir toutes les données qui ne sont pas codées au sens du présent arrêté.
Originellement, le texte de l'avant-projet d'arrêté royal utilisait le terme « données à caractère personnel identifiantes ». Dans son avis 8/99 (p. 2), la Commission de la protection de la vie privée a cependant estimé que ce terme avait une portée trop restreinte. « Cette notion n'englobe en effet que les données à caractère personnel qui en soi identifient la personne concernée. La Commission est d'avis qu'il convient d'inclure également dans cette catégorie les données à caractère personnel qui en soi n'identifient pas la personne concernée mais qui peuvent cependant être mises en relation par le responsable du traitement à des fins historiques, statistiques ou scientifiques avec une personne identifiée ou identifiable par lui ». La Commission suggère dès lors l'utilisation du terme « données à caractère personnel non-codées » et le présent arrêté suit cette suggestion.
Au point 5°, le terme « données anonymes » désigne des données qui ne peuvent être reliées à une personne concernée et qui ne sont donc pas (ou plus) des données à caractère personnel.
Comme l'explique la Recommandation 97 (18) du 30 septembre 1997 du Conseil de l'Europe, concernant la protection des données à caractère personnel collectées et traitées à des fins statistiques, dans son exposé des motifs (point 53), l'anonymisation consiste à supprimer les données d'identification afin que les données individuelles ne puissent plus être attribuées nommément aux diverses personnes concernées. Le retrait des données d'identification ne met parfois pas totalement à l'abri d'une réidentification : le risque de dévoilement ne peut pas toujours être rigoureusement nul.
Au point 6°, le terme « organisation intermédiaire » vise la personne physique ou morale, l'association de fait ou l'administration publique, autre que le responsable du traitement des données non codées, chargée du codage des données, à savoir la conversion de données à caractère personnel non codées en données à caractère personnel codées.
Suivant le cas, l'organisation intermédaire sera considérée
- soit comme un sous-traitant du responsable du traitement qui souhaite coder des données à caractère personnel (cfr. infra, articles 8 et 9 );
- soit comme un tiers au responsable du traitement qui souhaite coder les données (cfr. infra art. 10).
CHAPITRE II. - Traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques
Transposant l'article 6, a de la directive 95/46/CE, l'article 4 § 1^er 2°, de la loi dispose que « des données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par le Roi, après avis de la Commission de la vie privée ».
Transposant l'article 6, e, de la directive 95/46/CE, l'article 4, § 1^er, 5°, de la loi dispose que les données à caractère personnel « doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Le Roi prévoit, après avis de la Commission de la protection de la vie privée, des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques ».
Ni la loi du 8 décembre 1992 ni les travaux parlementaires y relatifs ne définissent davantage les garanties appropriées.
Le considérant 29 de la directive 95/46 précise par contre que « ces garanties doivent notamment empêcher l'utilisation des données à l'appui de mesure ou de décisions prises à l'encontre d'une personne ».
Le chapitre II détermine les garanties appropriées requises par les articles 4, § 1^er, 2° et 5° de la loi.
Section première. - Principes généraux
Article 2
Le champ d'application du chapitre II couvre les traitements de données collectées pour une finalité déterminée, explicite et légitime, qui sont traitées ultérieurement à des fins historiques, statistiques ou scientifiques.
L'article 2 recourt à deux notions distinctes : la notion de fins historiques, statistiques ou scientifiques et la notion de traitement ultérieur.
La notion de fins historiques, statistiques et scientifiques
Concernant la notion de « fins historiques, statistiques ou scientifiques », la Commission de la protection de la vie privée, dans son avis 25/99, « insiste sur le fait que la notion de fins historiques, statistiques ou scientifiques devra être interprétée en cas de doute à la lumière de sens donné à ces notions dans la directive ».
Cependant ni le texte ni les considérants de la directive 95/46/CE ne définissent ces notions. La loi ne les définit pas non plus.
Par contre, la recommandation n° R(97) 18 du 30 septembre 1997 du Comité des Ministres du Conseil de l'Europe aux Etats membres, concernant la collecte de données à caractère personne collectées à des fins statistiques, définit le traitement à des fins statistiques comme étant « toute opération de collecte et de traitement de données à caractère personnel nécessaire aux enquêtes statistiques ou à la production de résultat statistique.
L'expression « résultat statistique » désigne une information obtenue par le traitement de données à caractère personnel en vue de caractériser un phénomène collectif dans une population considérée ».
L'exposé des motifs de la recommandation R 97 (18) explique, au point 2, que « la statistique a pour objet l'analyse des phénomènes de masse. Elle permet, grâce à un processus de condensation, de tirer une affirmation générale d'une série d'observations individuelles systématiques. Les résultats de ce processus se présentent le plus souvent sous la forme d'informations chiffrées sur le phénomène ou la population considérée. Ainsi, alors même que la statistique repose sur des observations individuelles, son objectif n'est pas la connaissance des individus en tant que tel mais la production d'informations synthétiques et représentatives de l'état d'une population ou d'un phénomène de masse. L'activité statistique se distingue donc d'autres activités notamment du fait qu'elle ne vise pas des décisions ou des mesures individualisées mais bien plutôt la connaissance de grands ensembles, tels que les cycles économiques, les conditions de vie d'un groupe social ou la structure d'un marché commercial- ainsi que l'analyse de phénomènes tels que les épidémies, les tendances d'opinion, la fertilité ou le comportement de consommation des ménages- et donc des jugements ou décisions de portée collective. »
Comme le souligne l'exposé des motifs de la recommandation R 97 (18) (point 11), les traitements à des fins statistiques ont généralement pour objectifs :
- « des fins d'information générale : la connaissance statistique est mise à disposition du public sans qu'on préjuge de l'utilité ou de l'intérêt que les diverses personnes lui trouvent;
- des fins d'aide à la planification et à la décision : il s'agit de donner à un décideur public ou privé une information sur son environnement ou sur son champ d'action, qui lui permette d'établir une stratégie ou d'optimiser une décision. Il s'agit aussi de permettre, à ce même décideur ou à un tiers d'évaluer l'efficacité de la décision qu'il mène;
- des fins scientifiques : il s'agit de fournir à la recherche une information qui contribue à la compréhension des phénomènes dans des domaines aussi variés que l'épidémiologie, la psychologie, l'économie, la sociologie, la linguistique, la politologie, l'écologie, etc. ».
Comme le souligne l'exposé des motifs de la recommandation R 97 (18) (point 11), on pourrait conclure que les traitements à des fins statistiques « ne relèvent pas de la protection des données. Toutefois une telle conclusion serait hâtive et ne tiendrait pas compte de l'ensemble du processus de production et de diffusion de l'information statistique, qui repose pour une large part sur la possibilité d'obtenir et de traiter des données à caractère personnel. On ne peut donc exclure le risque que les données en question puissent être détournées de la finalité pour lesquelles elles sont collectées et qu'elles soient utilisées à des fins personnalisées.
Ce pourrait être le cas, lorsque la statistique côtoie l'administration et la police, où l'on serait tenté d'utiliser pour des jugements et des décisions individualisées des données rassemblées à des fins statistiques.
Par ailleurs, malgré leur caractère anonyme et agrégé, les résultats statistiques peuvent parfois être susceptibles d'analyses ou de recoupement permettant l'identification des personnes dont relève les données de base.
Enfin, on en saurait ignorer les intérêts commerciaux considérables qui sont parfois en jeu et dès lors le danger que les données à caractère personnel collectées à des fins statistiques puissent être considérés comme des simples denrées marchandes au détriment de la protection de la vie privée. »
L'exposé des motifs de la recommandation R 97 (18) (point 14) définit la recherche scientifique comme visant à établir « des permanences, des lois de comportement ou des schémas de causalité qui transcendent tous les individus qu'ils concernent. Ainsi elle vise à caractériser des phénomènes d'ensemble ».
A cet égard, les enquêtes de population menées à des fins de protection et d'amélioration de la santé publique sont incluses dans la notion de recherche scientifique.
Le terme « historique » n'est pas défini par la recommandation du Conseil de l'Europe ni dans un texte international. Il renvoie à des traitements de données à caractère personnel ayant pour finalité d'analyser un événement passé ou de permettre cette analyse. Un traitement à des fins historiques peut être un traitement à des fins scientifiques, mais peut également recouvrir un traitement qui ne répond pas aux critères scientifiques. Un généalogiste peut dès lors recourir aux dérogations autorisées par la loi.
Par contre, le simple archivage, par le responsable du traitement, de ses propres fichiers, n'est pas une conservation à des fins historiques et ne rentre donc pas dans le champ d'application du chapitre II.
Les dangers de détournements de finalité mentionnés supra pour les traitements à des fins statistiques valent également pour ceux à des fins scientifiques et historiques.
La notion de traitement ultérieur
Outre la notion de « fins historiques, statistiques et scientifiques », l'article 2 utilise la notion de « traitement ultérieur ».
Cette notion est issue de l'article 4, § 1^er, 2°, de la loi et de l'article 6.1.B de la directive 95/46/CE. Celles-ci ne définissent cependant pas ce qu'est un traitement ultérieur.
Cette notion vise l'hypothèse où le responsable d'un traitement, qui traite des données à caractère personnel dans le cadre de ses activités habituelles et légitimes, souhaite réutiliser lui-même ces données ou les communiquer à un destinataire, en vue d'une recherche scientifique, historique ou statistique.
L'exposé des motifs de la Recommandation R 97 (18) (point 15) explique en effet que dans le domaine de la statistique, il existe deux grands types de collecte : la collecte primaire et la collecte secondaire.
La collecte primaire est effectuée directement auprès des personnes, au moyen de questionnaires papiers ou informatiques, ou d'interviews téléphoniques.
La collecte secondaire est effectuée auprès d'organisme publics ou privés qui disposent de documents ou de fichiers déjà constitués, qui peuvent être utilisés pour établir des statistiques.
L'article 5.4 de la recommandation (97) 18 définit la collecte secondaire comme étant « le traitement ou la communication à des fins statistiques des données à caractère personnel collectées à des fins non-statistiques ».
La collecte secondaire peut être effectuée à partir de traitements de données appartenant à un tiers mais peut également être effectuée à partir de traitements de données gérés à des fins autres que statistiques par le responsable du traitement à des fins statistiques
La collecte secondaire est une pratique répandue dans le cadre des activités de l'administration des sociétés et des entreprises, par exemple : statistiques à des fins de gestion du personnel, des salaires de la productivité, etc. ainsi que dans le cadre de leur relation commerciale, par exemple statistiques du comportement d'achat des clients.
La notion de traitement ultérieur recouvre la notion de collecte secondaire.
Le champ d'application du chapitre II ne couvre pas par contre les collectes primaires de données à savoir les traitements de données dont la finalité initiale de la collecte est scientifique, historique ou statistique. Il couvre les seules collectes secondaires, à savoir les traitements ultérieurs.
L'avis 8/99 de la Commission de la protection de la vie privée souligne par ailleurs que « le chapitre II ne s'applique pas non plus à un traitement de données à caractère personnel à des fins historiques, statistiques ou scientifiques qui cadre ou est compatible avec les finalités pour lesquelles les données à caractère personnel traitées ont été collectées ».
L'avis 8/99 de la Commission de la protection de la vie privée ne définit cependant pas ce qu'est une finalité compatible.
L'article 4, § 1^er, de la loi définit a contrario la finalité compatible, quand il dispose que les données ne doivent pas être traitées pour une finalité incompatible, « compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables ».
Une finalité compatible est dès lors une finalité que l'intéressé - à savoir la personne concernée,- peut prévoir ou qu'une disposition légale considère comme compatible.
Il y a donc trois cas de figure pour le traitement de données à des fins historiques, statistiques ou scientifiques :
- soit les données sont collectées initialement pour des finalités historiques, statistiques ou scientifiques, auquel cas, il ne s'agit pas d'un traitement ultérieur et le chapitre II du présent arrêté ne s'applique pas; ces traitements de ces données sont soumis au régime ordinaire du traitement des données;
- soit les données sont collectées pour une finalité initiale, autre que scientifique, historique, statistique ou scientifique, puis réutilisées ultérieurement à des fins historiques, statistiques ou scientifiques mais ces fins sont par elles-mêmes compatibles avec les finalités initiales, auquel cas, le chapitre II ne s'applique pas;
- soit les données sont collectées pour une finalité initiale, autre que scientifique, historique et statistique, et réutilisées à des fins historiques, statistiques ou scientifiques, ces finalités n'étant compatible avec les finalités initiales que dans le respect des conditions déterminées par le chapitre II.
Lorsque des données sont collectées initialement à des fins historiques, statistiques ou scientifiques, ou lorsque la réutilisation de ces données à de telles fins n'est pas incompatible avec la finalité initiale, indépendamment de l'existence de garanties suffisantes, le régime de ces traitements s'avère dans ce cas être le régime ordinaire des traitements de données personnelles, à savoir :
- les données à caractère personnel doivent être traitées loyalement et licitement (art. 4 de la loi);
- la recherche doit être effectuée avec le consentement de l'intéressé ou est nécessaire à la réalisation d'une mission d'intérêt public; à défaut, il convient d'évaluer les intérêts du chercheur par rapport aux droits et aux libertés fondamentaux des intéressés (art. 5 de la loi);
- lorsque la recherche porte sur des données sensibles, elle doit se fonder sur un motif d'intérêt public important (art. 8 de la loi);
- si les données nécessaires à la recherche sont collectées auprès de l'intéressé lui-même, il convient de l'informer correctement de l'identité du responsable, de la finalité du traitement, du délai de conservation, de la destination des données, etc. ainsi que de ses droits à l'égard de la communication des données (art. 9, § 1^er de la loi).
- les données doivent être communiquées à la personne concernée, sur demande, sous une forme intelligible (art. 10 de la loi);
- la personne concernée dispose d'un droit de correction et d'un droit d'opposition au traitement, moyennant raison motivée (art.11 de la loi);
- lorsque la personne concernée démontre qu'en raison d'un traitement de données à caractère personnel la concernant, elle a subi un dommage dû au non-respect de la loi, le responsable du traitement est responsable à moins qu'il ne prouve que le fait qui a provoqué le dommage ne lui est pas imputable (art. 15bis de la loi : renversement de la charge de la preuve);
- lorsque le responsable du traitement recourt à un sous-traitant, un contrat écrit doit être conclu offrant des garanties suffisantes (art. 16, § 1^er de la loi );
- le responsable du traitement doit protéger l'accès aux données, prévoir des niveaux d'autorisation différenciés pour les personnes agissant sous son autorité et informer suffisamment ces personnes des règles à respecter pour la protection de la vie privée des personnes concernées (art. 16, § 2 de la loi);
- le responsable du traitement doit assurer une sécurité adéquate des données, tenant compte de la nature des données, des risques potentiels et de l'état de la technique au niveau de la protection de l'information (art. 16, § 4 de la loi );
- le responsable d'un traitement de données à caractère personnel à des fins scientifique, doit en faire la déclaration auprès de la Commission de la protection de la vie privée (art. 17 de la loi);
- des données à caractère personnel ne peuvent pas être exportées vers des pays non membres de l'Union européenne, si ces pays n'offrent pas de niveau de protection adéquat de la vie privée à l'égard du traitement de données à caractère personnel (art. 21 de la loi).
Article 3
L'arrêté royal prévoit une réglementation en trois stades, respectivement pour le traitement de données anonymes, de données codées et de données non-codées.
Le principe de base dispose qu'il incombe aux chercheurs de travailler avec des données anonymes.
Ce faisant, l'arrêté royal se veut conforme à la recommandation R 97 (18) précitée. L'article 8 de la recommandation dispose en effet que « les données à caractère personnel collectées à des fins statistiques seront anonymes dès la fin des opérations de collecte, de contrôle ou d'appariement ».
Par définition, les données anonymes ne sont pas des données à caractère personnel et leur traitement ne requiert dès lors pas de garantie spécifique.
Article 4
Il n'est pas toujours possible de travailler avec des données anonymes, notamment dans les cas suivants :
- la recherche nécessite l'établissement de liens entre des données concernant la même personne, émanant cependant de fichiers différents (record linkage);
- la recherche compare des paroles prononcées par la même personne, mais à des moments différents (panel);
- des données concernant la même personne font l'objet d'une recherche à des moments différents au cours d'une période déterminée (longitudinal research);
- l'accent de la recherche est mis sur des personnes spécifiques identifiées; cela intervient principalement lors d'une recherche historique.
Lorsqu'il s'avère impossible de poursuivre la recherche avec des données anonymes, il incombe au chercheur d'examiner la possibilité de le faire avec des données codées.
Dans un tel cas, la section 2 du présent chapitre dispose que les données sont codées avant d'être communiquées au chercheur.
La procédure prévue par l'arrêté royal se veut conforme à la recommandation R97 (18) précitée. L'article 8 de la recommandation dispose en effet que « les données à caractère personnel collectées à des fins statistiques seront anonymes dès la fin des opération de collecte, de contrôle ou d'appariement sauf si des données d'identification demeurent nécessaires à des fins statistiques et que les mesures prévues au principe 10.1 ont été prises ».
L'article 10.1 de la recommandation, dispose que « lorsque des données d'identification sont collectées et traitées à des fins statistiques, elles doivent être séparées et conservées séparément des autres données à caractère personnel ».
Article 5
Lorsqu'il s'avère impossible de poursuivre la recherche avec des données codées, le chercheur peut travailler avec des données non-codées.
Dans un tel cas, la section 3 du présent chapitre détermine des garanties plus strictes.
Comme le souligne la Commission de la protection de la vie privée, dans ses avis 8/99 et 25/99, « il appartiendra au responsable du traitement de données aux fins historiques, statistiques ou scientifiques d'apporter la preuve aux instances compétentes de l'impossibilité de réaliser les finalités par le biais de traitements de données anonymes et/ou de données codées ».
Conformément aux avis de la Commission, les articles 4 et 5 de l'arrêté royal disposent que le responsable du traitement de données à caractère personnel à des fins historiques, statistiques et scientifiques doit justifier, dans la déclaration du traitement de données faite à la Commission de la protection de la vie privée en vertu de l'article 17 de la loi, les raisons de cette impossibilité.
En vertu de l'article 17 § 3 de la loi, le responsable du traitement ultérieur de données à caractère personnel à des fins historiques, statistiques et scientifiques doit en outre déclarer la finalité du traitement, à savoir l'objectif de la recherche, et l'origine des données, à savoir l'identité soit du responsable du traitement initial soit de l'organisation intermédiaire qui a communiqué les données.
L'objectif n'est pas qu'une déclaration soit faite de chaque projet de recherche distinct. La déclaration concernera principalement un ensemble de projets similaires. De ce fait, la déclaration ne s'opposera pas à l'éventuelle nécessité de discrétion à l'égard de plans de recherche concrets.
Article 6
Les chercheurs ne peuvent évidemment pas tenter de lever l'anonymat des données. Sur la proposition de la Commission, ce même article prévoit également l'interdiction de convertir des données à caractère personnel codées en données à caractère personnel non-codées. Le chercheur ne peut rien entreprendre pour tenter de « déchiffrer » le code, sous peine de sanction pénale prise en vertu de l'article 39 de la loi.
L'article 39 de la loi punit en effet pénalement le responsable du traitement qui traite des données en infraction à l'article 4, § 1^er de la loi, cette mesure s'appliquant aux dispositions du présent arrêté qui exécute l'article 4, § 1^er.
Section II. - Traitement de données à caractère personnel codées
Après avoir établi à l'article 7 le principe général du codage des données préalablement à tout traitement ultérieur de ces données à des fins historiques, statistiques ou scientifiques, la section 2 détaille trois hypothèses :
- soit le responsable du traitement de données collectées à des fins déterminées désire lui-même réutiliser les données pour un traitement ultérieur à des fins historiques, statistiques ou scientifiques;
- soit le responsable du traitement de données collectées à des fins déterminées communique ces données à un tiers qui traite ultérieurement ces données à des fins historiques, statistiques ou scientifiques;
- soit enfin plusieurs responsables du traitement de données collectées pour des finalités déterminées, explicites et légitimes communiquent ces données à un ou plusieurs tiers, qui traite(nt) ces données à des fins historiques, statistiques ou scientifiques;
Ces trois cas de figure créent des risques différents pour la protection des données et appellent donc des régimes distincts, déterminés respectivement par les articles 8, 9 et 10.
Article 7
Lorsqu'un chercheur démontre que la recherche est impossible à partir de données anonymes, il peut travailler avec des données codées.
Comme défini à l'article 1 3°, le « codage » consiste à démunir les données à caractère personnel de tous les éléments qui permettent d'identifier la personne concernée et à remplacer ces éléments par un code. La relation entre le code et l'identification de la personne intéressée - en d'autres mots la « clé » - n'est pas communiquée au destinataire des données à caractère personnel. Le codage des données doit avoir pour conséquence que le destinataire ne peut raisonnablement pas identifier la personne concernée à l'aide des données communiquées.
Les données doivent être codées avant leur traitement ultérieur à des fins historiques, statistiques ou scientifiques.
Dans son avis 30.495/2 du 8 novembre 2000, p. 7, le Conseil d'Etat suggère le libellé suivant pour l'article 7 : « les données à caractère personnel non-codées sont codées avant tout traitement ultérieur à des fins historiques, scientifiques ou statistiques en vue de ne pouvoir êtres mises en relation avec une personne idietfiée ou identifiable que par l'intermédiaire d'un code ».
Le libellé actuel ne suit pas la proposition du Conseil d'Etat.
L'article 1^er, 3° définissant les données à caractère personnel codées comme étant « les données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que par l'intermédiaire d'un code », il est redondant de reprendre une nouvelle fois cette notion dans l'article 7.
Article 8
L'article 8 vise l'hypothèse où le responsable d'un traitement de données collectées dans le cadre de ses activités normales, souhaite lui-même réutiliser ces données à des fins historiques, statistiques ou scientifiques ou confier ce traitement ultérieur à un sous-traitant.
Dans son avis 8/99, p. 3, la Commission de la protection de la vie privée « se demande s'il ne convient pas de définir des garanties appropriées, moyennant respect desquelles un responsable du traitement peut déroger à certains principes, s'il souhaite traiter des données à caractère personnel dont il dispose à des fins historiques, statistiques ou scientifiques d'une manière incompatible avec les finalités pour lesquelles les données à caractère personnel en question ont été collectées. »
La Commission de la protection de la vie privée ne donne cependant pas d'indication sur ce que pourraient être ces garanties appropriées.
L'arrêté royal dispose que les données seront codées par le responsable du traitement lui-même, par le sous-traitant ou par l'organisation intermédiaire.
La première hypothèse, où le responsable du traitement de données collectées à des fins autres qu'à des fins historiques, statistiques ou scientifiques code lui-même les données, vise par exemple l'administration publique qui transmet des données à caractère personnel à un service d'étude pour un traitement à des fins scientifiques. Il peut également s'agir d'un hôpital universitaire qui fournit des données à caractère personnel aux chercheurs de la faculté de médecine de la même université. Dans ce cas, l'hôpital ne doit pas nécessairement faire appel à une organisation intermédiaire externe à l'université. Le codage de données à caractère personnel et la gestion des clefs d'identification, peut être effectuée par l'hôpital lui-même.
Néanmoins, en vertu de l'article 12, le responsable du traitement devra prendre des mesures techniques et organisationnelles afin d'empêcher les chercheurs d'accéder à la clé du code.
La seconde hypothèse vise le cas où le responsable du traitement confie à un sous-traitant le traitement ultérieur à des fins historiques, statistiques ou scientifiques, par exemple lorsqu'une société commerciale confie à une société spécialisée une étude statistique sur ses fichiers de clientèle.
Dans ce cas, le sous-traitant code lui-même les données avant leur traitement ultérieur à des fins historiques, statistiques et scientifiques.
Il est à noter que si le sous-traitant mêle au fichier clientèle qui lui est confié en sous-traitance, d'autres fichiers, qui lui sont propre ou qu'il a collecté ailleurs, afin de permettre un résultat statistique plus ciblé ou pour tout autre motif, il ne sera plus un sous traitant mais le responsable d'un nouveau traitement.
La troisième hypothèse vise la situation où le responsable du traitement confie le codage des données à une organisation intermédiaire afin de pouvoir lui-même réutiliser ces données par la suite à des fins historiques, statistiques ou scientifiques. Dans ce cas, l'organisation intermédiaire agit en tant que sous-traitant.
Dans son avis 8/99 (p. 2), la Commission de la protection de la vie privée considère en effet que lorsqu'une organisation intermédiaire ne code les données que d'un transmetteur de données (comprendre : le responsable du traitement de données collectées pour une finalité déterminée, explicite et légitime), « il vaudrait mieux que l'organisation intermédiaire agisse toujours en qualité de sous-traitant des données à caractère personnel pour le compte du transmetteur des données, de sorte qu'elle ne soit pas considérée comme un responsable de traitement de données à caractère personnel distinct et soit soumise au contrôle du transmetteur des données, conformément à l'article 16 de la loi ».
Dans ce cas, un contrat est conclu entre le responsable du traitement et le sous-traitant, conformément à l'article 16 de la loi.
Ce contrat stipule que le sous-traitant n'agit que sur instruction du responsable du traitement.
L'organisation intermédiaire doit offrir des garanties suffisantes au regard des mesures de sécurité technique et d'organisation et le responsable du traitement désigné par cette organisation intermédiaire doit veiller au respect de ces mesures.
Article 9
L'article 9 vise l'hypothèse où le responsable du traitement de données collectées à des finalités déterminées, explicites et légitimes communique ces données à un tiers qui traite ultérieurement ces données à des fins historiques, statistiques ou scientifiques.
L'avant-projet d'arrêté royal dispose que les données seront codées par le responsable du traitement lui-même ou par l'organisation intermédiaire.
Cette dernière agit en qualité de sous-traitant, pour des motifs identiques à ceux évoqués à l'article précédent.
Article 10
L'article 10 vise l'hypothèse où plusieurs responsables de traitement de données collectées pour des finalités déterminées, explicites et légitimes communiquent ces données à un ou plusieurs tiers, qui traite(nt) ces données à des fins historiques, statistiques ou scientifiques.
Dans ses avis 8/99 (p. 3) et 25/99 (p. 2), la Commission de la protection de la vie privée considère qu'il « existe une menace particulière pour la protection des données, dans la mesure où des données à caractère personnel provenant de différents transmetteurs de données sont rassemblées avant d'être codées ».
La Commission estime dès lors dans ses avis 8/99 (p. 3) et 25/99 (p. 2) que de telles organisations intermédiaires doivent offrir des garanties appropriées et qu'il serait préférable qu'elles soient habilitées à effectuer cette tâche par ou en vertu de la loi.
Dans son avis 25/99, elle précise en outre que dans un tel cas, « l'organisation intermédiaire a une responsabilité propre et ne peut être considérée comme un sous-traitant agissant pour le compte des différents transmetteurs de données ».
Dans ses avis 8/99 (p. 7) et 25/99 (p. 5), la Commission propose également dans la mesure où sa proposition de considérer une organisation intermédiaire qui rassemble ou code les données obtenues de plusieurs transmetteurs de données comme un responsable de traitement distinct, a été acceptée, « d'étendre l'exemption de l'obligation d'information aux organisations intermédiaires qui traitent des données dans le seul but de les coder. Si ce n'était pas le cas, le danger est grand que peu d'instances soient disposées à agir en qualité d'organisation intermédiaire ».
L'arrêté royal dispose dès lors que l'organisation intermédiaire qui code les données issues de plusieurs responsables du traitement est considérée comme le responsable d'un nouveau traitement, tenu des obligations générales de tout responsable du traitement et, entre autres tenu
- de vérifier, si les données traitées sont pertinentes;
- d'informer la personne concernée;
- de déclarer le traitement à la Commission de la protection de la vie privée, cette déclaration mentionnant notamment les catégories de données traitées, les catégories de destinataires à qui les données sont fournies, les garanties dont doit être entourée la communication aux tiers ainsi qu'une description des mesures de sécurité, à savoir la façon dont les données sont codées et les mesures techniques et organisationnelles qui empêchent le responsable du traitement à des fins historiques, statistiques ou scientifiques d'accéder à la clé du code.
En ce qui concerne la suggestion de la Commission d'exempter les organisations intermédiaires de l'obligation d'information, l'avant-projet d'arrêté royal suit la directive 95/46/CE : l'article 11.2 de celle-ci n'autorise d'exemption à l'obligation d'information que lorsque celle-ci est impossible ou requiert des efforts disproportionnés ou lorsque la loi prévoit explicitement la communication ou l'enregistrement des données. Ce problème est réglé par les articles 15, 20 et 29 du présent arrêté.
Par contre l'avant-projet d'arrêté royal ne suit pas la Commission lorsque celle-ci suggère que les organisations intermé-daires soient habilités par ou en vertu de la loi : cela aurait pour conséquence de réserver le rôle d'organisation intermédiaire à des organismes publics ou para-publics en excluant toute société privée.
Or, la notion de traitements à des fins statistiques ou scientifiques vise également les traitements statistiques effectués par les entreprises à partir de leur propres traitements (traitements clients, marchandises, ressources humains ou autres- cfr. sur ce point, supra, p. 15 et sv.).
Article 11
L'organisation intermédiaire doit être indépendante du responsable du traitement ultérieur des données à caractère personnel à des fins historiques, statistiques ou scientifiques.
Cette indépendance doit permettre en tout état de cause à l'organisation intermédiaire de refuser de donner la clé du code au destinataire des données.
Article 12
Dans son avis 8/99 (p. 4), la Commission de la protection de la vie privée estime souhaitable qu'une obligation de sécurité particulière des clés de conversion des données codées en données identifiantes soit imposée au transmetteur de données ou à l'organisation intermédiaire. Cette sécurité est en effet cruciale afin d'éviter que les données codées ne soient reconverties en données à caractère personnel non-codées.
L'article 12 vise à rencontrer cette remarque.
Des mesures techniques doivent notamment conduire à ce que le code ne puisse révéler les personnes auxquelles se rapportent les données à caractère personnel. L'accès à un tableau de conversion par exemple qui permet de convertir les données à caractère personnel codées en données à caractère personnel non-codées, doit être protégé de manière adéquate.
Néanmoins, lorsqu'elle parle de « transmetteur de données », la Commission ne semble viser que les cas où le responsable du traitement communique les données à un tiers en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques.
L'article 12 exige également des garanties de la part du responsable du traitement de données à des fins autres que statistiques qui code les données afin de les réutiliser lui-même à des fins historiques, statistiques ou scientifiques. Celui-ci doit prendre des mesures pour que l'accès à la clef du code soit inaccessible pour les personnes qui vont dans les faits effectuer le traitement ultérieur à des fins historiques, statistiques ou scientifiques. L'institution de recherche devra séparer les collaborateurs qui collectent les données et les collaborateurs qui mènent une recherche déterminée à l'aide de ces données.
Il est utile de rappeler ici que l'article 39 de la loi punit d'une amende le responsable du traitement, son préposé ou mandataire qui traite des données à caractère personnel en infraction aux conditions imposées par l'article 4, § 1^er.
Article 13
Le responsable du traitement des données ou l'organisation intermédiaire ne peuvent communiquer des données en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques que sur présentation par le responsable du traitement ultérieur à des fins historiques, statistiques ou scientifiques, de l'accusé de réception délivré par la Commission dans les trois jours ouvrables de la réception de la déclaration du traitement, conformément à l'article 17, § 2, de la loi.
Si un chercheur adresse une demande de données à caractère personnel codées auprès d'une organisation intermédiaire ou d'un responsable du traitement de données à caractère personnel à des fins autres que historiques, statistiques ou scientifiques, ce chercheur devra prouver que la déclaration a été accomplie. Dans la négative, les données à caractère personnel codées ne peuvent pas être communiquées. Cette règle est également valable lorsque le responsable du traitement à des fins historiques, statistiques ou scientifiques n'est pas un tiers par rapport au responsable du traitement de données collectées à des fins initiales (p.ex. lorsqu'un hôpital communique à ses médecins des données relatives à la santé en vue d'une recherche scientifique ultérieure).
