J'ai repris mes textes de 2013 dans un ouvrage disponible sur www.lulu.com (version papier) et via Kindle et Kobo (en version digitale)

Vous êtes ici: Accueil / Law / Droit d'auteur / Lutte contre le téléchargement illicite et le traitement des données personnelles: présentation de la réglementation
Lutte contre le téléchargement illicite et le traitement des données personnelles: présentation de la réglementation

Lutte contre le téléchargement illicite et le traitement des données personnelles: présentation de la réglementation

La lutte contre les téléchargements illicites fait aussi appel au traitement de nos données personnelles. Pourtant, ces données sont aussi protégées par une loi. Il s’agit de la loi du 8 décembre 1992 dont voici une courte analyse.

Vous trouverez une copie de la loi à cet endroit:

http://www.privacycommission.be/sites/privacycommission/files/documents/CONS_loi_vie_privee_08_12_1992.pdf

Je vous conseille également le lien vers les Codes commentées Larcier en cette matière:

http://www.privacycommission.be/sites/privacycommission/files/documents/04.02-les-codes-commentes-loi-vie-privee-larcier-.pdf

Analyse

Champ d’application de la loi

« Art. 3. § 1er. La présente loi s’applique à tout traitement de données à caractère personnel automatisé en tout ou en partie, ainsi qu’à tout traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
§ 2. La présente loi ne s’applique pas au traitement de données à caractère personnel effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques. »

Le paragraphe 3 de l’article 3 précise que certaines dispositions de la loi ne s’appliquent pas « aux traitements de données à caractère personnel
effectués aux seules fins de journalisme ou d’expression artistique ou littéraire« .

Le paragraphe 4 précise pareillement que certaines dispositions de la loi ne s’appliquent pas « aux traitements de données à caractère personnel gérés par la Sûreté de l’Etat, par le Service général du renseignement et de la sécurité des forces armées, par les autorités visées aux articles 15, 22ter et 22quinquies de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité et l’organe de recours créé par la loi du 11 décembre 1998 portant création d’un organe de recours en matière d’habilitations, d’attestations et d’avis de sécurité, par les officiers de sécurité et par le Comité permanent de contrôle des services de renseignements et son Service d’enquêtes, ainsi que par l’Organe de coordination pour l’analyse de la menace lorsque ces traitements sont nécessaires à l’exercice de leurs missions. ».

Article 3,§ 5. « Les articles 9, 10, § 1er, et 12 ne s’appliquent pas :

  1. aux traitements de données à caractère personnel gérés par des autorités publiques en vue de l’exercice de leurs missions de police judiciaire;
  2. aux traitements de données à caractère personnel gérés par les services de police visés à l’article 3 de la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignements, en vue de l’exercice de leurs missions de police administrative;
  3. aux traitements de données à caractère personnel gérés en vue de l’exercice de leurs missions de police administrative, par d’autres autorités publiques qui ont été désignées par arrêté royal délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée;
  4. aux traitements de données à caractère personnel rendus nécessaires par la loi du 11 janvier 1993 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux;
  5. au traitement de données à caractère personnel géré par le Comité permanent de contrôle des services de police et par son Service d’enquêtes en vue de l’exercice de leurs missions légales. »

Article 3, § 6: « Les articles 6, 8, 9, 10, § 1er, et 12 ne sont pas applicables après autorisation accordée par le Roi par arrêté délibéré en Conseil des ministres, aux traitements gérés par le Centre européen pour enfants disparus et sexuellement exploités, ci-après dénommé “le Centre”« 

« Art. 3bis. La présente loi est applicable au traitement de données à caractère personnel:

  1. lorsque le traitement est effectué dans le cadre des activités réelles et effectives d’un établissement fixe du responsable du traitement sur le territoire belge ou en un lieu où la loi belge s’applique en vertu du droit international public;
  2. lorsque le responsable du traitement n’est pas établi de manière permanente sur le territoire de la Communauté européenne et recourt, à des fins de traitement de données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire belge, autres que ceux qui
    sont exclusivement utilisés à des fins de transit sur le territoire belge. »

« Art. 4. § 1er. Les données à caractère personnel doivent être :

  1. traitées loyalement et licitement;
  2. collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l’intéressé et des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible lorsqu’il est effectué conformément aux conditions fixées par le Roi, après avis de la Commission de la protection de la vie privée;
  3. adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement;
  4. exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;
  5. conservées sous une forme permettant l‘identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement. Le Roi prévoit, après avis de la Commission de la protection de la vie privée, des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

§ 2. Il incombe au responsable du traitement d’assurer le respect du § 1er. »

L’article principal de la loi est son quatrième qui précise les possibilités, les cas où un traitement des données à caractère personnel sont possibles.

