Upload
lesoirbe
View
6.040
Download
12
Embed Size (px)
DESCRIPTION
Citation preview
Rapport annuel 2011
2
Table des matières
Première partie : la Commission 6
1 La mission de la Commission 7
Le rôle de la Commission 7
2.1 Réglementation et encadrement normatif 9
2.2 Politique de respect des dispositions légales 9
2.3 Information 9
2 Les domaines d’activité de la Commission 9
2.1 Réglementation et encadrement normatif 9
2.2. Politique de respect des dispositions légales 9
2.3. Information
2.4 Assistance 10
2.5 Traitement des plaintes 10
2.6 Au niveau international 11
3 La composition de la Commission 12
3.1 Membres effectifs 12
3.2 Membres suppléants 12
4 La structure de la Commission 13
4.1 Profil des membres 13
4.2 Mandats des membres 13
4.3 Fonctions des membres 13
4.4 Rôle du président 13
4.5 Comités sectoriels 13
4.6 Secrétariat 14
5 La structure de l’administration 15
6.1 Intégration des comités sectoriels 16
6.2 Contrôle de la vie privée - Évaluation 16
6 Le plan de gestion de la Commission 16
6.3 Information au public 17
6.4 Soutien de la Commission et des Comités sectoriels 17
6.5 Coopération internationale 17
6.6 Politique de respect des dispositions légales 17
6.7 Déclarations et registre public 18
6.8 Vie privée et recherche scientifique 18
7 Principales activités nationales de la Commission 19
7.1 E-government 19
7.1.1 Avis n° 18/2011 du 7 septembre 2011 19
7.2 Échange électronique de données administratives 20
7.2.1 Avis n° 03/2011 du 9 février 2011 20
7.2.2 Recommandation 05/2011 du 15 juin 2011 21
7.2.3 Recommandation 01/2011 du 9 février 2011 22
7.2.4 Avis 33/2011 du 30 novembre 2011 23
7.3 Secteur financier 23
7.3.1 Avis 06/2011 du 9 février 2011 23
7.3.2 Avis 07/2011 du 9 février 2011 25
7.3.3 Avis 36/2011 du 21 décembre 2011 26
7.4 Technologie de l’information et de la communication 27
7.4.1 Recommandation 07/2011 du 21 décembre 2011 27
7.4.2 Avis 32/2011 du 30 novembre 2011 28
7.4.3 Travaux de normalisation 28
7.4.4 Plate-forme concertation sur la sécurité des informations 29
7.5 Justice et sécurité 29
7.5.1 Renforcement de l’information aux personnes concernées 29
7.5.2 Protocole d’accord du 13 juillet 2011 entre le SPF Justice et la Commission 30
7.5.3 Recommandation 6/2011 du 6 juillet 2011 31
7.5.4 Avis 31/2011 du 30 novembre 2011 32
7.5.5 Avis 23/2011 du 28 septembre 2011 34
7.6 Transport et mobilité 36
7.6.1 Avis 14/2011 du 6 juillet 2011 36
7.6.2 Avis 16/2011 du 6 juillet 2011 37
7.6.3 Avis 02/2011 du 19 janvier 2011 37
7.7 Santé 38
7.7.1 Recommandation 02/2011 du 4 mai 2011 38
7.7.2 Avis 03/2011 du 9 février 2011 39
7.7.3 Avis 09/2011 du 23 mars 2011 40
7.7.4 Avis 25/2011 et 26/2011 du 19 octobre 2011 41
7.7.5 Vade-mecum relatif à la recherche biomédicale 42
7.8 Divers 43
7.8.1 Avis 08/2011 du 2 mars 2011 43
7.8.2 Avis 19/2011 du 28 septembre 2011 44
7.8.3 Avis n° 22/2011 du 18 septembre 2011 45
7.8.4 Avis n° 21/2011 du 28 septembre 2011 46
7.8.5 Avis n° 10/2011 du 25 mai 2011 47
7.8.6 Avis n° 35/2011 du 21 décembre 2011 47
7.8.7 Consultation publique cybersurveillance 48
7.8.8 Avis n° 28/2011 du 9 novembre 2011 49
7.8.9 Recommandation 03/11 du 25 mai 2011 50
7.8.10 Suppression de l’application « Juif ou pas Juif ?” de
l’iTunes App Store belge 51
7.8.11 Médiation de la Commission en matière d’accès aux archives de presse 51
8 Les principales activités internationales de la Commission 52
8.1 Conférences internationales 52
8.1.1. Conférence européenne des Commissaires à la protection des données 52
8.1.2 Conférence internationale des
Commissaires à la protection des données 52
8.1.3 Conférence de l’AFAPDP 54
8.2 Groupe de travail protection des données « Article 29” – Groupe 29 (G29) et
groupes de travail “ groupe 29 ” 58
8.2.1 Groupe 29 58
8.2.2 Technology Subgroup 67
8.2.3 Sous-groupe BCR 67
8.3 IWGDPT (International Working Group on Data Protection
in Telecommunication) 67
8.4 Organes de contrôle communs 68
8.4.1 Schengen 68
8.4.2 Europol 68
Commission de la protection de la vie privée — rapport annuel 2011 3
8.4.3 Groupe de coordination du contrôle d’Eurodac 68
8.5 Le Conseil de l’Europe et la protection des données 69
9.1 Réglementation et normalisation 71
9.2 Politique de respect des dispositions légales 71
9 Les activités de la Commission en chiffres 71
9.2.1 Tâches de contrôle 72
9.2.2 Notification de l’utilisation d’une caméra mobile par
les services de police 72
9.3 Information 72
9.3.1 Support du front office en matière d’information 72
9.3.2 Déclarations enregistrées dans le registre public 73
9.3.3 Publication d’informations sur le site web
http ://www.privacycommission.be 73
9.3.4 Publication d’informations sur le site web
http ://www.jedecide.be 73
9.4 Dossiers de fond 76
9.5 Dossiers d’évaluation 77
9.6 Tableaux et graphiques 78
9.6.1. Dossiers de décision traités par la Commission en 2011 en chiffres 78
9.6.1.1. Analyse globale des dossiers de décision Commission 2011 78
9.6.1.3 Suite donnée aux dossiers de décision clôturés 81
9.6.2. Dossiers de fond 2011 en chiffres 82
9.6.2.2 Délai de traitement dossiers de fond 84
9.6.2.3 Suite donnée aux dossiers de fond clôturés 85
9.6.2.4 Analyse du contenu des dossiers de fond reçus 86
9.6.2.4.2 Type de données traitées dans les dossiers de fond (top 5) 92
9.6.2.4.3 Législation traitée dans les dossiers de fond (top 5) 93
9.6.2.4.4 Relation responsable du traitement & personne concernée 94
9.6.3 Dossiers Question et Réponse (dossiers Q&A) 2011 en chiffres 95
9.6.3.2 Analyse du contenu des dossiers FO 96
9.6.3.2.1 Domaines et sous-domaines des dossiers FO (top 5) 96
9.6.3.2.2 Législation traitée dans les dossiers FO (top 5) 98
9.6.3.2.3 Relation responsable du traitement & personne concernée 99
9.6.4. Dossiers de déclaration et de notification en chiffres 100
9.6.4.1. Analyse globale des déclarations et traitements 100
9.6.4. 2 Déclarations de nouveaux traitements de données 101
9.6.4.4 Notification de l'utilisation d'une caméra mobile par
les services de police 103
9.6.5 Analyse Comparative : 2010 - 2011 104
9.6.5.1 Ouverture de dossiers 104
9.6.5.2 Clôture de dossiers 105
Deuxième partie : les comités sectoriels 107
1 La composition des comités sectoriels 109
1.1 Comité sectoriel du Registre national 110
1.2 Comité sectoriel de la Sécurité Sociale et de la Santé 110
1.3 Le Comité sectoriel pour l’Autorité Fédérale 112
1.4 Le Comité sectoriel de la Banque-Carrefour des Entreprises 112
1.5 Comité de surveillance sectoriel Phenix 112
1.6 Comité de surveillance statistique 113
2 Les principales activités des comités sectoriels 114
2.1 Commission loco Comité de
surveillance statistique 114
2.2 Comité sectoriel du Registre national 114
2.2.1 Autorisations générales 114
2.2.2 Délibération RN n° 24/2011 du 20 avril 2011v 115
2.2.3 Délibération RN n° 49/2011 du 21 septembre 2011 115
2.2.4 Délibération RN n° 11/2011 du 16 février 2011 116
2.2.5 Délibération RN n° 19/2011 du 16 mars 2011 116
2.2.6 Délibération RN n° 45/2011 du 21 septembre 2011 116
2.2.7 Délibération RN n° 71/2011 du 14 décembre 2011 117
2.2.8 Délibération RN n° 72/2011 du 14 décembre 2011 117
2.3 Comité sectoriel pour l’Autorité Fédérale 118
2.3.1 Délibération AF n° 12/2011 du 9 juin 2011 118
2.3.2 Délibération AF n° 16/2011 du 21 décembre 2011 118
2.3.3 Délibération AF n° 09/2011 du 12 mai 2011 119
2.3.4 Délibération AF n° 15/2011 du 22 décembre 2011 119
2.4 Comité sectoriel de la Sécurité Sociale et de la Santé 121
2.4.1 Section Santé 121
2.4.2 Section Sécurité Sociale 123
3 Les activités des comités sectoriels en chiffres 126
3.1 Le Comité sectoriel de la Sécurité Sociale et de la Santé 126
3.2 Le Comité sectoriel pour
l’Autorité Fédérale 126
3.3 Le Comité sectoriel du Registre national 126
3.4 Le Comité sectoriel de la Banque-Carrefour des Entreprises et le Comité de
surveillance sectoriel Phénix 127
3.5 Tableaux et graphiques 128
3.5.1. Dossiers traités par les comités sectoriels 128
3.5.1.1 Comité sectoriel de la Sécurité sociale et de la Santé 128
3.5.1.1.1 Section Santé 128
3.5.2 Comité sectoriel pour l’Autorité Fédérale : dossiers AF-MA en chiffres 129
3.5.2.2 Délai de traitement dossiers AF-MA 131
4.2.3 Suite donnée aux dossiers d'autorisation clôturés 133
4.2.4 Nombre d'adhésions par autorisation générale 133
3.5.3 Comité de surveillance Statistitique : dossiers STAT-MA en chiffres 134
3.5.3.2 Délai de traitement dossiers STA-MA 136
3.5.3.3 Suite donnée aux dossiers d'autorisation clôturés 136
3.5.4 Comité sectoriel du Registre national : dossiers RN-MA en chiffres 137
3.5.4.1 Analyse globale dossiers RN-MA 2011 137
3.5.4.2 Délai de traitement dossiers RN-MA 139
3.5.4.3 Suite donnée aux dossiers d'autorisation clôturés 141
3.5.4.4 Nombre d'adhésions par autorisation générale 141
4
Préface
« TOUT CE QUI A DE LA VALEUR EST VULNÉRABLE»
La préface d’un rapport annuel est toujours rédigée l’année
suivante. Il est dès lors très tentant d’aborder ce qui est «à
l’ordre du jour » au moment même. Actuellement, il est évi-
demment question de la proposition de la commissaire eu-
ropéenne et vice-présidente de la Commission européenne,
Viviane Reding : un nouveau cadre juridique pour la protec-
tion de la vie privée dans l’Union européenne. Bien qu’à la
fin décembre 2011, un texte ait «filtré » via Statewatch et que
la dernière réunion du Groupe 29 du 29 décembre 2011 ait
bruissé des rumeurs et des communications de sources bien
informées, ce n’est que le 25 janvier 2012 que la proposition
a été publiée dans son intégralité. De quoi donc alimenter le
rapport annuel 2012 (et peut-être encore quelques éditions
ultérieures).
Le plus important dossier que la Commission ait traité
courant 2011 est peut-être celui qui a reçu le nom de code
«cybersurveillance ». Le contrôle des travailleurs par les
employeurs (l’inverse est possible également, mais cela ne
suscite en pratique que peu de problèmes de respect de la vie
privée) est une problématique dont la Commission s’occupe
activement depuis déjà quelques années. Le sujet n’était pas
simple car la question de savoir si la CCT n° 81 constituait
bel et bien un instrument tout à fait légal s’est avérée dif-
ficile à trancher (l’article 22 de la Constitution ne connaît
en effet que la loi, et pas la CCT, comme unique source juri-
dique valable pour restreindre les droits relatifs au respect
de la vie privée …). Pendant un temps, le Secrétariat de la
Commission avait même pour politique d’ignorer com-
plètement l’existence de la CCT n° 81 lors du traitement de
demandes d’informations à ce sujet. Et lorsque la loi relative
aux communications électroniques (LCE) est venue s’ajou-
ter, la confusion est devenue totale, vu que les exceptions de
l’article 125 de la LCE ne semblaient pas prévoir d’exception
«toute faite » en la matière. Par ailleurs, la jurisprudence
ne faisait pas non plus vraiment figure de roc dans la tour-
mente, mais plutôt de sac de nœuds. Il était dès lors grand
temps d’essayer de trouver une voie plus sûre et d’offrir aux
personnes concernées (on parle quand même encore tou-
jours de quelques millions d’habitants dans ce pays) des
directives fiables et des paradigmes valables. Une ligne
de conduite conforme à la loi et à la règle, mais aussi à la
pratique et à la réglementation que les partenaires sociaux
considèrent pour la grande majorité comme une politique
acceptable.
Le 6 juillet 2011, la Commission a adopté un «rapport », une
sorte de livre vert, contenant les éléments d’une recomman-
dation, qui a ensuite fait l’objet d’une consultation publique,
du 15 juillet au 30 novembre. Selon cette recommanda-
tion, le droit général de l’employeur d’exercer une autorité,
tel qu’établi dans la loi relative aux contrats de travail ou
dans des dispositions légales analogues pour la fonction
publique, constitue le fondement pour effectuer certains
contrôles, pour autant que ceux-ci se déroulent conformé-
ment à la gestion habituelle normale de l’entreprise (en tant
qu’employeur raisonnable et prudent) et conformément à
d’autres dispositions pertinentes applicables au niveau lé-
gal. Il s’agit en premier lieu de la loi vie privée mais aussi des
principes de la CCT n° 81. Lors de la consultation publique,
la Commission a reçu des dizaines de réactions et suite à
cela, elle a également organisé une après-midi d’étude dans
la salle du Congrès de la Chambre des Représentants le
16 décembre 2011. Ces réactions ainsi que les idées échan-
gées lors de l’après-midi d’étude ont contribué à élaborer le
texte de la disposition définitive telle qu’elle a été adoptée le
2 mai 2012.
Ceci n’a pas suffi à rétablir totalement l’équilibre précaire
dans le cadre du contrôle dans les relations de travail : l’ap-
parition d’autres techniques et pratiques auxquelles il fau-
dra répondre au cas par cas en est déjà la preuve. Toutefois,
l’expérience et la compétence que la Commission a acquises
dans le dossier susmentionné devraient à présent peut-être
lui faciliter un peu la tâche.
Commission de la protection de la vie privée — rapport annuel 2011 5
En 2011, certes pendant la période creuse du mois d’août, la
Commission a vu s’étaler à la une du journal ‘De Standaard’
le compte rendu de la guerre imminente entre la Commis-
sion et bpost concernant l’enquête à grande échelle menée
par le département marketing de bpost auprès de millions
d’habitants de ce pays. Il n’a pas fallu en arriver à lancer un
ultimatum. Le fait d’avoir fait les gros titres y a peut-être été
pour beaucoup, mais la Commission et bpost ont rapide-
ment engagé d’intenses pourparlers et ces négociations ont
permis de dégager une méthode de travail acceptable pour
tout le monde.
Pour clôturer ce top 3 des principaux événements relatifs à
la protection de la vie privée, je ne veux pas manquer de men-
tionner que Google a accepté la proposition de conciliation
du parquet fédéral en payant la somme de 150 000 euros.
Le parquet était parvenu à cette proposition après l’enquête
sur l’ «incident du WiFi » dans le dossier Google Street View.
Cette enquête a été menée en collaboration efficace entre la
Commission, la Federal Computer Crime Unit et le parquet,
qui a pris l’affaire au sérieux. Google a donc humblement
reconnu avoir commis une erreur et en a finalement accepté
les conséquences juridiques. Ici encore, une solution raison-
nable a été trouvée pour un problème qui, dans la plupart
des autres pays européens, n’est pas encore ou tout simple-
ment pas réglé.
Trois dossiers concrets dans lesquels la Commission a dé-
montré sa capacité à œuvrer à des solutions en toute équité,
soit par une réaction rapide comme avec bpost, soit par une
recherche à plus long terme d’une politique protectrice à
large spectre dans des secteurs socialement fragiles mais
importants tels que le secteur social, et enfin par le règle-
ment, ici même dans notre pays, d’une data protection breach
(atteinte à la protection des données) mondiale par des
géants tels que Google. Les résultats sont plus importants
que le postulat de la doctrine pure, même si dégager un
compromis requiert plus de travail et d’énergie que de pro-
clamer le caractère absolu du droit au respect de la vie privée.
Même s’il ne faut jamais oublier que le droit au respect de la
vie privée est un droit fondamental, un droit de l’homme qui
ne peut faire l’objet d’aucun marchandage et que l’on ne peut
fouler aux pieds. Et telle est l’exigence de résultat la plus éle-
vée : apporter des solutions équitables conformes aux at-
tentes légitimes des citoyens de ce pays. Préserver la dignité
humaine comme un bien vulnérable et de grande valeur.
Lucebert, un poète hollandais, écrivait déjà : « Tout ce qui
a de la valeur est vulnérable ». C’est pourquoi la vie privée
doit être protégée en permanence et sans faillir. Nous y tra-
vaillons. Et j’ose espérer que le présent rapport annuel vous
convaincra qu’en 2011, la Commission vie privée a fait da-
vantage que traiter les affaires courantes.
Willem Debeuckelaere
Président de la Commission vie privée
Commission de la protection de la vie privée — rapport annuel 2011 7
Première partie : la Commission
Commission de la protection de la vie privée — rapport annuel 2011 9
La Commission de la protection de la vie privée, dont la dé-
nomination officielle est parfois abrégée en « Commission
vie privée », est un organe de contrôle indépendant chargé
de veiller à la protection de la vie privée lors du traitement de
données à caractère personnel.
Elle a été créée suite à l’adoption par la Chambre des Repré-
sentants de Belgique de la Loi du 8 décembre 1992 relative à
la protection de la vie privée à l’égard des traitements de données à
caractère personnel (Loi vie privée).
Les compétences de la Commission sont vastes et générales.
Elle est compétente pour toute forme de traitement de don-
nées à caractère personnel, quel que soit le domaine dans
lequel s’opère le traitement et quelle qu’en soit la nature :
secteur privé ou secteur public, traitement automatisé ou
non, etc.
Face aux traitements de données de plus en plus nombreux,
à la demande faite aux services publics d’être de plus en
plus rapides, au développement de l’e-gouvernement et à la
demande de délais d’avis ou d’autorisation de plus en plus
courts, la Commission n’a de cesse d’adapter au mieux son
mode de fonctionnement.
Tout en répondant aux attentes d’un environnement en
mutation rapide et dynamique, la Commission veille aussi
au respect de la nécessité de son indépendance et de son
autorité, des points qui ont d’ailleurs fait l’objet de la Loi du
26 février 2003 (Moniteur belge du 26 juin 2003) qui visait à
accroître son efficacité et ses performances.
Le rôle de la Commission
Sans sa réflexion et ses actes, la Commission de la protec-
tion de la vie privée se veut déterminante dans le main-
tien de l’équilibre du droit fondamental à la protection de
la vie privée. Elle reconnaît la nécessité pour notre société
de la connaissance de collecter et de traiter des données à
caractère personnel en vue de développements tant sociaux
qu’économiques et cherche donc, dans le cadre de ses déci-
sions et de ses activités de surveillance du respect de la vie
privée, à trouver le juste équilibre entre d’une part les besoins
sociaux et économiques, et d’autre part le droit fondamental
au respect de la vie privée des citoyens. La Commission a
parfaitement conscience que tout traitement de données
implique des risques sur le plan de la protection de la vie
privée et souligne donc l’importance de diffuser des infor-
mations de sensibilisation aussi bien aux personnes dont les
données sont traitées qu’aux responsables des traitements
ainsi que de prévoir des garanties, et ceci plus spécialement
sur le plan de la protection de l’information. La Commission
est par ailleurs attentive au fait que le recours aux technolo-
gies de traitement des données à caractère personnel repré-
sente un facteur très important dans notre société actuelle
en termes d’augmentation du bien-être et de la prospérité
des citoyens.
La Commission s’est fixé pour objectif de tout mettre en
œuvre pour que les citoyens aient confiance dans ces tech-
nologies. Elle rappelle à ce propos la responsabilité de cha-
cun d’agir de manière consciente aussi bien avec ses propres
données à caractère personnel qu’avec celles des autres.
1 La mission de la Commission
La Commission est un organe indépendant.
Elle gère le traitement de données à caractère personnel.
Elle s’adapte aux évolutions de son temps.
Ses mots d’ordre sont rapidité et dynamisme.
10
À cet effet, elle poursuit ses actions de sensibilisation à un
comportement conscient et sûr au niveau de la communi-
cation et du traitement des données à caractère personnel.
Elle entend également souligner l’importance de garantir
et de respecter les droits des personnes concernées dans le
cadre du traitement de leurs données à caractère person-
nel et veut se servir de son ascendant pour encourager les
responsables de traitements de données – tant publics que
privés – à prendre toutes les mesures qui doivent l’être sur la
base d’une analyse approfondie des risques afin de garantir
le droit fondamental au respect de la vie privée et familiale.
Dans ce cadre, la Commission vise la reconnaissance de son
rôle de leader tant national qu’international. Elle veut mar-
quer de son sceau la conception et l’élaboration de normes
pertinentes en matière de sécurité de l’information et de
protection de la vie privée et veiller à leur respect et à leur
promotion par le biais de mécanismes de contrôle appro-
priés.
Afin de formuler une réponse adaptée au caractère de plus
en plus international des traitements de données à caractère
personnel, la Commission entend se servir de sa position de
centre de référence national pour collaborer intensivement
dans le cadre de partenariats internationaux, et plus spéci-
fiquement des partenariats européens qui développent des
activités destinées à protéger les données à caractère per-
sonnel. Dans ce cadre, elle veille aussi à l’intégration ad hoc
de l’impact de l’internationalisation sur les traitements de
données nationaux.
Commission de la protection de la vie privée — rapport annuel 2011 11
traitement ultérieur — article 21 de l’arrêté royal du 13 fé-
vrier 2001 portant exécution de la loi du 8 décembre 1992 relative
à la protection de la vie privée à l’égard des traitements de données à
caractère personnel).
En siégeant dans des groupes de travail nationaux et inter-
nationaux (p. ex. le Groupe de travail Article 29, le Groupe
de Berlin, la Conférence des Commissaires ou d’autres or-
ganes de contrôle en matière de protection de la vie privée,
…) et de par ses contacts avec des organisations similaires à
l’étranger, la Commission marque de son sceau les proces-
sus décisionnels en matière de protection de la vie privée.
2.2 Politique de respect des disposi-tions légales
Ce pilier couvre un large éventail de tâches et n’est pas seu-
lement axé sur les instances publiques compétentes, mais
aussi sur les responsables de traitement. Les compétences
de la Commission en matière d’autorisation consistent à
accorder à une instance d’un secteur déterminé responsable
d’un traitement l’autorisation de procéder à ce traitement
et d’obtenir la communication de données à caractère per-
sonnel. Toujours à l’égard de ces mêmes responsables, la
Commission assume également des tâches de contrôle et
d’inspection, émet des recommandations (article 30, § 2 de
la Loi vie privée) et évalue les mesures de sécurité qui ont été
prises.
2.3 Information
Un troisième pilier d’activité de la Commission est celui de
la mission d’information dont elle est investie, aussi bien
à l’égard des instances publiques que des responsables de
La Commission a pour ambition constante de jouer un rôle
de leader en matière de protection de la vie privée, et ceci
tant à l’échelon national qu’à l’échelon international. Elle se
veut un centre de référence incontournable offrant un maxi-
mum de services aussi efficients que performants.
Pour cette raison, elle participe à l’élaboration de normes
pertinentes en matière de sécurité de l’information et de
protection de la vie privée. Elle est chargée de développer et
de surveiller ces normes et veille à leur bonne application.
Les différentes tâches de la Commission destinées à main-
tenir l’équilibre nécessaire se répartissent en cinq grands
domaines d’activité.
La Commission de la protection de la vie privée émet des
avis sur la législation et la normalisation, mène une poli-
tique d’encadrement normatif, diffuse des informations et
offre un soutien informatif, aide les personnes concernées
à exercer leurs droits et à respecter leurs obligations, traite
les plaintes relatives à des traitements de données qui lui
sont soumises et intervient en tant que médiateur, le cas
échéant, pour contribuer à garantir l’équilibre entre le droit
fondamental à la protection de la vie privée de chacun dans
le cadre du traitement de données à caractère personnel.
2.1 Réglementation et encadrement normatif
Dans ce domaine, les activités sont surtout axées d’une part
sur les autorités et/ou instances compétentes (avis – ar-
ticle 29 Loi vie privée, recommandations — article 30, § 1er
de la Loi vie privée) et, d’autre part, sur les responsabilités
en matière de traitement (recommandations relatives au
2 Les domaines d’activité de la Commission
Se profiler comme un leader reconnu au niveau national et international.
Faire office de centre de référence.
Développer ses cinq domaines d’activité.
12
• la communication des informations demandées par
des particuliers ou des responsables de traitement de
données ;
• l’élaboration d’un rapport annuel destiné au Parlement.
En répondant aux demandes de concertation informelle
préalable qui permet de tenir compte des exigences de la
Loi vie privée dès la phase de développement des projets, la
Commission aide tant les instances publiques que les res-
ponsables de traitement. La Commission aide également
les personnes dont les données sont traitées à exercer leurs
droits, notamment en les informant sur leurs droits et sur la
procédure à suivre.
Dans le cadre des échanges internationaux de données, la
Commission apporte son soutien aux instances qui exercent
des activités transfrontalières, e.a. en collaborant à des
groupes de travail internationaux dans lesquels sont éla-
borées des règles contraignantes relatives à la protection
des données à caractère personnel (p. ex. l’élaboration des
Binding Corporate Rules, …). À ce niveau, comme au niveau
national, la Commission soutient les personnes dont les
données sont traitées et intégrées dans des flux de données
transfrontières.
2.5 Traitement des plaintes
Ce domaine d’activité concerne plus particulièrement les
citoyens dont les données sont traitées. Il englobe le trai-
tement des plaintes et l’éventuelle procédure de médiation
qui peut y être liée. Lorsque les droits d’un citoyen dont les
données font l’objet d’un traitement ne sont pas respectés
par le responsable du traitement, la Commission intervient
à la demande de l’intéressé pour faire respecter ses droits
(droit d’opposition, de rectification, d’accès indirect, …).
Pour cela, la Commission met en œuvre les moyens dont elle
dispose (déclaration au procureur du Roi, action devant le
tribunal civil, …).
traitement ou encore des personnes concernées. On retrouve
dans ce domaine d’activité : le rapport annuel destiné au
Parlement et l’élaboration d’un plan de gestion, la rédaction
de son Règlement d’ordre intérieur, la tenue d’un registre
public et de manière plus générale, une tâche d’information
à l’égard du public (site web, conférences, réponses orien-
tées client, sensibilisation, …).
Il convient encore de souligner qu’au sein de ces différents
domaines d’activité, la Commission ne se limite pas néces-
sairement au territoire national. Ses actions ont aussi sou-
vent une dimension internationale et la Commission joue
un rôle d’information et de sensibilisation important sur la
scène internationale.
2.4 Assistance
Ce quatrième domaine d’activité concerne la mission d’in-
formation de la Commission. Dans ce cadre, elle s’adresse à
tous les groupes cibles :
• les autorités ;
• le secteur privé ;
• le citoyen ;
• le responsable du traitement de données (il peut s’agir
d’une personne physique ou d’une personne morale).
Dans ce domaine, les tâches de la Commission com-
prennent :
• la communication des informations demandées par
toute personne, qu’elle soit concernée par un traite-
ment de données ou responsable d’un/de traitement(s)
de données ;
• l’exercice du droit d’accès et de rectification (accès indi-
rect) ;
• le traitement des déclarations ;
• la tenue à jour du registre public ;
• la dispense d’informations dans le cadre du traitement
des plaintes ;
Commission de la protection de la vie privée — rapport annuel 2011 13
Lorsqu’il s’agit d’infractions internationales relatives à
la protection des données, la Commission apporte son
concours aux enquêtes internationales destinées à mettre
en place des solutions utiles qui demandent l’engagement
de toutes les instances concernées par la protection des
données.
2.6 Au niveau international
La Commission fait face à une internationalisation
croissante.
Elle siège dans des organismes de contrôle internatio-
naux.
Elle participe à des groupes de travail européens.
Elle fait partie du Groupe de travail Article 29.
Les interventions de la Commission dans les cinq domaines
d’activité précités ont souvent une portée internationale.
C’est ainsi que la Commission, non seulement siège, via
ses représentants, dans divers organes de contrôle inter-
nationaux (Schengen, Europol, etc.) mais participe aussi
activement, aux côtés de ses homologues, à des activités
organisées au sein d’organisations et de groupes de travail
européens et internationaux traitant des aspects politiques
et normatifs de la vie privée, notamment : le Groupe de tra-
vail Article 29, ou Groupe 29, constitué à l’échelle de l’Union
européenne, le Groupe de Berlin, la Conférence des Com-
missaires ou des organes de contrôle en matière de protec-
tion de la vie privée.
Plus l’internationalisation des échanges et des transferts de
données s’intensifie, plus le rôle et le statut de la Commis-
sion seront appelés, eux aussi, à s’internationaliser.
14
3 La composition de la Commission
Les membres de l’actuelle Commission ont débuté leurs activités le 2 décembre 2004, après avoir prêté serment entre les mains
du Président de la Chambre des Représentants, Monsieur Herman De Croo. Depuis, quelques changements sont intervenus
dans la composition de la Commission, notamment suite à la démission de certains des membres initialement désignés.
3.1 Membres effectifs
M. Willem Debeuckelaere (N) Président
M. Stefan Verschuere (F) Vice-président
Mme Mireille Salmon (F) Conseillère à la Cour d’appel de Bruxelles
M. Serge Mertens de Wilmars (F) Enseignant
Mme Anne Vander Donckt (N) Notaire
M. Frank Robben (N) Administrateur général de la Banque-carrefour de la Sécurité sociale
(BCSS) et de la plate-forme eHealth
M. Peter Poma (N) Juge de paix - Canton de Brasschaat
Mme Anne Junion (F) Avocate
3.2 Membres suppléants
Mme Nicole Lepoivre (F) Présidente honoraire du tribunal du travail de Huy
Présidente suppléante
M. Bart De Schutter (N) Professeur ordinaire émérite à la Vrije Universiteit Brussel (VUB)
Vice-président suppléant
M. Jan Remans (N) Rhumatologue
M. Rudy Trogh (N) Chef du personnel de la Banque Nationale de Belgique (BNB)
M. Eric Gheur (F) Administrateur-gérant de la SPRL Galaxia I.S.E. et
consultant en sécurité de l'information
Mme Françoise D'Hautcourt (F) Directrice du Centre des Technologies pour l’Enseignement de l’ULB
M. Frank Schuermans (N) Avocat général près la Cour d'appel de Gand
M. Yves Roger (F) Président du Comité sectoriel de la Sécurité Sociale et de la Santé
Commission de la protection de la vie privée — rapport annuel 2011 15
4.1 Profil des membres
La Commission compte seize membres :
• un président ;
• un vice-président ;
• six membres effectifs ;
• huit membres suppléants.
Tous peuvent se prévaloir d’une expertise en matière de pro-
tection de la vie privée et de gestion des données à caractère
personnel.
La Commission doit impérativement compter parmi ses
membres : un juriste, un informaticien et deux personnes
pouvant justifier d’une expérience professionnelle dans le
domaine de la gestion des données à caractère personnel,
respectivement dans le secteur public et dans le secteur
privé.
Le mandat de président est réservé à un magistrat.
4.2 Mandats des membres
Les seize membres de la Commission sont tous désignés
pour un mandat de six ans renouvelable.
4.3 Fonctions des membres
Le président et le vice-président sont les seuls à exercer leur
fonction à temps plein ; les autres membres ne sont tenus
que de prendre part aux séances de la Commission qui ont
lieu, en principe, toutes les trois semaines. En 2011, la Com-
mission a tenu 16 séances plénières.
4.4 Rôle du président
Les principales fonctions du président sont :
• il assume la haute direction de la Commission ;
• il définit sa politique ;
• il représente la Commission à l’échelle nationale et
internationale* ;
• il assure sa gestion quotidienne ;
• il préside les réunions de la Commission ;
• il préside de droit les comités sectoriels ;
• il joue à tout le moins un rôle de coordinateur à l’égard
des présidents des différents comités sectoriels.
* Il est à noter que la représentation de la Commission au
sein de groupes de travail et d’organismes de contrôle inter-
nationaux peut également être confiée à d’autres membres.
4.5 Comités sectoriels
Plusieurs comités sectoriels en charge de secteurs spéci-
fiques fonctionnent au sein de la Commission. Ils sont gé-
néralement composés pour moitié de membres de la Com-
mission.
4 La structure de la Commission
La Commission est constituée de seize membres.
Leur mandat est fixé à six ans.
Le Président est un magistrat.
La haute direction s’occupe de la gestion quotidienne de la Commission et de sa représentativité.
La Commission comprend des comités sectoriels.
Elle bénéficie de l’aide d’un Secrétariat.
16
4.6 Secrétariat
Les tâches de la Commission, aussi nombreuses que variées,
requièrent une préparation minutieuse et un important tra-
vail d’analyse préalable. En raison de l’étendue et de la com-
plexité de leurs tâches, la Commission et les comités secto-
riels sont aidés par une administration, baptisée « Secréta-
riat » par la loi belge.
Commission de la protection de la vie privée — rapport annuel 2011 17
La haute direction de cette administration que représente le
Secrétariat est confiée par la loi au président de la Commis-
sion et sa direction générale est assurée par un administra-
teur. L’administration est divisée en trois sections, chacune
dirigée par un chef de section.
Organisation du Secrétariat
La mission de l’administration par rapport à la politique
générale de la Commission peut se résumer en trois mots :
préparation, soutien et exécution.
Le Secrétariat intervient ainsi dans l’élaboration des dos-
siers, et plus particulièrement dans ceux relatifs aux divers
projets d’avis, de recommandation ou d’autorisation. Ils
sont préparés par un agent, en étroite concertation avec le
commissaire rapporteur chargé de superviser la rédaction
du projet.
Dans un souci de gérer les dossiers individuels des citoyens
de la manière la plus efficace possible, l’administration
opère un tri entre les affaires courantes susceptibles d’être
réglées rapidement dans le cadre d’un traitement de pre-
mière ligne et celles qui nécessitent un examen plus appro-
fondi, donc souvent plus long.
5 La structure de l’administration
Elle prépare, soutient et exécute.
Elle élabore les dossiers.
18
prises (CS BCE) ;
• le Comité de surveillance sectoriel Phenix (CS Phenix) ;
• le Comité de surveillance statistique (CS STAT).
En ce qui concerne le Comité de surveillance statistique, les
candidatures ont été reçues, mais la procédure de désigna-
tion n’a pas abouti.
Pour chacun des comités sectoriels un tableau de bord pour
les réunions a été élaboré, les délibérations sont préparées
par une équipe de juristes experts en la matière et l’unifor-
mité/la consistance des projets de décision est assurée par
un secrétaire-juriste.
En ce qui concerne l’exercice pratique des compétences,
les activités du CS STAT sont assurées par la Commission
elle-même, et ce conformément à l’article 16 de l’arrêté royal
du 7 juin 2007, lequel prévoit que la Commission exerce les
compétences du Comité jusqu’à ce qu’il soit pourvu à sa
composition.
6.2 Contrôle de la vie privée - Évaluation
Ce qu’on appelle le contrôle de la vie privée constitue un élé-
ment important du Règlement d’ordre intérieur. Cela signi-
fie que lors du processus décisionnel et de l’examen du dos-
sier, une attention particulière est accordée au cadre maté-
riel et légal et surtout au contrôle des principes qui régissent
les traitements de données à caractère personnel et à leur
impact sur la vie privée des personnes concernées.
Il est en effet indispensable que la Commission et son admi-
nistration fonctionnent conformément à la vision dévelop-
pée dans le plan de gestion et exprimée dans les objectifs
qui stipulent expressément que la Commission souhaite
La mission de l’administration dans le contexte de la poli-
tique générale de la Commission se résume en trois mots :
préparation, assistance et exécution.
Le Secrétariat élabore les dossiers, plus particulièrement les
projets d’avis, de recommandations et d’autorisations. Ces
documents sont préparés par un fonctionnaire, en étroite
collaboration avec un commissaire-rapporteur chargé de
superviser la rédaction des projets.
Pour traiter les dossiers de citoyens individuels le plus effi-
cacement possible, l’administration répartit ces dossiers en
dossier de première et de deuxième ligne. Le traitement de
première ligne permet un suivi rapide de dossiers courants,
tandis que le traitement de deuxième ligne cible surtout les
dossiers plus complexes.
6.1 Intégration des comités sectoriels
En vertu de l’article 31bis de la Loi vie privée, les organes de
protection spécifiques déjà institués par la loi et les organes
de protection spécifiques que le législateur estime néces-
saires ou a l’intention de créer à l’avenir dans un certain
nombre de domaines, sont désormais intégrés dans la Com-
mission.
Il existe donc actuellement six comités sectoriels, dont un
doit encore être constitué :
• le Comité sectoriel de la Sécurité Sociale et de la Santé
(CS SS & S) ;
• le Comité sectoriel du Registre national (CS RN) ;
• le Comité sectoriel pour l’Autorité Fédérale (CS AF) ;
• le Comité sectoriel de la Banque-Carrefour des Entre-
6 Le plan de gestion de la Commission
Commission de la protection de la vie privée — rapport annuel 2011 19
En 2011, une attention particulière a en outre été consacrée à
la sensibilisation des jeunes.
À l’occasion de la Journée de la protection des données, le
site Internet http ://www.jedecide.be a été présenté en détail
aux deux ministres de l’Enseignement. Ce site Internet a
été créé afin de sensibiliser les jeunes et fournit des infor-
mations sur la protection des données en s’adressant aux
enfants (public cible 8-12 ans), aux adolescents (13-16 ans),
aux parents et au monde de l’enseignement.
6.4 Soutien de la Commission et des comités sectoriels
Le Secrétariat offre son soutien à la Commission et aux comi-
tés sectoriels sous la forme d’une préparation et d’analyses
préalables. Parmi les points forts de ce soutien, on note la
rapidité et le caractère complet de l’information envoyée aux
commissaires sur les travaux préparatoires. À cette fin, la
Commission utilise une application qui permet de mettre
les dossiers à la disposition de tous les commissaires et de
tous les collaborateurs du Secrétariat, et ce de la création du
dossier à l’envoi de l’avis définitif.
6.5 Coopération internationale
En 2011, la présidence et le secrétariat ont participé aux réu-
nions et aux divers groupes de travail internationaux opé-
rant sur un mode institutionnalisé, tout en se focalisant sur
la préparation de la nouvelle réglementation européenne
qui remplacerait la directive actuelle.
6.6 Politique de respect des dispositions légales
En ce qui concerne la politique de respect des dispositions
légales, les deux lignes d’action définies en 2009 ont été
poursuivies. Les contrôles légaux vis-à-vis du Centre d’in-
formation et d’avis sur les organisations sectaires et nui-
sibles et de la Fédération Européenne pour Enfants Disparus
et Sexuellement Exploités effectués en 2009 ont été clôturés
agir dans une optique sociale et veiller à la défense équitable
de la protection de la vie privée face aux ambitions légitimes
des autorités, des services et des entreprises fonctionnels et
bien organisés.
En 2011, douze initiatives réglementaires au sujet desquelles
la Commission a émis un avis ont fait l’objet d’une évalua-
tion.
Il est ressorti de l’analyse que le législateur a largement
tenu compte des remarques/suggestions de la Commission.
Les modifications apportées ont toutes eu un effet neutre ou
positif en termes d’impact sur la vie privée.
La Commission a aussi émis des recommandations d’ini-
tiative visant à encourager proactivement les modes de trai-
tement et les attitudes positives en termes de protection de
la vie privée (poursuite de l’accompagnement des différents
acteurs de la télébilletique dans les transports en commun,
smart grids et compteurs intelligents, caméras de surveil-
lance dans les lieux de détention, enregistrement des appels
téléphoniques depuis et vers les commissariats de police et
les hôpitaux, copie de la carte d’identité électronique, …).