Cette disposition doit être considérée en liaison avec l'article 4 du présent arrêté, en vertu duquel le responsable du traitement de données à des fins historiques, statistiques ou scientifiques doit justifier dans sa déclaration les motifs pour lesquels la recherche nécessite des données codées.
Dans son avis 30.495/2, le Conseil d'Etat a suggéré de remplacer, dans le libellé initial de l'article, les mots « délivré par la Commission sur base de l'aticle 17 § 2 de la loi » par les mots « d'une déclaration complète, délivré par la Commission conformément à l'article 17, § 2, de la loi. »
Le libellé de l'article a été modifié en conséquence.
Article 14
Cet article vise à établir des garanties supplémentaires pour les données sensibles, relatives à la santé et judiciaires, qui sont réutilisées ultérieurement à des fins historiques, statistiques ou scientifiques.
Originellement, l'avant-projet d'arrêté royal prévoyait que ce type de traitement devait préalablement faire l'objet d'un avis positif rendu par un comité d'éthique désigné par la Commission de la protection de la vie privée.
Dans son avis 8/99, la Commission estime cependant qu'il « n'appartient ni à elle ni à une commission d'éthique désignée par elle, de rendre un avis, au nom de la protection de la vie privée, sur les fins historiques, statistiques ou scientifiques d'un traitement. Ceci pourrait en effet être interprété comme une possibilité de censure sur le plan du contenu. La Commission propose dès lors de supprimer cet article. Si les auteurs du projet devaient estimer que les commissions d'éthique ont un rôle à jouer en ce qui concerne certaines formes de recherche historique, statistique ou scientifiques envisagées, ceci devrait faire l'objet d'une réglementation distincte, basée sur un débat de société ».
L'arrêté royal prévoit dès lors comme garantie que le responsable du traitement des données collectées pour des finalités déterminées explicites et légitimes ou l'organisation intermédiaire doit informer la personne concernée préalablement au codage des données, de la finalité historique, statistique ou scientifique, de l'origine des données, ainsi que de son droit d'accès, de rectification et d'opposition. La personne concernée dispose d'un droit d'opposition.
L'information à la personne concernée précise notamment l'origine des données : celle-ci doit permettre à la personne concernée d'être consciente du recoupement d'informations qui s'opère dans les mains du « codeur. »
Rappelons qu'en vertu de l'article 3, § 5 de la loi, les obligations d'information et d'accès ne s'appliquent pas aux traitements de données gérés par les autorités publiques à des fins de police judiciaire, de police administrative ou de renseignements.
Cette obligation d'information repose sur celui qui code les données, à savoir soit le responsable des données collectées pour une finalité initiale, soit l'organisation intermédiaire : dans la mesure où le responsable du traitement ultérieur à des fins historiques, statistiques ou scientifiques ne traite que des données codées, il lui est en effet impossible d'informer la personne concernée.
Article 15
L'article 11.2 de la directive 95/46/CE dispose que l'obligation d'information ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information se révèle impossible ou implique des efforts disproportionnés, ou si la législation prévoit expressément l'enregistrement ou la communication des données Dans ce cas les Etats membres prévoient des garanties appropriées ».
Ce faisant, l'article 11.2 prévoit deux catégories d'exception à l'obligation d'information : la première vise l'hypothèse où de facto l'obligation d'information est impossible à remplir; la seconde vise l'hypothèse où de iure, l'obligation d'information n'est pas dûe parce que l'enregistrement et la communication des données a été organisée par la loi.
L'article 15 reprend les deux catégories d'exceptions prévues par l'article 11.2 de la directive.
L'article 15, alinéa 1^er prévoit que le responsable du traitement, que ce soit le responsable du traitement de données initiales ou l'organisation intermédiaire qui agit comme responsable du traitement dans le cadre de l'article 10 de l'arrêté royal, peut demander à la Commission de la protection de la vie privée d'être exempté de cette obligation, lorsqu'il estime que l'obligation d'information instituée par l'article 14 est impossible ou demande des efforts disproportionnés.
Lorsqu'il effectue sa demande, il doit dans un tel cas apporter à la Commission la preuve des faits rendant impossible l'obligation d'information.
Sur base de l'examen de ces éléments, la Commission émet une recommandation à l'attention du responsable du traitement. Ainsi que le précise l'article 16, cette recommandation énonce éventuellement les garanties supplémentaires que devrait prendre le responsable du traitement.
Le texte initial de l'article donnait à la Commission un pouvoir de décision en la matière.
Dans son avis 30.495/2, p. 11, le Conseil d'Etat fait remarquer que « la loi du 8 décembre 1992 ne donne aucun pouvoir d'exemption à la Commission ni n'habilite le Roi à lui conférer tel pouvoir. A l'alinéa premier, le projet ne peut donc se référer à une décision d'exemption prise par la Commission mais tout au plus à une procédure de recommandation ».
Le texte actuel suit l'avis du Conseil d'Etat.
Les recommandations de la Commission n'ont pas de portée obligatoire. Comme le dit la Commission elle-même dans son rapport d'activité 1992-93, p. 12, elles permettent seulement à la Commission de faire connaître son point de vue.
Mais ces recommandations constituent également des éléments d'apprécation si, par la suite, il advient qu'une personne concernée porte plainte devant la Commission ou les cours et tribunaux ou si la Commission dénonce une infraction au procureur du Roi ou soumet un litige au tribunal de premier instance.
L'article 15, alinéa 2, transpose la deuxième catégorie d'exceptions prévue par l'article 11.2 de la directive, à savoir la libération de l'obligation d'information lorsque la communication et l'enregistrement des données est prévue par la loi.
Il dispose que lorsque le responsable d'un traitement de données à caractère personnel, collectées à des fins déterminées, explicites et légitimes ou une organisation intermédiaire est une autorité administrative chargée explicitement, par ou en vertu d'une loi, de rassembler ou de coder des données, en vue de leur communication à un responsable du traitement à des fins historiques, scientifiques, il est exempté de l'obligation d'informer la personne concernée ».
Ce faisant l'arrêté royal se conforme aux avis de la Commission de la protection de la vie privée, qui d'une part souligne que les organisations intermédiaires doivent offrir des garanties appropriées (cfr. avis 8/99, p. 3 et 25/99, p. 2) et suggère d'autre part d'exempter de l'obligation d'information les organisations intermédiaires qui traitent des données dans le seul but de les coder (avis 8/99, p. 7 et 25/99, p. 5).
Article 16
L'article 16 dispose que le responsable du traitement fournit dans la déclaration du traitement à la Commission prévue à l'article 17 de la loi, une série d'informations complémentaires, qui devrait permettre à la Commission de juger en connaissance de cause de l'atteinte à la vie privée portée par le traitement ainsi que du caractère impossible ou disproportionné de l'obligation d'information.
Sur la base de ces éléments, la Commission émet sa recommandation. Celle-ci contient éventuellement des conditions suppléméntaires à respecter lors du traitement ultérieur de données à caractère personnel.
Endéans une période de quarante-cinq jours ouvrables à partir de la date de réception de la déclaration, la Commission communique sa recommandation motivée au responsable du traitement. Le délai peut être prolongé une fois pour une durée de quarante-cinq jours.
Au terme de ce délai, si la Commission n'a pas communiqué sa recommandation, la demande est considérée comme acceptée sans condition.
Dans son avis 8/99 (p. 5), la Commission déclare qu'elle ne peut souscrire à cet alinéa. » Etant donné qu'une exemption du devoir d'information et de la nécessité d'obtenir le consentement explicite de la personne concernée constitue l'exception, l'absence de décision de la Commission dans les délais prévus ne peut en aucun cas être considérée comme une dérogation accordée par la Commission. C'est pourquoi la Commission propose de considérer l'absence de décision dans les délais prévus comme un refus de dérogation ».
L'arrêté royal ne suit pas l'avis de la Commission sur ce point pour deux motifs : d'une part par ce que, comme le Conseil d'Etat le souligne, la loi n'attribue pas à la Commission de pouvoir de décision en la matière. D'autre part, même si on considère de iure que la Commission ne possède qu'un pouvoir de recommandation en la matière, le fait de suspendre la mise en oeuvre d'un traitement à la recommandation de la Commission revient à conférer un pouvoir de décision de facto à la Commission.
Par ailleurs, dans son avis 30.495/2, p. 13, le Conseil d'Etat insiste sur la nécessité de publier ces recommandations dans le registre public des traitements « afin d'éviter qu'un laps de temps trop long ne s'écoule entre la saisine de la Comission et la divulgation de ses recommandations ».
L'arrêté royal suit l'avis du Conseil d'Etat sur ce point. C'est la raison d'être du cinquième alinéa de cet article.
Pour le surplus, l'arrêté royal suit l'ensemble des propositions de libellé énoncé dans l'avis 30.495/2, p. 14 du Conseil d'Etat.
Article 17
L'article 17 dispose que le responsable du traitement communique à la Commission toute modification aux informations précédemment communiquée.
Dans son avis 30. 495/2, le Conseil d'Etat suggère que le responsable du traitement « n'applique les modifications qu'après que la Commission lui ai adressé une nouvelle recommandation ».
Cette suggestion n'a pas été suivie : suspendre la mise en oeuvre des modifications du traitement à une nouvelle recommandation de la Commission revient à donner de facto un pouvoir de décision à la Commission, que le Conseil d'Etat lui-même lui refuse de iure.
Section III. - Traitement de données à caractère personnel non-codées
Le traitement ultérieur de données à caractère personnel non-codées à des fins historiques, statistiques ou scientifiques, est soumis à des règles strictes.
Le traitement ultérieur de données à des fins historiques, statistiques ou scientifiques, autrement dit la collecte secondaire de données, présente, pour le responsable du traitement à des fins historiques, statistiques ou scientifiques, un certain nombre d'avantages par rapport à la collecte primaire de données à des fins historiques, statistiques ou scientifiques : elle permet de travailler plus rapidement, dans la mesure où une partie de la collecte est déjà effectuée; elle permet également de bénéficier des contrôles que le premier responsable du traitement a pu faire, ce qui accroît la fiabilité des données.
Pour la personne concernée, elle présente par contre davantage de risques que la collecte d'informations primaire.
La collecte primaire d'information donne à la personne concernée une certaine maîtrise sur la collecte des données dans la mesure où elle peut refuser de révéler certaines informations.
La collecte secondaire de données, ou autrement dit le traitement ultérieur des données, fait perdre à la personne concernée cette maîtrise : des données collectées pour des finalités très différentes vont être recoupées et ce recoupement va par lui-même générer de nouvelles informations sur la personne concernée, sans que celle-ci puisse aucunement maîtriser le processus.
C'est le motif pour lequel le traitement ultérieur de données non codées est soumis à des conditions plus strictes que le traitement initial de données.
Le régime décrit dans la section III du chapitre II, dispose que des informations détaillées doivent être communiquées à la personne concernée et que la personne concernée doit donner expressément son accord pour le traitement.
Des exemptions à l'obligation d'information et de recueil du consentement sont néanmoins possibles.
Article 18
Cet article précise les informations qui doivent être communiquées au préalable à la personne concernée. Cet article requiert notamment une description précise des finalités historiques, statistiques ou scientifiques. On vise par là une brève description du projet concret de recherche.
Les informations doivent être communiquées à la personne concernée par le responsable qui traite les données à caractère personnel à des fins historiques, statistiques ou scientifiques. Bien que cela n'est pas explicitement requis, l'information s'effectuera généralement au moyen d'un document dans lequel l'on demande en même temps à la personne concernée de donner son consentement.
Article 19
Le consentement de la personne concernée doit être donné de manière expresse.
Un consentement implicite - par exemple « ne pas répondre équivaut à donner son accord » - est insuffisant dans ce cas. Si pour des raisons pratiques, l'obtention du consentement explicite n'est pas possible, il y a lieu d'examiner si l'article 20 peut être appliqué.
Il appartient au responsable du traitement, en cas de contestation, de prouver que le consentement de la personne concernée a été obtenu avant que le traitement à des fins historiques, statistiques ou scientifiques n'aie débuté.
Dans son avis 30.495/2, p. 14, le Conseil d'Etat dit qu'« il serait préférable pour la preuve du consentement soit acquise de prévoir que la personne concernée doit consentir par écrit au lieu de consentir expressément. » (sic).
L'arrêté royal ne suit pas l'avis du Conseil d'Etat sur ce point : de iure, ni la loi ni la directive 95/46/CE n'exigent de consentement écrit mais bien des garanties appropriées. De facto, exiger un consentement écrit signifierait que le responsable du traitement doive envoyer un courrier et attendre un courrier en retour de la part de la personne concernée. Il y a beaucoup de chance que celle-ci n'y réponde jamais puisqu `elle n'y a aucun intérêt.
Article 20
Il peut être dérogé à l'obligation de requérir le consentement informé de la personne concernée dans deux cas.
La première dérogation concerne la recherche au moyen de données à caractère personnel non-codées qui sont « publiques ». Cette exception revêt notamment son importance pour la recherche historique au moyen d'archives.
L'expression « données à caractère personnel qui sont manifestement rendues publiques par la personne concernée elle-même ou qui sont en relation étroite avec le caractère public de la personne concernée ou des faits dans lesquels celle-ci est, ou a été, impliquée » provient de l'article 3, § 3, a), de la loi.
On se référera à l'exposé des motifs (Doc. Parl., Ch, 1566/1-97/98, p. 21 et sv.), pour des explications relatives à cette notion.
La seconde dérogation se fonde sur l'article 11.2 de la directive 95/46/CE qui dispose que l'obligation d'information ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information se révèle impossible ou implique des efforts disproportionnés.
C'est le cas pour les traitements de grandes quantités de données à caractère personnel non-codées dans un environnement non-automatisé. Le « codage » de données à caractère personnel n'est en effet pas possible.
Dans de tel cas, l'article 11.2 de la directive dispose que les Etats-membres doivent prévoir des garanties appropriées.
L'arrêté royal dispose dès lors que le responsable du traitement peut demander à la Commission de la protection de la vie privée une recommandation quant à ce.
Les articles suivants déterminent la procédure nécessaire pour l'obtention de cette recommandation.
Le texte initial de l'arrêté royal parlait d'une décision de la Commission mais dans son avis 30.495/2, p. 14, le Conseil d'Etat a rappelé que la loi n'attribue pas de pouvoir de décision à la Commission dans ce domaine.
Par ailleurs, le texte initial de l'arrêté royal prévoyait une autre exception aux obligations prévues par les articles 14 et 15 du présent arrêté en faveur de l'échantillonnage.
Pour effectuer un échantillonnage. les institutions de recherche concernées communiquent un certain nombre de critères à la banque de données de l'institution publique, sur la base desquels celle-ci accomplit alors elle-même l'échantillonnage. Le résultat de l'échantillonnage est ensuite communiqué à l'institution de recherche.
Ce résultat porte sur un multiple du nombre de personnes qui font finalement l'objet de la recherche.
Dans son avis 8/99 (p. 5), la Commission de la protection de la vie privée estime que cette dérogation « n'est pas justifiée et doit donc être supprimée. En effet, dans le cas de l'échantillonnage, seules des données relatives aux personnes faisant partie de l'échantillon seront finalement nécessaires au responsable du traitement. La communication au responsable du traitement de données à caractère personnel non-codées relatives à l'ensemble de la population ne semble dès lors pas justifiée pour le tirage d'un échantillon. Il est en effet possible de faire tirer un échantillon par le transmetteur des données ou l'organisation intermédiaire sur la base des critères communiqués par le responsable du traitement ».
L'arrêté royal suit l'avis de la Commission.
Lors d'un échantillonnage, le « transmetteur de données », autrement dit le responsable du traitement à des fins déterminées, explicites et légitimes, communique uniquement les données de l'échantillon au responsable du traitement à des fins historiques, statistiques ou scientifiques.
Le responsable du traitement ultérieur à des fins scientifiques n'est dès lors tenu, en vertu de l'article 15, que d'informer les personnes dont il a reçu et traite les données, à savoir les personnes de l'échantillon. Il ne doit pas informer l'ensemble de la population d'où est tirée l'échantillon.
Article 21
Cet article définit de manière détaillée la procédure qui doit être suivie au cas où un responsable d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques souhaite obtenir une recommandation de la Commission. De prime abord, la procédure semble relativement lourde, mais il faut tenir compte du fait que l'on déroge ici à un principe important de la loi, à savoir le fait que l'on ne puisse traiter aucune donnée à caractère personnel relative à une personne concernée sans que cette personne en soit informée.
Dans la pratique, la recommandation devra être demandée à la Commission lors de la déclaration du traitement à la Commission.
Endéans une période de quarante-cinq jours ouvrables à partir de la date de réception de la déclaration, la Commission communique sa recommandation motivée au responsable du traitement. Le délai peut être prolongé une fois pour une durée de quarante-cinq jours ouvrables.
Au terme de ce délai, si la Commission n'a pas communiqué sa recommandation, la demande est considérée comme acceptée.
Dans son avis 8/99 (p. 5), la Commission déclare qu'elle ne peut souscrire à cet alinéa. » Etant donné qu'une exemption du devoir d'information et de la nécessité d'obtenir le consentement explicite de la personne concernée constitue l'exception, l'absence de décision de la Commission dans les délais prévus ne peut en aucun cas être considérée comme une dérogation accordée par la Commission. C'est pourquoi la Commission propose de considérer l'absence de décision dans les délais prévus comme un refus de dérogation ».
L'avant-projet d'arrêté royal ne suit pas l'avis de la Commission sur ce point : suspendre la mise en oeuvre d'un traitement à une recommandation de la Commission revient à conférer de facto un pouvoir de décision à la Commission de la protection vie privée alors même que le Conseil d'Etat démontre de iure que la loi n'attribue pas de pouvoir de décision à la Commission en ce domaine.
Il faut en outre prendre en considération les éventuelles conséquences économiques dommageables dues à l'absence de recommandation de la Commission.
Article 22
On se référera utilement au commentaire relatif à l'article 17.
Section IV. - Publication des résultats du traitement
Article 23
Cet article détermine les mesures nécessaires à la protection de la vie privée lors de la publication des résultats d'un traitement à des fins historiques, statistiques ou scientifiques.
La publication des résultats de la recherche n'est pas autorisée sous une forme qui permet l'identification, à moins que la personne concernée ait marqué son consentement à ce propos ou qu'il s'agit de données « publiques ». Pour plus de clarté sur cette notion, on se référera utilement à l'exposé des motifs relatif à l'article 3, § 3, a) de la loi.
Cette disposition vise à mettre l'arrêté royal en conformité avec la recommandation R (97) 18 du Conseil de l'Europe précitée.
L'article 14.1 de celle-ci dispose en effet que « les résultats statistiques ne doivent être publiés ou rendus accessibles à des tiers que si des mesures sont prises pour s'assurer que les personnes ne sont plus identifiables sur la base de ce résultat, à moins que la diffusion ou la publication ne présente manifestement pas de risque d'atteinte à la vie privée des personnes ».
Dans son avis 30.495/2, p. 16, le Conseil d'Etat suggère d'ajouter la disposition suivante : « le responsable du traitement veille à ce que la publication ne porte pas atteinte de manière disproportionnée à la vie privée de catégories de citoyens ».
Il souligne que « si l'on admet que les données personnelles définies comme ne se rapportant pas à une personne identifiée ou identifiable (au contraire des données à caractère personnel ou « nominatives ») sont néanmoins visées par le droit au respect de la vie privée garanti par l'article 8 de la la Convention européenne des droits de l'homme et des libertés fondamentales, des mesures doivent être prises dans ce domaine également.
L'expérience apprend que l'anonymat des données recueillies n'empêchera pas que les résultats de leur traitement guident l'action de ceux qui pourront en prendre conaissance, à l'égard de catégories de personnes étudiées selon leur profil.
De surcroît, un traitement relatif à une collectivité de personnes restreintes ou à un public cible très caractérisé risque de ne pas respecter, en fait l'exigence d'anonymat, sans que l'on puisse être certain que l'interdiction inscrite à l'article 20 de l'arrêté fasse obstacle à la publication des résultats (l'interdiction vise la forme de la publication seulement). »
Même si, sur le fond, la réflexion du Conseil d'Etat s'avère pertinente, la base juridique de l'article proposé par le Conseil d'Etat n'est cependant pas claire : l'ensemble du chapitre II du présent arrêté trouve sa base légale dans l'article 4, § 1^er, 2° de la loi du 8 décembre 1992 modifié par la loi du 11 décembre 1998. Celui-ci ne vise que les données à caractère personnel et non « les données personnelles définies comme ne se rapportant pas à une personne identifiée ou identifiable ».
C'est le motif pour lequel le présent arrêté ne suit pas l'avis du Conseil d'Etat sur ce point.
Section V. - Exception
Selon l'alinéa 1^er de l'article 21 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité, les données à caractère personnel traitées dans le cadre de l'application de la loi précitée « . sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées, à l' exception de celles présentant un caractère historique, reconnu par les archives de l'Etat ».
L'article 21 de la loi du 30 novembre 1998 précitée prévoit dès lors explicitement que les services de renseignements peuvent conserver des données à des fins historiques.
Par conséquent, ils devraient être tenus de respecter les conditions fixées au chapitre II de l'arrêté royal portant exécution de la loi du 8 décembre 1992.
Les conditions imposées par ce chapitre peuvent néanmoins difficilement s'appliquer à l'égard de ces services.
Ainsi, le principe veut que le traitement ultérieur de données à caractère personnel à des fins historiques, dont leur conservation, s'opère au moyen de données anonymes, ce qui paraît irréalisable.
En ce qui concerne les données codées, en vertu de l'article 14 du présent arrêté, le responsable du traitement est tenu d'informer la personne concernée préalablement au codage des données sensibles visées aux articles 6 à 8 de la loi du 8 décembre 1992.
Quant à la conservation historique des données à caractère personnel au moyen de données non codées, l'utilisation de ce type de données pose le même problème dans la mesure où les articles 18 et 19 imposent également au responsable du traitement d'informer la personne concernée.
Les conditions visées à l'article 14, 18 et 19 sont incompatibles avec le champ d'application de la loi du 8 décembre 1992 qui soustrait les services et autorités visés à l'article 3, § 4 de l'obligation d'information de la personne concernée.
Par ailleurs, d'autres dispositions, tels les articles 16 et 21 par exemple, permettant le cas échéant d'obtenir des exemptions auprès de la Commission de la protection de la vie privée pour le traitement de données non-codées font référence à l'article 17 de la loi du 8 décembre 1992 relatif à la déclaration du traitement à la Commission de la protection de la vie privée, lequel ne s'applique pas aux services et autorités visés à l'article 3, § 4 de la loi.
Les autres autorités mentionnées à l'article 3, § 4 de la loi du 8 décembre 1992, dont le Comité Permanent R et son Service d'Enquêtes par exemple, sont susceptibles de rencontrer les mêmes difficultés.
C'est le motif pour lesquels, quoique la loi ne donne pas de délégation explicite au Roi sur ce point, la section 5 du chapitre II exclut les autorités et services visés à l'article 3, § 4 de la loi du 8 décembre 1992 du champ d'application du chapitre II du présent arrêté.
CHAPITRE III. - Conditions pour le traitement de données à caractère personnel visées aux articles 6 à 8 de la loi
Articles 25 et 26
Ces article du présent arrêté sont repris de l'article 8 de l'arrêté royal n° 7 du 7 février 1995 déterminant les fins, les critères et les conditions des traitements autorisés de données visées à l'article 6 de la loi du 8 décembre 1992 relative à la protection des données à l'égard des traitements de données à caractère personnel (Moniteur belge, 28 février 1995, p. 4430). Il diverge cependant de cette disposition sur plusieurs points.
En premier lieu, les personnes qui sont autorisées à traiter les données ne doivent plus être désignées par leur nom; il est suffisant que les listes des catégories de personnes autorisées soient mises à la disposition de la Commission de la protection de la vie privée.
Cette solution est suggérée par la Commission elle-même. Dans son avis 8/99, (p. 7) « la Commission fait remarquer qu'il importe surtout de savoir qui a accès aux données, ce qui n'implique pas que ces personnes doivent être désignées nommément. Etant donné qu'une désignation nominative peut comporter certains risques, par exemple lorsque les personnes désignées changent de fonction, la Commission estime souhaitable d'obliger le responsable d'une part, à établir une liste des profils d'accès (par exemple en désignant les fonctions ayant accès aux données) et d'autre part, à établir une liste indiquant les personnes auxquelles ces profils sont attribués ».
Dans son avis 30.495/2, p. 18, le Conseil d'Etat précise l'avis 8/99 de la commission de la protection de la vie privée : » Il ne suffit de prévoir la détermination des catégories de personnes autorisées et la mise à la dispostion de la Commission de la liste de ces catégories, note-t-il. Il faut en outre prévoir la désignation nominative des personnes et la communication de la liste de ces personnes à la Commission. ( . ) Si la charge administrative imposée au responsable du traitement est importante, elle ne paraît, néanmoins, pas disporoportionnée par rapport à l'avantage pour le respect de la vie privée que procurera une application individualisée des règles générales abstraites. En tout cas, en ce qui concerne les données sensibles visées à l'article 6 de la loi, il paraît difficile d'en faire l'économie : une appréciation subjective de l'appartenance à une catégorie de personnes autorisée ne saurait être abandonnée à la discrétion de la personne prétendant accéder aux données sans risque d'erreur, voire d'abus ».
Nonobstant les avis du Conseil d'Etat et de la Commission de la protection de la vie privée, il semble peu praticable de demander au responsable du traitement de dresser des listes nominatives de personnes lorsque l'entité du responsable du traitement groupe plusieurs milliers de personnes; on songe ici à des multinationales, des hôpitaux, etc.
C'est pourquoi l'arrêté royal se borne à exiger la tenue d'une liste des catégories de personnes qui ont accès aux données.
Le présent arrêté royal diverge sur un autre point de l'article 8 de l'arrêté royal n° 7 du 7 février 1995 précité : il impose une obligation de discrétion garantie légalement ou statutairement, alors que l'arrêté royal n° 7 se bornait à exiger une obligation de discrétion déontologique ou contractuelle.
Dans son avis 8/99 (p. 7), en effet, la Commission « tient à souligner qu'une disposition contractuelle générale ne suffit pas; l'obligation de confidentialité créée par cette disposition contractuelle doit être équivalente à l'obligation de confidentialité légale ou statutaire. Par ailleurs, la Commission estime que la mention de l'obligation déontologique n'est pertinente dans le contexte et qu'elle peut par conséquent être supprimée ».
Une troisième différence entre le présent arrêté royal et l'arrêté royal n° 7 précité tient au fait que, dans le présent arrêté, la description de la base légale ou réglementaire précise pour le traitement des données n'est plus nécessaire; la Commission écrit dans son avis 8/99 (p. 7) que le terme « précis » peut donner lieu à des différends involontaires et inutiles.
Article 27
L'article 6, § 2, a) de la loi dispose que le traitement des données à caractère personnel dites « sensibles » est autorisé lorsque la personne concernée a donné son accord par écrit à un tel traitement, pour autant que ce consentement puisse à tout moment être retiré par celle-ci. Le Roi peut déterminer, par arrêté délibéré en Conseil des Ministres après avis de la Commission de la protection de la vie privée, dans quels cas l'interdiction de traiter des données visées par cet article, ne peut être levée par le consentement de la personne concernée.
La compétence attribuée au Roi dans cet article a évidemment pour objectif de réglementer des situations où l'accord écrit de la personne concernée ne peut être considéré comme un véritable consentement en raison des rapports de force inégaux entre les parties.
La situation qui vient le plus souvent à l'esprit dans ce cadre est la situation dans laquelle se trouve le postulant ou le travailleur vis-à-vis de son employeur. C'est dans cette perspective que cet article dispose que l'employeur ne peut traiter des données à caractère personnel sensibles uniquement sur la base de l'accord écrit de la personne concernée, à moins que le traitement vise l'octroi d'un avantage à la personne concernée, tel le paiement d'allocations syndicales ou lorsque l'employeur désire accorder à une certaine catégorie de ses travailleurs pratiquant une certaine religion, des facilités spécifiques dans ce cadre.
Il est évident que l'employeur n'aura, dans la plupart des cas, pas besoin de l'accord écrit de la personne concernée pour pouvoir traiter des données sensibles à caractère personnel. L'article 6, § 2, b), de la loi dispose en effet qu'il peut également traiter ces données lorsque le traitement est nécessaire afin d'exécuter ses obligations et ses droits spécifiques en matière de droit du travail. Le présent article de l'arrêté ne s'applique pas lorsque le traitement est fondé sur ce motif, ainsi que lorsque l'employeur se fonde sur un des autres motifs repris à l'article 6, § 2, de la loi, tels que l'application de la législation relative à la sécurité sociale, à la médecine préventive, à l'intérêt vital de la personne concernée.
Dans son avis 8/99 (p. 6), la Commission de protection de la vie privée estime que la disposition précitée « ne tient pas suffisamment compte du droit à l'autodétermination des personnes; l'interdiction absolue de traiter ces données, en dépit du consentement écrit de la personne concernée, semble excessive; la Commission estime que les intérêts de personnes se trouvant sous l'autorité d'une autre personne peuvent également être protégé d'une autre manière. Il est notamment possible d'exiger dans ces cas un consentement écrit spécial, en informant préalablement la personne concernée des raisons pour lesquelles des données sensibles sont traitées. Selon la Commission, l'obligation d'un tel informed consent (consentement éclairé) permet une protection suffisante du droit de la protection de la vie privée de la personne concernée »;
Dans son avis 25/99 (p. 5), la Commission réitère ses remarques et propose de supprimer l'article.
Ses remarques semblent en contradiction avec l'article 2, h) de la directive 95/46/CE, qui définit le consentement de la personne concernée comme étant une manifestation de volonté libre.
Cette liberté est bien souvent absente dans des relations employés/employeurs.
CHAPITRE IV. - Conditions pour l'exemption de l'obligation d'information visée à l'article 9, § 2, de la loi
Article 28
Il convient de rattacher cet article au chapitre II du présent arrêté dans la mesure où il traite exclusivement du traitement de données à caractère personnel à des fins historiques, statistiques ou scientifiques. Si des données à caractère personnel sont obtenues à ces fins, d'une autre manière qu'auprès de la personne concernée, il y a normalement lieu d'appliquer l'article 9, § 2, de la loi, lequel institue l'obligation d'informer la personne concernée. Le présent article de l'arrêté introduit une exception à cette obligation d'information pour le responsable du traitement des données à caractère personnel codées à des fins historiques, statistiques ou scientifiques. Cette exemption vaut uniquement lorsque le traitement des données à caractère personnel codées est effectué conformément aux conditions imposées à la section 2 du chapitre II de l'arrêté.
Elle s'applique notamment à la situation prévue à l'article 8 où le responsable du traitement de données collectées à des fins initiales et le responsable du traitement ultérieur à de fins historiques, statistiques ou scientifiques ne sont qu'un seul et même responsable du traitement à caractère personnel. Lorsqu'un vertu de cet article le responsable d'un traitement de données à caractère personnel collectées pour des finalités autres que historiques, statistiques ou scientifiques, traite ultérieurement ces données à des fins historiques, statistiques ou scientifiques, il ne doit pas en informer la personne concernée, sauf dans l'hypothèse prévue par l'article 14, à savoir le traitement de données sensibles.
Article 29
L'article 11.2 de la directive 95/46/CE dispose que l'obligation d'information ne s'applique pas lorsque la loi prévoit expressément l'enregistrement ou la communication des données. Dans ce cas les Etats membres prévoient des garanties appropriées.
Dans ses avis 8/99 (p. 7) et 25/99 (p. 5), la Commission de la protection de la vie privée propose par ailleurs d'exempter de l'obligation d'information les organisations intermédiaires qui traitent des données dans le seul but de les coder.
Combinant les deux principes, l'article 29 exempte dès lors de l'obligation d'information les autorités administratives chargées par ou en vertu de la loi de communiquer les données et agissant pour ce faire en tant qu'organisation intermédaire.
Article 30
L'article 9, § 2, deuxième alinéa, a) de la loi dispose que, lorsque les données n'ont pas été collectées auprès de la personne concernée, le responsable du traitement est dispensé d'informer celle-ci « lorsque, en particulier pour un traitement aux fins de statistiques ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ». Une telle impossibilité ou de tels efforts disproportionnés adviennent lorsque le traitement des données à caractère personnel porte sur un très grand nombre de personnes concernées avec lesquelles le responsable du traitement n'entre en principe jamais en contact.