Six strictes hypothèses sont énumérées par la loi. Un traitement n’est possible que:

  1. lorsque la personne concernée a indubitablement donné son consentement;
  2. lorsque le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;
  3. lorsque le traitement est nécessaire au respect d’une obligation à laquelle le responsable du traitement est soumis par ou en vertu d’une loi, d’un décret ou d’une ordonnance;
  4. lorsque le traitement est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée;
  5. lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées;
  6. lorsque le traitement est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée qui peut prétendre à une protection au titre de la présente loi.

La loi énumère par après des situations spécifiques. D’abord en interdisant le traitement dans le cas qu’elle vise et puis en précisant quand et comment les traitements sont malgré tout possibles.

L’article 6 concerne les traitements de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la vie sexuelle.

L’article 7 parle lui des traitements de données à caractère personnel relatives à la santé.

L’article 8 concerne lui les traitements de données à caractère personnel relatives à des « litiges soumis aux cours et tribunaux ainsi qu’aux juridictions administratives, à des suspicions, des poursuites ou des condamnations ayant trait à des infractions, ou à des sanctions
administratives ou des mesures de sûreté« . Intéressons-nous quelque peu à cet article.

Comme les deux autres, il commence par énoncer dans son paragraphe 1 que les traitements des données personnelles dans une telle situation sont interdits. Toutefois, cette interdiction est levée dans cinq situations:

  1. lorsque le traitement est effectué sous le contrôle d’une autorité publique ou d’un officier ministériel au sens du Code judiciaire, lorsque le traitement est nécessaire à l’exercice de leurs tâches;
  2. lorsque le traitement est effectué par d’autres personnes lorsque le traitement est nécessaire à la réalisation de finalités fixées par ou en vertu d’une loi, d’un décret ou d’une ordonnance;
  3. lorsque le traitement est effectué par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l’exige;
  4. lorsque le traitement est effectué par des avocats ou d’autres conseils juridiques, pour autant que la défense de leurs clients l’exige;
  5. lorsque le traitement est effectué pour les nécessités de la recherche scientifique, dans le respect des conditions fixées par le Roi par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée.

Les personnes qui vont réalisées ces traitements sont toutes soumises au secret professionnel. Les résultats des traitements sont donc protégés.

Cet article 8 se termine en disant que le Roi « fixe par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, les conditions particulières auxquelles doit satisfaire le traitement des données à caractère personnel » dans les cas qu’il vise.

Les articles 9 à 15bis précisent les droits des personnes dont les données sont traitées. Ces droits sont très étendus.

En vertu de l’article 9, la personne concernée peut obtenir:

  1. le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant;
  2. les finalités du traitement;
  3. l’existence d’un droit de s’opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant envisagé à des fins de direct marketing;
  4. d’autres informations supplémentaires, notamment:
    – les destinataires ou les catégories de destinataires des données,
    – le caractère obligatoire ou non de la réponse ainsi que les conséquences éventuelles d’un défaut de réponse,
    – l’existence d’un droit d’accès et de rectification des données la concernant; sauf dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont obtenues, ces informations supplémentaires ne sont pas nécessaires pour assurer à l’égard de
    la personne concernée un traitement loyal des données;
  5. d’autres informations déterminées par le Roi en fonction du caractère spécifique du traitement, après avis de la commission de la protection de la vie privée.

De plus, la personne concernée par le traitement de ses données et qui apporte la preuve de son identité a le droit d’obtenir du responsable du traitement (article 10):

  1. la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les catégories de destinataires auxquels les données sont communiquées;
  2. la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine de ces données;
  3. la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, dans le cas des décisions automatisées visées à l’article 12bis;
  4. un avertissement de la faculté d’exercer les recours prévus aux articles 12 et 14 et, éventuellement, de consulter le registre public prévu à l’article 18.

