Les acteurs-clés de la protection des données à caractère personnel
Les données à caractère personnel ne peuvent être collectées, enregistrées, etc. que dans des conditions bien déterminées. Qui est considéré comme responsable de ces traitements ? Quelles sont les autorités de contrôle en Belgique ?
La notion de « personne concernée »
Nous avons exploré la définition d’une donnée à caractère personnel dans l’article précédent. Une donnée à caractère personnel se rapporte à une personne physique identifiée ou identifiable. Par conséquent, les données concernant les personnes décédées ou les personnes morales ne rentrent pas dans la définition.
De plus, il est nécessaire que la donnée soit liée à la personne visée. En d’autres termes, le contenu, la finalité ou l’effet de la donnée “concernent” une personne déterminée. Par exemple, les données à caractère personnel qui sont collectées dans le cadre de votre vaccination contre la COVID-19 constituent bien des informations qui sont liées à votre personne puisque leur contenu révèle notamment la personne que vous êtes (votre nom, prénom, lieu de résidence (…). Une telle collecte vise notamment à permettre d’assurer la traçabilité des vaccins afin d’assurer un suivi ou encore la détermination du taux de vaccination.
Autre exemple
Les réponses écrites d’un candidat lors d’un examen constituent bien des informations liées à sa personne. En effet, le contenu des réponses reflète le niveau de connaissances et de compétences du candidat. La finalité de la collecte de ces réponses consiste en l’évaluation des capacités professionnelles du candidat et son aptitude à exercer le métier. L’utilisation de ces informations peut influer sur les droits et intérêts du candidat dans la mesure où elle est susceptible de déterminer ou d’influencer, par exemple, ses chances d’accéder à la profession ou à l’emploi souhaités[1].
La notion des "(co)-responsable" du traitement et de "sous-traitant"
Les article 4.7 du RGPD et 26.8 de la LPD définissent le responsable du traitement comme la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Il s’agit donc de la personne qui décide du motif pour lequel vos données à caractère personnel sont traitées (pourquoi) et de la manière dont elles sont gérées (comment). Il est néanmoins possible de désigner plusieurs coresponsables d’un traitement dans le cas où différents intervenants déterminent les finalités et les moyens de celui-ci. L'exercice d’un degré d’influence sur les finalités et les moyens suffit, le responsable ne devant pas les déterminer dans les moindres détails[2].
Concrètement, par exemple, le traitement des données à caractère personnel relative aux vaccinations contre la COVID-19 poursuit différentes finalités : la traçabilité des vaccins, l'organisation logistique de la vaccination, la détermination du taux de vaccination ou encore l’exécution d’études scientifiques ou statistiques. En cas de vaccination, vos données à caractère personnel, telles que vos données d’identification, sont conservées jusqu’au moins 2 ans après votre décès.
Les responsables du traitement de vos données à caractère personnel dépendent des compétences des autorités. Par exemple, si vous résidez en Région Wallonne, c’est l'Agence wallonne de la santé, de la protection sociale, du handicap et des familles qui est désignée comme le responsable. En outre, Sciensano est également responsable du traitement de vos données au vu de ses compétences en matière de santé publique. Il s’agit donc d'une responsabilité conjointe.
Le responsable de traitement constitue un acteur majeur dans la protection des données à caractère personnel : il est tenu de respecter des obligations résultant du RGPD telles que celles liées à la fourniture de certaines informations et la transparence. Il est en outre votre interlocuteur dans le cas où vous désirez exercer vos droits.
Il est néanmoins possible que le responsable du traitement choisisse de déléguer tout ou partie de ses activités à une organisation extérieure telle que par exemple, une société de sécurité informatique. Celle-ci répond alors à la qualité de sous-traitant. Les articles 4.8 du RGPD et 26.9 de la LPF définissent le sous-traitant comme la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ou d'un autre sous-traitant.
La notion "d’autorité de contrôle"
En vertu des articles 4.21 et 26.15 de la LPD, on entend par autorité de contrôle, l'autorité publique indépendante chargée par la loi de surveiller l'application des règles en vigueur afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement de leurs données à caractère personnel.
En Belgique, il existe quatre autorités de contrôle : l’Autorité de protection des données ; l’Organe de contrôle de l’information policière (ci-après le COC), le Comité permanent de contrôle des services de renseignement (ci-après le comité R) et le Comité permanent de contrôle des services de police (ci-après le comité P).
L'Autorité de protection des données est compétente pour tous les traitements de données à l’exception de ceux réalisés par les autres autorités.
Le COC est chargé de surveiller la gestion de l'information policière. Le Comité R contrôle la gestion de l’information de la Sûreté de l'État, du Service Général du Renseignement et de la Sécurité et de l'Organe de coordination pour l'analyse de la menace. Le Comité P est compétent, conjointement avec le Comité R, pour les traitements au sein de l'Organe de coordination pour l'analyse de la menace, l’OCAM.
Dans le domaine des données à des fins policières ou à des fins de renseignement, tant le COC que le Comité R et le Comité P sont compétents pour demander et obtenir à votre place et en votre nom l’accès à vos données à caractère personnel se trouvant dans toutes les banques de données des autorités concernées. La loi sur la protection des données ne les autorise cependant pas à vous informer en détail du résultat de cette intervention : ils peuvent uniquement vous communiquer qu'il a été procédé aux vérifications nécessaires.
Néanmoins, grâce à un protocole de coopération entre les quatre autorités fédérales belges de la protection des données entré en vigueur le 24 novembre 2020, vous ne devez pas en tant que citoyen vous inquiéter si vous n’avez pas saisi l’autorité appropriée pour votre requête. Votre dossier parviendra toujours à l’autorité compétente.
Maude BIETTLOT
Juriste-criminologue
Maria ZACCARIA
Juriste spécialisée en droit de la protection des données
Avec la collaboration de Philippe Baeten, juriste, expert en RGPD
[1] C.J.U.E., 20 décembre 2017, arrêt Novak, C‑434/16.
[2] Groupe 29, Avis 1/2010 sur les notions de ”responsable du traitement” et de ”sous-traitant”, WP 169, 16 février 2010.
Source : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679