commentÉs les codes larcier commentÉs Protection des ... · les codes commentÉs larcier...

les codescommentÉs

larcierProtection des

données à caractère personnel

(loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des

traitements de données à caractère personnel)

les codescommentÉs

larcier

Valérie Verbruggen est Conseiller juridique auprès de la Commission de la protection de la vie privée, plus particulièrement chargée des questions internationales. Diplômée en droit de l'Université Libre de Bruxelles et spécialisée en droit international public et droits de l'homme (Leiden (Pays-Bas) et Université catholique de Louvain), elle a précédemment exercé la fonction d'avocate au barreau de Bruxelles et d'assistante à la coordination du Réseau d'experts en droits fondamentaux de l'Union européenne, précurseur de l'Agence des droits fondamentaux de l'Union.

co

mm

entÉ

s

thÉm

atiq

ues

e

ssen

tiel

s

les

cod

esco

mm

entÉ

sla

rcie

rPr

otec

tion

des

donn

ées

à ca

ract

ère

pers

onne

l 201

1

Protection des données à caractère personnel

2011

Des textes bruts issus des grands codes fondateurs.

Une sélection transversale de textes bruts pour un domaine d’expertise particulier.

Pour un domaine d’expertise spécifique, une sélection transversale de textes commentés.

Ces collections de référence constituent, avec les Codes Larcier, l’offre législative Larcier.

www.larcier.com • www.stradalex.com

Gra

phis

me

: Gel

uck-

Suyk

ens,

d’An

drim

ont

PLCOMPRIVISBN 978-2-8044-4795-3

2011Valérie Verbruggen

Données à caractère personnel, principe de proportionnalité, responsable du traitement, obligation de sécurité, droits d’accès et à l’information, binding corporate rules, privacy by design… autant de notions clés issues de la Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel et de son application qu’il est difficile d’appréhender à la seule lecture. Pour chaque disposition de la « Loi Vie privée » (LVP), la Commission de la protection de la vie privée (CPVP) propose, par la plume de l’auteur, une sélection de références normatives, jurisprudentielles et doctrinales utiles à leur remise en contexte, leur interprétation dynamique et leur application pratique. La perspective de ce travail documentaire est résolument internationale. Sont ainsi notamment répertoriées les normes essentielles en matière de protection des données personnelles des Nations-Unies, de l’OCDE, du Conseil de l’Europe et de l’Union européenne (UE) de même que plus d’une centaine d’avis du Groupe de travail de l’Article 29 de l’UE et la jurisprudence tant de la Cour de Justice de Luxembourg que de la Cour européenne des droits de l’homme. Juristes, avocats, magistrats, chercheurs et autres praticiens, amenés à appliquer la LVP, y trouveront toutefois également des renvois à l’arrêté royal du 13 février 2001 et au règlement d’ordre intérieur de la CPVP, deux textes indispensables à une approche complète du cadre normatif belge relatif aux traitements de données à caractère personnel.

Table des matières

Les Codes commentés Larcier – Protection données personnelles (1er avril 2011) – © Larcier i

Table des matières

INTRODUCTION

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

MÉTHODOLOGIE

Contenu et méthodologie . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

LOI DU 8 DÉCEMBRE 1992

Loi du 8 décembre 1992 relative à la protection de la vieprivée à l'égard des traitements de données à caractèrepersonnel. (Mon. 18 mars 1993) . . . . . . . . . . . . . . . . . . . . . 9

INDEX

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

ANNEXES

Loi du 8 décembre 1992 relative à la protection de la vieprivée à l'égard des traitements de données à caractèrepersonnel. (Mon. 18 mars 1993) . . . . . . . . . . . . . . . . . . . . . 253

Règlement d'ordre intérieur du 11 avril 2007 –Commission de la protection de la vie privée (Mon. 10

mai 2007, p. 25590). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

Arrêté royal du 13 février 2001 portant exécution de laloi du 8 décembre 1992 relative à la protection de la vieprivée à l'égard des traitements de données à caractèrepersonnel. (Mon. 13 mars 2001, p. 7839) . . . . . . . . . . . . . . 276

Table des matières analytique

Les Codes commentés Larcier – Protection données personnelles (1er avril 2011) – © Larcier iii

Table des matières

CHAPITRE IDéfinitions, principe et champ

d’application

Article 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9concepts et définitions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9données à caractère personnel . . . . . . . . . . . . . . . . . . . . . . 9personne concernée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9identité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9traitement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21fichier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24responsable du traitement . . . . . . . . . . . . . . . . . . . . . . . . . . 25sous-traitant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28tiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28destinataire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28consentement de la personne concernée . . . . . . . . . . . . . 29Article 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30principe: droit à la protection de la vie privée . . . . . . . . . 30Article 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33champ d’application LVP . . . . . . . . . . . . . . . . . . . . . . . . . . . 34principe: données à caractère personnel dans un fichier 34exception générale: utilisation à des fins domestiques . 35exception spécifique: finalités de journalisme, d’expres-sion artistique ou littéraire . . . . . . . . . . . . . . . . . . . . . . . . . . 39données manifestement publiques: art. 6, 7 et 8 LVPnon applicables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399, § 1 et 9, § 2: finalités de journalisme, d’expression ar-tistique ou littéraire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42exception spécifique: sûreté de l’État, sécurité . . . . . . . . . 44exception spécifique: police . . . . . . . . . . . . . . . . . . . . . . . . . 49exception spécifique: blanchiment d’argent. . . . . . . . . . . 50exception spécifique: Centre pour enfants disparus . . . . 50Article 3bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50application territoriale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50établissement fixe sur le territoire belge . . . . . . . . . . . . . . 50pas d’établissement fixe sur le territoire de l’UE . . . . . . . 52

CHAPITRE IIConditions générales de licéité des

traitements de données à caractère personnel

Article 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54exigences quant au traitement de données à caractèrepersonnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55principe de licéité (légalité) . . . . . . . . . . . . . . . . . . . . . . . . . 55principe de loyauté . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55principe de finalité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

traitement ultérieur à des fins historiques, statistiquesou scientifiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56principe de proportionnalité . . . . . . . . . . . . . . . . . . . . . . . . 63données exactes et complètes . . . . . . . . . . . . . . . . . . . . . . . 68durée de conservation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69obligation du responsable du traitement . . . . . . . . . . . . . 76Article 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79bases légales du traitement . . . . . . . . . . . . . . . . . . . . . . . . . 79consentement indubitable . . . . . . . . . . . . . . . . . . . . . . . . . . 79ex-contractu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81ex-lege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82intérêt vital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85mission d’intérêt public et exercice de l’autorité publique 85intérêt légitime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Article 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97données sensibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98principe: interdiction de traitement . . . . . . . . . . . . . . . . . . 98exception à l’interdiction de traitement des donnéessensibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99consentement écrit révocable à tout moment . . . . . . . . . 100obligation en matière de droit du travail . . . . . . . . . . . . . . 101intérêt vital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101données à caractère personnel relatives aux membresd’une association. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101données publiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102défense en justice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102recherche scientifique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102sécurité sociale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102statistique publique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102médecine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103motif d’intérêt public consacré par la loi . . . . . . . . . . . . . . 103obligation au secret des professionnels des soins de santé 103conditions particulières . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Article 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104données à caractère personnel relatives à la santé . . . . . 105interdiction de traitement . . . . . . . . . . . . . . . . . . . . . . . . . . . 105exceptions à l’interdiction de traitement . . . . . . . . . . . . . . 107consentement écrit révocable à tout moment . . . . . . . . . 108obligations en matière de droit du travail . . . . . . . . . . . . . 109sécurité sociale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109motif d’intérêt public consacré par la loi . . . . . . . . . . . . . . 109intérêt vital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109données publiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109défense en justice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110médecine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110recherche scientifique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111conditions particulières par AR . . . . . . . . . . . . . . . . . . . . . . 111professionnels des soins de santé soumis au secret . . . . 111collecte auprès de la personne concernée. . . . . . . . . . . . . 112conditions de la collecte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Article 8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