6.3 Information au public
Un des buts stratégiques énoncés par la Commission dans
son plan de gestion est de contribuer à une meilleure infor-
mation du public (responsable du traitement et personne
concernée), d’une part en répondant aux demandes d’infor-
mations par le biais des services de la section Relations
Externes et, d’autre part, en mettant l’information à la dis-
position du public dans le cadre d’une stratégie de commu-
nication active.
Le site web http ://www.privacycommission.be est un des
canaux utilisés par la Commission pour réaliser cet objectif.
Les informations proposées sur ce site sont régulièrement
enrichies et actualisées.
Les traitements de données des organismes de sécurité so-
ciale ont été publiés dans le Registre public.
20
Grâce à une intervention des divers services de tarification,
les traitements de données effectués par les pharmaciens
ont été déclarés de manière centralisée. Les déclarations
de traitements de données effectués par les institutions de
sécurité sociale ont également été intégrées au site Internet
de la Commission.
6.8 Vie privée et recherche scientifique
En 2008, la Commission s’était penchée sur la protection des
données à caractère personnel dans le cadre de la recherche
scientifique, ce qui avait débouché à l’époque sur une jour-
née d’étude et sur la publication d’un vade-mecum pour le
chercheur. En tant que pays hôte du case handling workshop
(une réunion des représentant des secrétariats des Commis-
sions vie privée européennes) des 18 et 19 mars 2010, la Com-
mission a inscrit ce thème à l’ordre du jour du workshop et y
a fourni une contribution sur ce sujet.
La vie privée et la recherche scientifique ont bénéficié d’une
attention plus soutenue lors du congrès international orga-
nisé par la Commission en 2010 dans le cadre de la prési-
dence belge de l’UE, qui était exclusivement consacré à ce
thème. Le premier jour, les participants ont pu s’informer
en détail grâce aux tutoriels et lors des workshops orga-
nisés le deuxième jour, ils ont pu discuter avec des spé-
cialistes du domaine de la vie privée ainsi que de diverses
disciplines scientifiques. L’objectif principal du congrès
était en effet d’instaurer un dialogue entre les commissions
(européennes) de protection de la vie privée et les chercheurs
scientifiques et d’ainsi rapprocher ces deux mondes.
En 2011, à l’issue de ce congrès scientifique, la Commission
a élaboré deux brochures concernant la recherche scienti-
fique, destinées aux chercheurs. En outre, une collabora-
trice a contribué à la rédaction d’un chapitre spécifique rela-
tif au traitement des données à caractère personnel dans le
cadre de la recherche scientifique repris dans le projet de
règlement européen.
par la communication des conclusions aux responsables
concernés.
L’arrêté royal annoncé dans la Loi vie privée qui vise à éta-
blir les tâches du préposé à la protection des données et la
façon dont celui-ci devra s’acquitter de ses tâches, ainsi que
la manière dont le Centre devra informer la Commission,
n’a cependant toujours pas été adopté.
En 2011, le Secrétariat a pris deux initiatives afin d’améliorer
la qualité des réponses fournies dans la cadre de l’article 13
de la Loi vie privée (l’accès dit aux données traitées par les
services de police et de renseignements). Cette activité sera
décrite plus en détail dans la rubrique 7.5.1 ci-après. La
Commission a en outre protesté auprès du ministre com-
pétent contre la centralisation réduite de la gestion et des
demandes d’information au sein des services de police. Elle
craint que, à cause de l’élimination de cette centralisation,
les délais de traitement des demandes d’information au-
près des services de police décentralisés seront encore plus
longs.
Avec la nouvelle ministre, la Commission a entamé des dis-
cussions afin de convenir d’une procédure efficace pour la
personne concernée, oú les services de police assument plei-
nement leur rôle de fournisseur d’informations lors de trai-
tements de données et où la Commission peut s’acquitter de
sa tâche d’autorité de contrôle.
Étant donné que la Commission reçoit de plus en plus de
questions relatives aux données dans des articles de presse,
elle a convenu d’une procédure de consultation avec les
conseils de déontologie du journalisme, tant du côté fla-
mand que du côté wallon.
6.7 Déclarations et registre public
Les caméras ont toujours fait l’objet de nombreuses déclara-
tions en 2011, même si leur nombre était nettement inférieur
à celui de 2010.
Commission de la protection de la vie privée — rapport annuel 2011 21
7.1 E-government
7.1.1 Avis n° 18/2011 du 7 septembre 2011
• Institution d’un intégrateur de services flamand
• Nécessité d’un encadrement décrétal
• Conflits de compétences
Le 25 juillet 2011, l’avis de la Commission a été sollicité à
propos d’un avant-projet de décret relatif à l’institution et à
l’organisation d’un intégrateur de services flamand.
Depuis 2008 déjà, la Commission insiste sur la nécessité
d’un encadrement décrétal détaillé de l’intégrateur de ser-
vices flamand (voir son avis n° 01/2008). Le Comité sectoriel
pour l’Autorité Fédérale s’est rallié à cette position (voir le
point 13 de la délibération AF n° 15/2009), tout comme le
Comité sectoriel du Registre national (voir le point 44 de la
délibération RN n° 07/2011) et la Commission de contrôle
flamande (voir la délibération CCF n° 02/2010).
Plusieurs articles du projet s’inspiraient de dispositions de
l’avant-projet de loi relative à l’institution et à l’organisation
d’un Intégrateur de Services fédéral — qui date de 2008 et
qui, au grand étonnement de la Commission, n’a pas encore
été introduit au parlement fédéral — de sorte qu’un certain
nombre de remarques formulées à l’époque par la Commis-
sion ont été reprises dans cet avis.
L’avant-projet de décret comportait toutefois 2 points pro-
blématiques importants.
Premièrement, le texte passe sous silence la question de
savoir qui interviendra en tant qu’intégrateur de services
flamand : le SGS eIB, qui fait partie du département Affaires
administratives, ou CORVE qui, sur le plan organisationnel,
fait partie du SGS eIB ? En tenant compte du rôle (missions,
tâches, responsabilités, …) qu’un intégrateur de services
publics remplit, la Commission estime que l’intégrateur de
services flamand doit non seulement disposer d’un statut
juridique clair mais également de l’autonomie nécessaire
pour remplir cette tâche. Un SGS directement géré par le
ministre compétent ne constitue pas l’instrument approprié
à cet effet, alors que l’Autorité flamande dispose pourtant
de plusieurs instruments plus adéquats à cette fin comme
une agence autonomisée interne, une agence autonomisée
externe, …
Deuxièmement, la Commission a toujours plaidé en faveur
d’une délimitation claire du champ d’action d’un intégrateur
de services de sorte qu’un client, en l’occurrence un service
public, n’utilise en principe qu’un seul intégrateur de ser-
vices comme interlocuteur. De cette manière, le client n’est
confronté qu’à un seul système de gestion des utilisateurs
et des accès, un seul ensemble de spécifications techniques,
etc. La délimitation du champ d’action de l’intégrateur de
services flamand ne peut évidemment pas porter préjudice
à la répartition des compétences qui a été fixée dans la loi
spéciale de réformes institutionnelles du 8 août 1980. Vu ce
contexte juridique complexe, il est presque inévitable que
des domaines de compétence d’intégrateurs de services
dans le secteur public se rejoignent sur certains points ou
même se chevauchent. La Commission constate que le pro-
jet de texte ne comporte aucune disposition permettant de
clarifier/de résoudre des problèmes de répartition de com-
pétences entre l’intégrateur de services flamand et les autres
intégrateurs de services.
L’avis rendu par la Commission est dès lors défavorable.
7 Principales activités nationales de la Commission
22
voquer un intérêt se rapportant directement à la légis-
lation sociale ;
• l’extension visée du réseau contribuera à un flux de
données plus sûr entre la Banque-carrefour, les institu-
tions de sécurité sociale et les organismes de pension
et de solidarité, étant donné que de cette manière, de
nombreuses dispositions pénales et de protection des
données, issues de la loi BCSS, seront rendues appli-
cables à ces organismes ;
• les organismes qui, outre la gestion des réserves et des
engagements de pension, accomplissent également
d’autres tâches, doivent dans la pratique prendre des
mesures afin que le service concerné de l’organisme qui
est chargé d’exécuter les tâches visées soit suffisam-
ment indépendant du reste de l’organisation pour s’ac-
quitter en toute autonomie des droits et obligations que
lui confère l’extension du réseau de la sécurité sociale
et afin d’éviter tout conflit de compétences lors de l’exé-
cution de ces tâches. Les assureurs devront par consé-
quent prendre des mesures de sécurité techniques et
organisationnelles adéquates (conformément à l’ar-
ticle 16 de la LVP) afin par exemple de ne pouvoir traiter
le numéro de Registre national que pour l’application
de la réglementation dont il est question dans le projet
et non pour d’autres finalités non autorisées ;
• pour l’accomplissement de leurs tâches dans le cadre
de la réglementation dont il est question dans le pro-
jet, les organismes de pension et de solidarité ont déjà
accès au Registre national des personnes physiques et
peuvent utiliser le numéro d’identification de ce Re-
gistre sur la base de la délibération RN n° 49/2010 du
2 décembre 2010 du Comité sectoriel du Registre natio-
nal. Suite à l’extension, il n’est donc pas question d’uti-
lisation ou d’accès indirect à des données du Registre
national ;
• dans la même délibération, le Comité sectoriel du Re-
gistre national estime recommandé que, dans l’attente
de leur intégration effective dans le réseau de la sécurité
sociale, le Comité sectoriel de la Sécurité Sociale et de
7.2 Échange électronique de données administratives
7.2.1 Avis n° 03/2011 du 9 février 2011
• Extension du réseau de la sécurité sociale aux orga-
nismes de pension et de solidarité
• Fondement légal
• Possibilité pour les organismes de pension et de solida-
rité d’invoquer un intérêt se rapportant directement à la
législation sociale
Projet d’arrêté royal modifiant l’arrêté royal du 15 octobre 2004
relatif à l’extension du réseau de la sécurité sociale aux organismes
de pension et de solidarité chargés d’exécuter la loi du 28 avril 2003
relative aux pensions complémentaires et au régime fiscal de celles-
ci et de certains avantages complémentaires en matière de sécurité
sociale, en application de l’article 18 de la loi du 15 janvier 1990 rela-
tive à l’institution et à l’organisation d’une Banque-Carrefour de la
Sécurité sociale
Le 9 février 2011, la Commission a émis un avis à ce sujet à
la demande du ministre des Affaires sociales et de la Santé
publique.
Afin d’inclure dans le réseau de la sécurité sociale tous les
organismes de pension et de solidarité chargés d’organiser
les pensions complémentaires, y compris les éventuelles
prestations de solidarité, tant en faveur des travailleurs
salariés que des travailleurs indépendants et des agents
du secteur public, il est proposé de modifier l’arrêté royal
du 15 octobre 2004 pour y inscrire ces organismes et y in-
troduire une référence aux missions qu’ils accomplissent
en vertu du Titre XI, Chapitre VII de la loi-programme (I)
du 27 décembre 2006.
La Commission a formulé les remarques suivantes :
• l’extension envisagée dispose d’un fondement légal
(article 18 de la loi BCSS) ;
• les organismes de pension et de solidarité peuvent in-
Commission de la protection de la vie privée — rapport annuel 2011 23
Le 15 juin 2011, la Commission a émis une recommandation
à ce sujet à la demande de la Direction générale Statistique
et Information économique.
La Direction générale Statistique et Information écono-
mique doit donner exécution à la Generations and Gender Panel
Study suite au protocole d’accord entre l’autorité fédérale et
les autorités régionales flamandes et wallonnes. Le proto-
cole d’accord concerne notamment la diffusion des données
GGPS belges aux commanditaires précités de l’enquête, à la
« Population Activity Unit » de la Commission économique
pour l’Europe des Nations Unies et à des utilisateurs ex-
ternes pour d’autres analyses statistiques ou scientifiques.
La recommandation de la Commission concerne la collecte
des données par la DGSIE, la communication des données
aux commanditaires et à l’ONU, ainsi que la mise à disposi-
tion des données par l’ONU à des chercheurs externes.
En ce qui concerne la collecte de données GGPS de ré-
pondants belges par l’exécutant DGSIE, la Commission
confirme que la DGSIE est légalement compétente pour
effectuer de telles études statistiques pour le compte des
commanditaires précités, et ce sur la base de la loi du 4 juil-
let 1962 relative à la statistique publique.
La Commission part du principe que le fichier que la DGSIE
transmettra aux commanditaires et à l’ONU sur la base du
protocole ne contient pas de données anonymisées mais des
données à caractère personnel codées au sens de l’AR du
13 février 2011.
La Commission considère l’ONU et les commanditaires
comme des destinataires légitimes de la GGPS belge du
protocole d’accord.
La Commission accepte qu’au lieu de suivre la procédure
nationale devant le Comité de surveillance statistique, des
tiers qui souhaitent consulter des données GGPS belges des
fichiers ONU en vue d’autres analyses statistiques ou scien-
tifiques suivent la procédure d’accès internationale au ni-
la Santé se charge de contrôler, pour ces organismes,
l’adéquation de leur politique de sécurité ainsi que la
qualité de leur conseiller en sécurité ;
• l’intégration dans le réseau ne porte pas préjudice à
l’exigence de principe selon laquelle les organismes
de pension et de solidarité communiquent les données
sociales à caractère personnel au sein et en dehors du
réseau de la sécurité sociale uniquement si la section
« Sécurité sociale » du Comité sectoriel de la Sécurité
Sociale et de la Santé a accordé une autorisation, sauf
dans les cas prévus dans la loi BCSS ;
• enfin, le projet accorde de l’attention aux organismes de
pension et de solidarité de petite taille : si les données
des travailleurs peuvent être réclamées tout simple-
ment auprès de l’employeur ou être collectées directe-
ment auprès de l’indépendant concerné ou du chef d’en-
treprise indépendant, c’est possible sans intervention
du réseau en question. C’est également ce qui ressort
du Rapport au Roi qui souligne que le conseiller en sé-
curité peut être celui dont dispose déjà les organismes
de pension et de solidarité concernés dans le cadre des
assurances accidents du travail qu’ils gèrent éventuel-
lement. La Commission estime que c’est une bonne
chose pour les organismes de pension plus petits, non
seulement au niveau du coût, mais aussi au niveau de
l’uniformité en matière de sécurité de l’information.
En outre, la personne concernée aura, le cas échéant,
déjà été acceptée par le Comité sectoriel de la Sécurité
Sociale et de la Santé en tant que conseiller en sécurité.
7.2.2 Recommandation n° 05/2011 du
15 juin 2011
• Communication des données GGPS (Generations and
Gender Panel Study) à l’organisation internationale ONU
dans le cadre d’un protocole d’accord
• Accès contrôlé et organisé par phases aux données
GGPS
24
incluant un contrat fixant notamment la responsabilité du
premier à l’égard du second.
Le couplage précité serait réalisé via l’infrastructure de la
BCSS, sous le contrôle de la DGSIE, les données à caractère
personnel provenant de la DGSIE étant immédiatement dé-
truites après avoir été couplées et codées ou anonymisées.
Les collaborateurs concernés de la BCSS signeraient une
déclaration dans laquelle ils marquent explicitement leur
accord pour respecter le secret statistique.
Tout transfert de données à caractère personnel par la BCSS
dans le cadre de la recherche scientifique ou de l’appui stra-
tégique serait soumis à une autorisation préalable du Comi-
té sectoriel de la Sécurité Sociale et de la Santé, car la majo-
rité des données à caractère personnel en question provient
des institutions de sécurité sociale.
Selon la Commission, la méthode proposée est non seule-
ment recommandée du point de vue de l’optimalisation du
processus, mais aussi du point de vue de la protection des
données, notamment de l’article 4 de la LVP. La Commission
souligne en effet qu’il n’est pas recommandé que des don-
nées à caractère personnel issues de banques de données so-
ciales soient transférées en masse de la BCSS vers la DGSIE
pour y être couplées avec un nombre limité d’autres données
à caractère personnel provenant d’autres sources, alors que
ce flux de données peut tout à fait être évité en laissant la
BCSS réaliser elle-même ce couplage au moyen des variables
limitées fournies par la DGSIE.
La communication d’un nombre limité de données à carac-
tère personnel non codées de la DGSIE à la BCSS dans ce but
n’est d’ailleurs pas contraire à l’article 15 de la loi du 4 juil-
let 1962 relative à la statistique publique, d’autant plus si la BCSS
intervient en tant que sous-traitant de la DGSIE. Une solu-
tion similaire a déjà été recommandée par la Commission
(en lieu et place du Comité de surveillance statistique) dans
la recommandation STAT n° 01/2010 du 19 mai 2010.
veau de l’ONU, laquelle prévoit en effet un accès contrôlé et
organisé par phases aux données GGPS afin de minimaliser
le risque de réutilisation incompatible ou d’abus de données
publiées en ligne.
La Commission attire l’attention des tiers qui s’adressent
à la DGSIE pour obtenir des données GGPS belges en vue
d’autres analyses statistiques ou scientifiques sur la régle-
mentation légale nationale contenue dans les articles 15 et
15bis de la loi du 4 juillet 1962 relative à la statistique publique
(procédure d’autorisation auprès du Comité de surveillance
statistique).
7.2.3 Recommandation n° 01/2011 du
9 février 2011
• Couplage de données à caractère personnel provenant
de banques de données de la DGSIE et de la BCSS à des
fins de recherche scientifique
• Intervention de la BCSS en tant que sous-traitant
• Confirmation de la méthode de travail du Comité Sec-
toriel de la Sécurité sociale
Le 9 février 2011, la Commission a émis une recommanda-
tion à ce sujet à la demande du Comité sectoriel de la Sécu-
rité Sociale et de la Santé.
Dans cette recommandation, la Commission ratifie la mé-
thode adoptée par le Comité sectoriel de la Sécurité Sociale
et de la Santé lorsqu’un nombre limité de données à carac-
tère personnel provenant de la DGSIE doivent être couplées
à un nombre important de données à caractère personnel
provenant des institutions de sécurité sociale à des fins de
recherche scientifique ou d’appui stratégique.
Dans cette situation, la BCSS interviendrait en tant que
sous-traitant de la DGSIE pour le couplage des données à ca-
ractère personnel de la DGSIE avec les données à caractère
personnel provenant des institutions de sécurité sociale,
Commission de la protection de la vie privée — rapport annuel 2011 25
La Commission a émis un avis favorable à la condition que
les modalités d’exécution pertinentes soient soumises à
l’avis préalable de la Commission.
La Commission souhaitait ainsi obtenir, d’une part, que l’on
détermine de façon suffisamment claire quelles données
d’identification des ouvriers doivent être communiquées au
cocontractant par l’employeur avant le début des travaux.
En ce qui concerne le système électronique, elle souhaite
veiller, d’autre part, à ce que les modalités concrètes d’in-
troduction, de consultation, de communication, de conser-
vation, … de données à caractère personnel soient réglées
de manière suffisamment claire, ceci eu égard au caractère
sensible et crucial de chacun de ces traitements pour la pro-
tection de la vie privée.
7.3 Secteur financier
7.3.1 Avis n° 06/2011 du 9 février 2011
• Accès plus rapide pour la BNB aux informations de cré-
dit concernant les entreprises
• Pour une stabilité financière, la supervision bancaire et
la recherche scientifique
• Désignation d’un fonctionnaire préposé à la protection
des données
Depuis la loi du 22 mars 1993, la Banque Nationale de Bel-
gique est chargée de la gestion de la Centrale des Crédits
aux Entreprises. Tous les établissements de crédit établis
en Belgique et certaines entreprises d’assurances commu-
niquent des informations sur les entreprises et particuliers
qui ont obtenu, auprès du même établissement, des crédits
d’un montant minimum de 25 000 euros dans le cadre de
leur activité professionnelle. La crainte d’une pénurie de
crédit («credit crunch ») après la crise financière et écono-
mique de 2008 s’avère constituer l’impulsion de différentes
mesures destinées à prévenir ou réduire un resserrement de
crédit aux entreprises en Belgique, et à donner plus rapide-
ment accès aux informations de crédit concernant les entre-
La Commission marque également son accord sur le point
de vue suivant : étant donné que le Comité sectoriel de la
Sécurité Sociale et de la Santé est déjà compétent pour la
communication de la plupart des données à caractère per-
sonnel codées, il n’est pas recommandé que le Comité de
surveillance statistique, également institué au sein de la
Commission, doive aussi se prononcer sur la communica-
tion aux chercheurs du nombre limité de données à carac-
tère personnel codées provenant de la DGSIE.
La Commission souligne encore à cet égard que la princi-
pale garantie consiste finalement à ce que les données à
caractère personnel ne soient pas accessibles sans autorisa-
tion de principe d’un de ses comités (à savoir donc le Comité
sectoriel de la Sécurité Sociale et de la Santé) et à ce que l’uti-
lisateur autorisé ne puisse raisonnablement pas retrouver
les personnes concernées via les données obtenues.
7.2.4 Avis n° 33/2011 du 30 novembre 2011
• Enregistrement des personnes présentes sur des chan-
tiers temporaires ou mobiles et paiement du salaire
minimum
• Lutte contre la fraude sociale
Le 30 novembre 2011, la Commission a émis un avis favo-
rable sur les projets d’amendement au projet de loi portant
des dispositions fiscales et diverses, qui vise notamment à
modifier la loi du 4 août 1996 relative au bien-être des travailleurs
lors de l’exécution de leur travail.
Le premier amendement s’inscrivait dans le cadre de la lutte
contre la fraude sociale dans le secteur de la construction,
plus précisément en ce qui concerne le paiement des salaires
minimaux dans ce secteur. L’objectif du deuxième amende-
ment était d’introduire un système électronique pour l’enre-
gistrement des personnes présentes sur des chantiers tem-
poraires ou mobiles.
26
principes exposés au Chapitre II de l’arrêté royal du
13 février 2001 portant exécution de la Loi vie privée. Plus
particulièrement, en ce qui regarde les traitements
portant sur les données relatives au risque de défail-
lance visant à permettre de mesurer et de contrôler le
risque globalement supporté par chaque établissement
financier, la Commission a suggéré de rendre les don-
nées à caractère personnel non identifiables en utili-
sant, si nécessaire, des codes ;
• la nécessité de la suppression du seuil existant de com-
munication de 25 000 euros (volet positif ) n’est pas
motivée dans l’Exposé des motifs de l’avant-projet.
Le fait de pouvoir disposer de plus de données per-
mettra peut-être à la BNB et aux participants de mieux
réaliser les objectifs précités via une analyse de risques
plus précise. Il serait souhaitable néanmoins qu’une
justification figure à tout le moins dans l’Exposé des
motifs. La Commission s’est demandée en outre si une
réduction drastique en lieu et place d’une suppression
pure et simple du seuil de communication ne pourrait
pas suffire ;
• l’introduction de l’obligation de faire enregistrer le
risque de défaut de paiement a priori par les institu-
tions déclarantes est une innovation. Il s’avère toute-
fois que chaque institution gère déjà des informations
de ce type, nécessaires à une bonne évaluation des
risques encourus dans leur activité d’octroi de crédit.
Il ressort de l’Exposé des motifs du projet et des expli-
cations fournies par la Banque nationale que la base
de données (CCE) liée à ce risque vise également à per-
mettre, globalement au niveau de chaque banque, une
supervision des risques supportés (CBFA/BNB). Dans
le cadre de cette dernière finalité, il ressort du projet
d’arrêté royal relatif à la CCE également soumis à l’avis
de la Commission que les données traitées à cette fin
ne sont accessibles ni aux institutions déclarantes
(confidentialité des données et impact négatif pour les
débiteurs), ni aux personnes concernées (confidentia-
lité du savoir-faire). Ce principe de non communication
de telles données existe dans des centrales étrangères
prises. L’avant-projet s’inscrit dans ce cadre et répond à un
double objectif lié : l’ensemble des données collectées (don-
nées périodiques sur les crédits et sur les risques) sert à la
Banque nationale dans le cadre de ses missions relatives à la
stabilité financière, à la supervision bancaire (missions hé-
ritées de la CBFA) et dans le cadre d’études et de recherches
scientifiques et permet aux participants d’affiner la gestion
de leurs propres risques.
L’avant-projet prévoit les nouvelles mesures suivantes :
• selon l’Exposé des motifs (Développements) : l’enregis-
trement de la communication mensuelle à la CCE des
défauts de paiement, des montants des garanties et de
la probabilité de défaut de paiement dans l’année qui
suit ;
• l’extension de la liste des entreprises tenues à déclara-
tion ;
• la suppression du seuil de communication de
25 000 euros ;
• l’habilitation pour la Banque et les déclarants à enre-
gistrer le numéro d’identification du Registre national
des personnes physiques et à l’utiliser dans leurs rela-
tions dans le cadre de la présente loi.
Suite à son analyse, la Commission a notamment estimé
que :
• la BNB est responsable du traitement CCE, à l’exception
des propres responsabilités qui reposent sur les insti-
tutions qui effectuent une déclaration ;
• le législateur doit fixer les éléments essentiels afin d’of-
frir à la personne concernée des garanties très claires
et suffisantes d’un traitement qualitatif et transparent
de ses données, en appliquant également les droits des
personnes morales concernées ;
• le traitement ultérieur des données de la CCE qui serait
exécuté par la Centrale en vue des finalités détermi-
nées ou déterminables est compatible avec le traite-
ment initial. À cet égard, la Commission recommande,
en cas de traitement ultérieur, de tenir compte des
Commission de la protection de la vie privée — rapport annuel 2011 27
La Commission a estimé que :
• concernant les données des personnes physiques béné-
ficiaires qui sont enregistrées dans la CCE, seules les
données essentielles (nom, prénom, date de naissance)
peuvent être enregistrées, sous peine de redondances.
En cas de nécessité, les données volatiles doivent être
recherchées auprès de la source authentique en la ma-
tière via l’usage d’un «webservice ». Pour ces mêmes
personnes, la Commission recommande qu’il soit fait
référence à l’adresse du siège de l’entreprise par préfé-
rence à celle du domicile ou de la résidence de la per-
sonne physique, sauf en cas d’absolue nécessité ;
• les plus expresses réserves doivent être émises quant
au fait que les données relatives à la probabilité de la
survenance d’un défaut de paiement dans un délai de
1 an ainsi qu’au montant total que l’institution estime
pouvoir récupérer en recourant à toutes les garanties
fournies ne sont pas communiquées dans la réponse
de la Centrale à l’exercice du droit d’accès. En effet, un
arrêté royal ne peut déroger à la loi, en l’occurrence
l’article 10 de la Loi vie privée qui prévoit la commu-
nication, sous une forme intelligible, à la personne
concernée de ses données faisant l’objet d’un traite-
ment. Certes, l’article 3, § 5 de la Loi vie privée énu-
mère limitativement les hypothèses dans lesquelles
les articles 9, 10 § 1er et 12 de la loi ne s’appliquent pas.
On ne se trouve dans aucune de ces hypothèses. Une
dérogation éventuelle devrait être prévue par une loi.
En outre, la Commission a estimé qu’une telle déroga-
tion ne serait admissible que si les données liées à un
risque de défaut de paiement étaient bien enregistrées
de manière codée ainsi que recommandé dans son avis
sur le projet de loi.
La Commission a également recommandé de prévoir une
journalisation (logging) en vue du traçage des accès aux
données permettant, à l’instar de ce qui se fait au Registre
national, à la personne concernée de prendre connaissance
des entités qui, aux cours des 6 mois écoulés, ont consulté
semblables à la CCE. Dans la mesure où ces données ne
sont pas destinées à être communiquées, ni être exploi-
tées par la BNB ou la CBFA de manière à produire un
effet quelconque sur la personne concernée, la Com-
mission a recommandé expressément que les données
d’identification liées au risque de défaut de paiement a
priori soient enregistrées de manière codée. Dans cette
optique et pour cette finalité, le projet de loi doit alors
prévoir une dérogation à l’article 9 de la Loi vie privée ;
• au niveau de la BNB, un fonctionnaire préposé à la pro-
tection des données doit être désigné, dont l’objectif est
de veiller au respect des principes de la Loi vie privée
dans les traitements de la CCE ;
• les arrêtés prévus par l’avant-projet ne soient pas pris
uniquement après avis de la BNB et des institutions te-
nues à déclaration (comme le mentionne l’article 18 de
l’avant-projet), mais aussi après avis de la Commission.
La Commission a émis un avis positif sur cet avant-projet de
loi à condition que ses remarques/recommandations soient
prises en compte.
7.3.2 Avis n° 07/2011 du 9 février 2011
• Exécution de la loi relative à la Centrale des Crédits aux
Entreprises
• Recherche des données volatiles auprès de la source
authentique via un «webservice »
• Réserve en ce qui concerne la probabilité de la surve-
nance d’un défaut de paiement
• Introduction d’un système de journalisation
Ce projet vise à exécuter la loi relative à la CCE (LCCE) dont
le projet a fait l’objet de l’avis n° 06/2011 du 9 février 2011.
La Commission a émis le constat que le projet de texte de
l’arrêté royal n’était pas accompagné d’un rapport au Roi, ce
qui n’en a pas facilité la compréhension, ni l’analyse de la
pertinence du traitement de certaines données.
28
Dans son avis n°36/2011, la Commission a rappelé que seule
la loi pouvait fixer les éléments essentiels du traitement en-
visagé, conformément à l’article 22 de la Constitution et à
l’article 8 de la C.E.D.H. En outre, la Commission a constaté
que l’article 322 du CIR ne déléguait au Roi que le pouvoir
d’organiser le mode de fonctionnement du PCC et qu’aucune
habilitation ne Lui avait été donnée pour définir le type de
données concernées, leur délai de conservation, leurs mo-
dalités de consultation ou encore la récurrence de l’obliga-
tion de notification.
En outre, la Commission a rappelé que l’accès au registre na-
tional devait être autorisé par le Comité sectoriel ad hoc, dès
lors l’autorisation d’utiliser le numéro d’identification du
Registre national n’implique pas automatiquement l’accès
aux données du Registre national, comme le sous-entendait
le projet d’arrêté royal.
En conclusion, la Commission émis un avis positif sous
réserve de modifier l’habilitation au Roi mentionnée dans
l’article 322 du CIR, de régler les éléments essentiels du
traitement dans la loi, et de déterminer l’application de la
loi dans le temps dans une loi et non pas par arrêté royal.
La Commission a également demandé que le chapitre de
l’avant-projet d’arrêté royal relatif à la protection des don-
nées à caractère personnel soit adapté pour être conforme
aux principes de la LVP.
7.4 Technologie de l’information et de la communication
7.4.1 Recommandation n° 07/2011
du 21 décembre 2011
• Enregistrement des appels entrant et sortant du numé-
ro central
• Obligation d’information à la personne qui appelle
• Délai de conservation uniforme de 1 mois
La recommandation vise à déterminer si les commissariats
de police et les hôpitaux peuvent, en tant qu’institution
ou mis à jour ses données. Enfin, la Commission a émis une
remarque à propos de la durée de conservation de maximum
1 an des données enregistrées dans la Centrale après leur
date de référence en vue de leur consultation par les institu-
tions même si ce crédit n’a pas été défaillant.
La Commission a émis un avis favorable sur le projet d’ar-
rêté royal pour autant que celui-ci soit davantage explicite
(à défaut, dans un rapport au Roi) et tienne compte des re-
marques émises.
7.3.3 Avis n° 36/2011 du 21 décembre 2011
• Fonctionnement du point de contact central
• Lutte contre la fraude fiscale
• Obligation de notification des établissements ban-
caires concernant les comptes ouverts en leur sein
Dans le cadre de la problématique de la levée du secret ban-
caire fiscal, la Commission a été saisie d’une demande d’avis
sur un avant-projet de loi complétant l’article 322 du CIR et
un avant-projet d’arrêté royal relatif au fonctionnement du
point de contrôle central (PCC) au sein de la Banque Natio-
nale de Belgique (BNB).
L’avant-projet de loi prévoit d’octroyer aux établissements
bancaires et à la BNB l’autorisation d’utiliser le numéro de
Registre national pour identifier les titulaires de comptes.
La Commission a rappelé ses deux précédents avis n°12/2010
et n°13/2010 du 31 mars 2010 où elle s’était prononcée sur
deux propositions de loi visant à lever le secret bancaire.
En particulier, la Commission avait déjà émis un avis négatif
sur la proposition de loi Gilkinet-Van Hecke, en remettant
en question la clarté de la base légale de cette obligation
ainsi que la proportionnalité et l’efficacité de l’obligation
de notification annuelle. Malgré ces réserves exprimées par
la Commission, l’avant-projet de loi examiné a néanmoins
confirmé une telle obligation de notification et a confié au
Roi le pouvoir d’organiser le fonctionnement du PCC auprès
de la BNB.
Commission de la protection de la vie privée — rapport annuel 2011 29
dique, le commissariat ou l’hôpital, prend bien part à la
communication puisqu’elle est représentée par le corres-
pondant durant cet appel qui lui est spécialement destiné,
eu égard à ses missions spécifiques d’aide au public.
Dans le cas d’espèce, la Commission a décidé que le traite-
ment de données à caractère personnel (enregistrement de
l’appel) est conforme à la Loi vie privée moyennant le res-
pect de certaines conditions (licéité/proportionnalité/infor-
mation/conservation) (voir la recommandation pour plus de
précision concernant les conditions de licéité et de propor-
tionnalité).
Concernant l’obligation d’information, la Commission rap-
pelle l’obligation, à charge du responsable du traitement,
d’informer préalablement à l’enregistrement la personne
qui appelle le commissariat ou l’hôpital. À cet égard et vu les
circonstances particulières (intervention en urgence), elle
permet au responsable du traitement, dans ce cas particu-
lier, de procéder à cette information préalable par un autre
moyen que la communication utilisée (c’est-à-dire par un
autre moyen que le téléphone), comme par exemple la publi-
cation de manière claire et précise des informations liées à
cet enregistrement via son site Internet ou tout autre sup-
port dont le citoyen peut facilement prendre connaissance.
La Commission attire également l’attention sur le fait que
les agents et les employés des commissariats de police et des
hôpitaux qui répondent aux appels doivent également être
informés du fait que leurs communications pourront être
enregistrées.
Concernant le délai de conservation, la Commission recom-
mande un délai de conservation uniforme de 1 mois eu
égard à la nature spécifique de ces enregistrements, de leurs
finalités mais également des nécessités de traitement qui
peuvent survenir suite à la réception de ces appels.
Toutefois, la Commission recommande la mise en place de
lignes téléphoniques qui ne peuvent pas faire l’objet d’un
fournissant un service d’aide au public — dans le cadre de
leurs missions générales d’assistance et de secours au ci-
toyen — enregistrer les appels téléphoniques tant entrants
que sortants à partir du numéro public de l’institution. Les
numéros d’appels concernés par cette recommandation
sont ceux autres que les numéros d’urgence (100, 101, 112,
etc) pour lesquels l’enregistrement (traitement de données
à caractère personnel) est réglementé par la loi sur les com-
munications électroniques.
Les appels téléphoniques dirigés vers la centrale d’appels d’un
commissariat de police ou d’un hôpital, et qui ne sont pas ef-
fectués via un numéro d’urgence (100, 101, 112, …), n’entrent
en effet pas dans les cas expressément autorisés par la LCE.
Cela ne signifie toutefois pas que leur enregistrement soit par
définition interdit.
L’article 125, § 1, 3° de la loi du 13 juin 2005 relative aux com-
munications électroniques (ci-après LCE) permet expressément
d’enregistrer les appels téléphoniques vers les services de se-
cours et d’urgence (numéros d’urgence) en vue de permettre
l’intervention de ceux-ci en réponse aux demandes d’aide qui
leur sont adressées.
L’article 124 1° et 4° de la LCE interdit à un tiers, c’est-à-dire
celui à qui la communication n’est pas personnellement des-
tinée, de prendre connaissance de l’existence d’une informa-
tion transmise par voie de communication électronique (…)
et même de faire un usage quelconque de ces informations
obtenues de manière intentionnelle ou non. Cet article per-
met donc, à contrario, pour les destinataires du message de
faire un usage légitime de l’information de la communication
qui leur est personnellement destinée.
La Commission estime que lorsqu’une personne appelle un
commissariat de police ou un hôpital, elle destine et dirige
directement son appel à ces derniers. La personne physique,
qui répond à l’appel téléphonique, le fait au nom et pour le
compte de l’institution pour laquelle elle agit. L’entité juri-
30
En ce qui concerne l’usage du GSM, la Commission a dès
lors recommandé à l’employeur de désormais prévoir deux
options pour les travailleurs, à savoir un système de factu-
ration scindée ou un système de déclaration sur l’honneur
dans laquelle le travailleur s’engage à ne pas utiliser le GSM
professionnel à des fins privées. L’adresse privée du tra-
vailleur sera uniquement communiquée à l’opérateur dans
le cas où le travailleur choisit la première option. Dans le
deuxième cas, l’adresse privée ne sera pas transmise mais
l’opérateur pourra transmettre régulièrement à l’employeur
(dans le cadre de la facturation) un relevé de l’ensemble des
communications effectuées par le travailleur.
7.4.3 Travaux de normalisation
Comme chaque année, le Secrétariat de la Commission s’est
impliqué dans les travaux de normalisation en cours au
sein du Bureau de Normalisation belge (NBN) et a participé
aux travaux des Working Groups 1, 3 et 5 du SC27 du JTC 1
(Information Technogy/Security Techniques) concernant la révi-
sion des normes ISO pouvant influer sur le respect de la vie
privée, en veillant notamment à la cohérence de ces normes
avec la loi relative à la protection de la vie privée.
Cette année, ces travaux ont porté notamment sur les pro-
jets suivants :
• ISO 24760 « A framework for identity management ” ;
• ISO 29101 « A privacy reference architecture ” ;
et particulièrement sur le projet :
• ISO 29100 « A privacy framework ” ;
pour lequel des commentaires établis en commun avec les
autres ‘commissions vie privée’ européennes ont été intro-
duits par le Secrétariat de la Commission auprès de l’opéra-
teur sectoriel belge de normalisation.
7.4.4 Plate-forme concertation sur la sécurité
des informations
La Commission, représentée par un commissaire et des
membres de son Secrétariat, a participé aux travaux de la
enregistrement et sur lesquelles les agents de ces entités
peuvent recevoir ou former des appels téléphoniques à des
fins privées, ou même dans un contexte professionnel où
une certaine confidentialité doit être préservée.
7.4.2 Avis n° 32/2011 du 30 novembre 2011
• Transmission de données à caractère personnel par
l’employeur à un opérateur de téléphonie mobile dans
le cadre d’un système de facturation scindée
• Déclaration contractuelle obligatoire pour la transmis-
sion de données
• Mise en place de deux systèmes : facturation scindée ou
déclaration sur l’honneur
Un travailleur avait reçu de son employeur un GSM qu’il
pouvait utiliser à des fins professionnelles et privées. Pour
des communications privées, il devait systématiquement
introduire au préalable un code spécifique de manière à ce
que celles-ci puissent lui être facturées directement. Les
conversations professionnelles étaient évidemment factu-
rées à l’employeur. Cette méthode est appelée le «split bil-
ling » (facturation scindée).
Le plaignant avait déclaré avoir été invité par son employeur
d’une part à signer un contrat relatif à l’usage privé de la télé-
phonie mobile, contrat aux termes duquel «l’utilisateur accepte
de transmettre son adresse à l’opérateur » [Traduction libre effec-
tuée par le Secrétariat de la Commission en l’absence de tra-
duction officielle], et d’autre part à souscrire un contrat avec
l’opérateur. Le travailleur a refusé de signer ces contrats en
affirmant qu’il n’utiliserait jamais le GSM à des fins privées.
Bien que la Commission ait estimé que le système de la fac-
turation scindée présente un important avantage sur le plan
de la protection de la vie privée — puisque de cette façon, la
facture pour l’usage privé du GSM (ainsi que les données de
toutes les communications privées effectuées) ne se retrouve
pas sous les yeux de l’employeur -, elle a jugé que le travail-
leur devait pouvoir décider en totale liberté s’il souhaitait ou
non faire usage d’un GSM professionnel à des fins privées.
Commission de la protection de la vie privée — rapport annuel 2011 31
Ainsi, s’agissant notamment des mesures à prendre dans
le cadre de contrôles d’identité dans la banque de données
nationale générale (BNG-contrôle), la Commission com-
munique à la personne concernée les informations figurant
dans la base de données, dont la communication n’est pas
en mesure de nuire à l’exécution de la mesure prescrite par
l’autorité compétente (une mesure dite «de surveillance dis-
crète » n’est, par exemple, pas communiquée), après avoir
sollicité l’avis du service de police qui a procédé à l’enregis-
trement de cette mesure. Si la personne n’est pas ou plus en-
registrée au niveau de la BNG-contrôle, elle en est informée.
Concernant la BNG-consultation, la Commission confirme
uniquement à la personne concernée que les vérifications
nécessaires ont été effectuées, que la personne figure, ne
figure pas ou plus dans cette base de données policière.
