📄 Texte de loi
13 FEVRIER 2001. - Arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel
RAPPORT AU ROI 1. Introduction La
loi du 11 décembre 1998Documents pertinents retrouvés
type
loi
prom.
11/12/1998
pub.
03/02/1999
numac
1999009051
source
ministere de la justice
Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données
fermer a adapté la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel aux dispositions de la Directive européenne 95/46/CE du 24 octobre 1995. La transposition de cette directive a modifié en profondeur la loi du 8 décembre 1992. Un nouvel arrêté d'exécution s'est dès lors avéré nécessaire. Aux termes de l'article 32 de la Directive européenne, les dispositions de cette directive sont transposées dans la législation nationale par les Etats membres uniquement après l'entrée en vigueur des mesures légales et des mesures judiciaires administratives nécessaires. Le délai pour la transposition a expiré le 24 octobre 1998.
Avant la transposition de la Directive européenne par la
loi du 11 décembre 1998Documents pertinents retrouvés
type
loi
prom.
11/12/1998
pub.
03/02/1999
numac
1999009051
source
ministere de la justice
Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données
fermer, une quinzaine d'arrêtés royaux portant exécution de la loi du 8 décembre 1992 ont été promulgués. Ce nombre élevé d'arrêtés d'exécution n'a pas favorisé la transparence de la réglementation en la matière. L'une des principales caractéristiques du présent l'arrêté réside dès lors dans le fait qu'il abroge la quasi-totalité des arrêtés royaux précédemment promulgués sur la base de la loi du 8 décembre 1992 et les remplace, dans toute la mesure du possible, par un seul et unique arrêté général.
Il est à noter que la directive 95/46/CE sera évalué, en vertu de son article 33, à partir de juin 2001, en tenant compte des développements de la technologie de l'information et à la lumière des travaux sur la société de l'information.
L'éventail des tâches confiées au Roi par la loi du 8 décembre 1992, après sa modification par la
loi du 11 décembre 1998Documents pertinents retrouvés
type
loi
prom.
11/12/1998
pub.
03/02/1999
numac
1999009051
source
ministere de la justice
Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données
fermer, est très large.
Pas moins de 35 dispositions de la loi doivent ou peuvent être exécutées par le Roi. 1) art.3, § 6 : autorisation pour le Centre européen pour enfants disparus et sexuellement exploités de s'écarter de certaines dispositions de la loi, en ce compris la durée et les conditions de l'autorisation, ainsi que statut du préposé à la protection des données; 2) art.4, § 1er, 2° : traitement ultérieur de données à caractère personnel à des fins scientifiques; 3) art.4, § 1er, 5° : conservation de données à caractère personnel à des fins scientifiques; 4) art.5, f) : autorisation d'un traitement de données à caractère personnel en fonction d'une pondération des intérêts; le Roi peut déterminer les cas où il ne peut être recouru à cette justification; 5) art.6, § 2, a) : dérogation au principe de l'autorisation du traitement de données sensibles sur la base du consentement écrit de l'intéressé; 6) art.6, § 2, g) : conditions pour le traitement de données sensibles à des fins scientifiques; 7) art.6, § 2, k) : autorisation individuelle pour le traitement de données sensibles par des associations dotées de la personnalité juridique ou par des établissements d'utilité publique qui ont pour finalité principale la défense des droits de l'homme et des libertés fondamentales; 8) art.6, § 3 : autorisation individuelle pour le traitement de données à caractère personnel concernant la vie sexuelle par une association dotée de la personnalité juridique ou par un établissement d'utilité publique, qui a pour but principal l'évaluation, la guidance et le traitement des personnes dont le comportement sexuel peut être qualifié d'infraction, et qui est agréé et subventionné par l'autorité compétente en vue de la réalisation de ce but; 9) art.6, § 4 : conditions particulières pour le traitement de données sensibles; 10) art.7, § 2, a) : possibilité pour le Roi de déterminer les cas dans lesquels l'interdiction de traiter des données relatives à la santé ne peut être levée par le consentement écrit de la personne concernée; 11) art.7, § 2, k) : conditions pour le traitement de données relatives à la santé pour les nécessités de la recherche scientifique; 12) art.7, § 3 : conditions particulières pour le traitement de données relatives à la santé; 13) art.7, § 4, alinéa 2 : possibilité pour le Roi de déterminer les catégories des personnes qui sont considérées comme des professionnels des soins de santé pour l'application de la présente loi; 14) art.8, § 2, e) : conditions pour le traitement de données à caractère personnel de nature judiciaire à des fins scientifiques; 15) art.8, § 4 : conditions particulières pour le traitement de données à caractère personnel de nature judiciaire; 16) art.9, § 1er, e) : informations complémentaires, en fonction du caractère spécifique du traitement, à fournir par le responsable au moment où il obtient les données auprès de la personne concernée elle-même; 17) art.9, § 2, e) : informations complémentaires, en fonction du caractère spécifique du traitement, à fournir par le responsable lorsqu'il collecte les données autrement qu'auprès de la personne concernée; 18) art.9, § 2, alinéa 3 : conditions pour être dispensé de l'obligation de fournir les informations imposées par l'art. 9, § 2; 19) art.10, § 1er, alinéa 2 : désignation des personnes auprès desquelles le droit de consultation peut être exercé; 20) art.10, § 1er, alinéa 4 : possibilité pour le Roi de fixer les modalités pour l'exercice du droit de consultation; 21) art.12, § 2 : désignation des personnes auprès desquelles le droit de rectification et le droit d'opposition doit être exercé; 22) art.13, alinéa 2 : modalités de l'exercice du droit de consultation indirect par le biais de la Commission; 23) art.13, alinéa 4 : informations qui peuvent être communiquées à l'intéressé par la Commission dans le cas d'un traitement par des services de police en vue de contrôles d'identité; 24) art.16, § 4, alinéa 3 : fixation de normes appropriées en matière de sécurité informatique pour le traitement de données à caractère personnel; 25) art.17, § 8 : exemption de déclaration pour certaines catégories de traitements de données à caractère personnel; 26) art.17, § 9 : fixation de la contribution à payer par le responsable au moment de la déclaration; 27) art.17bis : détermination par le Roi des catégories de traitements qui présentent des risques particuliers au regard des droits et libertés des personnes concernées et fixe pour ces traitements, des conditions particulières pour garantir les droits et libertés des personnes concernées; 28) art.18, alinéa 3 : modalités de consultation du registre public des traitements automatisés; 29) art.21, § 2 : détermination par le Roi des catégories de traitements de données à caractère personnel pourlesquels et des circonstances auxquelles la transmission de données à caractère personnel vers des pays non membres de la Communauté européenne n'est pas autorisée; 30) art.22, § 2 : possibilité pour le Roi d'autoriser un transfert ou ensemble de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat lorsque le responsable du traitement offre des garanties suffisantes; 31) art.32bis, § 1er : en vue de l'application de conventions internationales, le Roi peut désigner la Commission de la protection de la vie privée pour exercer, en vertu de ces conventions, des missions identiques à celles qui lui sont reconnues par la présente loi; 32) art.32bis, § 2 : le Roi détermine les modalités de la représentation de la Commission par certains de ses membres, ou membres du personnel, en qualité de représentants auprès d'autorités internationales; 33) art.44 : le Roi peut préciser la mise en oeuvre des dispositions contenues dans la présente loi en vue de tenir compte de la spécificité des différents secteurs; 34) art.45 : le Roi peut déterminer les autorités qui donneront l'ordre de détruire ou qui seront chargées de la destruction des traitements des données en temps de guerre et pendant les époques qui lui sont assimilées en vertu de l'article 7 de la loi du 12 mai 1927 sur les réquisitions militaires, ainsi que pendant l'occupation du territoire belge par l'ennemi. Le Roi peut également déterminer le taux des indemnités pour les destructions prévues à l'alinéa précédent; 35) art.52 : fixation des dates d'entrée en vigueur des articles de la loi et des délais dans lesquels les responsables doivent se conformer aux dispositions de la présente loi.
