La notion de vie privée ne doit pas être ici entendue au sens traditionnellement classique, comme la vie intime des gens ou la vie cachée, matière qui fait l'objet d'une protection par la convention Européenne des droits de l’homme.
Il s’agit plutôt ici d’aborder la maîtrise de tous les éléments ou données qui sont rattachés à l’image informationnelle d’un individu, dans le cadre d’un traitement de données (L. 8/12/1992).
Dans cette rubrique, nous voulons vous informer sur les différentes formalités et les différentes précautions à prendre lorsque vous désirez collecter des données à caractère personnel.
1. Qu'est-ce qu'une donnée à caractère personnel ?
2. Qui est responsable du traitement ?
3. Qui est le sous-traitant ?
4. Qu'est-ce qu'un traitement légitime ?
5. Quels sont les Droits des personnes concernées ?
6. Quelles sont les données que l'on ne peut pas collecter ?
L'objectif fondamental de la loi sur la protection des données à caractère personnel , est d'assurer
un équilibre entre la libre circulation des données à caractère personnel, et le
droit des personnes concernées par ces traitements à les contrôler, voir même à s'opposer que des données les concernant soient traitées.
La loi ne s'applique pas aux traitements de données à des fins personnels ou domestiques.
1- Présentation du Droit au Respect de la Vie privée dans le cadre des nouvelles technologies.
La notion de traitement de données à caractère personnel ne se limite pas simplement aux opérations automatisées, mais également à toute opération manuelle, tels que des fichiers manuscrits, à la condition que les données à caractère personnel reprises par ces fichiers soient structurées en fonction de critères déterminés.
Un dossier même bien compartimenté, n'est pas nécessairement un fichier manuel au sens de la loi, s'il ne présente pas de critères de recherche bien établis (nom, âge, profession,...).
Quelle est la différence entre un fichier automatisé et manuel ?
Il n'y a aucune différence au regard de la loi sur la protection des données personnelles, à l'exception que dans le cadre d'un fichier manuel, le respsonsable n'est pas tenu d'établir de déclaration auprès de la commission de la vie privée.
Ainsi un médecin, qui détient un fichier bien structuré sur ses patients, ne doit pas réaliser de déclaration auprès de la commission de la vie privée.
Par contre, s'il est informatisé, il en est normalement tenu légalement, et ce, quels que soient les critères que son programme présente.
Pourquoi ?
Actuellement le développement spectaculaire des technologies de l'information et de la communication (TIC), et leur utilisation, facilite la réalisation de nombreux traitements automatisés, et présente incontestablement de nouveaux dangers pour le respect de la vie privée et des droits fondamentaux du citoyen. De plus l'interconnexion des ordinateurs au sein des réseaux permet plus facilement de pouvoir se constituer des fichiers, cela entraîne une source incontestable de nouvelles menaces à la protection de la vie privée du citoyen.
De tels fichiers peuvent donc aisément être forwardés, souvent moyennenant un coût financier important, il est donc important d'en surveiller leur utilisation et leur destination.
Comment de tels fichiers peuvent se constituer ?
Il faut savoir que lorsque vous naviguez sur la toile vous communiquez toute une série d'informations.
S'il existe des actions conscientes d'enregistrement de données, notamment lorsque vous remplissez un formulaire 'on line', ou lorsque vous participez à un forum ou à une conférence, il existe toute une série de techniques qui permettent de collecter parfois à votre insu des données souvent à caractère informationnel sur votre personne.
Une des techniques qui est le plus souvent citée parmi les défenseurs du droit à la vie privée, c'est les cookies.
Le phénomène cookies permet aux firmes de Cybermarketing de mieux vous profiler et de mieux vous cibler lorsque vous naviguez sur le Web, en collectant à votre insu toute une série d'informations sur vos habitudes de cybercommerçant ou d'internaute.
La technique du cookie est fort utilisée pour le marketing one to one.