En tout état de cause, la Commission vérifie la légalité, la
régularité et l’adéquate motivation des inscriptions dans les
banques de données policières, et demande la modification
des données qui seraient illégales, irrégulières, excessives,
inadéquates ou dépourvues de pertinence, que l’informa-
tion soit ou non communiquée à la personne concernée.
Procédure d’accès indirect et règles de conservation :
un arrêté royal fait toujours défaut
Dans la gestion des demandes d’accès indirect, la Commis-
sion se heurte à deux principaux problèmes. Le premier est
l’absence d’un interlocuteur officiel désigné au sein de la
police intégrée ayant les ressources suffisantes pour remplir
cette tâche et en mesure de faire valoir sa position à l’égard
de tous les acteurs concernés. Le second est lié à l’absence
d’implémentation dans un arrêté royal des modalités de
traitement des informations et données figurant dans la
BNG en exécution de l’article 44/4 de la loi du 5 août 1992
sur la fonction de police. Seule la directive commune MFO-3
du 14 juin 2002 des Ministres de la Justice et de l’Intérieur
relative à la gestion de l’information de police judiciaire et de police
administrative (M.B., 18 juin 2002) détaille notamment les
conditions d’enregistrement des personnes dans la BNG.
plate-forme de concertation sur la sécurité des informa-
tions.
Cette plate-forme a été instituée par le Conseil des ministres
fin 2005 afin d’aborder les problématiques communes aux
différents organismes qui la composent en matière de sécu-
rité des informations.
Les organismes participant à cette plate-forme sont :
• le Service général de la sécurité et du renseignement
(SGSR) du Ministère de la Défense ;
• l’Institut Belge des Postes et des Télécommunications
(IBPT) ;
• la Commission de la protection de la vie privée ;
• le Centre de crise du SPF Intérieur ;
• la Federal Computer Crime Unit ;
• la Direction Générale de Contrôle et de Médiation du
SPF Économie ;
• le SPF Fedict ;
• la Banque-carrefour de la Sécurité sociale ;
• l’Autorité Nationale de Sécurité (ANS) — les Affaires
étrangères ;
• la Sûreté de l’Etat.
7.5 Justice et sécurité
7.5.1 Renforcement de l’information aux per-
sonnes concernées
La Commission a renforcé, dans les limites légales, l’infor-
mation communiquée aux personnes ayant demandé l’accès
aux données les concernant dans les banques de données
policières. Outre la confirmation que les vérifications né-
cessaires ont été effectuées, la Commission communique
davantage au citoyen concernant les traitements gérés par
des services de police en vue de contrôles d’identité et ce,
conformément à l’article 13, alinéa 4 de la Loi vie privée et à
l’article 46 de l’arrêté royal du 13 février 2001 portant exécu-
tion de la Loi vie privée.
32
contraignantes a été approuvé en séance du 6 juillet 2011. Ce
protocole d’accord définit les éléments à prendre en compte
afin de pouvoir considérer que les règles d’entreprise
contraignantes (Binding corporate rules ou « BCR») offrent
des garanties suffisantes au sens de l’article 22, § 1, 2e ali-
néa de la Loi vie privée pour permettre l’envoi de données à
caractère personnel vers un pays tiers à l’Union européenne
qui n’offre pas de niveau adéquat de protection des données
à caractère personnel. Pour en juger, le protocole reprend les
différents critères élaborés par le Groupe Article 29 sur la
protection des données à caractère personnel, plus particu-
lièrement dans ses documents de travail WP 153, WP 154 et
WP 155.
Par ailleurs, le protocole fixe la procédure de collaboration
entre la Commission et le SPF Justice pour l’exécution de
l’article 22, § 1, 2e alinéa de la Loi vie privée. La Commission
est chargée d’apprécier les garanties offertes par les règles
d’entreprise contraignantes d’une entreprise. Lorsque la
Commission de la protection de la vie privée considère que
les règles d’entreprise contraignantes proposées offrent suf-
fisamment de garanties, elle émet un avis favorable qu’elle
transmet au SPF Justice, avec une copie des règles d’entre-
prise en question, son analyse et un avant-projet d’arrêté
royal, rédigé conformément au modèle annexé au protocole.
Le protocole a été mis en pratique dès la séance du 28 sep-
tembre 2011. Plus précisément, un avis positif a été émis
concernant les règles d’entreprise contraignantes de l’entre-
prise JP Morgan Chase Bank. Plusieurs dossiers similaires
sont en cours.
7.5.3 Recommandation n° 6/2011 du
6 juillet 2011
• Installation et utilisation de caméras de surveillance
dans les lieux de détention et dans d’autres lieux du
commissariat
• Préservation
Rien n’est prévu quant aux délais de conservation et de sup-
pression des données relatives à une personne enregistrée
dans la BNG.
La Direction de l’information policière opérationnelle —
Gestion de l’information opérationnelle (CGO) — assume
jusqu’à présent un rôle centralisateur qui permet à la
Commission de gérer efficacement les demandes d’accès
indirect des personnes concernées. CGO a en effet dans
ses attributions l’appui juridique en matière de gestion de
l’information opérationnelle. Celui-ci consiste à conseiller
les services de police dans le domaine de l’information opé-
rationnelle mais aussi à développer la réglementation en la
matière et à contrôler le respect de la législation relative à la
protection des données. Sa mission s’apparente à cet égard à
celle d’un préposé à la protection des données.
Cette direction ne pourra plus assurer cette fonction d’inter-
médiaire sur le long terme pour différentes raisons organi-
sationnelles.
Le Secrétariat de la Commission a entrepris des contacts
avec la Commission permanente de la police locale et l’Or-
gane de Contrôle de la gestion de l’information policière,
afin de trouver des solutions intermédiaires et complémen-
taires.
La Commission a également pris l’initiative de saisir les Mi-
nistres de la Justice et de l’Intérieur afin qu’un interlocuteur
officiel lui soit désigné au sein de la police intégrée et en vue
d’adopter un arrêté royal ou une circulaire commune pour
encadrer la procédure en matière d’accès indirect aux bases
de données policières (désignation d’un interlocuteur, créa-
tion de règles de procédure, délais de conservation).
7.5.2 Protocole d’accord du 13 juillet 2011 entre
le SPF Justice et la Commission
Au terme d’une période de concertation intense et construc-
tive entre les services du SPF Justice et le Secrétariat de la
Commission, le Protocole relatif aux règles d’entreprise
Commission de la protection de la vie privée — rapport annuel 2011 33
techniques et organisationnelles nécessaires afin de sécuri-
ser la conservation et l’accès interne aux images.
Ainsi, la Commission recommande, entre autres, que :
• le commissariat soit pourvu d’une signalisation
claire afin d’informer explicitement la personne
retenue dans une de ses cellules de la présence
d’une caméra ;
• l’enregistrement des images de la détention reste
complet (aucun effacement partiel) et soit conservé
durant un délai raisonnable ;
• l’intimité de la personne concernée soit respectée :
la caméra doit être positionnée de sorte que les
personnes mises en cellule bénéficient d’un mini-
mum d’intimité lors de l’utilisation des toilettes ;
• si aucun incident ne s’est produit durant la déten-
tion, les enregistrements vidéo soient conservés
durant un délai de trois mois maximum. Passé ce
délai, les enregistrements doivent être détruits ;
• si un incident s’est produit durant la détention, la
durée de conservation des images soit suffisante
pour permettre à la victime de réagir.
7.5.4 Avis n° 31/2011 du 30 novembre 2011
• Réduction de la charge de travail et amélioration de
l’informatisation au sein de la justice
• Flux d’informations électroniques à destination des
banques de données existantes ou à créer
• Création d’une banque de données centrale
Cette proposition de loi vise à instaurer une série de mesures
en vue de réduire la charge de travail au sein du SPF Justice
et d’en améliorer l’informatisation. Les méthodes de travail
obsolètes doivent être supprimées, modernisées ou trans-
formées en des flux d’informations électroniques à destina-
tion des banques de données existantes ou à créer.
Depuis quelques temps, la police fédérale ainsi que diffé-
rentes Zones de Police locales interrogent la Commission
sur l’installation de systèmes de vidéosurveillance dans les
cellules des commissariats, mais également dans d’autres
endroits de ces commissariats (lieux de fouille, lieux d’audi-
tion,…). Les questions concernent tant la légalité d’une telle
installation que les mesures respectueuses de la vie privée à
adopter en pareil cas.
Afin de répondre de la manière la plus exhaustive possible,
la Commission a adressé le 6 juillet 2011 une recommanda-
tion destinée aux services de police.
La Commission reconnait l’intérêt d’une vidéosurveillance
dans différents endroits du commissariat (cellules, lieux de
fouille, lieux d’audition,…). En effet, cette vidéosurveillance
contribue à garantir la protection et à assurer le bien-être
des personnes privées de liberté, tout en améliorant le res-
pect des droits de la défense visés à l’article 6 CEDH.
Toutefois, cette vidéosurveillance ne peut se concevoir que
comme un élément venant s’ajouter à un ensemble de me-
sures, telles qu’un contrôle physique régulier des personnes
détenues, une politique de prévention du suicide, un sys-
tème de déposition efficace pour les victimes d’actes illicites
dans les cellules, la séparation, l’isolement, l’application de
sanctions disciplinaires ou encore la présence d’un avocat
lors de l’audition policière.
Dans son analyse, la Commission distingue :
• la vidéosurveillance dans les cellules de détention
des services de police ;
• la vidéosurveillance lors de fouilles ;
• la vidéosurveillance dans les autres locaux du com-
missariat.
Dans ces trois catégories de vidéosurveillance, la Com-
mission apporte des recommandations claires et précises
concernant le respect des principes de finalité et de propor-
tionnalité. Elle préconise également l’adoption des mesures
34
« Normes minimales de sécurité » d’application à
partir du 1er janvier 2011.
À propos de la création d’un registre central des successions
ouvertes tenu par la Fédération Royale du Notariat belge, la
réflexion suivante a été émise :
L’article 22 de notre Constitution stipule : « Chacun a droit au
respect de sa vie privée et familiale, sauf dans les cas et conditions
fixés par la loi ». La Commission a déjà rappelé dans son avis
« Phénix » (…) que : « On sait que le Conseil d’Etat s’est déjà opposé
à la création de traitements par simple arrêté royal et exige que les
éléments essentiels des traitements du secteur public ( finalité-type
de données traitées) soient fixés par la loi elle-même. De même, la
jurisprudence constante de la Cour d’arbitrage dispose-t-elle, s’agis-
sant de la portée des matières réservées par la Constitution à la loi
comme tel est le cas de l’article 22 que, «bien que l’article 182 de la
Constitution réserve la compétence normative au législateur fédéral,
il n’exclut cependant pas que le législateur attribue un pouvoir limité
d’exécution au Roi. Une délégation conférée au Roi n’est pas contraire
au principe de légalité pour autant que l’habilitation soit définie de
manière suffisamment précise et porte sur l’exécution de mesures dont
les éléments essentiels sont fixés préalablement par le législateur
(C.A. n° 135/2004)».».
La Commission a donc suggéré de préciser davantage dans
la proposition, outre la finalité de ce registre, son contenu et
ses principales modalités de fonctionnement. La Fédération
Royale du Notariat belge doit, en outre, être désignée expli-
citement comme étant le responsable du traitement, selon
l’article 1er, § 4, alinéa 2 de la LVP.
Concernant la banque de données électronique des juge-
ments par défaut, la Commission a mis en garde contre la
multiplication des bases de données (une base de données
tenue par le greffe communiquant le jugement, la base de
données électronique tenue par le Service de gestion et une
base de données tenue par le greffe recevant l’information)
et les risques qui en découlent. La Commission préfère ainsi
qu’une base de données centrale soit créée avec un accès à
réserver aux greffes concernés.
Les lignes de force de la proposition sont les suivantes :
• réduire de la charge de travail relative aux avis
transmis à la Banque-Carrefour des Entreprises ;
• compléter le registre central des contrats de ma-
riage ;
• réduire la charge de travail de l’état civil et procéder
à son informatisation ;
• informatiser les renonciations aux successions ;
• rendre facultative la présence du juge de paix lors
de la séance d’adjudication en matière de vente ;
• réorganiser les greffes des tribunaux de com-
merce ;
• créer un Service de gestion des Informations.
La Commission a émis d’emblée trois observations :
• constatant la mise en relation d’une base de don-
nées mise en œuvre au sein du SPF Justice avec des
traitements à opérer par les greffes des tribunaux
de commerce compétents, et vu les interférences
évidentes entre la législation instituant le système
d’information Phénix (Loi du 10 août 2005) et la
proposition de loi présentée en ce qui concerne
les bases de données , la Commission a vivement
recommandé que le Comité de surveillance secto-
riel « Phenix », institué en son sein, se voie confier
une mission de contrôle dans le cadre l’informa-
tisation projetée en ce qui concerne le respect de
l’application de la LVP ;
• lorsque le Roi est chargé de fixer les mesures d’exé-
cution qui concernent un traitement de données, il
est souhaitable que la loi précise que le projet d’ar-
rêté royal sera soumis à l’avis de la Commission ;
• l’article 16 de la LVP requérant que des mesures de
sécurité soient adoptées par le(s) responsable(s) de
traitement, la Commission a insisté pour qu’une
référence soit faite aux « Mesures de référence en
matière de sécurité applicables à tout traitement
de données à caractère personnel » ainsi qu’aux
Commission de la protection de la vie privée — rapport annuel 2011 35
que la LVP étant considérée comme la loi-cadre en
la matière, il faut s’y référer et qu’il ne peut y être
dérogé que par une loi dûment motivée ;
• à l’égard de la disposition confiant au Roi le soin
de déterminer les données des banques de données
électroniques qui peuvent être commercialisées eu
égard à leur caractère public , la Commission a rap-
pelé qu’elle s’est déjà exprimée en profondeur sur
ces questions et se réfère donc, mutatis mutandis,
à l’avis n° 36/2006 du 6 septembre 2006 sur le projet
d’arrêté royal relatif à la réutilisation commerciale
de données publiques de la Banque-Carrefour des
Entreprises.
En conclusion, la Commission a émis un avis favorable pour
autant qu’il soit tenu compte de ses observations, sauf en ce
qui concerne le Service de Gestion de l’information, princi-
palement pour les motifs repris ci-dessus.
7.5.5 Avis n° 23/2011 du 28 septembre 2011
• Transmission de certaines données de détenus au Co-
mité International de la Croix-Rouge par le SPF Justice
• Visite des personnes détenues dans le cadre de la lutte
contre le terrorisme
• Vérification des conditions de détention des détenus
Le CICR est une organisation humanitaire neutre, indé-
pendante et impartiale existant depuis 1863, dont la Bel-
gique a reconnu la personnalité et la capacité juridique
internationale en vertu de l’article 1er de l’Accord de siège du
19 avril 1999. Aux termes de cet Accord, la Belgique s’est en-
gagée à faciliter au CICR l’accomplissement de ses missions.
L’article 25 de cet Accord stipule que le CICR et ses agents
sont tenus de respecter les lois et les règlements belges.
Fondée sur l’article 5.3 des Statuts du Mouvement Interna-
tional de la Croix-Rouge et du Croissant-rouge, une offre de
services du CICR a été proposée, en mars 2010, à la Belgique
en vue de visiter les personnes détenues dans le cadre de
Enfin, à l’égard du Service de Gestion des informations qui
est chargé de l’enregistrement, de la sauvegarde, de la ges-
tion et de la mise à disposition des données des banques de
données électroniques attribuées au Service public fédéral
Justice, la Commission a émis les observations suivantes :
• les éléments essentiels des traitements du sec-
teur public (finalité-types de données traitées)
doivent être fixés par la loi elle-même et l’habili-
tation confiée au Roi doit être définie de manière
suffisamment précise et porter sur l’exécution de
mesures dont les éléments essentiels sont fixés
préalablement par le législateur. L’article 602/1,
§ 1er à 3 inséré par l’article 50 dans le Code d’ins-
truction criminelle ne cadre pas du tout avec ces
exigences, le Roi ne pouvant remplir la mission du
législateur ;
• l’article 36bis de la LVP dispose que «(…) Sauf dans les
cas fixés par le Roi, toute communication électronique de
données personnelles par un service public fédéral ou par
un organisme public avec personnalité juridique qui relève
de l’autorité fédérale, exige une autorisation de principe de
ce comité sectoriel (ndlr : pour l’Autorité fédérale) à moins
que la communication n’ait déjà fait l’objet d’une autorisa-
tion de principe d’un autre comité sectoriel créé au sein de
la Commission pour la protection de la vie privée. Avant
d’octroyer son autorisation, le comité sectoriel pour l’auto-
rité fédérale vérifie si la communication est conforme aux
dispositions légales et réglementaires.» ;
• la Commission a suggéré qu’une distinction soit
opérée entre l’accès interne, à savoir l’accès des
utilisateurs du SPF Justice à ces bases de données,
et l’accès externe, c’est-à-dire par les autorités,
administrations et services externes au SPF Jus-
tice, accès qui relèverait soit d’une autorisation du
Comité sectoriel pour l’autorité fédérale, soit d’une
habilitation législative précise quant aux finalités
et modalités ;
• à l’égard des droits d’accès et de rectification (ar-
ticles 10 et 12 de la LVP), la Commission estime
36
service public fédéral (…) exige une autorisation de
principe de ce comité sectoriel à moins que la com-
munication n’ait déjà fait l’objet d’une autorisation de
principe d’un autre comité sectoriel crée au sein de la
Commission. Le CICR devra donc, en sus de l’adoption
de l’arrêté royal dont il est question, introduire une de-
mande d’autorisation afin d’obtenir une telle commu-
nication auprès de ce comité. À cette occasion, la pro-
portionnalité et les mesures de sécurité du traitement
des données seront examinées. Aussi, la Commission
a-t-elle suggéré d’insérer en début de cet l’article 2
du projet autorisant le SPF Justice à communiquer au
CICR les données à caractère personnel relatives aux
détenus : « Sans préjudice de la compétence dévolue au Comité
sectoriel pour l’Autorité fédérale par la loi du 8 décembre 1992
(…), » ;
• il convient de préciser «expressis verbis » que le CICR
est le responsable du traitement ;
• à propos de l’article 4 prévoyant que les données à
caractère personnel des détenus ne peuvent être com-
muniquées par le SPF Justice qu’avec le consentement
écrit du détenu : étant donné qu’il s’agit de données
visées à l’article 8 de la Loi vie privée, le consentement
de la personne concernée ne figure pas au rang des
hypothèses levant l’interdiction de principe posée au
§ 1er de cet article de traiter de telles données. Le littera
b) du § 2 du même article de la loi vie privée permet le
traitement lorsque celui-ci est nécessaire à la réalisa-
tion de finalités fixées par ou en vertu d’une loi et peut
donc constituer une base admissible du traitement.
Il en ressort que les données à caractère personnel des
détenus peuvent être communiquées par le SPF Jus-
tice au CICR moyennant le consentement du détenu et
pour autant que cette communication soit nécessaire
à la réalisation des finalités fixées par la loi qui devrait
être adoptée à cet effet. Enfin, même si le consentement
de la personne concernée ne peut constituer la base de
l’admissibilité de la communication de ses données, il
n’en reste pas moins que la subordination de la com-
la lutte contre le terrorisme pour s’entretenir avec elles de
leurs traitements et conditions de détention.
Afin de permettre au CICR le contact avec les détenus entrant
dans le champ d’application de ce projet d’arrêté royal, la
demande d’avis indique que le service compétent en matière
de lutte contre le terrorisme du Service public fédéral Justice
transmettra au CICR les données nécessaires à ces visites.
La Commission a constaté qu’à côté de cette finalité de
contact, le traitement mis en œuvre vise essentiellement la
vérification des conditions de détention des détenus, ce qui
implique la collecte de données (notamment relatives à la
santé) auprès des détenus et la transmission de données au
SPF Justice, voire à leur famille.
Outre ces données de contact communiquées, des données
émanant du détenu lui-même ou de son dossier médical sont
enregistrées et traitées par le CICR (notamment, transmises
au SPF Justice ou, sur demande du détenu, à sa famille). Cet
ensemble d’opérations effectuées ou non à l’aide de procé-
dés automatisés et appliqués à des données à caractère per-
sonnel constitue un traitement au sens de l’article 1er, § 2 de
la Loi vie privée.
La Commission a émis un certain nombre d’observations,
parmi lesquelles :
• ni la loi vie privée, ni l’Accord de siège du 19 avril 1999,
ni la loi du 4 mars 2002 portant assentiment à l’Accord de
siège entre le Royaume de Belgique et le Comité International
de la Croix-Rouge ne constituent une base juridique suffi-
sante pour l’adoption de l’arrêté royal en projet. Aucun
de ces textes ne justifie l’adoption par le Ministre de la
Justice de mesures d’exécution en la matière. La Com-
mission a estimé que le texte présenté doit être coulé
dans un projet de loi ;
• l’article 36bis de la loi vie privée qui a institué le Comité
sectoriel pour l’Autorité fédérale dispose, entre autres,
que, sauf dans les cas visés par le Roi, toute commu-
nication électronique de données personnelles par un
Commission de la protection de la vie privée — rapport annuel 2011 37
maximum de conservation (par exemple, 10 ans) soit
fixé, à justifier de préférence dans le rapport au Roi ;
• concernant les données traitées des détenus qui ne
peuvent être transmises qu’au SPF Justice afin d’amé-
liorer les conditions de traitement des détenus et à la
famille du détenu, si ce dernier demande au CICR de
bénéficier de son assistance dans le cadre d’un pro-
gramme de maintien ou de rétablissement des liens
familiaux, la Commission a précisé qu’elle ne trou-
vait pas dans le commentaire des articles d’éclaircis-
sements quant aux données transmissibles et à leurs
modalités. Étant donné que le projet d’arrêté royal vise
la communication possible de données relatives à la
santé, celle-ci ne tombe pas dans le champ d’applica-
tion du Chapitre II — Traitement ultérieur de données
à caractère personnel à des fins historiques, statis-
tiques ou scientifiques de l’arrêté royal précité du 13 fé-
vrier 2001. La Commission a recommandé néanmoins
de tenir compte du principe de proportionnalité et de
ne communiquer au SPF Justice que, de préférence, des
données anonymes, à défaut des données codées et à
défaut seulement de données codées, des données à
caractère personnel non codées ;
• enfin, l’article 42, § 2, 3° de la loi du 1er décembre 2006
portant des dispositions diverses en matière de santé prévoit
qu’en vue de protéger la vie privée, la section santé du
Comité sectoriel de la Sécurité Sociale et de la Santé est
compétente pour accorder une autorisation de principe
pour toute communication de données à caractère per-
sonnel relatives à la santé, sauf dans les cas suivants
(…) : si la communication est autorisée par ou en vertu
d’une loi (…), après avis de la Commission de la vie pri-
vée ;
Sous réserve de l’observation relative à l’adoption d’une loi,
la Commission a estimé que les données visées ne peuvent
être transmises au SPF Justice ou à la famille de l’intéressée
que pour autant qu’il soit tenu compte de la recommanda-
tion formulée au point précédent.
munication des données au consentement du détenu
répond à l’exigence de loyauté (transparence) et de
non-excessivité du traitement (cf. article 4 de la loi vie
privée). La Commission a considéré par conséquent que
l’exigence de consentement écrit de l’intéressé doit être
maintenue ;
• quant à la collecte de données médicales d’un détenu
(après accord de ce dernier), seul un médecin peut avoir
accès au dossier médical en présence d’un médecin
traitant de l’établissement pénitentiaire ;
• il est préférable de remplacer les termes «données mé-
dicales » par «données relatives à la santé », conformé-
ment à l’article de la loi vie privée ;
• selon l’article 7 précité, ce consentement destiné à lever
l’interdiction du traitement de ces données doit être
écrit. Il convient donc de le préciser dans le projet de
texte présenté ;
• le commentaire du projet précise que « quoique l’article 7,
§ 2 de la loi ne l’exige pas, seul un médecin du CICR consul-
tera ces données ». La Commission ne voit cependant pas
d’obstacle à la mise en place de cette garantie non léga-
lement exigée par la Loi vie privée. Elle a observé tou-
tefois que l’intervention d’un médecin n’est pas prévue
au-delà de la collecte et n’en comprend pas la raison.
Elle a donc à tout le moins recommandé que le consen-
tement du détenu soit suffisamment éclairé pour com-
prendre cette intervention limitée au recueillement des
données ;
• les flux transfrontières des données collectées ne
peuvent s’effectuer, sauf dérogation, que vers un pays
assurant un niveau de protection adéquat, telle la
Suisse ;
• à propos de la conservation des données par le CICR
postérieurement à la libération du détenu et moyen-
nant le consentement de ce dernier : un délai de conser-
vation de durée indéterminé n’est pas justifié car ces
données ne sont pas limitées à des données d’identifi-
cation, et ce même dans le cadre du consentement de la
personne intéressée ; il est dès lors suggéré qu’un délai
38
d’ « inapte » ;
• l’instauration des garanties procédurales nécessaires,
dont l’introduction d’une obligation de motivation
pour l’appréciation du statut d’honorabilité des per-
sonnes concernées (point 45 et point 46, iv de l’avis
n° 14/2011).
La Commission estimait que l’avant-projet donnait trop
l’impression que, pour chaque transporteur, n’importe
quel fait concernant n’importe quelle infraction/sanction
administrative pourrait être enregistré dans l’eRegistre
(point 44 de l’avis n° 14/2011). À cet égard, elle avait plaidé
pour l’introduction d’un genre de seuils minimaux. Étant
donné que l’application du droit de rectification de données
d’appréciation requiert une approche adaptée, elle avait
également recommandé de «signaler » certaines apprécia-
tions de transporteurs/gestionnaires (points 36-37 de l’avis
n° 14/2011) car on donnait l’impression qu’une entreprise de
transport pouvait être qualifiée d’ «inapte » sur la base de
simples données d’appréciation.
Se référant à la délibération AF n° 03/2010 du 21 janvier 2010
(délibération AF n° 03/2010 du 21 janvier 2010 concernant la
publication de certaines dettes fiscales d’entrepreneurs dans le secteur
de la construction) , la Commission a également recommandé
d’élaborer, par analogie, un système qui permettrait de limi-
ter l’accès aux informations aux seules personnes qui en ont
besoin (…) et dont le contrôle effectif de l’accès serait assuré
par le SPF concerné, plutôt que de prévoir un système acces-
sible de façon générale.
La Commission a émis un avis favorable en la matière et ne
s’est pas prononcée sur les autres textes réglementaires dans
ce contexte, comme l’avant-projet de loi relative au transport
de marchandises, le projet d’AR relatif au transport de mar-
chandises, l’avant-projet de loi relative au transport de voya-
geurs et le projet d’AR relatif au transport de voyageurs.
La Commission a émis un avis favorable sur le texte du pro-
jet présenté à la condition impérative qu’il fasse l’objet d’un
projet de loi et qu’il soit tenu compte de ses remarques.
7.6 Transport et mobilité
7.6.1 Avis n° 14/2011 du 6 juillet 2011
• Introduction d’un système européen de contrôle (ap-
pelé «eRegistre ») des personnes physiques impliquées
dans le transport par route
• Introduction d’un genre de seuils minimaux d’accès
• Signalement de certaines appréciations
Dans son avis n° 14/2011 du 6 juillet 2011, la Commission
s’était prononcée en défaveur de l’avant-projet de loi rela-
tive à l’eRegistre des entreprises de transport par route
(ci-après «l’avant-projet »). Afin de tenir compte des
remarques formulées dans cet avis, le Secrétaire d’État à
la Mobilité (ci-après «le demandeur ») a retravaillé l’avant-
projet et l’a à nouveau soumis pour avis à la Commission le
31 août 2011 (Avis n° 17/2011 du 7 septembre 2011).
L’avant-projet de loi visait notamment à donner suite au
Règlement européen 1071/2009. Cet avant-projet prévoyait
l’introduction d’un système européen de contrôle (appelé
«eRegistre ») des personnes physiques impliquées dans le
transport par route (sociétés de transport par route, ges-
tionnaires de transport et autres personnes pertinentes).
La Commission avait tout d’abord attiré l’attention sur plu-
sieurs problèmes présents dans l’avant-projet. Elle souli-
gnait le fait que l’avant-projet contenait un système d’appré-
ciation des personnes concernées, de sorte que la législation
devait répondre à un certain nombre d’exigences qualita-
tives, parmi lesquelles :
• la transparence à propos des possibilités de recours
(point 35, i de l’avis n° 14/2011) dont dispose un trans-
porteur ou un gestionnaire lorsqu’il est qualifié
Commission de la protection de la vie privée — rapport annuel 2011 39
Lors de sa séance du 19 janvier 2011, la Commission a ren-
du un avis favorable sur le projet d’arrêté royal modifiant
l’arrêté royal du 16 mai 2003 portant exécution du chapitre XI
de la loi-programme du 8 avril 2003 relatif à la collecte de données
concernant les déplacements des travailleurs entre leur domicile et
leur lieu de travail et a également rendu un avis favorable sur le
projet d’arrêté ministériel modifiant l’arrêté ministériel du
29 octobre 2004 fixant le mode de collecte des informations pour
la banque de données relative aux déplacements entre le domicile et
le lieu du travail.
Ces projets d’arrêté royal et ministériel visent à mettre en
œuvre l’obligation faite aux employeurs qui occupent en
moyenne plus de cent travailleurs d’établir tous les 3 ans un
état donnant des renseignements relatifs aux déplacements
des travailleurs entre leur domicile et leur lieu de travail,
sans que les travailleurs ne puissent être personnellement
identifiés. Cet état doit être établi pour chaque site comptant
en moyenne trente travailleurs au moins et doit être com-
muniqué au SPF Mobilité et Transports, chargé de gérer la
banque de données reprenant et agrégeant tous ces rensei-
gnements.
La finalité du traitement, précisée par le § 1er de l’article 162
de la loi-programme du 8 avril 2003, consiste en la contribu-
tion «à une meilleure gestion de la mobilité ».
Ainsi, le projet d’arrêté royal soumis pour avis stipule en
son article 2 que les employeurs doivent fournir «un tableau
reprenant le nombre de travailleurs et leurs modes de déplacement
principaux selon le code postal du domicile ».
La Commission observe dans un premier temps que du point
de vue de l’employeur, ces données demeurent des données
à caractère personnel qu’il est tenu de récolter directement
auprès de ses employés. La loi vie privée est dès lors appli-
cable en vertu de son article 5, c) et dans le respect de son
article 4.
Dans un second temps, la Commission estime que du
point de vue du SPF Mobilité et Transports, chacune de ces
7.6.2 Avis n° 16/2011 du 6 juillet 2011
• Source authentique pour des données relatives aux per-
mis de conduire
• Désignation des sources authentiques
Le 6 juillet 2011, la Commission a émis un avis favorable sur
un projet d’arrêté d’exécution relatif à la banque-carrefour
des permis de conduire. D’après le Rapport au Roi afférent
au projet, cette banque-carrefour des permis de conduire
est «une banque-carrefour sui generis, qui déroge au principe de
banque-carrefour de la Banque-carrefour de la Sécurité sociale.
La banque-carrefour des permis de conduire tient lieu, d’une part, de
source authentique pour les données relatives aux permis de conduire
qui y sont conservées et, d’autre part, d’intégrateur de services pour
les données relatives aux permis de conduire pour lesquelles il existe
d’autres sources authentiques.»
Le projet visait l’exécution de certaines dispositions du
chapitre « Création de la banque-carrefour des permis de
conduire » de la loi du 14 avril 2011 portant des dispositions di-
verses. Les dispositions légales exécutées par le projet ont été
soumises précédemment à la Commission pour avis (Avis
n° 14/2010 du 31 mars 2010). L’avis émis à l’époque était favo-
rable, moyennant le respect de plusieurs conditions, dont
les principales étaient les suivantes :
• les sources authentiques qui peuvent être consultées
via la banque-carrefour des permis de conduire doivent
être clairement indiquées (points 3-7) ;
• les traitements de données de santé doivent être enca-
drés des garanties nécessaires (points 13-14).
7.6.3 Avis n° 02/2011 du 19 janvier 2011
• Collecte de données concernant les déplacements des
travailleurs entre leur domicile et leur lieu de travail
• Notion de donnée anonyme
40
Les questions principales qui ont été posées à la Commis-
sion dans ce type de dossier sont d’une part la nécessité de
recourir à un organisme intermédiaire (voir l’article 10 de
l’arrêté royal du 13 février 2001 portant exécution de la LVP)
bien que les données sont déjà codées par le logiciel (mis à la
disposition des médecins par le responsable du traitement
ultérieur) et d’autre part, le type d’information à communi-
quer au patient et la nécessité de son consentement.
Les données qui seront utilisées dans le cadre du traitement
ultérieur concernent principalement des données à carac-
tère personnel relatives à la santé, provenant de différents
responsables de traitement (à savoir des médecins), qui
seront codées.
• La Commission a confirmé qu’un logiciel ne peut être
considéré comme une organisation. Les données co-
dées une première fois par le logiciel doivent être obli-
gatoirement envoyées à un organisme intermédiaire.
Il appartient à ce dernier de procéder à un nouveau co-
dage des données avant de les transmettre au respon-
sable du traitement ultérieur des données.
• La Commission recommande que cette organisation
intermédiaire ne conserve aucune donnée à caractère
personnel, en dehors des données identifiantes re-
prises dans le tableau de concordance et permettant le
codage.
• Concernant l’information du patient, la Commission
est d’avis que lorsque le médecin insère les données du
patient dans un logiciel, avant de transmettre ces der-
nières à l’organisation intermédiaire, il est apte à in-
former son patient, au moment de la consultation, que
ses données seront transférées à des fins de recherches
scientifiques ou statistiques. Telle information peut
être portée à la connaissance du patient par exemple
par le biais d’un affichage dans la salle d’attente du
médecin, de la mise à disposition de dépliants dans la
salle d’attente et/ou dans le cabinet médical du méde-
cin mais aussi de manière verbale durant la consulta-
tion médicale. Cette information pourrait également
données (nombre de travailleurs, mode de déplacement et
code postal du domicile) peut être considérée comme étant
anonyme, car s’il est vrai que «combinées ensemble et pour un
nombre parfois très restreint de travailleurs (30), ces données pour-
raient conduire à l’identification de un ou plusieurs travailleurs dans
certains cas particuliers », la Commission considère que « le SPF
Mobilité et Transports qui reçoit les données relatives au nombre
de travailleurs, à leur mode de déplacement, au code postal de leur
domicile et à leur lieu de travail ne peut identifier un travailleur que
s’il agrège ces données avec d’autres données, ce que la finalité du trai-
tement lui interdit formellement ».
La Commission estime dès lors que doivent être considérées
comme anonymes les données reçues par un responsable
de traitement lorsque celui-ci doit «déployer des moyens dérai-
sonnables afin d’identifier [une ou plusieurs personnes concernées] et
lorsque le risque d’identification est à ce point marginal ».
7.7 Santé
7.7.1 Recommandation n° 02/2011 du 4 mai 2011
• Réutilisation des données des patients à des fins de
recherches statistiques ou scientifiques
• Rôle de l’organisme intermédiaire
• Information aux patients concernant les recherches
basées sur des données relatives à la santé provenant
d’un logiciel
La recommandation vise à confirmer et à préciser les condi-
tions à respecter pour la réutilisation de données à caractère
personnel relatives à la santé, récoltées et codées initiale-
ment par des médecins, à des fins ultérieures de recherches
statistiques ou scientifiques.
En vertu de l’article 10 de l’arrêté royal du 13 février 2001,
lorsque plusieurs responsables de traitement commu-
niquent au même tiers des données à caractère personnel
en vue de leur traitement ultérieur, celles-ci doivent préala-
blement à leur communication être codées par l’entremise
d’une organisation intermédiaire.
Commission de la protection de la vie privée — rapport annuel 2011 41
Gouvernements de Communauté et de Région et les institu-
tions publiques dotées de la personnalité civile qui relèvent
des Communautés et Régions, pour autant que les missions
de ces services et institutions portent sur une matière visée
à l’article 5, § 1, I et II de la loi spéciale de réformes institution-
nelles du 8 août 1980.
Du point de vue de la «protection des données à caractère
personnel », la Commission ne voit pas d’objection à ce pro-
jet d’arrêté royal. Elle estime que, dans son rôle d’organisa-
tion intermédiaire, la plate-forme peut précisément contri-
buer à la protection de la vie privée dans le cadre de la re-
cherche historique, scientifique ou statistique sur la base de
données à caractère personnel relatives à la santé. La Com-
mission constate qu’en pratique, il n’est manifestement pas
toujours évident, pour certaines organisations qui mènent
des recherches historiques, scientifiques ou statistiques, de
trouver une bonne organisation intermédiaire, financière-
ment abordable, qui puisse réaliser un codage ou une ano-
nymisation de qualité des données à caractère personnel
utilisées. Le projet d’arrêté royal peut y contribuer et reçoit
ainsi l’appui de la Commission dans son avis n° 03/2011 du
9 février 2011.
7.7.3 Avis n° 09/2011 du 23 mars 2011
• Surveillance dosimétrique par l’Agence fédérale de
Contrôle Nucléaire
• Création d’un registre d’exposition centralisé
• Établissement et délivrance de passeports radiolo-
giques
Le Ministre de l’Intérieur a demandé à la Commission
d’émettre un avis sur un avant-projet de loi modifiant loi du
15 avril 1994 relative à la protection de la population et de l’envi-
ronnement contre les dangers résultant des rayonnements ionisants
et relative à l’Agence fédérale de Contrôle nucléaire et transférant à
l’Agence fédérale de Contrôle nucléaire certaines missions du Service
public fédéral Emploi, Travail et Concertation sociale.
être donnée par le médecin au moment du renouvel-
lement du dossier médical global pour les personnes
ayant opté pour le système du dossier médical global.
• Concernant le consentement du patient, celui-ci n’est
pas nécessaire quand les données traitées ultérieure-
ment à des fins de recherches statistiques ou scienti-
fiques sont codées. Le patient dispose toutefois d’un
droit d’opposition (article 14 de l’arrêté royal du 13 fé-
vrier 2001).
• La communication entre le responsable du traitement
initial et celui du traitement ultérieur ne pourra avoir
lieu que si elle est autorisée par la section santé du
Comité sectoriel de la Sécurité Sociale et de la Santé
(article 42, § 2, 3°, de la loi du 13 décembre 2006 portant
dispositions diverses en matière de santé).
7.7.2 Avis n° 03/2011 du 9 février 2011
• Élargissement la liste des instances qui peuvent faire
appel à la plate-forme eHealth comme organisation
intermédiaire
• Garantie d’un codage ou d’une anonymisation de qua-
lité des données à caractère personnel utilisées
Le ministre des Affaires sociales et de la Santé publique a
demandé à la Commission d’émettre un avis concernant un
projet d’arrêté royal élargissant la liste des instances qui
peuvent faire appel à la plate-forme eHealth comme organi-
sation intermédiaire.
L’article 5, 8° de la loi relative à l’institution et à l’organisation
de la plate-forme eHealth prévoit que la plate-forme eHealth
peut intervenir en tant qu’organisation intermédiaire, et ce
sur demande d’un certain nombre d’instances énumérées
de façon limitative dans la loi. L’article précité prévoit égale-
ment la possibilité pour le Roi d’élargir la liste des instances
qui peuvent faire appel à la plate-forme eHealth comme
organisation intermédiaire.
Le projet d’arrêté royal procède donc à l’élargissement de la
liste d’instances, plus précisément : les services publics des
42
claire du délai extrêmement long de 50 ans après le
décès de la personne concernée ;
• mentionner dans l’avant-projet de loi que les arrê-
tés d’exécution à prendre par le Roi seront préala-
blement soumis à l’avis de la Commission.
7.7.4 Avis n° 25/2011 et n° 26/2011 du
19 octobre 2011
• Normes de qualité et de sécurité des organes humains
destinés à la transplantation
• Création d’une coordination locale des donneurs
• Normes des centres de transplantation
• Élaboration d’enregistrements pour la caractérisation
des organes et des donneurs
Le directeur général de l’Organisation des Établissements
de soins du SPF Santé publique, Sécurité de la Chaîne ali-
mentaire et Environnement a demandé à la Commission
d’émettre un avis concernant trois projets d’arrêtés royaux,
tous relatifs aux normes de qualité et de sécurité des or-
ganes humains destinés à la transplantation, dont les deux
principaux sont brièvement commentés ci-après.
Un premier projet d’arrêté royal (fixant les normes aux-
quelles une fonction «coordination locale des donneurs »
doit répondre pour être agréée et le rester) contraint tout
hôpital général au sein duquel il est procédé au prélèvement
d’organes chez des donneurs décédés à créer une fonction
de «coordination locale des donneurs », laquelle assure le
support du prélèvement de ces organes. Cette fonction est
notamment chargée de veiller au constat du décès de don-
neurs, de déclarer ces donneurs à un centre de transplan-
tation avec lequel un accord de collaboration a été conclu et
d’assurer le conditionnement du donneur. La fonction enre-
gistre également des données relatives à la caractérisation
du donneur et des organes (collecte d’informations perti-
nentes afin d’évaluer si le donneur et les organes se prêtent à
la transplantation et optimiser l’attribution), à la traçabilité
des organes (via l’identification du donneur) ainsi qu’en ma-
Dans le cadre de la compétence qui est ainsi confiée à
l’AFCN, un registre d’exposition centralisé est créé, lequel
doit permettre de gérer efficacement et de manière centra-
lisée les données en matière de surveillance dosimétrique.