Table des matières

iv Les Codes commentés Larcier – Protection données personnelles (1er avril 2011) – © Larcier

données judiciaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

principe: interdiction de traitement . . . . . . . . . . . . . . . . . 113

exceptions à l’interdiction de traitement . . . . . . . . . . . . . 113

exercice de tâches sous le contrôle d’une autorité publi-que ou d’un officier ministériel. . . . . . . . . . . . . . . . . . . . . . 114

finalités fixées par ou en vertu d’une loi . . . . . . . . . . . . . . 114

gestion du contentieux propre . . . . . . . . . . . . . . . . . . . . . . 116

conditions particulières par AR . . . . . . . . . . . . . . . . . . . . . 118

CHAPITRE IIIDroits de la personne concernée

Article 9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

obligation d’information du responsable du traitement 120

information de la personne concernée. . . . . . . . . . . . . . . 120

collecte directe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

information de la personne concernée. . . . . . . . . . . . . . . 123

collecte indirecte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

dispense d’information. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Article 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

droit d’accès de la personne concernée . . . . . . . . . . . . . . 127

droit d’accès aux données à caractère personnel relati-ves à la santé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

loi relative aux droits du patient. . . . . . . . . . . . . . . . . . . . . 135

demande répétée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

Article 11. (abrogé) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Article 12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

droit de rectification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

droit d’opposition au traitement . . . . . . . . . . . . . . . . . . . . 137

effacement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Article 12bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

décision prise sur le seul fondement d’un traitementautomatisé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

principe: interdiction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

Article 13 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

accès indirect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

Article 14 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

Article 15 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Article 15bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

responsabilité civile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

CHAPITRE IVDe la confidentialité et de la sécurité

du traitement

Article 16 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

responsabilité du responsable du traitement à l’égarddu sous-traitant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

mesures techniques et organisationnelles . . . . . . . . . . . . 146

CHAPITRE VDéclaration préalable

et publicité des traitements

Article 17 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

déclaration préalable auprès de la Commission . . . . . . . 152

exceptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

contenu de la déclaration. . . . . . . . . . . . . . . . . . . . . . . . . . . 153

déclaration en cas de modification ou suppression dutraitement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

dispense de déclaration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

paiement d’une contribution . . . . . . . . . . . . . . . . . . . . . . . 157

Article 17bis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

catégories particulières de traitement. . . . . . . . . . . . . . . . 157

risques particuliers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

préposé à la protection des données . . . . . . . . . . . . . . . . . 157

Article 18 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

registre public . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

Article 19 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

pouvoirs d’enquête de la Commission de la protectionde la vie privée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

fichiers de données à caractère personnel . . . . . . . . . . . . 161

Article 20 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

déclaration spécifique en vertu de la loi . . . . . . . . . . . . . . 161

CHAPITRE VITransfert de données à caractère

personnel vers des pays non membres de la Communauté européenne

Article 21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

pays assurant un niveau de protection adéquat . . . . . . . 162

interdiction de transferts consacrée par AR . . . . . . . . . . . 168

Article 22 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

exceptions à l’interdiction de transfert . . . . . . . . . . . . . . . 169

absence de protection adéquate. . . . . . . . . . . . . . . . . . . . . 169

consentement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

exécution d'un contrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

exécution d'un contrat - tiers . . . . . . . . . . . . . . . . . . . . . . . 173

intérêt public important . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

défense en justice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

intérêt vital. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

registre public . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

garanties suffisantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

clauses contractuelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

binding corporate rules (BCR). . . . . . . . . . . . . . . . . . . . . . . 178

règles d'entreprise contraignantes. . . . . . . . . . . . . . . . . . . 182

binding corporate rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

accord international . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

Table des matières analytique

Les Codes commentés Larcier – Protection données personnelles (1er avril 2011) – © Larcier v

CHAPITRE VIILa Commission de la protection

de la vie privée

Article 23. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191commission de la protection de la vie privée . . . . . . . . . . 191institution auprès de la Chambre des Représentants . . . 191siège . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191Article 24. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191indépendance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192Article 25. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196remplacement d’un commissaire . . . . . . . . . . . . . . . . . . . . 196Article 26. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196présidence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197président . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197vice-président. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197Article 27. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198Article 28. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198règlement d’ordre intérieur – conditions de délibérations 198Article 29. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198avis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199Article 30. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201recommandation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Article 31. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203traitement des plaintes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203procédure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205Article 31bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209comités sectoriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210comités sectoriels établis au sein de la Commission. . . . 210composition: 2 x 3 membres . . . . . . . . . . . . . . . . . . . . . . . . 210procédure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211fonctionnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211CS sécurité sociale et de la santé . . . . . . . . . . . . . . . . . . . . . 212CS Registre national . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216CS Banque-carrefour entreprises . . . . . . . . . . . . . . . . . . . . . 219CS Phénix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219CS statistiques publiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . 220AR du 7 juin 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221AR du 17 décembre 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . 223Article 32. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225compétences d’investigation et d’enquête . . . . . . . . . . . . 226recours à des experts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226enquête sur place . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226officier de police judiciaire . . . . . . . . . . . . . . . . . . . . . . . . . . 226demande de production de documents. . . . . . . . . . . . . . . 226accès à tous lieux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226dénonciation des infractions au Procureur du Roi . . . . . 227rapport annuel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228règlement des litiges par le Tribunal de première instance 228Article 32bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228Article 33. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228secret professionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228Article 34. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229budget . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

plan d’administration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Article 35. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229transition. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Article 36. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

CHAPITRE VIIbisComités sectoriels

Article 36bis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230comités sectoriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230comité sectoriel pour l’autorité fédérale . . . . . . . . . . . . . . 230

CHAPITRE VIIIDispositions pénales

Article 37. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234Article 38. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234Article 39. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234Article 40. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235Article 41. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235confiscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235effacement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235Article 42. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235Article 43. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235Code pénal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

CHAPITRE IXDispositions finales

Article 44. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236réglementation sectorielle . . . . . . . . . . . . . . . . . . . . . . . . . . 236codes de conduite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236Article 45. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237destruction des données en temps de guerre . . . . . . . . . . 237Article 46. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237Article 47. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237Article 48. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237Article 49. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237Article 50. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237Article 51. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237Article 52. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

INDEX

renvoi à d'autres législations . . . . . . . . . . . . . . . . . . . . . . . . 239législation internationale . . . . . . . . . . . . . . . . . . . . . . . . . . . 239avis du Groupe 29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243études et rapports du Conseil de l'Europe. . . . . . . . . . . . . 248jurisprudence du Tribunal de Première instance. . . . . . . 249jurisprudence de la Cour de Justice de l’Union européenne 249jurisprudence de la Cour européenne des droits del'homme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Table des matières

vi Les Codes commentés Larcier – Protection données personnelles (1er avril 2011) – © Larcier

ANNEXES

Loi du 8 décembre 1992. . . . . . . . . . . . . . . . . . . . . . . . . . . . 253Arrêté royal du 13 février 2001. . . . . . . . . . . . . . . . . . . . . . 271Règlement d'ordre intérieur de la CPVP. . . . . . . . . . . . . . 276

Introduction

Les Codes commentés Larcier – Protection données personnelles (1er avril 2011) – © Larcier 1

INTRODUCTION

Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

INTRODUCTIONLa loi du 8 décembre 1992 relative à la protection des don-nés à caractère personnel est l’outil de travail premier de laCommission de la protection de la vie privée (CPVP). Quoti-diennement, ses commissaires et les conseillers juridiquesqui, comme l’auteur, composent son Secrétariat1 sont plon-gés dans sa cinquantaine d’articles; ils en exploitent, appli-quent et interprètent les principes fondamentaux, les nuan-ces, les subtilités; ils réfléchissent aussi à ses ambiguïtés et àses incomplétudes. Depuis 18 ans désormais, la loi du 8 dé-cembre 1992, complétée par l’arrêté royal du 13 février2001, constitue la grille de lecture à l’aune de laquelle sontpréparés les avis sollicités par les chambres législatives et lesgouvernements, sont traitées les plaintes soumises à la mé-diation de la Commission, et sont, plus récemment, autori-sés certains traitements de données à caractère personnel.Elle constitue également le point de départ de toute réponseaux interrogations et demandes d’information du citoyen.Celle que l’on a pris l’habitude d’appeler la «Loi Vie privée»(LVP) n’est cependant pas un instrument juridique isolé.Elle s’inscrit dans le prolongement de textes internatio-naux majeurs en matière de protection des données votésdans différentes enceintes telles que les Nations-Unies(ONU), l’Organisation pour la coopération et le développe-ment économiques (OCDE), le Conseil de l’Europe (CoE) etl’Union européenne (UE). Fille de la Directive européenne95/46/CE relative à la protection des personnes physiques àl'égard du traitement des données à caractère personnel et àla libre circulation de ces données, qui elle même précise etcomplète la Convention n°108 du Conseil de l’Europe pourla protection des personnes à l'égard du traitement automa-tisé des données à caractère personnel, l’ancrage de la LoiVie privée dans la dynamique internationale — et tout par-ticulièrement européenne — de règlementation des traite-ments de données à caractère personnel est évident.Ces enceintes ont, souvent, complété leur texte «premier» enmatière de protection des données personnelles par des ins-truments interprétatifs, des protocoles additionnels et/oudes recommandations sectorielles. Au sein de l'Union euro-péenne, on retiendra tout particulièrement l'aide précieuse àl'interprétation et à l'harmonisation de la directive — et parlà-même aux lois nationales qui la transposent telle la Loi Vieprivée — que constituent les avis du Groupe de travail de l'Ar-ticle 29 (Groupe 29 ou G29) au sein duquel la Commissionde la protection de la vie privée et ses homologues européen-nes sont représentées. Progressivement, et comme suite na-