Mais toutes ces données collectées par les cookies sont souvent techniques, et ne permettent pas automatiquement d'identifier l'internaute, mais plutôt tel internaute ayant tel numéro d'identification (p.ex. : n° 11524).
On rappelle que pour que la loi du 8 décembre 1991 s'applique, il faut que les données permettent d'identifier une personne (ex. plaque de voiture, une photo de la personne, adresse, etc...).
Ainsi lorsque vous arrivez sur un site, vous êtes reconnu par le fichier de votre cookie comme étant le numéro xxxxx, ayant une adresse IP xxx xxx xxx.
Toutes ces données collectées sont-elles vraiment dangereuses au régard du respect de la vie privée ?
Certains le pensent !
Il est vrai que la jurisprudence a déclaré qu'une adresse IP est une donnée à caractère personnel, car elle permet d'identifier raisonnablement l'internaute à travers son ordinateur.
II. Quelques définitions
1. -Qu'est-ce qu'une donnée à caractère personnel ?Une donnée à caractère personnel, c'est une information sur une personne physique.
Toute information a un caractère personnel, lorsque vous pouvez faire un lien raisonnable entre une donnée ou un ensemble de données et une personne physique.
Par conséquent, on peut convenir qu'une donnée est anonyme lorsque vous ne pouvez établir ce lien de manière raisonnable.
Le législateur a prévu qu'une donnée n'est identifiable que si vous pouvez raisonnablement faire un lien entre l'information et la personne physique.
Cette recherche doit pouvoir être réalisée in abstracto, et donc quels que soient les moyens dont bénéficient l'internaute.
Ainsi, un numéro de sécurité sociale, une plaque de voiture, une photo, une adresse IP, tous les éléments spécifiques propre à une identité physique, physiologique, psychique, économique, culturelle ou sociale (ajoute la loi), sont des données à caractère personnel.
L’article 1er, 3° AR 13.02.2001, parle de données à caractère personnel codée : ce sont des données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que par l’intermédiaire d’un code.
2. -Qu’est-ce qu’une personne concernée suivant la loi ?
C’est la personne dont les données sont enregistrées dans un traitement ou un fichier.
3.-Qui est le responsable du traitement ?
C'est la personne physique ou morale, l’association de fait ou l’administration publique qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.
Vous êtes agent immobilier, vous réalisez un listing dont la finalité est du marketing direct, qui reprend vos anciens clients, vos nouveaux clients, ainsi que toutes les personnes dont vous êtes en contact.
Vous êtes donc le responsable du traitement.
Traitement que vous devez déclarer à la commission de la vie privée, en indiquant la finalité exacte de ce traitement (marketing direct, ou autres…), et les moyens que vous avez utilisés pour réaliser ce traitement.
Concernant ce dernier point, vous devez indiquer les personnes qui ont réalisées ce traitement. Soit, c'est vous-même, soit vous avez sous-traité pour réaliser ce traitement.
Nous indiquons à la rubrique 'déclaration' toutes les formalités auxquelles vous devez souscrire.
4.-Qui est le sous-traitant ?
La personne physique ou morale, l’association de fait ou l’administration publique qui traite des données à caractère personnel pour le compte du responsable du traitement, qui est habilitée à traiter les données.
Le sous-traitant est quant à lui sous l’autorité directe du responsable du traitement.
On exige du sous-traitant qu’il soit qualifié, et qu'il fournisse des garanties quant à son organisation.
Vous ne pouvez pas choisir n’importe qui, il doit présenter des garanties de sérieux, d’autant que vous vous déchargez de toutes vos responsabilités sur cette personne.
Il faut choisir un sous-traitant qui offre des garanties suffisantes au point de vue de sécurité.
De plus, vous devez établir un contrat dans lequel vous spécifiez les responsabilités du sous-traitant et précisez qu’il ne peut agir que sous instruction du responsable du traitement.
L’idée est que vous ne pouvez pas vous exonérer en prenant n’importe quel sous-traitant.
5.- Qu’est-ce qu’un traitement ?