C'est par exemple le cas des entreprises spécialisées dans la communication d'adresses à des fins de prospection. Quiconque obtient des adresses auprès de ces entreprises à des fins de mailing, effectue évidemment un traitement de données à caractère personnel qui n'ont pas été obtenues auprès de la personne concernée. Si ces données sont enregistrées, la personne concernée doit en être informée conformément à l'article 9, § 2, premier alinéa de la loi.
Le présent article dispose que le responsable du traitement doit dans cette hypothèse procéder à l'information lors de la première prise de contact avec la personne concernée. Ainsi, dans le cas des courtiers d'adresses, les données à caractère personnel ne sont pas enregistrées par le courtier mais communiquées directement du transmetteur de données à l'utilisateur qui souhaite effectuer le mailing. Ce sera alors à ce dernier d'informer la personne concernée lors de la première prise de contact avec celle-ci.
Dans son avis 25/99 (p. 5), la Commission estime que « cette disposition ne peut s'appliquer qu'au cas où des données à caractère personnel non-codées sont traitées à des fins statistiques ou de recherches historiques ou scientifique, ou de dépistage, et lorsque l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés.
Les exemples cités dans le rapport au Roi en ce qui concerne la prospection n'entrent pas dans le contexte des exemptions prévues sur la base de l'article 9, § 2, alinéa 2, de la loi et donne l' impression que le Roi entend donner une portée plus générale à l'article ce qui ne peut, bien entendu, être le cas. En ce qui concerne le marketing direct ou le courtage d'adresses, aucune exemption à l'obligation d'information ne peut être réglée par arrêté royal ».
Le présent arrêté ne suit pas l'avis de la Commission sur ce point. Dans la mesure où l'article 9, § 2, de la loi dispose qu'une exemption à l'obligation d'information peut être accordée « en particulier » pour les traitements aux fins statistiques, historiques et scientifiques, il n'entend pas limiter cette exemption à ces seuls traitements.
Article 31
Cet article vise l'hypothèse où le responsable du traitement de données à caractère personnel ne peut jamais en informer la personne concernée parce que cela s'avère impossible ou requiert des efforts disproportionnés. Dans ce cas, il doit mentionner expressément les motifs justifiant cette impossibilité dans la déclaration du traitement requise à l'article 17 de la loi.
Cette procédure permet une relative transparence, dans la mesure où toute personne a la possibilité de vérifier dans le registre public des traitements tenu par la Commission qui sont les responsables du traitement de données à caractère personnel, même si ceux-ci en aient jamais informé les personnes concernées.
Cet article reprend le libellé suggéré par le Conseil d'Etat dans son avis 30.495/2, p. 20.
CHAPITRE V. - Exercice des droits visés aux articles 10 et 12 de la loi
Article 32
Cet article reprend l'article 1^er de l'arrêté royal n° 3 du 7 septembre 1993 désignant les personnes auprès desquelles doit être introduite la demande de communication des données à caractère personnel fondée sur l'article 10 de la loi (Moniteur belge, 25 septembre 1993). La procédure est cependant assouplie notamment par le biais de la suppression de l'exigence selon laquelle la personne concernée doit adresser sa demande par pli recommandé, ainsi que par l'introduction de la possibilité d'adresser la demande par le biais d'un moyen de télécommunication. Dans ce cadre, on pense évidemment surtout au courrier électronique.
Dans son avis 8/99 (p. 8), la Commission de la protection de la vie privée se borne à constater que « le fait d'exiger que la demande soit signée a pour conséquence que cette dernière ne pourra être envoyée par le biais d'un moyen de télécommunication aussi longtemps qu'il n'existera pas de signature électronique juridiquement valable ».
Dans son avis 30.495/2, p. 20, le Conseil d'Etat formule la même remarque.
C'est chose faite avec la loi du 20 octobre 2000 introduisant l'utilisation de moyens de télécommunications et de la signature électronique dans la procédure judiciaire et extrajudiciaire (Moniteur belge, 22 décembre 2000, p. 42.698), dont l'article 2 complète l'article 1322 du code civil par l'alinéa suivant : « peut satisfaire à l'exigence d'une signature, pour l'application du présent article, un ensemble de données électroniques pouvant être imputé à une personne déterminée et établissant le maintien de l'intégrité du contenu de l'acte ».
Article 33
Cet article reprend, mutatis mutandis, l'article 1 de l'arrêté royal n° 5 du 7 septembre 1993 désignant les personnes auprès desquelles doit être introduite la demande de rectification, de suppression ou d'interdiction d'utilisation d'une donnée à caractère personnel fondée sur l'article 12 de la loi (Moniteur belge, 25 septembre 1993).
Article 34
Ces articles établissent les modalités de l'exercice du droit d'opposition.
La disposition ne trouve cependant pas son fondement légal exclusivement dans l'article 12, § 2, mais également dans l'article 9, § 1^er, e) et § 2, e) de la loi. L'objectif poursuivi consiste à améliorer l'efficacité des nouvelles dispositions légales octroyant à la personne concernée le droit de s'opposer au traitement de données à caractère personnel la concernant à des fins de direct marketing. La loi prévoit actuellement à l'article 9 que le responsable du traitement est tenu d'informer la personne concernée de l'existence d'un droit de s'opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant envisagé à des fins de direct marketing, et ce indépendamment du fait que ces données à caractère personnel soient collectées auprès de la personne concernée ou auprès de tiers.
Cette simple information ne permet cependant pas à la personne concernée de savoir selon quelles modalités elle peut exercer son droit d'opposition. L'article 34 de l'arrêté distingue trois situations.
La première situation est celle dans laquelle les données à caractère personnel sont collectées par écrit auprès de la personne concernée, soit par le biais d'un coupon-réponse publié dans un journal ou une revue, d'un formulaire rempli lors d'une commande ou d'une souscription à un abonnement, soit même via Internet. Dans les cas précités, la personne concernée doit pouvoir exercer son droit d'opposition sur le document dans lequel elle communique les données à caractère personnel qui la concernent. La manière la plus évidente consiste à poser la question "Vous opposez-vous à l'utilisation de ces données à caractère personnel à des fins de direct marketing ? - Oui / Non (Biffer la mention inutile)" dans le formulaire de réponse qui invite la personne concernée à communiquer des données à caractère personnel. Il existe évidemment de nombreuses variantes à ce procédé (p.ex. cocher une case, question positive ou négative...).
La seconde situation est celle dans laquelle des données à caractère personnel sont obtenues auprès de la personne concernée autrement que par écrit. La personne concernée peut être contactée téléphoniquement pour une offre et, à cette occasion, communique des données à caractère personnel qui seront utilisées par la suite afin de garder le contact ou de livrer une commande. La personne concernée peut également communiquer des données à caractère personnel en utilisant une carte magnétique ou une carte à puce sur laquelle figurent certaines données à caractère personnel. Lorsque les données à caractère personnel font l'objet d'un traitement ultérieur de la part du responsable à des fins de direct marketing, celui-ci doit prendre contact par écrit avec la personne concernée dans les deux mois à dater de l'obtention des données à caractère personnel. Il suffit ici que la personne concernée retourne un document qui lui est communiqué par le responsable et dans lequel elle peut aisément signifier son opposition à un traitement ultérieur à des fins de direct marketing.
Article 35
La troisième situation, régie par l'article 35, vise l'hypothèse où les données à caractère personnel ne sont pas obtenues auprès de la personne concernée. Dans ce cas, le responsable du traitement prend contact avec la personne concernée afin de lui communiquer les informations requises à l'article 9, § 2, de la loi. Lors de cette prise de contact, la personne concernée sera informée, conformément à l'article 9, § 2, de son droit de s'opposer au traitement des données qui la concernent à des fins de direct marketing. La personne concernée doit pouvoir signifier son opposition sur le même document et y être invitée par le responsable par le biais d'une question claire à laquelle elle peut aisément répondre.
Le responsable qui, conformément à l'article 9, § 2, de la loi, est dispensé de l'information est évidemment dispensé également de cette obligation.
CHAPITRE VI. - Exercice du droit visé à l'article 13 de la loi
Article 36
Le Chapitre VI de l'arrêté organise l'accès de personnes concernées aux données enregistrées dans les traitements de données à caractère personnel gérés par des autorités publiques à des fins de renseignement, de police judiciaire et de police administrative.
La matière visée par l'article 13 de la loi est réglementée en droit international par deux textes du Conseil de l'Europe, à savoir la Convention n° 108 et la Recommandation R (87) 15, ainsi que par la Convention d'application de l'Accord de Schengen.
En vertu de l'article 8 de la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, toute personne doit pouvoir obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l'existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données à caractère personnel la concernant sous forme intelligible, et d'obtenir, le cas échéant, la rectification de ces données.
En vertu de l'article 9 de la Convention n° 108, il est possible de déroger à ces dispositions lorsqu'une telle dérogation, prévue par la loi de la Partie, constitue une mesure nécessaire dans une société démocratique à la protection de la sécurité de l'Etat, à la sûreté publique, aux intérêts monétaires de l'Etat ou à la répression des infractions pénales.
L'article 6 de la Recommandation N° R (87) 15 portant réglementation de l'utilisation des données à caractère personnel dans le secteur de la police, adoptée le 17 septembre 1987 par le Comité des Ministres du Conseil de l'Europe, précise le régime de cette dérogation en disposant que :
« 6.4. L'exercice des droits d'accès, de rectification ou d'effacement ne saurait faire l'objet d'une restriction que dans la mesure où une telle restriction serait indispensable pour l'accomplissement d'une tâche légale de la police »;
« 6.5. Un refus ou une restriction de ces droits devraient être motivés par écrit. La communication de la motivation ne pourrait être refusée que dans la mesure où cela serait indispensable pour l'accomplissement d'une tâche légale de la police. »
D'autre part, l'article 109 de la Convention du 19 juin 1990 d'application de l'Accord de Schengen du 14 juin 1985 dispose que :
« Le droit de toute personne d'accéder aux données la concernant qui sont intégrées dans le Système d'Information Schengen, s'exerce dans le respect du droit de la Partie Contractante auprès de laquelle elle le fait valoir. Si le droit international le prévoit, l'autorité nationale de contrôles décide si des informations sont communiquées et selon quelles modalités. Une partie contractante qui n'a pas effectué le signalement ne peut communiquer de informations concernant ces données que si elle a donné préalablement à la Partie Contractante signalante l'occasion de prendre position. »
L'article 114, deuxième alinéa, de la même convention dispose que :
« Toute personne a le droit de demander aux autorités de contrôle de vérifier les données la concernant intégrées dans le Système d'Information Schengen ainsi que l'utilisation qui est faite de ces données. Ce droit est régi par le droit national de la Partie Contractante auprès de laquelle la demande est introduite. Si les données ont été intégrées par une autre Partie Contractante, le contrôle se réalise en étroite coordination avec l'autorité de contrôle de cette Partie Contractante. »
Conformément à ces différentes dispositions de droit international, l'article 3, § 5, de la loi refuse à la personne à propos de laquelle des données sont enregistrées dans le fichier, le droit d'accès direct et de rectification pour certains traitements de données.
Il s'agit des traitements de données à caractère personnel :
- par la Sûreté de l'Etat, par le Service général du renseignement et de la sécurité des forces armées, par l'Autorité de sécurité, par les officiers de sécurité et par le Comité permanent de contrôle des services de renseignements et son Service d'enquêtes, lorsque ces traitements sont nécessaires à l'exercice de leurs missions;
- gérés par des autorités publiques en vue de l'exercice de leurs missions de police judiciaire;
- gérés par les services de police visés à l'article 3 de la loi du 18 juillet 1991 organique du contrôle des Services de police et de renseignements, en vue de l'exercice de leurs missions de police administrative;
- gérés en vue de l'exercice de leurs missions de police administrative, par d'autres autorités publiques qui ont été désignées par arrêté royal délibéré en Conseil des ministres après avis de la Commission de la protection de la vie privée;
- rendus nécessaires par la loi du 11 janvier 1993 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux;
- gérés par le Comité permanent de contrôle des services de police et par son Service d'enquêtes en vue de l'exercice de leurs missions légales.
Les services de police visés à l'article 3 de la loi du 18 juillet 1991 sont "outre la police communale, la police judiciaire près les parquets et la gendarmerie, les services relevant d'autorités publiques et d'organismes d'intérêt public, dont les membres sont revêtus de la qualité d'officier de police judiciaire ou d'agent de police judiciaire".
L'arrêté royal du 12 août 1993 portant exécution de l'article 11, 4° de la loi du 8 décembre 1992 vise les inspecteurs sociaux (cette disposition a été transférée par la loi du 11 décembre 1998 à l'article 3, § 5, 3 ° de la loi).
L'exposé des motifs de la loi du 8 décembre 1992 explique qu'en raison des missions particulières de ces services, il ne saurait être question de donner à toute personne un droit d'accès direct aux données enregistrées à leur égard. Afin d'établir un juste équilibre entre les droits légitimes de l'individu et les nécessités tout aussi légitimes, de la recherche et de la poursuite des infractions ainsi que de la prévention des atteintes à la sûreté de l'Etat, l'article 13 de la loi du 8 décembre 1992 prévoit dès lors pour ces traitements que l'exercice du droit d'accès et de rectification de la personne concernée se fait par le biais de la Commission de protection de la vie privée (Doc. Parl., Ch., n° 1610/1, 90-91, p. 19).
L'article 13 dispose que :
« Toute personne justifiant de son identité a le droit de s'adresser sans frais à la Commission de la protection de la vie privée pour exercer les droits visés aux articles 10 et 12 à l'égard des traitements de données à caractère personnel visés à l'article 3, §§ 4, 5 et 6.
Le Roi détermine, après avis de la Commission de la protection de la vie privée et par arrêté délibéré en Conseil des Ministres, les modalités d'exercice de ces droits.
La Commission de la protection de la vie privée communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.
Toutefois, le Roi détermine, après avis de la Commission de la protection de la vie privée, par arrêté délibéré en Conseil des Ministres, quelle information peut être communiquée à l'intéressé lorsque la demande de celui-ci porte sur un traitement de données à caractère personnel géré par des services de police en vue de contrôles d'identité. »
Le Chapitre VI de l'arrêté vise à exécuter les alinéas 2 et 4 de l'article 13.
Dans son avis 11/95 relatif à l'article 13, émis d'initiative le 9 mai 1995, la Commission de la protection de la vie privée considère que "l'arrêté royal à adopter doit se limiter à fixer les modalités de contrôle indirect à l'égard du citoyen".
Concernant la procédure que doit suivre la Commission à l'égard des services concernés, l'avis 11/95 de la Commission dispose que "la manière dont se déroulera le contrôle de la Commission auprès des différentes instances devrait faire l'objet de la concertation entre les personnes concernées. Elles peuvent d'ailleurs mettre en lumière des différences par service en matière de modalités techniques, des nécessités du service, des aspects organisationnels".
Dans son avis 8/99 (p. 8) la Commission est également d'avis « qu'il est préférable de déterminer la procédure pour l'exercice du droit visé à l'article 13 de la loi dans le règlement d'ordre intérieur de la Commission, plutôt que dans l'arrêté d'exécution. La Commission peut de la sorte adapter, si le besoin s'en fait sentir, la procédure en fonction des besoins. La Commission insiste dès lors que les articles 23 et 25 à 30 soient remplacés par une disposition prévoyant que la procédure est fixée dans le règlement d'ordre intérieur de la Commission qui doit être publié dans le Moniteur belge. On évite ainsi que la Commission ne soit accablée par des tracasseries administratives. Par ailleurs ceci ne porte en rien atteinte au droit des personnes.
Dans son avis 25/99 (p. 6), la Commission modifie sa position en affirmant que : « Toutefois, il serait sans doute souhaitable de reprendre les éléments essentiels de la procédure dans l'arrêté royal, tels le fait que la personne concernée peut s'adresser directement par écrit à la Commission en vue d'exercer le droit visé à l'article 13 de la loi; le fait que la demande doit contenir tous les éléments pertinents dont dispose la personne concernée, le fait que la demande de la personne concernée n'est recevable que si elle est introduite à l'expiration d'un délai de six moins à compter de la date d'envoi de la précédente réponse de la Commission concernant les mêmes données et le même service; le fait que la personne concernée peut demander à être entendue par la Commission et le fait que le contrôle est effectué par le Président de la Commission ou par un ou plusieurs membres que celui-ci désigne. »
Considérant que l'exercice du droit visé à l'article 13 de la loi est un droit fondamental du citoyen qu'il n'est pas opportun de régler par un règlement d'ordre intérieur, l'arrêté royal suit dès lors l'avis 25/99 de la Commission de la protection de la vie privée.
Article 37
Cet article dispose que la demande de la personne concernée est introduite par courrier daté et signé.
La précédente version de cet article disposait que la demande devait contenir tous les éléments utiles concernant les données contestées, tels que leur nature, les circonstances ou l'origine de la prise de connaissance.
Dans son avis 8/99 (p. 9), la Commission considère que « cette disposition impose une obligation d'information trop lourde à la charge de la personne concernée. Dès lors, elle propose de préciser que la demande ne doit contenir que les éléments pertinents dont dispose la personne concernée ».
L'arrêté royal suit l'avis de la Commission.
La précédente version de cet article incluait également des règles relatives aux demandes introduites par les représentants d'incapables.
Dans son avis 8/99, la Commission estime qu' « il n'est pas nécessaire de prendre une disposition relative à la représentation ».
L'arrêté royal suit l'avis de la Commission sur ce point.
Article 38
Cet article dispose que la Commission peut demander à la personne concernée tous renseignements complémentaires qu'elle estime utile.
Article 39
Cet article dispose qu'à défaut des éléments mentionnés aux articles précédents, la demande pourra être considérée comme irrecevable.
La précédente version de cet article disposait qu' » en cas de refus de la personne concernée de fournir les renseignements complémentaires et lorsque les éléments fournis ne permettent pas d'identifier le traitement de données, la Commission peut déclarer la demande irrecevable ».
Dans son avis 8/99 (p.9), la Commission estime que « les mots en cas de refus » devraient être remplacés par les mots « néglige de ».
En définitive, l'avant-projet d'arrêté royal a préféré adopter un libellé neutre.
Un article, disparu actuellement de l'arrêté royal, disposait que « la Commission statue sur la recevabilité de la demande dans les trente jours à compter de sa réception ».
Dans son avis 8/99 (p. 10), la Commission estime que « la procédure décrite dans le projet d'arrêté complique inutilement la procédure. La Commission souhaite que la procédure soit fixée dans son règlement d'ordre intérieur, et ce, afin d'éviter des tracasseries administratives inutiles lors du traitement des demandes ».
Cet article se borne dès lors à dire que la Commission pourra déclarer certaines demandes irrecevables.
L'arrêté royal précise cependant par la suite que dans un tel cas, la personne peut, si elle le souhaite, être entendue, éventuellement assistée de son conseil.
Article 40
Cet article dispose que la demande n'est recevable que si elle est introduite à l'expiration d'un délai d'un an à compter de la date d'envoi de la précédente réponse de la Commission concernant les mêmes données et le même service, sauf à ce que la personne concernée expose dans sa demande les motifs justifiant une dérogation.
Article 41
Au terme de la précédente version de cet article, la Commission ne pouvait décider de l'irrecevabilité de la demande qu'une fois la personne concernée ou son conseil entendu.
Dans son avis 8/99 (p. 10), la Commission souligne que « cette disposition oblige par conséquent la Commission à entendre la personne concernée (sous-entendu : avant toute décision d'irrecevabilité). La Commission estime qu'il suffit de disposer que la personne concernée peut demander à être entendue par la Commission ».
L'arrêté royal suit partiellement l'avis de la Commission : il dispose que l'audition de la personne concernée est obligatoire si la personne concernée le souhaite. Si elle ne le souhaite pas, elle n'est pas obligatoire et la décision d'irrecevabilité n'est pas entachée d'irrégularité pour autant.
Le libellé suggéré par la Commission pouvait en effet donner à penser que la Commission décidait arbitrairement si elle entendait la personne concernée ou non.
Article 42
La précédente version de cet article disposait que le contrôle des services concernés devait être effectué par un magistrat.
Dans son avis 8/99 (p. 10), la Commission estime « qu'il n'est pas nécessaire que les contrôles soient toujours effectués par un magistrat. D'autres membres de la Commission ont déjà effectué des contrôles par le passé, sans que cela pose problème. De plus, ceci alourdirait la tâche des magistrats membres de la Commission.
Néanmoins, la Commission étant nommée par le pouvoir législatif sur proposition du pouvoir exécutif, son contrôle peut risquer de nuire au principe de la séparation du pouvoir. Au terme de l'article 13 de la loi en effet, qui renvoie sur ce point à l'article 3, § 5, 1°, de la loi, le contrôle de la Commission peut en effet s'exercer sur les « traitements de données à caractère personnel gérés par des autorités publiques en vue de l'exercice de leur mission de police judiciaire », à savoir les traitements de données personnelles gérés par la police judiciaire, par le parquet ou le juge d'instruction.
Il est donc souhaitable qu'en ce qui concerne les traitements de données à caractère personnel visés à l'article 3, § 5, 1°, de la loi, le contrôle de la Commission soit effectué exclusivement par des magistrats désignés par la Commission en son sein.
L'Exposé des motifs de la loi souligne que "deux des trois services de police belge sont chargés aussi bien de missions de police administrative que de missions de police judiciaire mais que toutes les données sont reprises dans le même fichier. Il s'ensuit qu'il est pratiquement impossible de faire une distinction entre les données de police judiciaire et les données de police administrative". (Doc. parl., Ch., 413/12-9-92, S.E., 2 juill. 1992, p. 50).
En cas de doute, il vaut mieux que ce soit un magistrat qui effectue le contrôle.
Néanmoins, afin de pallier au nombre éventuellement restreint de magistrat au sein de la Commision, le troisième alinéa de l'article prévoit que le président et les membres qui effectuent le contrôle peuvent se faire assister ou remplacer par un ou plusieurs membres du secrétariat de la Commission.
Dans son avis 30. 495/2, p. 21, le Conseil d'Etat estime que : « Les questions de fonctionnement ou d'organisation auxquelles la disposition en projet tend à répondre ne sont pas au pouvoir du Roi. Elles relèvent, le cas échéant du règlement d'ordre intérieur qu'arrête la Commission avant de le communiquer aux Chambres législatives, conformément à l'article 28 de la loi. »
La remarque du Conseil d'Etat ne semble pas correcte : l'article 13 alinéa 2 de la loi du 8 décembre 1992 dispose que « le Roi détermine, après avis de la Commission de la protection de la vie privée et par arrêté délibéré en Conseil des Ministres, les modalités d'exercice du droit d'accès indirect ». On ne voit pas en quoi les modalités de représentation des membres de la Commission de la protection de la vie privée ne constitue pas des modalités d'exercice du droit d'accès indirect.
A l'inverse on peut craindre que les services de police concernés considèrent que le règlement d'ordre intérieur de la Commission ne constitue pas une base réglementaire suffisante pour autoriser les membres du secrétariat de la Commssion à remplacer les membres.
Article 43
Cet article détermine les pouvoirs de la Commission .
La loi attribue des missions différentes à la Commission de la protection de la vie privée en fonction des services qu'elle contrôle.
En vertu de l'article 13 de la loi, elle est chargée d'exercer le droit d'accès indirect tant à l'égard des services de renseignements que des services de police.
En outre, en vertu de l' article 31 § 1 de la loi, la Commission connaît des plaintes qui lui sont adressées et peut prendre des décisions dans le cadre de la procédure de plainte.
Cependant, selon l'article 3, § 4, de la loi, l'article 31, § 1^er à 3 n'est pas applicable aux services de renseignements, alors que selon l'article 3, § 5, de la loi, il est applicable aux services de police.
La loi ne donne dès lors pas à la Commission le pouvoir de connaître des plaintes à l'encontre des services de renseignements, ni de pouvoir de décision à l'encontre de ces services.
C'est le motif pour lesquels l'article 43 de l'arrêté royal prévoit deux régimes distincts : l'article 43, deuxième alinéa, concerne les services de police, tandis que l'article 43, alinéa 3, concerne les services de renseignements.
Dans le cadre de l'article 43, alinéa 2, la Commission peut donner des ordres au service de police concerné, par exemple pour faire rectifier ou effacer des données, tandis que dans le cadre de l'article 43 alinéa 3, elle ne peut que recommander au service de renseignement des mesures.
Dans son avis 8/99 (p. 11), la Commission souligne « qu'il n'est pas tenu compte de la possibilité pour le requérant de s'opposer au traitement de données sur la base de l'article 12 de la loi . Dès lors l'article 43 devrait également faire référence à cette possibilité. »
L'article 12, § 1^er, alinéa 2, de la loi dispose que toute personne a le droit de s'opposer pour des raisons sérieuses et particulières, à ce que les données la concernant fassent l'objet d'un traitement, sauf lorsque la licéité du traitement est basée sur un contrat ou le respect d'une obligation légale à laquelle le responsable du traitement est soumis.
Le résultat pratique de ce droit d'opposition est que la Commission peut requérir du service concerné qu'il efface les données.
C'est le motif pour lequel l'arrêté royal ne mentionne pas ce droit d'opposition en tant que tel.
Article 44
Cet article dispose que, suite aux vérifications de la Commission, le service concerné notifie par écrit à la Commission les suites qui y ont été réservées.
Le texte précédent de cet article disposait que cette notification devant se faire par lettre recommandée.
Dans son avis 8/99, la Commission estime que cela « ne doit pas nécessairement se faire par lettre recommandée. Elle est d'avis qu'une simple communication écrite du service concerné à la Commission suffit ».
L'arrêté royal a suivi la Commission sur ce point.
Article 45
Cet article dispose que la Commission répond à la personne concernée dans un délai de trois mois à compter de la notification fait par le service concerné.
Au terme de l'article 13 alinéa 3, de la loi, la Commission répond simplement qu'il a été procédé aux vérifications nécessaires.
Le contrôle effectué par la Commission à l'occasion des demandes d'accès et de rectification doit en effet respecter la règle du secret de l'instruction et de l'information. Comme le mentionne l'exposé des motifs, "il serait paradoxal en effet de permettre aux auteurs, coauteurs ou complices d'infractions pénales de s'informer, avant leur inculpation des éléments de preuve que les autorités judiciaires ont recueilli à leur sujet". (Ch., Doc. Parl., 1610/1, 90/91, p. 17).
Article 46
L'article 13 alinéa 4 de la loi dispose que « le Roi détermine, après avis de la Commission de la protection de la vie privée quelle information peut être communiquée à l'intéressé lorsque la demande de celui-ci porte sur un traitement de données à caractère personnel géré par des services de police en vue de contrôle d'identité.
La Commission doit donc parfois pouvoir fournir de plus amples informations à la personne concernée pour autant que cela ne mette pas en péril le secret de certains traitements par les autorités visées. A titre d'exemple, il peut arriver qu'une personne remarque, à l'occasion d'un contrôle à l'aéroport ou dans la rue, que les données qui la concernent ont été enregistrées erronément par un service de police et que cette erreur a été rectifiée suite à l'intervention de la Commission. Dans ce cas, il est très difficile d'accepter que l'information fournie à la personne concernée doive se limiter à l'informer que "les vérifications nécessaires ont été effectuées".
La solution à ce problème consiste à prévoir une possibilité d'information plus souple pour les traitements de données à caractère personnel par les services de police en vue de contrôles d'identité. C'est précisément dans de tels cas que la personne concernée est confrontée à des erreurs dans les données qui la concernent. Elle pourrait ainsi être informée du fait que les données ont été rectifiées, sans que ces données lui soient cependant communiquées à cette occasion.
En conséquence, la précédente version de cet article de l'arrêté royal disposait dès lors que : « lorsque la demande de la personne concernée se rapporte à un traitement de données à caractère personnel par un service de police en vue d'un contrôle d'identité, la Commission communique à la personne concernée suivant le cas que :
- des données se rapportant à la personne concernée ont été traitées légalement et correctement par le service de police;
- le service de police n'a pas enregistré des données à caractère personnel se rapportant à la personne concernée;
- des données se rapportant à la personne concernée ont été traités à tort ou incorrectement par le service de police et la Commission a demandé une rectification ».
Dans ses avis 8/99 (p. 11) et 25/99 ( p. 6), la Commission propose que l'article « stipule uniquement que la Commission détermine, en concertation avec le service concerné, quelles sont les informations qui sont communiquées à la personne concernée. »
L'arrêté royal suit l'avis de la Commission sur ce point.
CHAPITRE VII. - Déclaration des traitements de données à caractère personnel
Section 1^re. - Contribution à verser à la Commission lors de la déclaration
Ces articles fixent les montants à verser à la Commission lors de la déclaration visée à l'article 17 de la loi. Le responsable paie un seul montant pour toutes les informations qu'il déclare à la Commission à la même occasion. Il s'ensuit que le nombre de finalités ou de finalités liées que le responsable distingue à cette occasion, de même que le nombre de formulaires sur lesquels la déclaration est répartie, n'est pas pertinent.
Conformément à l'avis 8/99 de la Commission de la protection de la vie privée (p. 13), l'article 47 dispose que le responsable du traitement est tenu d'utiliser les formulaires de virement qui lui sont fournis par la Commission.
Section 2. - Catégories de traitement exemptées de l'obligation de déclaration
L'article 17 § 8 de la loi dispose que le Roi peut exempter certaines catégories de déclaration, lorsque, compte tenu des données traitées il n'y a manifestement pas de risque d'atteinte aux droits et libertés des personnes concernées et que sont précisées les finalités du traitement, les catégories de données traitées, les catégories de personnes concernées, les catégories de destinataires et la durée de conservation des données.
Ce faisant, la loi reprend les conditions fixées par l'article 18.2. alinéa premier de la directive 95/46/CE.
Les articles qui suivent déterminent les traitements exemptés de l'obligation de déclaration en vertu de l'article 17, § 8, de la loi.
Ces articles reprennent, à quelques légères modifications près, les dispositions de l'arrêté royal n° 13 du 12 mars 1996 portant exemption conditionnelle de l'obligation de déclaration pour certaines catégories de traitements automatisés de données à caractère personnel qui ne présentent manifestement pas de risque d'atteinte à la vie privée. On peut donc se référer au rapport au Roi publié simultanément à l'arrêté royal du 12 mars 1996 (Moniteur belge du 15 mars 1996, p. 5.802).
Le tableau ci-après confronte les dispositions de l'arrêté du 12 mars 1996 à celles du nouvel arrêté d'exécution.
Tableau récapitulatif
Pour la consultation du tableau, voir image
Le tableau récapitulatif montre que l'exemption qui figurait à l'article 12 de l'arrêté royal du 12 mars 1996 n'est pas reprise. Cette exemption concernait "des traitements ayant pour seul objet la tenue d'un registre qui, en vertu des dispositions légales ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime". L'exemption n'a pas été reprise dans le nouvel arrêté d'exécution puisqu'elle figure à présent dans la loi (art. 17, § 1^er, alinéa 2).
Sur l'avis de la Commission, les cinq éléments repris à l'article 17, § 8, de la loi, ont été précisés pour chaque exemption, à savoir 1) les finalités du traitement, 2) les catégories de données traitées, 3) les catégories de personnes concernées, 4) les catégories de destinataires et 5) la durée de conservation des données. La Commission estime que ces précisions doivent être fournies pour chaque exemption séparément. La précision de certains éléments doit évidemment souvent être formulée en termes très généraux, tels que "uniquement communication des données à des destinataires qui en ont droit" ou "ne pas conserver les données au delà de la période durant laquelle elles sont utiles pour les finalités du traitement".