turelle à sa consécration au rang de droit fondamental dis-tinct par la Charte des droits fondamentaux de l’Union, le Tri-bunal de première instance et la Cour de Justice de l’Unioneuropéenne développent une jurisprudence relative au droità la protection des données à caractère personnel. La Courde Strasbourg a, quant à elle, depuis de nombreuses annéesdéjà, construit une jurisprudence dynamique et riche d'en-seignement au départ de l'article 8 de la Convention euro-péenne des droits de l'homme. Citons ici aussi le travail duComité consultatif de la Convention n°108, chargé de contri-buer à la bonne application de ladite Convention (T-PD).C’est ce foisonnement qui nous a incités à proposer dans ceCode commenté, pour chacune des dispositions de la Loi Vieprivée, un certain nombre de références — normatives, juris-prudentielles et doctrinales — jugées utiles à la remise encontexte de ses dispositions, à leur bonne compréhensionainsi qu’à leur interprétation. La perspective de ce Codecommenté est résolument internationale. Ni la jurispru-dence des cours et tribunaux de l’ordre judiciaire belge nicelle forgée par la Commission de la protection de la vie pri-vée en exécution de ses compétences d’avis, de recomman-dation et d’autorisation, n’y sont reprises. Certains le regret-teront sans doute. Ce Code commenté n’en est pas moins ap-pelé à être régulièrement mis à jour et complété2. Il recenseactuellement différentes sources au 31 décembre 2010.Un jour peut-être, nous attèlerons nous à ce vaste chantierde la jurisprudence de la Commission de la protection de lavie privée et à celui des travaux préparatoires de la loi et deses amendements.Il a fallu opérer des choix et les sources aujourd'hui réfé-rencées ne se veulent pas exhaustives. Dans un premiertemps, 7 rubriques ont été développées (voy. «Contenu etMéthodologie» infra):

Ce Code commenté est conçu comme un guide de référen-ces. Son ambition est exclusivement documentaire et nonanalytique. Aucune analyse n’est proposée et les référencescitées ne sont pas commentées. Nous laissons au lecteur le

1. L'initiative de ce Code commenté revient à Mon-sieur W. Debeuckelaere, président de la Commis-sion de la protection de la vie privée. Il a été préparé avec l’aide précieuse de Mme. B. Reyns, de Monsieur T. Claessens et des traducteurs dans le cadre de leurs fonctions respectives au sein de la Commission de la protection de la vie privée. Nous les en remercions très chaleureusement. Une traduction de ce Code commenté en langue néer-landaise existe par ailleurs.

2. Une version électronique — légèrement différente dans sa mise en page — de ce Code commenté est disponible sur le site Internet de la Commission de la protection de la vie privée http://www.privacy-commission.be tant en français qu’en néerlandais.

• Règlement d’ordre intérieur de la Commission de la pro-tection de la vie privée

• Arrêté royal du 13 février 2001• Renvoi à d'autres législations par la Loi Vie privée• Législation internationale• Avis du Groupe de travail de l’Article 29 (Groupe 29)• Études et rapports du Conseil de l’Europe• Jurisprudence de la Cour de justice de l’Union européen-

ne• Jurisprudence de la Cour européenne des droits de

l’homme

Introduction

2 Les Codes commentés Larcier – Protection données personnelles (1er avril 2011) – © Larcier

soin, à l’appui des sources référencées et/ou d’autres dontil prendrait connaissance, de se forger une opinion. À titred’exemple, si certaines dispositions de la Loi Vie privée sontdirectement inspirées de la Convention n°108 ou de la di-rective européenne 95/46/CE, elles n'en sont pas pourautant toujours parfaitement identiques à celles-ci et l'in-terprétation que l'une et l'autre recevront pourra différer.Aujourd’hui, nombreux sont ceux qui réfléchissent à uncadre règlementaire européen mieux adapté aux défis querencontre la protection de la vie privée et des données à ca-

ractère personnel. Des initiatives se multiplient par ailleurspour tenter de dégager un certain nombre de principes uni-versels de protection. Dans ce contexte, nous formons levœu que ce guide de références contribue tant à la connais-sance de la règlementation de la protection de la vie privée àl’égard des traitements de données à caractère personnelqu’à la réflexion dans ce domaine du droit passionnant et enconstante évolution.

Bonne découverte!

Méthodologie


MÉTHODOLOGIE

Contenu et méthodologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

CONTENU ET MÉTHODOLOGIESept rubriques sont développées dans ce Code commenté«Loi Vie privée». Les pages qui suivent explicitent, pourchacune de ces rubriques, les raisons qui ont guidé lechoix de l’auteur («Pourquoi cette rubrique?»), le contenude la rubrique («Que trouverai-je sous cette rubrique?») et

où et comment les documents qui y sont référencés etdont des extraits pertinents ou un résumé sont proposéspeuvent être consultés («Où puis-je retrouver ces docu-ments?»). Un bref mot d’explication relatif aux Index clôtchaque présentation de rubrique.

L’ARRÊTÉ ROYAL DU 13 FÉVRIER 2001

Pourquoi une rubrique «Arrêté royal du 13 février 2001»?

Dans la foulée de l’adoption de la Loi du 8 décembre1992, un certain nombre d’arrêté royaux d’exécution sontvenus la compléter. L’arrêté royal du 13 février 2001 (ARdu 13 février 2001) a opéré une refonte de la quinzained'arrêtés royaux adoptés jusqu’alors.

Que trouverai-je sous cette rubrique?

L’AR du 13 février 2001 précise les conditions dans les-quelles certaines dispositions de la Loi Vie privée doiventêtre appliquées:

Exemples

– L’arrêté royal ajoute que lors du traitement de donnéesà caractère personnel sensibles, relatives à la santé et judi-ciaires, le responsable de traitement doit prendre des mesu-res complémentaires telles que, notamment, la désignation

des catégories de personnes autorisées à accéder à ces don-nés et la soumission de ces dernières à une obligation de con-fidentialité (articles 25 et 26). Partant, ces articles 25 et 26 del’AR du 13 février 2001 sont reproduits sous les articles 6, 7 et8 de la Loi Vie privée respectivement consacrés au traitementdes données sensibles, relatives à la santé et judiciaires.

– Les articles 37 à 46 du même arrêté royal complètentl’article 13 de la Loi Vie privée en explicitant de quelle ma-nière l’accès indirect – par opposition à la règle générale del’accès direct – à certaines données à caractère personnelpeut avoir lieu. Ils complètent la lecture de cette disposition.

Comment puis-je retrouver l’arrêté royal du 13 février 2001?

L’arrêté est annexé au présent Code commenté (voy.«Annexes»). L’arrêt royal peut également être consulté surle site Internet de la Commission de la protection de la vieprivée (http://www.privacycommission.be – rubrique «Lé-gislation»).

LE RÈGLEMENT D’ORDRE INTÉRIEUR DE LA COMMISSION DE LA PROTECTION DE LA VIE PRIVÉE

Pourquoi une rubrique «Règlement d’ordre intérieur»?

Comme la Loi Vie privée l’y invite, la Commission de laprotection de la vie privée a adopté un Règlement d’ordre in-térieur. Son premier règlement (1995-2007) a en mai 2007,été remplacé par une version amendée qui tient notammentcompte de l’expérience de travail acquise par la Commissionet de l’intégration en son sein de comités sectoriels. Le Règle-ment d’ordre intérieur explicite le rôle de la Commission, sescompétences et la manière dont elle exerce celles-ci.


