Nouvelle loi belge sur la protection de la vie privée

Législation européenne déjà en vigueur

Depuis le 25 mai 2018, certaines règles plus strictes sont déjà en vigueur en matière de protection des données et de la vie privée. Ces règles sont reprises dans le règlement européen 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, mieux connu sous l’abréviation « RGPD ».

La réglementation RGPD laissait cependant encore une marge de manœuvre au législateur belge à certains égards pour édicter des règles complémentaires ou créer certaines exceptions.

La nouvelle loi belge sur la protection de la vie privée, qui a été publiée au Moniteur belge le 5 septembre 2018, constitue donc un complément à la réglementation européenne déjà en vigueur. Elle ne répète ou n’infirme nullement les règles déjà reprises dans le texte européen.

La nouvelle loi belge sur la protection de la vie privée du 30 juillet 2018 remplace en revanche intégralement notre ancienne loi sur le même sujet du 8 décembre 1992.

Loi belge à titre de complément des règles européennes

Exceptions pour certaines catégories et services publics

La loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel contient essentiellement des dispositions complémentaires qui revêtent un intérêt pour certains services publics ou groupes professionnels. Ainsi, des règles spécifiques sont notamment prévues pour les forces armées, les services de renseignement et de sécurité, les institutions chargées de l’aide aux délinquants sexuels, Child Focus, les journalistes, etc.

Plus besoin d’accord parental pour les enfants de plus de 13 ans

En exécution de l’article 8.1 du règlement (RGPD), le traitement des données à caractère personnel d’un enfant est licite lorsque le consentement a été donné par des enfants âgés de 13 ans ou plus. Cela signifie par exemple qu’un enfant âgé de 13 ans ou plus peut donner son consentement librement pour la création d’un profil sur différents médias sociaux.

En comparaison avec ses voisins, la Belgique a opté pour l’âge applicable le plus bas possible.

Création de sanctions supplémentaires au niveau belge

Le législateur belge a par ailleurs affiné les sanctions déjà fixées par la réglementation européenne.

Il prévoit ainsi notamment qu’aucune amende administrative ne peut être infligée aux autorités. Ces dernières ne risquent par conséquent que des sanctions administratives non pécuniaires et/ou pénales. En revanche, les entreprises publiques qui offrent des services sur le marché belge risquent encore des amendes administratives.

De nouvelles sanctions pénales ont en outre été intégrées à la législation belge

Par exemple, tant le responsable du traitement que le sous-traitant ou son préposé ou mandataire peuvent encourir une amende de 250 EUR à 15.000 EUR dans les cas spécifiques suivants :

  • Les données à caractère personnel sont traitées sans base juridique, y compris les conditions relatives au consentement et au traitement ultérieur ;
  • Les données à caractère personnel sont traitées en violation des conditions générales de traitement (finalité justifiée, caractère adéquat, pertinent et non excessif…) par négligence grave ou avec intention malveillante ;
  • Le traitement ayant fait l’objet d’une objection est maintenu sans raisons juridiques impérieuses ;
  • Le transfert de données à caractère personnel à un destinataire dans un pays tiers ou à une organisation internationale est effectué en violation des garanties, conditions ou exceptions prévues dans le RGPD ou la loi belge sur la protection de la vie privée, et ce, par négligence grave ou avec intention malveillante ;
  • La mesure correctrice adoptée par l’autorité de contrôle visant la limitation temporaire ou définitive des flux n’est pas respectée ;
  • La mesure correctrice adoptée par l’autorité de contrôle qui a été imposée pour mettre le traitement en conformité avec les dispositions du RGPD n’est pas respectée ;
  • Il a été fait obstacle aux missions légales de vérification et de contrôle de l’autorité de contrôle compétente, de ses membres ou de ses experts ;
  • De la rébellion (au sens de l’article 269 du Code pénal) a été commise à l’encontre des membres de l’autorité de contrôle ;
  • La certification est revendiquée ou des sceaux de certification en matière de protection des données sont utilisés publiquement alors que ces certifications, labels ou marques n’ont pas été délivrés par une entité accréditée ou ceux-ci sont utilisés après que la validité de la certification, du sceau ou de la marque a expiré ;

En cas de condamnation éventuelle à une infraction telle que décrite ci-dessus, le tribunal peut ordonner l’insertion du jugement, intégralement ou par extraits, dans un ou plusieurs journaux, dans les conditions qu’il détermine, aux frais du condamné.

Impact limité pour les employeurs moyens

Le législateur belge n’a cependant pas eu recours à la possibilité prévue par le règlement européen de fixer des règles spécifiques complémentaires pour l’application de la protection des données et de la vie privée sur le lieu de travail.

La nouvelle législation belge sur la protection de la vie privée a dès lors peu d’impact pour les employeurs moyens.

Sources :

  • Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, M.B. 05/09/2018, 68616.
  • EASYPAY GROUP.