Il est en effet très difficile de déterminer de manière précise toutes les finalités, toutes les catégories de données, toutes les catégories de personnes concernées, toutes les catégories de destinataires et une période de conservation précise pour chaque exemption. A titre d'exemple, on pourrait imposer aux employeurs ou aux secrétariats sociaux de détruire les données à caractère personnel concernant l'administration des salaires au terme de la période d'activité de l'intéressé. La principale victime d'une telle disposition serait cependant la personne concernée elle-même. Il n'est en effet pas rare qu'une personne concernée demande bien des années plus tard, par exemple à l'occasion de son admission à la pension, des données relatives au salaire auprès d'employeurs et de secrétariats sociaux. Cette observation s'applique également aux autres traitements tels que la comptabilité, l'administration d'associés et d'actionnaires, la gestion de données relatives à la clientèle et aux fournisseurs, aux élèves et aux étudiants, etc. Nous avons néanmoins répondu autant que possible au souhait de la Commission à ce sujet.
Article 51
Concernant l'article 51, le Conseil d'Etat estime dans son avis 30.495/2, p. 21, « les termes « au service de ou travaillant pour » ne sont pas clairs. Si l'intention de l'auteur du projet est de viser les personnes qui travaillent pour le responsable du traitement en vertu d'un contrat de travail ou d'un contrat d'entreprise, il faudrait adapter le dispositif en conséquence. »
Le rapport au Roi de l'arrêté royal n° 13 du 12 mars 1996 portant exemption conditionnelle de l'obligation de déclaration pour certaines catégories de traitements automatisés de données à caractère personnel qui ne présente manifestement pas de risque d'atteinte à la vie privée (Moniteur belge, 15 mars 1996, p. 5805), souligne que l'intention est ici de viser tout intéressé effectuant des prestations pour le responsable du traitement « quel que soit son statut (travailleur salarié, indépendant, intérimaire, stagaire, apprenti, élève, etc.) ».
Il ne semble pas que l'on puisse trouver une définition plus générique que le texte proposé. Le Conseil d'Etat ne suggère d'ailleurs pas de libellé.
Articles 54 et 59
Concernant les articles 54 et 59, le Conseil d'Etat dans son avis 30. 495/2, p. 22, a suggéré de modifier à la dernière phrase du libellé initial le terme « utile » par « nécessaire ».
Le texte actuel suit cette proposition.
Article 60
Concernant l'article 60, le Conseil d'Etat, dans son avis 30.495/2, se demande si les lois auxquelles l'article se réfère, à savoir la loi du 19 juillet 1991 relative aux registres de population et aux cartes d' identité, la loi électorale et les lois instituant les registres de l'état civil, « satisfont à l'ensemble des exigences énoncées par l'article 17, § 8, alinéa 1e, spécialement en ce qui concerne la conservation des données ».
Le rapport au Roi n° 13 du 22 mars 1996, précité (Moniteur belge, 15 mars 1996, p. 5805) explique qu' « il serait dénué de sens d'obliger toutes les communes belges à déclarer leur population étant donné que ce traitement est déjà soumis à une réglementation stricte. En outre, d'autres traitements évidents au niveau communal, tels que les registres de l'état civil ou les listes électorales ne doivent pas davantage être déclarés. »
En ce qui concerne les registres de population, l'article 12 de l'arrêté royal du 16 juillet 1992 (Moniteur belge, 15 juillet 1992) détermine clairement les conditions auxquelles les données sont radiées : radiation d'office, radiation sur base d'un certificat de décès, certificat d'inscription dans une nouvelle commune, etc; par cette disposition, la loi du 19 juillet 1991 détermine la durée de conservation des données.
Article 61
Concernant l'article 61, le Conseil d'Etat, dans son avis 30.495/2, p. 23, estime que « les termes trop généreux de cette exemption ne garantissent pas que toutes les conditions d'exemption énoncées à l'article 17, § 8, alinéa 1^er de la loi du 8 décembre 1992 sont remplies.
Or dans l'esprit de la loi, il convient que chaque réglementation soit examinée concrètement au regard des exigences formulées par l'article 17 précité. »
Quoique la remarque du Conseil d'Etat ne soit pas dénuée de fondement, elle n'en demeure pas moins impraticable : le présent arrêté ne peut dresser une liste des lois à venir et examiner dans quelle mesure elles répondront aux conditions énoncées par l'article 17, § 8.
Par contre, l'article 61 précise que l'exemption de déclaration n'est valable que pour les traitements dont un règlement particulier règle la finalité du traitement, la collecte des données ainsi que les modalités.
Ces traitements restent en outre soumis aux autres dispostions de la loi du 8 décembre 1992, et en particulier l'article 4, qui dispose, entre autre, que les données doivent être adéquates, pertinentes et non-excessives au regard des finalités pourlesquelles elles ont été collectées.
Article 62
L'article 62 prévoit une exemption générale pour les traitements gérés par les institutions de sécurité sociale visées aux articles 1 et 2 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale.
L'article 46, alinéa 1^er, 6°, de la loi du 15 janvier 1990, modifié par l'article 62 de la loi dfu 2 janvier 2001 portant des dipostions sociales, budgétaires et diverses (Moniteur belge, 13 janvier 2001, deuxième édition, p. 966) dispose que le Comité de surveillance est chargé de « tenir à jour un relevé qui contient d'une part, pour ce qui concerne chaque traitement automatisé de données à caractère personnel effectué par une institution de sécurité sociale en vue de l'application de la sécurité sociale, au moins les données visées à l'article 17, § 3, de la loi du 8 décembre 1992, relative à la protection des données à caractère personnel, telles que communiquées ou validées par l'institution de sécurité sociale et d'autre part, les communications autorisées en vertu de l'article 15, ainsi que celle dont le Comité de surveillance doit être informé conformément au même article 15. Le Roi fixe les modalités selon lesquelles toute personne intéressée peut consulter cette liste auprès de la Banque carrefour.
Ce faisant, toute institution de sécurité sociale est obligée de déclarer ses traitements au Comité de surveillance de la Banque-carrefour.
L'article 62 alinéa 2 dispose ensuite que le Comité de surveillance mettra la liste de ces déclarations à la disposition de la Commission de la protection de la vie privée.
CHAPITRE VIII. - Registre public des traitements automatisés de données à caractère personnel
Le chapitre VIII vise à établir les modalités de consultation du registre public des traitements automatisés créé par l'article 18 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement de données à caractère personnel. Le troisième alinéa de cet article précise en effet : « Ce registre est accessible au public selon les modalités arrêtées par le Roi. »
L'exposé des motifs de la loi du 8 décembre 1992 dispose que : " Le registre public est avant tout destiné aux personnes concernées qui doivent y trouver tous les éléments nécessaires à l'exercice de leurs droits. D'une façon plus générale, il devrait aussi permettre au public, via le contrôle de la presse par exemple) d'avoir une vue d'ensemble des utilisations de données à caractère personnel en Belgique" (Doc. Parl. Chambre, 1990-1991, n°1610/1).
Pour permettre de donner cet aperçu au public, l'article 18 alinéa 2 de la loi du 8 décembre 1998 fixe, pour tout traitement automatisé, le contenu du registre public, à savoir :
1° la date de la déclaration et, le cas échéant, la mention de la loi, du décret, de l'ordonnance ou de l'acte réglementaire décidant la création du traitement automatisé;
2° les nom, prénom et adresse complète ou la dénomination et le siège du responsable du traitement et, le cas échéant, de son représentant en Belgique;
3° (supprimé);
4° la dénomination du traitement automatisé;
5° la finalité ou l'ensemble des finalités liées du traitement automatisé;
6° les catégories de données à caractère personnel qui sont traitées avec une description particulière des données visées aux articles 6 à 8 de la loi;
7° les catégories de destinataires à qui les données peuvent être fournies;
8° les garanties dont doit être entourée la communication de données aux tiers;
9° les moyens par lesquels les personnes qui font l'objet des données en seront informées, le service auprès duquel s'exercera le droit d'accès et les mesures prises pour faciliter l'exercice de ce droit;
10° la période au-delà de laquelle les données ne peuvent plus, le cas échéant, être gardées, utilisées ou diffusées;
11° une description générale permettant d'apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement en application de l'article 16 de cette loi;
12° les motifs sur lesquels le responsable du traitement fonde, le cas échéant, l'application de l'article 3, § 3, de la présente loi.
En outre, si les données traitées sont destinées, même occasionnellement, à faire l'objet d'une transmission vers l'étranger, quel que soit le support utilisé, la déclaration doit mentionner :
- les catégories de données qui font l'objet de la transmission;
- pour chaque catégorie de données, le pays de destination.
Il est utile de rappeler que conformément à l'avis 10/92 de la Commission de la protection de la vie privée rendu le 20 août 1992, la notion de la finalité contenue dans le registre public peut être une finalité générique, qui englobe un ensemble d'applications (Doc. Parl. Chambre, 413/12, 90/91, p. 80).
Dans son avis 15/94 du 9 mai 1994, la Commission de la protection de la vie privée a formulé quelques principes de base pour l'accès au registre public.
En général, la Commission souhaite que le registre soit caractérisé par une grande accessibilité à l'égard du public.
En particulier, la Commission indique en premier lieu que la personne qui désire consulter le registre public ne doit pas nécessairement communiquer son identité, mais que la Commission doit bel et bien pouvoir vérifier si la consultation répond effectivement à la finalité pour laquelle le registre a été créé. Dans la pratique, il sera difficile d'effectuer un contrôle a priori de ce dernier point. Si quelqu'un fait un usage illicite des données du registre public, p.ex. en les utilisant à des fins de marketing, seule une sanction a posteriori peut être imaginée.
Dans son avis 15/94, la Commission indique encore que la personne qui fait une demande en vue d'une consultation ne doit pas démontrer que les données dont elle souhaite prendre connaissance la concernent. La Commission estime enfin que l'on peut consulter le registre autant de fois qu'on le souhaite.
Articles 63 à 65
Compte tenu de ces principes, l'arrêté propose trois formes d'accès au registre public.
La première forme consiste en une consultation directe par le biais de moyens de télécommunication. Pour ce faire, la Commission mettra une copie du registre public à disposition sur le serveur de la Commission, lequel sera accessible au moment de l'entrée en vigueur du présent arrêté par le biais de l'Internet. Ce serveur contiendra également, en plus du registre, toute sorte d'autres informations relatives à la protection des données, utiles pour le public (p.ex. des textes de loi, des avis,...). A l'avenir, d'autres formes de consultation via les moyens de télécommunication pourront encore être offertes, lesquelles n'auront plus recours à l'Internet, mais à d'autres réseaux. L'Internet permet un accès décentralisé au registre public à grande échelle.
La deuxième forme consiste en une consultation directe à distance dans des locaux désignés à cette fin par la Commission de la protection de la vie privée. Pendant les heures d'ouverture normales des bureaux, toute personne peut se présenter en vue de consulter le registre. La Commission met l'espace nécessaire à cet effet ainsi qu'un équipement informatique adapté à disposition.
Enfin, il est loisible à chacun d'adresser à la Commission une demande d'extrait du registre public. Ceci peut se faire oralement, en se présentant à la Commission, ou par écrit, en lui adressant une demande par courrier ou par fax. En principe, les demandes effectuées oralement par téléphone ne sont pas recevables. Une demande d'extrait doit évidemment contenir suffisamment de précisions que pour permettre à la Commission de rechercher immédiatement les données demandées dans le registre public et de les imprimer. C'est la raison pour laquelle il est demandé dans l'arrêté de fournir au moins un renseignement essentiel à la Commission.
Article 66
L'accès au registre publique nécessite qu'un nombre minimum de clés d'accès soient disponibles. En ce qui concerne les responsables du traitement, les recherches doivent être possibles au moyen du numéro d'identification, de la dénomination complète ou abrégée, du numéro de TVA, du code postal, de la commune et du numéro de téléphone. En ce qui concerne les traitements eux-mêmes, l'on doit pouvoir consulter le registre public en mentionnant le numéro d'identification, la dénomination, la finalité ou les catégories de données traitées. Toutes ces clés doivent également pouvoir être combinées afin d'affiner la recherche. La consultation doit être simple et conviviale. A cet effet, la Commission doit mettre à disposition une interface et des écrans d'explication adéquats.
Article 67
Il va de soi que la Commission doit être protégée des demandes exagérées et injustifiées. C'est pourquoi une demande d'extrait complet n'est satisfaite que si l'extrait concerne au maximum dix traitements d'un seul et même responsable. Si l'extrait concerne plus de dix traitements et plusieurs responsables ou plus de cent traitements d'un seul responsable, la Commission peut délivrer un extrait simplifié mentionnant pour chaque traitement un nombre minimum de données.
CHAPITRE IX. - Dispositions finales
Articles 70 et 73
Selon les article 70 et 73 de l'arrêté, les responsables de traitement disposent d'encore six mois à compter de la publication de l'arrêté pour s'adapter au nouveau régime créé par la loi du 11 décembre 1998.
Ce délai doit notamment permettre à la Commission de veiller aux formulaires spécifiques mentionnés dans cet arrêté, aux adaptations au registre public.
Cette période de transition est également nécessaire pour les responsables de traitement, afin de leur permettre de modifier certaines mentions sur des formulaires, sur des lettres préimprimées, sur des talons de réponse.
Ces modifications seront également nécessaires pour l'application du droit d'opposition.
Dans son avis 30.495/2, p. 24, le Conseil d'Etat s'insurge contre cette période de transition en rappelant que le délai de transposition de la directive 95/46/CE du parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et à la libre circulation des biens a expiré le 24 ocobre 1998.
Si la remarque du Conseil d'Etat est fondée en droit, il faut néanmoins souligner qu'au moment de la rédaction de cet arrêté, plus de la moité des Etats-membres de l'Union européenne n'ont même pas encore commencé la transposition de la directive précitée, ce qui montre les difficultes pratiques et juridiques suscitées par celles-ci.
Un délai de six mois ne semble dès lors pas superflu pour permettre aux responsables des traitements d'adapter leur pratique aux exigences de cette directive et des mesures qui la transpose en droit belge.
Article 71
Les déclarations en application de l'article 17 de la loi qui ont été accomplies avant l'entrée en vigueur de la loi du 11 décembre 1998, ne doivent pas être répétées selon les règles imposées par cette loi. Elles sont censées être conformes à ces nouvelles dispositions.
J'ai l'honneur d'être,
Sire, de votre Majesté,
Le très respecteux et très fidèle serviteur,
Le Ministre de la Justice,
M. VERWILGHEN

AVIS N° 8/1999 DU 8 MARS 1999 DE LA COMMISSION DE LA PROTECTION DE LA VIE PRIVEE
OBJET : Projet d'arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, telle que modifiée par la loi du 11 décembre 1998
La Commission de la protection de la vie privée,
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, en particulier l'article 29;
Vu la demande d'avis du Ministre de la Justice du 30 décembre 1998;
Vu le rapport de M. Robben, Mme Vanlerberghe et MM. Van Hove et Poullet,
Emet, le 8 mars 1999, l'avis suivant :
Remarques préalables
La Commission déplore que le projet d'arrêté royal qui lui est soumis pour avis ne présente pas un caractère définitif et en particulier, qu'il n'ait pas été délibéré en Conseil des Ministres.
Vu l'importance de ce texte eu égard à ses compétences, la Commission souhaite être consultée sur les modifications éventuelles qui y seraient apportées et qui ne seraient pas en accord avec le présent avis.
La Commission regrette en outre de ne pas disposer d'un projet de rapport au Roi ou tout au moins, d'une note explicative sur le projet d'arrêté royal dans son ensemble. En l'absence d'un tel document, elle en est réduite à faire des suppositions quant à la portée exacte de certaines dispositions en projet.
A cet égard, il convient de remarquer que la terminologie utilisée est parfois incorrecte ou prête à confusion. Le rapport au Roi susvisé aurait pu y remédier. Enfin, la Commission tient à faire remarquer que la concordance entre les versions française et néerlandaise laisse souvent à désirer.
CHAPITRE I^er. - Définitions
Le chapitre Ier du projet d'arrêté qui ne comporte qu'un seul article, définit une série de notions utilisées dans le projet d'arrêté. Les définitions reprises sous les points c) à f) inclus, ne sont toutefois pertinentes qu'à la lumière de la réglementation particulière en matière de traitements de données à caractère personnel à des fins historiques, statistiques ou scientifiques. La Commission plaide pour que ces définitions soient reprises dans le Chapitre II.
La Commission estime que la définition de « données identifiantes » est trop restreinte. Aux termes de la définition proposée, cette notion n'englobe en effet que les données à caractère personnel qui en soi identifient la personne concernée. La Commission est d'avis qu'il convient d'inclure également dans cette catégorie les données à caractère personnel qui en soi n'identifient pas la personne concernée, mais qui peuvent cependant être mises en relation par le responsable du traitement à des fins historiques, statistiques ou scientifiques, avec une personne identifiée ou identifiable par lui. Si cette définition devait être adaptée dans ce sens, le terme de « données identifiantes » ne serait toutefois plus correct. Il serait peut-être plus à propos de parler de « données à caractère personnel non codées ». Si cette suggestion devait être retenue, il conviendrait de remplacer le terme « données identifiantes » dans l'ensemble du projet d'arrêté royal.
La définition de « données codées » est, elle aussi, trop restreinte. Ici aussi, la définition ne peut pas s'en tenir aux données qui permettent en soi d'identifier la personne concernée. Cette définition doit également couvrir toutes les données qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que moyennant l'intervention du transmetteur de données ou d'une organisation intermédiaire.
La notion « d'organisation intermédiaire » est introduite pour désigner une instance qui est responsable de la conversion des données identifiantes (ou mieux de données à caractère personnel non codées) en données codées afin que le responsable du traitement de données à des fins historiques, statistiques ou scientifiques ne puisse plus identifier la personne concernée. Une organisation intermédiaire peut intervenir dans deux cas de figure : d'une part, en vue de coder des données à caractère personnel obtenues d'un transmetteur de données, d'autre part, en vue de rassembler et de coder des données à caractère personnel obtenues de plusieurs transmetteurs de données. Dans le premier cas de figure, la Commission estime qu'il vaudrait mieux que l'organisation intermédiaire agisse toujours en qualité de sous-traitant des données à caractère personnel pour le compte du transmetteur de données, de sorte qu'elle ne soit pas considérée comme un responsable d'un traitement de données à caractère personnel distinct, et soumis au contrôle du transmetteur de données, conformément à l'article 16 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (ci-après la loi du 8 décembre 1992), modifiée par la loi du 11 décembre 1998. Dans le deuxième cas de figure où les données à caractère personnel provenant de différents transmetteurs de données sont rassemblées avant d'être codées, la Commission estime qu'il existe une menace particulière pour la protection de la vie privée qui nécessite qu'une telle organisation intermédiaire offre des garanties appropriées. La Commission estime souhaitable de prévoir que de telles organisations intermédiaires doivent être autorisées à effectuer cette tâche, par ou en vertu d'une loi qui prévoit des garanties appropriées et sur avis de la Commission. Il serait également opportun de reprendre dans la définition l'exigence d'indépendance de l'organisation intermédiaire par rapport au destinataire des données, exigence qui est prévue à l'article 5, d) du projet . En outre, il serait souhaitable d'accorder au Roi, ou du moins à la Commission, la compétence de déterminer les critères sur la base desquels l'indépendance exigée peut être appréciée.
CHAPITRE II. - Traitement de données à caractère personnel à des fins historiques, statistiques ou scientifiques
Le Chapitre II porte exécution de la possibilité prévue dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après la directive) de déroger à un certain nombre de principes de cette dernière lorsque les données à caractère personnel sont traitées à des fins historiques, statistiques ou scientifiques, moyennant des garanties appropriées. Une telle possibilité de dérogation est prévue par la directive en ce qui concerne l'interdiction de traiter des données à caractère personnel pour une finalité incompatible avec celle pour laquelle ces données ont été collectées (article 6, 1, b), la limitation de la durée de conservation des données à caractère personnel en fonction des finalités de traitement (article 6, 1, e), l'information de la personne concernée lorsque les données ont été collectées auprès de tiers, lorsque l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés, ou lorsque le traitement est prévu par la loi (article 11, 2) et le droit d'accès, de rectification et d'effacement de la personne concernée (article 13, 2).
La Commission pense pouvoir déduire de la philosophie du projet d'arrêté royal que les dispositions du projet d'arrêté royal soumis pour avis ne s'appliquent pas à un traitement de données à caractère personnel à des fins historiques, statistiques ou scientifiques, qui cadre ou est compatible avec les finalités pour lesquelles les données à caractère personnel traitées ont été collectées, et pour lequel aucune dérogation aux principes pour lesquels la directive permet une dérogation, n'est nécessaire. Il serait souhaitable d'apporter quelques éclaircissements à ce propos dans le rapport au Roi. La Commission remarque toutefois que le projet d'arrêté royal vise essentiellement le cas de figure où les données à caractère personnel sont traitées à des fins historiques, statistiques ou scientifiques par un autre responsable du traitement que celui qui dispose initialement des données à caractère personnel. Elle se demande s'il ne convient pas également de définir des garanties appropriées, moyennant respect desquelles un responsable d'un traitement peut déroger à certains principes, s'il souhaite traiter des données à caractère personnel dont il dispose à des fins historiques, statistiques ou scientifiques d'une manière incompatible avec les finalités pour lesquelles les données à caractère personnel en question ont été collectées.
Section 1^re. - Principes généraux
Article 2
L'article 2 prévoit une dérogation à deux de ces principes lorsque les données sont traitées à des fins historiques, statistiques ou scientifiques, pour autant que ce traitement respecte les dispositions du chapitre II du projet d'arrêté. Ces principes concernent l'interdiction de traitement de données à caractère personnel pour une finalité incompatible avec celle pour laquelle elles ont été collectées et la limitation de la durée de conservation des données à caractère personnel en fonction des finalités du traitement. En outre, la base légale exigée par la directive pour le traitement de données sensibles, de données relatives à la santé ou de données judiciaires, à des fins historiques, statistiques ou scientifiques, est fournie par les dispositions du chapitre II. Enfin, cet article précise que les données à caractère personnel traitées à des fins historiques, statistiques ou scientifiques ne peuvent être conservées au-delà de la période nécessaire à la réalisation de la finalité. La Commission ne comprend pas pourquoi l'alinéa 4 ne fait soudain plus référence qu'à la seule « recherche scientifique », au lieu de la formulation utilisée dans le reste du projet, soit « à des fins historiques, statistiques ou scientifiques ». Pour le reste, la Commission n'a aucune remarque à formuler quant à cet article.
Article 3
L'article 3 établit une hiérarchie des types de données qui peuvent être traitées à des fins historiques, statistiques ou scientifiques. En principe, seules des données anonymes peuvent être utilisées pour ces finalités. Ce n'est que si ces finalités ne peuvent être réalisées par le traitement de données anonymes que le traitement de données codées est autorisé, moyennant le respect de certaines dispositions spécifiques prévues à la section 2. Le traitement de données identifiantes (ou plutôt de données à caractère personnel non codées) n'est autorisé que si les finalités ne peuvent être réalisées ni par le traitement de données anonymes, ni par le traitement de données codées, et ce, moyennant le respect de certaines dispositions spécifiques prévues à la section 3. La Commission peut souscrire à cette hiérarchie des types de données qui peuvent être traitées à des fins historiques, statistiques ou scientifiques. Elle souligne qu'il appartiendra ainsi au responsable du traitement de données à de telles fins d'apporter la preuve aux instances compétentes de l'impossibilité de réaliser les finalités par le biais du traitement de données anonymes et/ou de données codées. Elle estime en outre que le non-respect des dispositions de cet article pourra être considéré comme une violation de l'article 4, § 1^er de la loi du 8 décembre 1992, modifiée par la loi du 11 décembre 1998, violation qui peut être sanctionnée pénalement.
Article 4
L'article 4 interdit au responsable d'un traitement de données anonymes de procéder à des actions visant à la conversion de ces données en données identifiantes. La Commission propose que soient interdites dans cet article tant les actions visant à la conversion de données à caractère personnel anonymes que celles visant à la conversion de données à caractère personnel codées en données à caractère personnel non codées.
Section 2. - Traitements de données codées
Article 5
L'article 5 détermine les conditions auxquelles doit satisfaire un traitement de données codées à des fins historiques, statistiques ou scientifiques. A ce propos, la Commission tient tout d'abord à renvoyer aux remarques qu'elle a formulées ci-avant concernant la définition d'« organisation intermédiaire ». En outre, elle estime souhaitable qu'une obligation de sécurité particulière des clés de conversion des données codées en données identifiantes soit imposée au transmetteur de données ou à l'organisation intermédiaire. Cette sécurité est en effet cruciale afin d'éviter que les données codées ne soient reconverties en données à caractère personnel non codées.
Article 6
L'article 6 détermine les conditions particulières auxquelles doit satisfaire le traitement à des fins historiques, statistiques ou scientifiques de données codées trouvant leur origine dans des données sensibles, des données relatives à la santé ou des données judiciaires. L'une de ces conditions est l'avis positif sur les fins historiques, statistiques ou scientifiques du traitement, rendu par une commission éthique désignée par la Commission. La Commission estime qu'il n'appartient ni à elle, ni à une commission éthique désignée par elle, de rendre un avis, au nom de la protection de la vie privée, sur les fins historiques, statistiques ou scientifiques d'un traitement. Ceci pourrait en effet être interprété comme une possibilité de censure sur le plan du contenu. La Commission propose dès lors de supprimer l'article 6, alinéa 1^er, b). Si les auteurs du projet devaient estimer que les commissions éthiques ont un rôle à jouer en ce qui concerne certaines formes de recherches historiques, statistiques ou scientifiques envisagées, ceci devrait faire l'objet d'une réglementation distincte basée sur un débat de société en la matière. Si ces commissions éthiques devaient traiter, dans le cadre de leurs activités, des aspects relatifs à la vie privée, elles devraient tenir compte des principes fondamentaux en matière de protection de la vie privée, tels que formulés par la Commission de la protection de la vie privée.
La Commission estime en outre souhaitable que les avis rendus ou les autorisations accordées par le Comité de surveillance dans les cas visés sur la base des principes en matière de protection des données, lui soient transmis en vue de leur enregistrement dans le registre public.
Section 3. - Traitements de données identifiantes
Articles 8 et 9
Les articles 8 et 9 prévoient que le traitement de données identifiantes (ou plutôt de données à caractère personnel non codées) à des fins historiques, statistiques ou scientifiques doit en principe être précédé d'une information détaillée donnée par le responsable du traitement à la personne concernée et du consentement explicite de la personne concernée sur la base de l'information fournie. La Commission n'a aucune remarque à formuler sur ces articles qui confirment de manière explicite le droit à l'autodétermination d'une personne quant au traitement de données à caractère personnel la concernant.
Article 10
L'article 10 prévoit quatre situations dans lesquelles des données identifiantes (ou plutôt les données à caractère personnel non codées) peuvent être traitées à des fins historiques, statistiques ou scientifiques sans que le responsable du traitement doive informer la personne concernée et obtenir son consentement explicite. Il s'agit plus particulièrement du traitement de données publiques, du simple traitement de données en vue d'échantillonnages, du traitement de données à caractère personnel en application d'une autorisation du Comité de surveillance de la Banque-carrefour de la sécurité sociale et de traitements pour lesquels la Commission a accordé une dérogation. L'article 11 prévoit la procédure qui doit être suivie pour obtenir une telle dérogation. La Commission estime que la deuxième dérogation relative à l'échantillonnage n'est pas justifiée et doit donc être supprimée. En effet, dans le cas d'un échantillonnage, seules des données relatives aux personnes faisant partie de l'échantillon seront finalement nécessaires au responsable du traitement. La communication au responsable du traitement de données à caractère personnel non codées relatives à l'ensemble de la population ne semble dès lors pas justifiée pour le tirage d'un échantillon. Il est en effet possible de faire tirer l'échantillon par le transmetteur de données ou l'organisation intermédiaire sur la base des critères communiqués par le responsable du traitement. La Commission pourrait toutefois marquer son accord sur le fait qu'en cas d'utilisation de données à caractère personnel non codées pour un échantillon de personnes, les obligations prévues aux articles 8 et 9 en matière d'information et d'obtention du consentement explicite de la personne concernée ne doivent pas être respectées avant le tirage de l'échantillon, mais lors du premier contact entre le destinataire des données et les personnes concernées.
Article 11
La Commission ne peut souscrire à l'avant-dernier alinéa de l'article 11. Etant donné qu'une exemption du devoir d'information et de la nécessité d'obtenir le consentement explicite de la personne concernée constituent l'exception, l'absence de décision de la Commission dans les délais prévus ne peut en aucun cas être considérée comme une dérogation accordée par la Commission. C'est pourquoi la Commission propose de considérer l'absence de décision dans les délais prévus comme un refus de dérogation.
Section 4. - Publication des résultats du traitement
Articles 12 et 13
Les articles 12 et 13 prévoient une série de garanties en matière de protection de la vie privée de la personne concernée lors de la publication des résultats d'un traitement de données à des fins historiques, statistiques ou scientifiques. La Commission estime préférable d'utiliser à l'article 13 le terme « personnes » plutôt que le terme « citoyens ». Pour le reste, la Commission n'a aucune remarque à formuler quant à ces articles.
CHAPITRE III. - Conditions pour le traitement de données à caractère personnel visées aux articles 6 à 8 de la loi
L'article 6, § 2, a) de la loi dispose que le Roi peut déterminer dans quels cas l'interdiction de traiter des données relatives à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, ainsi que les données relatives à la vie sexuelle, ne peut être levée par consentement écrit de la personne concernée.
Article 14
L'article 14 de l'arrêté en projet prévoit un seul cas, à savoir le traitement par l'employeur présent ou potentiel, qui ne vise pas l'octroi d'un avantage.
La Commission est d'avis que cette disposition ne tient pas suffisamment compte du droit à l'autodétermination des personnes. L'interdiction absolue de traiter ces données, en dépit du consentement écrit de la personne concernée, semble être excessive. La Commission estime que les intérêts de personnes se trouvant sous l'autorité d'une autre personne peuvent également être protégés d'une autre manière. Il est notamment possible d'exiger dans ces cas un consentement écrit spécial, en informant préalablement la personne concernée des raisons pour lesquelles des données sensibles sont traitées. Selon la Commission, l'obligation d'un tel « informed consent » (consentement éclairé), permet une protection suffisante du droit de la protection de la vie privée de la personne concernée.
Aux termes de l'article 7, § 2, a) de la loi du 8 décembre 1992, telle que modifiée par la loi du 11 décembre 1998, le Roi peut déterminer dans quels cas l'interdiction de traiter des données relatives à la santé ne peut être levée par le consentement écrit de la personne concernée.
Le projet d'arrêté ne prévoit pas de tels cas. La Commission ne voit pas clairement pourquoi il en est ainsi. Il n'y a aucune raison justifiant l'absence, pour les données relatives à la santé, d'une réglementation similaire à celle prévue pour les données sensibles. Les données relatives à la santé ne sont pas moins sensibles que les données visées à l'article 6 de la loi du 8 décembre 1992, telle que modifiée par la loi du 11 décembre 1998. La Commission estime dès lors qu'il serait opportun, en ce qui concerne les données relatives à la santé, de reprendre dans le projet d'arrêté une disposition équivalente à celle de l'article 14 de l'arrêté.
Article 15
L'article 15 du projet d'arrêté fixe une série de conditions particulières pour le traitement de données à caractère personnel, visées aux articles 6 à 8 de la loi. Il est notamment prévu que :
(1) les personnes ayant accès aux données doivent être désignées individuellement par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une définition de leur autorisation précise par rapport au traitement des données visées;
(2) la liste des personnes ainsi désignées doit être tenue à la disposition de la Commission;
(3) les personnes désignées doivent être tenues par une obligation légale, statutaire, contractuelle ou déontologique au respect du caractère confidentiel des données visées;
(4) la base légale précise autorisant le traitement de données à caractère personnel visées aux articles 6 à 8 de la loi doit être mentionnée tant lors de l'information de la personne concernée que lors la déclaration.
En ce qui concerne la première exigence, la Commission fait remarquer qu'il importe surtout de savoir qui a accès aux données, ce qui n'implique pas que ces personnes doivent être désignées nommément. Etant donné qu'une désignation nominative peut comporter certains risques, par exemple, lorsque les personnes désignées changent de fonction, la Commission estime souhaitable d'obliger le responsable d'une part, à établir une liste des profils d'accès (par exemple en désignant les fonctions ayant accès aux données) et d'autre part, à établir une liste indiquant les personnes auxquelles ces profils sont attribués.