C’est dès lors surtout au regard des dispositions qui ac-cordent ses compétences à la Commission que des extraitsdu Règlement d’ordre intérieur sont référencés.

Exemples

– Les articles 29 et 30 de la Loi Vie privée confient à laCommission une compétence d’avis et de recommanda-

tion sur toute question relevant du champ d’application dela loi du 8 décembre 1992. Partant, on trouvera référen-cées sous ces dispositions, les précisions apportées par leRèglement d’ordre intérieur explicitant la manière donttoute demande d’avis est traitée, dont toute procédure derecommandation est organisée.

– Le traitement de plaintes (article 31 de la Loi Vie pri-vée) soumises à la médiation de la Commission est, parexemple, également complété par les dispositions que luiconsacre le Règlement d’ordre intérieur.

Comment puis-je retrouver le Règlement d’ordre intérieur?

Le Règlement d’ordre intérieur est annexé au présentCode commenté (voy. «Annexes»). Il peut également êtreconsulté sur le site Internet de la Commission de la protec-tion de la vie privée (http://www.privacycommission.be –rubrique «Législation»).

Méthodologie


RENVOI VERS D’AUTRES LÉGISLATIONS

Pourquoi une rubrique «Renvoi vers d’autres législations»?

La loi du 8 décembre 1992 a vocation à s’appliquer dansdes contextes multiples et variés. Le législateur a parfois es-timé que certaines de ses dispositions devaient céder de-vant d’autres normes plus spécifiquement adaptées à l’unou l’autre contexte. Ses dispositions s’intègrent par ailleursdans le corpus législatif existant auquel elles renvoient par-fois et coexistent avec des législations spécifiques auxquel-les elles sont étroitement liées.


Sous cette rubrique «Renvoi vers d’autres législations»sont reproduites les dispositions d’autres législations aux-quelles la Loi Vie privée renvoie explicitement.

Exemples

– L’article 10 § 2 de la Loi Vie privée règlemente le droitd’accès aux données à caractère personnel relatives à lasanté et ce, sans préjudice de l’article 9 § 2 de la loi du 22août 2002 relative aux droits du patient. L’article 9 § 2 decette dernière législation est dès lors reproduit de manière àfaciliter la lecture et la compréhension complètes du lecteur.

– Comme suite à la modification de la Loi Vie privée in-tervenue en 2003, des comités sectoriels ont été instituésau sein de la Commission. Les articles 31bis et 36bis de laLoi Vie privée y sont consacrés. Cependant, c’est surtoutaux termes des législations spécifiques qui les instituent, etle cas échéant d’arrêtés royaux d’exécution, que leur com-position, leurs compétences et leur fonctionnement sontdétaillés. Partant, les extraits pertinents de ces règlementa-tions – la Loi du 8 août 1983 organisant un registre natio-nal des personnes physiques ou l’arrêté royal du 17 décem-bre 2003 pour n’en citer que quelques uns – sont repro-duits sous les articles 31bis et 36bis de la Loi Vie privée.

Comment puis-je retrouver ces «autres législations»?

Certaines de ces législations sont également consulta-bles sur le site Internet de la Commission de la protectionde la vie privée (http://www.privacycommission.be – ru-brique «Législation»). De manière plus générale, la législa-tion à laquelle renvoie la Loi Vie privée est disponible via lem o t e u r d e r e c h e r c h e d u S P F J u s t i c e : h t t p : / /www.just.fgov.be/index_fr.htm - («Moniteur belge»).

Index

Un index chronologique des législations auxquelles il estrenvoyé figure aux dernières pages de ce Code commenté.

LÉGISLATION INTERNATIONALE

Pourquoi une rubrique «Législation internationale»?

La Loi Vie privée n’est pas un instrument juridique isolé.Elle s’inscrit dans la dynamique de réglementation, inter-nationale notamment, des traitements de données à carac-tère personnel et plus largement, de la protection du droitfondamental à la vie privée.

Partant, les instruments qui concourent à ces protec-tions, qu’ils soient adoptés au niveau des Nations-Unies, del’OCDE, du Conseil de l’Europe ou de l’Union européennesont autant de sources qui méritent d’être consultées parqui s’intéresse à la genèse, mais aussi à l’avenir, du régimede protection des données à caractère personnel.

La Loi Vie privée transpose la directive 95/46/CE et l’ap-plication de certaines de ses dispositions – celles relativesaux flux transfrontières par exemple – est étroitement liéeaux décisions prises au niveau des institutions de l’Union.Ce Code commenté renvoie logiquement à ces décisions.


Quelques exemples

– L’article 2 de la Loi Vie privée énonce que «lors du trai-tement de données à caractère personnel, toute personnephysique a droit au respect de ses libertés et droits fonda-mentaux, notamment à la protection de sa vie privée». Destextes tels que le Pacte international des droits civils et po-litiques (article 17), la Convention européenne des droitsde l’homme (article 8) ou la Charte des droits fondamen-taux de l’Union européenne (articles 7 et 8) qui consacrent

un droit fondamental à la protection de la vie privée sontdès lors mentionnés sous cette affirmation générale.

– Les bases de légitimité des traitements énoncées à l’ar-ticle 5 de la Loi Vie privée s’inspirent de celles figurant àl’article 7 de la directive 95/46/CE; il y est dès lors renvoyé.

– L’article 21 de la Loi Vie privée autorise les transfertsvers des pays non membres de l’Union européenne pourautant que ceux-ci garantissent un niveau adéquat de pro-tection des données à caractère personnel transférées. Par-tant, les décisions par lesquelles la Commission euro-péenne reconnaît que l’un ou l’autre état tiers assure un telniveau de protection sont mentionnées au regard de l’arti-cle 21 de la Loi Vie privée.

Comment puis-je retrouver les sources mentionnées sous cette rubrique?

Le lecteur est renvoyé aux sites Internet mentionnés àl’Index.

Le Conseil de l’Europe dispose d’une page spéciale «Pro-tection des données à caractère personnel» au départ de la-quelle les principaux textes de références et travaux du Con-seil de l’Europe peuvent être consultés: http://www.coe.int/t/dghl/standardsetting/dataprotection/Default_fr.asp

La plupart des documents intéressant la protection desdonnées au sein de l’Union européenne peuvent être con-sultés au départ de la page d’accueil «Protection des don-nées» de la Direction générale Justice, Liberté Sécurité(JLS) de la Commission européenne: http://ec.europa.eu/justice/policies/privacy/index_en.htm

Méthodologie


Index

Un index chronologique des textes adoptés par les diffé-rentes enceintes internationales et référencés dans ce do-cument figure aux dernières pages de ce Code commenté.

LES AVIS DU GROUPE DE TRAVAIL DE L’ARTICLE 29 (GROUPE 29)

Pourquoi une rubrique «Avis du Groupe 29»?

Les autorités de protection des données des 27 Étatsmembres que compte actuellement l’Union européennesont, ainsi que le contrôleur européen à la protection desdonnées1, représentés au sein du Groupe 29. La Commis-sion de la protection de la vie privée participe à ce titre auxtravaux de ce groupe de travail notamment chargé de con-tribuer à une application harmonisée de la directive 95/46/CE que transpose la Loi Vie privée.


En 13 ans de travaux (1997-2010), le Groupe de travail arendu près de 180 avis, documents de travail, recomman-dations et résolutions sur des sujets variés: protection desdonnées à caractère personnel sur Internet, dans le cadredes relations de travail, dans le cadre de la lutte contre leterrorisme. Récemment, des sujets tels que l’utilisation dela biométrie et de la technologie RFID ont, parmi beau-coup d’autres, également retenu son attention.

Plus d’une centaine de documents adoptés par leGroupe 29 sont référencés dans ce Code commenté de laLoi Vie privée. Un court résumé de chaque avis ou un ex-trait pertinent de celui-ci au regard de la disposition anno-tée est proposé pour guider le lecteur dans sa recherche etl’inciter, le cas échéant, à approfondir son analyse en pre-nant connaissance de l’avis dans son intégralité.

Exemples

– L’article 1 § 1 de la Loi Vie privée définit ce qu’il faut en-tendre par «donnée à caractère personnel». Cette définitionest directement inspirée de l’article 2 a) de la directive 95/46/CE. En 2007, le Groupe 29 a adopté un document de travailconsacré à la notion de «donnée à caractère personnel»: Querecouvre cette notion? Quels sont les éléments constitutifs de

sa définition? Comment doit-elle être appliquée? Partant, cetavis est référencé sous l’article 1 § 1 de la Loi Vie privée.