L'arrêté qui vous est soumis aujourd'hui, ne porte pas (encore) exécution des dispositions suivantes : 1) art.3, § 6, 2) art.5, f), 3) art.6, § 2, k), 4) art.6, § 3, 5) art.7, § 4, alinéa 2, 6) art.16, § 4, alinéa 3, 7) art.17bis, 8) art.21, § 2, 9) art.22, § 2, 10) art.32bis, § 1er, 11) art.32bis, § 2, 12) art.44, 13) art.45.
Parmi ces dispositions non encore exécutées de la loi, sept donnent au Roi la possibilité d'édicter des mesures (« le Roi peut... » ). Trois autres concernent des autorisations individuelles de déroger à la loi, à la demande ou non des organisations concernées elles-mêmes (Child Focus, Amnesty international, CRASC,...). Mis à part des arrêtés d'autorisation individuelle, qui n'ont d'ailleurs pas leur place dans un arrêté d'exécution général, et les tâches « facultatives » confiées au Roi par la loi, seulement trois dispositions n'ont pas encore été exécutées dans le présent arrêté, à savoir, l'art. 17bis, l'art. 21, § 2 et l'article 22, § 2.
L'article 17bis, alinéa 1er, dispose que le Roi détermine les catégories de traitements qui présentent des risques afin de fixer ensuite des conditions particulières pour ces traitements. Cette disposition sera exécutée dans des arrêtés spécifiques concernant le traitement de données à caractère personnel, p. ex. dans des secteurs spécifiques.
L'article 17bis, alinéa 2, dispose que le Roi peut déterminer que le responsable du traiement désigne un préposé à la protection des données chargé d'assurer de manière indépendante, l'application de la présente loi et de ses arrêté d'exécution.
Dans son avis 30.495/2, p. 5, le Conseil d'Etat souligne qu'« il appartient aux auteurs du projet d'examiner l'utilité de mettre en oeuvre dès à présent, l'article 17bis de la loi, en ce qui concerne les données visées aux articles 6 à 8 de la loi ( . ).Les traitement des données sensibles peuvent faire l'objet spécialement les données visées à l'article 6 à 8 étant de ceux qui présentent des risques accrus au regard des droits et libertés des personnes concernées, des garanties particulières devraient être, en effet organisées à bref délai, come par exemple, l'obligation de désigner un préposé à la protection des données » ( sic).
Le présent arrêté royal ne prévoit rien en la matière. Il a préféré établir d'autres garanties pour le traitement de données sensibles.
De iure, la loi n'oblige pas le Roi sur ce point, elle lui donne la faculté (le Roi peut).
De facto, l'idée d'instituer un préposé à la protection des données, issue de la directive 95/46/CE et plus précisément d'une pratique allemande n'a jamais rencontré beaucoup d'écho en Belgique.
Si d'aventures, le besoin s'en faisait sentir, cette matière sera régie par un arrêté royal spécifique.
L'article 21, § 2 concerne la liste noire des pays non-membres de la Communauté européenne vers lesquels le transfert de données à caractère personnel est autorisé.
L'article 21, § 1er, de la loi établit que les données à caractère personnel qui sont soumises à un traitement ou qui sont destinées à être traitées, ne peuvent être transférées dans un pays non membre de la Communauté européenne que dans la mesure où ce pays garantit un niveau de protection adéquat. Sur la base de l'article 21, § 2, il incombe au Roi de déterminer pour quelles catégories de traitements de données à caractère personnel et dans quelles conditions la transmission de données à caractère personnel vers des pays non membres de la Communauté européenne n'est pas autorisée. Cet arrêté royal ne pourra être promulgué que lorsque la concertation à ce sujet entre les Etats membres et la Commission européenne aura progressé davantage.
Ce processus fait actuellement l'objet d'un suivi au sein du Comité qui, selon l'article 31 de la directive Européenne 95/46/EG, a été créé en présence des représentants de tous les Etats membres et sous la présidence de la Commission européenne.
Dans l'attente d'une réglementation plus précise en la matière, tout responsable d'un traitement qui souhaite exporter des données à caractère personnel vers un pays non membre de la Communauté européenne, doit se demander si le pays assure un niveau de protection adéquat. L'article 21, § 1er, alinéa 2 de la loi énonce quelques critères en guise de réponse à cette question.
Si le risque existe que le transfert puisse être contesté sur la base de l'article 21, § 1er de la loi, le pays de destination n'assurant pas un niveau de protection adéquat, le responsable doit déterminer si le transfert relève d'une des exceptions mentionnées à l'article 22, § 1er de la loi. Il peut par exemple avoir obtenu le consentement explicite des personnes concernées pour procéder au transfert, ou le transfert peut être utile pour exécuter un contrat conclu entre le responsable et la personne concernée ou pour procéder ou exécuter un accord conclu dans l'intérêt de la personne concernée, etc.
L'article 22, § 2, détermine les garanties que doivent offrir les responsables du traitement lorsqu'ils exportent des données vers des pays tiers à l'Union européenne qui n'offrent pas de niveau de protection adéquat et que le transfert ne tombe pas dans les exceptions déterminées par l'article 22, § 1er de la loi.