La loi précise qu'un traitement, c’est toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données à caractère personnel,
telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification , l’extraction, la consultation, l’utilisation , la communication par transmission diffusion ou tout autre forme de mise à dispositions, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction de données à caractère personnel ;
Certains considèrent que cette énumération légale est assez diffuse et confuse.
Est-ce que le fait de consulter un site, entraine-t-il pour autant un traitement ?
Non, répondent les spécialistes, mais si à la suite d'une consultation, vous téléchargez automatiquement des données à caractère personnel, vous réalisez par cette opération un traitement au sens de la loi du 8 décembre 1992.
6.- Quand la légitimité d’un traitement est-elle conforme ?
Lorsque vous réalisez un traitement, il faut obtenir le consentement de la personne concernée, dit l'article 1er de la loi du 8 décembre 1992.
Ce consentement doit être une manifestation d'une volonté libre, spécifique et informée par laquelle la personne concernée ou son représentant légal accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.
S'il n'est pas possible d'avoir le consentement de la personne concernée au moment du traitement, la loi précise que ce consentement doit être obtenu à la première communication.
D'autre part, la légitimité d’un traitement est conforme, lorsque les données collectées sont compatibles avec la finalité du traitement.
C’est à dire que les données doivent être adéquates, pertinentes et non excessives, et tout cela en rapport avec la finalité que vous avez déclarée.
Pour cette raison, votre finalité doit être déterminée et explicite.
Vous ne pouvez collecter des informations qui n'ont rien à voir avec la finalité de votre traitement.
Vérifiez toujours, lorsque vous remplissez un formulaire, que les données demandées soient bien pertinentes avec la finalité du traitement.
(Vous pouvez facilement faire l'expérience avec les formulaires que vous recevez concernant les activités scolaires de vos enfants. Certaines questions n'ont aboslument rien à voir avec la finalité du traitement - inadéquat- !)
Attention, pour demander votre numéro de registre nationale, il faut un arrêté royal pour l'autoriser.
Vous trouverez sur le site de la commission une liste assez complète d’exemples de finalité ( administration du personnel, soins des patients, gestion des crédits, marketing direct, commerce d’informations commerciales, sécurité etc…)
http://www.privacy.fgov.be/
D’autre part, les données doivent être exactes et de qualités.
Il faut des données mises à jour. Vous ne pouvez pas garder des données de vos anciens clients, qui n’ont plus rien à voir avec la gestion actuelle de vos dossiers en cours.
Lorsqu’un dossier est terminé, vous devez retirer les données relatives à ce client, sauf son accord.
Ainsi, votre client doit être tenu au courant que ces données personnelles sont gardés pour une autre finalité, du marketing direct.
D’autre part, un traitement pour être légitime, doit être loyal et licite.
-Loyal, parce que vous devez informer la personne concernée que vous avez collecté des données la concernant en précisant la destination de ces données.
-Licite, le respect de la loi sur la vie privée, ne vous soustrait pas au respect de la législation en général. Le respect de la loi sur la vie privée n’entraîne pas l’autorisation du médecin à violer le secret médical, même avec l’accord de la personne concernée.
6- Les droits des personnes concernées.
C’est le principe de la transparence.
Les personnes concernées par un traitement doivent pouvoir savoir ce que contient précisément toutes les données qui ont été collectées.
En fait, le principe de la transparence est lié au principe de ne pas tout interdire.
C’est la libre circulation des données, mais en contre partie, vous êtes tenus de laisser les personnes concernées le droit d’accéder, de rectifier et de s'opposer à la collecte de leurs données.
Le principe de la transparence se réalise moyennant plusieurs droits qui sont conférés à la personne concernée.
-Le droit à l’information
-le droit à la curiosité
-le droit d’accès
-le droit de rectification
-le droit d’opposition
-le droit à ne pas être soumis à une machine
-Le droit à l’information est établi à l’article 9 de la loi du 8 décembre 1992.
Il y a un devoir pour le responsable du traitement d’informer les gens, lors de la collecte.
