" Protection des données personnelles en Belgique : quelles règles ?

Adopté au sein de l’Europe, le Règlement Général pour la Protection des Données à caractère personnel s’est appliqué de fait dans tous les États membres de l’Union européenne. Mais il a laissé une certaine marge de manœuvre à chaque pays. Il a ainsi été transposé en droit belge. Depuis l’entrée en vigueur du RGPD le 25 mai 2018, plusieurs lois belges encadrent sa mise en œuvre sur le territoire avec des dispositions spécifiques. Découvrez les règles de protection des données personnelles en Belgique.

Loi-cadre : la référence belge qui fixe les règles de protection des données personnelles

Dite “loi-cadre”, la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel a été promulguée le 5 septembre 2018. Ce texte dense composé de 286 articles a abrogé la loi du 8 décembre 1992 sur la protection de la vie privée jusqu’alors en vigueur. Il a également transposé la Directive 2016/680 dite “Directive police-justice”.

La loi-cadre a fixé des règles nationales en adéquation avec le règlement européen sur la protection des données. Voici les principales nouvelles dispositions applicables en Belgique.Elles concernent notamment les autorités publiques, mais ont également un impact sur les entreprises.

L’abaissement de l’âge du consentement numérique pour les mineurs

L’âge à partir duquel un enfant peut donner lui-même son consentement pour le traitement de ses données à caractère personnel est passé de 16 à 13 ans. En deçà, l’autorisation des parents ou d’un représentant légal reste nécessaire.

Cette disposition concerne les offres de services de la société de l’information, c’est-à-dire effectuées par voie électronique.

Des mesures de protection renforcées pour le traitement des données biométriques, génétiques et de santé

Afin de protéger plus efficacement les données de santé, la Belgique a imposé une obligation légale aux organismes qui en assurent le traitement :

  • Définir les catégories de personnes qui peuvent y avoir accès, préciser leur fonction et s’assurer de leur obligation de confidentialité.
  • Fournir cette liste complète à la demande de l’autorité de contrôle compétente.

De nouvelles exceptions pour lever l’interdiction de traiter des données d’infractions et de condamnations pénales

Une disposition du RGPD prévoit plusieurs cas de figure dans lesquels est autorisé le traitement de données de condamnations ou d’infractions.

La loi belge a élargi les conditions de levée de l’interdiction sur la base du droit de l’Union européenne. Elle a ainsi ajouté plusieurs exceptions permettant le traitement de ces données sensibles lorsque :

  • Il s’agit de la gestion de contentieux ou de motifs d’intérêt public important
  • La personne concernée a donné une autorisation explicite.

L’exonération de sanctions pour les autorités publiques

Le RGPD laisse la possibilité à chaque état membre de définir les situations dans lesquelles une autorité publique reçoit une amende.

La loi-cadre a prévu la non-application d’amendes administratives contre les pouvoirs publics belges qui commettraient des atteintes à la protection de données personnelles.

Seule exception : s’il s’agit de personnes morales de droit public qui offrent des services/biens sur un marché.

Autorité de Protection des Données (APD) et Comité de Sécurité de l’Information (CSI)

Dès son entrée en vigueur, le RGPD a exigé la mise en place d’autorités indépendantes pour veiller au respect des dispositions adoptées.

Depuis la loi du 3 décembre 2017, l’Autorité de Protection des Données (APD) a remplacé en Belgique la Commission de la protection de la vie privée. Cet organe de contrôle indépendant est en charge de la surveillance de l’application des mesures belges en matière de protection des données à caractère personnel.Mais cette loi a également supprimé les comités sectoriels chargés de délivrer des autorisations pour échanger des données personnelles.

Publiée dans le Moniteur belge le 10 septembre 2018, la loi du 5 septembre 2018 a remédié à cette suppression en instaurant la création du Comité de Sécurité de l’Information (CSI). Lui aussi indépendant, cet organisme est composé de la chambre “Sécurité sociale et Santé” et de la chambre “Autorité fédérale”. Il fournit notamment des avis sur la transmission d’informations à caractère personnel et examine entre autres si ces communications sont conformes aux principes fondamentaux.

Depuis leur mise en place, les règles de protection des données personnelles sur le territoire belge respectent les principes du règlement européen en la matière. Mais elles fixent néanmoins des mesures propres à la Belgique. Le RGPD reste un sujet sensible particulièrement d’actualité. En effet, le 9 juin 2021, la Commission européenne a ouvert une procédure contre la Belgique, pointant du doigt l’APD pour son manque d’indépendance. Certains de ses membres (comme Frank Robben) exerçaient des fonctions incompatibles avec cette exigence fondamentale. Suite à cette violation du RGPD, la Commission a laissé un délai de 2 mois à l’autorité belge pour revoir sa copie.