RGPD : Entrée en vigueur de la loi belge relative à la protection des données

 

Le Moniteur Belge a publié ce 5 septembre 2018, la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

Cette nouvelle loi complète le cadre européen en vigueur depuis le 25 mai 2018 (RGPD) et abroge et remplace la loi belge du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

La CESSoC et ses fédérations ont préparé des outils pour vous; voyez en fin de cet article.

Principales dispositions :

Vous trouverez ci-après un résumé des règles importantes introduites par cette loi :

  • possibilité de traitement de données sensibles pour les traitements considérés comme nécessaires pour des motifs d’intérêt public important, notamment pour les associations et les fondations pour lesquelles le traitement de données sensibles est nécessaire en vue de la réalisation de leur objet social (ex. : défense des droits de l’homme et libertés, Child Focus,…) ;
  • abaissement de l'âge des mineurs de 16 à 13 ans pour valablement donner leur consentement en ce qui concerne les services de la société de l’information;
  • obligation d'établir une liste avec les noms et les qualités des personnes qui traitent des données génétiques, biométriques, concernant la santé ou des données pénales;
  • obligation de conclure un protocole quand une autorité publique fédérale transfère des données à caractère personnel à toute autre autorité publique ou organisation privée ;
  • régime d’exception pour le traitement de données dans le cadre de la recherche scientifique, à des fins historiques ou statistiques ;
  • précision des voies de recours ;
  • exclusion des autorités publiques du régime d’amendes administratives prévus par le RGPD, à l’exception  des  personnes morales de droit public qui offrent des biens et des services sur le marché ;
  • introduction de sanctions pénales pour certaines violations du RGPD.

En outre, la loi belge sur la Protection des Données ajoute deux hypothèses de désignation d’un « délégué à la protection des données » :

  • le traitement pour des recherches historiques ou scientifiques ou à des fins statistiques;
  • le traitement par un organisme privé de données à caractère personnel pour le compte d’une autorité publique fédérale ou transférées par une autorité publique fédérale

Toutefois, dans ces deux derniers cas, la désignation d’un DPD ou DPO ne sera obligatoire que lorsque le traitement des données peut comporter un « risque élevé ».

A toutes fins utiles, nous attirons votre attention sur le fait que la définition extensive de la notion d’autorité publique à l’article 5 de la loi belge ne vaut que pour les besoins de l’application de cette loi et ne s’applique donc, que pour identifier qui est visé par les règles spécifiques aux autorités publiques dans cette même loi .

Elle n’a pas pour vocation de préciser la définition de l’autorité publique qui fonde l’obligation de désigner un DPO (art. 37 du RGPD).

L’Autorité de protection des données a été interpelée à ce sujet début octobre 2018 par l’UNISOC afin de confirmer ce point. Tant que nous n’avons pas reçu de réponse de l’Autorité de protection des données, nous restons d’avis que les associations de la CP 329 n’ont pas automatiquement l’obligation de désigner un DPO, même lorsqu'elles sont financées à plus de 50% et/ou que leurs organes de gestion sont composés à plus de 50% par des représentants d'une autorité publique.

Entrée en vigueur

La loi belge est entrée en vigueur le 5 septembre 2018, à l'exception de l'obligation de protocole prévue à l'article 20 pour laquelle s'applique une période de transition de 6 mois.

Des outils à votre disposition [Réservé aux membres]

Pour rappel la CESSoC, en collaboration avec ses fédérations membres, a préparé un plan d'action et des outils afin de mettre en oeuvre les obligations découlant du RGPD dans votre organisation : Vous trouverez toute l'information et les outils dans la rubrique Outils / RGPD.