Vous êtes ici : Accueil > En pratique > Vie privée - Principes de base

Vie privée - Principes de base

Aucun jour ne passe sans que nos données personnelles ne soient divulguées ou transmises à quelqu'un. Nos données sont même vérifiées par d'autres, utilisées dans un but précis ou peut-être sélectionnées et répertoriées dans des banques de données.
Par données à caractère personnel, nous entendons notamment :

• le nom d'une personne ;
• une photo ;
• un numéro de téléphone (même un numéro de téléphone au travail) ;
• un code ;
• un numéro de compte bancaire ;
• une adresse e-mail ;
• une empreinte digitale ;
• …

Les technologies de l'information et de la communication ont rapidement évolué, offrant ainsi beaucoup de possibilités et de nombreux avantages. L'utilisation de l'ordinateur et d'Internet permet aux entreprises, mais également aux autorités publiques, de garantir un meilleur service et nous facilite la vie au quotidien.

L'utilisation de ces technologies ne peut toutefois pas mettre en danger notre vie privée. En effet, les données diffusées par les technologies sont souvent personnelles. Des banques de données ou des fichiers contenant des données personnelles sont constitués, utilisés, communiqués et vendus. Dès lors, il devient de plus en plus difficile de savoir qui dispose de quelles données et ce qu'il en advient ; nous n'avons plus le contrôle de nos données. Le risque d'abus est donc grand.

Depuis 1992, il existe en Belgique une loi qui veille à ce que vos données personnelles ne puissent pas être traitées de n'importe quelle manière. Cette loi est mieux connue sous le nom de la Loi vie privée. La Loi vie privée belge définit très précisément de quelle manière et dans quelles circonstances des données personnelles peuvent être traitées ou transmises. Par "traitement de données", on entend : toute opération éventuelle appliquée à ces données, telle que la collecte, l'utilisation, la gestion ou la communication. Quelques exemples :

• le magasin qui vous demande de compléter un coupon-réponse traite des données ;
• un hôtel qui vous offre la possibilité de réserver en ligne traite également des données lorsqu'il vous demande à cet effet votre nom, les dates de votre séjour et votre numéro de carte de crédit.

La Loi vie privée veut protéger le citoyen contre l'utilisation de ses données personnelles. Elle définit les droits et obligations de la personne dont les données sont traitées, tout comme les droits et obligations du responsable du traitement lui-même.

Avant de poursuivre votre lecture, il est important que vous sachiez que la Loi vie privée n'est pas d'application si vous collectez des données dont vous serez le seul à vous servir ou qui ne seront utiles qu'à des fins domestiques. C'est par exemple le cas de votre agenda électronique personnel ou de votre fichier d'adresses privé. Les journalistes, les écrivains et les artistes ne doivent pas non plus respecter toutes les règles de la Loi vie privée lorsqu'ils traitent des données.

Ces pages web vous donnent une information succincte sur la manière dont les données à caractère personnel doivent être traitées, sur les personnes qui peuvent les traiter, pour quelle finalité et sur les droits et obligations de celui qui traite vos données.

Nous conseillons à celui qui souhaite approfondir le sujet de la protection des données à caractère personnel de lire le document "Protection des données à caractère personnel en Belgique" ou la Loi du 8 décembre 1992 relative à la vie privée à l'égard des traitements de données à caractère personnel.

Un traitement de données commence par la collecte de données. Mais avant de procéder à la collecte des données, le responsable du traitement doit déclarer ce traitement auprès de la Commission vie privée. Toutes les informations relatives à la déclaration sont disponibles dans le dossier thématique "déclaration" .

La collecte de données doit se dérouler de manière loyale et donc transparente. Cela signifie que la personne qui collecte vos données, dénommée le responsable du traitement, doit vous en informer.