En outre, l’AFCN est également chargée d’établir et de déli-
vrer des passeports radiologiques pour les personnes qui
effectuent des missions comportant un risque d’exposition
à l’étranger.
La finalité de l’enregistrement des données consiste à opti-
miser la protection radiologique des personnes concernées
à travers la récolte et le traitement de données se rapportant
à la surveillance dosimétrique au sens strict ainsi que de cer-
taines données se rapportant à la surveillance sanitaire et à
l’information et la formation de ces personnes.
La Commission est bien consciente que le registre d’exposi-
tion centralisé susmentionné permet d’optimiser la protec-
tion radiologique de chacun tant pendant les missions pré-
sentant un risque d’exposition qu’à plus long terme (suite à
une étude statistique). Afin que l’avant-projet de loi précité
offre des garanties suffisantes en ce qui concerne la protec-
tion des données à caractère personnel, la Commission a
néanmoins estimé, dans son avis n° 09/2011 du 23 mars 2011,
que l’avant-projet de loi devait également intégrer les points
importants suivants :
• décrire clairement la finalité supplémentaire
d’étude statistique et/ou stratégique en matière
de maladies professionnelles, en mentionnant les
données à caractère personnel qui seront traitées
à cet effet ;
• définir la notion de «données anonymes » en réfé-
rence à l’arrêté royal du 13 février 2001 portant exé-
cution de la loi vie privée ;
• supprimer la donnée «nationalité » étant donné son
caractère superflu à l’égard de la finalité définie ;
• soit revoir le délai de conservation maximal pour
les données à caractère personnel enregistrées, soit
reprendre, dans l’avant-projet lui-même ou dans
l’Exposé des motifs, une justification concrète et
Commission de la protection de la vie privée — rapport annuel 2011 43
à chaque étape de la chaîne du donneur jusqu’au receveur
et inversement), pour la déclaration et la gestion des inci-
dents et réactions indésirables graves et pour le suivi des
donneurs vivants. La plupart de ces informations sont éga-
lement transmises à l’organisation européenne d’échange
d’organes, Eurotransplant.
Bien que le projet accorde clairement une attention à des
mesures de sécurité adaptées en vue de protéger les données
de santé sensibles qui sont traitées, la Commission estime,
dans son avis n° 26/2011 du 19 octobre 2011, que les points
importants suivants doivent également être intégrés dans
le projet d’arrêté royal afin que celui-ci offre des garanties
suffisantes en ce qui concerne la protection des données à
caractère personnel des personnes concernées :
• explication supplémentaire concernant l’organisation
du suivi des donneurs vivants et le(s) traitement(s) de
données à caractère personnel qui en découle(nt) ;
• fixation d’un délai de conservation maximal de 50 ans ;
• désignation d’un responsable du traitement.
7.7.5 Vade-mecum relatif à la recherche biomé-
dicale
Dans le cadre de la Présidence belge de l’Union européenne,
la Commission a organisé le 23 novembre 2010 un congrès
international sur la vie privée et la recherche scientifique
comportant deux volets : la recherche historique et la
recherche clinique-médicale : « Privacy and Research : from
Obstruction to Construction ». Le but de cet événement était de
réfléchir à la manière dont on peut intégrer la protection
de la vie privée dans la recherche scientifique sans qu’elle y
constitue un obstacle.
À l’issue de ce congrès, la Commission a décidé de publier
deux brochures : l’une concerne l’application de la loi vie
privée dans la recherche historique, l’autre porte sur l’appli-
cation de la loi vie privée dans la recherche biomédicale.
Ces vade-mecum informent les chercheurs des règles et
tière de signalement et de gestion d’incidents indésirables
graves. La plupart de ces informations sont également
communiquées au centre de transplantation avec lequel un
accord de collaboration a été conclu.
Étant donné que cette fonction de «coordination locale des
donneurs » semble uniquement enregistrer des données de
personnes décédées, la protection de données à caractère
personnel n’est en principe pas compromise. Néanmoins,
dans son avis n° 25/2011 du 19 octobre 2011, la Commission
souligne que parfois, des données à caractère personnel ne
sont pas des données purement individuelles (par exemple
les affections héréditaires) et qu’il se peut donc que des don-
nées concernant une personne décédée comportent égale-
ment des informations personnelles de parents toujours
vivants. Dans ce cas, la loi vie privée sera bel et bien intégra-
lement applicable. Si cela devait se produire, la Commission
se réfère à son analyse et aux remarques formulées dans son
avis n° 26/2011 du 19 octobre 2011 concernant les normes
auxquelles un centre de transplantation doit satisfaire.
Cet avis est commenté ci-après.
Un deuxième projet d’arrêté royal (modifiant l’arrêté royal du
23 juin 2003 fixant les normes auxquelles un centre de transplanta-
tion doit répondre pour être agréé comme service médical au sens de
l’article 44 de la loi sur les hôpitaux, coordonnée le 7 août 1987 vise
à compléter et à actualiser les normes auxquelles les centres
de transplantation doivent satisfaire suite à un nouveau pro-
jet de loi modifiant la loi du 13 juin 1986 sur le prélèvement et
la transplantation d’organes et à la directive 2010/53/UE relative
aux normes de qualité et de sécurité des organes humains destinés à
la transplantation.
Le projet élabore des enregistrements pour la caractérisa-
tion des organes et des donneurs (collecte d’informations
pertinentes afin d’évaluer si le donneur et les organes se
prêtent à la transplantation et optimiser l’attribution), pour
l’étiquetage pour le transport d’organes, pour la traçabi-
lité des organes (via l’identification du donneur et du rece-
veur — la localisation et l’identification de chaque organe
44
comme prévu à l’article 12, § 1, deuxième alinéa de la
LVP.
• Application du Chapitre II de l’arrêté royal du 13 fé-
vrier 2001 :
La Commission a été confrontée à la question de savoir
si l’obtention du consentement explicite de la personne
concernée, même dans le cas d’une réutilisation des
données, permet aux chercheurs d’échapper à l’applica-
tion du chapitre II de l’arrêté royal de 2001.
Tout traitement qui, au moment de la collecte des don-
nées, répond aux prévisions raisonnables de la per-
sonne concernée (ou est prévu par la loi) est en principe
autorisé. Par conséquent, tout traitement ultérieur qui
ne répond pas à ces prévisions raisonnables (ou n’est
pas prévu par la loi) est interdit. Cette interdiction ne
s’applique pas à un traitement ultérieur qui vise exclusi-
vement des finalités de recherche, moyennant le respect
des dispositions du Chapitre II de l’arrêté royal de 2001.
L’obtention a posteriori du consentement explicite des
personnes concernées ne dispensera pas, dans ce cas,
le chercheur des obligations découlant de l’arrêté royal
susmentionné. L’évaluation des prévisions raison-
nables intervient en effet au moment de la collecte des
données.
7.8 Divers
7.8.1 Avis n° 08/2011 du 2 mars 2011
• Enregistrement personnes physiques lors de l’achat de
vieux métaux
• Lutte contre le vol de métaux
• Enregistrement en présence de la personne concernée
et remise des données enregistrées
Ce projet d’arrêté royal vise à exécuter en ce qui concerne
les vieux métaux l’article 70 de la loi du 29 décembre 2010
portant des dispositions diverses (I).
procédures à suivre lors d’une telle recherche impliquant la
collecte et l’analyse de données à caractère personnel.
Dans le cadre de ces brochures, la Commission a adopté des
décisions de principes.
• Personnes vivantes/personnes décédées :
Dans les brochures, le concept de «donnée à caractère
personnel » est défini comme étant toute donnée ap-
portant des informations sur une personne vivante. On
ajoute que les données relatives à des personnes décé-
dées ne sont en principe pas protégées par la législation
vie privée. Cela n’empêche pas qu’une personne décé-
dée et ses données puissent bénéficier d’une protection
offerte par une autre réglementation (par exemple, la
Convention européenne des droits de l’homme, en par-
ticulier l’article 8 ; la Constitution belge, en particulier
l’article 22 ; la loi du 22 août 2008 relative aux droits du
patient ; l’article 458 du Code pénal (secret profession-
nel) ; l’article 314bis et l’article 259bis du Code pénal
(secret des communications et télécommunications
privées) ; loi du 13 juin 2005 relative aux communications
électroniques, …). Cela n’empêche pas non plus que des
données à caractère personnel d’une personne décé-
dée puissent également contenir des informations
personnelles d’autres personnes (toujours vivantes),
comme des membres de la famille ou des proches.
La LVP s’appliquera à ces données dans la mesure où
elles peuvent être considérées comme des données à
caractère personnel dans le chef de la famille ou des
proches encore en vie.
• Le droit de ne plus collaborer :
Les brochures prévoient qu’une personne qui a accep-
té de participer à une recherche peut décider à tout
moment de retirer son consentement, mais sans effet
rétroactif. La Commission a décidé que les données
collectées avant le retrait du consentement peuvent
continuer à être traitées. Si la personne concernée ne
souhaite pas que ses données soient encore traitées
ultérieurement, elle doit exercer son droit d’opposition
Commission de la protection de la vie privée — rapport annuel 2011 45
2° soit, en cas d’utilisation d’un lecteur de carte d’identité électro-
nique, en extrayant ces seules données pour les conserver sous format
électronique.»
La Commission a constaté que, dans les deux hypothèses
d’enregistrement, le projet de texte tient compte de l’exi-
gence de proportionnalité et de licéité des données prévue
par la Loi vie privée en limitant l’enregistrement aux seules
données visées dans la loi précitée.
À propos du scannage ou de la photocopie du document
d’identité présenté, la Commission a souhaité qu’un
contrôle par la personne concernée des données effec-
tivement enregistrées puisse avoir lieu, par exemple, en
imposant que cette opération soit effectuée en sa présence
physique et qu’une copie des données enregistrées lui soit
remise.
En l’absence d’arrêté royal d’exécution de l’article 6, § 4 de la
loi du 19 juillet 1991 stipulant que tout contrôle automatisé
de la carte par des moyens de lecture optique ou autres doit
faire l’objet d’un arrêté royal pris après avis du Comité secto-
riel du Registre national, la Commission a recommandé que
ce projet d’arrêté royal mette en place des moyens permet-
tant aux titulaires de cartes d’identité de maîtriser les don-
nées qu’ils communiquent lors de la lecture électronique de
leur carte ou, à tout le moins, d’assurer la transparence des
données traitées par le responsable du traitement lors de la
lecture électronique de la carte. La Commission a rappelé
en outre que l’article 16 de la Loi vie privée impose au res-
ponsable du traitement de prendre les mesures techniques
et organisationnelles requises pour protéger les données
contre la perte accidentelle ainsi que contre la modification,
l’accès et tout autre traitement non autorisé de données à
caractère personnel.
La Commission a émis un avis favorable pour autant qu’il
soit tenu compte de ses observations.
L’article 70 dispose ce qui suit :
«§ 1er. Les personnes physiques et morales actives dans la récupération,
le recyclage et le commerce de vieux métaux ou de métaux précieux,
procèdent, lorsqu’elles achètent de tels métaux auprès des personnes
physiques, à l’identification et à l’enregistrement de la personne qui
se présente avec les métaux visés si ces achats sont payés en espèces.
(…)
§ 3. L’identification est réalisée sur la base des nom, prénom et date
de naissance de la personne qui se présente avec les métaux visés.
Le Roi détermine les modalités selon lesquelles l’identification et
l’enregistrement de ces données sont réalisés.»
La Commission avait émis, le 24 novembre 2010, un avis
favorable (avis n° 28/2010) sur le texte du projet de loi (Titre
« Intérieur ») tout en attirant principalement l’attention sur
le fait, d’une part, qu’il ne saurait être question lors de la
détermination par le Roi des modalités d’identification et
d’enregistrement des données du vendeur, de demander à
l’acheteur de prendre une copie de la carte d’identité étant
donné l’usage abusif qui peut s’ensuivre et, d’autre part, que
l’utilisation du numéro d’identification du Registre natio-
nal est subordonnée à l’autorisation du Comité sectoriel du
Registre national.
La Commission a constaté le caractère plus restrictif du
texte de l’article 70 de la loi précitée : tout d’abord, le § 1er
de cet article limite désormais l’identification et l’enregis-
trement à l’hypothèse où le vendeur (personne physique)
se présentant avec les matériaux, les achats sont payés en
espèces ; ensuite, le § 3 de ce même article précise doréna-
vant que l’identification est réalisée sur la base des nom,
prénom et date de naissance.
L’article 2 était rédigé comme suit :
« Le ferrailleur enregistre les données prévues à l’article 70, § 3 de la
loi du 29 décembre 2010 portant de dispositions diverses (I) :
1° soit en scannant ou en prenant une photocopie lisible du document
d’identité présenté, ne laissant apparaître que ces données ;
46
Enfin, la Commission a attiré l’attention sur l’article 16 de
la Loi vie privée qui impose au responsable du traitement
de prendre les mesures techniques et organisationnelles
requises pour protéger les données contre la perte acciden-
telle ainsi que contre la modification, l’accès et tout autre
traitement non autorisé de données à caractère personnel.
La Commission a donc émis un avis favorable sur ce projet
d’arrêté royal.
7.8.3 Avis n° 22/2011 du 18 septembre 2011
• Lutte contre le dopage Communauté française
• Transfert de données à ou via le système ADAMS établi
au Canada
Le 5 août 2011, le Vice-Président et Ministre du Budget, des
Finances et des Sports de la Communauté française André
Antoine a demandé à la Commission d’émettre un avis
concernant le projet d’arrêté du Gouvernement de la Com-
munauté française portant exécution du décret relatif à la
lutte contre le dopage. En 2010, la Commission a émis un avis
favorable concernant l’avant-projet de décret relatif à la lutte
contre le dopage. Suite à cet avis, ce décret a été adapté en
tenant compte des remarques de la Commission.
Tout comme le décret relatif à la lutte contre le dopage, son
arrêté d’exécution est basé sur les dispositions du Code
mondial antidopage. La Belgique a ratifié la Convention in-
ternationale contre le dopage dans le sport de l’UNESCO du
19 octobre 2005, le 19 juin 2008. Cette Convention contribue
à l’intégration du Code mondial antidopage en droit inter-
national, en imposant aux états qui la ratifient l’obligation
de prendre les mesures visant à mettre en œuvre les prin-
cipes du Code.
L’arrêté d’exécution du décret envisage trois types de traite-
ments de données :
• Autorisation d’usage à des fins thérapeutiques :
Pour les raisons indiquées dans son avis, la Commis-
sion estime qu’il n’est pas proportionné de recourir à la
7.8.2 Avis n° 19/2011 du 28 septembre 2011
• Enregistrement lors de l’achat de métaux précieux
• Collecte restreinte des données d’identification
• Accès pour la personne concernée à sa demande
Les quatre premiers alinéas du commentaire relatif à l’avis
n° 8/2011 valent également pour le présent avis.
L’article 2 du projet était rédigé comme suit :
« Le bijoutier enregistre les données prévues à l’article 70, § 3 de la
loi du 29 décembre 2010 portant des dispositions diverses (I) :
1° soit en les recopiant dans un registre ;
2° soit en scannant ou en prenant une photocopie lisible du document
d’identité présenté, ne laissant apparaître que ces données ;
3° soit, en cas d’utilisation d’un lecteur de carte d’identité électro-
nique, en extrayant ces seules données pour les conserver sous format
électronique.
Le bijoutier informe la personne concernée des données qu’il enre-
gistre et lui remet, si elle le demande, une copie de ces données.»
La Commission a constaté que, dans tous les cas, le projet
de texte tient compte de l’exigence de proportionnalité et de
licéité des données prévue par la Loi vie privée en limitant
l’enregistrement aux seules données visées dans la loi pré-
citée mais a toutefois tenu à préciser qu’en aucune manière,
une copie du verso de la carte d’identité ne pourra être effec-
tuée puisque seuls les nom, prénom et date de naissance de
la personne concernée doivent être récoltés (voir la recom-
mandation d’initiative n° 03/2011 de la Commission relative
à la prise de copie des cartes d’identité ainsi qu’à leur utilisa-
tion et à leur lecture électronique).
La Commission a également constaté qu’un contrôle par la
personne concernée des données effectivement enregistrées
est rendu possible par l’information qui lui est communi-
quée à cet égard et par l’accès, à sa demande, à ses données
via la remise d’une copie des données enregistrées.
Commission de la protection de la vie privée — rapport annuel 2011 47
pas encore été reconnu par les autorités européennes
n’implique pas qu’aujourd’hui au Québec, aucune pro-
tection adéquate de données à caractère personnel
ne puisse être garantie. La loi relative à la protection
des données du Québec semble très similaire à celle
du Canada, cette dernière ayant été reconnue comme
offrant un niveau de protection adéquat par l’Union
européenne.
7.8.4 Avis n° 21/2011 du 28 septembre 2011
• Protocole d’accord entre les Communautés
• Prévention et lutte contre le dopage dans le sport
Le 28 septembre 2011, la Commission a émis un avis sur ce
sujet, à la demande du Ministre flamand des Finances, du
Budget, de l’Emploi, de l’Aménagement du Territoire et des
Sports.
Vu que l’accord de coopération conclu le 13 mai 2011 entre la
Communauté flamande, la Communauté française, la Com-
munauté germanophone et la Commission communautaire
commune en la matière concerne entre autres la collecte et
le traitement de données à caractère personnel dont, le cas
échéant, des données relatives à la santé au sens de l’article 7
de la LVP, le Conseil d’État a considéré qu’il était recomman-
dé de recueillir l’avis de la Commission sur cet accord.
Le 19 septembre 2011, l’administration flamande a commu-
niqué à la Commission une version de l’accord de coopéra-
tion et de l’Exposé des motifs y afférent modifiée par les par-
ties concernées. Ces modifications, qui visaient à rencontrer
les exigences du Conseil d’État concernant entre autres la
protection de la vie privée, ont été bien accueillies par la
Commission :
• les finalités du traitement des données de loca-
lisation (ce qu’on appelle les « whereabouts ») des
sportifs d’élite sont à présent explicitement défi-
nies dans l’accord de coopération ;
possibilité d’envoyer la demande d’autorisation d’usage
à des fins thérapeutiques via la base de données ADAMS
( = Anti-Doping Administration and Management System) et
recommande dès lors qu’une telle demande se fasse
uniquement au moyen d’un courrier (recommandé ou
électronique) transmis directement à la CAUT.
• Informations recueillies lors des contrôles antido-
page :
La Commission regrette que le formulaire de convoca-
tion ainsi que le procès-verbal ne contiennent pas d’in-
formation sur la manière dont les données à caractère
personnel du sportif contrôlé seront traitées.
• Renseignements fournis par les sportifs d’élite relati-
vement à leur localisation :
La Commission estime qu’un tel traitement est propor-
tionné.
• Concernant le délai de conservation des données, le
projet d’arrêté prévoit que les données récoltées seront
conservées pendant huit ans, sauf les données de loca-
lisation qui seront, quant à elles, conservées 18 mois.
La Commission, se ralliant à l’avis du Groupe 29 (deu-
xième avis n° 4/2009 du Groupe 29 du 6 février 2009
sur le standard international pour la protection des
renseignements personnels de l’Agence mondiale anti-
dopage (AMA), sur les dispositions du code de l’AMA
s’y rapportant et sur d’autres questions relatives à la vie
privée dans le cadre de la lutte contre le dopage dans le
sport par l’AMA et les organisations (nationales) anti-
dopage), est d’avis que le délai de conservation des don-
nées de localisation de 18 mois est disproportionné et
demande à ce qu’il soit réduit.
• Le projet d’arrêté prévoit à plusieurs reprises, que des
données seront transférées à ou via le système ADAMS.
Ce système est établi dans un «pays tiers », à savoir au
Canada (à Montréal) et est soumis à la loi québécoise.
Le caractère adéquat du niveau de protection offert par
ce pays est encore actuellement examiné par les auto-
rités européennes. La Commission a fait remarquer
que le fait que le «niveau de protection adéquat » n’ait
48
• elle constate enfin que l’étude européenne visant
à déterminer si le système ADAMS, la plate-forme
d’échanges uniforme de l’AMA, qui est établi dans
ce qu’on appelle un «pays tiers », à savoir au Canada
(Montréal), offre bel et bien des garanties suffi-
santes pour un niveau de protection adéquat, est
encore en cours. Elle n’a encore reçu aucun signal
de l’autorité canadienne compétente selon lequel
le système ADAMS poserait problème au niveau de
la protection des données à caractère personnel.
Il s’agit de toute façon d’une question qui ne relève
pas exclusivement de la compétence de décision
autonome du demandeur de l’avis ou des autres
parties contractantes et qui ne peut donc pas leur
être intégralement imputée.
7.8.5 Avis n° 10/2011 du 25 mai 2011
• Organisation d’un accueil préscolaire d’enfants
• Traitement des données médicales et judiciaires
Le projet de décret qui a été soumis à l’avis de la Commis-
sion a pour but de faire de l’accueil préscolaire d’enfants un
service de base qui concrétise pleinement le droit de chaque
enfant et de chaque famille à un service de qualité.
Le projet consacre peu d’attention au traitement de données
à caractère personnel. Or, de tels traitements interviendront
inévitablement pour pouvoir organiser l’accueil des enfants,
et ce à divers niveaux : Kind & Gezin, les Contrôleurs, le
Guichet local d’Accueil d’enfants, les Organisateurs et les
Responsables des places d’accueil pour enfants. Dans son
avis, la Commission a dès lors plaidé pour que les éléments
essentiels de ces traitements soient ancrés dans le projet.
En outre, il était également question de traiter des données
médicales (données de santé des enfants ; certificat d’apti-
tude médicale des accompagnateurs) et des données judi-
ciaires (extrait du Casier judiciaire Modèle 2 des Respon-
sables et des accompagnateurs dans un milieu d’accueil).
• on retrouve dans l’Exposé une motivation plus sou-
tenue de la proportionnalité du traitement de ces
données de localisation ;
• on souligne la nécessité de confirmer par voie
décrétale que les données à caractère personnel
des sportifs peuvent être traitées en vue de la lutte
contre le dopage, en vue de promouvoir un sport
respectueux de la santé, de l’équité, de l’égalité et
de l’esprit sportif ainsi qu’en vue de planifier des
contrôles antidopage hors compétition ;
• l’accord exige que les données à caractère person-
nel relatives à la santé des sportifs soient traitées
sous la responsabilité d’un professionnel des soins
de santé.
La Commission a néanmoins encore formulé des remarques
supplémentaires :
• la Commission aurait préféré que l’accord de coo-
pération modifié comprenne un renvoi explicite
vers la LVP elle-même, ce qui est actuellement uni-
quement le cas dans l’Exposé de cet accord ;
• malgré la forte orientation sur les prescriptions de
l’Agence mondiale Antidopage (AMA), la LVP doit
toujours rester intégralement d’application, sur-
tout si elle offre davantage de garanties en matière
de respect de la vie privée que les prescriptions de
l’AMA ;
• en cas d’échange électronique de données (don-
nées de santé et données de localisation) entre
les parties contractantes, il conviendra de tenir
compte, outre de la LVP, également de la loi du
13 décembre 2006 portant dispositions diverses en
matière de santé, notamment en ce qui concerne la
compétence de la section Santé du Comité secto-
riel de la Sécurité sociale et de la Santé, ainsi que
du décret du 18 juillet 2008 relatif à l’échange électro-
nique de données administratives, notamment en ce
qui concerne la compétence de la Commission de
contrôle flamande) ;
Commission de la protection de la vie privée — rapport annuel 2011 49
d’un échange d’e-mails ou d’un rapport au conseil d’admi-
nistration, il ne peut en principe être question que du «don-
neur d’alerte ».
La Commission recommande également que le procès-ver-
bal du conseil d’administration où figure le nom du donneur
d’alerte ne soit plus mis à la disposition du personnel ou de
tiers que sous une forme anonymisée. Il va de soi qu’une
version intégrale du procès-verbal peut être conservée dans
les archives, pour autant que l’accès à ces dernières demeure
limité aux personnes habilitées.
Les recommandations susmentionnées doivent garantir à
l’avenir l’équilibre entre les intérêts du donneur d’alerte et
ceux de l’employeur.
7.8.7 Consultation publique cybersurveillance
Toute personne qui suit la problématique relative à la cyber-
surveillance ou au contrôle de l’employeur de l’utilisation
d’Internet et de la messagerie électronique par les travail-
leurs sait peut-être que la Commission vie privée s’est déjà
prononcée à plusieurs reprises sur ce sujet. Toutefois, il
reste d’actualité, raison pour laquelle la Commission a pris
l’initiative de réexaminer minutieusement la problématique
de la cybersurveillance. Cet examen a abouti à un dossier vo-
lumineux constitué d’un rapport juridique détaillé et d’une
série de recommandations pratiques et juridiques qui, en
2011, ont fait l’objet d’une consultation publique.
Dans ce dossier, il est important de garder à l’esprit que
pour l’organisation et la gestion de leurs activités profes-
sionnelles, les employeurs ont accès au contenu de toutes
les communications professionnelles de leurs travailleurs.
Certaines communications personnelles peuvent également
être contrôlées par l’employeur dans le contexte du travail,
mais uniquement en cas de suspicion d’abus par le travail-
leur. Il importe toutefois que dans les deux cas, les principes
de base de la loi vie privée soient respectés, à savoir un accès
uniquement pour des finalités déterminées, explicites et
Or, le projet ne fournissait pas non plus un cadre suffisant
pour ces traitements.
Enfin, le projet octroyait de très larges compétences de
recherche aux dénommés « Contrôleurs » (instances qui
contrôlent si les initiatives d’accueil d’enfants satisfont aux
règles).
Tous ces éléments ont concouru à ce que la Commission
émette un avis négatif sur le projet.
7.8.6 Avis n° 35/2011 du 21 décembre 2011
• Protection de l’identité de donneurs d’alerte
• Élaboration de directives qui prescrivent la discrétion
lors de toute forme de communication
Un fonctionnaire avait signalé certaines irrégularités à
son employeur mais n’avait pas été suffisamment entendu.
Il s’est donc adressé au médiateur flamand et a demandé le
statut protégé de donneur d’alerte.
Il ressort du procès-verbal de la réunion suivante du conseil
d’administration que le donneur d’alerte y était cité nommé-
ment. Les procès-verbaux du conseil d’administration sont
accessibles en interne par tous les membres du personnel et,
dans le cadre de la publicité de l’administration, ils peuvent
également être réclamés par des tiers.
En outre, le directeur général a adressé un e-mail aux direc-
teurs régionaux dans lequel il insistait pour que les mesures
nécessaires soient prises, en citant à nouveau nommément
le donneur d’alerte. L’ampleur exacte de la diffusion de
l’e-mail précité au sein de l’organisation fait l’objet d’une
contestation entre les parties.
La Commission recommande à l’employeur d’établir des
directives internes qui prescrivent la discrétion lors de toute
forme de communication susceptible de divulguer l’identité
d’un donneur d’alerte, au moins pendant la durée de l’en-
quête par le médiateur flamand et éventuellement pendant
toute la durée de la mise sous protection. Par exemple, lors
50
7.8.8 Avis n° 28/2011 du 9 novembre 2011
• Lutte contre l’écart salarial entre hommes et femmes ;
• Élimination de la ségrégation horizontale et verticale.
La proposition de loi s’appuie sur l’étude publiée par le
Steunpunt Werk en Sociale Economie (KUL) dans le WSE-
report n° 7-2010, dernière étude universitaire consacrée à
l’« écart salarial » intitulée « De samenstelling van de loon-
kloof in België, een onderzoek op basis van de Vacature Sa-
larisenquête 2008» qui atteste de la réalité de l’écart salarial
entre les travailleurs, les travailleuses étant sous-payées.
Son objectif est également de s’atteler à éliminer la ségréga-
tion «horizontale » (sous- ou surreprésentation des femmes
dans certains secteurs et dans certaines professions) et la
ségrégation «verticale » (sous-représentation des femmes
dans les professions dirigeantes) sur le marché du travail.
La proposition tient compte de recommandations émises
par l’Institut pour l’égalité des femmes et des hommes.
La question de la proportionnalité de l’ingérence dans
la vie privée se pose.
Après avoir rappelé, d’une part, que le principe de légalité (
à savoir l’article 2 de la Constitution) réserve au législateur
fédéral la possibilité de déterminer les exceptions au droit
du respect de la vie privée et familiale et implique, selon la
Cour d’arbitrage, que «toute ingérence des autorités dans le droit
au respect de la vie privée (…) soit prescrite par une disposition légis-
lative suffisamment précise, qu’elle corresponde à un besoin social
impérieux et qu’elle soit proportionnée à l’objectif légitime poursui-
vi », et, d’autre part, que l’article 8 de la C.E.D.H. commande
une « législation prévisible et proportionnelle », la Commission
a estimé que les « Développements » de la proposition de loi
justifient de façon convaincante l’ingérence proportionnée
dans la vie privée en raison de l’objectif poursuivi dans une
société démocratique, à savoir l’absence d’écart salarial fon-
dé sur le sexe.
légitimes (article 4, § 1, 2° de la LVP), uniquement un accès
adéquat, pertinent et non excessif au regard de ces finalités
(article 4, § 1, 3° de la LVP) et un accès uniquement moyen-
nant une information adéquate (article 9 de la LVP).
Étant donné que dans la pratique, le respect concret de ces
principes de base de protection de la vie privée peut varier
fortement, il était nécessaire de disposer d’un texte norma-
tif qui ferait la clarté, surtout si des données de communi-
cation électroniques personnelles sont en jeu. Ce texte est la
CCT n° 81 relative à la protection de la vie privée des travailleurs à
l’égard du contrôle des données de communication électroniques en
réseau.
À la lumière de tous ces éléments, la Commission a formulé,
à titre d’exemple pour l’employeur, un certain nombre de
règles de conduite sur la manière d’appréhender les règles
en matière de protection de la vie privée lors d’un contrôle
électronique. La principale recommandation est d’éviter le
double emploi du système de messagerie électronique pro-
fessionnel.
Dans ce contexte, le dossier «cybersurveillance » a été pré-
senté aux parties intéressées en toute franchise. En raison
du nombre important de questions que la Commission
reçoit de la part des différentes parties concernant cette
problématique et de la sensibilité du sujet, il lui a semblé
approprié de soumettre les documents à une consultation
publique qui s’est déroulée du 15 juillet 2011 au 30 novembre
2011 inclus.
Cette consultation publique a suscité des dizaines de réac-
tions, qui se sont provisoirement conclues par l’après-midi
d’étude que la Commission a organisé sur la question le
16 décembre 2011, dans l’hémicycle du parlement fédéral.
Début 2012, ces réactions seront également prises en consi-
dération lorsque la Commission promulguera les textes
définitifs en la matière.
Commission de la protection de la vie privée — rapport annuel 2011 51
impose au chef d’entreprise l’obligation de mentionner dans
le rapport le caractère limité de sa diffusion, c’est-à-dire
uniquement à ses destinataires, et le caractère strictement
confidentiel des données.
Quant à l’insertion d’un article 13/2 dans la loi du 10 mai 2007
tendant à lutter contre la discrimination entre les femmes et les
hommes qui prévoit sous certaines conditions que le chef
d’entreprise de chaque entreprise qui occupe habituelle-
ment en moyenne 50 travailleurs au moins peut désigner un
médiateur parmi les membres du personnel, la Commission
a exprimé le souhait d’être consultée lors de l’adoption des
arrêtés d’exécution.
Enfin, la Commission a demandé qu’il soit mentionné que
des mesures de sécurité doivent être adoptées dans le cadre
de ces traitements par le chef d’entreprise responsable et par
le médiateur et que la durée maximum de conservation des
données soit spécifiée.
La Commission a émis un avis favorable pour autant qu’il
soit tenu compte de ses observations.
7.8.9 Recommandation n° 03/11 du 25 mai 2011
• Prise de copie des cartes d’identité et leur lecture élec-
tronique
• Conscientisation des responsables de traitements
La Commission a émis une recommandation sur l’utilisa-
tion de la carte d’identité électronique afin de conscientiser
au respect de la loi vie privée les responsables de traitement
qui en font usage dans le cadre de leurs traitements de don-
nées.
À cette occasion, la Commission a recommandé que, pour
des raisons de sécurité, le module d’authentification de la
carte d’identité soit préféré au token pour l’authentification
de personnes lors de l’accès à des services en ligne conte-
nant des données à caractère personnel.
La proposition de loi modifiant un certain nombre de textes
de loi tend à une meilleure perception de l’écart salarial
entre les femmes et les hommes et vise à ce que ce thème
devienne permanent dans la concertation sociale. La Com-
mission considère donc que les traitements opérés au regard
de cette finalité nouvelle sont compatibles avec les disposi-
tions légales telles que modifiées (cf. l’article 4, § 1er, 2° de la
LVP) et sont par ailleurs admissibles au sens de l’article 5,
c) de la LVP.
La Commission a néanmoins fait observer de manière géné-
rale que le risque d’identification indirecte des personnes
concernées doit être pris en considération lors de l’analyse
de la pertinence des données traitées. À défaut de ne pouvoir
être évité, il convient dès lors chaque fois que cela s’avère
possible, de le restreindre sans que cela ne nuise de manière
significative à la finalité poursuivie par le traitement.
Ainsi, à propos de l’obligation faite par l’article 4 de la pro-
position de préciser dans le bilan social certaines données
salariales selon le sexe des travailleurs, la Commission a
estimé qu’en raison de la publicité des données ventilées
selon le sexe des travailleurs, toute mesure possible visant
à renforcer la protection contre le risque d’identification
indirecte devrait être recherchée. Elle a dès lors suggéré
que la dispense de remplir certaines rubriques limitée à
l’hypothèse où une seule personne est concernée soit revue
à la hausse et fixée à un seuil plus élevé qui n’aurait pas ou
qui aurait peu d’impact significatif par rapport à la finalité
poursuivie.
L’article 8 de la proposition inscrit dans la mission dévolue
au conseil d’entreprise, à défaut au comité pour la préven-
tion et la protection au travail, de recevoir tous les deux ans
du chef d’entreprise un rapport d’analyse sur la structure de
rémunération des travailleurs. Les informations, à insérer
dans ce rapport, sont ventilées chaque fois en fonction du
sexe des travailleurs. Ne concernant que des entreprises
occupant au moins 50 travailleurs, les risques d’identifica-
tion en dehors des destinataires sont donc réduits. La Com-
mission a cependant proposé que le texte de la proposition
52
usage la carte d’identité (ex. lecture uniquement de la don-
née «commune de résidence » pour l’octroi d’un tarif spéci-
fique octroyé aux habitants d’une commune qui accèdent à
un service particulier).
7.8.10 Suppression de l’application « Juif ou pas
Juif? » de l’iTunes App Store belge
Suite à l’action de la Commission, la SARL de droit luxem-
bourgeois iTunes a procédé à la suppression d’une applica-
tion intitulée « Juif ou pas juif » présente sur son magasin
applicatif «iTunes App Store » belge.
Ce programme informatique répertoriait l’appartenance
ethnique et religieuse de personnalités de plus de 50 pays.
En ce faisant, il exploitait des données à caractère personnel
sensibles dont le traitement est explicitement interdit par
l’article 6 de de la Loi vie privée.
La Commission a interpellé la SARL de droit luxembour-
geois iTunes gestionnaire de la boutique en ligne «iTunes
App Store » belge le 22/09/2011. En date du 18/10/2011, le logi-
ciel litigieux a été retiré de la vente en Belgique.
7.8.11 Médiation de la Commission en matière
d’accès aux archives de presse
La Commission a été saisie fin 2010 d’une plainte contre une
société éditrice d’un journal pour non-respect des disposi-
tions de l’article 4, § 1er, 2° et 3° de la Loi vie privée concer-
nant deux articles de presse relatifs à M. X, publiés dans ce
journal en 2007, et depuis toujours accessibles en ligne dans
les archives du site de l’éditeur.
Après avoir considéré que la plainte pouvait être considé-
rée comme recevable, la Commission a entendu les parties.
En réponse au plaignant, l’éditeur, responsable du traite-
ment, considérait que ce sont les moteurs de recherches
qui doivent prendre leurs responsabilités et désindexer un
article lorsque la demande leur en est adressée.
Ensuite, la Commission a rappelé les règles générales de
protection des données qui s’appliquent aux demandes de
présentation de carte d’identité auxquelles les citoyens sont
fréquemment confrontés. À cet égard, exiger la carte d’iden-
tité d’une personne à titre de caution n’est pas acceptable.
La Commission a également relevé que seule la présentation
de la carte d’identité apparaît nécessaire lors de l’élabora-
tion d’une carte de fidélité et ce uniquement s’il est prévu
que la carte de fidélité du client est d’usage strictement per-
sonnel.
En ce qui concerne la pratique actuelle de certains com-
merçants qui demandent à leurs clients d’utiliser leur
carte d’identité comme carte de fidélité, la Commission a
considéré que cela ne peut se faire que moyennant consen-
tement libre, spécifique et informé du client. De plus, une
alternative doit être proposée aux clients ne souhaitant pas
faire usage de leur carte d’identité à cet effet. En tout état de
cause, la Commission a considéré qu’il ne peut être question
d’utiliser pour cette finalité la photo du titulaire de la carte,
son numéro de carte d’identité, son numéro d’identification
au Registre national, sa nationalité ni son lieu de naissance.
La Commission a précisé à ce sujet qu’un codage (réversible
ou irréversible) du numéro du Registre national constitue
une utilisation de ce numéro.
La problématique de la prise de photocopie de la carte
d’identité a également été abordée au vu du risque de vol
d’identité que cela engendre. Selon la Commission, il ne
peut être pris de copie de la carte en dehors des cas pres-
crits légalement et il est recommandé au législateur de limi-
ter ces cas à ceux qui sont strictement nécessaires pour des
motifs d’intérêt public. Seulement en cas de nécessité, une
photocopie barrée de la carte d’identité peut être utilisée en
dehors des cas prescrits légalement. Sur celle-ci, le titulaire
de la carte mentionnera le nom du destinataire, l’usage qu’il
autorise et il raturera toutes les données non pertinentes.
Enfin la Commission a recommandé que soit encouragée la
mise en place de traitements de données anonymes faisant
Commission de la protection de la vie privée — rapport annuel 2011 53
Après divers échanges et dans le souci de trouver une solu-
tion dans le cadre de la médiation, la société éditrice a ac-
cepté, à titre tout à fait conservatoire, de poser les balises
qui empêcheraient les moteurs de recherche d’indexer à
nouveau les articles visés par la plainte. Elle a proposé
d’indiquer «noindex » permettant de désindexer les articles
concernés dans l’attente d’une solution structurelle.
Le plaignant ayant accepté cette proposition, la Commis-
sion a constaté l’accord des parties et acté la conciliation dès
lors que les mesures proposées par la société éditrice soient
mises en œuvre dans les trente jours de la notification du
procès-verbal.
54
• les conséquences de la mondialisation et les flux trans-
frontières de données ;
• le développement des technologies, en particulier l’In-
ternet ;
• l’importance d’une protection efficace dans les do-
maines de la police et de la justice ainsi qu’à la lumière
de la tendance à réutiliser systématiquement des don-
nées personnelles du secteur privé afin de respecter la
loi.
La Conférence insiste par ailleurs sur la nécessité d’une ap-
proche qui prenne non seulement en compte le cadre euro-
péen mais également le contexte international et la néces-
sité de normes mondiales de protection des données.
8.1.2 Conférence internationale des
Commissaires à la protection des données
• Mexico, 1-3 novembre 2011
• Adaptation de la réglementation en vigueur aux nou-
velles technologies
La Conférence internationale des Commissaires à la protec-
tion des données et à la vie privée rassemble chaque année
des experts des quatre coins du monde, actifs auprès d’auto-
rités de protection des données (ci-après DPA, de l’anglais
Data Protection Authorities), d’entreprises, d’ONG, d’univer-
sités, de mouvements citoyens, etc. afin de débattre et de
discuter de l’avenir de la vie privée et de la protection des
données au 21ème siècle.
La 33ème conférence internationale s’est tenue à Mexico et a
été organisée par nos collègues du Mexique, l’Institut Fédé-
ral d’Accès à l’Information et de la Protection des Données
8.1 Conférences internationales
8.1.1. Conférence européenne des Commissaires
à la protection des données
• Bruxelles, le 5 avril 2011
• Plaidoyer pour un cadre global (et mondial) de protec-
tion des données personnelles
Lors de leur conférence de printemps à Edimbourg en 2009,
les autorités européennes de protection des données avaient
adopté une déclaration dans laquelle elles faisaient part
de leur intention de promouvoir la nécessité d’établir des
normes élevées en matière de protection des données dans
tous les domaines de la vie quotidienne. Cette déclaration
avait été confirmée lors de la conférence 2010 de Prague.