Ces garanties, qui peuvent notamment résulter d'un contrat, devront offrir un niveau de protection identique au niveau de protection adéquat, ni plus élevé, ni plus faible, sous peine de créer des discriminations entre les flux. Elles devront en reprendre les mêmes éléments constitutifs.
Les négociations actuellement en cours entre l'Union européenne et différents Etats tiers, détermineront les éléments constitutifs du niveau de protection adéquat.
Il est donc nécessaire ici également d'attendre la conclusion des négociations en cours, avant de déterminer quelles sont les garanties que devront offrir les responsables du traitement qui exportent des données vers des pays tiers à l'Union qui n'offrent pas de niveau de protection adéquat.
Ce projet d'arrêté royal a été mis en consultation publique sur le site internet du Ministère de la Justice, afin de permettre aux acteurs des différents secteurs politiques, économiques et sociaux de faire connaître les problèmes spécifiques posés par la protection des données dans leur domaine.
Une vingtaine de réactions nous sont parvenues, émanant d'entreprises, d'administrations, d'instituts de recherche, d'ONG et de particuliers.
Ces réactions ont attiré l'attention sur certains manques de clarté du texte, ainsi que sur des faiblesse ou des difficultés de mise en pratique, auxquels il a été remédié autant que faire se peut.
Par ailleurs, le texte de l'arrêté royal a été envoyé deux fois pour avis au conseil d'Etat (avis 29.159/2 du 21 juin 1999 et 30.495/2 du 8 novembre 2000) et à la Commission de la protection de la vie privée (avis 8/1999 du 8 mars 1999 et 25/1999 du 23 juillet 1999).
Le texte de l'arrêté royal a dès lors été plusieurs fois modifié et renuméroté, que ce soit à la suite de ces avis ou à des réactions parvenues sur internet.
En conséquence, les numéros d'articles auxquels se réfèrent les avis de la Commission de la protection de la vie privée et du Conseil d'Etat ne correspondent plus toujours aux articles actuels.
Dans son avis 30.495/2, p. 2, le Conseil d'Etat souhaite dès lors que, « pour la bonne compréhension des avis de la Commission, de celui du Conseil d'Etat et du rapport au Roi, il serait souhaitable que ce dernier soit complété par un tableau des concordance des numéros des articles de l'arrêté dans ses versions successives ».
Il n'est malheureusement pas possible de tenir compte du souhait du Conseil d'Etat, dans la mesure où le texte initial de l'arrêté a été rédigé par le gouvernement précédent, qui omis de transmettre toutes les différentes versions au gouvernement actuel.
Néanmoins, afin de rencontrer le souhait du Conseil d'Etat, le rapport au Roi reproduit le plus complètement possible les remarques de la Commission de la protection de la vie privée et du Conseil d'Etat dans les passages qui visent les articles concernés. 2. Commentaire des articles CHAPITRE Ier.- Définitions Article 1er Au point 3°, le terme « données à caractère personnel codées » vise les données à caractère personnel démunies de tout élément permettant d'identifier la personne et munies d'un code, qui seul permet de relier la donnée à la personne concernée.
Au point 4°, le terme « données à caractère personnel non-codées » désigne une catégorie résiduaire de données à caractère personnel, à savoir toutes les données qui ne sont pas codées au sens du présent arrêté.
Originellement, le texte de l'avant-projet d'arrêté royal utilisait le terme « données à caractère personnel identifiantes ». Dans son avis 8/99 (p. 2), la Commission de la protection de la vie privée a cependant estimé que ce terme avait une portée trop restreinte. « Cette notion n'englobe en effet que les données à caractère personnel qui en soi identifient la personne concernée. La Commission est d'avis qu'il convient d'inclure également dans cette catégorie les données à caractère personnel qui en soi n'identifient pas la personne concernée mais qui peuvent cependant être mises en relation par le responsable du traitement à des fins historiques, statistiques ou scientifiques avec une personne identifiée ou identifiable par lui ». La Commission suggère dès lors l'utilisation du terme « données à caractère personnel non-codées » et le présent arrêté suit cette suggestion.
Au point 5°, le terme « données anonymes » désigne des données qui ne peuvent être reliées à une personne concernée et qui ne sont donc pas (ou plus) des données à caractère personnel.
Comme l'explique la Recommandation 97 (18) du 30 septembre 1997 du Conseil de l'Europe, concernant la protection des données à caractère personnel collectées et traitées à des fins statistiques, dans son exposé des motifs (point 53), l'anonymisation consiste à supprimer les données d'identification afin que les données individuelles ne puissent plus être attribuées nommément aux diverses personnes concernées. Le retrait des données d'identification ne met parfois pas totalement à l'abri d'une réidentification : le risque de dévoilement ne peut pas toujours être rigoureusement nul.
Au point 6°, le terme « organisation intermédiaire » vise la personne physique ou morale, l'association de fait ou l'administration publique, autre que le responsable du traitement des données non codées, chargée du codage des données, à savoir la conversion de données à caractère personnel non codées en données à caractère personnel codées.
Suivant le cas, l'organisation intermédaire sera considérée - soit comme un sous-traitant du responsable du traitement qui souhaite coder des données à caractère personnel (cfr. infra, articles 8 et 9 ); - soit comme un tiers au responsable du traitement qui souhaite coder les données (cfr. infra art. 10). CHAPITRE II. - Traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques Transposant l'article 6, a de la directive 95/46/CE, l'article 4 § 1er 2°, de la loi dispose que « des données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par le Roi, après avis de la Commission de la vie privée ».
Transposant l'article 6, e, de la directive 95/46/CE, l'article 4, § 1er, 5°, de la loi dispose que les données à caractère personnel « doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Le Roi prévoit, après avis de la Commission de la protection de la vie privée, des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques ».
Ni la loi du 8 décembre 1992 ni les travaux parlementaires y relatifs ne définissent davantage les garanties appropriées.
Le considérant 29 de la directive 95/46 précise par contre que « ces garanties doivent notamment empêcher l'utilisation des données à l'appui de mesure ou de décisions prises à l'encontre d'une personne ».
Le chapitre II détermine les garanties appropriées requises par les articles 4, § 1er, 2° et 5° de la loi. Section première. - Principes généraux
Article 2 Le champ d'application du chapitre II couvre les traitements de données collectées pour une finalité déterminée, explicite et légitime, qui sont traitées ultérieurement à des fins historiques, statistiques ou scientifiques.
L'article 2 recourt à deux notions distinctes : la notion de fins historiques, statistiques ou scientifiques et la notion de traitement ultérieur.