En quoi consiste cette information ?
Il convient de donner l’identité du responsable du traitement, les coordonnées du responsable, la finalité du traitement que l’on poursuit, la destination de ces données,...
Ainsi, si vous avez comme finalité de traitement de faire de la promotion, vous devez aviser les personnes concernées qu’elles ont la possibilité de s’opposer sans motif à des fins de promotion et de direct marketing.
Par contre, pour tous les autres traitements, vous devez motiver les raisons de votre refus.
Lorsque vous réalisez une collecte indirecte, et compte tenu du volume du fichier, il ne vous est pas possible d’informer directement les personnes concernées, sans devoir utiliser des moyens disproportionnés.
Dès lors, le législateur a prévu que cette information pourra avoir lieu lors d’un prochain contact avec la personne concernée.
C’est à ce moment là que vous devrez donner toutes les informations à la personne concernée, la finalité de votre traitement, la durée, la destination des données.
Lorsque vous installez des caméras de vidéo-surveillance, le responsable de ce traitement, doit installer un petit panneau prévenant le visiteur qu'un traitement d'images est réalisé en vue d'assurer la protection des biens et des personnes.
Ce panneau doit indiquer également les références du responsable du traitement, afin de permettre à la personne filmée de faire valoir ses droits légitimes (droit d'accès, droit d'information, connaitre la finalité précise du traitement, vérifiez que le responsable respecte bien ses obligations, ...)
Il existe des exceptions à ce devoir d'information : notamment la police n'est pas tenue d'informer les gens lorsqu’elle collecte sur eux.
Lorsque des traitements sont effectués à des fins de journalisme, d’expression littéraire ou artistique, on ne doit pas prévenir si cela risque de compromettre la collecte des données.
-Droit à la curiosité :
Toute le monde a la possibilité d’interroger les responsables de traitement, afin de pouvoir être informé sur l'existence d'un traitement vous concernant.
Le responsable a l'obligation de vous répondre, en vous précisant les catégories de données, la finalité du traitement et le destination des données qui ont été collectées.
Exception : les journalistes et la police.
-Droit d’accès.
C’est un droit élémentaire, car il permet une véritable transparence.
Ce droit vous permet activement d’avoir accès à toutes les données qui ont été récoltées sur vous. Vous demandez d’accéder à l’information elle–même, sous sa forme intelligible.
Il appartient donc au responsable de traitement de fournir toutes le données qui ont été enregistrées, non pas sous sa forme cryptée mais intelligible.
Ce droit d’accès vous permet de connaître l’origine de cette collecte, et d’exercer légitimement votre droit de rectification.
Cela vous permet ainsi d’atteindre la personne qui fait circuler des informations erronées.
Sur base de ce principe d’accès, il vous est possible de demander aux contributions toutes les données qu’elles possèdent sur vous dans le cadre de votre dossier fiscale.
-Droit de rectification (art 12).
Vous pouvez exercer votre droit à la rectification, en corrigeant toutes les données qui sont inexactes.
Vous ne pouvez corriger que des faits, et non des appréciations et des évaluations.
Si vous manifestez votre droit d’accès aux nombreuses données collectées par votre employeur, vous ne pouvez pas exiger qu’il rectifie les évaluations qu’il a rapportées sur votre attitude au travail.
Par contre, si certaines évaluations erronées peuvent être objectivées sur des faits concrets (Par ex. le rapport soutient que vous arrivez toujours en retard, alors que vous pouvez attester le contraire). Vous pouvez en exiger la correction
Ce droit de rectification doit être perçu comme légitime, personne n’a intérêt a avoir des données inexactes dans un fichier. Sur base de ce droit à la rectification, vous pouvez exiger leur modification mais également obtenir leur suppression.
Cela concerne des données inexactes, mais également des données qui ne sont pas complètes ou qui ne sont pas pertinentes.
Vous pouvez donc faire un nettoyage, pour toutes ces données qui sont incompatibles avec la finalité du traitement, et qui sont devenues obsolectes .