La Conférence de printemps 2011 qui s’est tenue à Bruxelles
a soutenu fortement le fait que la Commission européenne
ait pris une première mesure concrète vers une approche
globale [soit une approche «transpilier », incluant les
domaines de la police et de la justice] de la protection des
données dans l’Union européenne en adoptant la commu-
nication 2010 (609) le 4 novembre 2010. Le contenu de cette
recommandation avait largement été rapporté dans le rap-
port annuel 2010.
Aux termes d’une « Résolution sur la nécessité d’un cadre
global de protection des données », en gardant à l’esprit
l’intention de la Commission européenne d’adopter, dans le
courant de l’année 2011, une proposition pour un nouveau
cadre légal, la Conférence a rappelé les principaux défis à
relever dans ce nouveau cadre parmi lesquels :
8 Les principales activités internationales de la Commission
Commission de la protection de la vie privée — rapport annuel 2011 55
technologiques internationaux auxquels sont confron-
tées les autorités de protection des données (dévelop-
pement des réseaux sociaux, etc). La mise en commun
des expériences de chacune des autorités (notamment,
en matière d’enquêtes et de contrôles) sera également
un point important qui pourra permettre à tous un
traitement efficace des affaires mondiales. Le Canada
informera le Comité exécutif du résultat de ses travaux.
Un appel a également été lancé afin d’inciter les auto-
rités de protection des données à devenir membre du
GPEN (Global Privacy Enforcement Network), réseau
de coopération transfrontière. La Commission vie pri-
vée est devenue membre du GPEN en décembre 2011.
• Résolution sur l’usage d’un identifiant unique dans le
déploiement du protocole Internet version 6 (résolu-
tion IPV6) ; sur proposition de la DPA Allemagne et co-
sponsorisée par la Commission vie privée (Belgique).
Le Groupe de Berlin s’est spécialement intéressé en
2011 à la problématique de la protection des données
personnelles dans le cadre du déploiement du proto-
cole IPv6. Le Secrétariat de la Commission, répondant à
l’invitation du Groupe, a proposé un texte développant
le point de vue des autorités de protection des données
à ce sujet, réactualisant ainsi le working paper existant.
À la demande de l’Allemagne, ce texte a ensuite été pro-
posé à la 33e Conférence internationale pour adoption.
• Resolution on Data Protection and Major Natural Di-
sasters, sur proposition de la DPA New Zealand
• Accréditation de nouveaux membres. Les DPA sui-
vantes ont été accréditées pour participer aux séances
à huis clos de la conférence, en qualité de membres
observateurs :
▪ DPA Bosnie-Herzégovine
▪ DPA Maroc
(IFAI) sous le thème « Privacy : The Global Age ». Elle a mis
en évidence la nature mondiale du traitement des données
personnelles ainsi que leur protection et a permis l’adoption
de la « Déclaration de la Ville de Mexico »
La portée mondiale croissante des technologies de l’infor-
mation (telles que l’Internet, la téléphonie mobile) constitue
un défi qui nécessite l’élaboration de normes, de standards
et de méthodologies au niveau international.
Les différentes sessions de la Conférence ont mis à nouveau
en lumière la croissance expansive des ordinateurs, des
moyens de communication, de l’analyse des données, de
la prolifération rapide des données personnelles, des nou-
velles formes de stockage d’informations sous la forme de
bases de données de grande capacité.
On exige des autorités de protection des données et de la
vie privée une protection plus effective du droit fondamen-
tal à la vie privée dans cette nouvelle ère de transformation
rapide et ce, quelles que soient les différences culturelles et
la diversité des acteurs intéressés.
Les séances à huis clos du 1er novembre ont abouti à l’adop-
tion de plusieurs décisions :
• Résolution sur la coordination de l’application des
dispositions en matière de protection de la vie privée
à l’échelle internationale. Sur proposition du Canada
et du Royaume-Uni, cette résolution est axée sur diffé-
rents domaines : la mise à profit des mesures de coo-
pération existantes, la modification des législations
afin de supprimer les obstacles à la coopération inter-
nationale et l’établissement d’un groupe de travail tem-
poraire qui élaborera de nouveaux processus de coor-
dination entre autorités de protection des données.
Ce groupe de travail se réunira au Canada en mai 2012 et
regroupera plusieurs DPA qui se pencheront sur toutes
ces questions fondamentales pour garantir une meil-
leure coordination et une coopération afin de pouvoir
réagir rapidement et efficacement aux développements
56
(la CNIL : http ://www.cnil.fr/la-cnil/nos-defis/francopho-
nie/lafapdp/ ), a pour mission de favoriser la coopération
et les actions de formation entre les pays de la francopho-
nie dans le domaine de la protection des données person-
nelles. Elle vise à offrir aux autorités de protection des
données nouvellement installées une structure d’accueil
et d’échange. Elle constitue également un pôle d’expertise
pour les pays non encore dotés d’une législation en matière
de protection des données.
Ce nouvel organisme de la Francophonie s’est également
donné pour mission de participer au dialogue relatif à la
mise en œuvre de la protection de la vie privée et des don-
nées personnelles avec les organisations internationales
telles que l’ONU, l’Union européenne ou encore l’APEC (As-
sociation pour le développement économique de l’Asie-pa-
cifique). L’AFAPDP a reçu le statut d’observateur aux travaux
du Comité consultatif de la Convention pour la protection
des personnes à l’égard du traitement automatisé des don-
nées à caractère personnel du Conseil de l’Europe (Conven-
tion 108).
Deux événements majeurs ont marqué les travaux de
l’AFAPDP en 2011 :
Le séminaire de Dakar : mobilisation des acteurs de la
protection des données en Afrique francophone
Organisés avec le soutien de l’Organisation internationale
de la Francophonie (OIF) et de la nouvelle Commission de
protection des données du Sénégal (nommée en juin 2011),
les trois jours de réunions tenues à Dakar avaient pour ob-
jectif de poursuivre le programme de formation entamé en
novembre 2010 à Paris et de préparer la Conférence annuelle
et l’Assemblée générale de l’association prévues quelques
semaines plus tard à Mexico. Une cinquantaine de représen-
tants francophones d’autorités de protection des données et
d’États souhaitant se doter d’une loi de protection des don-
nées (tels que la Côte d’Ivoire, la République démocratique
du Congo, le Liban…) a ainsi assisté à deux jours de sémi-
naire répartis en sept ateliers stratégiques (priorités des
• Rapport du Comité Exécutif Intérimaire chargé
des dispositions organisationnelles de la Confé-
rence internationale des commissaires
Ce comité, composé de l’organisateur de la 33e confé-
rence internationale et des organisateurs des trois édi-
tions précédentes, a été chargé de préparer l’avenir de la
conférence et de définir la mission et les objectifs de la
conférence, parmi lesquels la coopération internatio-
nale dans le cadre du contrôle du respect des normes.
Le Comité exécutif intérimaire a élaboré une série de
règles et procédures qui ont été considérées et adoptées
lors de la séance à huis clos de la Conférence. Elles sont
basées sur les pratiques actuelles de la Conférence et
visent à faire en sorte que la Conférence internationale
devienne plus qu’une réunion annuelle des commis-
saires à la protection des données. Par ailleurs, le rap-
port a mis en avant la nécessité pour la Conférence de
disposer de son propre site Internet.
La 34e Conférence internationale aura lieu en 2012 en Uru-
guay.
Le programme de la Conférence, la Déclaration de la Ville
de Mexico, le rapport du Comité exécutif intérimaire ainsi
que les résolutions sont disponibles sur le site officiel de la
33e Conférence : http ://www.privacyconference2011.org/ ou
sur le site de la Commission http ://www.privacycommis-
sion.be (rubrique « À propos de la CPVP/International »).
8.1.3 Conférence de l’AFAPDP
Créée en 2007, l’Association francophone des autorités de
protection des données personnelles (AFAPDP) réunit une
trentaine d’autorités de protection des données (régionales
et nationales) de pays membres de l’Organisation Interna-
tionale de la Francophonie (OIF : http ://democratie.franco-
phonie.org/rubrique.php3?id_rubrique=917), dont la Com-
mission belge de la protection de la vie privée.
Cette jeune association, dont le siège est établi à Paris dans
les locaux de l’autorité française de protection des données
Commission de la protection de la vie privée — rapport annuel 2011 57
Les sujets suivants ont été abordés et ont fait l’objet d’une
discussion générale :
• La responsabilité sociale des entreprises (RSE) en
matière de protection des données personnelles.
Les entreprises qui travaillent sur le territoire de la fran-
cophonie recueillent des données des citoyens franco-
phones et doivent à cet égard assurer la sécurité de ces
données mais également une sécurisation adéquate et
appropriée lorsqu’elles sont exportées dans une autre
juridiction, un autre Etat. À cette occasion, le président
de l’AFAPDP a rappelé les différents outils de la RSE
qui existent actuellement. Il s’agit principalement de
la protection intégrée de la vie privée dès la conception
(privacy by design), la formation des employés chargés
des ressources humaines pour protéger les données à
caractère personnel des salariés, les procédures d’au-
dits internes et externes pour vérifier ces mesures de
sécurité, les règles d’entreprises contraignantes, la
désignation de délégués à la protection des données.
• Le principe d’ «accountability » dans la législation
fédérale du Canada a été mis en avant avec ses spéci-
ficités relatives à la qualité de l’ «administrateur » à la
protection des données, au principe de transparence et
de gouvernance, aux obligations légales qui incombent
aux entreprises et à leur responsabilité (ex : Google
Wifi, Facebook, Sony).
• Les règles d’entreprises contraignantes (REC) : exemple
de bonne gouvernance (code de bonnes conduites) qui
fixe un cadre d’actions et des responsabilités privées
pour les transferts de données réalisés par des mul-
tinationales. La recherche et la définition d’un réfé-
rentiel de principes commun aux autorités de la Fran-
cophonie s’avère utile et une résolution a été adoptée
dans ce sens lors de l’Assemblé Générale. Un groupe de
travail sera mis en place pour réfléchir à un instrument
francophone (à l’instar de ce qui existe au niveau euro-
péen), pour développer un référentiel commun, pour
réfléchir à des règles générales pour la Francophonie
autorités de contrôle, indépendance et financement, outils
de communication, relations avec le public) et thématiques
(état civil et processus électoraux, transferts de données,
télécommunications) et à une présentation des travaux de
modernisation de certains textes régionaux et internatio-
naux de référence en matière de protection des données per-
sonnelles (Convention 108, Directive européenne, Lignes
directrices de l’OCDE,…). Pour tirer pleinement parti de
ce premier événement organisé en Afrique par l’AFAPDP,
une rencontre régionale s’est également tenue sur le thème
« Pourquoi et comment adopter une loi de protection des
données personnelles ?» et sur l’illustration des grands
principes de ce droit. Ouverte au public, cette rencontre a
réuni 150 représentants d’institutions publiques, d’entre-
prises et d’associations sénégalaises et a atteint son objectif
: sensibiliser la société civile sénégalaise aux enjeux de la
protection des données personnelles.
La 5e Conférence annuelle et Assemblée générale des
Commissaires à la protection des données person-
nelles de la Francophonie (31 octobre 2011)
La 5e Conférence de l’AFAPDP s’est tenue à Mexico le
31 octobre 2011 et a précédé la 33e Conférence internationale
des Commissaires à la protection des données qui a eu lieu
du 1er novembre au 3 novembre 2011. L’objectif de la confé-
rence annuelle est de rapporter l’ensemble des travaux et
réflexions menés sur la responsabilité sociale d’entreprise
(RSE) et sur le développement du droit à la protection des
données en Afrique.
Un des objectifs principaux est également de montrer qu’il
existe au sein de la Francophonie une vision commune et
dynamique de la protection des données ; une vision qu’il
faut porter sur la scène internationale, au sein même de la
conférence internationale des commissaires à la protection
des données.
58
Mexico, de 4 résolutions. Un bref résumé de chacune d’elle
figure ci-dessous.
Résolution soutenant le projet de définir un référentiel
de principes commun aux autorités francophones
pour encadrer les transferts de données personnelles
entre entreprises
• Un référentiel commun de principes de protection des
données pour les Etats de la francophonie
• Une procédure destinée à évaluer le caractère adéquat
des garanties offertes par les entreprises multinatio-
nales lors de transferts au sein et en dehors de l’espace
francophone
• Vers une reconnaissance mutuelle
L’AFAPDP s’y déclare partisane d’une approche globale et
harmonisée pour l’encadrement des transferts de données
personnelles entre États de l’espace francophone et vers des
États n’assurant pas un niveau de protection adéquat. Dési-
reuse de développer la confiance mutuelle, l’association ins-
titue un groupe de travail chargé, dans un premier temps, de
développer un référentiel commun à l’ensemble des autori-
tés de la francophonie à l’aune duquel il sera permis d’appré-
cier le caractère adéquat de la protection apportée aux trans-
ferts de données entre États de l’espace francophone ou vers
d’autres États n’assurant pas un niveau de protection adé-
quat. Quant aux transferts de données des entreprises éta-
blies dans l’espace francophone en particulier (et s’inspirant
des mécanismes et procédures des clauses contractuelles
types et des règles d’entreprises contraignantes (BCR) au
sein de l’Union européenne), l’association confie également
au groupe de travail la tâche de créer un mécanisme de coo-
pération entre autorités destiné à promouvoir une évalua-
tion coordonnée de la mise en œuvre effective de garanties
en matière de protection des données par les entreprises
exportant des données depuis plusieurs États francophones
vers d’autres relevant du même espace ou hors celui-ci vers
des pays n’assurant pas un niveau de protection adéquat.
et enfin, pour chercher des mécanismes de coopération
renforcée entre autorités de la Francophonie.
• La protection des données à caractère personnel dans
l’espace africain. Ce sujet a permis à nos collègues afri-
cains d’expliquer les difficultés rencontrées pour faire
connaitre la législation «vie privée » à leurs citoyens.
Celles-ci sont liées au manque d’alphabétisation, aux
problèmes linguistiques et au manque de connaissance
des véritables enjeux du traitement des données à carac-
tère personnel. Afin d’y faire face, des solutions inter-
médiaires ont pu être mises en place dont par exemple
la création de clips vidéo sous forme de sketches.
• Les défis pour la Commission marocaine de protection
des données (CNPD) et les enjeux du niveau de protec-
tion adéquat pour le transfert de données.
Les quatre résolutions adoptées par l’Assemblée géné-
rale de l’AFAPDP à Mexico
Dans le prolongement des travaux menés à Dakar, les parti-
cipants ont souhaité que l’association s’exprime davantage
sur les principaux sujets internationaux et propose des solu-
tions concrètes pour renforcer le droit à la protection des
données au niveau national et international. Les autorités
membres ont ainsi proposé de définir un référentiel com-
mun aux autorités de l’espace francophone pour faciliter les
transferts de données par les entreprises et, sur la base de
ce référentiel, d’instituer un mécanisme de coopération qui
permettrait de fluidifier les flux de données tout en assurant
un haut niveau de protection des droits des personnes. Elles
se sont également prononcées sur la nécessité de rappeler les
critères de véritable indépendance des autorités de protec-
tion des données, critères inspirés des lois nationales et de
l’ensemble des textes internationaux ; ou encore sur le rôle
des autorités en matière de sensibilisation du grand public,
en s’engageant à échanger plus d’informations et de maté-
riel de communication. Ces réflexions ont conduit à l’adop-
tion, par l’Assemblée générale de l’AFAPDP au cours de sa
5e assemblée générale qui s’est déroulée le 31 octobre 2011 à
Commission de la protection de la vie privée — rapport annuel 2011 59
sions par l’autorité et une contribution effective à
l’application de la réglementation de la protection
des données personnelles et de la vie privée ;
▪ Autonomie de gestion du personnel : l’autorité
est habilitée à déterminer les qualités et le niveau
d’expertise nécessaires de son personnel et à orga-
niser ses services en fonction de ses besoins.
Résolution pour une sensibilisation efficace de la
société à la protection des données personnelles
• Communiquer pour se faire connaître et garantir une
meilleure protection
• Échanger pour accroître l’effectivité de la protection
des données
Aux termes de cette résolution, les autorités de protection
des données membres de l’AFAPDP rappellent l’un des
objectifs majeurs poursuivis par l’association, soit la pro-
motion et la protection effective des données personnelles.
Elles font le constat de la connaissance insuffisante des lois
de protection de la vie privée et des données personnelles de
même que des missions qui leur sont confiées et des acti-
vités qu’elles développent. Pour tenter d’y remédier, elles
expriment leur volonté de continuer à informer leurs par-
lements et pouvoirs publics de l’existence et des exigences
des règlementations en matière de protection des données,
de leurs missions, actions, préoccupations et suggestions.
Elles s’engagent également à poursuivre leurs efforts de
vulgarisation par le biais de supports variés, tels brochures,
sites Internet, vidéos et campagnes de communication au
plus près du terrain et ce, afin de les rendre plus accessibles
à tous, en ce compris aux groupes les plus vulnérables tels
les jeunes. Afin de diffuser davantage la culture de la protec-
tion des données personnelles, l’AFAPDP indique souhaiter
encourager la désignation de «délégués » à la protection des
données au sein des entreprises privées et des organismes
publics (le préposé au sens de la Loi vie privée). Enfin, les au-
L’objectif final étant de faciliter la reconnaissance mutuelle
de ces garanties à l’aune du référentiel commun de principes
dégagés dans un premier temps. À suivre en 2012...
Résolution relative à la nécessaire indépendance des
autorités de protection des données personnelles
Aux termes de cette résolution, l’AFAPDP réaffirme le néces-
saire respect et l’indispensable mise en œuvre d’une indé-
pendance effective des autorités de protection des données.
Que signifie cette indépendance ? Comment se traduit-elle ?
Aux yeux des autorités membres de l’AFAPDP — dont la
CPVP —, l’indépendance inclut les caractéristiques sui-
vantes :
• un texte fondateur constitutionnel ou législatif doit
être à l’origine de la création de l’autorité de protection
des données personnelles ;
• l’indépendance s’entend d’une absence totale d’ins-
truction, qu’elle soit directe ou indirecte, de la part du
pouvoir exécutif ou de toute autre entité ;
• l’indépendance existe lorsque plusieurs critères cumu-
latifs sont rencontrés : indépendance des membres,
autonomie budgétaire, moyens financiers suffisants et
autonomie dans la gestion du personnel :
▪ Indépendance des membres : elle impose des mo-
dalités légales de nomination claires et objectives
précisant notamment les fonctions et/ou les in-
térêts incompatibles avec le mandat de membre.
La durée de ce mandat doit être déterminée et
suffisante. Les membres ne peuvent, sauf circon-
stances exceptionnelles, être révoqués au cours de
l’exercice de leur mandat ;
▪ Autonomie budgétaire : elle implique la dotation
de ressources propres et suffisantes pour garantir
le bon exercice de ses missions ;
▪ Moyens financiers suffisants : seul un budget
suffisant permet un exercice adéquat de ses mis-
60
Plus d’infos : http ://www.cnil.fr/la-cnil/nos-defis/franco-
phonie/lafapdp/
8.2 Groupe de travail protection des données « Article 29 » – Groupe 29 (G29) et groupes de travail « groupe 29 »
8.2.1 Groupe 29
• Groupe de travail de l’Union européenne ;
• Autorités européennes de protection des données (les
CPVP européennes) ;
• Application harmonisée de la réglementation UE en
matière de protection des données ;
• Travail aussi en sous-groupes de travail auxquels par-
ticipe la CPVP.
L’article 29 de la Directive européenne 95/46/CE (appelée la
Directive vie privée) prévoit la création d’un organe consul-
tatif indépendant expert en matière de protection de la vie
privée et de protection des données. Ce groupe se compose
des DPA des 27 États membres de l’UE ainsi que du Contrô-
leur européen de la protection des données et de représen-
tants de la Commission européenne.
Le groupe 29 fournit une expertise à la Commission euro-
péenne, tend à une application harmonisée des dispositions
de la Directive vie privée dans les divers États membres,
conseille la Commission en ce qui concerne les mesures
communautaires (en matière de traitement de données à ca-
ractère personnel) qui peuvent avoir un impact sur les droits
et libertés des citoyens et émet des recommandations à l’in-
tention du grand public et des institutions européennes, en
particulier en ce qui concerne la protection de la vie privée et
le traitement de données en Communauté européenne.
La Commission vie privée est un membre actif du Groupe 29
dont les avis sont disponibles en ligne (http ://ec.europa.
eu/justice/policies/privacy/workinggroup/wpdocs/2011_
en.htm). Les principales activités du Groupe 29 en 2011 sont
définies ci-après.
torités se déclarent désireuses d’échanger davantage entre
elles, tant en termes d’expériences pratiques que de docu-
mentation utile.
Résolution sur l’utilisation de la langue française à la
Conférence internationale des commissaires à la pro-
tection des données personnelles et de la vie privée
• L’usage d’une langue commune est vecteur de coopé-
ration ;
• 39 états francophones sont dotés d’une « Loi vie privée »
• Préserver la diversité culturelle et linguistique au sein
des forums internationaux.
Aux termes de cette résolution, l’AFAPDP relève qu’en 2011,
39 Etats de la francophonie étaient dotés d’une législation
de protection des données personnelles. Elle souligne que
l’usage d’une langue (française) commune facilite la coo-
pération entre autorités de protection des données person-
nelles et est de nature à favoriser une meilleure protection
du droit fondamental à la protection des données et son
rayonnement international. Constatant que la langue fran-
çaise est exclue de la Conférence internationale des com-
missaires à la protection des données personnelles et de la
vie privée - laquelle exclut de fait la participation d’un cer-
tain nombre d’États francophones -, l’AFAPDP plaide pour la
préservation d’une diversité culturelle et linguistique dans
les forums internationaux en général et au sein de la Confé-
rence internationale en particulier. Elle demande en ce sens
que tant l’interprétation que la traduction des documents
discutés lors de la session fermée (réservée aux autorités de
protection) soient garanties.
Année après année, l’AFAPDP, en plus de renforcer sa capa-
cité d’action et d’expertise, devient un instrument au service
des autorités francophones de protection des données per-
sonnelles. La forte synergie entre les autorités francophones
de protection des données, réaffirmée à chaque rencontre
organisée par l’association, a fait la réussite des travaux de
Dakar et de Mexico en 2011.
Commission de la protection de la vie privée — rapport annuel 2011 61
de la personne concernée, en particulier dans l’environne-
ment en ligne, ne constitue pas un consentement valable.
Cette question se pose, notamment, dans le cas de l’utilisa-
tion de paramètres par défaut que la personne concernée est
tenue de modifier pour refuser le traitement. Il peut s’agir,
par exemple, de l’utilisation de cases précochées ou des
paramètres d’un navigateur Internet configurés par défaut
pour autoriser la collecte de données.
Cet avis répond notamment à une demande formulée par
la Commission dans le cadre de la révision en cours de la
directive «protection des données ». Il contient donc des re-
commandations à prendre en compte aux fins de cette révi-
sion. Parmi celles-ci, on retiendra qu’il y a lieu :
• de clarifier le sens de l’expression «consentement indu-
bitable » et d’expliquer que seul un consentement fondé
sur des déclarations ou des actions marquant un accord
peut être considéré comme valable ;
• d’exiger des responsables du traitement qu’ils mettent
en place des mécanismes pour démontrer le consente-
ment (dans le cadre de l’obligation générale de rendre
compte) ;
• d’ajouter une exigence explicite concernant la qualité
et l’accessibilité des informations servant de base au
consentement, ainsi que
• de considérer les propositions formulées concernant
les mineurs et d’autres personnes juridiquement inca-
pables.
Future of Privacy : vers un nouveau cadre réglementaire
de la protection des données
Le rapport annuel 2010 consacrait un partie important du
chapitre relative aux activité internationales de la Commis-
sion de la protection de la vie privée aux travaux en cours
relatifs à la révision du cadre règlementaire de la protection
des données, en particulier à la Communication « A com-
prehensive approach on personal data protection in the EU»
Concepts de base de la protection des données
Comme l’indiquait déjà le rapport annuel 2010, le cadre juri-
dique actuel (qui comprend la Directive 95/46/CE relative à
la protection des données) nécessite d’être revu. Les inno-
vations techniques telles que l’Internet mobile et l’informa-
tique dans les nuages (le cloud computing) associées à la
globalisation sans cesse croissante, ont pour effet de rendre
toujours plus complexe et nécessaire, l’interprétation et
l’application harmonisées des réglementations en matière
de protection de la vie privée et des données à caractère per-
sonnel. En 2010, le Groupe 29 avait très largement contribué
à cette réflexion en adoptant plusieurs avis sur les concepts
de base tels «le droit national applicable », «le principe de
responsabilité (accountability)», le «responsable de traite-
ment » et le «sous-traitant ». Le Groupe 29 a poursuivi dans
cette voie en 2011 en adoptant un important avis sur la no-
tion clé de «consentement ».
Avis n° 15/2011 sur la définition du consentement
• Conditions d’un consentement valable ;
• Base de légitimité du traitement de données person-
nelles.
Cet avis fournit une analyse approfondie du concept de
consentement, tel qu’il est actuellement utilisé dans les di-
rectives «protection des données » et «vie privée et commu-
nications électroniques ». S’appuyant sur l’expérience des
membres du groupe de travail « Article 29», l’avis présente
de nombreux exemples de consentement valable et non va-
lable, en se concentrant sur ses éléments fondamentaux tels
que le sens des termes «manifestation de volonté », «libre »,
«spécifique », «indubitable », «explicite », «informée », etc. Il
précise aussi certains aspects liés à la notion de consente-
ment, comme le moment où celui-ci doit être obtenu, la dif-
férence entre le droit d’opposition et le consentement, etc.
Une des conclusions majeures de cet avis est la suivante : en
principe, un consentement fondé sur l’inaction ou le silence
62
absolument nécessaire que les pouvoirs des autorités
de protection des données soient harmonisés (voir éga-
lement l’advice paper sur la mise en œuvre pratique de
l’article 28(6) de la Directive 95/46/CE). Il faudrait éga-
lement disposer d’un mécanisme garantissant l’appli-
cation harmonisée du cadre légal européen dans des
affaires de contrôle concrètes. Le Groupe de travail 29
devrait lui-même être habilité à garantir la conformité
dans des affaires transfrontalières, par exemple en
adoptant des avis ayant un caractère plus contraignant
(au niveau de l’orientation et de la coordination des ac-
tions des autorités de protection des données). Toute-
fois, pour y parvenir, le Groupe de travail devrait avoir
suffisamment d’autonomie et d’indépendance, ce qui
impliquerait de disposer de son propre budget et de son
propre secrétariat permanent.
• la nécessité d’un cadre réglementaire global : incluant
l’ancien troisième pilier, incluant une structure globale
de contrôle et de coopération efficace entre autorités de
contrôle.
Par ailleurs, à la demande expresse de Madame V. Reding,
vice-présidente de la Commission européenne et commis-
saire en charge de la Justice, des droits fondamentaux et de
la citoyenneté, le Groupe 29 a rendu plusieurs avis l’infor-
mant de sa vision au regard (1) de ce qu’il faut entendre par
«données sensibles » et (2) de l’opportunité de maintenir / de
simplifier l’obligation de déclaration dans le chef du respon-
sable de traitement aux termes du cadre règlementaire révi-
sé de la protection des données dans l’Union européenne.
De même, la coopération entre autorités de protection des
données a fait l’objet d’un avis de la part du Groupe de tra-
vail. Les principales conclusions de ces 3 avis sont décrites
ci-dessous. Elles éclairent le lecteur sur les enjeux de la révi-
sion du cadre règlementaire et sur les orientations suggérées
par les autorités de protection des données basées sur leur
expérience pratique depuis près de 25 ans pour certaines.
(COM(2010) 609 final) du 4 novembre 2010. Appelé à réagir
à cette communication, le Groupe 29 a indiqué qu’il sou-
haitait que les thèmes ci-après soient développés plus avant
dans le cadre réglementaire futur :
• renforcement des droits des personnes concernées :
droit à l’oubli et «mécanismes de recours collectifs » ;
• le droit à l’oubli : sa valeur ajoutée devrait être clarifiée
au-delà des droits existants tels que le droit de sup-
pression de données, le droit de rectification ou le droit
d’opposition ;
• mécanisme de recours collectif : le Groupe de travail
encourage la Commission à poursuivre fermement
son ambition de garantir le recours collectif en éten-
dant aux autorités de protection des données le pouvoir
d’intenter une action en justice, de même qu’aux orga-
nisations de la société civile et aux associations repré-
sentant les intérêts des personnes concernées ;
• attention accrue pour le concept de responsabilité. Voir
à cet égard le rapport annuel 2010 qui renvoyait à l’avis
approuvé par le Groupe 29 sur ce sujet ;
• concept de « Privacy by design » ;
• reconnaissance mutuelle concernant les flux de don-
nées transfrontaliers : pour être capable de dispo-
ser du même niveau de protection dans tous les États
membres de l’UE, il est crucial que toutes les autorités
de protection des données disposent de budgets relati-
vement égaux en proportion du nombre de contrôleurs
de données qu’elles régissent et du nombre de per-
sonnes dont les données sont traitées. Un tel finance-
ment adéquat est d’autant plus nécessaire que le nou-
veau cadre global élargira et étendra les obligations et
missions de contrôle des autorités nationales de pro-
tection des données ;
• renforcement des compétences du Groupe 29 : à l’heure
où les opérations de traitement de données sont de plus
en plus souvent à caractère transfrontalier et où les
autorités nationales de protection des données sont de
plus en plus confrontées à des problématiques de pro-
tection des données similaires dans toute l’UE, il est
Commission de la protection de la vie privée — rapport annuel 2011 63
Advice paper on the practical implementation of the article
28(6) of the Directive 95/46/EC
• Coopération accrue entre DPA ;
• Responsable du traitement établi dans plusieurs États
membres de l’Union ;
• Rôle du Groupe 29 ;
• Harmonisation des compétences des DPA.
La coopération entre autorités de protection des données
est essentielle. Les traitements de données ne connaissent
pas de frontières étatiques. Qu’il s’agisse d’enquêter et de
sanctionner un responsable de traitement présent dans
plusieurs États membres de l’Union (multinationales), qu’il
s’agisse de traiter d’une plainte au regard de traitements de
données opérés par un responsable de traitement affectant
des citoyens résidant dans plusieurs États membres ou qu’il
s’agisse de rassembler des éléments de preuve de traite-
ments de données pour une autre autorité de protection des
données compétente, une telle coopération est, à ce jour, la
condition essentielle d’une protection effective des données
personnelles. Aux termes de son avis, le Groupe 29 émet
7 conclusions et recommandations :
• Pour garantir une application uniforme des grands
principes de protection des données dans l’UE, le
nouveau cadre devrait réduire les possibilités de diver-
gences nationales à propos des grands principes au mi-
nimum compatible, tout en respectant la culture légale
et les traditions administratives ;
• La Commission devrait envisager d’élaborer des règles
octroyant aux autorités le droit de demander à d’autres
autorités toutes les informations pertinentes ainsi que
la coopération, et chargeant les autorités d’informer,
sur demande et de leur propre initiative, d’autres auto-
rités dans un délai raisonnable de toute information de
contrôle pouvant avoir des répercussions significatives
au niveau européen ou pouvant affecter significative-
ment les autres autorités de protection des données ;
Advice paper on notification
• Déclaration des traitements dits «à risque » ;
• Flexibilité dans la détermination de ces traitements
dits «à risque » ;
• Européanisation de la déclaration (formulaire).
Comment pourrait-on simplifier et harmoniser l’actuel sys-
tème de déclaration afin de limiter la charge administrative
pour les responsables de traitements, tout en continuant à
garantir à la personne concernée une protection efficace ?
Dans son avis, le Groupe de travail reconnaît que les mé-
thodes actuelles concernant la déclaration sont diverses
et que les autorités ont des points de vue divergents sur la
manière dont un futur système devrait fonctionner :
• les autorités de protection des données sont favorables
à une approche sur la base d’une liste positive, où les
responsables de traitements doivent mentionner des
traitements risqués spécifiques. À cet égard, il convient
de préciser davantage ce que l’on entend par les « trai-
tements risqués» ;
• les autorités de protection des données sont favorables
à la flexibilité et au choix en ce qui concerne la manière
dont elles utilisent les informations qui leur sont com-
muniquées pour jouer leur rôle ;
• il faut travailler davantage à l’élaboration d’un for-
mulaire et d’une déclaration en ligne communs pour
réduire la charge. Parmi les options, une plate-forme
européenne ou un site Internet uniques ou l’interopé-
rabilité des systèmes existants ;
• un système de déclaration rationnalisé est dans l’intérêt
des autorités et organismes de protection des données ;
il ne profite pas vraiment aux individus. Dans le futur
cadre légal, il faudrait rechercher d’autres manières de
garantir la transparence pour les individus.
64
Advice paper on sensitive data
• Traitement de données sensibles, de santé et judi-
ciaires ;
• Maintien de l’interdiction sauf exceptions ;
• Actualisation régulière de la liste.
Le Groupe de travail a été invité à fournir à la Commission
européenne des données sur les pratiques habituelles au
niveau national, les problèmes rencontrés dans la mise en
œuvre de la Directive 95/46/CE ainsi que certaines sugges-
tions d’amélioration ou de changements concernant l’ar-
ticle 8 de la Directive concernant les «catégories spécifiques
de données » (à savoir les données sensibles au sens strict,
les données relatives à la santé et les données judiciaires au
sens des articles 6, 7 et 8 de la loi vie privée). Les autorités de
protection des données ont formulé trois options :
• maintenir le concept actuel d’une interdiction générale
de traiter des données sensibles et d’une liste fermée
de catégories de données avec possibilité de modifi-
cations des nouvelles catégories et/ou d’exceptions.
La liste des catégories spécifiques de données devrait
être revue régulièrement (une faible majorité des auto-
rités de protection des données sont favorables à cette
option) ;
• interdiction générale pour une liste de catégories de
données qui, de par leur nature, devraient être consi-
dérées comme des données sensibles ; laisser les États
membres décider quant aux autres catégories de don-
nées et inclure une définition générale des données
sensibles qui prend également en compte le contexte
du traitement ;
• le traitement de données sensibles n’est permis que
moyennant des garanties spécifiques. Quant aux autres
catégories de données, les États membres peuvent déci-
der eux-mêmes.
La CPVP a participé très activement à l’ensemble de ces ré-
flexions. Si ces suggestions devaient être mises en œuvre,
et tel est le souhait de la Commission notamment au regard
• La Commission devrait examiner si le nouveau cadre
de protection des données doit assurer la mise en place
d’un système de traitement des cas que les autorités de
protection des données utiliseront pour échanger des
informations et faciliter la coopération pratique ;
• Il faut clarifier davantage la mesure dans laquelle les
obligations de confidentialité nationales pourraient
limiter le devoir d’échange d’informations et de coopé-
ration pratique ;
• Le nouveau cadre réglementaire pourrait spécifier que
les autorités de protection des données devraient agir
conformément aux avis du Groupe de travail Article 29,
ou expliquer pourquoi ce n’est pas possible ;
• Le Groupe de travail Article 29 devrait assurer la coor-
dination entre les autorités de protection des données
en ce qui concerne les enquêtes transfrontalières
concrètes ;
• Il est essentiel que le nouveau cadre relatif aux données
garantisse l’harmonisation des pouvoirs des autorités
de protection des données. Ces pouvoirs devraient au
moins inclure :
▪ le pouvoir d’avoir accès à toute information perti-
nente, quelle que soit sa forme, et de réclamer la
communication de toute information pertinente
par toute personne ;
▪ le pouvoir d’effectuer des inspections obligatoires
sur le terrain ;
▪ le pouvoir de réclamer la cessation ou l’interdiction
de tout traitement de données ;
▪ le pouvoir d’appliquer des sanctions financières
pour violation de la loi relative à la protection des
données ;
▪ le pouvoir de publier les décisions prises par
l’autorité de protection des données.
Commission de la protection de la vie privée — rapport annuel 2011 65
ou consultées par des personnes non autorisées. La Com-
mission a ainsi l’intention d’examiner les modalités d’intro-
duction, dans le cadre juridique global, d’une obligation de
notification des violations de données à caractère personnel
couvrant tous les secteurs, qui devrait être cohérente avec
celle prévue par la directive «vie privée et communications
électroniques ». Le Groupe de travail s’en réjouit. Il est
d’avis qu’il serait bénéfique d’instaurer dans tous les Etats
membres un cadre réglementaire harmonisé, lequel devrait
tenir compte de l’expérience déjà acquise par certains états.
À ce jour cependant, seule une minorité d’états a trans-
posé (délai 25 mai 2011) l’obligation de ce que l’on appelle
«la data breach notification » en en confiant la responsabilité,
selon le cas, à l’autorité nationale de la protection des don-
nées (l’équivalent de la CPVP) ou, à l’autorité nationale de
régulation des communications électroniques (IBPT). À
ce jour, le législateur belge n’a pas encore transposé cette
disposition. Au titre des mesures à prendre dans le futur, le
Groupe insiste sur la sensibilisation à ces notifications et à
la coordination des procédures en cas de violations trans-
frontalières des données. Le Groupe de travail s’engage à
créer, à cet effet, un sous-groupe qui fonctionnera comme
une plate-forme d’échanges d’avis et de connaissances. Elle
aura pour but de favoriser le développement de procédures
et de concepts uniformes.
Avis n° 12/2011 sur les compteurs intelligents
• Profilage énergétique du consommateur ;
• Consentement informé : PETS et PIA ;
• Privacy by design ;
• Principe de minimisation.
La Directive européenne 2006/32/CE relative à l’efficacité éner-
gétique dans les utilisations finales et aux services énergétiques
fixe des objectifs à adopter par chaque État membre en
matière d’économie d’énergie. Afin d’atteindre ces objec-
tifs, et sous réserve d’un nombre limité d’exceptions, ladite
Directive oblige les États membres à mettre à la disposi-
de l’urgence de disposer d’outils de coopération européens
pour les plaintes émanant par exemple de citoyens confron-
tés à un même responsable de traitement établi sur le ter-
ritoire de plusieurs états de l’Union, elles pourraient avoir
d’importantes répercussions sur les compétences et activi-
tés des DPA dans les années à venir, dont la CPVP.
Autres thèmes traités par le Groupe 29
Document de travail 01/2011 concernant le cadre juri-
dique relatif aux violations de données à caractère per-
sonnel actuellement en vigueur dans l’UE et présen-
tant des recommandations quant aux actions à entre-
prendre à l’avenir
• Extension de la notification des «data breach » à tous les
responsables de traitements ;
• Harmonisation des conditions de notification auprès
des autorités de contrôle et des personnes concernées ;
• Echange d’information et coordination des procédures
en cas de violations transfrontières.
La révision de la directive 2002/58/CE «vie privée et com-
munications électroniques » avait offert l’occasion au légis-
lateur d’instaurer des règles contraignantes en matière de
violation de données à caractère personnel (data breach).
Eu égard au champ d’application de cette directive, l’obli-
gation de notification des violations de données à caractère
personnel n’est applicable qu’aux fournisseurs de services
de communications électroniques accessibles au public.
Une extension de cette l’obligation de notification à tous
les responsables de traitement devrait intervenir dans le
contexte de la révision de la directive 95/46/CE. Dans sa
communication du 4 novembre 2010 intitulée « Une ap-
proche globale de la protection des données à caractère per-
sonnel de l’Union européenne », la Commission européenne
réaffirme en effet qu’il importe que les particuliers soient
informés lorsque des données les concernant ont été acci-
dentellement ou illégalement détruites, perdues, altérées
66
autres points d’attention du Groupe (durée de conservation,
traitements des données par des tiers, droits d’information
et d’accès), nous relèverons ici l’invitation à tenir compte
du nécessaire respect de la vie privée dès la conception par
des mesures de sécurité adéquates certes, mais aussi par un
paramétrage par défaut favorable au respect de la vie pri-
vée et une réduction au minimum du volume des données
à caractère personnel traitées (principe de minimisation).
Les spécifications techniques devraient, aux yeux du Groupe,
garantir que toutes les données collectées demeurent sur le
réseau domestique sauf nécessité d’une transmission ex-
terne ou consentement du consommateur concerné.
Avis n° 09/2011 sur la proposition révisée des entre-
prises relative au cadre d’évaluation de l’impact sur la
protection des données et de la vie privée des applica-
tions reposant sur l’identification par radiofréquence
(RFID)
• Technologie RFID ;
• Évaluation de l’impact en matière de protection des
données ;
• Information.
Le 12 mai 2009, la Commission européenne émettait une
recommandation sur la mise en œuvre des principes du
respect de la vie privée et de protection des données dans
les applications reposant sur l’identification par radiofré-
quence (RFID). Dans cette recommandation, elle invitait les
États membres à veiller à ce que les entreprises, en collabo-
ration avec les parties intéressées, élaborent un cadre d’éva-
luation de l’impact sur la protection des données et de la vie
privée, cadre qui devrait être soumis pour approbation au
Groupe de travail «article 29» sur la protection des données.