La notion de fins historiques, statistiques et scientifiques Concernant la notion de « fins historiques, statistiques ou scientifiques », la Commission de la protection de la vie privée, dans son avis 25/99, « insiste sur le fait que la notion de fins historiques, statistiques ou scientifiques devra être interprétée en cas de doute à la lumière de sens donné à ces notions dans la directive ».
Cependant ni le texte ni les considérants de la directive 95/46/CE ne définissent ces notions. La loi ne les définit pas non plus.
Par contre, la recommandation n° R(97) 18 du 30 septembre 1997 du Comité des Ministres du Conseil de l'Europe aux Etats membres, concernant la collecte de données à caractère personne collectées à des fins statistiques, définit le traitement à des fins statistiques comme étant « toute opération de collecte et de traitement de données à caractère personnel nécessaire aux enquêtes statistiques ou à la production de résultat statistique.
L'expression « résultat statistique » désigne une information obtenue par le traitement de données à caractère personnel en vue de caractériser un phénomène collectif dans une population considérée ».
L'exposé des motifs de la recommandation R 97 (18) explique, au point 2, que « la statistique a pour objet l'analyse des phénomènes de masse. Elle permet, grâce à un processus de condensation, de tirer une affirmation générale d'une série d'observations individuelles systématiques. Les résultats de ce processus se présentent le plus souvent sous la forme d'informations chiffrées sur le phénomène ou la population considérée. Ainsi, alors même que la statistique repose sur des observations individuelles, son objectif n'est pas la connaissance des individus en tant que tel mais la production d'informations synthétiques et représentatives de l'état d'une population ou d'un phénomène de masse. L'activité statistique se distingue donc d'autres activités notamment du fait qu'elle ne vise pas des décisions ou des mesures individualisées mais bien plutôt la connaissance de grands ensembles, tels que les cycles économiques, les conditions de vie d'un groupe social ou la structure d'un marché commercial- ainsi que l'analyse de phénomènes tels que les épidémies, les tendances d'opinion, la fertilité ou le comportement de consommation des ménages- et donc des jugements ou décisions de portée collective. » Comme le souligne l'exposé des motifs de la recommandation R 97 (18) (point 11), les traitements à des fins statistiques ont généralement pour objectifs : - « des fins d'information générale : la connaissance statistique est mise à disposition du public sans qu'on préjuge de l'utilité ou de l'intérêt que les diverses personnes lui trouvent; - des fins d'aide à la planification et à la décision : il s'agit de donner à un décideur public ou privé une information sur son environnement ou sur son champ d'action, qui lui permette d'établir une stratégie ou d'optimiser une décision. Il s'agit aussi de permettre, à ce même décideur ou à un tiers d'évaluer l'efficacité de la décision qu'il mène; - des fins scientifiques : il s'agit de fournir à la recherche une information qui contribue à la compréhension des phénomènes dans des domaines aussi variés que l'épidémiologie, la psychologie, l'économie, la sociologie, la linguistique, la politologie, l'écologie, etc. ».
Comme le souligne l'exposé des motifs de la recommandation R 97 (18) (point 11), on pourrait conclure que les traitements à des fins statistiques « ne relèvent pas de la protection des données. Toutefois une telle conclusion serait hâtive et ne tiendrait pas compte de l'ensemble du processus de production et de diffusion de l'information statistique, qui repose pour une large part sur la possibilité d'obtenir et de traiter des données à caractère personnel. On ne peut donc exclure le risque que les données en question puissent être détournées de la finalité pour lesquelles elles sont collectées et qu'elles soient utilisées à des fins personnalisées.
Ce pourrait être le cas, lorsque la statistique côtoie l'administration et la police, où l'on serait tenté d'utiliser pour des jugements et des décisions individualisées des données rassemblées à des fins statistiques.
Par ailleurs, malgré leur caractère anonyme et agrégé, les résultats statistiques peuvent parfois être susceptibles d'analyses ou de recoupement permettant l'identification des personnes dont relève les données de base.
Enfin, on en saurait ignorer les intérêts commerciaux considérables qui sont parfois en jeu et dès lors le danger que les données à caractère personnel collectées à des fins statistiques puissent être considérés comme des simples denrées marchandes au détriment de la protection de la vie privée. » L'exposé des motifs de la recommandation R 97 (18) (point 14) définit la recherche scientifique comme visant à établir « des permanences, des lois de comportement ou des schémas de causalité qui transcendent tous les individus qu'ils concernent. Ainsi elle vise à caractériser des phénomènes d'ensemble ».
A cet égard, les enquêtes de population menées à des fins de protection et d'amélioration de la santé publique sont incluses dans la notion de recherche scientifique.
Le terme « historique » n'est pas défini par la recommandation du Conseil de l'Europe ni dans un texte international. Il renvoie à des traitements de données à caractère personnel ayant pour finalité d'analyser un événement passé ou de permettre cette analyse. Un traitement à des fins historiques peut être un traitement à des fins scientifiques, mais peut également recouvrir un traitement qui ne répond pas aux critères scientifiques. Un généalogiste peut dès lors recourir aux dérogations autorisées par la loi.
Par contre, le simple archivage, par le responsable du traitement, de ses propres fichiers, n'est pas une conservation à des fins historiques et ne rentre donc pas dans le champ d'application du chapitre II. Les dangers de détournements de finalité mentionnés supra pour les traitements à des fins statistiques valent également pour ceux à des fins scientifiques et historiques.
La notion de traitement ultérieur Outre la notion de « fins historiques, statistiques et scientifiques », l'article 2 utilise la notion de « traitement ultérieur ».
Cette notion est issue de l'article 4, § 1er, 2°, de la loi et de l'article 6.1.B de la directive 95/46/CE. Celles-ci ne définissent cependant pas ce qu'est un traitement ultérieur.
Cette notion vise l'hypothèse où le responsable d'un traitement, qui traite des données à caractère personnel dans le cadre de ses activités habituelles et légitimes, souhaite réutiliser lui-même ces données ou les communiquer à un destinataire, en vue d'une recherche scientifique, historique ou statistique.
L'exposé des motifs de la Recommandation R 97 (18) (point 15) explique en effet que dans le domaine de la statistique, il existe deux grands types de collecte : la collecte primaire et la collecte secondaire.
La collecte primaire est effectuée directement auprès des personnes, au moyen de questionnaires papiers ou informatiques, ou d'interviews téléphoniques.
La collecte secondaire est effectuée auprès d'organisme publics ou privés qui disposent de documents ou de fichiers déjà constitués, qui peuvent être utilisés pour établir des statistiques.
