La protection des données à caractère personnel
La protection des données à caractère personnel
La Constitution belge consacre le principe selon lequel « chacun a droit au respect de sa vie privée et familiale, sauf dans les cas et conditions fixés par la loi ». 1
Afin de faire respecter ce droit, le législateur belge a adopté une loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, laquelle transpose en droit belge, la directive 95/46/CE du Parlement européen et du Conseil. 2
Cette loi définit les données à caractère personnel comme étant « toute information concernant une personne physique identifiée ou identifiable ». 3 Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.
La notion de données personnelles est donc très large et vise notamment les coordonnées personnelles, le numéro de compte bancaire, la profession des parents, les photos etc… 4
Par ailleurs, pour tomber sous le champ d'application de la loi, l'information doit permettre l'identification d'une personne physique. Les personnes morales sont en effet exclues de la protection légale. 5
La loi énonce que lors du traitement de données à caractère personnel la concernant, toute personne physique a droit à la protection de ses libertés et droits fondamentaux, notamment à la protection de sa vie privée 6. Sans qu’il ne soit fait de distinction selon le caractère public ou privé des données récoltées. 7
L’article 4, § 1er pose comme condition essentielle au traitement de données à caractère personnel que les données soient 8:
- traitées loyalement et licitement;
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités;
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement;
- exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement.
Des règles plus strictes s’appliquent en cas de traitement de données à caractère sensible, telles que les informations relatives à l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance syndicale, la condition, la santé physique et mentale et l’orientation sexuelle. Le traitement de ces données est en principe interdit, sauf dans certains cas particuliers prévus par la loi. 9
Le respect de ces conditions incombe au responsable du traitement, lequel est tenu préalablement à la mise en œuvre de la collecte des données, d’en faire la déclaration auprès de la Commission de la protection de la vie privée. 10
Il doit également fournir à la personne auprès de laquelle il collecte les données la concernant un certain nombre d’informations. Notamment l’identité du responsable du traitement, les finalités du traitement, l’existence du droit de s'opposer au traitement des données à des fins de direct marketing ainsi que toute information complémentaire nécessaire pour garantir un traitement loyal des données. 11
_______________________
1. Article 22 de la Constitution.
2. Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
3. Article 1er §1er de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
4. N. Dasnoy, « Les données à caractère personnel récoltées par les établissements d’enseignement » Scolanews, 2009/2, p.3
5. Civ. Bruxelles, 23 avril 1999, Rev. Dr. Santé, 1999-2000 , p.353.
6. Article 2 de la loi du 8 décembre 1992.
7. T. Leonard, « La protection des données à caractère personnel et l'entreprise », in Guide juridique de l’entreprises, Traité théorique et pratique, Kuwer, Waterloo, p. 13.
8. Article 4 de la loi du 8 décembre 1992 ; Voy. T. Van Overstraeten, « Le commerce électronique et la protection de la vie privée, R.D.C., 2001, p. 392.
9. Article 6 à 8 de la loi du 8 décembre 1992.
10. Article 17 de la loi du 8 décembre 1992.
11. T. Van Overstraeten, « Le commerce électronique et la protection de la vie privée, R.D.C., 2001, p. 399.