Le responsable du traitement doit :

• indiquer pourquoi il souhaite obtenir vos données à caractère personnel ;
• transmettre ses coordonnées ;
• communiquer qui recevra vos données ;
• indiquer que vous avez le droit de consulter et de faire rectifier vos données ;
• signaler que vous pouvez vous opposer, sans frais, à l'utilisation de vos données à des fins de marketing direct, lors d'actions publicitaires par exemple.

Le responsable du traitement ne peut pas :

• dire qu'il poursuit un certain but alors qu'il vise d'autres finalités avec les données collectées ;
• agir à votre insu (par exemple, si vous passez une commande via un site Internet et que pour ce faire, vous devez communiquer vos données à caractère personnel, ce site Internet doit prévoir une rubrique qui vous informe de ce qu'il va advenir de vos données. Cette rubrique est généralement appelée " privacypolicy").

On ne peut collecter des données à caractère personnel que si elles sont nécessaires pour atteindre l'objectif annoncé et si elles peuvent être pertinentes. Ainsi, un commerçant peut demander le nom et l'adresse de ses clients pour leur envoyer des factures ou les informer de ses activités commerciales. Toutefois, il n'a aucune raison valable de demander la date de naissance ou la profession de ses clients.

Le responsable du traitement n'est pas toujours obligé de s'adresser directement à vous pour obtenir vos données. Il peut également les obtenir auprès d'une autre personne ou auprès d'institutions ou de sociétés qui disposent de banques de données.

Deux exemples :

• un médecin généraliste envoie les données d'un patient à un spécialiste ;
• une entreprise peut, par exemple, demander à une agence d'intérim de lui envoyer une liste avec le curriculum vitae des personnes qui répondent à un profil professionnel souhaité.

Ici aussi, en tant que personne concernée, vous devez être informé, à moins que vous ne le soyez déjà.

Si l'information des personnes concernées est impossible ou nécessite des efforts disproportionnés, le responsable du traitement est dispensé de cette obligation d'information. Cependant, il doit toujours le justifier auprès de la Commission vie privée. Il joint sa justification à la déclaration qu'il doit faire avant de commencer le traitement.

Le responsable du traitement ne peut traiter (c.-à-d. collecter, utiliser, gérer, communiquer) vos données à caractère personnel que s'il remplit un certain nombre de conditions. Il ne peut pas collecter, ni utiliser vos données à caractère personnel sans définir une finalité précise. Le responsable définit la finalité dès le début, ce qui détermine la suite des activités. C'est sur la base de cet objectif établi que le responsable décidera :

• quelles données il peut collecter ;
• ce qu'il en fera ;
• s'il peut les communiquer et à qui il peut les communiquer.

Ensuite, il ne peut appliquer à vos données que les opérations qui lui permettent d'atteindre son objectif et qui sont compatibles avec celui-ci. Par "compatible", on entend ce qui est précisé à ce sujet dans la Loi vie privée et ce que vous pouvez raisonnablement attendre (normalement). L'utilisation de vos données par le responsable pour d'autres finalités incompatibles avec la finalité initiale est punissable.
Par exemple :

• le club de fitness qui vend la liste de ses membres à une société qui propose des cures d'amaigrissement ;
• l'ophtalmologue qui communique le nom de ses patients à une société spécialisée dans la vente de lentilles de contact (il peut par contre transmettre ses dossiers à un confrère dont il souhaite connaître l'avis).

Le responsable ne peut pas poursuivre n'importe quel objectif. Il va de soi qu'il doit s'agir d'un objectif légitime. Cela signifie que les intérêts du responsable du traitement doivent être en équilibre avec vos intérêts en tant que personne concernée. Une finalité qui porterait atteinte à votre vie privée de manière excessive n'est pas une finalité légitime. Par exemple : la constitution d'un fichier reprenant des personnes qui approchent des soixante ans en vue de leur envoyer, lors de leur soixantième anniversaire, de la documentation sur une assurance obsèques "parce qu'il est temps d'y penser", n'est pas une finalité légitime. Le préjudice subi par ces personnes dans ce cas est indubitablement plus grand que l'intérêt commercial de la personne qui constitue le fichier.