L'article 5.4 de la recommandation (97) 18 définit la collecte secondaire comme étant « le traitement ou la communication à des fins statistiques des données à caractère personnel collectées à des fins non-statistiques ».
La collecte secondaire peut être effectuée à partir de traitements de données appartenant à un tiers mais peut également être effectuée à partir de traitements de données gérés à des fins autres que statistiques par le responsable du traitement à des fins statistiques La collecte secondaire est une pratique répandue dans le cadre des activités de l'administration des sociétés et des entreprises, par exemple : statistiques à des fins de gestion du personnel, des salaires de la productivité, etc. ainsi que dans le cadre de leur relation commerciale, par exemple statistiques du comportement d'achat des clients.
La notion de traitement ultérieur recouvre la notion de collecte secondaire.
Le champ d'application du chapitre II ne couvre pas par contre les collectes primaires de données à savoir les traitements de données dont la finalité initiale de la collecte est scientifique, historique ou statistique. Il couvre les seules collectes secondaires, à savoir les traitements ultérieurs.
L'avis 8/99 de la Commission de la protection de la vie privée souligne par ailleurs que « le chapitre II ne s'applique pas non plus à un traitement de données à caractère personnel à des fins historiques, statistiques ou scientifiques qui cadre ou est compatible avec les finalités pour lesquelles les données à caractère personnel traitées ont été collectées ».
L'avis 8/99 de la Commission de la protection de la vie privée ne définit cependant pas ce qu'est une finalité compatible.
L'article 4, § 1er, de la loi définit a contrario la finalité compatible, quand il dispose que les données ne doivent pas être traitées pour une finalité incompatible, « compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables ».
Une finalité compatible est dès lors une finalité que l'intéressé - à savoir la personne concernée,- peut prévoir ou qu'une disposition légale considère comme compatible.
Il y a donc trois cas de figure pour le traitement de données à des fins historiques, statistiques ou scientifiques : - soit les données sont collectées initialement pour des finalités historiques, statistiques ou scientifiques, auquel cas, il ne s'agit pas d'un traitement ultérieur et le chapitre II du présent arrêté ne s'applique pas; ces traitements de ces données sont soumis au régime ordinaire du traitement des données; - soit les données sont collectées pour une finalité initiale, autre que scientifique, historique, statistique ou scientifique, puis réutilisées ultérieurement à des fins historiques, statistiques ou scientifiques mais ces fins sont par elles-mêmes compatibles avec les finalités initiales, auquel cas, le chapitre II ne s'applique pas; - soit les données sont collectées pour une finalité initiale, autre que scientifique, historique et statistique, et réutilisées à des fins historiques, statistiques ou scientifiques, ces finalités n'étant compatible avec les finalités initiales que dans le respect des conditions déterminées par le chapitre II. Lorsque des données sont collectées initialement à des fins historiques, statistiques ou scientifiques, ou lorsque la réutilisation de ces données à de telles fins n'est pas incompatible avec la finalité initiale, indépendamment de l'existence de garanties suffisantes, le régime de ces traitements s'avère dans ce cas être le régime ordinaire des traitements de données personnelles, à savoir : - les données à caractère personnel doivent être traitées loyalement et licitement (art. 4 de la loi); - la recherche doit être effectuée avec le consentement de l'intéressé ou est nécessaire à la réalisation d'une mission d'intérêt public; à défaut, il convient d'évaluer les intérêts du chercheur par rapport aux droits et aux libertés fondamentaux des intéressés (art. 5 de la loi); - lorsque la recherche porte sur des données sensibles, elle doit se fonder sur un motif d'intérêt public important (art. 8 de la loi); - si les données nécessaires à la recherche sont collectées auprès de l'intéressé lui-même, il convient de l'informer correctement de l'identité du responsable, de la finalité du traitement, du délai de conservation, de la destination des données, etc. ainsi que de ses droits à l'égard de la communication des données (art. 9, § 1er de la loi). - les données doivent être communiquées à la personne concernée, sur demande, sous une forme intelligible (art. 10 de la loi); - la personne concernée dispose d'un droit de correction et d'un droit d'opposition au traitement, moyennant raison motivée (art.11 de la loi); - lorsque la personne concernée démontre qu'en raison d'un traitement de données à caractère personnel la concernant, elle a subi un dommage dû au non-respect de la loi, le responsable du traitement est responsable à moins qu'il ne prouve que le fait qui a provoqué le dommage ne lui est pas imputable (art. 15bis de la loi : renversement de la charge de la preuve); - lorsque le responsable du traitement recourt à un sous-traitant, un contrat écrit doit être conclu offrant des garanties suffisantes (art. 16, § 1er de la loi ); - le responsable du traitement doit protéger l'accès aux données, prévoir des niveaux d'autorisation différenciés pour les personnes agissant sous son autorité et informer suffisamment ces personnes des règles à respecter pour la protection de la vie privée des personnes concernées (art. 16, § 2 de la loi); - le responsable du traitement doit assurer une sécurité adéquate des données, tenant compte de la nature des données, des risques potentiels et de l'état de la technique au niveau de la protection de l'information (art. 16, § 4 de la loi ); - le responsable d'un traitement de données à caractère personnel à des fins scientifique, doit en faire la déclaration auprès de la Commission de la protection de la vie privée (art. 17 de la loi); - des données à caractère personnel ne peuvent pas être exportées vers des pays non membres de l'Union européenne, si ces pays n'offrent pas de niveau de protection adéquat de la vie privée à l'égard du traitement de données à caractère personnel (art. 21 de la loi).
Article 3 L'arrêté royal prévoit une réglementation en trois stades, respectivement pour le traitement de données anonymes, de données codées et de données non-codées.
Le principe de base dispose qu'il incombe aux chercheurs de travailler avec des données anonymes.
Ce faisant, l'arrêté royal se veut conforme à la recommandation R 97 (18) précitée.L'article 8 de la recommandation dispose en effet que « les données à caractère personnel collectées à des fins statistiques seront anonymes dès la fin des opérations de collecte, de contrôle ou d'appariement ».
Par définition, les données anonymes ne sont pas des données à caractère personnel et leur traitement ne requiert dès lors pas de garantie spécifique.
Article 4 Il n'est pas toujours possible de travailler avec des données anonymes, notamment dans les cas suivants : - la recherche nécessite l'établissement de liens entre des données concernant la même personne, émanant cependant de fichiers différents (record linkage); - la recherche compare des paroles prononcées par la même personne, mais à des moments différents (panel); - des données concernant la même personne font l'objet d'une recherche à des moments différents au cours d'une période déterminée (longitudinal research); - l'accent de la recherche est mis sur des personnes spécifiques identifiées; cela intervient principalement lors d'une recherche historique.