Toute personne a le droit d’obtenir sans frais la rectification de toute donnée à caractère personnel inexacte qui la concerne. De plus, toute personne a en outre le droit de s’opposer, pour des raisons sérieuses et légitimes tenant à une situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf lorsque la licéité du traitement est basée sur les motifs visés à l’article 5, b) (« lorsqu’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci« ) et c) (« lorsqu’il est nécessaire au respect d’une obligation à laquelle le responsable du traitement est soumis par ou en vertu d’une loi, d’un décret ou d’une ordonnance« ).

Lorsque les données à caractère personnel sont collectées à des fins de direct marketing, la personne concernée peut s’opposer, gratuitement et sans aucune justification, au traitement projeté de données à caractère personnel la concernant.

En cas d’opposition justifiée, le traitement mis en œuvre par le responsable du traitement ne peut plus porter sur ces données.

Toute personne a également le droit d’obtenir sans frais la suppression ou l’interdiction d’utilisation de toute donnée à caractère personnel la concernant qui, compte tenu du but du traitement, est incomplète ou non pertinente ou dont l’enregistrement, la communication ou la conservation sont interdits ou encore qui a été conservée au-delà de la période autorisée. (article 12)

Cette disposition-ci est aussi à retenir dans le cadre de notre analyse: « Art. 12bis. Une décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité. L’interdiction prévue à l’alinéa 1er ne s’applique pas lorsque la décision est prise dans le cadre d’un contrat ou est fondée sur une disposition prévue par ou en vertu d’une loi, d’un décret ou d’une ordonnance. Ce contrat ou cette disposition doivent contenir des mesures appropriées, garantissant la sauvegarde des intérêts légitimes de l’intéressé. Il devra au moins être permis à celui-ci de faire valoir utilement son point de vue. ». Mais il s’agit de données visant à établir la personnalité de quelqu’un, donc, cela devrait être hors de propos.

Si quelqu’un n’est pas d’accord avec le traitement de ses données, il peut s’adresser soit à la Commission de la protection de la vie privée (article 13), soit au juge (article 14).

Dès la réception de la demande tendant à faire rectifier, supprimer ou interdire d’utiliser ou de divulguer des données à caractère personnel ou dès la notification de l’introduction de l’instance visée à l’article 14, et jusqu’à ce qu’une décision soit coulée en force de chose jugée, le responsable du traitement doit indiquer clairement, lors de toute communication d’une donnée à caractère personnel, que celle-ci est contestée (article 15).

Attention aux traitements illégaux ou disproportionnés car « Art. 15bis. Lorsque la personne concernée subit un dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la présente loi, les alinéas 2 et 3 ci-après s’appliquent, sans préjudice d’actions fondées sur d’autres dispositions légales. Le responsable du traitement est responsable du dommage causé par un acte contraire aux dispositions déterminées par ou en vertu de la présente loi. Il est exonéré de cette responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui
est pas imputable. » (+ voir les dispositions pénales des articles 37 et suivants de la loi).

L’article 16 de la loi concerne l’hypothèse où les traitements sont effectués par l’intermédiaire d’un sous-traitant.

Information préalable auprès de la Commission

« Art. 17. § 1er. Préalablement à la mise en œuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble de tels traitements ayant une même finalité ou des finalités liées, le responsable du traitement ou, le cas échéant, son représentant, en fait la déclaration auprès de la Commission de la protection de la vie privée.
L’alinéa précédent ne s’applique pas aux traitements ayant pour seul objet la tenue d’un registre qui, par ou en vertu d’une loi, d’un décret ou d’une ordonnance, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime. »

La déclaration en question doit contenir (article 17, § 3):

  1. la date de la déclaration et, le cas échéant, la mention de la loi, du décret, de l’ordonnance ou de l’acte réglementaire décidant la création du traitement automatisé;
  2. les nom, prénoms et adresse complète ou la dénomination et le siège du responsable du traitement et, le cas échéant, de son représentant en Belgique;
  3. la dénomination du traitement automatisé;
  4. la finalité ou l’ensemble des finalités liées du traitement automatisé;
  5. les catégories de données à caractère personnel qui sont traitées avec une description particulière des données visées aux articles 6 à 8;
  6. les catégories de destinataires à qui les données peuvent être fournies;
  7. les garanties dont doit être entourée la communication de données aux tiers;
  8. les moyens par lesquels les personnes qui font l’objet des données en seront informées, le service auprès duquel s’exercera le droit d’accès et les mesures prises pour faciliter l’exercice de ce droit;
  9. la période au-delà de laquelle les données ne peuvent plus, le cas échéant, être gardées, utilisées ou diffusées;
  10. une description générale permettant d’apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement en application de l’article 16 de cette loi (quand le responsable du traitement fait appel à un sous-traitant);
  11. les motifs sur lesquels le responsable du traitement fonde, le cas échéant, l’application de l’article 3, § 3, de la présente loi.