– L’article 7 § 2 de la Loi Vie privée énonce les condi-tions dans lesquelles le traitement de données à caractèrepersonnel relatives à la santé est autorisé. L’avis du Groupe29 consacré aux dossiers médicaux électroniques est men-tionné sous cette disposition.

Comment puis-je retrouver les avis du Groupe 29?

Les documents adoptés par le Groupe 29 ne sont pas an-nexés. Ses avis, documents de travail, recommandations etrésolutions peuvent être consultés à l’adresse suivantehttp://ec.europa.eu/justice/policies/privacy/working-group/index_en.htm

Ces documents y sont le plus souvent disponibles dansl’ensemble des langues de travail de l’Union européenne. Àdéfaut de version française ou néerlandaise, une version enanglais – langue de rédaction première – est toujours dispo-nible2. La page d’accueil du Groupe propose différentes ru-briques que le lecteur intéressé pourra consulter afin de pren-dre connaissance des membres du groupe de travail, de sesrègles de procédure, de ses rapports d’activité annuels, etc.

Pour consulter les travaux du groupe proprement dits,cliquez sur «Documents adoptés». L’ensemble desdits do-cuments est inventorié année par année. Il vous suffit decliquer sur l’année d’adoption du document et de parcou-rir la liste proposée pour le retrouver.

Index

Un index chronologique des textes du Groupe 29 réfé-rencés dans ce Code commenté figure aux dernières pagesde cet ouvrage.

LES ÉTUDES ET RAPPORTS DU CONSEIL DE L’EUROPE

Pourquoi une rubrique «Études et Rapports du Conseil de l’Europe»?

Le Comité consultatif de la Convention n°108 du Conseil del’Europe pour la protection des personnes à l’égard du traite-ment automatisé des données à caractère personnel (T-PD) apour mission de formuler des propositions en vue de faciliterou d’améliorer l’application de la Convention et d’exprimerun avis sur toute question relative à l’application de celle-ci.

Dans le cadre de ses fonctions, ce comité peut égale-ment faire appel à des experts aux fins de se pencher surl’une ou l’autre question pointue ayant trait à la protectiondes données à caractère personnel et à l’application de laConvention n°108.

Ces travaux sont autant de sources intéressantes à con-sulter dès lors que les concepts consacrés par la Conven-tion n°108 ont, certes de manière plus détaillée, été reprispar la directive 95/46/CE que transpose la Loi Vie privée.

1. Sur le contrôleur européen à la protection des don-nées voy. http://www.edps.europa.eu/EDPSWEB/

2. Les traductions sont mises en ligne progressive-ment. Le lecteur est invité à consulter régulière-ment le site Internet du groupe de travail pour prendre connaissance du document dans les ver-sions linguistiques de son choix.

Méthodologie



L’ensemble des ces travaux est regroupé sous la rubri-que «Études et Rapports du Conseil de l’Europe».

Exemples

– L’avis du Comité consultatif de la Convention n°108(T-PD) consacré aux notions de «traitement» et de «respon-sable de traitement» est mentionné sous les paragraphes 2et 4 de l’article 1er de la Loi Vie privée qui définissent res-pectivement la notion de «traitement» et de celle de «res-ponsable de traitement».

– L’étude consacrée par Mr. SIMITIS aux données sensi-bles est référencée sous les articles 6, 7 et 8 de la Loi Vie pri-vée consacrés aux données sensibles sensu lato.

Comment puis-je retrouver les Rapports et Études du Conseil de l’Europe?

Les Études et Rapports du Conseil de l’Europe sont con-sultables en français et en anglais sur le site Internet duConseil de l’Europe à http://www.coe.int/t/dghl/stan-dardsetting/dataprotection/docrep_fr.asp

Index

Un index chronologique des Études et Rapports du Con-seil de l’Europe référencés dans ce Code commenté figureaux dernières pages de cet ouvrage.

LA JURISPRUDENCE DE LA COUR DE JUSTICE DE L’UNION EUROPÉENNE

Pourquoi une rubrique « Jurisprudence de la Cour de justice de l’Union européenne»?

Le Tribunal de première instance et la Cour de justice deLuxembourg sont naturellement amenés à se pencher surles dispositions de la directive 95/46/CE et à préciser leurportée à l’occasion de l’un ou l’autre litige. Leur jurispru-dence est essentielle à la bonne compréhension et à la cor-recte application des concepts de la directive et partant,des dispositions nationales qui les transposent.


Les extraits pertinents de quelques arrêts rendus par leTribunal de première instance et la Cour de justice en lamatière sont reproduits sous les dispositions concernéesde la Loi Vie privée.

Exemple

– Dans l’arrêt Bodil Linquvist, la Cour de justice deLuxembourg précise qu’indubitablement, l’opération con-sistant à faire référence, sur une page Internet, à diverses

personnes et à les identifier soit par leur nom, soit pard’autres moyens est qualifiée de «traitement de données àcaractère personnel». Partant, il est fait référence à cette ju-risprudence sous l'article 1 §§ 1 et 2 de la Loi Vie privée; lesparagraphes 1 et 2 définissant respectivement la notion de«donnée à caractère personnel» et celle de «traitement».

Comment puis-je retrouver les arrêts de la Cour de justice de l’Union européenne?

La jurisprudence tant du Tribunal de première instanceque de la Cour de justice des Communautés européennesest disponible via le moteur de recherche http://www.cu-ria.europa.eu

Index

Un index chronologique des arrêts rendus par le Tribu-nal de première instance et par la Cour de justice del’Union européenne référencés dans ce Code commenté fi-gure aux dernières pages de cet ouvrage.

LA JURISPRUDENCE DE LA COUR EUROPÉENNE DES DROITS DE L’HOMME

Pourquoi une rubrique « Jurisprudence de la Cour européenne des droits de l’homme»?

Conformément à sa jurisprudence selon laquelle la Con-vention est un «instrument vivant», la Cour européenne a,au départ de l’article 8 qui consacre le droit à la protectionde la vie privée, développé une jurisprudence abondanterelativement à la protection des données à caractère per-sonnel. Les principes de légitimité et de proportionnalitéreçoivent dans ce cadre une attention toute particulière.


Une septantaine d’arrêts traitant de données à caractèrepersonnel a été sélectionnée par le Secrétariat du Comitéconsultatif de la Convention 108 (T-PD). Au départ de cettesélection, les arrêts ont été référencés sous les dispositions

de la Loi Vie privée avec lesquelles les considérations déve-loppées par l’arrêt peuvent utilement être mis en lien.

Exemples

– Aux termes de l’arrêt Rotaru c. Roumanie notamment, laCour détaille ce qu’il convient d’entendre par «ingérenceprévue par la loi». Partant, cet arrêt est référencé sous l’article5 de la Loi Vie privée qui traite de la légitimité du traitement.

– L’arrêt Segersted-Wiberg et autres c. Suède abordeentre autres questions celle de savoir dans quelle mesurel’autorité de protection des données suédoise peut, au re-gard de ses compétences, être considérée comme offrantun recours effectif au sens de l’article 13 de la Conventioneuropéenne des droits de l’homme. Cet arrêt est cité enmarge des articles de la Loi Vie privée qui traitent des com-pétences de la Commission.

Méthodologie


Comment puis-je retrouver les arrêts de la Cour européenne des droits de l’homme?

Les arrêts de la Cour de Strasbourg sont disponibles surl e s i t e I n t e r n e t d e l a C o u r à l ’ a d r e s s e h t t p : / /www.echr.coe.int/echr

Pour consulter les arrêts cliquez sur «Jurisprudence». Lemoteur de recherche de la Cour vous permet d’effectuerune recherche sur la base de multiples critères.

Le Secrétariat du Comité consultatif de la Conventionn°108 (T-PD) a répertorié les principaux arrêts de la Courqui abordent des questions relevant de la protection des

personnes à l’égard du traitement de données à caractèrepersonnel. Un Compendium de jurisprudence a ainsi étéétabli. Ce Compendium comprend, pour chaque arrêt re-tenu, les extraits pertinents du corps de l’arrêt et le disposi-tif adopté par la cour. Il est régulièrement mis à jour. Cettepublication est disponible auprès du Conseil de l'Europe.

Index

Un index chronologique des arrêts rendus par la Coureuropéenne des droits de l’homme référencés dans ceCode commenté figure aux dernières pages de cet ouvrage.

