La loi belge sur la protection de la vie privée vient d’entrer en vigueur par la publication d’un arrêté royal du 13 mars 2001. Interview d’...tienne Wery, avocat spécialiste du droit des nouvelles technologies.
Julie Krassovsky |
Alors que le gouvernement français n’en finit pas de transposer la directive européenne sur la protection de la vie privée, la Belgique a publié, mardi 13 mars 2001, l’arrêté royal qui signe l’achèvement de cette transposition. Le 24 octobre 1995, la Commission européenne a en effet adopté une directive générale relative au traitement des données à caractère personnel. À charge ensuite pour chaque ...tat membre de transposer cette directive dans sa propre législation avec pour obligation de respecter le délai de temps fixé au plus tard... le 24 octobre 1998. Un temps aujourd’hui largement dépassé par la plupart des ...tats. La France, l’Allemagne, l’Irlande, les Pays-Bas, le Luxembourg, le Danemark se sont fait épingler par la Commission pour leur retard. Plus réactive, la Belgique a su réparer son mauvais départ en promulguant avant les autres les décrets d’application de sa loi sur la protection de la vie privée : alors que la France disposait déjà d’une réglementation en la matière, la loi relative à l’informatique, aux fichiers et aux libertés de 1978, la Belgique ne disposait, elle, d’aucun cadre légal spécifique. C’est en effet, seulement le 8 décembre 1992 que le royaume s’est doté d’un texte, modifié par la loi du 11 décembre 1998 pour se mettre en conformité avec la directive européenne. Bonne élève, la Belgique a respecté le délai fixé par la Commission européenne même s’il lui a fallu encore trois ans pour en publier les décrets d’application. Interview d’...tienne Wery, avocat spécialiste du droit des nouvelles technologies.
Pourquoi a-t-il fallu attendre trois ans pour voir publiés les décrets d’application de la loi ?
D’abord parce que c’est un travail très laborieux et qui prend du temps. La preuve, le gouvernement français planche encore sur son texte... Ensuite parce qu’il a fallu trois ans pour que les politiques se mettent d’accord sur les décrets. En Belgique, c’est le gouvernement qui établit les décrets d’application, le conseil d’...tat ne prépare pas le travail comme en France. En Belgique, il ne se prononce que sur la technique
Quels sont, selon vous, les points saillants ?
En matière de données privées, le décret consacre deux types de données : celles qui sont codées et celles qui ne le sont pas. Les premières permettent de protéger l’identité des personnes par un code. Une définition des données anonymes y est aussi précisée. Ce sont les données qui ne peuvent être attribuées à une personne identifiée ou identifiable. De ce fait, elles ne constituent donc pas des données à caractère personnel. Ces spécifications sont importantes dans le cadre du commerce électronique où nombre de fichiers sont revendus à des sociétés spécialisées dans le marketing.
Et en matière de protection des données dites sensibles ?
L’utilisation des données sensibles - qui ont trait aux origines, au sexe, à l’affiliation politique etc. - est très encadrée. Le traitement de données à caractère personnel est exclusivement autorisé par le consentement par écrit de la personne concernée. Le responsable du traitement doit aussi préalablement communiquer à la personne concernée les motifs pour lesquels ces données sont traitées, ainsi que la liste des catégories de personnes y ayant accès. L’arrêté prend en compte le consentement d’une personne qui aurait été obtenu à cause d’une situation de dépendance. Imaginons, par exemple, que votre banquier vous oblige à remplir un questionnaire en échange du prêt que vous lui demandez. La collecte de ces données s’avèrerait interdite.
Qui peut avoir accès à ces données personnelles ?
Chacun a un droit d’accès aux données collectées sur lui-même. Mais peu de personnes l’utilisent car c’est une procédure lourde. Il faut envoyer des courriers en recommandé, cela met du temps et démotive les particuliers d’exercer leurs droits. À ce sujet, le texte précise que pour autant que vous puissiez prouver votre identité, vous pouvez exercer votre droit de regard par tout moyen de télécommunication. Cela implique, par exemple, que les internautes pourront bientôt le faire via des formulaires pré-imprimés téléchargeables sur Internet. Pour ce qui est des déclarations à la Commission (équivalent de la CNIL en France, Commission nationale informatique et liberté) que doivent obligatoirement faire les entreprises qui collectent des données, la procédure pourra se faire dorénavant par formulaire électronique sur le site de la commission. Cela facilitera les déclarations. Actuellement, seuls 2 à 3 % des sociétés déclarent leurs traitements de données.
http://www.droit-technologie.org/fr/index.asp