Imprimer

Le cadre législatif de protection des données à caractère personnel



Le développement des technologies de l'information représente un grand progrès pour la communication, la liberté d’expression et le droit à l’information.

Toutefois, la prolifération et la rapidité de circulation d’informations en tout genre et notamment d’informations concernant les personnes physiques, constituent en même temps une source d’abus potentiel et de danger pour la vie privée et les libertés en générales.

L’informatisation de la société a conduit aux développements des bases de données informatisées.

Dès lors, aujourd’hui, chacun d’entre nous fait partie de plusieurs bases de données différentes reprenant nombreuses de nos informations personnelles comme notre identité, nos coordonnées complètes, notre métier, etc…

Ces bases de données sont transmises, copiées ou encore vendues, de sorte que l'individu ne peut plus contrôler l'information qui le concerne.

C'est pourquoi, il a été mis en place tant au niveau européen qu'international, des garde-fous pour protéger la vie privée et l'utilisation des données à caractère personnel des individus contre d'éventuels abus.


A. Les sources internationales et européennes de la protection des données à caractère personnel

Dès le 28 janvier 1981, la Convention 108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel a été ratifiée par le Conseil de l’Europe.

Il s’agit du premier instrument international contraignant ayant pour usage la protection des données à caractère personnel contre l’usage abusif du traitement automatisé des données à caractère personnel.

Au niveau européen, plusieurs directives ont été adoptées :

- La directive 95/46/CE (cf. Note 1) : elle décrit le régime général de la protection des données à caractère personnel et constitue la principale norme européenne en matière de protection des données à caractère personnel. Elle a pour but d’harmoniser les règles de protection des données personnelles sur tout le territoire de l'Union européenne.

Cette directive adoptée en 1995, présente aujourd'hui deux inconvénients majeurs. Le premier est génétique : de par sa nature, la directive n’est pas applicable directement au niveau national. Chaque Etat Membre l'a donc transposée dans sa propre législation en profitant de certaines libertés. Il en résulte des divergences notables dans le droit des pays de l'Union. Une situation identique ne sera ainsi ni abordée ni réglée légalement de la même manière entre, par exemple, l’Italie, l’Allemagne, le Royaume-Uni et la Belgique. En clair, une entreprise présente dans ces quatre pays, jongle avec des textes légaux parfois différents sur certains points, alors que bien souvent cette même entreprise collecte et échange un nombre important de données personnelles via et entre ses différents sièges. Le second inconvénient tient à son âge : la directive est née avant notamment l’avènement des réseaux sociaux et du "cloud computing". Ces éléments, s’ils ne sont pas à eux seuls déterminants dans l’évolution du traitement de données personnelles, traduisent en tout cas l'explosion et la globalisation du traitement de données personnelles durant cette dernière décennie.

Face à ce constat, la Commission européenne a considéré qu'il était temps d'adapter, d'harmoniser et de renforcer le cadre légal existant. Elle a ainsi dévoilé le 25 janvier 2012 une proposition de règlement (cf. Note 1bis ) , qui une fois adoptée devrait remplacer la directive 95/46/CE avec l'avantage d'être directement applicable dans les 27 Etats membres ainsi qu'en Norvège, en Islande et au Liechtenstein.

De manière générale, la proposition de règlement renforce les droits des personnes concernées par le traitement de leurs données personnelles et impose de nouvelles obligations aux entreprises responsables de traitement .

- La directive 97/66/CE (cf. Note 2) concerne le domaine des télécommunications en particulier. Cette directive a été abrogée par la directive 2002/58/CE.

- La directive 2002/58/CE dite « vie privée et communications électroniques » (cf. Note 3) qui met en œuvre les principes de la directive 95/46/CE dans le domaine des communications électroniques.

- La directive 2006/24/CE (cf. Note 4) établit les conditions dans lesquelles les données devront être traitées dans les Etats membres.


B. Les sources belges de la protection des données à caractère personnel

En Belgique, c’est la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (loi vie privée) qui protège les individus face à l'utilisation de leurs données personnelles.

Elle définit non seulement les droits et devoirs de la personne responsable du traitement ainsi que ceux des personnes concernées par ces données.

De manière générale, la loi instaure :

1. un devoir de transparence à la charge du responsable du traitement de données à caractère personnel.

2. les règles d'utilisation des données personnelles ;

3. de nouveaux droits pour les personnes fichées dans des registres ou des banques de données (le droit d'accès aux données enregistrées, de rectification, d'opposition...).

Depuis sa promulgation, la loi du 8 décembre 1992 a subi d'importantes modifications suite à l'adoption de la directive 95/46/CE visant à harmoniser les règles appliquées par les Etats membres de l'Union européenne en matière de protection des données à caractère personnel.

La loi vie privée a en effet été fortement modifiée par la loi du 11 décembre 1998 (cf. Note 5) et a encore fait l’objet de modifications ultérieures, notamment par la loi du 26 février 2003 (cf. Note 6) .
Cette loi a fait également l’objet de nombreux arrêtés d’exécution et en particulier de l’arrêté royal du 13 février 2001 (cf. Note 7) .



Paul Van den Bulck (Avocat associé au cabinet McGuireWoods Bruxelles)

Caroline Dubois (Avocat au cabinet McGuireWoods Bruxelles)




Notes:

(1) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.C.E, L281/31, 23 novembre 1995. Elle a été modifiée par le règlement CE n° 1182/2003 (J.O.C.E., 2003, L284)

(1bis)Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).

(2) Directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications, J.O.C.E., L24/1, 30 janvier 1998.

(3) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, J.O.C.E L201/37, 31 juillet 2002

(4) Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de service de communication électronique accessibles au public ou de réseaux publics de communication et modifiant la directive 2002/58/CE, J.O.C.E., L105/54, 13 avril 2006

(5) Moniteur belge du 3 février 1999.

(6) Moniteur belge du 26 juin 2003

(7) Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, M .B., 13 mars 2001.

Imprimer cette fiche (format A4)