La loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel est une loi mammouth, une loi fourre-tout. Elle est très difficile à comprendre. Voici la première partie de notre analyse. Cette première partie concernera les modifications apportées par le Titre préliminaire. Champ d’application et définitions sont au menu.
Un Titre préliminaire pour des dispositions transversales
Les articles du Titre préliminaire de la loi du 30 juillet 2018 comportent des dispositions que le législateur a appelé « introductives », ce qui ne veut rien dire d’un point de vue juridique. Ces cinq articles en réalité sont des dispositions qui s’appliquent de manière générales à l’ensemble des dispositions de la loi.
Analyse de l’article 2 du Titre préliminaire
Son premier alinéa reprend mot pour mot le texte de m’article 2.1 du RGPD. L’alinéa 2 est étonnant.
L’article 2.2 du RGPD précise les quatre cas où il n’est pas d’application.
Il s’agit des traitements de données personnelles effectués:
| a) | dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union; |
| b) | par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne; |
| c) | par une personne physique dans le cadre d’une activité strictement personnelle ou domestique; |
| d) | par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. |
L’alinéa 2 de l’article 2 de la loi belge du 30 juillet 2018 renverse la situation pour deux de ces hypothèses. En effet, l’alinéa rend applicable le RGPD aux situations visées par le a) et le b) cités supra.
Il s’ensuit que puisque les traitements visés par le d) sont l’objet de la directive police-justice de 2016 (dont la transposition est reprise au Titre 2 de la loi du 30 juillet 2018), il n’y a guère que les « traitements effectués par une personne physique dans le cadre d’une activité strictement personnelle ou domestique » qui ne sont pas réglementés. Rappelons que la Cour de justice a une interprétation très restrictive de cette expression (voy. son arrêt Témoins de Jéhovah de juillet 2018).
Analyse de l’article 3 du Titre préliminaire
Cet article comporte trois alinéas qui tous comme objectif de favoriser au maximum la circulation des données personnelles.
L’alinéa 1 dispose que: « La libre circulation des données à caractère personnel n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »
Nous avons bien du mal à percevoir le sens profond de ce texte. Rappelons que le RGPD (et avant lui déjà la directive de 1995) a un double objectif: promouvoir la circulation des données personnelles et veiller à la protection de ces données. Ce double objectif est rappelé dans les premiers considérants du RGPD.
Le RGPD veille à concilier ce double objectif qui peut paraître de prime abord impossible à atteindre. Pourquoi dès lors ici écrire une phrase, sorte de pétition de principe, qui viserait à rétablir un équilibre que le RGPD n’aurait pas atteint? Si ce n’est vouloir formuler autrement ce que le RGPD a voulu dire mais mal…
L’alinéa 2 de l’article 3 porte comme exemple (il commence en disant « En particulier », il n’est donc qu’une précision de l’alinéa 1) que les partage des données à caractère personnel « entre les responsables du traitement, les autorités compétentes, les services, organes et les destinataires, visés aux titres 1er à 3 de la présente loi et qui agissent dans le cadre des finalités visées à l’article 23.1.a) à h), du Règlement, ne peut être ni limité ni interdit pour de tels motifs. »
Cet alinéa explique donc que les partages (nous aurions préféré le mot « transmission » plus juridique) de données personnelles entre les entités ou organismes visés au trois premiers titres de la loi ne peut être ni limitées ni interdites pour des motifs liés à la protection des données personnelles lorsque ces entités ou organismes agissent dans le cadre des huit premières finalités visées à l’article 23.1 du RGPD. L’article 23.1 du RGPD reprend les hypothèses où les Etats membres peuvent limiter les droits des personnes concernées. Il s’agit, par exemple, des traitements effectués dans le cadre d’activités liées à la sécurité nationale, à la défense nationale ou à la sécurité publique.
Il s’agit d’une bonne introduction de ce qui va suivre dès que la loi va parler des traitements effectués pour des activités liées à ces domaines où les droits des personnes concernées n’existent pas. Ou très peu.
Article 4 du Titre préliminaire
C’est l’article le plus important de ce Titre. Il concerne les précisions apportées par le législateur belge au champ d’application de la loi et du RGPD.