Lorsqu'il s'avère impossible de poursuivre la recherche avec des données anonymes, il incombe au chercheur d'examiner la possibilité de le faire avec des données codées.
Dans un tel cas, la section 2 du présent chapitre dispose que les données sont codées avant d'être communiquées au chercheur.
La procédure prévue par l'arrêté royal se veut conforme à la recommandation R97 (18) précitée. L'article 8 de la recommandation dispose en effet que « les données à caractère personnel collectées à des fins statistiques seront anonymes dès la fin des opération de collecte, de contrôle ou d'appariement sauf si des données d'identification demeurent nécessaires à des fins statistiques et que les mesures prévues au principe 10.1 ont été prises ».
L'article 10.1 de la recommandation, dispose que « lorsque des données d'identification sont collectées et traitées à des fins statistiques, elles doivent être séparées et conservées séparément des autres données à caractère personnel ».
Article 5 Lorsqu'il s'avère impossible de poursuivre la recherche avec des données codées, le chercheur peut travailler avec des données non-codées.
Dans un tel cas, la section 3 du présent chapitre détermine des garanties plus strictes.
Comme le souligne la Commission de la protection de la vie privée, dans ses avis 8/99 et 25/99, « il appartiendra au responsable du traitement de données aux fins historiques, statistiques ou scientifiques d'apporter la preuve aux instances compétentes de l'impossibilité de réaliser les finalités par le biais de traitements de données anonymes et/ou de données codées ».
Conformément aux avis de la Commission, les articles 4 et 5 de l'arrêté royal disposent que le responsable du traitement de données à caractère personnel à des fins historiques, statistiques et scientifiques doit justifier, dans la déclaration du traitement de données faite à la Commission de la protection de la vie privée en vertu de l'article 17 de la loi, les raisons de cette impossibilité.
En vertu de l'article 17 § 3 de la loi, le responsable du traitement ultérieur de données à caractère personnel à des fins historiques, statistiques et scientifiques doit en outre déclarer la finalité du traitement, à savoir l'objectif de la recherche, et l'origine des données, à savoir l'identité soit du responsable du traitement initial soit de l'organisation intermédiaire qui a communiqué les données.
L'objectif n'est pas qu'une déclaration soit faite de chaque projet de recherche distinct. La déclaration concernera principalement un ensemble de projets similaires. De ce fait, la déclaration ne s'opposera pas à l'éventuelle nécessité de discrétion à l'égard de plans de recherche concrets.
Article 6 Les chercheurs ne peuvent évidemment pas tenter de lever l'anonymat des données. Sur la proposition de la Commission, ce même article prévoit également l'interdiction de convertir des données à caractère personnel codées en données à caractère personnel non-codées. Le chercheur ne peut rien entreprendre pour tenter de « déchiffrer » le code, sous peine de sanction pénale prise en vertu de l'article 39 de la loi.
L'article 39 de la loi punit en effet pénalement le responsable du traitement qui traite des données en infraction à l'article 4, § 1er de la loi, cette mesure s'appliquant aux dispositions du présent arrêté qui exécute l'article 4, § 1er. Section II. - Traitement de données à caractère personnel codées
Après avoir établi à l'article 7 le principe général du codage des données préalablement à tout traitement ultérieur de ces données à des fins historiques, statistiques ou scientifiques, la section 2 détaille trois hypothèses : - soit le responsable du traitement de données collectées à des fins déterminées désire lui-même réutiliser les données pour un traitement ultérieur à des fins historiques, statistiques ou scientifiques; - soit le responsable du traitement de données collectées à des fins déterminées communique ces données à un tiers qui traite ultérieurement ces données à des fins historiques, statistiques ou scientifiques; - soit enfin plusieurs responsables du traitement de données collectées pour des finalités déterminées, explicites et légitimes communiquent ces données à un ou plusieurs tiers, qui traite(nt) ces données à des fins historiques, statistiques ou scientifiques;
Ces trois cas de figure créent des risques différents pour la protection des données et appellent donc des régimes distincts, déterminés respectivement par les articles 8, 9 et 10.
Article 7 Lorsqu'un chercheur démontre que la recherche est impossible à partir de données anonymes, il peut travailler avec des données codées.
Comme défini à l'article 1 3°, le « codage » consiste à démunir les données à caractère personnel de tous les éléments qui permettent d'identifier la personne concernée et à remplacer ces éléments par un code. La relation entre le code et l'identification de la personne intéressée - en d'autres mots la « clé » - n'est pas communiquée au destinataire des données à caractère personnel. Le codage des données doit avoir pour conséquence que le destinataire ne peut raisonnablement pas identifier la personne concernée à l'aide des données communiquées.
Les données doivent être codées avant leur traitement ultérieur à des fins historiques, statistiques ou scientifiques.
Dans son avis 30.495/2 du 8 novembre 2000, p. 7, le Conseil d'Etat suggère le libellé suivant pour l'article 7 : « les données à caractère personnel non-codées sont codées avant tout traitement ultérieur à des fins historiques, scientifiques ou statistiques en vue de ne pouvoir êtres mises en relation avec une personne idietfiée ou identifiable que par l'intermédiaire d'un code ».
Le libellé actuel ne suit pas la proposition du Conseil d'Etat.
L'article 1er, 3° définissant les données à caractère personnel codées comme étant « les données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que par l'intermédiaire d'un code », il est redondant de reprendre une nouvelle fois cette notion dans l'article 7.
Article 8 L'article 8 vise l'hypothèse où le responsable d'un traitement de données collectées dans le cadre de ses activités normales, souhaite lui-même réutiliser ces données à des fins historiques, statistiques ou scientifiques ou confier ce traitement ultérieur à un sous-traitant.
Dans son avis 8/99, p. 3, la Commission de la protection de la vie privée « se demande s'il ne convient pas de définir des garanties appropriées, moyennant respect desquelles un responsable du traitement peut déroger à certains principes, s'il souhaite traiter des données à caractère personnel dont il dispose à des fins historiques, statistiques ou scientifiques d'une manière incompatible avec les finalités pour lesquelles les données à caractère personnel en question ont été collectées. » La Commission de la protection de la vie privée ne donne cependant pas d'indication sur ce que pourraient être ces garanties appropriées.
L'arrêté royal dispose que les données seront codées par le responsable du traitement lui-même, par le sous-traitant ou par l'organisation intermédiaire.
