RGPD : la loi belge se fait attendre…

Le 03 mai 2018Réglementation

Comme chacun sait, le Règlement général sur la protection des données (« RGPD ») entrera en vigueur le 25 mai prochain.

 

Bien que directement applicable dans les États-membres, dont la Belgique, ceux-ci restent tenus d’adopter des législations nationales en vue de mettre en œuvre le règlement et de préciser de nombreux points relatifs au traitement des données à caractère personnel. Le législateur belge est bien entendu tenu de respecter la philosophie et les lignes de force élaborées par le RGPD.

 

Dans ce cadre, le gouvernement a adopté, le 16 mars dernier, un avant-projet de loi. Cet avant-projet n’a pas encore été publié et suit actuellement le processus législatif, pour une entrée en vigueur prochaine, du moins on le suppose.

 

L’Autorité de protection des données belge (anciennement la Commission de la protection de la vie privée) vient de rendre un avis, très éclairant, sur cet avant-projet.

 

Nous abordons ci-dessous plusieurs points de cet avis :

 

  • Selon l’Autorité de protection des données, l’avant-projet tend à soustraire les autorités et organismes publics (qui traitent pourtant de nombreuses données à caractère personnel) du champ d’application du RGPD, sous prétexte de « garantir que l’autorité puisse remplir ses missions » (assurer la sauvegarde de la continuité du service public).

 

Cette dérogation, vivement critiquée, doit être minutieusement délimitée si l’on veut assurer une sécurité juridique et une application effective de la loi, ce n’est pas le cas en l’état ;

 

  • L’exposé des motifs de l’avant-projet affirme que le critère prioritaire pour déterminer la loi nationale applicable serait le lieu de résidence de la personne concernée (par exemple, le travailleur). La question de la loi applicable se pose en particulier lorsque le responsable du traitement (par exemple, l’employeur), les éventuels sous-traitants et les personnes concernées se trouvent dans des États-membres différents ;

 

Cependant, relève l’Autorité de protection des données, le texte-même de l’avant-projet n’apporte aucune précision complémentaire qui permettrait de résoudre les conflits de lois susceptibles de survenir. Il s’agit là d’une importante lacune ;

 

  • L’avant-projet prévoit que le responsable du traitement dispose d’un mois pour accuser réception de la demande d’une personne concernée qui souhaite exercer ses droits (droit de consultation, de rectification ou d’effacement des données, etc). L’Autorité de protection des données estime que ce délai doit être réduit. En effet, le RGPD prévoit un même délai d’un mois maximum pour informer la personne concernée de ses droits en vertu du règlement ;

 

  • L’Autorité de protection des données accueille favorablement la possibilité, nouvelle, d’introduire une procédure en référé, devant le président du tribunal de première instance. Cette action vise à faire cesser un traitement ou empêcher un traitement qui constituerait une violation grave du droit à la protection de la vie privée ;

 

  • L’Autorité de protection des données constate que les sanctions pénales envisagées par l’avant-projet sont inférieures aux amendes administratives susceptibles d’être infligées, sans aucune justification donnée à cet égard.

 

En définitive, l’Autorité de protection des données considère que de nombreuses corrections doivent être apportées au texte, avant son adoption définitive, afin qu’il soit en conformité avec les principes généraux du RGPD et qu’il les mette en œuvre de manière cohérente.

 

Nous continuons à suivre la question de très près et vous informerons dès que le texte de la loi sera connu et disponible.

 

Source : Avis n° 33/2018 du 11 avril 2018