Les personnes désignées doivent être tenues par une obligation légale, statutaire, contractuelle ou déontologique au respect du caractère confidentiel des données. La Commission tient à souligner qu'une disposition contractuelle générale ne suffit pas; l'obligation de confidentialité créée par cette disposition contractuelle doit être équivalente à l'obligation de confidentialité légale ou statutaire. Par ailleurs, la Commission est d'avis que la mention de « l'obligation déontologique » n'est pas pertinente dans le contexte de l'article 15 du projet d'arrêté, et qu'elle peut par conséquent être supprimée.
La base légale précise autorisant le traitement de données à caractère personnel visées aux articles 6 à 8 de la loi doit être mentionnée tant lors de l'information de la personne concernée que lors de la déclaration. La Commission fait remarquer que l'obligation de mentionner la base légale « précise » peut comporter certains risques. Si cette disposition devait imposer une obligation trop lourde et s'il devait s'avérer impossible d'agir conformément à la loi, cette disposition ouvrirait la porte aux abus. La Commission estime qu'il convient d'éviter que la violation de cette disposition ne soit invoquée pour des raisons qui ne relèvent pas de la protection de la vie privée.
CHAPITRE IV. - Conditions pour l'exemption de l'obligation d'information visée à l'article 9, § 2, de la loi
Article 16
L'article 16 prévoit une exemption de l'obligation d'information dans le chef du responsable d'un traitement portant exclusivement sur des données codées à des fins historiques, statistiques ou scientifiques. La Commission remarque que l'exemption accordée sur la base de cette disposition ne s'applique pas aux organisations intermédiaires qui interviennent en vue de coder les données à caractère personnel concernées, ce qui risque d'avoir pour conséquence que peu d'instances seront disposées à agir en qualité d'organisation intermédiaire; le régime prévu pour le traitement de données codées à des fins historiques, statistiques ou scientifiques menace dès lors d'être vidé de sa substance. C'est pourquoi la Commission propose d'étendre dans ce cas l'exemption de l'obligation d'information aux organisations intermédiaires qui traitent des données à caractère personnel dans le seul but de les coder. La Commission fait remarquer que dans la version française est mentionnée l'obligation d'exemption à la place de « l'obligation d'information ».
Article 17
L'article 17 du projet d'arrêté s'applique uniquement aux traitements de données à des fins de dépistage et aux traitements prévus par ou en vertu d'une loi, d'un décret ou d'une ordonnance. Si l'information se révèle impossible ou implique des efforts disproportionnés, le responsable du traitement communique l'information lors de la première prise de contact avec la personne concernée. Lorsque les données à caractère personnel sont communiquées à un tiers, l'information est communiquée par ce tiers lors de la première prise de contact entre ce tiers et la personne concernée.
Le responsable du traitement qui invoque une exemption de l'obligation d'information, en fait une déclaration à la Commission sur le formulaire mis à disposition à cette fin par la Commission.
Le responsable du traitement ne doit pas indiquer les motifs pour lesquels l'information se révèle impossible ou implique des efforts disproportionnés. Peut-être cette impossibilité résultera-t-elle la plupart du temps du grand nombre de personnes à informer. La Commission considère toutefois qu'il serait opportun d'obliger le responsable du traitement à indiquer les motifs de cette impossibilité.
CHAPITRE V. - Exercice des droits visés aux articles 10 et 12 de la loi
Article 19
L'article 19 du projet d'arrêté détermine les conditions de l'exercice des droits visés aux articles 10 et 12 de la loi du 8 décembre 1992, tels que modifiés par la loi du 11 décembre 1998. Il y est entre autres spécifié que la demande doit être écrite et datée, qu'elle doit soit être remise sur place, soit être envoyée par la poste ou par un moyen de télécommunication. En outre, le nouvel article 10 de la loi du 8 décembre 1992, telle que modifiée par la loi du 11 décembre 1998, dispose que la demande doit être signée.
La Commission remarque que le fait d'exiger que la demande soit signée a pour conséquence que cette dernière ne pourra être envoyée par le biais d'un moyen de télécommunication aussi longtemps qu'il n'existera pas de signature électronique juridiquement valable.
La demande est adressée :
- soit au responsable du traitement ou à son représentant en Belgique ou à l'un de ses mandataires ou préposés;
- soit au sous-traitant du traitement des données à caractère personnel.
Vu la définition reprise à l'article 1^er, § 5 de la loi du 8 décembre 1992, la Commission est d'avis que, dans le texte néerlandais du projet, le terme « verwerker » doit être utilisé à la place de « bewerker » dans le deuxième point.
CHAPITRE VI. - Exercice du droit visé à l'article 13 de la loi
Articles 21 à 31
Les articles 21 à 31 décrivent la procédure pour l'exercice de ce droit. La Commission considère que ces dispositions mettent en place une procédure bien trop lourde, sans que la personne concernée puisse réellement en bénéficier. Jusqu'à présent, le droit d'accès indirect était réglé de manière assez souple. Cette procédure souple ne suscitait aucun problème. C'est pourquoi la Commission est d'avis qu'il est préférable de déterminer la procédure pour l'exercice du droit visé à l'article 13 de loi dans le règlement d'ordre intérieur de la Commission, plutôt que dans l'arrêté d'exécution. La Commission peut de la sorte adapter, si le besoin s'en fait sentir, la procédure en fonction de l'évolution des besoins. La Commission insiste dès lors pour que les articles 23 et 25 à 30 soient remplacés par une disposition prévoyant que la procédure est fixée dans le règlement d'ordre intérieur de la Commission, qui doit être publié au Moniteur belge. On évite ainsi que la Commission ne soit accablée par des tracasseries administratives. Par ailleurs, ceci ne porte en rien atteinte aux droits des personnes concernées.
Le commentaire article par article qui suit doit être lu à la lumière de cette remarque générale. Elle n'est en d'autres termes reprise que dans le cas où sa proposition ne serait pas suivie.
L'article 13 de la loi du 8 décembre 1992, telle que modifiée par la loi du 11 décembre 1998, renvoie tant à l'article 10 qu'à l'article 12 de la loi précitée. Ces articles concernent non seulement le droit d'accès et de rectification, mais également le droit de s'opposer au traitement des données. La formulation de l'article 21 du projet d'arrêté, à savoir la référence aux « demandes d'accès et de rectification », sans que mention soit faite du droit d'opposition, prête dès lors à confusion. C'est pourquoi la Commission propose de supprimer les mots « accès et rectification ».
Article 22
L'article 22 du projet d'arrêté distingue d'une part, la personne concernée et d'autre part, le représentant de personnes incapables. Cette distinction donne l'impression que seuls les incapables peuvent être représentés. Dans son avis n° 11/95, la Commission estimait que tout individu devait pouvoir être représenté par un avocat, par exemple. Selon la Commission, il n'est pas nécessaire de reprendre une disposition relative à la représentation. Par ailleurs, le projet d'arrêté ne contient pas davantage de règles quant à la représentation lors de l'exercice des droits visés aux articles 10 et 12 de la loi.
De surcroît, l'article 22 du projet d'arrêté dispose que la demande doit contenir tous les éléments utiles concernant les données contestées, tels que leur nature, les circonstances ou l'origine de leur prise de connaissance. La Commission considère que cette disposition impose une obligation d'information trop lourde à la charge de la personne concernée. Dès lors, elle propose de préciser que la demande ne doit contenir que les éléments pertinents dont dispose la personne concernée.
En outre, l'article 22 du projet dispose que la demande doit également contenir les rectifications éventuellement souhaitées, sans toutefois tenir compte de la possibilité pour le requérant de s'opposer au traitement des données, sur la base de l'article 12 de la loi. Par conséquent, il devrait être fait référence à cette possibilité dans l'article 22.
Article 23
L'article 23 du projet d'arrêté donne à la Commission la possibilité de demander des renseignements supplémentaires. Cette disposition est une réponse à la remarque formulée par la Commission dans son avis n° 11/95.
En cas de refus de la personne concernée de fournir les renseignements supplémentaires demandés et lorsque les éléments déjà fournis ne permettent pas d'identifier le traitement de données, la Commission peut déclarer la demande irrecevable. Le terme « refus » suggère que la personne concernée refuse explicitement de fournir les renseignements, et ne semble pas faire référence à la situation où la personne concernée néglige simplement de donner les renseignements demandés. Cependant, dans la pratique, il arrive souvent que la personne concernée ne se manifeste plus après que la Commission a demandé des renseignements supplémentaires. La Commission estime que les mots « en cas de refus » devraient être remplacés par les mots « Au cas où la personne concernée « néglige de ». Quant à la déclaration d'irrecevabilité de la demande, on peut renvoyer aux remarques de la Commission concernant l'article 25 du projet d'arrêté.
Article 24
L'article 24 dispose que la demande de la personne concernée n'est recevable que si elle est introduite à l'expiration d'un délai de six mois à compter de la date d'envoi de la précédente réponse de la Commission concernant les mêmes données et le même service. Il peut être dérogé à ce délai, à charge pour la personne concernée d'exposer dans sa demande les motifs justifiant cette dérogation. La Commission n'a pas de remarques à formuler concernant cet article.
Article 25
L'article 25 du projet d'arrêté dispose que la Commission statue sur la recevabilité de la demande dans les trente jours à compter de la réception de la demande. Cette disposition crée une procédure en deux phases. La Commission statue dans un premier temps sur la recevabilité de la demande. L'article 25 impose à la Commission de prendre une décision quant à la recevabilité pour chaque dossier. Dans une phase ultérieure seulement, la Commission procède au contrôle.
Un tel système peut susciter nombre de problèmes. Par exemple au cas où la Commission estime nécessaire de demander des renseignements supplémentaires. La plupart du temps, la Commission ne disposera pas des renseignements nécessaires dans les 30 jours, de sorte qu'il lui sera impossible de statuer sur la recevabilité de la demande, ou qu'elle devra déclarer la demande irrecevable.
La Commission considère que la procédure décrite dans le projet d'arrêté complique inutilement la procédure. Il ressort de la pratique que le besoin d'une telle procédure en deux phases, impliquant une décision formelle quant à la recevabilité de la demande, ne se fait pas sentir. Comme mentionné ci-avant, la Commission souhaite que la procédure soit fixée dans son règlement d'ordre intérieur, et ce, afin d'éviter des tracasseries administratives inutiles lors du traitement des demandes.
L'article 25 dispose par ailleurs qu'il peut être dérogé à ce délai de 30 jours à charge pour la personne concernée d'exposer dans sa demande les motifs justifiant cette dérogation. Ce que l'on entend par là n'est pas clair. Cet article ne dispose pas que la Commission statue au plus tôt 30 jours après la réception de la demande, mais qu'elle statue dans les 30 jours. La Commission peut par conséquent également statuer plus tôt. Il ne saurait être question d'une dérogation au délai que si le requérant demandait que la Commission ne statue qu'après le délai de 30 jours. Peut-être les rédacteurs du projet d'arrêté n'avaient-ils pas envisagé cette dernière hypothèse. Dans sa formulation actuelle, l'article 25 ne semble dès lors pas être pertinente.
Article 26
Aux termes de l'article 26 du projet d'arrêté, la Commission ne peut décider de l'irrecevabilité de la demande qu'une fois la personne concernée ou son conseil entendu. Cette disposition oblige par conséquent la Commission à entendre la personne concernée. La Commission estime qu'il suffit de disposer que la personne concernée peut demander à être entendue par la Commission.
Article 27
Aux termes de l'article 27 du projet d'arrêté, le contrôle doit être effectué par un magistrat, qui peut se faire assister par un membre de la Commission ou du secrétariat de la Commission. La Commission estime qu'il n'est pas nécessaire que les contrôles soient toujours effectués par un magistrat. D'autres membres de la Commission ont déjà effectué des contrôles par le passé, sans que cela pose problème. De plus, ceci alourdirait la tâche des magistrats membres de la Commission.
Article 28
Aux termes de l'article 28 du projet d'arrêté, le magistrat désigné par la Commission effectue toute vérification qu'il estime utile, à l'occasion du contrôle du service concerné. Il peut faire rectifier les données ou insérer des données divergentes par rapport aux données traitées par le service concerné. De nouveau, il n'est pas tenu compte de la possibilité pour le requérant de s'opposer au traitement des données sur la base de l'article 12 de la loi. Dès lors, l'article 28 devrait également faire référence à cette possibilité.
Article 29
L'article 29 du projet d'arrêté dispose que dans les quinze jours du contrôle, le service concerné informe la Commission par lettre recommandée des suites qui ont été réservées. Selon la Commission, ceci ne doit pas nécessairement se faire par lettre recommandée. Elle est d'avis qu'une simple communication écrite du service concerné à la Commission suffit.
Par ailleurs, la Commission fait remarquer que, dans nombre de cas, le délai de 15 jours sera trop court, notamment au cas où le service concerné doit lui-même encore procéder à certaines vérifications.
Article 30
L'article 30 du projet d'arrêté stipule que la Commission doit répondre dans un délai maximum de six mois à compter du prononcé de la décision quant à la recevabilité. Il peut être dérogé à ce délai, à charge pour la personne concernée de démontrer les motifs justifiant cette dérogation. Quant à cette dernière phrase, la Commission renvoie à sa remarque faite à ce propos concernant l'article 25, alinéa 2.
Selon la Commission, l'alinéa 2 de cette disposition est superflue. Si un dossier semble vraiment d'une urgence particulière, la Commission peut statuer dans un délai bref. En outre, il ressort de la pratique que le besoin d'une telle procédure d'urgence ne se fait pas sentir.
Article 31
L'article 31 du projet d'arrêté est pris en exécution de l'article 13, alinéa 4 de la loi du 8 décembre 1992, telle que modifiée par la loi du 11 décembre 1998. En application de l'article 13, alinéa 3 de la loi du 8 décembre 1992, telle que modifiée par la loi du 11 décembre 1998, la Commission communique uniquement qu'il a été procédé aux vérifications nécessaires. Il ne peut y être dérogé que lorsque la demande de la personne concernée porte sur un traitement de données à caractère personnel géré par des services de police en vue de contrôles d'identité (alinéa 4).
De nouveau, aucune mention n'est faite de la possibilité d'opposition, telle que reprise à l'article 12 de la loi.
Quant à l'alinéa 3 de l'article 31, la Commission fait remarquer que dans certains cas, les services de police acceptent la rectification ou la suppression de données, bien que l'on ne puisse pas leur reprocher d'avoir traité ces données abusivement.
En outre, la Commission fait remarquer que dans certains cas, les services de polices peuvent accepter que soient communiquées à la personne concernée d'autres données que celles reprises à l'article 31 du projet d'arrêté. C'est pourquoi la Commission propose que l'article 31 stipule uniquement que la Commission détermine, en concertation avec le service concerné, quelles sont les informations qui sont communiquées à la personne concernée.
CHAPITRE VII. - Déclaration de traitements automatisés de données à caractère personnel
Remarque préalable
La Commission estime que l'arrêté royal devrait explicitement mentionner que les déclarations faites auprès de la Commission avant la modification de l'article 17 de la loi du 8 décembre 1992 par la loi du 11 décembre 1998 restent valables. Ceci étant précisé, toute modification d'une déclaration existante devrait se faire sur la base de l'article 17, tel que modifié par la loi du 11 décembre 1998. En application de l'article 17, § 5, les informations relatives à la nature et à la structure des déclarations sont définies par la Commission. Sur cette base, la Commission entend établir de nouveaux modèles de déclaration qui seront mis à la disposition du public.
Section 1^re. - Contributions à verser lors de la déclaration
Articles 32 à 34
Les articles 32-34 remplacent l'arrêté royal n° 12 du 7 mars 1995 modifié par l'arrêté royal n° 12bis du 12 mars 1996. Cet arrêté royal modifié avait institué un régime de contribution à verser lors de la déclaration qui prévoyait trois situations :
Lorsque la déclaration est présentée sous forme libre, un montant de 10 000 F;
Pour une ou plusieurs déclarations, faites par le même responsable du traitement et au même moment,
présentées sur le formulaire établi par la Commission :
- 5 000 F, montant réduit de la moitié si les traitements concernent au plus 100 personnes;
et faisant usage du formulaire établi par la Commission sur support magnétique :
- 1 000 F, montant réduit de la moitié si les traitements concernent au plus 100 personnes.
La Commission avait fait remarquer dans son avis n° 32/95 que ce régime ne pouvait être mis en conformité que moyennant une certaine souplesse, avec les dispositions légales alors en vigueur, qui prévoyaient l'application des critères d'importance et de nature du traitement lors de la détermination du montant de la contribution.
La nouvelle loi ne reprend plus ces dispositions restrictives. Elle dispose, d'une part, que « La Commission définit la nature et la structure de la déclaration » (art. 17, § 5, in fine) et d'autre part, que « Le Roi règle le montant de cette contribution, qui ne peut excéder la somme de dix mille francs » (art. 17, § 9).
On peut donc en conclure que la Commission n'est plus tenue d'accepter les déclarations sous forme libre; un montant n'a dès lors plus été fixé pour de telles déclarations. Le régime proposé déroge également sur un autre point de la réglementation en vigueur : la réduction de moitié de la contribution pour les « petits traitements » est supprimée, suppression que la Commission déplore, même si elle doit reconnaître que cette réduction était peu utilisée.
Les articles 32-34 utilisent le terme de « traitement » pour désigner l'ensemble des traitements destinés à réaliser une ou plusieurs finalités liées, et ce, conformément à l'ancienne signification de ce terme. Afin de prévenir tout malentendu, ne devrait-on pas plutôt utiliser la formulation suivante : « la déclaration telle que visée à l'article 17 de la loi ».
La formulation des articles 32 et 33 est extrêmement ambiguë : « lorsque la déclaration du traitement de données à caractère personnel est présentée sur le formulaire en papier mis à disposition à cette fin par la Commission, le montant de la contribution à verser par le responsable du traitement à la Commission est fixé à cinq mille francs, sans tenir compte du nombre de traitements déclarés par le responsable à la même occasion », ce qui peut signifier littéralement que le nombre de déclarations simultanées n'a aucune importance :
le montant dû pour une déclaration d'un traitement est toujours de 5 000 ou de 1 000 F selon le cas.
L'ancienne formulation, qui est encore utilisée à l'article 34 du projet d'arrêté, était plus claire à cet égard, du moins si l'intention est en effet de maintenir une contribution forfaitaire pour les déclarations introduites en même temps.
Les montants ne sont exprimés qu'en francs belges. Il conviendrait à tout le moins de libeller également ces montants en euro. Il serait encore plus opportun de fixer les montants de base en euro (125 euro et 25 euro), et ce, afin de ne pas devoir utiliser pendant longtemps des montants peu maniables (5 000 BF = 123,95 euro et 1 000 BF = 24,79 euro).
A l'heure actuelle, il est parfois très difficile, voire impossible d'associer des paiements à certaines déclarations. Afin d'éviter de telles difficultés à l'avenir, la Commission propose que l'arrêté royal prescrive que le paiement doit obligatoirement se faire sur la base de documents établis par la Commission.
Dans un même ordre d'idées, il convient de remplacer dans la version néerlandaise de l'article 34 « bij de aangifte » par « in geval van aangifte ».
Section 2. - Catégories de traitements exemptées de l'obligation de déclaration
Articles 35 à 46
Les articles 35-46 remplacent l'arrêté royal n°13 du 12 mars 1996. Cet arrêté royal exemptait de l'obligation de déclaration un certain nombre catégories de traitements, en grande partie par anticipation sur la transposition de la directive européenne. Le texte des nouveaux articles est dès lors quasiment similaire à celui des anciennes dispositions. L'exemption de déclaration prévue à l'ancien article 12 pour les traitements ayant pour seul objet la tenue d'un registre public n'est plus reprise dans les nouvelles dispositions. En outre, la condition selon laquelle les données ne peuvent être conservées plus longtemps que nécessaire a été supprimée dans un certain nombre de cas (articles 35, 37, 38), alors qu'elle a été maintenue dans d'autres cas.
Dans son avis n°33/95, la Commission avait déjà souligné que l'exemption était accordée dans certains cas sans qu'il soit satisfait à tous les critères prévus par la directive européenne (II, A, point 4). La loi actuelle a repris ces dispositions de la directive, il ne peut donc plus y avoir aucun doute quant au fait que les exemptions doivent satisfaire à ces critères.
L'article 17, § 8, de la loi du 8 décembre 1992 prévoit l'exemption de l'obligation de déclaration pour les traitements qui ne présentent manifestement aucun risque d'atteinte aux droits et libertés des personnes concernées, avec précision des éléments suivants :
a) les finalités du traitement;
b) les catégories de données traitées;
c) les catégories de personnes concernées;
d) les catégories de destinataires;
e) la durée de conservation des données.
Les exemptions prévues aux articles 35 à 43 du projet d'arrêté doivent donner ces précisions sans plus.
Le tableau suivant indique dans quelle mesure ces précisions ont été prévues pour les différentes exemptions de l'obligation de déclaration :
Cet aperçu montre que les rédacteurs du projet éprouvent quelques difficultés à formuler les précisions exigées. Non seulement certaines cellules sont vides, mais certaines précisions ne présentent, en réalité, aucune plus-value par rapport aux dispositions générales de la loi. Ainsi, la conservation des données plus longtemps que nécessaire n'est jamais autorisée et la règle générale veut que les données ne peuvent être enregistrées dans un traitement plus longtemps que nécessaire à la finalité. Certaines précisions sont toutefois limitatives, telles la disposition visant à interdire la communication des données à des tiers, ou l'interdiction de reprendre dans un traitement des données relatives à la santé, des données sensibles et des données judiciaires. Mais même dans ces dispositions « plus strictes », est encore souvent prévue une qualification qui vide la limitation de sa substance.
Il est difficile de parvenir à une autre conclusion que celle qu'à l'heure actuelle ces articles ne sont pas en conformité avec la loi.
Outre cette série d'exemptions, deux autres types de traitements sont exemptés de l'obligation de déclaration. Il s'agit des traitements qui sont régis par d'autres dispositions de telle manière qu'ils ne présentent manifestement aucun risque d'atteinte aux droits et libertés des personnes concernées. L'article 44 prévoit l'exemption des registres de la population tenus par les communes et du Registre national, et l'article 46 prévoit l'exemption des traitements effectués par des institutions de sécurité sociale pour lesquels il existe déjà une obligation de déclaration propre dans le cadre de la loi sur la Banque-carrefour. L'article 45 formule ce type d'exemption en termes généraux : les traitements mis en oeuvre par des autorités administratives qui sont soumis à une législation spécifique prévoyant un cadre de protection propre, sont exemptés de l'obligation de déclaration. La Commission n'a aucune objection à formuler quant à ces articles.
Article 46
En ce qui concerne l'article 46, alinéa 2 du projet d'arrêté, la Commission constate que l'on déroge, sans motivation aucune, à l'actuel article 14, alinéa 2 de l'arrêté royal n° 13, tel que modifié par l'arrêté royal du 18 avril 1996. Cette dernière disposition prévoit que le relevé visé à l'article 46, alinéa 1^er, 6°, de la loi du 15 janvier 1990 sur la Banque-carrefour, est tenu à la disposition de la Commission, conformément aux modalités définies en concertation par la Commission et la Banque-carrefour. La Commission propose de maintenir cette disposition, étant donné que celle-ci lui fournit plus d'informations que la réglementation proposée. Le relevé susmentionné décrit en effet de manière beaucoup plus concrète que la déclaration qui est demandée dans le cadre de l'article 17 de la loi, les données à caractère personnel disponibles auprès des différents types d'institutions de sécurité sociale, les personnes qui peuvent en obtenir communication et à quelles conditions, ainsi que les contrôles effectués dans ce cadre.
CHAPITRE VIII. - Registre public des traitements automatisés de données à caractère personnel
Articles 47 à 55
Les articles 47 à 55 régissent la consultation du registre public constitué par la Commission sur la base des déclarations de traitements, en exécution de l'article 18 de la loi du 8 décembre 1992.
Trois formes de consultation sont prévues :
- la consultation directe à distance par le biais de l'Internet;
- la consultation directe sur place dans les locaux de la Commission à l'aide de l'équipement informatique mis à disposition par la Commission;
- la consultation indirecte par demande d'extrait adressée à la Commission, demande qui peut être verbale ou écrite.
En ce qui concerne l'accès direct, ces dispositions précisent que la Commission doit mettre à disposition une interface et des écrans d'explication adéquats afin que la consultation se fasse de la manière la plus aisée possible.
En ce qui concerne la consultation indirecte, ces dispositions prévoient que la requête doit contenir au moins le numéro d'identification ou la dénomination du traitement ou le nom du responsable du traitement. S'il apparaît que la consultation concerne plus de dix traitements ou plusieurs responsables de traitements, la Commission peut délivrer un extrait simplifié.
Dans un avis précédent (n° 36/97) relatif à un projet d'arrêté royal qui traitait de la même matière, la Commission a déjà formulé une série de considérations qui restent en grande partie d'application. Un accès sans limite au registre par le biais de l'Internet sans aucune précision de la finalité de la consultation rendrait la Commission impuissante face à des usages abusifs, tels que le téléchargement massif de traitements à des fins commerciales. La spécification de la finalité permettrait à la Commission de prendre des mesures techniques lors du développement d'un logiciel de consultation, et ce, afin de prévenir tout abus. La Commission avait également suggéré de prévoir, outre les consultations spécifiques, un aperçu statistique qui pourrait être consulté. La réglementation proposée n'impose pas à la Commission d'établir un tel aperçu, sans toutefois exclure la possibilité pour la Commission d'enrichir son site Web de telles informations, ainsi que d'autres documents, tels les avis émis. De surcroît, une série de remarques avaient également été formulées à l'époque quant à ce projet de texte. Celles-ci sont reprises dans le présent avis, pour autant qu'elles soient applicables, dans l'examen article par article.
Article 47
La version néerlandaise de l'article 47 fait défaut. La finalité de la consultation pourrait figurer dans cet article et être libellée comme suit : « staat ter inzage van het publiek, voor de uitoefening van de rechten en plichten van betrokkenen zoals omschreven in de Wet, » (« est accessible au public pour l'exercice des droits et des obligations des intéressés tels que définis dans la loi »)
Point b) : « dans les locaux de la Commission ». Ces locaux, situés à l'étage d'un bâtiment dont l'accès est strictement contrôlé, accès qui n'est pas géré par la Commission, ne sont pas vraiment adaptés à la réalisation d'une accessibilité optimale. La formulation « dans les locaux indiqués à cet effet par la Commission » permettrait de trouver une solution adaptée.
Article 48
Alinéa 2 :
- cette disposition est inutilement restrictive et il serait opportun de la remplacer par une disposition générale à l'article 17 qui aurait la portée suivante : « La Commission peut mettre à la disposition du public d'autres possibilités de consultation ».
Article 49
Le terme « équipement avec écran » devrait être remplacé par « équipement informatique adapté muni d'un logiciel adéquat ». L'article doit également être adapté en fonction d'une éventuelle modification de l'article 47 b).
Article 50
L'article 50 énumère les clés d'accès qui doivent à tout le moins être prévues pour la consultation. La notion de clé d'accès est quelque peu démodée face aux fonctions de recherche modernes, en principe, on peut effectuer une recherche à partir de n'importe quel terme ou combinaison de termes. En outre, certains champs mentionnés ne sont pas pertinents si l'on se place du point de vue de la personne qui effectue la consultation, alors que d'autres champs plus pertinents font défaut. Ainsi, l'obligation d'indiquer sur les documents utilisés lors d'un traitement les numéros d'identification est supprimée et on ne peut dès lors plus partir du principe que la personne qui consulte le registre connaît ce numéro. De plus, la pertinence du numéro de téléphone du responsable du traitement en tant que terme de recherche n'apparaît pas clairement. D'autres éléments d'information qui figurent dans le registre pourraient en revanche être utiles, tels que la date de la déclaration (afin de limiter la fonction de recherche à une période déterminée) ou les catégories de destinataires. Il semble dès lors qu'il conviendrait de supprimer cet article et de partir du principe que les dispositions de l'article 51 incitent à suffisance la Commission à développer une fonction de recherche complète et efficace.
Article 51
Le terme « écrans d'explication » est peut usité, le terme « écrans d'aide » est plus courant.
Article 52
A l'alinéa 2, point 2, le terme « houder van de verwerkingen » (« maître des traitements ») devrait être remplacé par « verantwoordelijke van de verwerking » (« responsable du traitement »).
A l'alinéa 2, point 3, « het adres » (« l'adresse ») devrait être remplacée par « het binnenlands adres » (« l'adresse en Belgique »). Si cette limitation n'était pas souhaitable, il conviendrait de supprimer ce point.
Article 53
Cet article donne à la Commission la possibilité de délivrer un extrait sous forme abrégée lorsque la fonction de recherche aboutit à plus de 10 traitements effectués par différents responsables de traitements. Même dans ce cas, ces extraits peuvent être longs (par exemple la recherche « tous les traitements qui concernent le traitement d'un patient »). Il serait dès lors utile de prévoir la possibilité pour la Commission de demander au requérant des spécifications supplémentaires, par exemple si la limite des 100 traitements est dépassée, avant d'imprimer l'extrait.
Il s'avère par ailleurs opportun de prévoir une méthode de travail uniforme pour la consultation directe, et ce, en vue de limiter les possibilités de consultation abusive.
Article 55
Bien que souhaitable, la possibilité d'accepter que les personnes, qui ne le souhaitent pas, ne déclinent pas leur identité lorsqu'elles se rendent dans les locaux de la Commission, paraît dans les circonstances actuelles difficilement réalisable.
CHAPITRE IX. - Transfert de données à caractère personnel vers des pays non-membres de la Communauté européenne
Article 56
Les articles 56 et 57 portent exécution de l'article 22, § 2 de la loi du 8 décembre 1992, telle que modifiée par la loi du 11 décembre 1998. L'article 22 affirme que, même en l'absence d'un niveau de protection adéquat offert par le pays destinataire et en dehors des exceptions prévues par l'article 22, un flux transfrontière peut être opéré, à condition que le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée, en particulier par l'utilisation de clauses contractuelles appropriées.
L'article 56 fixe le contenu minimal de ces clauses contractuelles. Ainsi, le contrat doit :
- fixer de manière précise les finalités du traitement effectué par le destinataire;
- interdire la communication à des tiers, sauf exception légale mentionnée dans le contrat;
- obliger le destinataire à rectifier, éliminer ou ajouter des données à caractère personnel à la demande du responsable;
- prévoir le droit d'accès et les modalités de celui-ci;
- adresser une copie du contrat à la Commission.
Le respect de ce contenu minimal conduit automatiquement à l'autorisation du flux de données.
La Commission note que la Belgique opte pour un système de fixation des garanties suffisantes par arrêté royal et écarte, à la fois, le système plus souple suivant lequel un certain nombre de critères sont énoncés, l'arrêté royal renvoyant alors, le cas échéant, à un devoir d'appréciation de la Commission, et le système plus administratif de la fixation des garanties suffisantes par l'Autorité de contrôle. La Commission constate que le système prévu par l'arrêté royal est uniforme en ne faisant aucune distinction en fonction de la nature du flux ou des données exportées.
La Commission estime que le contenu minimal fixé est trop limité, si l'on considère que le système prévu par cet article est un système doublement subsidiaire tant au regard du principe de la protection adéquate qu'au regard des exceptions de plein droit prévues par l'article.
En d'autres termes, les garanties suffisantes, et plus particulièrement contractuelles, devraient offrir une protection adéquate, ce qui n'apparaît pas à la lecture des conditions prévues par l'article 56.
Ainsi, la Commission relève que l'arrêté royal ne conçoit les garanties suffisantes que comme résultant de clauses contractuelles, alors que l'article 22, § 2, ne mentionne les clauses contractuelles qu'à titre d'exemple et que d'autres mesures organisationnelles et techniques pourraient dès lors être exigées.
La Commission fait ensuite remarquer premièrement, que le contenu des clauses prévues n'aborde pas la question des sanctions en cas de non-respect des obligations et deuxièmement, qu'une information de la personne concernée sur le contenu des clauses et le droit de cette dernière de s'en prévaloir auraient sans doute été utiles.