Une fois que le responsable a défini un objectif légitime, il doit encore remplir au moins une des conditions suivantes. Il ne peut traiter vos données que si :

• vous donnez votre consentement libre, indubitable et informé à ce traitement ;
• ou si le traitement est nécessaire à l'exécution d'un contrat que vous avez conclu avec le responsable (par exemple, la banque qui vous a octroyé un prêt hypothécaire) ;
• ou si la loi l'exige. L'employeur est par exemple obligé de communiquer à la sécurité sociale certaines données relatives à son personnel ;
• ou si le traitement est d'un intérêt vital pour vous. Par exemple, lorsqu'on récolte des données médicales relatives à une victime d'accident inconsciente afin de pouvoir lui prodiguer des soins ;
• ou si le traitement doit être effectué pour exécuter une mission d'intérêt public. Ainsi, la Poste a le droit de constituer un fichier avec les changements d'adresse de ses clients afin de pouvoir leur faire suivre leur courrier après le déménagement ;
• ou si le traitement de données est nécessaire à la réalisation d'un intérêt légitime du responsable ou d'une autre personne, à condition que ne prévalent pas les intérêts de la personne concernée.

Certaines données sont si délicates qu'elles ne peuvent être traitées que dans des cas très spécifiques. Vos nom et adresse sont plutôt des données anodines, mais ce n'est pas le cas pour votre race, votre santé, vos opinions politiques, vos convictions philosophiques (croyant ou athée, etc.), vos préférences sexuelles ou votre passé judiciaire. La loi vie privée régit l'enregistrement et l'utilisation de ces données de manière très stricte.

Le responsable peut toutefois traiter des données sensibles vous concernant (à l'exception des données judiciaires) si :

• il a obtenu votre consentement écrit ;
• c'est indispensable pour vous prodiguer les soins nécessaires ;
• la législation du travail l'impose.

Les partis politiques, les congrégations, les syndicats, les mutuelles et d'autres institutions peuvent en effet enregistrer et utiliser les données de leurs membres. Ils ne peuvent néanmoins pas communiquer ces données à quelqu'un d'autre sans le consentement des personnes concernées. Les données judiciaires (relatives à des suspicions, des poursuites et des condamnations) peuvent être traitées par une instance publique si cela est nécessaire à l'exercice de ses missions.

En outre, il existe encore un certain nombre d'autres mesures que le responsable doit respecter lors du traitement de données sensibles. Pour en avoir un relevé complet, nous vous recommandons de lire le document intitulé "Protection des données à caractère personnel en Belgique".

Les données elles-mêmes doivent aussi répondre à certaines conditions. Le responsable du traitement doit veiller à :

• la bonne qualité des données. Cela signifie que les données doivent être exactes ;
• la confidentialité des données. Il doit donc s'assurer qu'elles ne puissent pas être consultées et communiquées ainsi, par n'importe qui ;
• la sécurité des données. Il doit veiller à ce qu'elles ne soient pas volées ou perdues. Plus les données sont sensibles et plus le niveau de protection doit être élevé ;
• ne pas conserver les données plus longtemps que ne le nécessite la réalisation de son objectif. Une fois son objectif atteint, il doit effacer les données.

Dès que quelqu'un traite vos données, vous avez :