Loi du 8 décembre 1992Loi Vie Privée (Art. 1/er)


LOI DU 8 DÉCEMBRE 1992

L. du 8 décembre 1992 – Loi organique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

(Mon. 18 mars 1993)

CHAPITRE Ier

DÉFINITIONS, PRINCIPE ET CHAMP D'APPLICATIONArt. 1er. § 1er. }1[Pour l'application de la présente loi, onentend par «données à caractère personnel» toute infor-mation concernant une personne physique identifiée ouidentifiable, désignée ci-après «personne concernée»; estréputée identifiable une personne qui peut être identifiée,directement ou indirectement, notamment par référenceà un numéro d'identification ou à un ou plusieurs élé-ments spécifiques, propres à son identité physique, phy-siologique, psychique, économique, culturelle ou sociale.

§ 2. Par «traitement», on entend toute opération ouensemble d'opérations effectuées ou non à l'aide de pro-cédés automatisés et appliquées à des données à carac-tère personnel, telles que la collecte, l'enregistrement,l'organisation, la conservation, l'adaptation ou la modi-fication, l'extraction, la consultation, l'utilisation, lacommunication par transmission, diffusion ou touteautre forme de mise à disposition, le rapprochement oul'interconnexion, ainsi que le verrouillage, l'effacementou la destruction de données à caractère personnel.

§ 3. Par «fichier», on entend tout ensemble structuré dedonnées à caractère personnel accessibles selon des critè-res déterminés, que cet ensemble soit centralisé, décentra-lisé ou réparti de manière fonctionnelle ou géographique.

§ 4. Par «responsable du traitement», on entend lapersonne physique ou morale, l'association de fait oul'administration publique qui, seule ou conjointementavec d'autres, détermine les finalités et les moyens dutraitement de données à caractère personnel.

Lorsque les finalités et les moyens du traitement sontdéterminés par ou en vertu d'une loi, d'un décret oud'une ordonnance, le responsable du traitement est lapersonne physique, la personne morale, l'association defait ou l'administration publique désignée comme res-ponsable du traitement par ou en vertu de cette loi, dece décret ou de cette ordonnance.

§ 5. Par «sous-traitant», on entend la personne physi-que ou morale, l'association de fait ou l'administration

publique qui traite des données à caractère personnelpour le compte du responsable du traitement et est autreque la personne qui, placée sous l'autorité directe du res-ponsable du traitement, est habilitée à traiter les données.

§ 6. Par «tiers», on entend la personne physique, la per-sonne morale, l'association de fait ou l'administration pu-blique, autre que la personne concernée, le responsabledu traitement, le sous-traitant et les personnes qui, pla-cées sous l'autorité directe du responsable du traitementou du sous-traitant, sont habilitées à traiter les données.

§ 7. Par «destinataire», on entend la personne physi-que, la personne morale, l'association de fait ou l'admi-nistration publique qui reçoit communication de don-nées, qu'il s'agisse ou non d'un tiers; les instances admi-nistratives ou judiciaires qui sont susceptibles de rece-voir communication de données dans le cadre d'uneenquête particulière ne sont toutefois pas considéréescomme des destinataires.

§ 8. Par «consentement de la personne concernée», onentend toute manifestation de volonté, libre, spécifique etinformée par laquelle la personne concernée ou son repré-sentant légal accepte que des données à caractère person-nel la concernant fassent l'objet d'un traitement.]1 {2

}1. – Ainsi modifié par la loi du 11 décembre 1998, art. 2. En ce quiconcerne l'entrée en vigueur de cet art. 2, l'art. 52 de ladite loi, préciseque le Roi fixe la date de l'entrée en vigueur de chacune de ses disposi-tions et le délai dans lequel le responsable du traitement doit se confor-mer aux dispositions de ladite loi pour les traitements existants au mo-ment de leur entrée en vigueur.

F 2. – Voy. l'A.R. du 13 février 2001 (M.B. 13 mars 2001, p. 7839),dont l'art. 70 dispose que :

«Toutes les dispositions de la loi du 11 décembre 1998 en-trent en application le premier jour du sixième mois suivantcelui durant lequel cet arrêté est publié au Moniteur belge.

À partir du même jour, les responsables du traitement doi-vent se conformer aux dispositions de la loi du 11 décembre1998, pour tous les traitements existants et futurs de don-nées à caractère personnel.»

CONCEPTS ET DÉFINITIONSDONNÉES À CARACTÈRE PERSONNEL

PERSONNE CONCERNÉEIDENTITÉ

§ 1 Concepts et définitions, données à caractère personnel, personne concernée, identité

Données à caractère personnel

1. LÉGISLATION INTERNATIONALE

- Article 2 a) de la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traite-ment automatisé des données à caractère personnel (1981): les données à caractère personnel sont définiescomme étant toute information concernant une personne physique identifiée ou identifiable.

Loi du 8 décembre 1992 Loi Vie Privée (Art. 1/er)


- Rapport explicatif de la Convention n° 108 (commentaire sur les dispositions de la Convention) - (points 28 et29): une personne identifiable s'entend d'une personne qui peut facilement être identifiée; cela ne couvre pasl'identification de personnes par des méthodes très complexes. La notion de "personne concernée" exprimel'idée selon laquelle toute personne possède un droit subjectif par rapport aux informations qui la concernent(cf. l'expression data subject).

- Recommandation n° R(99)5 du Comité des Ministres du Conseil de l'Europe sur la protection de la vie privée sur In-ternet: Lignes directrices pour la protection des personnes à l'égard de la collecte et du traitement de données àcaractère personnel sur les "Inforoutes" (1999): l'adresse électronique constitue une donnée à caractère personnel.

- Article 2 a) de la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement desdonnées à caractère personnel et à la libre circulation de ces données (1995): les donnés à caractère personnely sont définies comme toute information concernant une personne physique identifiée ou identifiable (per-sonne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirecte-ment, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, pro-pres à son identité physique, physiologique, psychique, économique culturelle ou sociale.

- Considérant 26 de la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traite-ment des données à caractère personnel et à la libre circulation de ces données (1995): considérant que les prin-cipes de la protection doivent s'appliquer à toute information concernant une personne identifiée ou identifia-ble; que, pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens sus-ceptibles d'être mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identi-fier ladite personne; que les principes de la protection ne s'appliquent pas aux données rendues anonymesd'une manière telle que la personne concernée n'est plus identifiable; que les codes de conduite peuvent êtreun instrument utile pour fournir des indications sur les moyens par lesquels les données peuvent être renduesanonymes et conservées sous une forme ne permettant plus l'identification de la personne concernée.

- International Standards on the Protection of Personal Data and Privacy (2009) (The Madrid Resolution): résolu-tion adoptée le 5 novembre 2009 par la Conférence internationale des commissaires à la protection de la vie pri-vée et des données à caractère personnel. Principe n° 2: Définitions: a. “Personal data” means any informationrelating to an identified natural person or a person who may be identified by means reasonably likely to be used.

2. AVIS DU GROUPE 29

- Groupe 29, Recommandation 1/2001 concernant les données d'évaluation des employés (22 mars 2001 -WP 42): selon la définition contenue à l'article 2 a) de la directive 95/46/CE, on entend par données à caractèrepersonnel toute information concernant une personne physique identifiée ou identifiable telle que des don-nées portant sur son identité physique, physiologique, mentale, économique, culturelle ou sociale.

Le champ d'application de cette définition implique que la notion de donnée personnelle peut inclure nonseulement les données administratives ou qui résultent de facteurs objectifs pouvant être vérifiés ou rectifiés,mais aussi tout autre élément, information ou circonstance ayant un contenu informatif susceptible de fournirdes éléments de connaissance supplémentaires à l'égard d'une personne identifiée ou identifiable.

Des données à caractère personnel peuvent donc se retrouver dans le cadre d'évaluations et jugements subjec-tifs, qui peuvent justement inclure des éléments spécifiques caractérisant l'identité physique, physiologique,mentale, économique, culturelle ou sociale de la personne concernée. Ceci vaut aussi lorsqu'un jugement ouune évaluation est exprimé sous forme de points, ou d'une échelle de valeurs, ou d'autres paramètres d'évalua-tion. Ceci peut revêtir une importance particulière lorsque le traitement de données personnelles est effectuédans le but d'évaluer l'aptitude des employés pour un poste déterminé, ce qui pourrait conduire à des discri-minations ou bien à une évaluation incorrecte de l'employé sur la base d'informations incomplètes.