Le libellé de l'article 56 devrait être amélioré et classifié. Ainsi, la première disposition contractuelle envisagée devrait être formulée comme suit : « les finalités légitimes et déterminées pour lesquelles »; la 3ème disposition devrait disposer que « l'obligation de rectifier, » doit exister « lorsque le responsable du traitement qui a communiqué les données ou la personne concernée le demande »; la 4^e disposition devrait être libellée comme suit : « le droit d'obtenir, moyennant une redevance raisonnable ou gratuitement, de manière aisée et rapide, communication des données et les modalités concrètes selon lesquelles ce droit peut être exercé ». Au point 5 des dispositions contractuelles, la Commission note que la communication du « contrat » à la Commission ne vise sans doute que les dispositions relatives à la protection des données et non l'ensemble du contrat. Elle s'inquiète par ailleurs des mesures qu'elle doit prendre ou des sanctions qu'elle peut réclamer si, nonobstant la mention contractuelle, aucune copie n'est transmise à la Commission.
La Commission remarque que la réglementation envisagée peut difficilement être appréciée du seul point de vue du droit belge, dans la mesure où toute décision nationale, laxiste ou au contraire sévère, aura des conséquences sur les flux transfrontières intra-européens préalables à l'exportation des données. Concrètement cela signifie que si la Belgique adopte une position sévère en matière de garanties suffisantes, un certain nombre d'exportations de données auront lieu, non pas au départ de la Belgique, mais au départ d'un autre pays européen. Il est donc indispensable que l'Etat belge informe, comme prévu à l'article 26, § 3 de la directive, la Commission et les autres Etats membres de son système d'autorisation. La Commission souhaite que, si en vertu de cette procédure d'information et de consultation, à laquelle elle peut par ailleurs être associée, des modifications sont apportées au présent texte, ces modifications lui soient soumises pour avis.
Enfin, l'article 26, § 4 de la directive, qui prévoit la possibilité pour la Commission, en vertu de la procédure fixée par l'article 31 de la directive, de définir des clauses contractuelles types présentant des garanties suffisantes, soulève la question de la révision fréquente, le cas échéant, de la disposition de l'arrêté royal examiné.
Article 57
La Commission rejette en tout cas la mise en place d'une responsabilité objective par laquelle le responsable du traitement qui transmet des données à caractère personnel depuis la Belgique pourrait quasi automatiquement être tenu responsable de tout usage abusif des données transmises par les destinataires.
La Commission se demande en outre si l'article 15bis de la loi du 8 décembre 1992, tel qu'inséré par la loi du 11 décembre 1998, ne règle pas de manière efficace la responsabilité du responsable du traitement.
Le secrétaire,
(signé) M.-H. BOULANGER.
Le président,
(signé) P. THOMAS.

AVIS N° 25/1999 DU 23 JUILLET 1999 DE LA COMMISSION DE LA PROTECTION DE LA VIE PRIVEE
OBJET : Projet d'arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel
La Commission de la protection de la vie privée,
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, en particulier l'article 29;
Vu la demande d'avis du Ministre de la Justice du 24 juin 1999;
Vu le rapport de Mme Vanlerberghe et MM. Robben, Van Hove et Poullet,
Emet, le 23 juillet 1999, l'avis suivant :
Remarques préalables
Par lettre du Ministre de la Justice du 24 juin 1999, la Commission a pris connaissance du rapport au Roi du projet d'arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, ainsi que d'une version de ce projet qui, après avoir été adapté sur la base de l'avis n° 008/1999 du 8 mars 1999 de la Commission et approuvé en Conseil des ministres, a été soumis pour avis au Conseil d'Etat. Dans sa lettre, le Ministre demande à la Commission d'émettre un avis complémentaire sur ces textes. La Commission constate de manière générale qu'il a été tenu compte en grande partie des remarques émises dans son avis n° 008/1999 susmentionné et se limite dès lors ci-dessous, d'une part, à rappeler une série de remarques de l'avis de la Commission qui n'ont pas été suivies sans pour autant qu'une justification convaincante n'ait été formulée et, d'autre part, à formuler un certain nombre de remarques relatives au rapport au Roi, d'autre part.
CHAPITRE I^er. - Définitions
Article 1^er
La Commission estime que la nouvelle définition de la notion « d'organisation intermédiaire » n'offre pas encore suffisamment de garanties. Cette notion est introduite pour désigner une instance qui assure la conversion des données non codées en données codées afin que le responsable du traitement de données à des fins historiques, statistiques ou scientifiques ne puisse plus identifier les personnes concernées. Une organisation intermédiaire peut intervenir dans deux cas de figure : d'une part, en vue de coder des données à caractère personnel qui proviennent d'un seul transmetteur de données et d'autre part, en vue de rassembler et de coder des données à caractère personnel qui proviennent de plusieurs transmetteurs de données. Dans son avis n° 008/1999, la Commission avait proposé que l'organisation intermédiaire agisse dans le premier cas de figure en qualité de sous-traitant des données à caractère personnel pour le compte du transmetteur de données de sorte qu'elle ne soit pas considérée comme un responsable d'un traitement de données à caractère personnel distinct et soit soumise au contrôle du transmetteur de données, conformément à l'article 16, modifié par la loi du 11 décembre 1998, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Cette remarque a été rencontrée par la révision de la définition « d'organisation intermédiaire ».
Dans le deuxième cas de figure où les données à caractère personnel provenant de différents transmetteurs de données sont rassemblées avant d'être codées, la Commission continue de croire qu'il existe une menace particulière pour la protection de la vie privée, étant donné que des données à caractère personnel qui ne l'étaient pas avant sont désormais couplées. Dans ce cas, une telle organisation intermédiaire doit offrir un certain nombre de garanties appropriées et il serait préférable qu'elle soit habilitée à effectuer cette tâche par ou en vertu d'une loi et après avis de la Commission. Dans ce cas, cette organisation intermédiaire a une responsabilité propre et ne peut, dès lors, être considérée comme un sous-traitant agissant pour le compte des différents transmetteurs de données. Si elle devait toutefois agir en qualité de sous-traitant, les transmetteurs de données se partageraient d'ailleurs la responsabilité, situation peu transparente pour les personnes dont les données sont traitées.
CHAPITRE II. - Traitement de données à caractère personnel à des fins historiques, statistiques ou scientifiques
Section 1^re. - Principes généraux
Article 2
En ce qui concerne le passage du rapport au Roi relatif à cet article, la Commission souhaite tout d'abord faire remarquer que la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ne prévoit pas l'obligation, mais la possibilité de déroger à un certain nombre de principes de cette dernière lorsque des données à caractère personnel sont traitées à des fins historiques, statistiques ou scientifiques. En outre, la Commission insiste sur le fait que la notion de « fins historiques, statistiques ou scientifiques » devra être interprétée, en cas de doute, à la lumière de sens donné à ces notions dans la directive susmentionnée.
Article 3
En ce qui concerne cet article, la Commission a souligné dans son avis n° 008/1999 qu'il appartient au responsable du traitement de données à des fins historiques, statistiques ou scientifiques d'apporter la preuve aux instances compétentes de l'impossibilité de réaliser les finalités par le biais du traitement de données anonymes et/ou de données codées. La Commission estime en outre que le non respect des dispositions de cet article pourra être considéré comme une violation de l'article 4, § 1^er de la loi du 8 décembre 1992 telle que modifiée par la loi du 11 décembre 1998, violation qui peut être sanctionnée pénalement. Il serait utile que le rapport prenne position quant à cette vision.
Section 2. - Traitement de données codées
Article 5
En ce qui concerne les précisions apportées dans le rapport au Roi, la Commission souligne que le codage des données se fera certes la plupart du temps, mais pas nécessairement, de manière automatisée. Le codage de données sur papier est également possible.
Article 6
La Commission constate que l'on peut déduire en réalité de l'article 6 une exemption implicite de l'obligation de déclaration visée à l'article 17 de la loi du 8 décembre 1992 telle que modifiée par la loi du 11 décembre 1998, pour les données à caractère personnel codées ne trouvant pas leur origine dans des données à caractère personnel visées aux articles 6 à 8 inclus de la loi du 8 décembre 1992, telle que modifiée par la loi du 11 décembre 1998. Plus de transparence pourrait peut-être être offerte en reprenant explicitement cette exemption dans la liste des exemptions figurant aux articles 29 à 40 inclus du projet d'arrêté royal.
Section 3. - Traitement de données à caractère personnel non codées
Article 9
Dans son avis n° 008/1999, la Commission avait proposé de supprimer la dérogation concernant l'échantillonnage prévue au point b). La Commission continue de croire que dans ce cas, il n'est pas justifié d'exempter le responsable du traitement de données non codées à des fins historiques, statistiques ou scientifiques, de l'obligation d'informer et d'obtenir le consentement explicite de la personne concernée. Bien entendu, certes cette obligation n'est applicable qu'à l'égard des personnes composant l'échantillon, et non à l'égard de l'ensemble de la population dont est tiré l'échantillon. Aucune donnée non codée relative aux personnes qui font partie de la population, mais qui ne sont pas reprises dans l'échantillon, ne doit en effet être communiquée au responsable du traitement de données à des fins historiques, statistiques ou scientifiques. La Commission estime qu'il serait préférable que l'échantillon soit toujours tiré par le transmetteur des données ou par une organisation intermédiaire conformément aux critères communiqués par le responsable du traitement. La Commission pourrait toutefois marquer son accord sur le fait qu'en cas d'utilisation de données à caractère personnel non codées relatives à un échantillon de personnes, les obligations prévues aux articles 7 et 8 en matière d'information et d'obtention du consentement explicite de la personne concernée ne doivent pas être respectées préalablement au tirage de l'échantillon, mais lors du premier contact entre le destinataire des données et les personnes concernées.
La Commission fait en outre remarquer que cet article n'a pas été adapté en fonction de la renumérotation des articles du projet d'arrêté.
Enfin, dans la version française du point d), il convient de remplacer le mot « exception » par le mot « exemption ».
Article 10
Ici aussi, il convient de remplacer le terme « exception » par « exemption » dans le préambule de la version française.
CHAPITRE III. - Conditions pour le traitement de données à caractère personnel visées aux articles 6 à 8 de la loi
Article 12
La Commission constate que les remarques qu'elle a formulées dans son avis n° 008/1999 ont en grande partie été suivies.
Outre une liste de catégories de personnes désignées qui ont accès aux données à caractère personnel, une liste de personnes appartenant à ces catégories devrait, bien évidemment, être également disponible.
Article 13
La version néerlandaise de cette disposition prévoit à juste titre que le responsable du traitement doit communiquer préalablement à la personne concernée les raisons pour lesquelles ces données sont traitées. Cet aspect fait défaut dans la version française. La Commission insiste pour que le texte français soit modifié en ce sens.
Article 14
Dans son avis n° 008/1999, la Commission faisait remarquer que l'article 14 du premier projet d'arrêté ne tenait pas suffisamment compte, à son estime, du droit à l'autodétermination des personnes. L'article 14 a été maintenu dans le second projet d'arrêté. La Commission réitère dès lors sa remarque selon laquelle l'interdiction absolue de traiter des données relatives à l'origine raciale, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale ainsi que des données à caractère personnel relatives à la vie sexuelle, semble être excessive et propose en conséquence de supprimer l'article 14 du projet d'arrêté.
En outre, il n'apparaît toujours pas clairement pourquoi une disposition équivalente en ce qui concerne les données relatives à la santé n'a pas été reprise dans le projet d'arrêté (cf. avis n° 008/1999).
CHAPITRE IV. - Conditions pour l'exemption de l'obligation d'information visée à l'article 9, § 2 de la loi
Article 15
Dans la mesure où la proposition faite par la Commission de considérer une organisation intermédiaire qui rassemble et code des données obtenues de plusieurs transmetteurs de données comme un responsable de traitement distinct (cfr. supra remarques relatives à l'article 1^er) serait suivie, la Commission réitère sa proposition d'étendre l'exemption de l'obligation d'information dans le cas de figure prévu dans cet article aux organisations intermédiaires qui traitent des données à caractère personnel dans le seul but de les coder. Si ce n'était pas le cas, le danger est grand que peu d'instances soient disposées à agir en qualité d'organisation intermédiaire, le régime prévu pour le traitement de données codées à des fins historiques, statistiques ou scientifiques risque dès lors d'être vidé de sa substance.
Article 16
L'article 16 dispose que le responsable du traitement qui, hormis le cas de l'article 15 de l'arrêté, invoque l'exemption de l'obligation d'information visée à l'article 9, § 2 de la loi, parce que cette information se révèle impossible ou implique des efforts disproportionnés, communique l'information visée à l'article 9, § 2 de la loi lors de la première prise de contact avec la personne concernée.
Cette disposition ne peut s'appliquer qu'au cas où des données à caractère personnel non codées sont traitées à des fins statistiques ou de recherche historique ou scientifique, ou de dépistage, et lorsque l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés.
Les exemples cités dans le rapport au Roi en ce qui concerne le marketing direct n'entrent pas dans le contexte des exemptions prévues sur la base de l'article 9, § 2, alinéa 2 de la loi et donnent l'impression que le Roi entend donner une portée plus générale à l'article 16, ce qui ne peut, bien entendu, être le cas. En ce qui concerne le marketing direct ou le courtage d'adresses, aucune exemption à l'obligation d'information ne peut être réglée par arrêté royal.
Le deuxième alinéa de l'article 16 dispose que lorsque le responsable du traitement visé à l'alinéa 1^er communique les données à caractère personnel à un tiers, l'information visée à l'article 9, § 2 de la loi est communiquée par ce tiers lors de la première prise de contact avec la personne concernée. L'article 9, § 2 de la loi n'offre aucune base légale à cette disposition. Le tiers doit donc en principe informer la personne concernée au moment de l'enregistrement des données, à moins qu'il ne puisse invoquer lui-même l'exemption prévue à l'article 9, § 2 de la loi.
Article 17
L'article 17 dispose que le responsable du traitement qui ne peut informer la personne concernée parce que cette information se révèle impossible ou implique des efforts disproportionnés est tenu d'en faire une déclaration auprès de la Commission.
Le rapport au Roi précise que cette disposition vise le responsable de l'enregistrement de données à caractère personnel et qui ne peut jamais en informer la personne concernée.
La Commission souligne que le libellé de l'article 17 ne semble pas se limiter à ce cas particulier où la personne concernée ne peut jamais être informée. Cette disposition semble plutôt avoir une portée générale et paraît donc également viser le cas de figure de l'article 16, à savoir lorsqu'il n'est procédé à l'information que lors de la première prise de contact entre le responsable du traitement et la personne concernée.
Articles 18-21
La Commission n'a aucune remarque à formuler quant à ces dispositions.
Article 22
L'article 22 dispose que la procédure relative aux demandes introduites en vertu de l'article 13 de la loi est déterminée par la Commission dans un règlement d'ordre intérieur qui doit être approuvé par le Ministre et publié au Moniteur belge.
Etant donné que la Commission doit exercer ses tâches de manière indépendante, il semble que le Ministre ne soit pas l'instance adéquate pour approuver le règlement d'ordre intérieur.
Cependant, il serait sans doute souhaitable de reprendre les éléments essentiels de la procédure dans l'arrêté royal, tels le fait que la personne concernée peut s'adresser par écrit à la Commission en vue d'exercer le droit visé à l'article 13 de la loi; le fait que la demande doit contenir tous les éléments pertinents dont dispose la personne concernée; le fait que la demande de la personne concernée n'est recevable que si elle est introduite à l'expiration d'un délai de six mois à compter de la date d'envoi de la précédente réponse de la Commission concernant les mêmes données et le même service; le fait que la personne concernée peut demander à être entendue par la Commission et le fait que le contrôle est effectué par le Président de la Commission ou par un ou plusieurs membres que celui-ci désigne.
Article 23
La Commission n'a aucune remarque à formuler quant à cette disposition.
Article 24
Dans la version modifiée du projet, les mots « ou incorrectement » ont été insérés à l'article 24, 3°.
Toutefois, cet ajout ne résout en rien le problème soulevé par la Commission dans son avis n° 08/1999. Il arrive régulièrement que le service de police concerné accepte de supprimer une donnée bien précise sans pour autant que cette donnée ait été traitée à tort ou incorrectement. Il peut par exemple s'agir de la donnée « mesures à prendre » qui est enregistrée et qui va de pair avec le traitement de données à caractère personnel.
La Commission réitère par conséquent sa proposition de se contenter de stipuler à l'article 24 que les informations que la Commission, en concertation avec le service concerné, détermine comme pouvant être communiquées, sont transmises à la personne concernée.
CHAPITRE VII. - Déclaration de traitements automatisés de données à caractère personnel
Section 1^re. - Contributions à verser à la Commission lors de la déclaration
Articles 25-28
Les articles 25 28 (32-34 du premier projet) remplacent l'arrêté royal n° 12 du 7 mars 1995, tel que modifié par l'arrêté royal n° 12bis du 12 mars 1996. La Commission a formulé dans son premier avis une série de remarques d'ordre technique quant aux dispositions proposées : imprécision dans les termes et dénominations. Le nouveau texte tient compte de ces remarques.
Section 2. - Catégories de traitements exemptées de l'obligation de déclaration
Articles 29-40
Les articles 29-40 (35-46 dans la première version) remplacent l'arrêté royal n° 13 du 12 mars 1996. Cet arrêté royal exemptait de l'obligation de déclaration un certain nombre de catégories de traitements, en anticipant en grande partie la transposition de la directive européenne 95/46/CE. Dans son premier avis, la Commission a montré à l'aide d'un tableau récapitulatif qu'il n'était pas satisfait à tous les critères exigés par la directive pour l'octroi de ces exemptions. L'article 17, § 8 prévoit l'exemption de l'obligation de déclaration pour les traitements qui ne présentent manifestement aucun risque d'atteinte aux droits et libertés des personnes concernées, avec précision des éléments suivants :
a) les finalités du traitement;
b) les catégories de données traitées;
c) les catégories de personnes concernées;
d) les catégories de destinataires;
e) la durée de conservation des données.
Nous reprenons le tableau qui figurait dans le premier avis; les précisions apportées pour les différentes exemptions de l'obligation de déclaration figurent en italique.
Pour la consultation du tableau, voir image
Cet aperçu montre que les auteurs du projet ont à présent pris la peine de compléter presque toutes les cellules. Le nombre de « précisions » qui ne présentent en réalité aucune plus-value par rapport aux dispositions générales de la loi s'est fortement accru. Le rapport au Roi fait remarquer à ce propos que la rédaction de telles précisions « exigerait plusieurs mois d'étude et que l'on peut se poser la question de savoir si, en l'occurrence, un tel investissement serait justifié ». La Commission estime que cela vaudrait réellement la peine de consacrer quelques mois d'étude à cette matière et d'attendre la fin de ce travail d'étude pour cette partie de l'arrêté d'exécution.
CHAPITRE VIII. - Registre public des traitements automatisés de données à caractère personnel
Articles 41-48
Les articles 41 à 48 (47 à 55 dans le premier projet) règlent la consultation du registre public constitué par la Commission sur la base des déclarations de traitements, en exécution de l'article 18 de la loi.
Dans son premier avis, la Commission avait formulé une série de remarques qui s'inspiraient principalement de considérations d'ordre pratique. Il a été tenu compte de toutes les remarques à l'exception de deux d'entre elles. Dans la version française de l'article 44 (ancien article 51), figure encore le terme peu usité « d'écran d'explication », peut-être s'agit-il d'un oubli, et l'article 45 dispose toujours qu'en cas de requête écrite envoyée par la voie postale, l'adresse à laquelle l'extrait doit être expédié doit être mentionnée. L'auteur du projet n'a probablement pas saisi la portée de la proposition de supprimer cette disposition. Cette proposition de suppression n'était en aucun cas une marque de bravade de la Commission sous entendant qu'elle s'estimait à même d'envoyer ces extraits sans disposer d'adresse. Cette proposition soulignait plutôt le fait que le bon sens veut qu'une personne sollicitant l'envoi d'un document communique son adresse et qu'il n'est pas nécessaire d'en faire une obligation légale certainement pas dans sa forme actuelle, à savoir un des trois éléments d'information dont un au moins doit figurer dans la demande. Ceci pourrait placer la Commission dans une situation absurde, dans le cas de demandes valables auxquelles elle est donc tenue de satisfaire, et ce, sans disposer des données lui permettant de le faire.
CHAPITRE IX. - Transfert de données à caractère personnel vers des pays non membres de la Communauté européenne
Pour comprendre la portée des dispositions du projet d'arrêté royal dont la teneur a été profondément modifiée par rapport au texte précédemment soumis à la Commission, cette dernière disposait du tableau comparatif intitulé : Avis de la Commission/adaptation du projet d'arrêté. Ce tableau tente à démontrer que les rédacteurs ont largement tenté de suivre l'avis de la Commission.
La Commission tient cependant à rappeler quelques observations et soulève quelques interrogations relatives au nouveau texte.
Ainsi, à propos du choix du système des fixations des « garanties contractuelles dites suffisantes » exigées par l'article 22, § 2 de la loi, la Commission notait que la fixation par arrêté royal de ces garanties était uniforme et ne faisait aucune distinction en fonction de la nature du flux ou des données exportées.
Article 49
Le projet d'arrêt royal introduit en son article 49 une exception à propos des données à caractère personnel visées aux articles 6 à 8 de la loi. Le libellé de cette exception est peu clair. « Le respect des dispositions du présent chapitre ne peut cependant pas légitimer l'exportation des données à caractère personnel visées aux articles 6 à 8 de la loi ». S'agit-il d'interdire de manière absolue tout transfert de données sensibles ou s'agit-il d'interdire pour l'exportation de telles données, le recours à l'utilisation du système des « garanties contractuelles dites suffisantes »?
En toute hypothèse, la Commission souligne la nécessité de prévoir des interdictions ou restrictions à l'utilisation des systèmes des « garanties contractuelles dites suffisantes » à propos d'autres hypothèses que celles des données dites sensibles. Tels, sans être exhaustif, le cas des transferts massifs de données relatifs à des catégories de population, ainsi la question de l'utilisation de données à des fins d'exploitation commerciale ou dans le cadre de données relatives à des employés. Bref, il n'est pas évident, selon la Commission, que le système d'arrêté royal fixant uniformément le niveau de garanties contractuelles soit le système à retenir. Sous réserve de l'article 51, alinéa 4, la Commission souhaiterait que le niveau des garanties contractuelles puisse être adapté en fonction des spécificités de certains secteurs, de certaines données ou de certaines finalités.
Article 50
Le libellé du nouvel article 50 qui remplace l'ancien article 56 ajoute des conditions supplémentaires en ce qui concerne le contenu minimal des clauses, comme le réclamait la Commission. Si la Commission approuve ces ajouts et certaines précisions, elle tient cependant à souligner que rien n'est prévu quant aux sanctions en cas de non respect de clauses et au droit de la personne concernée de s'en prévaloir. Tout manque est d'autant plus grave que le nouveau texte supprime toute responsabilité de l'exportateur (cf. infra) et que dès lors, en cas de violation de ses droits, la personne concernée risque de se trouver dépourvue de la possibilité d'exercer un quelconque recours.
Article 51
Le nouvel article 51 introduit le devoir du responsable du traitement d'informer (préalablement à l'exportation des données) la personne concernée de certaines caractéristiques du traitement. Cette information supplémentaire trouve sa base légale dans l'article 9, § 1^er et 2, e).
A propos de ces informations, on note qu'il aurait été utile de communiquer une information non seulement quant au destinataire mais également quant à son adresse géographique possible. A propos du second point, on suppose que l'information de la personne concernée porte sur les catégories de données et non sur les données.
Quant à l'exemption prévue à l'article 51, alinéa 2 pour les responsables déjà dispensés par l'article 9, § 2, alinéa 2 de la loi, elle est logique mais crée des problèmes d'interprétation à propos des larges exceptions prévues par l'article 9, § 2 de la loi. Suffit-il que l'enregistrement ou la communication par l'institution qui exporte soient effectués en vue de l'application d'une disposition prévue par ou en vertu d'une loi, d'un décret ou d'une ordonnance pour que l'exportation soit possible sans information de la personne concernée ? Ainsi, si une entreprise enregistre des données relatives à ses travailleurs en vertu d'une disposition légale, peut-elle la communiquer pour autant à l'étranger par exemple au siège central d'une multinationale, gérant les données de l'ensemble du personnel ?
L'article 51, alinéa 3 oblige le responsable à communiquer à la Commission l'information visée à l'alinéa 4 c'est-à-dire l'information communiquée aux personnes concernées, et ce, sur un formulaire établi par la Commission. Ce devoir de communication à la Commission ne porte pas sur les clauses contractuelles, objet de l'article 50. Cette restriction étonne la Commission d'autant que l'ancien article 56 dernier alinéa le prévoyait. C'est en effet au vu des clauses contractuelles et pas uniquement au vu des informations données aux personnes concernées que la Commission pourra analyser l'adéquation de la protection envisagée.
L'alinéa 4 confère précisément à la Commission le droit de s'opposer au transfert envisagé ou de le soumettre à des conditions supplémentaires. La disposition a de quoi surprendre. La Commission ne peut se prononcer qu'au vu des informations communiquées dont on a rappelé qu'elles étaient totalement fragmentaires.
Ensuite, la disposition remet en cause la philosophie du projet d'arrêté royal sans que les auteurs du projet ne s'en expliquent.
La Commission souhaite dès lors que les auteurs du projet clarifient le système mis en place par le Chapitre IX. L'arrêté royal fixe un certain nombre de conditions. La portée de ce régime est peu claire. Faut-il considérer que le respect de ces conditions crée automatiquement un droit du responsable à exporter les données ou faut-il considérer, comme pourrait le laisser croire la nouvelle formulation de l'article 50 alinéa 1^er, (« Les données ne peuvent être communiquées qu'à . ») que le respect des conditions n'exclut pas un examen au cas par cas par la Commission? Cette dernière pourrait procéder à un examen du caractère adéquat de ces conditions, au vu des particularités du transfert et aurait la possibilité, nonobstant la présence des clauses minimales et de l'information qui doit être fournie à la personne concernée, de bloquer le transfert ou de le soumettre à des conditions supplémentaires.
Enfin, les auteurs du projet ont supprimé l'ancien article 57 à la suite de l'avis de la Commission. Cette interprétation de l'avis de la Commission peut surprendre. Si la Commission s'opposait à la mise en place d'un système de responsabilité objective de l'exportateur pour tout acte dommageable survenu à la suite de cette exportation, c'est le caractère absolu et sans nuances de la disposition que la Commission critiquait. Elle ne peut cependant, au nom des intérêts qu'elle défend admettre que l'exportateur ne puisse être automatiquement responsable s'il exporte des données au mépris du respect des conditions posées par l'arrêté royal ou si à la suite de l'exportation, ayant constaté ou du constater le non respect des clauses contractuelles, il n'a pas mis en oeuvre les sanctions prévues ou mieux bloqué les flux.
Si la première hypothèse apparaît couverte par le système de responsabilité mis en place par l'article 25 de la loi, il n'est pas évident que la seconde hypothèse le soit également. La Commission souhaite dès lors que les auteurs du projet clarifient ce point.
Le secrétaire.
(signé) M.-H. BOULANGER.
Le président.
(signé) P. THOMAS.

AVIS DU CONSEIL D'ETAT
Le Conseil d'Etat, section de législation, deuxième chambre, saisi par le Ministre de la Justice, le 20 avril 1999, d'une demande d'avis, dans un délai ne dépassant pas un mois, sur un projet d'arrêté royal "portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel", a donné le 21 juin 1999 l'avis suivant :
Observations générales
Dans son avis n° 8/1999 du 8 mars 1999, la Commission de la protection de la vie privée a regretté
« ... de ne pas disposer d'un projet de rapport au Roi ou tout au moins, d'une note explicative sur le projet d'arrêté royal dans son ensemble. En l'absence d'un tel document, elle en est réduite à faire des suppositions quant à la portée exacte de certaines dispositions en projet. ».
L'article 29, § 2, alinéa 2, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel dispose :
« Sauf si la loi en dispose autrement, la Commission émet ses avis dans un délai de soixante jours après que toutes les données nécessaires à cet effet lui auront été communiquées. ».
Le rapport au Roi constitue sans conteste une "donnée nécessaire" au sens de la disposition précitée.
Dans une matière aussi importante et délicate, il est indispensable que la Commission de la protection de la vie privée puisse donner un avis en pleine connaissance de cause.
En conséquence, le Conseil d'Etat estime que la consultation de la Commission de la protection de la vie privée n'a pas été régulière. Cette irrégularité peut être sanctionnée par l'annulation de l'arrêté par la section d'administration du Conseil d'Etat ou par l'application de l'article 159 de la Constitution coordonnée. Une telle insécurité juridique n'est pas admissible dans une matière revêtant pareille importance.
La formalité de la consultation de la Commission de la protection de la vie privée n'ayant pas été correctement accomplie, le projet n'est pas en état d'être examiné par le Conseil d'Etat.
Le texte devra à nouveau être soumis au Conseil d'Etat après un nouvel avis de la Commission de la protection de la vie privée.
Il devra, en outre, être tenu compte des observations qui suivent :
1. Le Gouvernement devra veiller à l'accomplissement régulier de la formalité substantielle prescrite par diverses dispositions de la loi du 8 décembre 1992 précitée, à savoir la délibération en Conseil des ministres du projet d'arrêté. En effet, celle-ci doit porter sur un texte devenu définitif, après que les adaptations suggérées par la Commission de la protection de la vie privée ou par le Conseil d'Etat auront été apportées au dispositif.
2. Le législateur a fait de l'avis de la Commission de la protection de la vie privée, une pièce maîtresse de la procédure d'élaboration des arrêtés d'exécution de la loi, prévoyant à l'article 29, § 5, alinéa 3, de la loi que :
« ... dans les cas où l'avis de la Commission est requis, l'avis doit être publié au Moniteur belge en même temps que l'acte réglementaire auquel il se rapporte".
Il importe que l'avis et la suite qui lui a été réservée soient facilement compréhensibles, même en l'absence de publicité du projet d'arrêté originel sur lequel a porté la consultation de la Commission. Le rapport au Roi joint au projet d'arrêté poursuit notamment ce but. Mais il ne l'atteint que partiellement.
Le rapport au Roi devra être complété en conséquence, de façon à faire clairement apparaître dans quelle mesure il a été tenu compte des avis de la Commission de la protection de la vie privée ou, le cas échéant, pourquoi cela n'a pas été fait.
3. Comme la Commission de la protection de la vie privée l'a déjà fait remarquer, la concordance entre les versions française et néerlandaise laisse souvent à désirer.
Outre ce premier défaut auquel il faut évidemment porter remède, il est aussi indispensable que le texte français soit corrigé pour le rendre conforme au vocabulaire et aux règles grammaticales de la langue française.
La chambre était composée de :
MM. :
Y. Kreins, conseiller d'Etat, président;
P. Lienardy, P. Quertainmont, conseillers d'Etat;
P. Gothot, J. van Compernolle, assesseurs de la section de législation,
Mme M. Vigneron, greffier assumé.
Le rapport a été présenté par M. J. Regnier, premier auditeur chef de section. La note du Bureau de coordination a été rédigée et exposée par M. P. Brouwers, référendaire.
La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de M. P. Lienardy.
Le greffier,
M. Vigneron.
Le président,
Y. Kreins.

AVIS 30.495/2
DE LA SECTION DE LEGISLATION DU CONSEIL D'ETAT
Le Conseil d'Etat, section de législation, deuxième chambre, saisi par le Ministre de la Justice, le 25 juillet 2000, d'une demande d'avis, dans un délai ne dépassant pas un mois, sur un projet d'arrêté royal « portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel », a donné le 8 novembre 2000 l'avis suivant :
Observation liminaire
Le législateur a fait de l'avis de la Commission de la protection de la vie privée, une pièce maîtresse de la procédure d'élaboration des arrêtés d'exécution de la loi, prévoyant à l'article 29, § 5, alinéa 3, de la loi que « dans les cas où l'avis de la Commission est requis, l'avis doit être publié au Moniteur belge en même temps que l'acte réglementaire auquel il se rapporte ».