Il y a aussi les données interdites.
Ce sont toutes les données sensibles que les gens n’ont pas le droit a priori de collecter.
Toutes les données relatives à la santé (article 11 de la loi du 8 décembre 1992), au registre nationale. Ainsi, pour obtenir le numéro du registre national, il faut une autorisation par un arrêté royal.
Il est parfois prévu dans certains formulaires d'inscrire votre numéro du registre nationale, alors que les responsables ne sont pas autorisés à solliciter une telle information.
Si l’on s’oppose à la correction de vos données ou tout simplement à leur suppression, la personne concernée peut aller devant le juge qui vérifiera le respect des différentes dispositions légales.
En cas d'infraction à la loi, le responsable du traitement peut-être puni pénalement, et éventuellement condamner à des dommages et intérêts.
La commission peut intervenir et vérifier la légitimité, la mise en balance des intérêts, et examiner s'il existe une atteinte à vos droits fondamentaux.
-Droit d'opposition
Le droit d’opposition est en quelque sorte la contre partie à la liberté de la libre circulation des données.
Ainsi on a donné la réplique à la personne concernée par ses données, en lui accordant un droit d’opposition.
On peut s’opposer en adressant une demande datée et signée au responsable du traitement.
Le principe générale est que pour vous opposez, vous devez avoir des raisons sérieuses et légitimes au traitement de vos données.
Lorsque vous vous opposer à une collecte de vos données pour du maketing directe, vous ne devez pas motiver votre demande.
Ainsi, si vous estimez que les données qui ont été collectées ne sont pas adéquates, qu’il s’agit de données interdites, et que le responsable du traitement n’a pas effectué une mise en balance correcte, vous pouvez vous opposer à la collecte de ces données.
Ce n’est pas un droit absolu, Il faut que vous avanciez une justification, une raison légitime. Concernant le marketing direct, vous pouvez vous opposez sans justification.
Il existe toutefois deux domaines où on ne peut pas s’opposer, dans la mesure ou un traitement de données est nécessaire pour un contrat.
Ainsi dans le cadre d’un contrat bancaire, pour un travail, vous ne pouvez pas vous y opposer.
- Le droit de ne pas être sousmis à une décision automatisées.
L’objectif de cette règle est d’éviter que l’homme dépende de la machine, et qu’une décision soit prise par le seul fondement d’un traitement automatisé.
(art. 12bis : le droit de ne pas être soumis à une décision qui produit des effets juridiques à l’égard d’une personne, ou qu’il affecte de manière significative).
Si la décision est positive, la personne concernée ne souffre d’aucun préjudice.
Mais si la décision est négative, et qu’il en découle des effets juridiques, qui l’affecte de manière significative dans sa personne, il a droit à s'y opposer.
Un contre exemple : Lorsque vous mettez votre carte bancaire dans un distributeur d'un système automatique, pour recevoir de l’argent. C’est une machine qui décide toute seule, mais ici ce n’est pas votre personnalité que l’on évalue, mais votre compte en banque. Cela ce n’est pas une décision individuelle automatisée.
5. Quelles sont les données que l'on peut collecter ?
Existe-t-il des données interdites ?
Les dispositions de l’article 6 interdisent le traitement des données à caractère personnel « qui révèlent l’origine raciale ou éthique, les opinion politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle ».
Il s’agit manifestement de données trop personnelles pour constituer un traitement sans porter atteinte à la personne.
Le législateur a toutefois autorisé certaines exceptions à cette interdiction :
-lorsque la personne concernée a donné son consentement par écrit (ce consentement doit être libre, spécifique et informé ) ;
-lorsque le traitement est nécessaire en raison d’obligations en matière de droit du travail ;
-lorsque le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ;
-lorsque le traitement est effectué par une fondation, une association ou tout autres organismes à but lucratif et à finalité politique, philosophique, religieuse ou syndicale (uniquement pour les données applicables) ;