La première hypothèse, où le responsable du traitement de données collectées à des fins autres qu'à des fins historiques, statistiques ou scientifiques code lui-même les données, vise par exemple l'administration publique qui transmet des données à caractère personnel à un service d'étude pour un traitement à des fins scientifiques. Il peut également s'agir d'un hôpital universitaire qui fournit des données à caractère personnel aux chercheurs de la faculté de médecine de la même université. Dans ce cas, l'hôpital ne doit pas nécessairement faire appel à une organisation intermédiaire externe à l'université. Le codage de données à caractère personnel et la gestion des clefs d'identification, peut être effectuée par l'hôpital lui-même.
Néanmoins, en vertu de l'article 12, le responsable du traitement devra prendre des mesures techniques et organisationnelles afin d'empêcher les chercheurs d'accéder à la clé du code.
La seconde hypothèse vise le cas où le responsable du traitement confie à un sous-traitant le traitement ultérieur à des fins historiques, statistiques ou scientifiques, par exemple lorsqu'une société commerciale confie à une société spécialisée une étude statistique sur ses fichiers de clientèle.
Dans ce cas, le sous-traitant code lui-même les données avant leur traitement ultérieur à des fins historiques, statistiques et scientifiques.
Il est à noter que si le sous-traitant mêle au fichier clientèle qui lui est confié en sous-traitance, d'autres fichiers, qui lui sont propre ou qu'il a collecté ailleurs, afin de permettre un résultat statistique plus ciblé ou pour tout autre motif, il ne sera plus un sous traitant mais le responsable d'un nouveau traitement.
La troisième hypothèse vise la situation où le responsable du traitement confie le codage des données à une organisation intermédiaire afin de pouvoir lui-même réutiliser ces données par la suite à des fins historiques, statistiques ou scientifiques. Dans ce cas, l'organisation intermédiaire agit en tant que sous-traitant.
Dans son avis 8/99 (p. 2), la Commission de la protection de la vie privée considère en effet que lorsqu'une organisation intermédiaire ne code les données que d'un transmetteur de données (comprendre : le responsable du traitement de données collectées pour une finalité déterminée, explicite et légitime), « il vaudrait mieux que l'organisation intermédiaire agisse toujours en qualité de sous-traitant des données à caractère personnel pour le compte du transmetteur des données, de sorte qu'elle ne soit pas considérée comme un responsable de traitement de données à caractère personnel distinct et soit soumise au contrôle du transmetteur des données, conformément à l'article 16 de la loi ».
Dans ce cas, un contrat est conclu entre le responsable du traitement et le sous-traitant, conformément à l'article 16 de la loi.
Ce contrat stipule que le sous-traitant n'agit que sur instruction du responsable du traitement.
L'organisation intermédiaire doit offrir des garanties suffisantes au regard des mesures de sécurité technique et d'organisation et le responsable du traitement désigné par cette organisation intermédiaire doit veiller au respect de ces mesures.
Article 9 L'article 9 vise l'hypothèse où le responsable du traitement de données collectées à des finalités déterminées, explicites et légitimes communique ces données à un tiers qui traite ultérieurement ces données à des fins historiques, statistiques ou scientifiques.
L'avant-projet d'arrêté royal dispose que les données seront codées par le responsable du traitement lui-même ou par l'organisation intermédiaire.
Cette dernière agit en qualité de sous-traitant, pour des motifs identiques à ceux évoqués à l'article précédent.
Article 10 L'article 10 vise l'hypothèse où plusieurs responsables de traitement de données collectées pour des finalités déterminées, explicites et légitimes communiquent ces données à un ou plusieurs tiers, qui traite(nt) ces données à des fins historiques, statistiques ou scientifiques.
Dans ses avis 8/99 (p. 3) et 25/99 (p. 2), la Commission de la protection de la vie privée considère qu'il « existe une menace particulière pour la protection des données, dans la mesure où des données à caractère personnel provenant de différents transmetteurs de données sont rassemblées avant d'être codées ».
La Commission estime dès lors dans ses avis 8/99 (p. 3) et 25/99 (p. 2) que de telles organisations intermédiaires doivent offrir des garanties appropriées et qu'il serait préférable qu'elles soient habilitées à effectuer cette tâche par ou en vertu de la loi. Dans son avis 25/99, elle précise en outre que dans un tel cas, « l'organisation intermédiaire a une responsabilité propre et ne peut être considérée comme un sous-traitant agissant pour le compte des différents transmetteurs de données ».
Dans ses avis 8/99 (p. 7) et 25/99 (p. 5), la Commission propose également dans la mesure où sa proposition de considérer une organisation intermédiaire qui rassemble ou code les données obtenues de plusieurs transmetteurs de données comme un responsable de traitement distinct, a été acceptée, « d'étendre l'exemption de l'obligation d'information aux organisations intermédiaires qui traitent des données dans le seul but de les coder. Si ce n'était pas le cas, le danger est grand que peu d'instances soient disposées à agir en qualité d'organisation intermédiaire ».
L'arrêté royal dispose dès lors que l'organisation intermédiaire qui code les données issues de plusieurs responsables du traitement est considérée comme le responsable d'un nouveau traitement, tenu des obligations générales de tout responsable du traitement et, entre autres tenu - de vérifier, si les données traitées sont pertinentes; - d'informer la personne concernée; - de déclarer le traitement à la Commission de la protection de la vie privée, cette déclaration mentionnant notamment les catégories de données traitées, les catégories de destinataires à qui les données sont fournies, les garanties dont doit être entourée la communication aux tiers ainsi qu'une description des mesures de sécurité, à savoir la façon dont les données sont codées et les mesures techniques et organisationnelles qui empêchent le responsable du traitement à des fins historiques, statistiques ou scientifiques d'accéder à la clé du code.
En ce qui concerne la suggestion de la Commission d'exempter les organisations intermédiaires de l'obligation d'information, l'avant-projet d'arrêté royal suit la directive 95/46/CE : l'article 11.2 de celle-ci n'autorise d'exemption à l'obligation d'information que lorsque celle-ci est impossible ou requiert des efforts disproportionnés ou lorsque la loi prévoit explicitement la communication ou l'enregistrement des données. Ce problème est réglé par les articles 15, 20 et 29 du présent arrêté.
Par contre l'avant-projet d'arrêté royal ne suit pas la Commission lorsque celle-ci suggère que les organisations intermé-daires soient habilités par ou en vertu de la loi : cela aurait pour conséquence de réserver le rôle d'organisation intermédiaire à des organismes publics ou para-publics en excluant toute société privée.
Or, la notion de traitements à des fins statistiques ou scientifiques vise également les traitements statistiques effectués par les entreprises à partir de leur propres traitements (traitements clients, marchandises, ressources humains ou autres- cfr. sur ce point, supra, p. 15 et sv.).