Il importe que les avis 08/99, du 8 mars 1999, et 25/99, du 23 juin 1999, et la suite qui leur a été réservée, soient facilement compréhensibles, en dépit du fait que les projets de texte soumis à la consultation de la Commission ne sont pas publiés.
Le Rapport au Roi joint au projet d'arrêté poursuit notamment ce but. Mais il ne l'atteint que partiellement. Pour la bonne compréhension des avis de la Commission, de celui du Conseil d'Etat, et du Rapport au Roi, il serait souhaitable que ce dernier soit complété par un tableau de concordance des numéros des articles de l'arrêté, dans ses versions successives (projets soumis à la Commission, puis au Conseil d'Etat, texte de l'arrêté).
En tout cas, une numérotation continue des dispositions de l'arrêté doit être rétablie, par la suppression des numéros bis, ter et quater.
Observations générales
I. Le projet d'arrêté doit être apprécié à la lumière de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette directive prévoit, notamment en son article 11, l'obligation d'informer la personne concernée par des données collectées auprès de tiers, à moins que si
« en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l'enregistrement ou la communication des données. Dans ces cas, les Etats membres prévoient des garanties appropriées. ».
L'article 8 de la directive dispose en son paragraphe 1^er que :
« Les Etats membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle. »
Suit une série de dérogations énumérées aux paragraphes 2 et 3.
Le paragraphe 4 ajoute ce qui suit.
« 4. Sous réserve de garanties appropriées, les Etats membres peuvent prévoir, pour un motif d'intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l'autorité de contrôle. ».
Le considérant 34 de la directive donne de cette faculté de dérogation le commentaire suivant.
« ... les Etats membres doivent également être autorisés à déroger à l'interdiction de traiter des catégories de données sensibles lorsqu'un motif d'intérêt public important le justifie dans des domaines tels que la santé publique et la protection sociale - particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance maladie - et tels que la recherche scientifique et les statistiques publiques; qu'il leur incombe, toutefois, de prévoir les garanties appropriées et spécifiques aux fins de protéger les droits fondamentaux et la vie privée des personnes. »
Enfin, l'article 20, §§ 1^er et 2, de la directive consacre le principe de contrôles préalables en ces termes.
« 1. Les Etats membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre.
2. De tels examens préalables sont effectués par l'autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui, en cas de doute, doit consulter l'autorité de contrôle. »
II. Il appartient aux auteurs du projet d'examiner l'utilité de mettre en oeuvre, dès à présent, l'article 17bis de la loi, en ce qui concerne les données visées aux articles 6 à 8 de la loi, en complétant le chapitre III du projet par l'ajout d'une disposition supplémentaire.
Les traitements dont ces données sensibles peuvent faire l'objet - spécialement les données visées aux articles 6 et 8 - étant de ceux qui présentent des risques accrus au regard des droits et libertés des personnes concernées, des garanties particulières devraient être, en effet, organisées à bref délai, comme, par exemple, l'obligation de désigner un préposé à la protection des données, pour les raisons qu'a déjà indiquées le Conseil d'Etat dans son avis sur la loi du 11 décembre 1998 (1).
Observations particulières
Préambule
Alinéa 1^er
Il y a lieu de mentionner les articles de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel qui constituent le fondement légal de l'arrêté en projet. Il s'agit notamment des articles 4, § 1^er, 2° et 5°, 6, § 2, alinéa 1^er, a) et g), 6, § 4, 7, § 2, a) et k), 7, § 3, 8, § 2, e), 8, § 4, 9, § 1^er, e), 9, § 2, alinéa 1^er, e), 9, § 2, alinéa 3, 10, § 1^er, alinéas 2 et 4, 12, § 2, 13, alinéas 2 et 4, 17, §§ 8 et 9, et 18, alinéa 3.
Alinéa 2 nouveau
Entre les alinéas 1^er et 2, il convient d'insérer un alinéa visant l'article 52 de la loi du 11 décembre 1998 transposant la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. En effet, cette disposition constitue le fondement légal de l'article 64 de l'arrêté en projet.
Alinéa 3
A l'alinéa 3, devenant l'alinéa 4, il faut écrire :
« Vu l'avis de l'inspecteur des Finances donné le 9 avril 1999; ».
Alinéa 4 nouveau
Entre les alinéas 3 et 4 en projet, il faut insérer un alinéa rédigé comme suit :
« Vu l'accord du ministre du Budget donné le 28 mai 1999; ».
Alinéa 4 (devenant les alinéas 6 et 7)
Etant donné que l'avis de la section de législation du Conseil d'Etat est demandé dans le délai ne dépassant pas un mois, en application de l'article 84, alinéa 1^er, 1°, des lois coordonnées sur le Conseil d'Etat, il y a lieu de remplacer l'alinéa 4 en projet par les deux alinéas suivants :
« Vu la délibération du Conseil des ministres sur la demande d'avis à donner par le Conseil d'Etat dans un délai ne dépassant pas un mois;
Vu l'avis 30.495/2 du Conseil d'Etat, donné le 8 novembre 2000, en application de l'article 84, alinéa 1^er, 1°, des lois coordonnées sur le Conseil d'Etat; ».
Article 1^er
Les définitions reproduites aux c), d) et e) doivent figurer dans les dispositions qui les concernent et seront suivies des mots : « ... ci-après dénommée(s) ... ».
Articles 2 à 20
En droit interne, l'article 9, § 2, alinéa 2, a, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, a prévu que le responsable du traitement est dispensé d'informer la personne concernée
« lorsque, en particulier pour un traitement aux fins de statistiques ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés. ».
L'alinéa 3 du même article dispose que :
« Le Roi détermine par arrêté délibéré en Conseil des Ministres, après avis de la Commission de la protection de la vie privée, les conditions pour l'application de l'alinéa précédent. »
C'est à la lumière de cette disposition et des principes de droit européen prérappelés, que doit s'apprécier le régime juridique des traitements de données à caractère personnel à des fins historiques, statistiques ou scientifiques, instauré par l'arrêté en projet.
Comme l'a déjà relevé la doctrine,
« le prescrit légal (...) permettra sans doute de récupérer une partie des exceptions prévues par les arrêtés royaux n°s 9 et 15 (2). L'avantage est ici de ne pas prévoir une longue liste de cas répondant a priori à ce(s) critère(s) (d'impossibilité ou de disproportion). Le risque cependant est de voir les responsables s'en prévaloir automatiquement. Les contours de l'impossibilité d'information et du caractère disproportionné des efforts demandés par l'obligation d'information au responsable du traitement ne sont en effet pas clairs. » (3).
Il convient de vérifier si les dispositions sont conformes aux principes énoncés dans l'article 9, § 2, alinéas 2 et 3, de la loi du 8 décembre 1992 précitée.
Article 13
En vertu de cette disposition, la communication des données n'est permise que « sur présentation de l'accusé de réception délivré par la Commission sur la base de l'article 17, § 2, de la loi ».
La garantie découlant de l'obligation de déclaration préalable du traitement de données ne sera réelle que pour autant que cette déclaration soit complète, ce que vérifie la Commission, en vertu de l'article 17, § 2, alinéa 2, de la loi.
L'article 13 du projet sera donc complété comme suit :
« (...) que sur présentation de l'accusé de réception d'une déclaration complète, délivré par la Commission conformément à l'article 17, § 2, de la loi. »
Article 14
Il résulte des articles 14 et 14ter de l'arrêté en projet qu'il est permis de coder et de traiter des données visées aux articles 6 à 8 de la loi du 8 décembre 1992 non seulement à des fins scientifiques, mais aussi à des fins historiques et statistiques. Cependant, les articles 6, § 2, alinéa 1^er, g), 7, § 2, k) et 8, § 2, e), de la loi précitée n'autorisent le traitement des données visées par ces articles qu'à des fins de recherche scientifique. En conséquence, dans les articles 14 et 14ter de l'arrêté en projet, il ne peut être fait référence qu'aux fins de recherche scientifique.
Cette restriction du texte sera sans conséquence en ce qui concerne les finalités historiques et statistiques lorsqu'elles répondent à un critère scientifique.
Article 14bis
La loi du 8 décembre 1992 ne donne aucun pouvoir d'exemption à la Commission, ni n'habilite le Roi à lui conférer un tel pouvoir (4).
A l'alinéa 1^er de l'article, le projet ne peut donc se référer à une décision d'exemption prise par la Commission, mais tout au plus à une procédure de recommandation, telle qu'elle sera explicitée sous l'article 14ter.
Si les auteurs du projet ou le législateur considèrent qu'un pouvoir de décision doit revenir à la Commission en cette matière, la loi devrait être au préalable modifiée. Elle devrait, notamment, définir si la Commission constitue une juridiction ou une autorité administrative indépendante.
Le droit communautaire voudrait, semble-t-il, que la législation nationale soit complétée par des normes de droit matériel, ou qu'un véritable pouvoir de décision revienne à l'autorité de contrôle.
On écrirait donc :
« (...) disproportionnés et qu'ils se sont conformés (5) à la procédure déterminée dans l'article 14ter. ».
Article 14ter
Compte tenu du caractère sensible des données visées aux articles 6 à 8 de la loi, il importe que les responsables des traitements de ces données ne puissent se dispenser de l'obligation d'informer les personnes concernées, sans respecter certaines mesures de sauvegarde.
L'intervention de la Commission, par la voie des recommandations prévues à l'article 30 de la loi, pourrait constituer pareille mesure.
La publicité de ces recommandations serait assurée conformément à l'article 32, § 2, alinéas 2 et 3, de la loi. Elle pourrait être complétée par une publication des recommandations dans le registre public des traitements, pour éviter qu'un laps de temps trop long s'écoule entre la saisine de la Commission et la divulgation de ses recommandations.
L'article 14ter se lirait, dès lors, comme suit :
« Le responsable du traitement de données à caractère personnel collectées pour des fins déterminées, explicites et légitimes ou l'organisation intermédiaire qui souhaitent coder des données visées aux articles 6 à 8 de la loi, sans en informer au préalable la personne concernée, complètent la déclaration requise par l'article 17 de la loi, par les informations suivantes :
1° ... à 6° ...
Sur le vu de cette déclaration, la Commission adresse au responsable du traitement ou à l'organisation intermédiaire, une recommandation, qui peut énoncer des garanties supplémentaires à respecter lors du traitement ultérieur des données à caractère personnel codées, visées aux article 6 à 8 de la loi.
Le déclarant ne peut procéder au codage avant que la Commission ne lui ait adressé sa recommandation.
La Commission publie sa recommandation dans le registre visé à l'article 18 de la loi. »
Article 14quater
Il y a lieu de remplacer le texte par la disposition suivante :
« Le responsable du traitement communique à la Commission toute modification des informations visées à l'article 14ter; il n'applique les modifications qu'après que la Commission lui a adressé une nouvelle recommandation. »
Article 16
Il serait préférable pour que la preuve du consentement soit acquise de prévoir que la personne concernée doit « consentir par écrit » au lieu de « consentir expressément ».
Article 17
Par identité de motifs avec ce qui a été exposé sous les articles 14bis et 14ter, on écrira :
(...)
(...)
« b) (...) et qu'il s'est conformé à la procédure déterminée dans l'article 18. »
Article 18
Pour les raisons rappelées plus haut, on écrira :
« (...) ou scientifiques qui souhaite traiter ces données sans en informer au préalable la personne concernée et sans le consentement de celle-ci, complète la déclaration requise par l'article 17 de la loi, par les informations suivantes :
1° ... à 6° ...
Sur le vu de cette déclaration, la Commission adresse au responsable du traitement, une recommandation, qui peut énoncer des garanties supplémentaires à respecter lors du traitement ultérieur des données à caractère personnel.
Le responsable du traitement ne peut y procéder avant que la Commission ne lui ait communiqué sa recommandation, que la Commission publie dans le registre visé à l'article 18 de la loi. »
Article 19
Il y a lieu de remplacer le texte par la disposition suivante :
« Le responsable du traitement communique à la Commission toute modification des informations visées à l'article 18; il n'applique les modifications qu'après que la Commission lui a adressé une nouvelle recommandation. »
Article 20
La section 4 du chapitre II de l'arrêté, qui est consacrée à la publication des résultats du traitement de données à caractère personnel à des fins historiques, statistiques ou scientifiques, contenait dans le projet d'arrêté originellement soumis à l'avis de la Commission, un article numéroté 13 disposant comme suit : « Le responsable du traitement veille à ce que la publication des résultats ne porte pas atteinte de manière disproportionnée à la vie privée de catégories de citoyens. »
Dans son avis du 8 mars 1999, la Commission proposait de remplacer le terme « citoyens » par celui de « personnes ». Cette suggestion mérite d'être suivie, car elle étend la protection à un cercle plus large de bénéficiaires, conformément à l'article 191 de la Constitution.
En revanche, la suppression pure et simple de la mesure de sauvegarde, à laquelle il est procédé dans l'arrêté en projet, ne paraît pas justifiée. A de nombreuses reprises, le Conseil d'Etat a, en effet, souligné que si l'on admet que les « données personnelles », définies comme ne se rapportant pas à une personne physique identifiée ou identifiable (au contraire des données « à caractère personnel » ou « nominatives »), sont néanmoins visées par le droit au respect de la vie privée garanti par l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (6), des mesures de protection doivent être prises dans ce domaine également.
L'expérience apprend que l'anonymat des données recueillies n'empêchera pas que les résultats de leur traitement guident l'action de ceux qui pourront en prendre connaissance, à l'égard de catégories de personnes étudiées selon leur profil.
De surcroît, un traitement relatif à une collectivité de personnes restreinte, ou à un public-cible très caractérisé, risque de ne pas respecter, en fait, l'exigence d'anonymat, sans qu'on puisse être certain que l'interdiction inscrite à l'article 20 de l'arrêté fasse obstacle à la publication des résultats (l'interdiction vise la « forme » de la publication seulement).
La disposition, revue comme proposé par la Commission, doit être rétablie dans l'arrêté en projet, et y être insérée après l'article 20.
Article 21
Dans son avis du 8 mars 1999, la Commission observait notamment ce qui suit.
« L'article 15 (devenu l'article 21 dans la version de l'arrêté soumise au Conseil d'Etat) du projet d'arrêté (dans sa rédaction originelle soumise à la Commission) fixe une série de conditions particulières pour le traitement de données à caractère personnel, visées aux articles 6 à 8 de la loi. Il est notamment prévu que :
(1) les personnes ayant accès aux données doivent être désignées individuellement par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une définition de leur autorisation précise par rapport au traitement des données visées; (...).
En ce qui concerne la première exigence, la Commission fait remarquer qu'il importe surtout de savoir qui a accès aux données, ce qui n'implique pas que ces personnes doivent être désignées nommément. Etant donné qu'une désignation nominative peut comporter certains risques, par exemple, lorsque les personnes désignées changent de fonction, la Commission estime souhaitable d'obliger le responsable d'une part, à établir une liste des profils d'accès (par exemple en désignant les fonctions ayant accès aux données) et, d'autre part, à établir une liste indiquant les personnes auxquelles ces profils sont attribués. »
Il ne suffit pas, comme le fait l'arrêté en projet, de prévoir la détermination des catégories de personnes autorisées et la mise à la disposition de la Commission de la liste de ces catégories, le projet doit, en outre, prévoir la désignation nominative des personnes et la communication de la liste de ces personnes à la Commission. Ces désignations nominatives cesseraient d'être valables si la personne désignée n'appartenait plus à une des catégories de personnes autorisées ou que l'accès à donner lui serait retiré par le responsable du traitement.
Si la charge administrative imposée au responsable du traitement est importante, elle ne paraît, néanmoins, pas disproportionnée par rapport à l'avantage pour le respect de la vie privée que procurera une application individualisée de règles générales et abstraites.
En tout cas, en ce qui concerne les données sensibles visées à l'article 6 de la loi, il paraît difficilement admissible d'en faire l'économie : une appréciation subjective de l'appartenance à une catégorie de personnes autorisée, ne saurait être abandonnée à la discrétion de la personne prétendant accéder aux données sans risque d'erreur, voire d'abus.
De même, la transmission, selon une périodicité raisonnable, de la liste nominative des personnes autorisées, à la Commission, constituerait une garantie d'effectivité de la règle et un premier moyen d'en vérifier l'application pour la Commission.
L'article 21 du projet sera, dès lors, complété par le rétablissement du texte originel, à insérer logiquement après l'énoncé de la première mesure prévue (les catégories de personnes,...).
(...)
On lirait donc :
« 2° les personnes ayant accès aux données doivent être désignées individuellement par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une définition de leur autorisation précise par rapport au traitement des données visées; ».
La deuxième mesure du projet, devenant la troisième, se définirait comme suit :
« 3° la liste des catégories de personnes autorisées, visées au 1°, et celle des personnes autorisées, avec la mention de leur fonction, sont transmises annuellement à la Commission par le responsable du traitement ou, le cas échéant, par le sous-traitant. ». Par ailleurs, le texte néerlandais du 1° doit être rédigé ainsi qu'il est proposé dans la version néerlandaise présent avis.
Article 26
Il est proposé de rédiger l'alinéa 2 comme suit :
« La Commission publie la liste de ces responsables de traitement dans le registre public visé à l'article 18 de la loi, avec la mention des motifs invoqués de dispense. »
La publicité, grâce au registre public, des justifications invoquées, prévue dans le texte proposé ci-dessus, constituera une première mesure d'encadrement qui permettrait d'éviter des clauses stéréotypées.
Article 27
En vertu des articles 10, § 1^er, alinéa 2, et 12, § 2, de la loi du 8 décembre 1992, toute demande relative aux droits visés aux articles 10, § 1^er, alinéa 1^er, et 12, § 1^er, de la même loi doit être datée et signée. L'exigence de signature de la demande s'entend d'une signature manuscrite. Il s'ensuit qu'en l'absence de disposition légale assimilant la signature électronique à la signature manuscrite, il est exclu que la demande puisse être envoyée par un moyen de télécommunication (7). Les mots « ou par tout moyen de télécommunication » seront, dès lors, omis.
Article 37
Les questions de fonctionnement ou d'organisation, auxquelles la disposition en projet tend de répondre, ne sont pas au pouvoir du Roi. Elles relèvent, le cas échéant, du règlement d'ordre intérieur qu'arrête la Commission, avant de le communiquer aux Chambres législatives, conformément à l'article 28 de la loi.
Article 46
Les termes « ... au service du ou travaillant pour le responsable du traitement » ne sont pas clairs. Si l'intention de l'auteur du projet est de viser les personnes qui travaillent pour le responsable du traitement en vertu d'un contrat de travail ou d'un contrat d'entreprise, il faudrait adapter le dispositif en conséquence. Cette remarque vaut aussi pour l'article 47, alinéa 1^er.
Article 49
En vertu de l'article 4, § 1^er, 5°, de la loi du 8 décembre 1992, les données à caractère personnel doivent être « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement ». Il s'agit du temps nécessaire et non du temps utile.
Dans les articles 46 à 48 ainsi que dans les articles 50 à 53 en projet, il est aussi fait référence à la conservation des données durant le temps nécessaire à la finalité du traitement. Le Conseil d'Etat n'aperçoit pas les raisons qui justifient que pour le traitement « de données à caractère personnel, qui visent exclusivement l'administration d'actionnaires et d'associés », la durée de conservation de ces données devienne le temps utile pour les finalités du traitement. La même remarque vaut pour l'article 54 en projet.
Article 55
L'auteur du projet est invité à vérifier si les lois auxquelles il se réfère satisfont à l'ensemble des exigences énoncées par l'article 17, § 8, alinéa 1^er, de la loi du 8 décembre 1992, spécialement en ce qui concerne la mention de la durée de conservation des données.
Article 56
Cette disposition exempte de l'obligation de déclaration préalable les traitements de données à caractère personnel effectués par des autorités administratives qui font l'objet de réglementations particulières définissant l'accès aux données traitées, l'utilisation de ces données et leur obtention.
Les termes trop généraux de cette exemption ne garantissent pas que toutes les conditions d'exemption énoncées à l'article 17, § 8, alinéa 1^er, de la loi du 8 décembre 1992, sont remplies. Or, dans l'esprit de la loi, il convient que chaque réglementation soit examinée concrètement au regard des exigences formulées par l'article 17, précité.
La disposition en projet doit, dès lors, être omise ou à tout le moins fondamentalement revue, de manière à désigner avec précision les réglementations concernées qui remplissent les conditions légales.
Article 56bis
L'avant-projet de loi-programme auquel fait allusion le Rapport au Roi est devenu la loi du 12 août 2000 « portant des dispositions sociales, budgétaires et diverses » (8). Ne contenant pas la disposition législative annoncée dans le Rapport au Roi, la loi précitée ne saurait procurer de fondement légal à l'article 56bis de l'arrêté en projet. Celui-ci sera donc omis; à défaut de quoi, l'article 18 de la directive ne serait pas respecté, comme le montre le Rapport au Roi.
Articles 64 et 67
1. Le délai de transposition de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données a expiré le 24 octobre 1998.
Il est regrettable que l'arrêté en projet et la loi du 11 décembre 1998 n'entrent en vigueur que le premier jour du quatrième mois suivant celui de la publication de cet arrêté et de cette loi au Moniteur belge.
L'alinéa 1^er de l'article 64 sera rédigé comme suit :
« Le présent arrêté et les dispositions de la loi du 11 décembre 1998 transposant la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données entrent en vigueur le... ».
2. A l'alinéa 2 de l'article 64, les mots « et futurs » sont inutiles et seront, dès lors, omis.
L'article 67 sera omis si le texte proposé ci-dessus pour l'article 64, alinéa 1^er, est adopté.
Observations finales
De manière générale, la rédaction des versions française et néerlandaise de l'arrêté en projet présente de nombreuses imperfections qui doivent être corrigées. Les remarques qui suivent sont, à cet égard, faites à titre d'exemples.
1. La numérotation des chapitres et des sections se fait en chiffres cardinaux romains, sauf pour la première division qui s'écrit : « Chapitre premier », « Section première ». Toutefois, lorsqu'il est fait référence à cette subdivision dans l'arrêté en projet, on écrit : « Chapitre 1^er », « Section 1^re ».
2. Dans le texte français, on écrit « article 1^er » au lieu de « article 1 » (9) ainsi que « § 1^er » au lieu de « § 1 » (10).
3. Plutôt que de renvoyer « à l'alinéa précédent », mieux vaut se référer à l'alinéa numéroté (12).
4. Lorsqu'on veut se référer à un alinéa déterminé, on écrit par exemple « l'alinéa 1^er » au lieu de « l'alinéa premier » (11).
Article 1^er
La subdivision en « a), b), c), etc », doit être remplacée par une subdivision en « 1°, 2°, 3°, etc ». Cette remarque vaut aussi pour l'article 17.
Article 4
A l'alinéa 2, dans la version française, afin d'éviter toute discordance avec la version néerlandaise, il faut écrire « mentionne » au lieu de « justifie ». Cette remarque vaut également pour l'article 5, alinéa 2.
Au même alinéa, dans la version néerlandaise, il y a lieu d'écrire « doet » au lieu de « aflegt ». Cette remarque vaut également pour l'article 5, alinéa 2.
Article 6
Mieux vaut écrire, dans la version française, « n'entreprend aucune action » au lieu de « n'entreprendra rien ».
Article 7
Compte tenu de l'observation relative aux notions définies, l'article 7 pourrait être rédigé comme suit :
« Les données à caractère personnel non codées sont codées avant tout traitement ultérieur à des fins historiques, statistiques ou scientifiques en vue de ne pouvoir être mises en relation avec une personne identifiée ou identifiable que par l'intermédiaire d'un code. ».
Article 10
A l'alinéa 1^er, il faut écrire « préalablement à leur communication » au lieu de « préalablement à la communication des données ».
Articles 12, 13, 14, 14bis et 14ter
Dans ces dispositions, on écrit tantôt : »le responsable du traitement et l'organisation ... » , tantôt « le responsable du traitement ou l'organisation ... ». D'après le contexte, il semble qu'il faille utiliser la conjonction « ou » plutôt que la conjonction « et ».
Article 14
1. Dans le texte français, il faut écrire « préalablement au codage des données visées aux articles 6 à 8 de la loi » au lieu de « préalablement au codage de données visées a l'article 6 à 8 de la loi »;
2. L'énumération des informations à communiquer à la personne concernée doit être présentée sous la forme d'une subdivision en 1°, 2°, 3°, etc. Cette exigence formelle de présentation vaut aussi pour les articles 14ter, 15, 18, 20, 21, 27, 60 et 66.
Article 23
A l'alinéa 1^er, on écrira : « ... qui empêche un consentement libre. »
Article 32
A l'alinéa 2 de la version française, on écrira « éléments pertinents » et non pas « éléments utilisés ».
Articles 42 à 44
On écrit « euros » au lieu de « Euro ».
Article 46
Il convient d'écrire « A l'exception des paragraphes 4 et 8, alinéa 2, l'article 17 de la loi n'est pas applicable » au lieu de « Les dispositions de l'article 17, à l'exception des §§ 4 et 8, alinéa 2, de la loi ne sont pas applicables ». Cette remarque vaut également pour les articles 47 à 56.
Article 47
A l'alinéa 1^er, les mots « et qui remplissent les conditions mentionnées dans le présent article » sont superflus et seront, dès lors, omis. La même remarque vaut pour les articles 50 et 54.
Article 64
Le texte néerlandais doit être rédigé ainsi qu'il est proposé dans la version néerlandaise du présent avis.
La chambre était composée de :
MM. :
J.-J. Stryckmans, premier président;
Y. Kreins, P. Quertainmont, conseillers d'Etat;
F. Delperee, J. Kirkpatrick, assesseurs de la section de législation,
Mme J. Gielissen, greffier assumé.
Le rapport a été présenté par M. J. Regnier, premier auditeur chef de section. La note du Bureau de coordination a été rédigée et exposée par M. P. Brouwers, référendaire.
La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de M. J.-J. Stryckmans.
Le greffier,
J. Gielissen.
Le président,
J.-J. Stryckmans.
_______
Notes
(1) Doc. parl., Chambre des Représentants, 1566/1-97/98, pp. 201-205.
(2) Ces arrêtés sont abrogés par l'arrêté en projet.
(3) Th. Léonard et Y. Poullet, La protection des données à caractère personnel en pleine (r)évolution, J.T., 1999, pp. 377-396, ici p. 389. La même préoccupation du défaut éventuel d'encadrement réglementaire s'est aussi manifestée in M. Arbyn, S. Wallyn, H. Van Oyen, B. Seutin, J. Dhondt, Gezondheidszorg : actualiteit registratie bij bevolkingsonderzoek naar kanker ... eindelijk legaal !, Tijdschr. voor Geneeskunde, 55, n° 8, 1999, pp. 555-557.
(4) Le fonctionnaire délégué, qui a pu interroger le Président de la commission sur cette question, en convient.
(5) Si l'auteur du projet se rallie à l'observation finale à propos des articles 12 et suivants, cette phrase sera écrite au singulier plutôt qu'au pluriel.
(6) En ce sens, voir Rigaux F., La protection de la vie privée et des autres biens de la personnalité, Bruylant, Paris, L.G.D.J., 1990, n° 524, p. 583.
(7) Voir, dans le même sens, l'avis de la Commission de la protection de la vie privée remarque que « le fait d'exiger que la demande soit signée a pour conséquence que cette dernière ne pourra pas être envoyée par le biais d'un moyen de télécommunication aussi longtemps qu'il n'existera pas de signature électronique juridiquement valable ».
(8) Moniteur belge du 31 août 2000.
(9) Voir notamment les articles 8, alinéa 2, 9, alinéa 2, et 10, alinéa 2.
(10) Voir notamment l'article 21.
(11) Voir spécialement les articles 14ter, alinéa 3, 18, alinéa 3, 58, alinéa 2, et 61, alinéa 2.
(12) Voir notamment l'article 25, alinéa 2.

13 FEVRIER 2001. - Arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel
ALBERT II, Roi des Belges,
A tous, présents et à venir, Salut.
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, modifiée par la loi du 11 décembre 1998 transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et en particulier les articles 4, § 1^er, 2° et 5°; 6 § 2, alinéa 1^er, a) et g); 6, § 4; 7, § 2, a) et k); 7, § 3; 8, § 4, e); 8, § 4; 9, § 1^er, e); 9, § 2, alinéa 1^er, e); 9, § 2, alinéa 3; 10, § 1^er, alinéas 2 et 4; 12, § 2; 13, alinéas 2 et 4; 17, §§ 8 et 9, et 18 alinéa 3;
Vu l'article 52 de la loi du 11 décembre 1998;
Vu les avis n° 08/99 du 8 mars 1999 et 25/99 du 23 juin1999 de la Commission de la protection de la vie privée;
Vu l'avis de l'Inspecteur des Finances, donné le 9 avril 1999;
Vu l'accord du Ministre du budget donné le 28 mai 1999;
Vu la décision du Conseil des Ministre;
Vu les avis du 21 juin 1999 et 8 novembre 2000 du Conseil d'Etat;
Sur la proposition de Notre Ministre de la Justice et de l'avis de Nos Ministres qui en ont délibéré en Conseil,
Nous avons arrêté et arrêtons :
CHAPITRE I^er. - Définitions
Article 1^er. Pour l'application du présent arrêté on entend par :
1° « la loi » : la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;
2° « la Commission » : la Commission de la protection de la vie privée;
3° « données à caractère personnel codées » : les données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que par l'intermédiaire d'un code;
4° « données à caractère personnel non-codées » : les données à caractère personnel qui ne sont pas codées;
5° « données anonymes » : les données qui ne peuvent être mises en relation avec une personne identifiée ou identifiable et qui ne sont donc pas des données à caractère personnel;
6° « organisation intermédaire »: la personne physique ou morale, l'association de fait ou l'administration publique, autre que le responsable du traitement des données non-codées, qui code les données.
CHAPITRE II. - Traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques
Section I^re. - Principes généraux
Art. 2. Le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques, est réputé compatible au sens de l'article 4, § 1^er, 2°, deuxième phrase, de la loi, lorsqu'il est effectué aux conditions fixées par le présent chapitre.
La conservation des données à caractère personnel à des fins historiques, statistiques ou scientifiques, visée à l'article 4, § 1^er, 5°, deuxième phrase, de la loi, est autorisée aux conditions déterminées par le présent chapitre.
Art. 3. Le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques est effectué à l'aide de données anonymes.
Art. 4. Si un traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, statistiques ou scientifiques, le responsable du traitement ultérieur à des fins historiques, statistiques ou scientifiques peut traiter des données à caractère personnel codées conformément aux dispositions de la section 2 du présent chapitre.
Dans ce cas, il mentionne dans la déclaration du traitement faite en vertu de l'article 17 de la loi les motifs pour lesquels le traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, statistiques ou scientifiques.
Art. 5. Si un traitement ultérieur de données codées ne permet pas d'atteindre les fins historiques, statistiques ou scientifiques, le responsable du traitement ultérieur peut traiter des données à caractère personnel non-codées conformément aux dispositions de la section 3 du présent chapitre.
Dans ce cas, il mentionne dans la déclaration du traitement faite en vertu de l'article 17 de la loi les motifs pour lesquels le traitement ultérieur de données codées ne permet pas d'atteindre les fins historiques, statistiques ou scientifiques.
Art. 6. Le responsable du traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques n'entreprendra aucune action pour convertir des données anonymes en données à caractère personnel ou des données à caractère personnel codées en données à caractère personnel non-codées.
Section II. - Traitement de données à caractère personnel codées
Art. 7. Les données à caractère personnel sont codées avant tout traitement ultérieur à des fins historiques, statistiques ou scientifiques.
Art. 8. Lorsque le responsable d'un traitement de données à caractère personnel, collectées pour des finalités déterminées, explicites et légitimes, traite ultérieurement ces données à caractère personnel à des fins historiques, statistiques ou scientifiques, ou confie ce traitement ultérieur à un sous-traitant, ces données à caractère personnel sont, préalablement à leur traitement ultérieur, codées soit par le responsable du traitement des données lui-même, soit par le sous-traitant lui même, soit par une organisation intermédaire.