Dans le cadre de ses pouvoirs de contrôle et d’enquête prévus à l’article 31 et 32 de la loi, la Commission de la protection de la vie privée a le pouvoir d’exiger d‘autres éléments d’information, notamment l’origine des données à caractère personnel, la technique d’automatisation choisie et les mesures de sécurité prévues (article 17, § 4).

La suppression d’un traitement automatisé ou toute modification d’une des informations énumérées au § 3 doit également faire l’objet d’une déclaration (article 17, § 7).

Après avis de la Commission de la protection de la vie privée le Roi peut exempter certaines catégories de la déclaration visée au présent article lorsque, compte tenu des données traitées, il n’y a manifestement pas de risque d’atteinte aux droits et libertés des personnes concernées et que sont précisées les finalités du traitement, les catégories de données traitées, les catégories de personnes concernées, les catégories de destinataires et la durée de conservation des données. Lorsque, en application de l’alinéa précédent, une exemption de déclaration est accordée pour des traitements automatisés, les informations énumérées aux §§ 3 et 6 doivent être communiquées par le responsable du traitement à toute personne qui en fait la demande (article 17, § 8).

« Art. 17bis. Le Roi détermine, après avis de la Commission de la protection de la vie privée, les catégories de traitements qui présentent des risques particuliers au regard des droits et libertés des personnes concernées, et fixe, également sur proposition de la Commission de la
protection de la vie privée, des conditions particulières pour garantir les droits et libertés des personnes concernées.
Il peut en particulier déterminer que le responsable du traitement désigne un préposé à la protection des données chargé d’assurer, d’une manière indépendante, l’application de la présente loi ainsi que de ses mesures d’exécution.
Le Roi détermine par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, le statut du préposé à la protection des données. »

Transfert de données vers un autre pays européen

Le Chapitre VI de la loi (articles 21 et 22) concerne le « Transfert de données à caractère personnel vers des pays non membres de la Communauté européenne« .

Commission de la protection de la vie privée

Il est institué auprès de la Chambre des représentants une Commission de la protection de la vie privée (article 23).

La Commission émet soit d’initiative, soit sur demande du Gouvernement, des Chambres législatives, des Gouvernements de communauté ou de région, des Parlements de communauté ou de région, du Collège réuni ou de l’Assemblée réunie visés à l’article 60 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloises ou d’un comité de surveillance, des avis ou des recommandations sur toute question relative à l’application des principes fondamentaux de la protection de la vie privée dans le cadre de la présente loi, ainsi que des lois contenant des dispositions relatives à la protection de la vie privée à l’égard des traitements de données à caractère personnel (articles 29 et 30).

De plus et sans préjudice de toute action devant les tribunaux et sauf si la loi en dispose autrement, la Commission examine les plaintes signées et datées qui lui sont adressées. Ces plaintes peuvent avoir trait à sa mission de protection de la vie privée, à l’égard des traitements de données à caractère personnel ou à d’autres missions qui lui sont confiées par la loi (article 31).

Pour l’accomplissement de toutes ses missions, la Commission peut requérir le concours d’experts et sauf si la loi en dispose autrement, la Commission dénonce au procureur du Roi les infractions dont elle a connaissance (article 32).

« Art. 33. Sans préjudice de l’article 32, § 2, les membres et membres du personnel de la Commission ainsi que les experts dont le concours est requis sont tenus d’une obligation de confidentialité à l’égard des faits, actes ou renseignements dont ils ont eu connaissance en raison de leurs fonctions« .

share.. for all !!!
PDF Download    Envoyer l'article en PDF   

A propos de admin

Juriste de formation, je suis spécialisé dans la matière de la propriété intellectuelle.
Scroll To Top