Une fois le cadre d’évaluation de l’impact sur la protection
des données et de la vie privée défini, les États membres
doivent s’assurer que les exploitants d’applications RFID
réalisent effectivement une évaluation des incidences sur
la protection de la vie privée et des données (EIP) des appli-
tion des consommateurs des compteurs «intelligents » qui
mesurent avec précision leur consommation effective et qui
fournissent des informations sur le moment où l’énergie
a été utilisée. Ces compteurs permettent la production, la
transmission et l’analyse de données relatives aux consom-
mateurs, dans une mesure bien supérieure à ce qui est pos-
sible avec un compteur «traditionnel ». Ils permettent à l’ex-
ploitant du réseau, aux fournisseurs d’énergie et à d’autres
parties de rassembler des informations détaillées relatives
à la consommation énergétique et aux modèles d’utilisa-
tion de chaque titulaire, ainsi que de prendre des décisions
concernant les consommateurs individuels sur la base de
profils d’utilisation (profil énergétique). S’il est admis que
ces décisions peuvent souvent être favorables aux consom-
mateurs en termes d’économie d’énergie, il existe égale-
ment des risques d’intrusion dans la vie privée des citoyens
là où des traitements de données à caractère personnel
interviennent. Aux termes de son avis, le Groupe recom-
mande une identification claire du responsable du traite-
ment. Au vu des systèmes actuellement en fonctionnement,
tantôt le fournisseur d’énergie, tantôt l’exploitant du réseau
ou une partie tierce assument ce rôle. Quant aux bases de
légitimité sur lesquelles les traitements de données géné-
rés par les compteurs «intelligents » pourraient se fonder,
le Groupe rappelle qu’en cas de consentement, celui-ci doit
être particulièrement bien informé et doit pouvoir être révo-
qué. Quant à l’article 7 f ) de la Directive, le Groupe est d’avis
que bien que l’impératif de réduction de la consommation
d’énergie puisse constituer un objectif raisonnable en ma-
tière de politique publique, il ne prévaut pas dans toutes les
hypothèses, tout particulièrement, par exemple, en cas de
création de profils détaillés des consommateurs sans réelle
nécessité pour la finalité recherchée. L’inclusion de mesures
telles le recours à des technologies renforçant la protection
de la vie privée (Privacy Enhancing technologies (PET’s)) et des
évaluations d’impact sur la vie privée (Privacy Impact Assess-
ment (PIA)) afin de renforcer la sécurité et la confidentialité
des données traitées par les compteurs intelligents donnera
à un responsable de traitement de meilleures chances de
faire pencher la balances des intérêts en sa faveur. Parmi les
Commission de la protection de la vie privée — rapport annuel 2011 67
sont incompréhensibles, désuètes ou inadéquates. Cet avis
a pour objectif de clarifier le cadre juridique applicable aux
services de géolocalisation : obligations des différentes par-
ties intéressées, motifs légitimes du traitement de données,
information de la personne concernée, délais de conserva-
tion, etc.
Avis n° 10/2011 sur la proposition de directive du Parle-
ment européen et du Conseil relative à l’utilisation des
données des dossiers passagers pour la prévention et
la détection des infractions terroristes et des formes
graves de criminalité, ainsi que pour les enquêtes et les
poursuites en la matière
• PNR européen ;
• Proportionnalité à défaut d’évaluation des systèmes
existants ?
• Absence de transparence dans la négociation.
Aux termes de cet avis, le groupe de travail estime que la né-
cessité d’un système PNR (Passenger Name Record) propre
à l’Union européenne n’a pas encore été établie et que les
mesures proposées ne sont pas conformes au principe de
proportionnalité, notamment parce que le système envisage
la collecte et la conservation de l’ensemble des données de
tous les voyageurs sur la totalité des vols (passagers aériens
arrivant dans l’Union européenne ou quittant son territoire,
qu’ils soient suspects ou non). Le groupe recommande à cet
égard d’évaluer les méthodes et les systèmes de coopération
existants ainsi que la manière dont ceux-ci s’articulent afin
d’identifier les failles sur le plan de la sécurité. Si de telles
failles sont constatées, l’étape suivante devrait consister
à analyser la meilleure manière d’y remédier, ce qui n’im-
plique pas nécessairement de mettre en place un système
totalement nouveau. Si toutefois la proposition de directive
devait entrer en vigueur, elle devrait prévoir des garanties et
des mesures de protection des données appropriées. Enfin,
le Groupe rappelle l’interdiction de décisions automatisées
et du traitement des données sensibles.
cations RFID avant la mise en œuvre de celles-ci. Les États
membres doivent également veiller à ce que les opérateurs
d’applications RFID mettent les rapports d’évaluation éta-
blis à la disposition de l’autorité compétente.
De manière générale, l’évaluation de l’impact sur la protec-
tion des données et de la vie privée (EIP- donnera lieu à l’éta-
blissement d’un rapport qui devra être soumis à l’autorité
compétente au moins 6 mois avant le déploiement de l’appli-
cation RFID concernée. Cette évaluation devra comporter
une politique d’information adéquate aux citoyens.
Avis n° 13/2011 sur les services de géolocalisation des
dispositifs mobiles intelligents
• Géolocalisation ;
• GPS, WiFi ;
• Principes à respecter.
Les informations géographiques jouent un rôle important
dans notre société. La plupart des activités et décisions
humaines ont une dimension géographique. Ces informa-
tions peuvent être de toutes sortes : financières, sanitaires
ou autres données relatives au comportement du consom-
mateur. Les technologies de géolocalisation qui utilisent les
données de stations de base, les données GPS et les points
d’accès Wi-Fi mappés, permettent à toutes sortes de respon-
sables du traitement de localiser des dispositifs mobiles
intelligents pour des finalités allant de la publicité compor-
tementale à la surveillance des enfants. Étant donné que les
téléphones intelligents et les tablettes électroniques sont
inextricablement liés à leur propriétaire, les schémas de
déplacement des dispositifs donnent une vision détaillée de
l’intimité de la vie privée des propriétaires. L’un des princi-
paux risques est que les propriétaires ignorent qu’ils trans-
mettent leur position et à qui ils la transmettent. Un autre
risque est que l’autorisation donnée à certaines applications
d’utiliser les données de localisation n’est pas valable, car
les informations concernant les éléments clés du traitement
68
quent, les mesures imposées pour empêcher le blan-
chiment d’argent et le financement du terrorisme de-
vraient toujours avoir une base juridique claire ;
• les principes et obligations dans ce domaine devraient
être traités de façon équilibrée en prenant en compte
les différentes opinions, les intérêts et le cadre juri-
dique tant à l’intérieur de l’UE qu’en dehors ;
• les droits et les obligations en matière de protection de
la vie privée et des données devraient, dans ce domaine,
toujours être abordés et développés de façon positive et
non comme un obstacle ;
• le Groupe de travail recommande, afin d’assurer une
protection réelle et efficace ainsi que le respect de la
protection de la vie privée et des données en la matière,
que soient mises en œuvre différentes méthodes d’éva-
luation préalable des lois, des procédures et des pro-
jets en matière de LBC/FT. De telles méthodes incluent
l’évaluation des impacts sur la vie privée, des tech-
niques d’audits, la participation des responsables de la
protection des données.
Enfin, au cours de l’année 2011, le Groupe a suivi de près les
travaux relatifs à la mise en œuvre du « TFTP Agreement »
soit le Terrorist Financing Tracking program (TFTP) conclu avec
les États-Unis dans le prolongement de l’affaire SWIFT et
entamé la rédaction d’avis sur les thèmes du cloud compu-
ting (l’informatique dans les nuages ou infonuagique), du
système de reconnaissance faciale mis en place par Face-
book ou encore du profilage «risky — non risky » des pas-
sagers aériens. Les travaux relatifs à la révision du cadre
réglementaire de la protection des données se poursuivent
également. À suivre en 2012 donc…
8.2.2 Technology Subgroup
• Fait partie du Groupe 29 ;
• Activités ayant trait aux TIC.
Le Technology Subgroup existe depuis plusieurs années déjà et
a pour mission de formuler des recommandations/avis pour
De manière plus générale, le Groupe 29 regrette l’absence
de transparence lors des négociations relatives à la signa-
ture des accords PNR (Passenger Name Records) conclus avec
les États-Unis, le Canada et l’Australie. Le groupe rappelle le
contenu de son avis WP178 et les garanties qu’il voudrait voir
figurer dans ces accords.
Avis n° 14/2011 sur les questions de protection des don-
nées relatives à la prévention du blanchiment de capi-
taux et du financement du terrorisme
• Lutte contre les pratiques de blanchiment et de finance-
ment du terrorisme ;
• Proportionnalité – pondération d’intérêts ;
• Responsabilité.
Dans cet avis, le Groupe de travail répond au besoin de dis-
poser de renseignements pratiques et généraux au niveau de
l’Union européenne tant dans le domaine de la lutte contre
le blanchiment d’argent et le financement du terrorisme que
dans celui de la protection de la vie privée et des données.
Après avoir consulté différents acteurs (Commission euro-
péenne, représentants des entités déclarantes, cellules de
renseignement financier, banques centrales nationales et
le GAFI), il a formulé 44 recommandations visant à fournir
des renseignements pratiques aux législateurs, aux entités
déclarantes, aux autorités de contrôle, aux cellules de ren-
seignement financier, aux autorités de surveillance qui sont
amenés à appliquer des principes et des règlementations
dans ces deux domaines.
Les quatre idées principales formulées dans la recomman-
dation sont :
• la protection de la vie privée et des données est établie
au sein de l’UE comme un droit humain constitutif
d’une société démocratique en vertu de la loi (article 8
de la CEDH), et devrait toujours être appliquée comme
telle plutôt qu’en raison d’un intérêt légitime ou du
consentement de la personne intéressée. Par consé-
Commission de la protection de la vie privée — rapport annuel 2011 69
• Protection des données à caractère personnel dans les
télécommunications.
Cette année, le Secrétariat de la Commission a participé à
la seconde réunion semestrielle de l’IWGDPT (International
Working Group on Data Protection in Telecommunication) dit aussi
‘Groupe de Berlin’, groupe international de travail traitant
de la protection des données personnelles dans le domaine
des télécommunications et des technologies nouvelles.
Cette année, ces réunions ont permis de finaliser les docu-
ments suivants :
• Working Paper : Event Data Recorders (EDR) on Vehicles / Pri-
vacy and data protection issues for governments and manufac-
turers (Montreal (Canada) 4-5 April 2011)
• Privacy by Design and Smart Metering : Minimize Perso-
nal Information to Maintain Privacy (Berlin (Germany)
12-13 September 2011)
• Working Paper on Privacy and Electronic Micropayment on the
Internet (Berlin (Germany) 12-13 September 2011)
Ces différents documents sont disponibles sur le site de
l’IWGDPT (http ://www.datenschutz-berlin.de/content/
europa-international/international-working-group-on-
data-protection-in-telecommunications-iwgdpt/working-
papers-and-common-positions-adopted-by-the-working-
group).
Parallèlement à cela, le Groupe s’est spécialement intéressé
cette année à la problématique de la protection des données
personnelles dans le cadre du déploiement du protocole
IPv6. Le Secrétariat de la Commission, répondant à l’invi-
tation du Groupe, a proposé un texte développant le point
de vue des autorités de protection des données à ce sujet,
réactualisant ainsi le working paper existant, déjà initié par
le Secrétariat de la Commission (Working paper on the use of
unique identifiers in telecommunication terminal equipments : the
example of Ipv6 (Auckland/New Zealand, 26./27.03 2002).
À la demande de l’Allemagne, ce texte a ensuite été proposé
à la 33e Conférence internationale des commissaires à la
le Groupe 29 en ce qui concerne les nouveaux projets/tech-
nologies/systèmes qui influencent la vie privée.
8.2.3 Sous-groupe BCR
• Fait partie du Groupe 29 ;
• Activités autour des flux transfrontières de données à
caractère personnel dans le secteur privé.
Le sous-groupe BCR existe déjà depuis 2008 et a pour
mission de formuler des recommandations/avis pour le
Groupe 29 sur les flux transfrontières de données à carac-
tère personnel dans le secteur privé. Depuis la création du
sous-groupe, la Commission assume le rôle de co-rappor-
teur, conjointement avec la CNIL.
En 2011, la priorité du sous-groupe a été de transmettre
l’expertise acquise en matière d’analyse des BCR. Le sous-
groupe a répondu à l’invitation de l’autorité polonaise de
protection des données en organisant un séminaire pour les
entreprises intéressées par l’instauration de BCR. Dans le
cadre de ce séminaire, les autorités de protection des don-
nées ont également pu participer à un atelier ayant pour but
d’échanger des expériences sur le contrôle des garanties
offertes par les BCR dans la pratique.
Fin 2011, le sous-groupe s’est vu confier la mission de pré-
parer le terrain pour les BCR pour les sous-traitants, et ce
afin de répondre aux besoins d’entreprises multinationales
qui fournissent des services d’outsourcing. Ainsi, les multi-
nationales pourront non seulement offrir un niveau de pro-
tection adéquat pour leurs propres données à l’aide de BCR,
mais un instrument similaire pourra également servir pour
des données dont le traitement fait l’objet d’une sous-trai-
tance. Le sous-groupe poursuivra ce travail en 2012.
8.3 IWGDPT (International Working Group on Data Protection in Tele-communication)
• « Groupe de Berlin » ;
70
afin de s’assurer que le stockage, le traitement et l’utilisation
des données dont disposent Europol ne portent pas atteinte
aux droits des personnes. Elle contrôle en outre la licéité de
la transmission des données qui ont pour origine Europol.
8.4.3 Groupe de coordination du contrôle
d’Eurodac
• Empreintes digitales des demandeurs d’asile et des
immigrants sur le territoire de l’UE ;
• Application du Règlement de Dublin ;
• Surveillance par le Contrôleur européen de la protec-
tion des données et les autorités nationales de protec-
tion des données.
Eurodac est un système d’information qui contient les
empreintes digitales des demandeurs d’asile et des immi-
grés illégaux se trouvant sur le territoire de l’UE. Ce sys-
tème contribue à l’application efficace de la convention de
Dublin sur le traitement des demandes d’asile. Il permet
aux États membres d’identifier les demandeurs d’asile ainsi
que les personnes ayant été appréhendées dans le contexte
d’un franchissement irrégulier d’une frontière extérieure
de la Communauté. En comparant les empreintes, les États
membres peuvent vérifier si un demandeur d’asile ou un
ressortissant étranger se trouvant illégalement sur son
territoire a déjà formulé une demande dans un autre État
membre ou si un demandeur d’asile est entré irrégulière-
ment sur le territoire de l’Union.
Dans le but d’assurer une approche coordonnée, un groupe
de coordination de contrôle («groupe de contrôle ») com-
posé du contrôleur européen de la protection des don-
nées et des autorités nationales de protection des données
(dont la Commission) se réunit à intervalles réguliers afin
d’examiner les problèmes communs que pose le fonctionne-
ment du système Eurodac et de recommander des solutions
communes.
Le Groupe de contrôle a adopté un programme de travail
pour les prochaines années à venir. Ce programme prévoit :
protection des données et à la vie privée et a servi de base à la
résolution adoptée par la Conférence à ce propos :
• The Use of Unique Identifiers in the Deployment of Internet
Protocol Version 6 (IPv6) (Mexico 1-3 November 2011)
Ce document est disponible à l’adresse suivante : http ://
www.privacyconference2011.org/htmls/adoptedResolu-
tions/2011_Mexico/2011_IWGDPT_RES_001_Intnt_Prot_
ENG.pdf.
8.4 Organes de contrôle communs
8.4.1 Schengen
• Échange d’informations via le SIS ;
• Exécution de la Convention d’application de Schengen.
La Convention Schengen, signée en 1990 et en vigueur de-
puis 1995 (« Convention »), crée un Système d’Information
Schengen (« SIS»). Le SIS permet aux autorités compétentes
des États membres d’échanger des informations aux fins
du contrôle des personnes et des objets aux frontières exté-
rieures ou à l’intérieur du territoire ainsi que pour la déli-
vrance de visas et de permis de séjour. La Convention Schen-
gen crée également une autorité de contrôle commune
(« ACC ») composée des représentants des autorités natio-
nales de contrôle, parmi lesquelles la Commission. Cette
ACC est chargée notamment de la bonne exécution des dis-
positions de la Convention Schengen ainsi que de l’analyse
des difficultés d’application ou d’interprétation pouvant
survenir lors de l’exploitation du SIS.
8.4.2 Europol
• Stockage, traitement et utilisation correcte des don-
nées Europol ;
• Légalité de la transmission des données par Europol.
Une Autorité de contrôle commune (ACC) composée de
représentants des autorités de contrôle nationales (dont la
Commission) est chargée de surveiller l’activité d’Europol
Commission de la protection de la vie privée — rapport annuel 2011 71
nées, promeuvent son application au-delà des frontières du
CoE et encouragent les États non membres à la ratifier. À ce
jour, seul l’Uruguay a franchi ce pas (2011). D’autres États
tels le Canada, les États-Unis, l’Australie suivent par contre
de près, en leur qualité d’observateur, les travaux du Comité
de surveillance de cette Convention.
Ce Comité, dénommé « Comité consultatif de la
Convention 108 » (ou T-PD), est notamment chargé de veil-
ler à la bonne application de la Convention et de proposer
d’éventuelles modifications destinées à assurer une meil-
leure protection. À cet égard, le Comité a entrepris un vaste
chantier de modernisation tant de la Convention (principes
de base) que des recommandations sectorielles qui la com-
plètent (voir infra). Chaque État partie est représenté au
sein de ce Comité. La Belgique, qui a ratifié la Convention le
28 mai 1993, y est actuellement représentée par le SPF Justice
(département droits de l’homme – protection des données).
En l’absence du SPF Justice à la réunion plénière annuelle du
mois de novembre dernier, la CPVP a été invitée à représen-
ter l’État belge sans toutefois pouvoir prendre de position
formelle au nom de ce dernier. Ci-dessous, les principaux
points traités au cours de cette réunion annuelle de 2011.
Modernisation de la Convention 108
Résultats de la consultation publique
À l’occasion de la 5e journée de la protection des données
(28 janvier 2011), le CoE a lancé une consultation publique
sollicitant les personnes et organisations intéressées à en-
voyer leurs commentaires, réflexions et idées au sujet de la
modernisation de la Convention 108. Une note de consulta-
tion a été publiée sur le site du CoE à cet effet.
Tous les horizons sectoriels sont représentés parmi les ré-
pondants (50 réactions, en ce compris des groupements au
nom de leurs membres, par exemple) : des acteurs issus tant
du secteur public (autorités gouvernementales, autorités
de protection des données, …) que du secteur privé (monde
• un audit complet de la sécurité par les autorités de pro-
tection des données tant au niveau national qu’euro-
péen (tous les 4 ans) ;
• des inspections coordonnées (tous les 2 ans) ;
• des activités spécifiques basées sur les besoins identi-
fiés par le Groupe de supervision (annuellement) ;
• le suivi des développements législatifs et politiques,
des recherches spéciales et des recommandations anté-
rieures (de manière permanente).
Un sous-groupe de travail, auquel un commissaire et un
membre du Secrétariat de la Commission participent, a en-
tamé la préparation d’un audit de sécurité complet.
Le Groupe a également décidé de réaliser une inspection
coordonnée sur la question de la suppression anticipée des
données enregistrées dans le système. À cette fin, un ques-
tionnaire et une méthodologie ont été adoptés.
8.5 Le Conseil de l’Europe et la pro-tection des données
Adoptée le 28 janvier 1981 dans l’enceinte du Conseil de
l’Europe (CoE), la Convention relative à la protection des
personnes à l’égard du traitement automatisé de données
à caractère personnel (STE 108) est le premier instrument
international contraignant en matière de protection des
données et le seul ouvert à la ratification par l’ensemble des
États du monde.
Il est complété par un Protocole additionnel sur les auto-
rités de contrôle et les flux transfrontières de données
(STE n° 181). À l’heure où la nécessité d’un cadre universel
de protection des données se fait de plus en plus pressante
pour garantir une protection adéquate des données de cha-
cun dans un monde globalisé, notamment caractérisé par
l’intensification des flux transfrontières de données, la
Convention 108 apparaît naturellement comme le texte de
référence. Le Conseil de l’Europe, et d’autres instances ré-
gionales ou mondiales, telles les conférences européennes
et internationales des commissaires à la protection des don-
72
Modernisation de la Recommandation Protection des
données dans le contexte du travail
Le Comité a pris note de l’Étude sur la Recommandation
(89)2 sur la protection des données à caractère personnel
utilisées à des fins d’emploi préparée par M. Giovanni But-
tarelli et demandé à son Bureau de finaliser le projet de nou-
velle Recommandation correspondant en 2012 (refonte du
texte).
Modernisation de la Recommandation (87)15 visant à
réglementer l’utilisation de données à caractère per-
sonnel dans le secteur de la police
Le Comité consultatif de la Convention 108 a également
entrepris d’évaluer la recommandation sectorielle relative
aux traitements de données dans le secteur de la police.
À cet effet, un questionnaire sur la prise en compte (ou non)
des principes de la recommandation a été adressé à tous les
représentants. Une première partie de l’analyse comparée,
préparée par les professeurs J. Cannataci et M. Caruana, été
présentée. À la lumière de l’étude, une fois celle-ci achevée,
le Comité consultatif de la Convention 108 évaluera l’oppor-
tunité d’amender la recommandation.
bancaire, des assurances, du commerce électronique, du
marketing, de la diffusion audio-visuelle, de la recherche
socio-économique, …) ainsi que du monde universitaire et
des associations intéressées. Une représentation géogra-
phique s’observe aussi. Les réponses proviennent des diffé-
rentes zones de l’Europe (pays de l’Union européenne mais
également hors-UE tels Albanie et Ukraine). D’autres contri-
butions sont parvenues d’Amérique du Nord (États-Unis et
Canada), d’Afrique (Sénégal, île Maurice) et d’Australie. L’or-
ganisation internationale de la francophonie a également
émis un commentaire.
Les questions posées aux termes de cette consultation re-
flètent tant des questions spécifiques compte tenu du texte
actuel de la Convention 108 que, de manière plus générale,
les préoccupations actuelles en matière de règlementation
de la protection des données. Certaines se posent ainsi dans
des termes similaires dans le cadre de la révision du cadre
réglementaire de l’Union européenne. Le Comité suit atten-
tivement les développements au sein de l’UE. Une compila-
tion des différentes contributions est disponible sur le site
Internet du Comité consultatif de la Convention 108, précé-
dée d’une synthèse des réponses question par question.
Propositions d’amendements de la Convention
S’appuyant sur les résultats de la consultation publique, un
projet de version amendée de la Convention 108 a été dis-
cuté en détail lors de la réunion plénière annuelle du Comité
consultatif. Tous les documents relatifs à ce projet de mo-
dernisation de la Convention sont publics et disponibles sur
le site du Comité : http ://www.coe.int/t/dghl/standardset-
ting/dataprotection/modernisation_FR.asp?.
Commission de la protection de la vie privée — rapport annuel 2011 73
Cette tâche d’avis repose principalement sur les demandes
d’avis, dont 29 au total ont été reçues par le biais des assem-
blées législatives. La Commission peut toutefois également
émettre des avis ou des recommandations d’initiative :
elle a ainsi ouvert 14 dossiers de recommandation.
Une recommandation est aussi émise dans le cadre des
déclarations de traitement ultérieur de données à carac-
tère personnel lorsque le responsable du traitement est
dans l’impossibilité de satisfaire aux exigences de la Loi vie
privée. Dans ce cas, cette recommandation fixe les condi-
tions à respecter dans le cadre du traitement des données
concernées. En 2011, la Commission a ouvert 14 dossiers de
recommandation de ce type et a émis 10 recommandations
concernant des traitements ultérieurs.
Les textes réglementaires publiés en 2011 et pour lesquels
la Commission a émis un avis sont, comme l’année précé-
dente, soumis à une procédure d’évaluation. Au total 8 dos-
siers ont été ouverts en vue de vérifier dans quelle mesure
l’avis émis par la Commission a été suivi et dans quelle me-
sure la réglementation protège le traitement de données à
caractère personnel.
9.2 Politique de respect des dispositions légales
Les activités déployées dans ce domaine s’adressent non
seulement aux autorités publiques compétentes mais aussi à
tous les responsables de traitements de données à caractère
personnel.
Quand la Commission vie privée accorde une autorisation,
cela veut dire qu’elle autorise une instance active dans un
secteur déterminé à traiter ou à communiquer des données
La Commission vie privée :
• émet des avis sur la réglementation et la normalisa-
tion ;
• mène une politique de respect des dispositions légales ;
• fournit des informations et apporte un soutien en ma-
tière d’information ;
• assiste les personnes concernées dans l’exercice de
leurs droits et obligations ;
• traite les plaintes qui lui sont soumises concernant le
traitement des données et intervient en qualité de mé-
diateur le cas échéant pour contribuer au juste respect
de la protection des droits fondamentaux de chacun en
matière de protection de la vie privée dans le cadre du
traitement des données à caractère personnel.
Émettre des avis sur la réglementation et la normalisation,
mener une politique de respect des dispositions légales, dis-
penser des informations, traiter des plaintes et aider les per-
sonnes concernées à exercer leurs droits et leurs obligations
constituent donc la base des activités de la Commission.
9.1 Réglementation et normalisation
Les avis et recommandations s’adressent principalement
aux autorités et instances compétentes et ont pour objectif
de leur proposer un cadre pour le traitement et la communi-
cation de données à caractère personnel. Ces avis et recom-
mandations sont élaborés par la Commission ou par des
comités sectoriels spécifiques institués au sein de la Com-
mission. Les recommandations relatives aux traitements
ultérieurs sont par contre destinées aux responsables des
traitements.
9 Les activités de la Commission en chiffres
74
toujours un responsable du traitement spécifique. Au total,
123 dossiers de contrôle ont été ouverts.
9.2.2 Notification de l’utilisation d’une caméra
mobile par les services de police
Depuis 2009, lorsqu’un officier de police administrative
décide d’utiliser des caméras mobiles, il doit en informer
la Commission à l’aide d’un formulaire électronique spé-
cifique. En 2011, la Commission a reçu 140 notifications.
Des caméras mobiles ont été utilisées par les services de
police au cours de 78 manifestations sportives, générale-
ment des matches de football, ainsi que lors de 25 manifes-
tations, 24 événements ou festivités.
9.3 Information
La mission d’information de la Commission constitue un
troisième pilier qui s’adresse aussi bien aux instances pu-
bliques qu’aux responsables des traitements ou encore aux
personnes concernées (les personnes dont les données font
l’objet d’un traitement). Les principales tâches d’informa-
tion sont de tenir le registre public et d’informer le public.
Cette mission d’information peut avoir un caractère aussi
bien individuel (réponses orientées client) que collectif
(conférence) ou public (site Internet et registre public).
9.3.1 Support du front office en matière
d’information
En 2011, 3042 dossiers «questions et réponses » ont été
ouverts et traités par le front office, ce qui représente une
moyenne de 250 appels par mois.
En 2011, le front office a reçu 866 questions concernant le
traitement d’images, dont la majorité concernait l’utilisa-
tion de caméras de surveillance (29% des dossiers «ques-
tions et réponses »). Les autres domaines fréquemment
abordés sont : les principes de protection de la vie privée
à caractère personnel. Si un comité sectoriel a été institué
pour le secteur concerné, cette mission est assurée par ce
comité sectoriel. Le droit d’évocation permet cependant
toujours aux comités sectoriels de soumettre une demande
d’autorisation pour avis à la Commission.
Le Comité de surveillance statistique créé en 2007 n’a pas
encore été composé ce qui explique que les demandes d’au-
torisations sont actuellement traitées par la Commission.
Ce Comité surveille la communication de données d’étude
codées à des tiers par la Direction générale Statistique et
Information Économique et l’utilisation de ces données par
ces tiers. En 2011, 32 demandes d’autorisation individuelles
ont été reçues. Ces demandes ont débouché sur 31 autorisa-
tions et sur 2 refus. Le traitement de 1 dossier a été cessé et
2 dossiers sont encore en cours de traitement. Une autorisa-
tion de principe a été accordée à la Direction générale Statis-
tique et Information Économique du SPF Finances.
La Commission est également investie de tâches de contrôle
et d’inspection à l’égard des responsables des traitements
qu’elle exerce en élaborant des recommandations et en éva-
luant les mesures de sécurité prises.
9.2.1 Tâches de contrôle
En 2011, la Commission vie privée a effectué des contrôles
à deux niveaux. Le premier niveau est celui des traitements
effectués dans le cadre, d’une part, des systèmes d’informa-
tion Schengen, Eurodac et Douane et, d’autre part, des acti-
vités d’Europol. Le deuxième niveau concerne les contrôles
effectués d’initiative. Ces contrôles doivent être subdivisés
en trois types : les contrôles permanents auprès de Child
Focus et du Centre d’information et d’avis sur les organisa-
tions sectaires nuisibles, les contrôles thématiques auprès
des services de police et de renseignements, dont font partie
les dossiers relatifs à l’accès indirect (relevant de l’article 13
de la Loi vie privée), et des contrôles ponctuels, qui visent
Commission de la protection de la vie privée — rapport annuel 2011 75
9.3.3 Publication d’informations sur le site
Internet
http ://www.privacycommission.be
En 2011, le site web de la Commission vie privée a été consul-
té 291 638 fois. Au total, 1 284 617 pages ont été consultées
et le nombre moyen de pages consultées par visite a été de
4,4 pages. La rubrique «législation nationale » et la rubrique
« En pratique – Caméras de surveillance » sont les plus pri-
sées.
Les questions les plus consultées sont :
• Quand dois-je appliquer la loi caméras ? (792 consul-
tations) ;
• L’installation d’une fausse caméra est-elle soumise à la
loi caméras ? (502 consultations) ;
• Ma caméra de surveillance filme également un lieu
de travail. Puis-je filmer cet endroit sans problème ?
(415 consultations)
Dans le lexique, les définitions les plus consultées sont
celles des mots suivants :
• caméras (loi) (1 444 consultations) ;
• lieu fermé non accessible au public (Loi caméras)
(1 125 consultations) ;
• responsable du traitement (999 consultations).
9.3.4 Publication d’informations sur le site
Internet http ://www.jedecide.be
L’initiative « Je décide ” en bref
À l’occasion du Data Protection Day 2010 (28 janvier 2010), la
Commission de la protection de la vie privée avait lancé son
site Internet (2 versions : FR et NL) spécialement conçu pour
les jeunes, leurs parents et leurs enseignants (http ://www.
jedecide.be – http ://www.ikbeslis.be). Suivant l’exemple de
nombreuses autorités étrangères de protection des don-
nées, la CPVP a conçu son site comme un «info-relais ».
(14%), l’économie (7%) (avec surtout des questions sur le
crédit à la consommation), le travail (45,2%) et les autorités
publiques (5%).
9.3.2 Déclarations enregistrées dans le registre
public
Avant qu’un responsable de traitement puisse effectuer un
traitement entièrement ou partiellement automatisé, il doit
le déclarer à la Commission.
En 2011, les responsables de traitements ont introduit
7169 dossiers de déclaration via l’e-guichet, ce qui repré-
sente une augmentation de 92% par rapport au nombre de
dossiers de déclaration introduits en 2010.
En 2011, 6490 nouveaux traitements de données ont été dé-
clarés sur la base des formulaires de déclaration suivants :
• déclaration ordinaire (19 %) ;
• déclaration VIA/DPR (28 %) ;
• déclaration de traitement ultérieur (1 %) ;
• déclaration thématique pour l’installation et l’utilisa-
tion d’une caméra de surveillance (52 %).
Les modifications et la fin des traitements de données
doivent également être déclarées. En 2011, il y a eu 372 dé-
clarations de modifications à des traitements de données
existants et 306 déclarations de fin de traitement.
Les principales finalités visées par les traitements de don-
nées déclarés ont été : 2850 fois «surveillance et contrôle »
et 520 fois «surveillance et contrôle des personnes qui tra-
vaillent sur un lieu de travail surveillé », 542 fois «finalités
générales », 104 fois «soins de santé » et 2043 fois «autres
finalités ».
76
Les questions posées via le site « Je décide ”
• Par qui ?
▪ Enseignants, direction d’école et médiateurs sco-
laires (+/- 60%) ;
▪ Particuliers (parents, grands-parents, jeunes utili-
sateurs) (+/- 25%) ;
▪ Etudiants-chercheurs (+/- 10%) ;
▪ Editeurs (manuels scolaires, sites internet)
(+/- 5%).
• Quelles sont les questions posées ?
▪ Demandes d’animer une séance d’information ;
La grande majorité des demandes formulées sur le site « Je
décide » concerne des demandes adressées par les directions
d’école et des médiateurs scolaires. Il est demandé à la CPVP
d’animer des séances d’information/débat à l’attention des
parents, des élèves ou des enseignants eux-mêmes. Ces de-
mandent visent l’usage des nouvelles technologies en géné-
ral ou, régulièrement, l’utilisation des réseaux sociaux. Plu-
sieurs demandes ont par exemple été formulées à l’occasion
de la sortie en salle du film « The social Network ». D’autres
entités, telle une bibliothèque communale, ont également
sollicité la présence d’un membre de la Commission pour
une séance d’information sur les NTIC et les jeunes. La
Commission a défini sa politique à cet égard : elle indique
que malheureusement, elle ne peut répondre favorablement
à ces demandes individuelles et renvoie au contenu de son
site créé précisément compte tenu du manque de ressources
internes pour animer de telles séances.
▪ Demande de documentation papier/fascicules,
brochures d’information à distribuer ;
À la suite de l’envoi en février 2011 à toutes les écoles
(Communauté française et Communauté flamande) des
affiches et cartes postales destinées à faire connaître le site
Elle y a mis l’accent sur les aspects «vie privée et protection
des données », soit des aspects qui relèvent spécifiquement
de sa compétence alors que nombreux autres sites «d’édu-
cation aux médias » mettent davantage en évidence les
«dangers d’Internet (sites à contenus illicites ou choquants
etc.) », par exemple. Le site a une vocation pédagogique,
explicative et donne des conseils sur divers thèmes. La CPVP
part de l’idée qu’il convient d’outiller l’utilisateur des NTIC
afin qu’il utilise celles-ci en connaissance de cause, soit en
en connaissant les potentialités mais aussi les limites et les
risques et ce, dans le respect de lui-même et d’autrui (« Je dé-
cide »). Vers une utilisation autonome, informée, citoyenne
et responsable …
Quatre publics cibles ont été identifiés :
• les enfants ;
• les jeunes;
• les parents ;
• les enseignants.
Pour chacun de ces publics cibles, différents thèmes ont été
identifiés tels l’utilisation du GSM, d’Internet, des réseaux
sociaux mais aussi le placement de caméras de surveillance,
le droit à l’image, la publicité etc. Le message est adapté en
fonction du public visé. Le Secrétariat de la CPVP alimente
progressivement le site avec de nouvelles rubriques, de nou-
veaux liens vers d’autres sites intéressants au regard des pro-
blématiques abordées.
Des affiches et cartes postales destinées à faire connaître
le site ont été envoyées dans toutes les écoles primaires et
secondaires de la Communauté française et de la Commu-
nauté flamande (mailing) en février 2011. Cette opération a
remporté un franc succès.
Le site offre la possibilité de poser des questions en ligne.
L’équipe « Je décide » du Secrétariat de la CPVP se charge de
répondre rapidement aux questions posées. Un résumé des
différents types de questions figure ci-dessous de même que
quelques statistiques relatives à la fréquentation des sites.
Commission de la protection de la vie privée — rapport annuel 2011 77
• Questions relatives au droit à l’image : dans quelles
conditions peut-on publier des photos (de tiers) sur In-
ternet ? Quelles sont les obligations lorsqu’on souhaite
réaliser un reportage / des interviews d’élèves ? Peut-on
filmer un entraînement de volley (club de sport) ?
• Quelle autorisation/ou non de filmer, enregistrer un
professeur pendant les heures de cours, mettre les en-
registrements/vidéos sur un site Internet ?
• Quelle est la vision de la CPVP quant au profilage des
mineurs (au départ de données de connexions aux sites
Internet etc.) ?
• Quelle est la vision de la CPVP quant au marketing
visant spécifiquement les mineurs (par e-mail, avec
cadeaux à la clé etc.) ?
• Quid du cyberharcèlement ? Quid des insultes via les
réseaux sociaux ? Que faire face à ce phénomène ? Quel
est le rôle/la responsabilité de l’école compte tenu du
fait que l’utilisation des GSM, des réseaux sociaux etc.
se poursuit une fois à domicile tout en ayant d’impor-
tantes répercussions à l’école …
• Qu’est-ce qu’une copie-cache ? Un tracking cookies ?
• Quelle utilisation a posteriori des échanges d’e-mails ?
• Quelle transmission de données lors d’un changement
d’école ?
• Enfin, de nombreuses questions liées au pouvoir de dé-
cision sur ces questions des NTIC en cas de séparation
des parents sont également posées (qui décide si oui ou
non des photos de voyage scolaire peuvent être mises
sur le site Internet de l’école etc.). La CPVP s’en tient ici
aux aspects de ces questions qui relèvent de sa compé-
tence spécifique.
« Je décide », la Commission a reçu de nombreuses demandes
d’envoi d’affiches et de cartes postales supplémentaires.
Elle a également reçu des demandes de brochures explica-
tives/fascicules sur le thème du bon usage des NTIC, notam-
ment des réseaux sociaux.
Questions concrètes – thèmes abordés
À l’examen de la liste des questions récurrentes posées via
le site et des thèmes abordés, deux tendances se dessinent :
— D’une part, des questions de type « Qu’est-ce que
c’est ?» « Comment ça marche ?» « Est-ce normal ?», « Est-
ce légal ?» se posent : quand peut-on placer une caméra
et filmer des élèves, peut-on publier des photos de tiers,
comment supprimer un compte Hotmail ou un profil
Facebook …
— D’autre part, de nombreuses questions posées ré-
vèlent des difficultés liées à l’utilisation des NTIC dans
le respect d’autrui (GSM, réseaux sociaux, appareils
photos, insultes via Internet.)
• L’utilisation des réseaux sociaux : demandes d’infor-
mations générales et questions techniques plus spé-
cifiques et concernant (le bon) l’usage qui en est fait :
est-ce dangereux ? Quel âge pour aller sur Facebook ?
Comment supprimer son profil sur Facebook ? Com-
ment utiliser les «privacy settings » (paramètres de
confidialité) ? Que faire face à la création d’un faux pro-
fil ? Quid des insultes via les réseaux sociaux ?
• Comment supprimer des données mises sur Internet
(livres d’or, commentaires, réseaux sociaux, suppres-
sion de profil (notamment en cas de création d’un faux
profil par un tiers), suppression de comptes Hotmail,
difficultés de savoir qui contacter, absence de réponse
lors d’envois de mails etc.) ?
• Question connexe : combien de temps les sites Internet
peuvent-ils conserver mes données ?
• L’école peut-elle installer des caméras dans l’enceinte
de l’école (dans quels cas, avec quel consentement /
information des parents etc.) ?
78
Demandes d’informations complémentaires, de docu-
mentation
Plusieurs demandes ont été adressées par des étudiants
pour recevoir davantage d’informations sur la question des
jeunes et des NTIC et rencontrer un membre de la Commis-
sion. Une offre de collaboration par un doctorant, de même
qu’une demande de participation à une table ronde dans le
cadre d’un projet de recherche universitaire ont par exemple
également été adressées à la CPVP.
9.4 Dossiers de fond
Les dossiers de fond comprennent, outre des dossiers de
contrôle, également des dossiers d’information et des dos-
siers de médiation.
En 2011, la Commission vie privée a traité 2866 demandes
d’informations ou de médiation (y compris des dossiers de
contrôle). Ces dossiers peuvent être répartis comme suit :
2447 demandes d’informations émanant tant d’instances
publiques et de responsables de traitements actuels ou fu-
turs que de personnes concernées, 296 demandes de média-
tion et 123 dossiers de contrôle.
Avant toute médiation ou communication d’informations,
la Commission procède toujours à une analyse de receva-
bilité. Pour 153 dossiers, la demande de médiation ou d’in-
formations s’est avérée irrecevable, souvent en raison d’un
manque d’informations de la part de la personne concernée
(148 dossiers).
215 demandes, soit 9%, ont été adressées erronément à la
Commission vie privée, qui s’est toujours efforcée d’orienter
le demandeur vers l’institution compétente. Dans près de
75% des cas, la Commission y est parvenue.
Dans 75% des questions traitées, des informations relatives
à la vie privée ont été communiquées. Dans 3,85% des dos-
siers, la plainte s’est avérée infondée ; par contre dans 5,01%
des dossiers, une infraction à la vie privée a été constatée, où
une correction a été obtenue.