• droit à l'information. Vous devez donc être prévenu que vos données seront traitées et pour quelle(s) raison(s). La loi définit les informations que le responsable du traitement doit vous fournir ;
• le droit de poser des questions au responsable. Vous pouvez lui demander s'il dispose de données vous concernant. Il doit vous communiquer quelles données il détient à votre sujet et pourquoi, de quel type de données il s'agit et qui recevra ces données ;
• un droit d'accès direct à vos données. Cela signifie que vous pouvez à tout moment prendre connaissance de vos données. Il est important que vous sachiez que votre droit d'accès ne veut pas automatiquement dire que vous recevez une copie de la liste des données sur laquelle vous êtes enregistré. Le responsable peut également vous informer simplement (par lettre ou même par téléphone) qu'il dispose de données vous concernant et vous dire de quelles données il s'agit précisément (par exemple, vos nom et adresse, votre numéro de téléphone ou votre date de naissance, …). Votre droit d'accès vous permet de connaître l'origine des données et les motifs d'une décision déterminée (par exemple, dans le cas d'un refus d'octroi d'un prêt).
  Pour exercer votre droit d'accès, vous adressez au responsable une lettre ou un fax auquel vous annexez une copie de votre carte d'identité ou un e-mail avec votre signature électronique ;
• un droit d'accès indirect. Il existe certaines données que vous ne pouvez pas consulter librement, même s'il s'agit de vos propres données. C'est le cas des données qui sont conservées dans le cadre de la protection de la sécurité du pays, de la sécurité publique, de la défense nationale ou de la prévention ou de la sanction des délits. Dans ces cas, pour savoir si des données vous concernant sont traitées, vous devez adresser une lettre à la Commission avec une copie de votre carte d'identité. La Commission agit alors en tant qu'intermédiaire et peut consulter vos données à votre place. Ensuite, elle vous informe qu'elle a contrôlé vos données et éventuellement qu'elle les a fait modifier, sans en divulguer le contenu.
  Il peut également s'agir de vos données de santé. Vous pouvez y accéder directement vous-même ou il se peut que le responsable du traitement demande qu'un intermédiaire le fasse à votre place, afin d'éviter par exemple que vous ne puissiez également consulter des données sensibles d'un membre de la famille ;
• droit à la rectification de vos données. Si vous remarquez que des données inexactes, incomplètes, superflues ou interdites circulent sur vous, vous pouvez les faire rectifier, effacer ou faire interdire leur utilisation sans frais. Si le responsable du traitement n'a pas rectifié l'erreur dans un délai d'un mois, vous pouvez introduire une plainte par écrit auprès de la Commission ;
• un droit d'opposition. Vous pouvez toujours vous opposer à l'utilisation de vos données, mais vous devez avoir de sérieuses raisons. Vous ne pouvez pas vous opposer s'il s'agit d'un traitement de données qui est imposé par une loi ou une disposition réglementaire. D'autre part, vous pouvez vous opposer gratuitement et sans raison à l'utilisation de vos données lorsqu'elles sont traitées à des fins de marketing direct ;
• le droit de ne pas être soumis à une décision automatisée. Il ne serait pas bon qu'une certaine décision qui vous concerne dépende uniquement des décisions d'une machine. Ainsi, la loi interdit qu'une décision qui aurait pour vous d'importantes conséquences soit prise sur la base d'un traitement de données automatisé qui évalue certains aspects de votre personnalité. Cette interdiction ne s'applique toutefois pas lorsqu'il s'agit de la conclusion d'un contrat, par exemple un prêt ou une assurance, ou lorsque cela est imposé par une loi ou par une disposition réglementaire. Cependant, vous avez toujours l'opportunité de faire connaître votre avis ;
• le droit d'introduire une plainte auprès de la Commission ou du tribunal. Si vous éprouvez des difficultés pour exercer vos droits ou si vous remarquez qu'un responsable ne respecte pas ses obligations, vous pouvez introduire une plainte auprès de la Commission. Celle-ci essaie alors d'intervenir en tant que médiatrice afin de régler l'affaire à l'amiable. Elle traite votre plainte gratuitement.
  

En cas d'échec, elle peut dénoncer l'infraction auprès du Procureur du Roi ou saisir le tribunal. Vous pouvez également saisir vous-même le tribunal ou introduire une plainte auprès du Procureur du Roi.

Si vous souhaitez plus d'informations sur ce sujet, nous vous conseillons vivement de lire le thème "Flux transfrontières".

Lire également nos FAQ: vie privée (Principes de base)

Lire également dans le lexique: données à caractère personnel - responsable du traitement - responsable du traitement - consentement libre, indubitable et informé - intérêt légitime - données sensibles - droit à la rectification