Dans ce dernier cas, l'organisation intermédiaire est un sous-traitant au sens de l'article 1^er, § 5, de la loi.
Art. 9. Lorsque le responsable d'un traitement de données à caractère personnel collectées pour des finalités déterminées, explicites et légitimes, communique ces données à caractère personnel à un tiers en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques, ces données à caractère personnel sont, préalablement à leur communication, codées par le responsable du traitement ou par une organisation intermédiaire.
Dans ce cas, l'organisation intermédaire est un sous-traitant au sens de l'article 1^er, § 5, de la loi.
Art. 10. Lorsque plusieurs responsables de traitements de données à caractère personnel collectées à des fins déterminées, explicites et légitimes communiquent au(x) même(s) tiers des données à caractère personnel en vue de leur traitement ultérieur à des fins, historiques, statistiques ou scientifiques, ces données à caractère personnel sont, préalablement à leur communication, codées par une organisation intermédiaire.
Dans ce cas, l'organisation intermédiaire est un responsable du traitement au sens de l'article 1^er, § 4, de la loi.
Art. 11. L'organisation intermédiaire est indépendante du responsable du traitement ultérieur des données à caractère personnel à des fins historiques, statistiques ou scientifiques.
Art. 12. Le responsable du traitement de données à caractère personnel collectées à des fins déterminées, explicites et légitimes et l'organisation intermédaire, qui codent les données en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques prennent des mesures techniques et organisationnelles adéquates afin d'empêcher la conversion des données codées en données non-codées.
Art. 13. Le responsable du traitement de données à caractère personnel collectées à des fins déterminées, explicites et légitimes et l'organisation intermédaire, ne peuvent communiquer des données codées en vue de leur traitement ultérieur à des fins historiques, statistiques ou scientifiques, que sur présentation par le responsable du traitement ultérieur de l'accusé de réception d'une déclaration complète délivré par la Commission conformément à l'article17, § 2, de la loi.
Art. 14. Le responsable du traitement de données à caractère personnel collectées à des fins déterminées, explicites et légitimes ou l'organisation intermédaire doit, préalablement au codage de données visées aux articles 6 à 8 de la loi, communiquer à la personne concernée les informations suivantes :
- l'identité du responsable du traitement,
- les catégories de données à caractère personnel qui sont traitées,
- l'origine des données,
- une description précise des fins historiques, statistiques ou scientifiques du traitement,
les destinataires ou les catégories de destinataires des données à caractère personnel,
- l'existence d'un droit d'accès aux données à caractère personnel qui la concernent et d'un droit de rectification de ces données,
- l'existence d'un droit d'opposition de la personne concernée.
Art. 15. Le responsable du traitement de données à caractère personnel collectées pour des fins déterminées, explicites et légitimes et l'organisation intermédiaire ne doivent pas satisfaire à l'obligation instituée par l'article 14 du présent arrêté lorsque cette obligation se révèle impossible ou implique des efforts disproportionnés et qu'ils se sont conformés à la procédure déterminée à l'article 16 du présent arrêté.
Le responsable du traitement de données à caractère personnel collectées pour des fins déterminées, explicites et légitimes et l'organisation intermédiaire ne doivent pas satisfaire à l'obligation instituée à l'article 14 du présent arrêté lorsque l'organisation intermédiaire est une autorité administrative chargée explicitement par ou en vertu de la loi de rassembler et de coder des données à caractère personnel et soumise à cet égard à des mesures spécifiques visant à protéger la vie privée instituées par ou en vertu de la loi.
Art. 16. Le responsable du traitement de données à caractère personnel collectées pour des fins déterminées, explicites et légitimes ou l'organisation intermédiaire qui souhaite coder les données visées aux articles 6 à 8 de la loi, sans informer au préalable la personne concernée, complètent la déclaration requise par l'article 17 de la loi, par les informations suivantes :
1° une description précise des fins historiques, statistiques ou scientifiques du traitement;
2° les motifs justifiant le traitement de données visées aux articles 6 à 8 de la loi,
3° les motifs justifiant l'impossibilité de communiquer à la personne concernée les informations mentionnées à l'article 14 ou le caractère disproportionné des efforts nécessaires pour communiquer ces informations,
4°les catégories de personnes à propos desquelles des données à caractère personnel visées à l'article 6 à 8 de la loi sont traitées,
5° les personnes ou les catégories de personnes qui ont accès aux données à caractère personnel,
6° l'origine des données.
Endéans une période de quarante-cinq jours ouvrables à dater de la réception de la déclaration, la Commission communique au responsable du traitement, ou à l'organisation intermédaire, une recommandation, éventuellement accompagnée de conditions supplémentaires à respecter lors du traitement ultérieur des données à caractère personnel codées visées à l'article 6 à 8 de la loi à des fins historiques, statistiques ou scientifiques.
Le délai prévu à l'alinéa deux peut être prolongé une fois pour une durée de quarante cinq jours ouvrables. La Commission informe le responsable du traitement avant l'expiration du premier délai, de ce qu'elle prolonge le premier délai.
Si la Commission n'a pas communiqué sa recommandation à l'expiration des délais prévus dans cet article, la requête est considérée acceptée.
La Commission publie sa recommandation dans le registre visé à l'article 18 de la loi.
Art. 17. Toute modification aux informations communiquées en vertu de l'article 16 du présent arrêté par le responsable du traitement à la Commission doit être communiquée par ce dernier à la Commission.
Section III. - Traitement de données à caractère personnel non-codées
Art. 18. Préalablement au traitement ultérieur de données à caractère personnel non-codées à des fins historiques, statistiques ou scientifiques, le responsable du traitement ultérieur communique les informations suivantes à la personne concernée :
1° l'identité du responsable du traitement,
2° les catégories de données à caractère personnel qui sont traitées,
3° l'origine des données,
4° une description précise des fins historiques, statistiques ou scientifiques du traitement;
5° les destinataires ou les catégories de destinataires des données à caractère personnel,
6° l'existence d'un droit d'accès aux données à caractère personnel qui la concernent et d'un droit de rectification de ces données,
7° l'existence de l'obligation d'obtenir le consentement préalable de la personne concernée au traitement de données à caractère personnel non-codées à des fins historiques, statistiques ou scientifiques.
Art. 19. La personne concernée doit, préalablement au traitement ultérieur de données à caractère personnel non-codées qui la concernent à des fins historiques, statistiques ou scientifiques, consentir expressément à ce traitement.
Art. 20. Le responsable du traitement ultérieur de données à caractère personnel non-codées à des fins historiques, statistiques ou scientifiques ne doit pas satisfaire aux obligations imposées par les articles 18 et 19 du présent arrêté:
1° lorsque le traitement ultérieur à des fins historiques, statistiques ou scientifiques se limite à des données à caractère personnel non-codées rendues manifestement publiques par la personne concernée ou à des données qui sont en relation étroite avec le caractère public de la personne concernée ou des faits dans lequels celle-ci est ou a été impliquée
ou
2° lorsque ces obligations se révèlent impossibles ou requièrent des efforts disproportionnés et qu'il s'est conformé à la procédure déterminéeà l'article 21 du présent arrêté.
Art. 21. Le responsable du traitement ultérieur de données à caractère personnel non-codées à des fins historiques, statistiques ou scientifiques qui souhaite traiter ces données, sans information préalable de la personne concernée et sans le consentement de celle-ci, complète la déclaration requise par l'article 17 de la loi par les informations suivantes:
1° une description précise des fins historiques, statistiques ou scientifiques du traitement;
2° les raisons qui nécessitent le traitement de données à caractère personnel non-codées;
3° les motifs justifiant l'impossibilité d'obtenir le consentement informée de la personne concernée ou le caractère disproportionné des efforts nécessaires pour obtenir ce consentement;
4° les catégories de personnes à propos desquelles des données à caractère personnel non-codées sont traitées;
5° les personnes ou les catégories de personnes qui ont accès aux données à caractère personnel non-codées;
6° l'origine des données.
Endéans les quarante-cinq jours ouvrables à dater de la réception de la déclaration, la Commission adresse au responsable du traitement ultérieur, une recommandation, éventuellement accompagnée de conditions supplémentaires à respecter lors du traitement ultérieur des données à caractère personnel non-codées à des fins historiques, statistiques ou scientifiques.
Le délai prévu à l'alinéa deux peut être prolongé une fois pour une durée de quarante-cinq jours ouvrables. La Commission informe le responsable du traitement ultérieur avant l'expiration du premier délai, de ce qu'elle prolonge le premier délai.
Si la Commission n'a pas communiqué sa recommandation à l'expiration des délais prévus dans cet article, la requête est considérée acceptée.
La Commission publie sa recommandation dans le registre visé à l'article 18 de la loi.
Art. 22. Toute modification aux informations communiquées en vertu de l'article 21 du présent arrêté par le responsable du traitement à la Commission doit être préalablement communiquée par ce dernier à la Commission.
Section IV. - Publication des résultats du traitement
Art. 23. Les résultats du traitement à des fins historiques, statistiques ou scientifiques ne peuvent être rendus publics sous une forme qui permet l'identification de la personne concernée, sauf si :
1° la personne concernée a donné son consentement et qu'il ne soit porté atteinte à la vie privée de tiers, ou
2° la publication de données à caractère personnel non-codées est limitée à des données manifestement rendues publiques par la personne concernée elle-même ou ayant une relation étroite avec le caractère public de la personne concernée ou des faits dans lesquelles celle-ci est ou a été impliquée.
Section V. - Exception
Art. 24. Le Chapitre II du présent arrêté n'est pas applicable aux services et autorités visées à l'article 3, § 4, de la loi qui effectuent un traitement ultérieur à des fins historiques, statistiques ou scientifiques.
CHAPITRE III. - Conditions pour le traitement de données à caractère personnel visées aux articles 6 à 8 de la loi
Art. 25. Lors du traitement de données à caractère personnel visées aux articles 6 à 8 de la loi le responsable du traitement doit prendre les mesures supplémentaires suivantes :
1° les catégories de personnes ayant accès aux données à caractère personnel doivent être désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées;
2° la liste des catégories des personnes ainsi désignées doit être tenue à la disposition de la Commission par le responsable du traitement ou, le cas échéant, par le sous-traitant;
3° il doit veiller à ce que les personnes désignées soient tenues par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées;
4° lorsque l'information due en vertu de l'article 9 de la loi est communiquée à la personne concernée ou lors de la déclaration visée à l'article 17, § 1^er, de la loi, le responsable du traitement doit mentionner la base légale ou réglementaire autorisant le traitement de données à caractère personnel visées aux articles 6 à 8 de la loi.
Art. 26. Lorsque le traitement de données à caractère personnel visées à l'article 6 et 7 de la loi est exclusivement autorisé par le consentement par écrit de la personne concernée, le responsable du traitement doit préalablement communiquer à la personne concernée, en sus des informations dûes en vertu de l'article 9 de la loi, les motifs pour lesquelles ces données sont traitées ainsi que la liste des catégories de personnes ayant accès aux données à caractère personnel.
Art. 27. Lorsque le traitement de données à caractère personnel visées aux articles 6 et 7 de la loi est exclusivement autorisé par le consentement écrit de la personne concernée, ce traitement est néanmoins interdit lorsque le responsable du traitement est l'employeur présent ou potentiel de la personne concernée ou lorsque la personne concernée se trouve dans une situation de dépendance vis-à vis du responsable du traitement, qui l'empêche de refuser librement son consentement.
Cette interdiction est levée lorsque le traitement vise l'octroi d'un avantage à la personne concernée.
CHAPITRE IV. - Conditions pour l'exemption de l'obligation d'information visée à l'article 9, § 2, de la loi
Art. 28. Le responsable du traitement ultérieur à des fins historiques, statistiques ou scientifiques qui traite exclusivement des données codées est exempté de l'obligation d'information instituée à l'article 9, § 2, de la loi sous condition du respect des dispositions du Chapitre II, Section II du présent arrêté.
Art. 29. Une autorité administrative chargée explicitement par ou en vertu de la loi de rassembler et de coder les données à caractère personnel et soumise à cet égard à des mesures spécifiques visant à protéger la vie privée instituées par ou en vertu de la loi, est exemptée de l'obligation d'information instituée par l'article 9 § 2 de la loi lorsqu'elle agit en tant qu'organisation intermédiaire .
Art. 30. Le responsable du traitement qui, en dehors des cas visés aux articles 28 et 29 du présent arrêté, se prévaut d'une exemption à l'obligation d'information à l'article 9, § 2 de la loi au motif que cette information se révèle impossible ou implique des efforts disproportionnés, communique cette information à la première prise de contact avec la personne concernée.
Lorsque le responsable du traitement visé à l'alinéa 1^er communique les données à caractère personnel à un tiers, l'information visée à l'article 9, § 2 est communiquée par ce tiers lors la première prise de contact entre ce tiers et la personne concernée.
Art. 31. Le responsable du traitement qui ne peut pas informer la personne concernée au motif que cette information se révèle impossible ou demande des efforts disproportionnés, justifie cette impossibilité dans la déclaration faite à la Commission sur la base de l'article 17 de la loi.
La Commission publie la liste des responsables du traitement dans le registre public visé à l'article 18 de la loi, avec la mention des motifs justifiant la dispense.
CHAPITRE V. - Exercice des droits visés aux articles 10 et 12 de la loi
Art. 32. Toute personne justifiant de son identité a le droit d'obtenir, dans les conditions prévues par la loi, communication de l'information visée à l'article 10 de la loi en adressant une demande signée et datée qu'elle remet sur place, ou qu'elle envoie par la poste ou par tout moyen de télécommunication :
- soit au responsable du traitement ou à son représentant en Belgique ou à l'un de ses mandataires ou préposés;
- soit au sous-traitant du traitement des données à caractère personnel qui la communique, le cas échéant, à une des personnes mentionnées ci-dessus.
En cas de remise de la demande sur place, la personne qui la reçoit délivre immédiatement un accusé de réception daté et signé à l'auteur de la demande.
Art. 33. Les demandes de rectification, de suppression ou d'interdiction des données à caractère personnel ou la communication d'une opposition fondée sur l'article 12 de la loi, sont introduites selon la même procédure et auprès des mêmes personnes que celles mentionnées à l'article 32 du présent arrêté.
Art. 34. Lorsque des données à caractère personnel sont collectées par écrit auprès de la personne concernée, le responsable du traitement demande à celle-ci, sur le document grâce auquel il collecte ses données, si elle souhaite exercer le droit d'opposition institué à l'article 12, § 1^er, alinéa 3, de la loi.
Lorsque les données à caractère personnel sont collectées auprès de la personne concernée autrement que par écrit, le responsable du traitement demande à celle-ci si elle souhaite exercer le droit d'opposition institué à l'article 12, § 1^er, alinéa 3, de la loi, soit sur un document qu'il lui communique à cette fin au plus tard deux mois après la collecte des données à caractère personnel, soit par tout moyen technique, qui permet de conserver la preuve que la personne concernée a eu la possibilité d'exercer son droit.
Art. 35. Lorsque les données à caractère personnel ne sont pas obtenues auprès de la personne concernée, le responsable du traitement, soumis à l'article 9, § 2, c) de la loi, lui demande par écrit si elle souhaite exercer le droit d'opposition institué à l'article 12, § 1^er, alinéa 3, de la loi.
CHAPITRE VI. - Exercice du droit visé à l'article 13 de la loi
Art. 36. Le présent chapitre détermine la procédure relative aux demandes instroduites en vertu de l'article 13 de la loi.
Art. 37. La demande est introduite par la personne concernée auprès de la Commission par courrier daté et signé. La demande contient : le nom, le prénom, la date de naissance, la nationalité de la personne concernée, ainsi qu'une photocopie de la carte d'identité, du passeport ou du document qui en tient lieu.
La demande contient en outre et dans la mesure où le demandeur dispose de ces informations :
- la désignation de l'autorité ou du service concerné;
- tous les éléments pertinents concernant les données contestées, tels que leur nature, les circonstances ou l'origine de la prise de connaissance des données contestées, ainsi que les rectifications éventuellement souhaitées.
Art. 38. La Commission peut demander à la personne concernée tous renseignements complémentaires qu'elle estime utile.
Art. 39. A défaut des éléments mentionnés aux articles 37 et 38 du présent arrêté, la demande pourra être considérée comme irrecevable.
Art. 40. La demande est irrecevable si elle est introduite dans un délai inférieur à un an à compter de la date d'envoi de la précédente réponse de la Commission concernant les même données et les mêmes services.
Il peut être dérogé à ce délai, à charge pour la personne intéressée d'exposer dans sa demande les motifs justifiant cette dérogation.
Art. 41. Lorsque la demande est considérée comme irrecevable, la personne concernée en est avisée par courrier.
Le courrier mentionne que si la personne concernée le souhaite, elle est entendue, éventuellement assistée de son conseil.
Art. 42. Le contrôle exercé auprès du service concerné est effectué par le Président de la Commission ou par un ou plusieurs membres désignés par lui.
Le contrôle des traitements de données à caractère personnel visés à l'article 3, § 5, 1°, de la loi est effectué par des magistrats désignés par la Commission en son sein.
Le Président et les membres qui effectuent le contrôle, peuvent se faire assister ou représenter par un ou plusieurs membres du secrétariat de la Commission.
Art. 43. A l'occasion du contrôle exercé auprès du service concerné la Commission effectue ou ordonne toute vérification qu'elle estime utile.
A l'occasion du contrôle exercé auprès du service concerné visé à l'article 3, § 5 de la loi, elle peut faire rectifier ou effacer des données, ainsi que insérer des données divergentes par rapport aux données traitées par le service concerné. Elle peut interdire la communication des données.
A l'occasion du contrôle exercé auprès du service concerné visé à l'article 3, § 4 de la loi, elle recommande les mesures qu'elle estime nécessaire. Elle motive ses recommandations.
Art. 44. A l'issue de ces vérifications, le service concerné notifie par écrit à la Commission les suites qui y ont été réservées.
Art. 45. La Commission répond par courrier à la demande de la personne concernée dans un délai de trois mois à compter de la notification prévue à l'article 44 du présent arrêté.
Art. 46. Lorsque la demande de la personne concernée se rapporte à un traitement de données à caractère personnel géré par un service de police en vue d'un contrôle d'identité, la Commission communique à la personne concernée que les vérifications nécessaires ont été effectuées.
Le cas échéant, la Commission fournit à la personne concerne, après avis du service concerné, toute autre information qu'elle estime appropriée.
CHAPITREVII. - Déclaration des traitements automatisés de données à caractère personnel
Section première. - Contributions à verser à la Commission lors de la déclaration
Art. 47. Lorsque la déclaration visée à l'article 17 de la loi est présentée sur le formulaire en papier mis à disposition à cette fin par la Commission, le montant de la contribution à verser par le responsable du traitement à la Commission est fixé à 125 euros ou 5042 francs pour la déclaration de toutes les informations déclarées à la Commission à la même occasion par le même responsable du traitement.
Art. 48. Lorsque la déclaration est présentée sur le support magnétique mis à disposition par la Commission, le montant à verser par le responsable du traitement à la Commission est fixé à 25 euro ou 1008 francs pour la déclaration de toutes les informations déclarées à la Commission à la même occasion par le même responsable du traitement.
Art. 49. Le montant de la contribution à verser à la Commission en cas de déclaration par le même responsable à la même occasion d'une ou plusieurs modifications aux mentions de sa déclaration originale, est fixé à 20 euros ou 807 francs.
Art. 50. Le responsable du traitement effectue le paiement des contributions visées à cette section au moyen de documents mis à disposition par la Commission.
Section II. - Catégories de traitements exemptées de l'obligation de déclaration
Art. 51. A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui se rapportent exclusivement à des données à caractère personnel nécessaires à l'administration des salaires des personnes au service du ou travaillant pour le responsable du traitement, pour autant que lesdites données soient utilisées exclusivement pour l'administration des salaires visée, qu'elles soient uniquement communiquées aux destinataires qui en ont droit et qu'elles ne soient pas conservées au delà du temps nécessaire aux finalités du traitement.
Art. 52. A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui visent exclusivement l'administration du personnel au service du ou travaillant pour le responsable du traitement.
Le traitement ne peut se rapporter ni à des données relatives à la santé de la personne concernée, ni à des données sensibles ou judiciaires au sens des articles 6 et 8 de la loi, ni à des données destinées à une évaluation de la personne concernée.
Les données à caractère personnel traitées ne peuvent être conservées au-delà du temps nécessaire à l'administration du personnel et ne peuvent être communiquées à des tiers, sauf dans le cadre de l'application d'une disposition légale ou réglementaire, ou pour autant qu'elles soient indispensables à la réalisation des objectifs du traitement.
Art. 53. A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui se rapportent exclusivement à la comptabilité du responsable du traitement, pour autant que lesdites données soient utilisées exclusivement pour cette comptabilité, que le traitement concerne uniquement des personnes dont les données sont nécessaires à la comptabilité et que les données à caractère personnel ne soient pas conservées au delà du temps nécessaire à la finalité du traitement.
Les données à caractère personnel traitées ne peuvent être communiquées à des tiers, sauf dans le cadre de l'application d'une disposition réglementaire ou légale ou pour autant que la communication soit indispensable pour la comptabilité.
Art. 54. A l'exception des §§ 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui visent exclusivement l'administration d'actionnaires et d'associés, pour autant que le traitement porte uniquement sur les données nécessaires à cette administration, que ces données portent uniquement sur des personnes dont les données sont nécessaires à cette administration, que lesdites données ne soient pas communiquées à des tiers, sauf dans le cadre de l'application d'une disposition légale ou réglementaire, et que les données à caractère personnel ne soient pas conservées au delà de la periode durant laquelle elles sont nécessaire pour les finalités du traitement.
Art. 55. A l'exception des paragrahes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui visent exclusivement la gestion de la clientèle ou des fournisseurs du responsable du traitement.
Le traitement peut uniquement porter sur des clients ou des fournisseurs potentiels, existants ou anciens du responsable du traitement.
Le traitement ne peut se rapporter ni à des données relatives à la santé de la personne concernée, ni à des données sensibles ou judiciaires au sens des articles 6 et 8 de la loi.
Dans le cadre de l'administration de la clientèle, aucune personne ne peut être enregistrée dans un traitement de données sur la base d'informations obtenues de tiers.
Les données ne peuvent être conservées plus longtemps que nécessaire à la gestion normale de l'entreprise du responsable du traitement et ne peuvent être communiquées à des tiers, sauf dans le cadre de l'application d'une disposition légale ou réglementaire,ou encore aux fins de la gestion normale d'entreprise.
Art. 56. A l'exception des paragrahes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui sont effectués par une fondation, une association ou tout autre organisme sans but lucratif dans le cadre de leurs activités ordinaires.
Le traitement doit se rapporter exclusivement à l'administration des membres propres, des personnes avec qui le responsable du traitement entretient des contacts réguliers ou des bienfaiteurs de la fondation, de l'association ou de l'organisme.
Dans le cadre du traitement, aucune personne ne peut être enregistrée sur la base d'informations obtenues de tiers. Les données à caractère personnel traitées ne peuvent être conservées au-delà du temps nécessaire à l'administration des membres, des personnes de contact et des bienfaiteurs et ne peuvent être communiquées à des tiers, sauf dans le cadre de l'application d'une disposition légale ou réglementaire.
Art. 57. A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données d'identification indispensables à la communication effectués dans le seul but d'entrer en contact avec l'intéressé, pour autant que ces données ne soient pas communiquées à des tiers et qu'elles ne soient pas conservées au-delà du temps nécessaire à la finalité du traitement.
L'alinéa 1^er du présent article s'applique uniquement aux traitements de données à caractère personnel non encore visés par une des autres dispositions du présent arrêté.
Art. 58. A l'exception des paragrahes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel portant exclusivement sur l'enregistrement de visiteurs, effectué dans le cadre d'un contrôle d'accès, dans la mesure où les données traitées se limitent aux seuls nom, adresse professionnelle du visiteur, identification de son employeur, identification de son véhicule, nom, section et fonction de la personne visitée ainsi qu'au jour et à l'heure de la visite.
Les données à caractère personnel traitées ne peuvent être utilisées exclusivement que pour le contrôle d'accès et ne peuvent être conservées que le temps nécessaire à cet effet.
Art. 59. A l'exception des paragrahes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui sont effectués par les établissements d'enseignement en vue de gérer leurs relations avec leurs élèves ou étudiants.
Le traitement se rapporte exclusivement à des données à caractère personnel relatives à des élèves ou étudiants potentiels, actuels ou anciens de l'établissement d'enseignement concerné.
Dans le cadre du traitement, aucune personne ne peut être enregistrée sur la base d'informations collectées auprès de tiers. Les données à caractère personnel traitées ne peuvent être communiquées à des tiers, sauf dans le cadre de l'application d'une disposition légale ou réglementaire et ne peuvent être conservées que le temps nécessaire à la gestion de la relation avec l'élève ou l'étudiant.
Art. 60. A l'exception des paragrahes 4 et 8 de la loi, l'article 17, n'est pas applicable aux traitements effectués par les communes conformément à la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d'identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques, conformément à la législation électorale ainsi qu'aux dispositions légales relatives aux registres de l'état civil.
Art. 61. A l'exception des paragrahes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel effectués par des autorités administratives si le traitement est soumis à des réglementations particulières adoptées par ou en vertu de la loi et réglementant l'accès aux données traitées ainsi que leur utilisation et leur obtention.
Art. 62. Les dispositions de l'article 17 de la loi à l'exception des §§ 4 et 8 ne sont pas applicables aux traitements de données à caractère personnel gérés par les institutions de sécurité sociale visées aux articles 1 et 2, premier alinéa, 2° de la loi du 15 janvier 1990, relative à l'institution et à l'organisation d'une banque- carrefour de la sécurité sociale et visant à appliquer la sécurité sociale, à condition que, pour ce qui concerne ces traitements, ces institutions satisfassent aux dispositions de la loi précitée et à ces arrêtés d'exécution.
La liste visée à l'article 46, premier alinéa, 6° bis de la loi du 15 janvier 1990, relative à l'institution et l'organisation d'une Banque-carrefour de la sécurité sociale, est tenue à disposition de la Commission de la protection de la vie privée, conformément aux modalités déterminées de commun accord par ces deux instances .
Sur base cette liste, la Commision de la protection de la vie privée met à jour le registre public des traitements de données automatisés de données à caractère personnel visé à l'article 18 de la loi.
CHAPITRE VIII. - Registre public des traitements automatisés de données à caractère personnel
Art. 63. Le registre public des traitements automatisés de données à caractère personnel visé à l'article 18 de la loi, ci-après appelé "le registre public", est accessible au public selon les modalités suivantes:
a) consultation directe à distance par le biais de moyens de télécommunication;
b) consultation directe sur place dans des locaux désignés à cette fin par la Commission;
c) consultation indirecte par une demande d'extrait adressée à la Commission.
Art. 64. Pour la consultation directe à distance, une copie du registre public est mise à disposition par la Commission sur un serveur accessible via Internet.
Outre la forme d'accès définie à l'alinéa premier, la Commission peut proposer d'autres possibilités de consultation.
Art. 65. Pour la consultation directe sur place, la Commission met, pendant les heures d'ouverture normales des bureaux, l'espace nécessaire et un équipement informatique muni d'un logiciel adéquat à la disposition de toute personne qui se présente en vue de consulter le registre.
Art. 66. Toute personne peut se présenter à la Commission ou lui adresser une requête écrite en vue d' obtenir un extrait du registre public.
La requête, orale ou écrite, en vue d'obtenir un extrait, doit contenir au moins un des renseignements suivants :
1° le numéro d'identification ou la dénomination du traitement ou des traitements sur lequel/lesquels porte l'extrait;
2° le nom complet ou en abrégé du ou des responsables des traitements à mentionner dans l'extrait demandé;
3° en cas de requête écrite envoyée par la voie postale, l'adresse à laquelle l'extrait doit être expédié.
Art. 67. Si l'extrait du registre public, qui fait l'objet de la requête, concerne plus de dix traitements et plusieurs responsables ou plus de cent traitements d'un seul responsable, la Commission peut délivrer un extrait simplifié mentionnant les données suivantes: numéro d'identification, dénomination et objet de chaque traitement, numéro d'identification, nom, commune avec code postal de chaque responsable du traitement.
Dans le cas visé à l'alinéa 1^er, la Commission informe le requérant de son droit de consulter directement le registre public et des modalités selon lesquelles ce droit peut être exercé.
Art. 68. La consultation du registre public est gratuite.
Art. 69. Nul ne peut être obligé de communiquer à la Commission les motifs de la consultation, que ce soit lors d'une consultation directe ou indirecte du registre public.
CHAPITRE IX. - Dispositions finales
Art. 70. Toutes les dispositions de la loi du 11 décembre 1998 entrent en application le premier jour du sixième mois suivant celui durant lequel cet arrêté est publié au Moniteur belge.
A partir du même jour les responsables du traitement doivent se conformer aux dispositions de la loi du 11 décembre 1998 pour tous les traitements existants et futurs de données à caractère personnel.
Art. 71. Les déclarations visées à l'article 17, § 7 de la loi, effectuées avant la date d'entrée en vigueur du présent arrêté, sont supposées d'être conformes aux dispositions de la loi et du présent arrêté.
Le responsable du traitement qui procède à une déclaration au sens de l'article 17, § 7 de la loi lorsque une information relative à la déclaration visée à l'alinéa premier a changé, effectue cette déclaration conformément aux dispositions de la loi et du présent arrêté.
Art. 72. Les arrêtés royaux suivants sont abrogés :
1° l'arrêté royal n° 1 du 28 février 1993, fixant la date d'entréee en vigueur des dispositions de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;
2° l'arrêté royal n° 2 du 28 février 1993, fixant les délais dans lesquels le maître du ficher doit se conformer aux dispositions de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel pour les traitements existants au moment de l'entrée en vigueur de ces dispositions;
3° l'arrêté royal du 12 août 1993 portant exécution de l'article 11, 4° de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;
4° l'arrêté royal n° 3 du 7 septembre 1993 désignant les personnes auprès desquelles doit être introduite la demande de communication des données à caractère personnel fondée sur l'article 10 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;
5° l'arrêté royal n° 4 du 7 septembre 1993 fixant le montant, les conditions et les modalités du paiement de la redevance préalable au maître du fichier lors de l'exercice du droit de communication des données à caractère personnel fondé sur l'article 10 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;
6° l'arrêté royal n° 5 du 7 septembre 1993 désignant les personnes auprès desquelles doit être introduite la demande de rectification, de suppression au d'interdiction d'utiliser d'une donnée à caractère personnel fondée sur l'article 12 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;
7° l'arrêté royal n° 8 du 7 février 1995 déterminant les fins, les critères et les conditions des traitements autorisés de données visées à l'article 8 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, modifié par l'arrêté royal n° 17 du 21 novembre 1996;
8° l'arrêté royal n° 9 du 7 février 1995 accordant des dispenses de déclaration de l'article 9 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et établissant une procédure d'information collective des personnes concernées par certains traitements, modifié par l'arrêté royal n° 15 du 12 mars 1996;
9° l'arrêté royal n° 12 du 7 mars 1995 relatif à la contribution à verser lors de la déclaration des traitements de données à caractère personnel à la Commission de la protection de la vie privée, modifié par l'arrêté royal n° 12bis du 12 mars 1996;
10° l'arrêté royal n° 13 du 12 mars 1996 portant exemption conditionnelle de l'obligation de déclaration pour certaines catégories de traitements automatisés de données à caractère personnel qui ne présentent manifestement pas de risque d'atteinte à la vie privée, modifié par l'arrêté royal du 18 avril 1996;
11° l'arrêté royal n° 14 du 22 mai 1996 déterminant les fins, les critères et les conditions des traitements autorisés de données visées à l'article 6 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
Art. 73. Le présent arrêté entre en vigueur le premier jour du sixième mois qui suit celui au cours duquel il aura été publié au Moniteur belge.
Art. 74. Notre Ministre de la Justice est chargé de l'exécution du présent arrêté.
Donné à Bruxelles, le 13 février 2001.
ALBERT
Par le Roi :
Le Ministre de la Justice
M. VERWILGHEN