Suggestions de thèmes que pourrait traiter le site :
tracking cookies (exécuté), filmer au moyen d’un gsm
ou d’un iPhone, cyberharcèlement (en projet)
Demandes du monde de l’édition, d’autres sites Inter-
net, des médias etc.
Des responsables de sites Internet ont indiqué avoir renvoyé
au site « Je décide » depuis leur site Internet. Ils ont deman-
dé que la réciproque soit faite par la CPVP. Le magazine «
Lach en Leer » a, via le site « Je décide », demandé la collabo-
ration de la Commission pour l’édition d’un livre destiné
aux enfants de 8 à 10 ans. Le Secrétariat de la Commission
a rédigé l’ensemble des textes de cette publication intitulée
« Media Wijs !? Jong en bewust op internet » (voir ci-dessous).
Une version française devrait être publiée prochainement
(celle-ci n’étant pas encore disponible, la couverture et le
dos de couverture reproduits ci-dessous n’existent encore
qu’en néerlandais). Il a également été demandé à la CPVP si
certains extraits de son site pouvaient être repris dans des
manuels scolaires.
Commission de la protection de la vie privée — rapport annuel 2011 79
données à caractère personnel. Ce système d’évaluation est
d’application aux avis de type article 29 (de la Loi du 8 dé-
cembre 1992 relative à la protection de la vie privée à l’égard
des traitements de données à caractère personnel), émis à la
demande d’une des instances citées dans cette disposition
sur un projet de loi, d’arrêté royal, de décret, … . Les avis
d’initiative ne sont repris que s’ils concernent une initiative
législative. Cette méthode d’évaluation ne s’applique pas
aux délibérations des comités sectoriels.
Pour que cette évaluation puisse se dérouler de manière uni-
forme, un formulaire standard a été mis au point. Il est di-
visé en deux parties. Dans une première partie, on examine
dans quelle mesure la réglementation a été modifiée suite et
conformément à l’avis de la Commission. Cette évaluation
repose sur les remarques faites dans l’avis et une évalua-
tion de la manière dont ces remarques ont été transposées
dans le processus décisionnel. Dans une deuxième partie,
on examine dans quelle mesure le texte réglementaire a un
impact en termes de protection de la vie privée. Cette éva-
luation se fait sur la base d’une comparaison entre le texte
de loi soumis pour avis et le (nouveau) texte de loi publié.
Après analyse de ces deux parties, on dresse un bilan : quel
est l’impact de la Commission sur la législation et quel est
l’impact de la législation sur la vie privée ? L’évaluation est
effectuée par le juriste qui a traité le dossier concerné en
concertation avec le rapporteur. Le formulaire d’évaluation
est ensuite communiqué aux membres de la Commission à
la séance d’information.
Entre-temps, une action de rattrappage a été clôturée pour
tous les avis émis depuis 2007 dont le texte législatif a été
publié au Moniteur belge. En 2011, 12 dossiers d’évaluation
au total ont été traités.
Les cinq thèmes les plus fréquemment abordés sont :
le traitement d’images (19,57%), avec un intérêt majeur pour
la vidéosurveillance, les principes de protection de la vie
privée (16,29%), «autorités publiques et vie privée » (10,40%)
et les pratiques commerciales (10,61%), où les questions
étaient principalement axées sur les applications marke-
ting.
Environ 90% des dossiers clôturés en 2011 ont été traités
dans un délai de 3 mois. Soixante-trois pourcent des dos-
siers dont le traitement est encore en cours ont été ouverts
dans le courant du dernier trimestre de 2011.
La Commission a principalement reçu des demandes
concernant des traitements de données d’identification
(38,90% des dossiers), de prises de vues et de prises de son
(22,85%), de particularités financières (9,39%), de données
d’identification électroniques (9,08%) et de données judi-
ciaires et secrètes (6,73%).
Pour pouvoir répondre à la question posée, on est toujours
parti d’un cadre législatif. La Loi vie privée a généralement
servi de base pour la réponse et les articles les plus fréquem-
ment utilisés ont été : les articles 9-10-12 sur les droits de
la personne concernée (22,64%), l’article 5 sur les condi-
tions liées à un traitement (17,79%). Outre la Loi vie privée,
la Loi caméras a constitué le cadre légal de référence dans
13,29% des dossiers.
Les questions sont généralement posées dans le cadre d’une
relation profit (20,48%), répression (20,31%) ou de travail
(11,30%) entre le responsable du traitement et la personne
concernée.
9.5 Dossiers d’évaluation
Fin 2008, le Secrétariat a lancé une procédure d’évaluation
des textes législatifs sur lesquels la Commission a émis
un avis afin d’évaluer dans quelle mesure l’avis émis par
la Commission a été suivi et la réglementation concernée
protège effectivement la vie privée en cas de traitement de
80
Trimestre dossiers A IN dossiers A OUT % clôturés dossiers A ouverts
01.2011 - 03.2011 5 4 80,00 1
04.2011 - 06.2011 12 10 83,33 2
07.2011 - 09.2011 15 13 86,67 2
10.2011 - 12.2011 12 6 50,00 6
Total 44 33 75,00 11
Trimestre dossiers AR IN dossiers AR OUT % clôturés dossiers AR ouverts
01.2011 - 03.2011 5 3 60,00 2
04.2011 - 06.2011 4 1 25,00 3
07.2011 - 09.2011 2 0 0,00 2
10.2011 - 12.2011 3 1 33,33 2
Total 14 5 35,71 9
Trimestre dossiers EVAL IN dossiers EVAL OUT % clôturés dossiers EVAL ouverts
01.2011 - 03.2011 4 4 100,00 0
04.2011 - 06.2011 4 4 100,00 0
07.2011 - 09.2011 4 4 100,00 0
10.2011 - 12.2011 3 0 0,00 3
Total 15 12 80,00 3
Trimestre dossiers LV IN dossiers LV OUT % clôturés dossier LV ouverts
01.2011 - 03.2011 2 2 100,00 0
04.2011 - 06.2011 4 4 100,00 0
07.2011 - 09.2011 3 3 100,00 0
10.2011 - 12.2011 5 5 100,00 0
Total 14 14 100,00 0
9.6 Tableaux et graphiques
9.6.1. Dossiers de décision traités par la Commission en 2011 en chiffres
9.6.1.1. Analyse globale des dossiers de décision Commission 2011
Commission de la protection de la vie privée — rapport annuel 2011 81
Nom
bre
Nom
bre
1.2 Délai de traitement des dossiers de décision avec délais légaux
1.2.1. Dossiers A
Nombre Délai de traitement Dossiers clôturés Dossiers en traitement
<= 2 mois 28 4> 2 mois 0 2
traitement arrêtés / irrecevables
2
Total 30 6
Pourcentage Délai de traitement Dossiers clôturés Dossiers en traitement
<= 2 mois 100,00 66,67> 2 mois 0,00 33,33
Total 100 100
<= 2 mois 94,12> 2 mois 5,88
1.2.2. Dossiers LVNombre Délai de traitement Dossiers clôturés
<= 45 j 14
0
5
10
15
20
25
30
35
40
45
Dossier A Dossier AR Dossier EVAL Dossier LV
44
14 15 14
33
5
1214
119
30
Dossier CO IN Dossier CO OUT Dossier CO ouvert
1. Dossiers de décision traités par la Commission en 2011 en chiffres
1.1. Analyse globale des dossiers de décision Commission 2011
Trimestre dossiers A IN dossiers A OUT % clôturés dossiers A ouverts01.2011 - 03.2011 5 4 80,00 104.2011 - 06.2011 12 10 83,33 207.2011 - 09.2011 15 13 86,67 210.2011 - 12.2011 12 6 50,00 6
Total 44 33 75,00 11
Trimestre dossiers AR IN dossiers AR OUT % clôturés dossiers AR ouverts01.2011 - 03.2011 10.2011 - 12.2011 3 #VALUE! #VALUE!04.2011 - 06.2011 4 1 25,00 307.2011 - 09.2011 2 0 0,00 210.2011 - 12.2011 3 1 33,33 2
Total 14 5 35,71 9
Trimestre dossiers EVAL IN dossiers EVAL OUT % clôturés dossiers EVAL ouverts01.2011 - 03.2011 4 4 100 004.2011 - 06.2011 4 4 100,00 007.2011 - 09.2011 4 4 100,00 010.2011 - 12.2011 3 0 0,00 3
Total 15 12 80,00 3
Trimestre dossiers LV IN dossiers LV OUT % clôturés dossier LV ouverts01.2011 - 03.2011 2 2 100,00 004.2011 - 06.2011 4 4 100,00 007.2011 - 09.2011 3 3 100,00 010.2011 - 12.2011 5 5 100,00 0
Total 14 14 100,00 0
0
5
10
15
01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011
5
12
15
12
0
4
23
4 4 43
2
43
5
Dossiers de décision Commission 2011
dossiers A IN dossiers AR IN dossiers EVAL IN dossiers LV IN
1. Dossiers de décision traités par la Commission en 2011 en chiffres
1.1. Analyse globale des dossiers de décision Commission 2011
Trimestre dossiers A IN dossiers A OUT % clôturés dossiers A ouverts01.2011 - 03.2011 5 4 80,00 104.2011 - 06.2011 12 10 83,33 207.2011 - 09.2011 15 13 86,67 210.2011 - 12.2011 12 6 50,00 6
Total 44 33 75,00 11
Trimestre dossiers AR IN dossiers AR OUT % clôturés dossiers AR ouverts01.2011 - 03.2011 10.2011 - 12.2011 3 #VALUE! #VALUE!04.2011 - 06.2011 4 1 25,00 307.2011 - 09.2011 2 0 0,00 210.2011 - 12.2011 3 1 33,33 2
Total 14 5 35,71 9
Trimestre dossiers EVAL IN dossiers EVAL OUT % clôturés dossiers EVAL ouverts01.2011 - 03.2011 4 4 100 004.2011 - 06.2011 4 4 100,00 007.2011 - 09.2011 4 4 100,00 010.2011 - 12.2011 3 0 0,00 3
Total 15 12 80,00 3
Trimestre dossiers LV IN dossiers LV OUT % clôturés dossier LV ouverts01.2011 - 03.2011 2 2 100,00 004.2011 - 06.2011 4 4 100,00 007.2011 - 09.2011 3 3 100,00 010.2011 - 12.2011 5 5 100,00 0
Total 14 14 100,00 0
0
5
10
15
01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011
5
12
15
12
0
4
23
4 4 43
2
43
5
Dossiers de décision Commission 2011
dossiers A IN dossiers AR IN dossiers EVAL IN dossiers LV IN
1. Dossiers de décision traités par la Commission en 2011 en chiffres
1.1. Analyse globale des dossiers de décision Commission 2011
Trimestre dossiers A IN dossiers A OUT % clôturés dossiers A ouverts01.2011 - 03.2011 5 4 80,00 104.2011 - 06.2011 12 10 83,33 207.2011 - 09.2011 15 13 86,67 210.2011 - 12.2011 12 6 50,00 6
Total 44 33 75,00 11
Trimestre dossiers AR IN dossiers AR OUT % clôturés dossiers AR ouverts01.2011 - 03.2011 10.2011 - 12.2011 3 #VALUE! #VALUE!04.2011 - 06.2011 4 1 25,00 307.2011 - 09.2011 2 0 0,00 210.2011 - 12.2011 3 1 33,33 2
Total 14 5 35,71 9
Trimestre dossiers EVAL IN dossiers EVAL OUT % clôturés dossiers EVAL ouverts01.2011 - 03.2011 4 4 100 004.2011 - 06.2011 4 4 100,00 007.2011 - 09.2011 4 4 100,00 010.2011 - 12.2011 3 0 0,00 3
Total 15 12 80,00 3
Trimestre dossiers LV IN dossiers LV OUT % clôturés dossier LV ouverts01.2011 - 03.2011 2 2 100,00 004.2011 - 06.2011 4 4 100,00 007.2011 - 09.2011 3 3 100,00 010.2011 - 12.2011 5 5 100,00 0
Total 14 14 100,00 0
0
5
10
15
01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011
5
12
15
12
0
4
23
4 4 43
2
43
5
Dossiers de décision Commission 2011
dossiers A IN dossiers AR IN dossiers EVAL IN dossiers LV IN
82
9.6.1.2 Délai de traitement des dossiers de décision avec délais légaux
9.6.1.2.1 Dossiers A
Nombre Délai de traitement Dossiers clôturés Dossiers en traitement
< 2 mois 28 4
> 2 mois 0 2
traitement arrêtés / irrecevables
2
Total 30 6
Pourcentage Délai de traitement Dossiers clôturés Dossiers en traitement
< 2 mois 100,00 66,67
> 2 mois 0,00 33,33
Total 100 100
< 2 mois 94,12
> 2 mois 5,88
1.2.2. Dossiers LV
Nombre Délai de traitement Dossiers clôturés
< 45 j 14
<
<
<
<
Commission de la protection de la vie privée — rapport annuel 2011 83
9.6.1.3 Suite donnée aux dossiers de décision clôturés
Type de dossier Suite Nombre % / type de dossier
Dossiers A favorable 9 27,27
favorable avec conditions 15 45,45
défavorable 4 12,12
point de vue formulé 1 3,03
irrecevable 1 3,03
traitement arrêté 3 9,09
Dossiers AR point de vue formulé 4 80,00
traitement arrêté 1 20,00
Dossiers EVAL point de vue formulé 12 100,00
Dossiers LV favorable 14 100,00
84
Nom
bre
9.6.2. Dossiers de fond 2011 en chiffres
9.6.2.1 Analyse globale des dossiers de fond 2011
Trimestre Dossiers DOS IN Dossiers DOS OUT % clôturés Dossiers DOS ouverts
01.2011 - 03.2011 852 803 94,25 49
04.2011 - 06.2011 668 627 93,86 41
07.2011 - 09.2011 573 496 86,56 77
10.2011 - 12.2011 773 487 63,00 286
Total 2 866 2 413 84,19 453
2 Dossiers de fond 2011 en chiffres
2.1 Analyse globale des dossiers de fond 2011
Trimestre Dossiers DOS IN Dossiers DOS OUT % clôturés Dossiers DOS ouverts01.2011 - 03.2011 852 803 94,25 4904.2011 - 06.2011 668 627 93,86 4107.2011 - 09.2011 573 496 86,56 7710.2011 - 12.2011 773 487 63,00 286
Total 2.866 2.413 84,19 453
10.2011 - 12.2011
0
200
400
600
800
1000
01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011
852
668573
773803
627496 487
49 41 77
286
Dossiers de fond 2011
Dossiers DOS IN Dossiers DOS OUT Dossiers DOS ouverts
Commission de la protection de la vie privée — rapport annuel 2011 85
Trimestre Dossiers DOS IN Dossiers DOS OUT % clôturés Dossiers DOS ouverts
01.2011 - 03.2011 852 803 94,25 49
information 730 701 96,03 29
médiation 88 72 81,82 16
contrôle 34 30 88,24 4
04.2011 - 06.2011 668 627 93,86 113
information 582 560 96,22 22
médiation 61 46 75,41 15
contrôle 25 21 84,00 4
07.2011 - 09.2011 573 496 86,56 154
information 470 435 92,55 35
médiation 65 40 61,54 25
contrôle 38 21 55,26 17
10.2011 - 12.2011 773 487 63,00 207
information 665 462 69,47 149
médiation 82 20 24,39 62
contrôle 26 5 19,23 21
Total 2 866 2 413 84,19 453
information 2 447 2 158 88,19 289
médiation 296 178 60,14 118
contrôle 123 77 62,60 46
Trimestre Dossiers DOS IN Dossiers DOS OUT % clôturés Dossiers DOS ouverts01.2011 - 03.2011 852 803 94,25 49
information 730 701 96,03 29médiation 88 72 81,82 16contrôle 34 30 88,24 4
04.2011 - 06.2011 668 627 93,86 113information 582 560 96,22 22médiation 61 46 75,41 15contrôle 25 21 84,00 4
07.2011 - 09.2011 573 496 86,56 154information 470 435 92,55 35médiation 65 40 61,54 25contrôle 38 21 55,26 17
10.2011 - 12.2011 773 487 63,00 207information 665 462 69,47 149médiation 82 20 24,39 62contrôle 26 5 19,23 21
Total 2.866 2.413 84,19 453information 2.447 2.158 88,19 289médiation 296 178 60,14 118contrôle 123 77 62,60 46
0
500
1.000
1.500
2.000
2.500
information médiation contrôle
2.447
296123
2.158
17877
289118 46
Dossiers DOS IN
Dossiers DOS OUT
Dossiers DOS ouverts
Nom
bre
86
9.6.2.2 Délai de traitement dossiers de fond
Nombre Délai de traitement Dossiers clôturés Dossiers en traitement
< 30 1 767 125
31-60 295 81
61-90 126 80
91-180 167 77
181-270 43 40
271-365 11 45
>365 4 5
Total 2 413 453
Pourcentage Délai de traitement Dossiers clôturés Dossiers en traitement
< 30 73,23 27,59
31-60 12,23 17,88
61-90 5,22 17,66
91-180 6,92 17,00
181-270 1,78 8,83
271-365 0,46 9,93
>365 0,17 1,10
Total 100 100
< 3 mois 90,68 63,13
> 3 mois 9,32 36,87
< 3 mois 86,32
> 3 mois 13,68
<
<
<
<
Commission de la protection de la vie privée — rapport annuel 2011 87
9.6.2.3 Suite donnée aux dossiers de fond clôturés
Suite Nombre Pourcentage
information communiquée 1 800 74,60
pas d'infraction à la vie privée 93 3,85
pas d'enregistrement 30 1,24
pas d'infraction à la vie privée 39 1,62
maintien de l'enregistrement 24 0,99
infraction à la vie privée 121 5,01
suppression complète de l'enregistrement 41 1,70
suppression partielle de l'enregistrement 5 0,21
correction de l'enregistrement 4 0,17
accord à l'amiable 71 2,94
dossiers irrecevables 153 6,34
information non exigée 148 6,13
droits non exercés 5 0,21
Commission non compétente 215 8,91
renvoi 165 6,84
pas de renvoi 50 2,07
traitement arrêté 31 1,28
88
9.6.2.4 Analyse du contenu des dossiers de fond reçus
Nombre %
Langue
Néerlandais 1 663 58,03
Français 1 120 39,08
Anglais 74 2,58
Allemand 7 0,24
Autres 2 0
Types de dossier
médiation 296 10,33
contrôle 123 4,29
information 2 447 85,38
front office 2 329 81,26
back office 537 18,74
Activité
interne 2 373 82,80
externe 414 14,45
non mentionnée 79 2,76
nombre moyen de pièces entrantes et sortantes par dossier
3,21
Commission de la protection de la vie privée — rapport annuel 2011 89
Domaine - sous-domaine
Nombre % (Total) % (en domaine)
Télécommunications 170 5,93
général 43 1,50 25,29
blogging - résaux sociaux
30 1,05 17,65
cookies 1 0,03 0,59
télévision digitale 2 0,07 1,18
Internet 76 2,65 44,71
nouvelles technologies
10 0,35 5,88
moteurs de recherche
8 0,28 4,71
Autorité publique 298 10,40
général 30 1,05 10,07
registres de population
42 1,47 14,09
DIV 35 1,22 11,74
e-government 5 0,17 1,68
eID 24 0,84 8,05
Eurodac 1 0,03 0,34
fisc 13 0,45 4,36
moyens d'identification
10 0,35 3,36
autorisations 7 0,24 2,35
publicité de l'administration
14 0,49 4,70
élections politiques 1 0,03 0,34
administrations régionales et locales
29 1,01 9,73
Registre national 85 2,97 28,52
visa 2 0,07 0,67
Justice 19 0,66
général 1 0,03 5,26
9.6.2.4.1. Domaines et sous-domaines des dossiers de fond
90
Domaine - sous-domaine
Nombre % (Total) % (en domaine)
Child focus 1 0,03 5,26
justice 13 0,45 68,42
parquet 3 0,10 15,79
jurisprudence 1 0,03 5,26
Police-renseignements
170 5,93
général 5 0,17 2,94
douane 1 0,03 0,59
criminalité informatique
1 0,03 0,59
services de renseignements
3 0,10 1,76
police 142 4,95 83,53
Schengen, Europol, Eurojust
10 0,35 5,88
casier judiciaire 7 0,24 4,12
blanchiment 1 0,03 0,59
Enseignement 35 1,22
Travail 229 7,99
général 4 0,14 1,75
vidéosurveillance 3 0,10 1,31
e-mail 10 0,35 4,37
données relatives aux travailleurs
126 4,40 55,02
géolocalisation 40 1,40 17,47
moyens d'identification
10 0,35 4,37
recrutement 4 0,14 1,75
télécommunication 25 0,87 10,92
syndicats 2 0,07 0,87
bien-être au travail 1 0,03 0,44
whistleblowing 4 0,14 1,75
Sécurité sociale 13 0,45
Commission de la protection de la vie privée — rapport annuel 2011 91
Domaine - sous-domaine
Nombre % (Total) % (en domaine)
Copropriété 25 0,87
code du logement 1 0,03 4,00
copropriété 9 0,31 36,00
syndic 15 0,52 60,00
Traitement des données relatives à la santé
52 1,81
général 27 0,94 51,92
secret professionnel
1 0,03 1,92
banques de données
2 0,07 3,85
eHealth 3 0,10 5,77
autorisations 1 0,03 1,92
dossiers de patients 18 0,63 34,62
Traitement d'images 561 19,57
général 11 0,38 1,96
vidéosurveillance 378 13,19 67,38
Google Street View 54 1,88 9,63
droit à l'image 116 4,05 20,68
webcasting 2 0,07 0,36
Presse et médias 36 1,26
général 29 1,01 80,56
presse audiovisuelle
1 0,03 2,78
presse électronique 2 0,07 5,56
presse écrite 4 0,14 11,11
Économie 254 8,86
général 4 0,14 1,57
banque/assurances 33 1,15 12,99
protection des consommateurs
9 0,31 3,54
faillites 7 0,24 2,76
finances 9 0,31 3,54
concordat judiciaire 1 0,03 0,39
crédit 60 2,09 23,62
92
Domaine - sous-domaine
Nombre % (Total) % (en domaine)
crédit volet négatif 113 3,94 44,49
crédit volet positif 11 0,38 4,33
listes négatives 7 0,24 2,76
Pratiques commerciales
304 10,61
général 11 0,38 3,62
marketing direct 146 5,09 48,03
cartes de fidélité 6 0,21 1,97
commerce de données personnelles
8 0,28 2,63
moyens d'identification
2 0,07 0,66
marketing 60 2,09 19,74
listes de personnes 22 0,77 7,24
phishing 2 0,07 0,66
propagande politique
10 0,35 3,29
spam 37 1,29 12,17
Sécurisation de l'information
16 0,56
Recherche SHS 41 1,43
divers 1 0,03 2,44
généalogie 6 0,21 14,63
statistiques 10 0,35 24,39
recherche scientifique
24 0,84 58,54
Archives 9 0,31
général 4 0,14 44,44
données de défunts 2 0,07 22,22
données des autorités
2 0,07 22,22
archives privées 1 0,03 11,11
Commission de la protection de la vie privée — rapport annuel 2011 93
Domaine - sous-domaine
Nombre % (Total) % (en domaine)
Flux internationaux 86 3,00
général 10 0,35 11,63
BCR 11 0,38 12,79
clauses contractuelles
65 2,27 75,58
Protection internationale de données personnelles
7 0,24
Principes de protection de la vie privée
467 16,29
Autres ou non déterminés
63 2,20
statistiques 10 0,35 24,39recherche scientifique 24 0,84 58,54
Archives 9 0,31général 4 0,14 44,44données de défunts 2 0,07 22,22données des autorités 2 0,07 22,22archives privées 1 0,03 11,11
Flux internationaux 86 3,00général 10 0,35 11,63BCR 11 0,38 12,79clauses contractuelles 65 2,27 75,58
Protection internationale de données personnelles 7 0,24Principes de protection de la vie privée 467 16,29Autres ou non déterminés 63 2,20
0 100 200 300 400 500 600
254
298
304
467
561
Top 5 des domaines les plus courants
Traitement d'images Principes de protection de la vie privée Pratiques commerciales Autorité publique Économie
94
9.6.2.4.2 Type de données traitées dans les dossiers de fond (top 5)
Type de données Nombre % / # dossiers % / # types
données d'identification 1 115 38,90 33,29
prises de vues et prises de sons 655 22,85 19,56
particularités financières 269 9,39 8,03
données d'identification électroniques 266 9,28 7,94
données judiciaires et secrètes 193 6,73 5,762.4.2 Type de données traitées dans les dossiers de fond (top 5)
Type de données Nombre % / # dossiers % / # typesdonnées d'identification 1.115 38,90 33,29prises de vues et prises de sons 655 22,85 19,56particularités financières 269 9,39 8,03données d'identification électroniques 266 9,28 7,94données judiciaires et secrètes 193 6,73 5,76
1115
655
269
266193
Top 5 des types de données les plus traitées
données d'identification
prises de vues et prises de sons
particularités financières
données d'identification électroniques
données judiciaires et secrètes
Commission de la protection de la vie privée — rapport annuel 2011 95
9.6.2.4.3 Législation traitée dans les dossiers de fond (top 5)
Législation Nombre % / # dossiers % / # types
LVP articles 9-10-12 (droits de la personne concernée) 649 22,64 18,26
LVP article 5 (conditions de traitement) 510 17,79 14,35
Loi caméras 381 13,29 10,72
LVP article 4 (régularité du traitement) 191 6,66 5,37
Législation en matière de crédit 178 6,21 5,062.4.3 Législation traitée dans les dossiers de fond (top 5)
Législation Nombre % / # dossiers % / # typesLVP articles 9-10-12 (droits de la personne concernée) 649 22,64 18,26LVP article 5 (conditions de traitement) 510 17,79 14,35Loi caméras 381 13,29 10,72LVP article 4 (régularité du traitement) 191 6,66 5,37Législation en matière de crédit 178 6,21 5,06
649
510
381
191
178
Top 5 de la législation la plus souvent traitée
LVP articles 9-10-12 (droits de la personne concernée)
LVP article 5 (conditions de traitement)
Loi caméras
LVP article 4 (régularité du traitement)
Législation en matière de crédit
96
9.6.2.4.4 Relation responsable du traitement & personne concernée
Relation de traitement Nombre %
Relation de travail 324 11,30
Relation répression 582 20,31
Relation informative/d'influence 188 6,56
Relation non-profit 210 7,33
Relation profit 587 20,48
Relation avec l'enseignement 59 2,06
Relation avec l'autorité publique 300 10,47
Relation privée 255 8,90
Relation sociale 139 4,85
Relation scientifique 44 1,54
Autre 83 2,90
Non définie 95 3,31
2.4.4 Relation responsable du traitement & personne concernée
Relation de traitement Nombre %Relation de travail 324 11,30Relation répression 582 20,31Relation informative/d'influence 188 6,56Relation non-profit 210 7,33Relation profit 587 20,48Relation avec l'enseignement 59 2,06Relation avec l'autorité publique 300 10,47Relation privée 255 8,90Relation sociale 139 4,85Relation scientifique 44 1,54Autre 83 2,90Non définie 95 3,31
0 100 200 300 400 500 600
255
300
324
582
587
Relation de traitement : top 5
Relation profit Relation répression Relation de travail Relation avec l'autorité publique Relation privée
Commission de la protection de la vie privée — rapport annuel 2011 97
Nom
bre
9.6.3 Dossiers Question et Réponse (dossiers Q&A) 2011 en chiffres
9.6.3.1 Analyse globale des dossiers Q&A 2011
Type Nombre
Dossier FO 3 042
Dossier PR 55
Type Trimestre Nombre
Dossiers FO 01.2011 - 03.2011 555
04.2011 - 06.2011 789
07.2011 - 09.2011 750
10.2011 - 12.2011 948
Dossiers PR 01.2011 - 03.2011 25
04.2011 - 06.2011 16
07.2011 - 09.2011 12
10.2011 - 12.2011 2
3 Dossiers Question et Réponse (dossiers Q&A) 2011 en chiffres
3.1 Analyse globale des dossiers Q&A 2011
Type NombreDossier FO 3.042Dossier PR 55
Type Trimestre NombreDossiers FO 01.2011 - 03.2011 555
04.2011 - 06.2011 78907.2011 - 09.2011 75010.2011 - 12.2011 948
Dossiers PR 01.2011 - 03.2011 2504.2011 - 06.2011 1607.2011 - 09.2011 1210.2011 - 12.2011 2
3.2 analyse du contenu des dossiers FO
3.2.1 Domaines et sous-domaines des dossiers FO (top 5)
NombreTraitement d'images 866
général 6vidéosurveillance 594Google Street View 211droit à l'image 55
Principes de protection vie privée 419Économie 214
général 1banque/assurances 12protection consommateurs 1compliance 1finances 1crédit 124crédit volet négatif 70crédit volet positif 3
Domaine - Sous-domaine
0
500
1000
01.2011 -03.2011
04.2011 -06.2011
07.2011 -09.2011
10.2011 -12.2011
555789 750
948
Questions et réponses dossiers 2011
FO-dossier PR-dossier
0 100 200 300 400 500 600 700 800 900
138144
214419
866
Top 5 des domaines les plus courants
Traitement d'images Principes de protection vie privée Économie Autorité publique Travail
98
Domaine - Sous-domaine NombreTraitement d'images 866
général 6vidéosurveillance 594Google Street View 211droit à l'image 55
Principes de protection vie privée 419Économie 214
général 1banque/assurances 12protection consommateurs 1compliance 1finances 1crédit 124crédit volet négatif 70crédit volet positif 3listes négatives 1
Autorité publique 144général 13registres de population 18DIV 27e-government 1eID 3moyens d'identification 2autorisations 10publicité de l'administration 2élections politiques 2administrations régionales et locales 7Registre national 59
Travail 138général 2vidéosurveillance 2e-mail 8données des travailleurs 69géolocalisation 23moyens d'identification 2recrutement 1télécommunications 19whistleblowing 12
9.6.3.2 Analyse du contenu des dossiers FO
9.6.3.2.1 Domaines et sous-domaines des dossiers FO (top 5)
Commission de la protection de la vie privée — rapport annuel 2011 99
3 Dossiers Question et Réponse (dossiers Q&A) 2011 en chiffres
3.1 Analyse globale des dossiers Q&A 2011
Type NombreDossier FO 3.042Dossier PR 55
Type Trimestre NombreDossiers FO 01.2011 - 03.2011 555
04.2011 - 06.2011 78907.2011 - 09.2011 75010.2011 - 12.2011 948
Dossiers PR 01.2011 - 03.2011 2504.2011 - 06.2011 1607.2011 - 09.2011 1210.2011 - 12.2011 2
3.2 analyse du contenu des dossiers FO
3.2.1 Domaines et sous-domaines des dossiers FO (top 5)
NombreTraitement d'images 866
général 6vidéosurveillance 594Google Street View 211droit à l'image 55
Principes de protection vie privée 419Économie 214
général 1banque/assurances 12protection consommateurs 1compliance 1finances 1crédit 124crédit volet négatif 70crédit volet positif 3
Domaine - Sous-domaine
0
500
1000
01.2011 -03.2011
04.2011 -06.2011
07.2011 -09.2011
10.2011 -12.2011
555789 750
948
Questions et réponses dossiers 2011
FO-dossier PR-dossier
0 100 200 300 400 500 600 700 800 900
138144
214419
866
Top 5 des domaines les plus courants
Traitement d'images Principes de protection vie privée Économie Autorité publique Travail
listes négatives 1Autorité publique 144
général 13registres de population 18DIV 27e-government 1eID 3moyens d'identification 2autorisations 10publicité de l'administration 2élections politiques 2administrations régionales et locales 7registre national 59
Travail 138général 2vidéosurveillance 2e-mail 8données des travailleurs 69géolocalisation 23moyens d'identification 2recrutement 1télécommunications 19whistleblowing 12
3.2.2 Législation traitée dans les dossiers FO (top 5)
Nombre % / # dossiers713 23,44591 19,43413 13,58171 5,62104 3,41
LVP article 5 (conditions de traitement)Législation en matière de crédit
Législation
Loi camérasLVP articles 17-18-19-20 (déclaration)
LVP articles 9-10-12 (droits de la personne concernée)
0 100 200 300 400 500 600
6970
184211
594
Top 5 des sous-domaines les plus courants
vidéosurveillance Google Street View crédit crédit volet négatif données des travailleurs
100
9.6.3.2.2 Législation traitée dans les dossiers FO (top 5)
Législation Nombre % / # dossiers
LVP articles 17-18-19-20 (déclaration) 713 23,44
Loi caméras 591 19,43
LVP articles 9-10-12 (droits de la personne concernée) 413 13,58
LVP article 5 (conditions de traitement) 171 5,62
Législation en matière de crédit 104 3,41
3.2.3 Relation responsable du traitement & personne concernée
Nombre %195 6,41820 26,9645 1,48165 5,4220 0,66167 5,4998 3,22
340 11,1857 1,8742 1,38158 5,19935 30,74
Relation de traitementRelation de travailRelation répressionRelation informative/ d'influence
Relation profit
Relation socialeRelation scientifique
Non définieAutre
Relation privée
Relation non-profit
Relation avec l'enseignementRelation avec l'autorité publique
713
591
413
171
104
Top 5 de la législation la plus souvent traitée
LVP articles 17-18-19-20 (déclaration)
Loi caméras
LVP
articles 9-10-12 (droits de la
personne concernée)
LVP article
5
(conditions de traitement)
Législation en matière de crédit
Commission de la protection de la vie privée — rapport annuel 2011 101
9.6.3.2.3 Relation responsable du traitement & personne concernée
Relation de traitement Nombre %
Relation de travail 195 6,41
Relation répression 820 26,96
Relation informative/ d'influence 45 1,48
Relation non-profit 165 5,42
Relation avec l'enseignement 20 0,66
Relation avec l'autorité publique 167 5,49
Relation privée 98 3,22
Relation profit 340 11,18
Relation sociale 57 1,87
Relation scientifique 42 1,38
Autre 158 5,19
Non définie 935 30,74
0 100 200 300 400 500 600 700 800 900
165
167
195
340
820
Relation de traitement : top 5
Relation répression Relation profit Relation de travail Relation avec l'autorité publique Relation non-profit
102
9.6.4. Dossiers de déclaration et de notification en chiffres
9.6.4.1. Analyse globale des déclarations et traitements
Trimestre Nombre de déclarations
Nouveaux traitements
Modification du traitement
Correction du traitement
Fin du traitement
01 2011 - 03 2011 1 612 1 407 79 80 46
04 2011 - 06 2011 1 602 1 437 53 20 92
07 2011 - 09 2011 1 735 1 552 80 21 81
10 2011 - 12 2011 2 220 2 094 36 3 87
7 169 6 490 248 124 306
5 Dossiers de déclaration et de notification en chiffres
5.1 Analyse globale des déclarations et traitements
Trimestre Nombre de déclarations
Nouveaux traitements
Modification du traitement
Correction du traitement
Fin du traitement
01.2011 - 03.2011 1.612 1.407 79 80 4604.2011 - 06.2011 1.602 1.437 53 20 9207.2011 - 09.2011 1.735 1.552 80 21 8110.2011 - 12.2011 2.220 2.094 36 3 87
7.169 6.490 248 124 306
5. 2 Déclarations de nouveaux traitements de données
Trimestre Nouveaux traitements
Déclaration ordinaire
Déclaration VIA/DPR
Déclaration traitement ultérieur
Déclaration thématique
01.2011 - 03.2011 1.407 350 325 13 71904.2011 - 06.2011 1.437 321 42 8 1.06607.2011 - 09.2011 1.552 288 311 13 94010.2011 - 12.2011 2.094 255 1.125 21 693
0
500
1.000
1.500
2.000
2.500
Nombre de déclarations
1.612 1.602 1.735
2.220
nom
bre
Évolution des déclarations par trimestre
01.2011 - 03.2011
04.2011 - 06.2011
07.2011 - 09.2011
10.2011 - 12.2011
Commission de la protection de la vie privée — rapport annuel 2011 103
9.6.4. 2 Déclarations de nouveaux traitements de données
Trimestre Nouveaux traitements
Déclaration ordinaire
Déclaration VIA/DPR
Déclaration traitement ultérieur
Déclaration thématique
01 2011 - 03 2011 1 407 350 325 13 71904 2011 - 06 2011 1 437 321 42 8 1 06607 2011 - 09 2011 1 552 288 311 13 94010 2011 - 12 2011 2 094 255 1 125 21 693
6 490 1 214 1 803 55 3 418
6.490 1.214 1.803 55 3.418
5.3 Traitements par finalité
nombre de déclarations
Finalités générales 542Finalités de l'autorité publique 29Contrôle et surveillance sur le lieu de travail 520Justice et police 58Contrôle et surveillance 2.850Enseignement 14Culture et bien-être 10Soins de santé 5Recherche scientifique primaire ou secondaire 104Organismes bancaires et de crédit, assurances 69Commerce 94Traitement ultérieur 55Autres finalités 2.043
Finalité
19%
28%
1%
52%
Nouveaux traitements de données par type de déclaration
Déclaration ordinaire
Déclaration VIA/DPR
Déclaration traitement ultérieur
Déclaration thématique
104
9.6.4.3 Traitements par finalité
Finalité nombre de déclarations
Finalités générales 542
Finalités de l'autorité publique 29
Contrôle et surveillance sur le lieu de travail 520
Justice et police 58
Contrôle et surveillance 2 850
Enseignement 14
Culture et bien-être 10
Sécurité sociale 5
Soins de santé 77
Recherche scientifique primaire ou secondaire 104
Organismes bancaires et de crédit, assurances 69
Commerce 94
Traitement ultérieur 55
Autres finalités 2 043
5.4 Notification de l'utilisation d'une caméra mobile par les services de police
Trimestre Total Manifestation sportive
Manifestation Evénement / festivité
Manifestations culturelles
Émeute Autres
01.2011 - 03.2011 38 25 10 0 0 1 204.2011 - 06.2011 31 12 5 8 1 0 507.2011 - 09.2011 44 26 3 11 2 2 010.2011 - 12.2011 27 15 7 5 0 0 0
140 78 25 24 3 3 7
0500
1000 15002000
25003000
104
520
542
2043
2850
Principales finalités des traitements de données
Contrôle et surveillance
Autres finalités
Finalités générales
Contrôle et surveillance sur le lieu de travail
Recherche scientifique primaire ou secondaire
Commission de la protection de la vie privée — rapport annuel 2011 105
9.6.4.4 Notification de l'utilisation d'une caméra mobile par les services de police
Trimestre Total Mani-festation sportive
Manifes-tation
Evénement / festivité
Manifesta-tions cul-turelles
Émeute Autres
01 2011 - 03 2011 38 25 10 0 0 1 2
04 2011 - 06 2011 31 12 5 8 1 0 5
07 2011 - 09 2011 44 26 3 11 2 2 0
10 2011 - 12 2011 27 15 7 5 0 0 0
140 78 25 24 3 3 7
0
10
20
30
40
50
Total
38
31
44
27
Nom
bre
Notifications caméras mobiles par trimestre
01.2011 - 03.2011
04.2011 - 06.2011
07.2011 - 09.2011
10.2011 - 12.2011
56%
18%
17%
2%2% 5%
Identification rassemblement populaireManifestation sportive
Manifestation
Evénement / festivité
Manifestations culturelles
Émeute
Autre
0
10
20
30
40
50
Total
38
31
44
27
Nom
bre
Notifications caméras mobiles par trimestre
01.2011 - 03.2011
04.2011 - 06.2011
07.2011 - 09.2011
10.2011 - 12.2011
56%
18%
17%
2%2% 5%
Identification rassemblement populaireManifestation sportive
Manifestation
Evénement / festivité
Manifestations culturelles
Émeute
Autre
106
9.6.5 Analyse Comparative : 2010 - 2011
9.6.5.1 Ouverture de dossiers
2010 2011 r IN - nominal
Dossiers de fond 2 832 2 866 34
Dossiers de décision 532 718 186
SCSZ&G-MA 112 121 9
SCSZ&G-A 32 24 -8
AF-MA 23 18 -5
AF-AD 110 97 -13
AF-ALG 2 0 -2
STAT-MA 47 37 -10
STAT-ALG 1 1 0
RN-MA 64 94 30
RN-AD 80 238 158
RN-ALG 5 1 -4
CO-A 29 44 15
CO-AR 8 14 6
CO-LV 11 14 3CO-EVAL 8 15 7
Dossiers de déclaration RPR 11 982 7 169 -4 813
Notification caméra mobile 145 140 -5
Dossiers PR 73 55 -18
Dossiers FO 3 008 3 042 34
Commission de la protection de la vie privée — rapport annuel 2011 107
9.6.5.2 Clôture de dossiers
2010 2011 r IN - nominal
Dossiers de fond 2 220 2 413 193
Dossiers de décision
CO-A 25 33 8
CO-AR 1 5 4
CO-LV 10 14 4
CO-EVAL 5 12 7
AF-MA 17 15 -2
AF-AD 61 93 32
AF-ALG 1 0 -1
STAT-MA 37 35 -2
STAT-ALG 1 0 -1
RN-MA 43 55 12
RN-AD 60 230 170
RN-ALG 2 1 -1
SCSZ&G-MA Autorisation “ Sécurité sociale et Santé “
SCSZ&G-A Avis “ Sécurité sociale et Santé “
AF-MA Autorisation “ Autorité Fédérale “
AF-AD Adhésion autorisation générale “ Autorité Fédérale “
AF-MA Autorisation générale “ Autorité Fédérale “
STAT-MA Autorisation “ Comité de surveillance statistique “
STAT-ALG Autorisation générale “ Comité de surveillance statistique “
RN-MA Autorisation “ Registre National “
RN-AD Adhésion autorisation générale “ Registre national “
RN-ALG Autorisation générale “ Registre national “
CO-A Demandes d'avis (article 29 de la LVP) Commission
CO-AR Recommandation Commission
CO-LV Recommandation traitement ultérieur Commission
CO-EVAL Évaluation impact des avis de la Commission
RPR Registre public
PR Presse
FO Front office - aide de première ligne
108
Commission de la protection de la vie privée — rapport annuel 2011 109
Deuxième partie : les comités sectoriels
110
Commission de la protection de la vie privée — rapport annuel 2011 111
La Commission compte actuellement six comités
sectoriels.
