Imprimer

La procédure à respecter



A. L’obligation de déclaration préalable

1. La déclaration des traitements de données

Avant même de récolter des données, le responsable du traitement doit déclarer le traitement auprès de la Commission de la protection de la vie privée.

Cette déclaration n’a pas pour but l’obtention d’une autorisation mais est néanmoins une notification nécessaire visant à informer la Commission de la protection de la vie privée des intentions du responsable du traitement.

Par conséquent, en Belgique aucune autorisation n’est requise pour procéder au traitement des données.

Le traitement des données à caractère personnel est donc soumis à un régime répressif où le contrôle s’exerce a posteriori, mais pas a priori.

Tous les renseignements transmis dans la déclaration sont repris dans un registre public. Ce registre peut être librement consulté par quiconque.

2. Contenu de la déclaration

La déclaration comporte une description exhaustive des caractéristiques du traitement.

Les informations devant y figurer sont notamment :

- les finalités ou objectifs,
- les catégories de données traitées,
- les bases légales ou réglementaires éventuelles pour traiter ces données,
- les catégories de destinataires de ces données,
- les moyens par lesquels les personnes concernées par ces données sont informées de ce traitement,
- les coordonnées d'un responsable auprès de qui la personne concernée pourra exercer son droit d'accès ainsi que les mesures prises pour faciliter l'exercice de celui-ci,
- les catégories de données destinées à être transmises l'étranger, les pays de destination et les raisons permettant le transfert vers un pays ne présentant pas le niveau de protection adéquat,
- la période au-delà de laquelle les données ne peuvent plus être gardées, utilisées ou diffusées.
- Les mesures organisationnelles et techniques de sécurité.

3. Exceptions à l'obligation de déclaration

Les traitements non soumis à l’obligation de déclaration sont les suivants :

- les traitements manuels (sur papier ou microfiches),
- une série de traitements automatisés de données, dans la mesure où ils respectent les conditions fixées par l'arrêté royal du 13 février 2001 (M.B. 13 mars 2001).

Il s'agit notamment :

o du traitement réalisé par une société pour gérer son personnel,
o du traitement pour gérer les salaires du personnel,
o des traitements qui visent la gestion de la clientèle ou des fournisseurs etc…


B. La collecte des données

La loi vie privée met à charge du responsable du traitement une obligation de transparence et de loyauté à l’égard des personnes dont les données sont collectées.

Cette obligation se traduit par :

- l’avertissement des personnes lorsque des informations les concernant sont traitées ;
- l’information sur l’identité du responsable (nom et adresse et éventuellement son représentant en Belgique) et de la raison pour laquelle ces informations sont traitées;
- l’information sur les destinataires ou les catégories de destinataires des données ;
- l'information de l’existence d'un droit d'accès aux données qui le concernent et d'un droit de rectification de celles-ci ;
- Le signalement aux personnes concernées qu'elles disposent du droit de s'opposer gratuitement à un tel traitement.

Celui qui ne fournit pas ces informations lorsqu'il collecte des données s'expose à une amende allant de 550 à 550.000 EUR.


C. Le suivi des données collectées

Une fois les données collectées, le travail du responsable du traitement n’est pas terminé.

En effet, celui-ci doit exercer un véritable suivi de ces données, afin notamment de les mettre à jour si nécessaire, ou en tout état de cause de veiller à ce que les données traitées soient exactes, ce qui implique de devoir corriger ou effacer les données inexactes ou incomplètes.

A défaut, il risque une amende de 550 à 550.000 EUR.

De la même manière, le responsable du traitement des données doit veiller au respect de la confidentialité des données notamment vis-à-vis de son personnel en limitant l’accès.

Enfin, les données à caractère personnel ne doivent pas être gardées plus longtemps que nécessaire.


D. De nouvelles obligations à charge des responsables de traitement et des sous-traitants

Ces nouvelles obligations ont été mises en place par la proposition de règlement de la Commission européenne du 25 janvier 2012.

Elles imposent notamment aux responsables de traitement:

- de conserver toute la documentation concernant le traitement des données personnelles;

- de mettre en place des politiques et des mesures de sécurité pour assurer une protection adéquate des données en fonction du traitement réalisé et de la nature des données traitées;

- de réaliser des études évaluant l'impact du traitement envisagé sur la protection des données, et ce, dans certains cas sensibles tels que le profilage, le traitement de données portant sur l'orientation sexuelle, la santé, l'origine ethnique, la mise en place de vidéo surveillance de grande envergure, le traitement de données concernant les enfants etc.;

- de nomer, dans les entreprises de plus de 250 employés, un "agent qualifié responsable des données personnelles" ;

- d'intégrer à leur technologie exploitant les données personnelles et ce dès sa conception, des mesures techniques et organisationnelles afin de se conformer au nouveau concept de "prise en compte de la vie privée dès la conception" ("privacy by defaults" ou "by design");

- de notifier toute suppression des données, dans les 24h à l'autorité compétente, et sans délai, à toutes les personnes concernées. Les mêmes obligations sont également imposées aux sous-traitants à l'égard de leur responsable de traitement.


E. Les sanctions

Les responsables de traitement qui se soustraient aux obligations imposées par la loi vie privée, s'exposent à une amende pouvant aller de 550 EUR à 550.000 EUR.

Afin d'assurer une meilleure effectivité des règles de protection des données personnelles, la proposition de règlement de la Commission européenne du 25 janvier 2011 renforce les pouvoirs des autorités nationales de protection des données personnelles et leur donne la possibilité d'imposer aux responsables de traitement, des amendes allant de 1.000.000 EUR à 2% de leur chiffre d'affaire mondial.




Paul Van den Bulck (Avocat associé au cabinet McGuireWoods Bruxelles)

Caroline Dubois (Avocat au cabinet McGuireWoods Bruxelles)




Imprimer cette fiche (format A4)