Le fait que, sur la base du droit interne, certaines de ces données subjectives ne puissent pas toujours être accessibleset rectifiables, ou uniquement sur la base d'inclusion d'une note ou d'une remarque faite par le sujet ne leur enlèvepas leur caractère de donnée personnelle, notamment aux fins de la transparence du traitement et de l'exercice desdroits d'accès, de rectification, d'effacement et d'opposition tels que prévus par la directive 95/46/CE, le cas échéant.

- Groupe 29, Avis 3/99 concernant l'information émanant du secteur public et la protection des données àcaractère personnel: contribution à la consultation initiée par le livre vert de la Commission européenne inti-tulé "L'information émanant du secteur public: une ressource clef pour l'Europe COM (1998)585 (3 mai 1999).

- Groupe 29, Avis 7/2003 sur la réutilisation des informations émanant du secteur public et la protection desdonnées à caractère personnel (12 décembre 2003, WP 83): on retiendra principalement de ces deux avis queles règles de protection des données s'appliquent aux données à caractère personnel rendues publiques mêmesi, a priori, l'utilisation du terme "publicly available" donne à penser que des données rendues publiques se-raient de ce fait, disponibles pour tout usage, et même si le principe de finalité s'accommode mal de l'adjectif"disponible". Le document vise à nourrir la réflexion sur la dimension de la protection des données à caractèrepersonnel qui est essentielle lorsqu'on s'engage à faciliter l'accès aux données du secteur public dès lors quecelles-ci portent sur des personnes physiques. Le document aborde brièvement la question des bases de don-nées issues des décisions de justice et la question de la contribution des nouvelles technologies au renforce-



ment de la protection des données (conditions techniques d'accès devant contribuer au respect du principe definalité et promotion du recours aux outils techniques tendant à empêcher la capture automatisée de donnéesaccessibles en ligne). Enfin, l'utilisation commerciale des données publiques est évoquée.

- Groupe 29, Document de travail sur la biométrie (1er août 2003 - WP 80): le document décrit quelques applicationsbiométriques avant d'analyser l'application de la directive 95/46/CE à ces technologies. Le Groupe indique quecompte tenu de la définition des données à caractère personnel retenue par la directive, les mesures d'identificationbiométrique ou leur version numérisée sous forme de modèle sont, dans la plupart des cas, des données à caractèrepersonnel. Quant aux principes de finalité et de proportionnalité: il convient tout d'abord d'avoir une définition clairede la finalité pour laquelle les informations biométriques sont collectées et traitées. Le groupe de travail est d'avis quel'utilisation, à des fins de contrôle d'accès, de systèmes biométriques se référant à des caractéristiques physiques quine laissent pas de traces (par exemple le contour de la main, mais non les empreintes digitales) ou de systèmes bio-métriques se référant à des caractéristiques physiques qui laissent des traces, mais dont les données ne sont pas en-registrées dans une mémoire détenue par une personne autre que la personne concernée, crée moins de risques pourla protection des libertés et des droits fondamentaux de la personne. La question du risque de réutilisation est égale-ment abordée de même que l'appartenance des données biométriques à la catégorie des données sensibles, celle del'identifiant unique, des codes de conduite et de l'utilisation des technologies renforçant la protection de la vie privée.

- Groupe 29, Document de travail sur les questions de protection des données liées à la technologie RFID (radio-identification) (19 janvier 2005 - WP 105): entre autres éléments, le document aborde la question de l'applica-bilité de la directive à la collecte de données par la technologie RFID. Le champ d'application de la directive"Protection des données" recouvre le traitement de toutes les données à caractère personnel. Cette directivedonne une définition très large des "données à caractère personnel" qui inclut "toute information concernantune personne physique identifiée ou identifiable". On peut alors se demander si cela signifie que la directive"Protection des données" s'applique nécessairement à la collecte de données par la technologie RFID. La ré-ponse dépendra en général de l'application concrète spécifique de la technologie de radio-identification, etplus particulièrement du point de savoir si l'application RFID spécifique comporte le traitement de données àcaractère personnel telles qu'elles sont définies par la directive 95/46/CE.

- Groupe 29, Avis 4/2007 sur le concept de données à caractère personnel (20 juin 2007 - WP 136): dans cet avis, leGroupe 29 donne des orientations sur la manière dont il convient d'interpréter le concept de données à caractère per-sonnel dans la directive 95/46/CE et la législation communautaire connexe, et de l'appliquer dans diverses situations.

Le constat général est que l'intention du législateur européen était d'adopter une notion large de données àcaractère personnel, bien qu'il existe certaines limites à cette notion. Il ne faut jamais perdre de vue que l'objec-tif des règles contenues dans la directive est d'assurer la protection des libertés et des droits fondamentaux despersonnes physiques, notamment de la vie privée, à l'égard du traitement des données à caractère personnel.

Ces règles ont donc été conçues pour s'appliquer à des situations où les droits des personnes physiques pour-raient être menacés et nécessitent par conséquent d'être protégés. Le champ d'application des règles de pro-tection des données ne doit pas être trop étendu, mais il faut également éviter de restreindre indûment l'inter-prétation du concept de données à caractère personnel. La directive a défini son champ d'application, en ex-cluant un certain nombre d'activités, et permet une certaine souplesse dans l'application des règles aux activi-tés qui relèvent de son champ d'application. Les autorités de protection des données jouent un rôle essentielpour parvenir à un équilibre approprié dans cette application (voir partie II de l'avis).

L'analyse du groupe de travail repose sur les quatre grands éléments constitutifs apparaissant dans la défini-tion des "données à caractère personnel", à savoir "toute information", "concernant", "personne physique","identifiée ou identifiable". Ces éléments sont étroitement liés et interdépendants, mais déterminent ensem-ble les éléments d'information à considérer comme "données à caractère personnel". Cette analyse est étayéepar des exemples tirés de la pratique nationale des autorités européennes de protection des données.

– Le premier élément - "toute information" - appelle une interprétation large du concept, indépendamment dela nature ou du contenu des informations, et du format technique de présentation. Cela signifie que tant les in-formations objectives que subjectives concernant une personne, à quelque titre que ce soit, peuvent être consi-dérées comme "données à caractère personnel", indépendamment du support technique sur lequel elles setrouvent. Dans le présent avis, le groupe de travail aborde également les données biométriques et les distinc-tions juridiques concernant les prélèvements humains dont elles peuvent être extraites (voir point III.1 de l'avis).

– Le deuxième élément - "concernant" - a jusqu'à présent été souvent négligé, bien qu'il joue un rôle crucial pour dé-terminer la portée matérielle du concept, notamment en ce qui concerne les objets et les nouvelles technologies. Dansson avis, le groupe de travail avance trois autres éléments - le contenu, la finalité ou le résultat - pour déterminer si lesinformations "concernent" une personne physique. Ils s'appliquent également aux informations susceptibles d'avoirune influence manifeste sur la manière dont une personne physique est traitée ou évaluée (voir point III.2 de l'avis).

– Le troisième élément - "identifiée ou identifiable" - se concentre sur les conditions dans lesquelles il convient de con-sidérer une personne physique comme "identifiable", et notamment sur "les moyens susceptibles d'être raisonnable-ment mis en oeuvre" soit par le responsable du traitement, soit par une autre personne, pour identifier ladite per-sonne. Le contexte particulier et les circonstances liées à un cas spécifique sont déterminants dans cette analyse. Le

Loi du 8 décembre 1992 Loi Vie Privée (Art. 1/er)


groupe de travail aborde aussi les "données pseudonymisées" et l'utilisation de "données codées" dans la recherchestatistique ou pharmaceutique (voir point III.3 de l'avis). La question des données anonymes est également abordée.

– Le quatrième élément - "personne physique" - concerne l'exigence voulant que les "données à caractère per-sonnel" portent sur des "personnes physiques vivantes". Le groupe examine en outre les interfaces avec les don-nées relatives à des personnes décédées, des enfants à naître et des personnes morales (voir point III.4 de l'avis).

- Groupe 29, Avis 8/2007 sur le niveau de protection des données à caractère personnel à Jersey (9 octobre 2007,WP 141): aux termes de cette avis, le Groupe conclut que la loi de Jersey définit les données à caractère person-nel comme "des données qui concernent une personne physique vivante qui peut être identifiée:

– à partir de ces données;

– ou à partir de ces données et d'autres informations que possède ou que pourrait obtenir le responsable dutraitement des données;

et incluent toute expression de point de vue concernant une personne qui peut ainsi être identifiée, et touteindication des intentions du responsable de traitement des données ou d'une autre personne à l'égard d'unepersonne qui peut ainsi être identifiée.