Il comporte quatre paragraphes donc quatre hypothèses.
Première hypothèse
« La présente loi s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire belge, que le traitement ait lieu ou non sur le territoire belge. »
Cet alinéa précise donc que la loi (et le RGPD qui est directement applicable en toutes ses dispositions dans tous les Etats membres ne l’oublions pas) s’applique aux traitements de données personnelles effectués dans le cadre des activités d’un établissement d’un responsable de traitement/sous-traitant situé sur le territoire belge, qu’importe si la réalisation du traitement ait lieu sur le territoire belge ou non. La condition principale pour que ce soit la loi belge (et ses multiples précisions) qui s’applique (et pas la loi d’un autre pays) est que le traitement soit réalisé dans le cadre des activités d’un établissement qui est lui situé sur le sol belge.
Il faudra donc bien analyser si le traitement est effectué ou pas dans le cadre des activités d’un établissement localisé en Belgique. Peu importe si la réalisation concrète du traitement ait lieu ailleurs. Rappelons que la Cour de justice a une interprétation très extensive de cette expression (voy. son arrêt Google Spain de 2014).
Deuxième hypothèse
Toutefois, prévient le paragraphe 3 du même article, par dérogation à la première hypothèse, lorsque le responsable du traitement est établi dans un État membre de l’Union européenne (par exemple en France) et fait appel à un sous-traitant établi sur le territoire belge, le droit de l’État membre en question (par exemple, le droit français) s’applique au sous-traitant pour autant que le traitement a lieu sur le territoire de cet État membre (en France).
Troisième hypothèse
Le paragraphe 2 vise l’hypothèse où les traitements qui concernent des personnes localisés en Belgique mais par un responsable du traitement ou un sous-traitant qui n’est pas établi sur le territoire de l’Union européenne.
Dans ce cas, la loi belge sera d’application lorsque les activités de traitement sont liées :
1° à l’offre de biens ou de services à ces personnes concernées sur le territoire belge, qu’un paiement soit exigé ou non desdites personnes;
ou
2° au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu sur le territoire belge.
Il s’agit des deux cas d’extraterritorialité visés par le RGPD.
Quatrième hypothèse
Classiquement, le dernier paragraphe vient préciser que la loi belge s’appliquera aux traitements de données personnelles effectués par un responsable du traitement qui n’est pas établi sur le territoire belge mais dans un lieu où le droit belge s’applique en vertu du droit international public.
Article 5 du Titre préliminaire
Le RGPD ne définissait ce qu’il fallait entendre par « autorité publique« . C’est l’objet du cinquième article de la loi du 30 juillet 2018.
En Belgique, il faudra entendre par “autorité publique” :
1. l’état fédéral, les entités fédérées et les autorités locales;
2. les personnes morales de droit public qui dépendent de l’État fédéral, des entités fédérées ou des autorités locales;
3. les personnes, quelles que soient leur forme et leur nature qui :
— ont été créées pour satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial; et
— sont dotées de la personnalité juridique; et
— dont
=> soit l’activité est financée majoritairement par les autorités publiques ou organismes mentionnés au 1° ou 2°,
=> soit la gestion est soumise à un contrôle de ces autorités ou organismes,
=> soit plus de la moitié des membres de l’organe d’administration, de direction ou de surveillance sont désignés par ces autorités ou organismes;
4. les associations formées par une ou plusieurs autorités publiques visées au 1°, 2° ou 3°.
La notion d’autorité publique belge est donc très large.
Conclusion
Le Titre préliminaire a donc une portée très vaste. Il ne faudra pas l’oublier lorsqu’il s’agira d’interpréter les autres dispositions de cette énorme loi. Le Titre préliminaire pose le débat et déjà, il n’est pas si évident à comprendre.
Pictures : privacy shield by Gregor Cresnar from the Noun Project – Atomium by Alvaro Cabrera from the Noun Project
N’hésitez pas à vous procurer mon livre auprès des Editions Bruylant.
La bible de l’implémentation pratique du RGPD en Belgique et en France.