Article 11 L'organisation intermédiaire doit être indépendante du responsable du traitement ultérieur des données à caractère personnel à des fins historiques, statistiques ou scientifiques.
Cette indépendance doit permettre en tout état de cause à l'organisation intermédiaire de refuser de donner la clé du code au destinataire des données.
Article 12 Dans son avis 8/99 (p. 4), la Commission de la protection de la vie privée estime souhaitable qu'une obligation de sécurité particulière des clés de conversion des données codées en données identifiantes soit imposée au transmetteur de données ou à l'organisation intermédiaire. Cette sécurité est en effet cruciale afin d'éviter que les données codées ne soient reconverties en données à caractère personnel non-codées.
L'article 12 vise à rencontrer cette remarque.
Des mesures techniques doivent notamment conduire à ce que le code ne puisse révéler les personnes auxquelles se rapportent les données à caractère personnel. L'accès à un tableau de conversion par exemple qui permet de convertir les données à caractère personnel codées en données à caractère personnel non-codées, doit être protégé de manière adéquate.
Néanmoins, lorsqu'elle parle de « transmetteur de données », la Commission ne semble viser que les cas où le responsable du traitement communique les données à un tiers en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques.
L'article 12 exige également des garanties de la part du responsable du traitement de données à des fins autres que statistiques qui code les données afin de les réutiliser lui-même à des fins historiques, statistiques ou scientifiques. Celui-ci doit prendre des mesures pour que l'accès à la clef du code soit inaccessible pour les personnes qui vont dans les faits effectuer le traitement ultérieur à des fins historiques, statistiques ou scientifiques. L'institution de recherche devra séparer les collaborateurs qui collectent les données et les collaborateurs qui mènent une recherche déterminée à l'aide de ces données.
Il est utile de rappeler ici que l'article 39 de la loi punit d'une amende le responsable du traitement, son préposé ou mandataire qui traite des données à caractère personnel en infraction aux conditions imposées par l'article 4, § 1er.
Article 13 Le responsable du traitement des données ou l'organisation intermédiaire ne peuvent communiquer des données en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques que sur présentation par le responsable du traitement ultérieur à des fins historiques, statistiques ou scientifiques, de l'accusé de réception délivré par la Commission dans les trois jours ouvrables de la réception de la déclaration du traitement, conformément à l'article 17, § 2, de la loi.
Si un chercheur adresse une demande de données à caractère personnel codées auprès d'une organisation intermédiaire ou d'un responsable du traitement de données à caractère personnel à des fins autres que historiques, statistiques ou scientifiques, ce chercheur devra prouver que la déclaration a été accomplie. Dans la négative, les données à caractère personnel codées ne peuvent pas être communiquées. Cette règle est également valable lorsque le responsable du traitement à des fins historiques, statistiques ou scientifiques n'est pas un tiers par rapport au responsable du traitement de données collectées à des fins initiales (p.ex. lorsqu'un hôpital communique à ses médecins des données relatives à la santé en vue d'une recherche scientifique ultérieure).
Cette disposition doit être considérée en liaison avec l'article 4 du présent arrêté, en vertu duquel le responsable du traitement de données à des fins historiques, statistiques ou scientifiques doit justifier dans sa déclaration les motifs pour lesquels la recherche nécessite des données codées.
Dans son avis 30.495/2, le Conseil d'Etat a suggéré de remplacer, dans le libellé initial de l'article, les mots « délivré par la Commission sur base de l'aticle 17 § 2 de la loi » par les mots « d'une déclaration complète, délivré par la Commission conformément à l'article 17, § 2, de la loi. » Le libellé de l'article a été modifié en conséquence.
Article 14 Cet article vise à établir des garanties supplémentaires pour les données sensibles, relatives à la santé et judiciaires, qui sont réutilisées ultérieurement à des fins historiques, statistiques ou scientifiques.
Originellement, l'avant-projet d'arrêté royal prévoyait que ce type de traitement devait préalablement faire l'objet d'un avis positif rendu par un comité d'éthique désigné par la Commission de la protection de la vie privée.
Dans son avis 8/99, la Commission estime cependant qu'il « n'appartient ni à elle ni à une commission d'éthique désignée par elle, de rendre un avis, au nom de la protection de la vie privée, sur les fins historiques, statistiques ou scientifiques d'un traitement.
Ceci pourrait en effet être interprété comme une possibilité de censure sur le plan du contenu. La Commission propose dès lors de supprimer cet article. Si les auteurs du projet devaient estimer que les commissions d'éthique ont un rôle à jouer en ce qui concerne certaines formes de recherche historique, statistique ou scientifiques envisagées, ceci devrait faire l'objet d'une réglementation distincte, basée sur un débat de société ».
L'arrêté royal prévoit dès lors comme garantie que le responsable du traitement des données collectées pour des finalités déterminées explicites et légitimes ou l'organisation intermédiaire doit informer la personne concernée préalablement au codage des données, de la finalité historique, statistique ou scientifique, de l'origine des données, ainsi que de son droit d'accès, de rectification et d'opposition. La personne concernée dispose d'un droit d'opposition.
L'information à la personne concernée précise notamment l'origine des données : celle-ci doit permettre à la personne concernée d'être consciente du recoupement d'informations qui s'opère dans les mains du « codeur. » Rappelons qu'en vertu de l'article 3, § 5 de la loi, les obligations d'information et d'accès ne s'appliquent pas aux traitements de données gérés par les autorités publiques à des fins de police judiciaire, de police administrative ou de renseignements.
Cette obligation d'information repose sur celui qui code les données, à savoir soit le responsable des données collectées pour une finalité initiale, soit l'organisation intermédiaire : dans la mesure où le responsable du traitement ultérieur à des fins historiques, statistiques ou scientifiques ne traite que des données codées, il lui est en effet impossible d'informer la personne concernée.
Article 15 L'article 11.2 de la directive 95/46/CE dispose que l'obligation d'information ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information se révèle impossible ou implique des efforts disproportionnés, ou si la législation prévoit expressément l'enregistrement ou la communication des données Dans ce cas les Etats membres prévoient des garanties appropriées ».
Ce faisant, l'article 11.2 prévoit deux catégories d'exception à l'obligation d'information : la première vise l'hypothèse où de facto l'obligation d'information est impossible à remplir; la seconde vise l'hypothèse où de iure, l'obligation d'information n'est pas dûe parce que l'enregistrement et la communication des données a été organisée par la loi.
L'article 15 reprend les deux …
Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.