RGPD : la loi belge (enfin) en vigueur

Le 04 oct 2018Réglementation

La protection des personnes à l’égard du traitement de leurs données à caractère personnel est désormais régie par une nouvelle loi, adoptée en suite du règlement général sur la protection des données (RGPD).

Nous examinons ci-dessous les dispositions nouvelles majeures de la loi.

 

Tout d’abord, rappelons que le RGPD est (et reste) directement applicable en droit interne. 

 

La loi belge, en vigueur depuis ce 5 septembre 2018, ne remplace pas le RGPD, mais vient en complément de celui-ci, en vue de régler les questions laissées ouvertes.

 

Plusieurs dispositions de cette loi peuvent être épinglées :

 

- Pour le traitement de données dites « sensibles » (santé, données génétiques, données biométriques), le responsable du traitement doit veiller aux garanties supplémentaires suivantes : 

  • Désigner les catégories de personnes ayant accès aux données ;
  • Tenir une liste à la disposition de l’Autorité de protection des données ;
  • Veiller à ce que les personnes désignées soient tenues au respect de la confidentialité attachée à ces données ;

 

- Les données relatives aux condamnations et aux infractions pénales ne peuvent être traitées, sauf hypothèses énumérées limitativement, notamment si le traitement est nécessaire pour la gestion de ses propres contentieux, ou s’il est effectué par un avocat pour la défense de ses clients ;

 

- La loi définit trois « motifs d’intérêt public important », qui autorisent le traitement des données sensibles :

  • Le traitement par une association de défense et de promotion des droits de l’homme ;
  • Le traitement par Child Focus ;
  • Le traitement de données concernant la vie sexuelle par une association ayant pour objet l’évaluation, la guidance et le traitement des comportements sexuels infractionnels ;

 

- S’agissant des droits des personnes concernées (information, effacement, opposition, etc.), différentes hypothèses autorisent à les restreindre, parmi lesquelles :

  • Les autorités impliquées dans la sécurité publique sont dispensées du respect de ces droits, de manière générale ou lorsque les données émanent d’autorités désignées spécifiquement. Également, un responsable du traitement qui communique des données à ces autorités n’est pas tenu, dans certains cas, d’en informer la personne concernée ;
  • Lorsque les données sont traitées dans un contexte judiciaire (décision, dossier, enquête), les droits sont exercés conformément aux dispositions régissant la procédure ; 
  • En cas de transfert vers une banques de données conjointe créée par des autorités publiques (par exemple, la Banque-carrefour de la sécurité sociale), la personne concernée ne doit pas en être informée.

 

Que retenir ?

 

Le RGPD reste le texte de référence pour le traitement des données à caractère personnel. 

 

Dans son contenu, l’essentiel des dispositions de la loi nouvelle concerne le traitement de données par les autorités publiques, en vue de pallier la non-applicabilité du RGPD à certaines situations. 

 

Pour les employeurs, l’impact de la loi est donc à relativiser, au regard du cadre existant, d’application depuis le 25 mai 2018. 

 

Certaines dispositions ne doivent néanmoins être négligées, notamment en cas de traitement de données sensibles (les données biométriques, par exemple), où des garanties supplémentaires sont exigées.

 

Source : loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel,M.B., 5 septembre 2018, p. 68616.