Le groupe constate que cette définition s'écarte de celle adoptée dans la directive, notamment en requérantqu'une personne puisse être identifiée à partir des informations que possède ou que pourrait obtenir le respon-sable du traitement des données, alors qu'aux termes de l'article 2 de la directive "est réputée identifiable unepersonne qui peut être identifiée, directement ou indirectement, notamment par référence à un numérod'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psy-chique, économique, culturelle ou sociale", et que son considérant 26 précise que "pour déterminer si une per-sonne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être mis en œuvre, soitpar le responsable de traitement, soit par une autre personne, pour identifier ladite personne". Ainsi, la direc-tive garantit la protection des informations qui concernent une personne susceptible d'être identifiée, non uni-quement par le responsable du traitement mais aussi par d'autres personnes, tandis que la loi de Jersey pro-tège uniquement les informations que pourrait obtenir le responsable de traitement.

Quant au mot "concernent" employé dans la définition, le Groupe relève qu'il est, malheureusement utile de souli-gner l'importance de la jurisprudence établie au Royaume-Uni par l'arrêt Durant, dans lequel la Court of Appeal adéfini deux notions permettant de déterminer dans quels cas des données "concernent" une personne et constituentpar conséquent des "données à caractère personnel" au sens de la loi britannique sur la protection des données. Cesnotions examinent si les données sont "à caractère largement biographique" et si la personne concernée est "l'objetde l'information". Elles s'inscrivent elles-mêmes dans une considération plus générale qui, en cas de doute, vise à vé-rifier si les données en cause sont des informations qui touchent à la vie privée des personnes concernées.

Étant donné le lien étroit qui existe entre les systèmes juridiques de Jersey et d'Angleterre (les juges siégeant àla Court of Appeal de Jersey sont britanniques), il se peut que Jersey suive cette jurisprudence. Cette interpré-tation, qui restreint la définition du terme "données à caractère personnel" donnée dans la directive, pourrait,de l'avis du Groupe 29, réduire le niveau de protection des données assuré par la législation de Jersey.

- Groupe 29, Avis 1/2008 sur les aspects de la protection des données liés aux moteurs de recherche (4 avril2008, WP 148): le Groupe rappelle que dans son avis (WP 136) sur le concept de données à caractère person-nel, il a clarifié la définition de ces dernières. (voir supra). L'historique des recherches d'une personne constituedes données à caractère personnel si la personne concernée est identifiable. Or, bien que dans la plupart descas, les adresses IP ne soient pas directement identifiables par les moteurs de recherche, un tiers peut parvenirà identifier la personne en question. Les fournisseurs d'accès à Internet disposent en effet des données relativesà l'adresse IP. Les autorités répressives et les services nationaux de sécurité peuvent obtenir l'accès à ces don-nées et, dans certains États membres, des personnes privées ont également obtenu cet accès dans le cadre deprocédures judiciaires civiles. Ainsi, dans la plupart des cas - y compris dans ceux impliquant une adresse IPdynamique - les données nécessaires existent pour identifier le ou les utilisateur(s) de l'adresse IP.

Dans son avis WP 136, le groupe de travail indiquait en ce sens que "... à moins que les fournisseurs d'accès In-ternet soient en mesure de déterminer avec une certitude absolue que les données correspondent à des utilisa-teurs non identifiables, par mesure de sécurité, ils devront traiter toute les informations IP comme des donnéesà caractère personnel. Ces considérations s'appliquent également aux opérateurs de moteurs de recherche."

Quant aux "Cookies", l'avis conclut que lorsqu'un "cookie" contient un identifiant d'utilisateur unique, celui-ciest clairement une donnée à caractère personnel. L'utilisation de "cookies" persistants ou de dispositifs similai-res comportant un identifiant d'utilisateur unique permet de pister les utilisateurs d'un ordinateur donné, mêmeen cas d'utilisation d'adresses IP dynamiques. Les données relatives au comportement qui sont générées par lerecours à ces dispositifs permettent d'affiner encore les caractéristiques personnelles de la personne concernée.

- Groupe 29, Avis 2/2008 sur la révision de la directive 2002/58/CE concernant la protection de la vie privée dans le sec-teur des communications électroniques (directive "vie privée et communications électroniques"), (15 mai 2008, WP150): aux termes de cet avis, le Groupe 29 se félicite de la pleine compatibilité de la définition et de la portée du terme"données à caractère personnel" retenues dans la proposition commentée avec la définition correspondante figurantdans la directive 95/46/CE relative à la protection des données. Il souligne également que tout resserrement de la dé-



finition des "données à caractère personnel" dans la directive "vie privée et communications électroniques" (2002/58/CE) créerait une faille dans la protection des individus dans un domaine qui est au coeur des communicationsélectroniques - et par conséquent aussi de la société de l'information et des services d'administration en ligne fondéssur les services électroniques -, ce qui serait tout à fait inacceptable du point de vue de la protection de la vie privée.

Adresses IP - Le Groupe 29 rappelle que, dans la plupart des cas, y compris dans les cas d'attribution dynami-que d'adresses IP, les données nécessaires sont disponibles pour identifier le ou les utilisateur(s) de l'adresse IP.

Le groupe de travail avait à cet égard précisé dans son avis WP 137 que "[...] à moins que les fournisseurs d'accèsInternet soient en mesure de déterminer avec une certitude absolue que les données correspondent à des utili-sateurs non identifiables, par mesure de sécurité, ils devront traiter toutes les informations IP comme des don-nées à caractère personnel". Ces considérations s'appliqueront également aux moteurs de recherche (WP 148).

- Groupe 29, Avis 1/2009 concernant les propositions modifiant la directive 2002/58/CE sur la protection de lavie privée dans le secteur des communications électroniques (directive "vie privée et communications électro-niques"), (10 février 2009, WP 159).

Adresses IP - Quant aux adresses IP, le Groupe 29 renvoie à ses précédents avis dans lesquels il précisait qu'à moinsque les fournisseurs de services "soient en mesure de préciser avec une certitude absolue que les données corres-pondent à des utilisateurs non identifiables, par mesure de sécurité, ils devront traiter toutes les informations IPcomme des données à caractère personnel". Les adresses IP correspondent le plus souvent à des personnes iden-tifiables, c'est-à-dire qui peuvent être identifiées par le fournisseur d'accès Internet ou par d'autres moyens, àl'aide d'identifiants supplémentaires tels que les "cookies" ou dans des interactions avec d'autres services Internetapportant, explicitement ou implicitement, des éléments d'identification sur la personne concernée.

Le considérant 26 de la directive sur la protection des données indique clairement que pour déterminer si unepersonne est identifiable, "il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablementmis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne".

La définition des données à caractère personnel établie dans la directive 95/46/CE sur la protection des données seréfère aux données "concernant" une personne physique, et les adresses IP sont couramment utilisées pour caté-goriser les utilisateurs dans le cadre, par exemple, de la transmission de publicité ciblée ou de la création de profils.

- Groupe 29, Avis 6/2009 sur le niveau de protection des données à caractère personnel assuré en Israël, (1erdécembre 2009, WP 165): aux termes de son analyse, le Groupe de travail confirme que la définition de la no-tion "d'informations" énoncée à l'article 7 de la loi israelienne sur la protection de la vie privée ne correspondpas à celle de la directive. En effet, cet article dispose qu'on "entend par informations les données sur la per-sonnalité, la situation personnelle, l'intimité, l'état de santé, la situation économique, les qualifications profes-sionnelles, les opinions et les croyances d'un personne". Cette définition ne couvre que certaines catégories dedonnées et ne permet pas de savoir si les informations concernant une personne non identifiée mais indenti-fiable seraient protégées en vertu de la loi sur la protection de la vie privée.

- Groupe 29, Avis 2/2010 sur la publicité comportementale en ligne (WP 171 – 22 juin 2010): aux termes de cetavis, le Groupe observe que les techniques de publicité comportementale décrites dans le présent avis impliquentsouvent le traitement de données à caractère personnel, telles qu’elles sont définies à l’article 2 de la directive 95/46/CE et interprétées par ce groupe de travail. Il existe à cela plusieurs raisons: i) normalement, la publicité c

commentÉs les codes larcier commentÉs Protection des ... · les codes commentÉs larcier...

Documents

Transcript of commentÉs les codes larcier commentÉs Protection des ... · les codes commentÉs larcier...