Ces comités sont compétents pour les traitements de
données effectués dans des secteurs spécifiques.
Ils sont généralement composés pour une moitié
des membres de la Commission et pour l’autre moitié
d’experts du secteur.
Des comités sectoriels institués au sein de la Commission
veillent à ce que les traitements de données à caractère per-
sonnel effectués dans divers secteurs spécifiques ne portent
pas atteinte à la vie privée. Ces comités rassemblent des
membres de la Commission et des experts choisis pour leur
connaissance pratique du secteur concerné. Pour l’heure,
six comités sectoriels ont été créés.
Les comités sectoriels ont été institués au sein de la Com-
mission, soit par la Loi du 8 décembre 1992, soit par une loi
relative au secteur spécifique du comité sectoriel.
À quelques exceptions près, les comités sectoriels sont
composés à parts égales de membres de la Commission et
d’experts du secteur concerné.
La Commission désigne elle-même ses représentants au
sein du comité sectoriel, alors que les autres membres de
ce dernier sont nommés par la Chambre des Représentants.
Quoi qu’il en soit, tous sont désignés pour un mandat renou-
velable de six ans et peuvent d’une manière ou d’une autre se
prévaloir d’une expertise en matière de protection de la vie
privée et de gestion des données à caractère personnel.
La présidence des comités sectoriels est en principe assurée
par le Président de la Commission.
Le Président de chaque comité sectoriel doit en tout cas veil-
ler à ce que les décisions prises n’aillent pas à l’encontre des
positions défendues par la Commission. Dans ce cadre, il
est ainsi autorisé à interrompre le traitement d’un dossier
pour le soumettre à l’appréciation de la Commission.
Les comités sectoriels ont pour mission de veiller à ce que
tous les traitements de données à caractère personnel effec-
tués dans le secteur dont ils sont responsables respectent la
vie privée des personnes concernées. Leurs compétences ne
sont pas nécessairement identiques.
Sauf si d’autres arrangements sont prévus, les comités sec-
toriels sont assistés par le Secrétariat de la Commission.
1 La composition des comités sectoriels
112
1.2 Comité sectoriel de la Sécurité Sociale et de la Santé
Autorise la communication de données relatives à la
sécurité sociale et à la santé.
Facilite l’échange d’informations dans le secteur de la
sécurité sociale.
Collabore avec les services publics du secteur de la
santé.
Le Comité sectoriel de la Sécurité Sociale et de la Santé a
été institué au sein de la Commission par la Loi du 15 jan-
vier 1990. Il est chargé de veiller à ce que les traitements de
données à caractère personnel effectués via le réseau de la
sécurité sociale ne mettent pas en péril la vie privée des as-
surés sociaux. Il remplit par ailleurs également une mission
de contrôle portant plus particulièrement sur la communi-
cation des données relatives à la santé.
Compétences
Les compétences du Comité sectoriel de la Sécurité So-
ciale et de la Santé sont définies à l’article 46 de la Loi du
15 janvier 1990 relative à l’institution et à l’organisation d’une
Banque-Carrefour de la Sécurité Sociale.
En plus d’une compétence d’avis, le Comité a notamment le
pouvoir d’autoriser la transmission électronique de données
à caractère personnel au sein du réseau spécialement créé
en vue de faciliter l’échange d’informations dans le secteur
de la sécurité sociale. Il est également habilité à autoriser la
communication de données à caractère personnel relatives à
la santé. Il veille à l’application et au respect de la législation
en vigueur dans ces matières. Il peut aussi, le cas échéant,
traiter les plaintes, contribuer à la résolution des litiges et
effectuer certaines enquêtes.
Dans le prolongement de ce qui est stipulé à l’article 42, § 2,
3° de la Loi du 13 décembre 2006 portant dispositions diverses
en matière de santé et à l’article 46, § 2 de la Loi du 15 jan-
1.1 Comité sectoriel du Registre national
Protège les données contenues dans le Registre
national.
Contrôle l’utilisation du numéro d’identification.
Veille au respect des lois concernant les cartes d’iden-
tité et les registres de la population.
Ce Comité sectoriel a été créé au sein de la Commission par
la Loi du 8 août 1983. Il est chargé de veiller à la sécurité et à
la protection des données enregistrées dans le Registre na-
tional, ainsi que de contrôler l’utilisation du numéro d’iden-
tification dudit Registre.
Compétences
Les compétences du Comité sectoriel du Registre national
sont définies à l’article 16 de la Loi du 8 août 1983 organisant
un Registre national des personnes physiques.
Elles peuvent être résumées comme suit :
• accorder des autorisations permettant :
▪ d’avoir accès aux informations enregistrées dans
le Registre national ;
▪ d’utiliser le numéro de Registre national ;
• veiller à l’application et au respect des lois concernant :
▪ le Registre national ;
▪ les registres de la population ;
▪ les cartes d’identité ;
• traiter des éventuelles plaintes ;
• aider à résoudre les litiges ;
• effectuer certaines enquêtes.
Commission de la protection de la vie privée — rapport annuel 2011 113
▪ les communications des données à caractère per-
sonnel codées à des fins de recherche statistique
et scientifique destinées à soutenir la politique de
la santé ;
• formuler des avis relatifs à :
▪ la mise en œuvre d’un répertoire des références ;
▪ la désignation d’un conseiller en sécurité de
l’information ;
▪ la désignation du médecin responsable.
Conformément au prescrit de l’article 42, § 2, 2° de la loi du
13 décembre 2006 portant des dispositions diverses en matière de
santé, il relève de la compétence de la section Santé du Co-
mité sectoriel de la Sécurité sociale et de la Santé d’accorder
une autorisation de principe pour :
• un couplage de données à caractère personnel de la
Fondation Registre du cancer à des données externes ;
• la transmission d’une copie codée de données de la
Fondation Registre du cancer au Centre fédéral d’ex-
pertise des soins de santé (KCE), à l’Institut national
d’assurance maladie invalidité (INAMI), à l’Agence
intermutualiste (AIM) et à l’Institut de santé publique
(ISP) ;
• la transmission d’une copie codée de données de la
Fondation Registre du cancer à des tiers à des fins de
recherche.
Conformément au prescrit de l’article 42, § 2, 1° de la loi du
13 décembre 2006 portant des dispositions diverses en matière de
santé, il relève de la compétence de la section Santé du Co-
mité sectoriel de la Sécurité sociale et de la Santé d’accor-
der une autorisation de principe pour la communication à
des tiers de données à caractère personnel, visées à l’article
86 de la loi sur les hôpitaux.
vier 1990 relative à l’institution et à l’organisation d’une Banque-
Carrefour de la Sécurité Sociale, il ressortit à la compétence de
la section Santé du Comité sectoriel de la Sécurité sociale et
de la Santé :
• d’autoriser toute communication de données à carac-
tère personnel relatives à la santé, sauf :
▪ les communications entre les praticiens impliqués
dans le traitement de la personne concernée ;
▪ les communications faites par ou en vertu de la loi
après avis de la Commission ;
▪ les communications pour lesquelles la sec-
tion Sécurité Sociale dispose d’une compétence
d’autorisation ;
▪ les communications exonérées par le Roi après
avis de la Commission ;
• de surveiller le respect de la réglementation relative à la
protection des données relatives à la santé et de formu-
ler des avis en la matière.
Conformément au prescrit de Loi du 21 août 2008 relative
à l’institution et à l’organisation de la plate-forme eHealth (ar-
ticles 5, 9, 10 et 11), il ressortit à la compétence de la sec-
tion Santé du Comité sectoriel de la Sécurité Sociale et de
la Santé :
• d’autoriser toute communication de données à carac-
tère personnel par ou à la plate-forme eHealth sauf :
▪ les communications pour lesquelles la sec-
tion Sécurité sociale dispose d’une compétence
d’autorisation ;
▪ les communications autorisées ou exemptées
d’autorisation par ou en vertu de la loi après avis
de la Commission ;
▪ les communications exemptées d’autorisation par
le Roi après avis de la Commission ;
114
Compétences
Les compétences du Comité sectoriel de la Banque-Carre-
four des Entreprises sont définies aux articles 18 et 27 de la
Loi du 16 janvier 2003 portant création d’une Banque-Carrefour
des Entreprises.
Ce comité est habilité à délivrer des autorisations permet-
tant :
• d’avoir accès aux informations détenues par la Banque-
Carrefour des Entreprises ;
• de communiquer ces informations.
Il veille à l’application et au respect de la législation en vi-
gueur dans cette matière.
1.5 Comité de surveillance sectoriel Phenix
Veiller à la sécurité et la confidentialité des échanges
de données nécessaires au bon fonctionnement de
l’appareil judiciaire belge.
Le Comité de surveillance sectoriel Phenix a été institué au
sein de la Commission en vertu de la Loi du 10 août 2005 ins-
tituant le système d’information Phenix, en vue de veiller à la
sécurité et à la confidentialité des traitements de données
effectués par l’appareil judiciaire belge.
Compétences
Les compétences du Comité de surveillance sectoriel Phenix
sont définies à l’article 24 de la Loi du 10 août 2005 instituant
le système d’information Phenix.
Le Comité de surveillance est compétent pour tout ce qui a
trait aux échanges de données nécessaires au bon fonction-
nement de la Justice belge (avis et contrôle). Il est également
habilité à traiter des plaintes et à contribuer à la résolution
des litiges.
1.3 Le Comité sectoriel pour l’Autorité Fédérale
Surveille la communication électronique de données
personnelles par les autorités fédérales.
Autorise la communication de données par le SPF ou
par un organisme public relevant de l’Autorité Fédérale.
Le Comité sectoriel pour l’Autorité Fédérale a été ins-
titué au sein de la Commission en vertu de la Loi du
8 décembre 1992 relative à la protection de la vie privée à l’égard
des traitements de données à caractère personnel. Il est chargé de
surveiller la communication électronique des données à
caractère personnel par l’administration fédérale.
Compétences
Les compétences du Comité sectoriel pour l’Autorité
Fédérale sont définies à l’article 36bis de la Loi du 8 dé-
cembre 1992 relative à la protection de la vie privée à l’égard des
traitements de données à caractère personnel.
Le Comité autorise la communication électronique de don-
nées à caractère personnel par un SPF ou par un organisme
public doté de la personnalité juridique relevant de l’Auto-
rité Fédérale.
1.4 Le Comité sectoriel de la Banque-Carrefour des Entreprises
Autorise l’accès aux informations détenues par la
Banque-Carrefour des Entreprises et leur communica-
tion.
Ce comité sectoriel a été créé au sein de la Commission par
la Loi du 16 janvier 2003 pour veiller à la sécurité des traite-
ments de données effectués au sein de la Banque-Carrefour
des Entreprises.
Commission de la protection de la vie privée — rapport annuel 2011 115
1.6 Comité de surveillance statistique
Contrôler la communication des données d’étude co-
dées de la statistique publique et leur utilisation par
des tiers.
Le Comité de surveillance statistique a été institué au sein
de la Commission par la Loi du 4 juillet 1962. Il est chargé
de contrôler la communication de données d’étude codées à
des tiers par la Direction générale Statistique et Information
économique et l’utilisation de ces données par ces tiers.
Compétences
Les compétences du Comité de surveillance statistique sont
principalement définies aux articles 15, 15bis, 24septies et
24octies de la Loi du 4 juillet 1962 relative à la statistique pu-
blique.
Le Comité de surveillance statistique est compétent pour :
• autoriser la communication, par la Direction générale
Statistique et Information économique, de données
d’étude codées à des tiers ;
• approuver le contrat de confidentialité en vertu duquel
ces données sont transmises par la Direction générale
Statistique et Information économique et peuvent être
utilisées par le tiers bénéficiaire ;
• formuler des recommandations ;
• émettre des avis concernant des projets de nouveaux
arrêtés ;
• procéder à certaines enquêtes.
Toute communication doit faire l’objet d’une demande mo-
tivée.
116
d’Information juridique » afin que les huissiers de justice
qui recourent à ses services puissent consulter le Registre
national par son intermédiaire. L’organisation de l’accès
des huissiers de justice via le Centre d’information juridique
équivaut à mettre en œuvre le principe des quatre yeux qui
permet de minimaliser le risque d’un accès abusif à des
banques de données publiques et contribue donc à une pro-
tection accrue de la vie privée des citoyens, dont des données
sont reprises dans ces banques de données.
Dans un certain nombre de dossiers, le Comité a estimé qu’il
ne pouvait pas accorder d’autorisation. Le Comité a ainsi dé-
cidé que la demande d’autorisation de la Société Anonyme
Fidel ID était irrecevable. Aucune tâche d’intérêt général
ne lui avait en effet été confiée par ou en vertu d’une loi.
En outre, la finalité poursuivie – mise en place d’un système
de carte de fidélité unique lié au numéro d’identification du
Registre national – ne pouvait pas être considérée comme
une tâche d’intérêt général (délibération RN n° 11/2011).
Les demandes d’autorisation de Sodexo et Edenred visant à
utiliser le numéro d’identification du Registre national en
vue de la gestion de titres repas électroniques ont également
été déclarées irrecevables. En tant qu’organismes privés
de droit belge, ils ne peuvent en bénéficier qu’en vue d’ac-
complir une tâche d’intérêt général qui leur incomberait.
Le Comité a estimé que les titres-repas électroniques consti-
tuent un produit commercial qui n’est en outre pas distribué
à l’ensemble des travailleurs belges, d’où l’absence d’intérêt
général (délibérations RN n° 19/2011 et 30/2011).
Les principaux documents publiés par les comités sectoriels
en 2011 sont repris ci-dessous par comité.
2.1 Commission loco Comité de surveillance statistique
Étant donné qu’à l’heure actuelle, la Commission remplit les
tâches du Comité de surveillance statistique, de plus amples
informations sont disponibles dans la rubrique « Princi-
pales activités nationales de la Commission ».
2.2 Comité sectoriel du Registre national
2.2.1 Autorisations générales
Par le passé, le Comité a déjà octroyé plusieurs autorisations
«générales ». Les autorisations de ce genre permettent à une
catégorie bien définie d’instances d’accéder à un certain
nombre d’informations du Registre national. Cette pratique
permet de garantir un traitement uniforme des instances
concernées et d’éviter de devoir traiter des dizaines de dos-
siers individuels de demande. Après l’octroi en 2009 d’une
autorisation de ce type aux hôpitaux, une autorisation «gé-
nérale » a été accordée le 20 juillet 2011 :
• aux maisons de repos et de soins agréées (délibération
RN n° 41/2011) ;
• aux maisons de soins psychiatriques et aux initia-
tives d’habitations protégées agréées (délibération RN
n° 40/2011).
Par la délibération RN n° 24/2011, le Comité a accordé un
accès à la fondation « Juridsch Informatiecentrum - Centre
2 Les principales activités des comités sectoriels
Commission de la protection de la vie privée — rapport annuel 2011 117
Registre national et la fondation privée fournit à cette
fin l’infrastructure qui permet un contrôle efficace ;
• dans l’état actuel de la législation, il n’existe aucune
base légale permettant de considérer la Chambre natio-
nale des Huissiers de justice de Belgique comme unique
canal d’accès au Registre national pour les huissiers de
justice.
2.2.3 Délibération RN n° 49/2011 du
21 septembre 2011
• Banque-carrefour de la Sécurité Sociale
• Remplacement de la carte SIS par la carte d’identité
électronique
• Suite défavorable
La carte SIS, telle qu’introduite par un arrêté royal du
18 décembre 1996, est vouée à disparaître. Le Conseil des
Ministres a en effet marqué son accord le 23 juin 2006 sur le
remplacement à terme de la carte SIS par la carte d’identité
électronique.
C’est dans ce cadre que le Comité sectoriel du Registre natio-
nal s’est prononcé le 21 septembre 2011 sur une demande de
la Banque-carrefour de la Sécurité Sociale visant à obtenir
communication de certaines données du Registre national
des personnes physiques, du Registre des cartes d’identité
et du Registre des cartes d’étranger en vue de réaliser diffé-
rents « stress tests ».
Ces tests doivent permettre la préparation de la suppression
de la carte SIS et l’examen des possibilités de son rempla-
cement par des documents d’identification électroniques
(existants et nouveaux) en ce qui concerne certaines de ses
fonctionnalités.
La demande vise à permettre un échange de données unique
(one shot) entre la Banque-carrefour de la Sécurité Sociale et
le Registre national en vue de pouvoir cibler et quantifier,
sur la base du numéro d’identification, les différentes caté-
gories de personnes physiques disposant d’une carte SIS
2.2.2 Délibération RN n° 24/2011 du
20 avril 2011
• Demande de retrait de l’autorisation de la fondation
privée « Juridisch Informatiecentrum - Centre d’Infor-
mation juridique » émanant de la Chambre des Huis-
siers de justice de Belgique ;
• Accès contrôlé au Registre national par le biais de la
plate-forme de la fondation
La Chambre nationale des Huissiers de justice de Belgique
a introduit une demande de retrait de l’autorisation accor-
dée par la délibération RN n° 24/2011 à la fondation privée
« Juridisch Informatiecentrum - Centre d’Information juri-
dique ». Cette autorisation accordait un accès à cette fonda-
tion afin de permettre aux huissiers habilités de consulter
le Registre national de façon dûment contrôlée, via la plate-
forme mise à disposition par la fondation.
Le Comité a décidé de ne pas donner suite à cette demande
de retrait. Il a estimé que :
• la fondation privée, qui ne poursuit pas de but com-
mercial, remplit une tâche d’intérêt général dans le
sens où son intervention équivaut à la mise en œuvre du
principe des quatre yeux qui permet de minimaliser le
risque d’un accès abusif à des banques de données pu-
bliques et contribue donc à une protection accrue de la
vie privée des citoyens, dont des données sont reprises
dans ces banques de données ;
• en vertu de l’article 5, premier alinéa, f ) de la LVP, le
traitement de données à caractère personnel par la
fondation privée est autorisé parce qu’il est nécessaire à
la réalisation de l’intérêt légitime poursuivi par le responsable
du traitement ou par le tiers auquel les données sont commu-
niquées, (…). Concrètement, la fondation privée trans-
met les données collectées dans le Registre national à
des tiers, à savoir les huissiers de justice qui sont léga-
lement habilités à accéder à ce Registre. Ces derniers
ont donc un intérêt légitime à recevoir les données du
118
du Registre national des clients des commerçants utilisant
le système Freedelity en un code d’identification unique.
Le Comité sectoriel du Registre national a refusé d’octroyer
au demandeur une autorisation d’utiliser le numéro d’iden-
tification du Registre national au motif que celui-ci est une
société anonyme qui poursuit un but commercial et lucratif.
Il ne peut donc être considéré comme faisant partie des ins-
tances pouvant bénéficier d’une autorisation, telles qu’elles
sont énumérées à l’article 5 de la loi du 8 août 1983.
2.2.5 Délibération RN n° 19/2011
du 16 mars 2011
• Sodexo ;
• Utilisation de manière cryptée du numéro d’identifica-
tion du Registre national.
La délibération concerne une demande visant à ce que la
S.A. Sodexo Pass Belgium, dénommée ci-après le deman-
deur, soit autorisée à utiliser de manière cryptée le numéro
d’identification du Registre national pour la création d’un
compte électronique de titres-repas électroniques, ainsi que
comme clé de recherche dans la base de données dédiée à
ces comptes de titres-repas.
Le Comité sectoriel du Registre national a refusé d’octroyer
au demandeur une autorisation d’utiliser le numéro d’iden-
tification du Registre national au motif que celui-ci est une
société anonyme qui poursuit un but commercial et lucratif.
Il ne peut donc être considéré comme faisant partie des ins-
tances pouvant bénéficier d’une autorisation, telles qu’elles
sont énumérées à l’article 5 de la loi du 8 août 1983.
2.2.6 Délibération RN n° 45/2011 du 21 sep-
tembre 2011
• Registre national comme source authentique ;
• Principe de la collecte unique de données.
mais n’étant pas titulaires d’une carte d’identité électro-
nique belge.
Inversement, ces tests permettront également de pouvoir
déterminer le nombre de personnes résidant en Belgique
(belges et étrangères) titulaires d’une carte eID, mais n’étant
pas assujetties ou inscrites à la sécurité sociale belge.
Les données seront conservées aussi longtemps que néces-
saire pour la réalisation de la comparaison de fichiers dé-
crite ci-dessus et au plus tard jusqu’au 31 décembre 2014.
Le Comité souligne que la Banque-carrefour de la Sécurité
Sociale fait partie du réseau de la sécurité sociale. Elle dis-
pose dès lors d’un conseiller en sécurité de l’information,
sur lequel le Comité sectoriel de la Sécurité Sociale et de la
Santé a rendu un avis ainsi que d’une politique de sécurité
de qualité.
Par ces motifs, le Comité a autorisé la Banque-carrefour de
la Sécurité sociale à obtenir communication des données
demandées, en vue de la réalisation de la finalité décrite et
aux conditions requises.
2.2.4 Délibération RN n° 11/2011
du 16 février 2011
• Freedelity ;
• Conversion irréversible du numéro d’identification du
Registre national en un code d’identification unique.
Le 19 janvier 2011, la S.A. FIDEL ID, dénommée ci-après le
demandeur, introduit une demande auprès du Comité sec-
toriel du Registre national afin d’être autorisée à utiliser le
numéro d’identification du Registre national pour la ges-
tion de son système Freedelity.
Le demandeur a en effet développé un système de fidélisa-
tion de la clientèle (Freedelity) basé sur l’utilisation de la
carte d’identité électronique en lieu et place des tradition-
nelles cartes de fidélité. Le demandeur souhaite pouvoir
convertir de manière irréversible le numéro d’identification
Commission de la protection de la vie privée — rapport annuel 2011 119
La Croix-Rouge de Belgique souhaite utiliser le numéro
d’identification du Registre national pour identifier de fa-
çon univoque chacun de ses volontaires sans risque d’ho-
monymie. Cette identification précise est importante car la
base de données du demandeur lui permet de mobiliser les
volontaires avec le profil adéquat (formation suivie notam-
ment) sur ses différentes activités (dont l’intervention en cas
de catastrophe).
C’est également grâce au numéro d’identification du Re-
gistre national que le demandeur pourra s’assurer de rem-
plir de manière adéquate la fiche fiscal du volontaire dépas-
sant le plafond annuel des indemnités forfaitaires telles
que prévues par la loi du 3 juillet 2005 relative aux droits des
volontaires.
Après avoir constaté que les principes de finalité, de lé-
galité et de proportionnalité étaient bel et bien respec-
tés, le Comité sectoriel du Registre national a autorisé le
14 décembre 2011 la Croix-Rouge de Belgique à utiliser le nu-
méro d’identification du Registre national pour une durée
indéterminée.
Cette autorisation ne produira néanmoins ses effets qu’une
fois que le Comité aura constaté, sur la base des documents
et informations fournis, qu’un conseiller en sécurité de
l’information offrant toutes les garanties nécessaires aura
été désigné.
2.2.8 Délibération RN n° 72/2011
du 14 décembre 2011
• Centre pour l’Égalité des chances et la lutte contre le
racisme ;
• Recherche statistique approfondie sur le suivi longitu-
dinal des demandeurs d’asile en Belgique ;
• Demande de communication de certaines données du
Registre national des personnes physiques et du Re-
gistre d’attente.
Dans ce dossier, le demandeur souhaitait accéder à un cer-
tain nombre de données des membres de son personnel
actifs et pensionnés ainsi que des membres de leur ménage,
ceci en vue de la gestion de l’assurance hospitalisation
contractée dans leur intérêt.
Le demandeur envoyait annuellement un questionnaire
à tous les bénéficiaires de l’assurance hospitalisation en
leur demandant de confirmer certaines données (adresse,
composition du ménage, état civil et cohabitation légale).
Le Comité fait remarquer qu’il s’agit d’une collecte de don-
nées réitérée dont l’autorité dispose déjà. Le Registre natio-
nal constitue par ailleurs la source authentique de ces don-
nées. Cette méthode est contraire au principe de collecte de
données unique, repris au point 12 de la Charte pour une
administration à l’écoute des usagers (adoptée au Conseil
des ministres le 23 juin 2006) : « Tout service public utilisera
de façon optimale les données déjà disponibles auprès d’autres orga-
nismes publics ».
Le Comité estime que, globalement, l’accès demandé au
Registre national est proportionnel. Ce constat ne se limite
pas aux cas où des lettres ne peuvent pas être distribuées ou
restent sans réponse.
2.2.7 Délibération RN n° 71/2011
du 14 décembre 2011
• Croix-Rouge de Belgique ;
• Numéro d’identification du Registre national.
Cette délibération concerne une demande émanant de la
Croix-Rouge de Belgique visant à lui permettre d’utiliser
le numéro d’identification du Registre national en vue de
disposer d’un numéro d’identifiant unique pour chaque
volontaire et afin de remplir les fiches fiscales 281.10 des
volontaires qui dépassent le plafond annuel fixé par la loi
du 3 juillet 2005 sur le volontariat en matière d’indemnités for-
faitaires.
120
En vertu de la loi du 15 décembre 1980 sur l’accès au territoire,
le séjour, l’établissement et l’éloignement des étrangers, l’Office des
Etrangers est chargé d’assister le Ministre de la Politique de
Migration et d’Asile. À ce titre, il doit être en mesure d’as-
surer un éloignement efficace et effectif des demandeurs
d’asile dont la qualité de réfugié n’a pas été reconnue ou à qui
la protection subsidiaire n’a pas été accordée par les autori-
tés belges compétentes en la matière. Afin de pouvoir mener
une politique d’éloignement efficace et effective envers les
demandeurs d’asile qui, en fin de procédure, continuent à
séjourner dans une de ces structures, l’Office des étrangers
a demandé au comité sectoriel l’autorisation d’accéder à la
base de données de Fedasil (= l’ Agence fédérale pour l’ac-
cueil des demandeurs d’asile) concernant la localisation des
demandeurs d’asile.
Le Comité a constaté que le demandeur dispose déjà d’un
accès, via le Registre national, aux données dont l’accès est
sollicité (nom, prénom(s), date et lieu de naissance, natio-
nalité, adresse du demandeur d’asile et données concernant
sa composition de ménage). Le Comité a rappelé le principe,
souvent souligné dans la jurisprudence de la Commission
de la protection de la vie privée, selon lequel les données
doivent en principe toujours être réclamées auprès de la
source authentique. En l’espèce, la source authentique est le
registre d’attente.
Le fait que Fedasil ne mettent pas à jour le Registre national
n’est pas une raison suffisante selon le comité pour justifier
le contournement de la source authentique par le deman-
deur. Le Comité n’a donc pas autorisé l’Office des Étrangers
et Fedasil à mettre en œuvre le traitement envisagé dans la
demande.
2.3.2 Délibération AF n° 16/2011
du 21 décembre 2011
• Accès d’un doctorant aux données de l’Office des Étran-
gers et du SPF Justice ;
• Recherche dans le cadre d’un doctorat.
Cette délibération concerne une demande émanant du
Centre pour l’Égalité des chances et la lutte contre le racisme
visant à obtenir communication de certaines données du
Registre national des personnes physiques et du Registre
d’attente.
Le Centre pour l’Égalité des chances et la lutte contre le
racisme a pour mission « de veiller au respect des droits fonda-
mentaux des étrangers, d’éclairer les pouvoirs publics sur la nature
et l’ampleur des flux migratoires et de développer la concertation et
le dialogue avec tous les acteurs publics et privés concernés par les
politiques d’accueil et d’intégration des immigrés ».
La finalité pour laquelle le demandeur souhaite obtenir
communication de certaines données du Registre national
des personnes physiques et du Registre d’attente est d’effec-
tuer une recherche statistique approfondie sur le suivi lon-
gitudinal des demandeurs d’asile en Belgique dans le cadre
de la mise en œuvre de sa mission légale consistant à éclai-
rer les pouvoirs publics sur la nature et l’ampleur des flux
migratoires.
Après avoir constaté que les principes de finalité, de légalité,
de proportionnalité et de sécurité étaient bel et bien respec-
tés, le Comité sectoriel du Registre national a autorisé le
14 décembre 2011 le Centre pour l’égalité des chances et la
lutte contre le racisme à obtenir communication des don-
nées du Registre d’attente et du Registre national deman-
dées, et ce pour une durée indéterminée.
2.3 Comité sectoriel pour l’Autorité Fédérale
2.3.1 Délibération AF n° 12/2011 du 9 juin 2011
• Office des Étrangers ;
• Accès à la base de données de Fedasil ;
• Localisation des demandeurs d’asile pour un éloigne-
ment efficace du territoire.
Commission de la protection de la vie privée — rapport annuel 2011 121
2.3.3 Délibération AF n° 09/2011 du 12 mai 2011
• Fédération Royale du Notariat Belge ;
• Accès à certaines données de l’administration du ca-
dastre.
Dans le cadre de l’e-government et de la simplification ad-
ministrative, un protocole de collaboration a été signé le
12 juin 2006 entre la Fédération Royale du Notariat Belge
(FRNB) et le SPF Finances (Administration Générale de la
Documentation Patrimoniale) dans lequel un des points,
faisant à ce jour l’objet de développements techniques, est
l’accès électronique à l’information cadastrale.
C’est dans ce cadre que la Fédération royale du Notariat
Belge (FRNB) a demandé au Comité sectoriel pour l’Auto-
rité Fédérale l’autorisation d’accéder, via une interface web,
à certaines données de l’administration du cadastre afin
d’exercer les missions relevant de leur compétence de ma-
nière plus diligente, célère et efficiente.
Après avoir constaté que les principes de finalité, de légalité,
de proportionnalité et de sécurité étaient bel et bien respec-
tés, le Comité sectoriel pour l’Autorité Fédérale a autorisé le
12 mai 2011 les notaires à recevoir les données cadastrales
demandées et ce, pour une durée indéterminée.
2.3.4 Délibération AF n° 15/2011 du 22 dé-
cembre 2011
• Institut Bruxellois pour la Gestion de l’Environnement
(IBGE) ;
• Accès aux données à caractère personnel de la Direc-
tion des Calamités du SPF Intérieur ;
• Établissement des cartes des zones inondables et des
zones à risque d’inondation.
L’IBGE est chargé de l’évaluation préliminaire des risques
d’inondation et de l’établissement des cartes des zones
inondables et des zones à risque d’inondation. Dans le cadre
de ces travaux, la localisation des inondations passées (no-
Un doctorant a demandé à obtenir un accès à des banques
de données gérées par l’Office des étrangers du SPF Inté-
rieur et par le SPF Justice, et ce dans le cadre d’une recherche
doctorale intitulée « A Highway to Prison? Een analyse van de
maatschappelijke en justitiële trajecten van gedetineerden zonder
recht op verblijf.” (« Une autoroute vers la prison? Analyse
des parcours sociaux et judiciaires de détenus sans droit de
séjour »).
Le Comité a constaté que l’accès demandé impliquait un
traitement ultérieur de données à caractère personnel com-
patible et ce en appliquant le chapitre II de l’arrêté d’exécu-
tion de la loi vie privée. Les finalités poursuivies par le trai-
tement étaient également légitimes et explicites.
Le Comité a également réalisé que le traitement envisagé
impliquerait un risque important en matière de sécurité, vu
le caractère sensible des informations réclamées. Outre les
mesures habituelles (Mesures de référence), le Comité a dès
lors imposé au demandeur des mesures techniques et orga-
nisationnelles plus strictes, à savoir :
• le support des données doit être doublement sécurisé :
sécurisation de l’accès et cryptage ;
• une fois que les données se trouveront sur le PC dans le
bureau du demandeur, ce PC ne peut pas être raccordé
à un réseau ;
• un contrat devrait être conclu entre les sources et le
demandeur, fixant des obligations en matière de confi-
dentialité et de sécurité ;
• une fois que le demandeur a achevé son travail, les don-
nées doivent être immédiatement détruites et le Comité
doit en être informé ;
• au plus tard six mois après l’entrée en vigueur de l’auto-
risation, le conseiller en sécurité compétent doit trans-
mettre au Comité un rapport dans lequel il indique si
toutes les mesures de sécurité ont effectivement été
correctement suivies.
122
ractère désastreux. Pour l’IBGE, les finalités ont été décrites
ci-avant.
Le Comité a estimé que les missions des deux services publics
concernés comportent des éléments qui indiquent que les finalités des
traitements de données envisagés par l’IBGE ne sont pas incompa-
tibles avec les finalités pour lesquelles les données ont été initiale-
ment collectées. En effet, la collecte et le traitement des don-
nées et leur communication par le SPF Intérieur (Direction
des Calamités) en vue de l’accomplissement des missions
décrites ci-dessus attribuées à l’IBGE permettent in fine à
ce dernier de limiter les conséquences négatives engendrées
par les inondations en Région de Bruxelles-Capitale sur la
santé humaine, l’environnement, le patrimoine culturel et le
développement économique. Il s’agit, compte tenu du risque
potentiel déterminé en matière d’inondation, de mettre en
œuvre en amont des procédures de prévention pour que ces
risques et dommages avérés, à défaut de ne pouvoir être
évités, soient à tout le moins réduits. Le traitement dans un
tel contexte des données issues de la base de données de la
Direction des Calamités, dont la finalité est la réparation
des dommages subis par les sinistrés, n’est assurément pas
incompatible avec les principes de bonne gestion et d’intérêt
public qui prévalent en l’occurrence. Le citoyen est en droit
d’attendre de la part des autorités que celles-ci utilisent au
mieux de ses intérêts et de l’intérêt public en général les
données le concernant dont elles disposent. Le Comité a consi-
déré, par conséquent, que la communication à l’IBGE des données
dont question rentre dans les prévisions raisonnables des intéressés.
En outre, il a considéré les données demandées comme
étant proportionnées à la réalisation des finalités décrites.
Le Comité a accepté d’accorder son autorisation pour une
durée de 10 années , tel que souhaité par le demandeur.
Malgré la dispense de l’obligation d’information au sens de
l’article 9, § 2 de la LVP au profit des personnes dont les don-
nées ont été collectées par la Direction des Calamités, le Co-
tamment des inondations et fortes pluies reconnues comme
calamités) est une donnée source fondamentale. C’est la
raison pour laquelle le demandeur souhaite disposer des
données issues de la base de données de la Direction des Ca-
lamités. Ces données serviront à localiser précisément les
adresses de la Région bruxelloise où des dossiers pour des
inondations / fortes pluies reconnues comme calamités ont
été déposés et ainsi permettre de cartographier certaines
inondations passées importantes. Ces données permettront
également de valider les cartes des zones inondables et des
zones à risque d’inondation
Les données d’adresse ne seront pas liées aux personnes
propriétaires ou aux occupants. Eu égard à la définition de
la donnée à caractère personnel par l’article 1, § 1er de la LVP
(« toute information concernant une personne physique identifiée ou
identifiable »), la Commission a considéré toutefois que l’adresse d’un
immeuble doit être qualifiée comme une donnée à caractère person-
nel dès lors que l’on pourrait relativement aisément en identifier les
propriétaires et/ou occupants, personnes physiques. S’agissant de
la communication de données personnelles par une autorité
fédérale, une autorisation du Comité sectoriel pour l’Auto-
rité Fédérale est donc requise, conformément à l’article 36bis
de la LVP.
Après avoir constaté que les traitements de données envi-
sagés par l’IBGE seront réalisés pour des finalités déter-
minées, explicites et légitimes, le Comité a dû également
vérifier si les finalités des traitements envisagées par l’IBGE
sont compatibles avec les finalités pour lesquelles les don-
nées ont été initialement traitées par la Direction des Cala-
mités du SPF Intérieur en tenant compte de tous les facteurs
pertinents, dont les prévisions raisonnables de l’intéressé et
les dispositions légales et réglementaires applicables.
Pour la Direction des Calamités, il s’agit, en bref, de traiter
les demandes d’indemnisation des sinistrés de calamités
publiques, au rang desquelles figurent les inondations à ca-
Commission de la protection de la vie privée — rapport annuel 2011 123
charge de l’identification (vérification de l’identité de la per-
sonne qui y accède) et de l’authentification (vérification de la
qualité de la personne : médecin, infirmier, etc.), mais non
de l’autorisation (existence d’un mandat ou d’une relation
thérapeutique avec la personne concernée par les données).
Il semble donc important de veiller à ce que cette vérification
d’autorisation ait lieu par ailleurs. eHealth semble équipée
pour y procéder, dans la mesure où la mise en place d’un
répertoire des références a été prévue par la Loi eHealth du
21 août 2008. L’installation de ce répertoire des références
exige cependant le consentement des personnes concernées
(article 5, 4°, b) de la Loi eHealth).
Décisions de la section Santé
• Dans sa délibération n° 11/015 du 15 février 2011 por-
tant sur l’échange de données à caractère personnel
relatives à la santé entre les hôpitaux, les organismes
assureurs, le collège des médecin-directeurs de l’Insti-
tut national d’assurance maladie-invalidité, le collège
intermutualiste national et les banques de données
E-care QERMID@endoprothèses à l’intervention de la
plate-forme eHealth, le Comité sectoriel n’a pas jugé
nécessaire que le patient autorise par écrit son médecin
spécialiste d’une part à introduire ses données dans le
système, et d’autre part à ce que ses données soient sau-
vegardées dans l’application E-Care QERMID@endo-
prothèses et compulsées dans un cadre thérapeutique
et d’évaluation pour le remboursement de la prothèse.
En effet, conformément à l’article 7, § 2, c) et j) de la loi
du 8 décembre 1992 relative à la protection de la vie privée
à l’égard des traitements de données à caractère personnel, les
échanges précités sont autorisés par la loi. Par ailleurs,
les données sont traitées sous la surveillance d’un pro-
fessionnel des soins de santé. Par conséquent, le Comité
sectoriel estime que le consentement du patient à four-
nir ses données en vue de recevoir un remboursement
n’est pas requis et que les droits du patient découlant de
la protection de sa vie privée ne sont pas déforcés par
mité a recommandé de prévoir à l’avenir une certaine trans-
parence du côté du SPF Intérieur, Direction des Calamités,
responsable de la base des données dont il est question.
Cela pourrait se faire, par exemple, en mentionnant soit sur
le formulaire de demande d’intervention du Fonds, l’usage
qui peut être fait des données collectées tel que la communi-
cation demandée, soit sur son site Internet, que les données
en question pourraient être transmises à des destinataires
(tel l’IBGE) et pour quelles finalités, cette communication
peut avoir lieu.
L’autorisation de communication a été accordée.
2.4 Comité sectoriel de la Sécurité Sociale et de la Santé
2.4.1 Section Santé
En vertu de l’arrêté royal du 7 octobre 2009 fixant la date
et les modalités d’entrée en vigueur de l’article 70, 3°, de la loi du
1er mars 2007 portant des dispositions diverses (III), cet article 70,
3° est entré en vigueur le 8 novembre 2009. Cela implique
qu’à partir de cette date, la section Santé du Comité sectoriel
de la Sécurité sociale et de la Santé doit accorder une autori-
sation de principe pour toute communication de données à
caractère personnel qui concernent la santé.
eHealth
Toutes les recommandations/délibérations de la section
Santé du Comité sectoriel de la Sécurité Sociale et de la Santé
émises au cours de l’année écoulée dans le cadre de la Loi du
21 août 2008 relative à l’institution et à l’organisation de la plate-
forme eHealth (articles 5, 9, 10 et 11), peuvent être consultées
sur le site web de la plate-forme eHealth à l’adresse (https ://
w w w.eHealth.fgov.be/nl/page/website/home/eHealth.
html).
On peut constater que chaque fois que la plate-forme eHealth
assure les accès à une base de données médicales, elle se
124
sant que la communication envisagée de données à ca-
ractère personnel codées ne donnera raisonnablement
pas lieu à la réidentification des personnes concernées.
• Il était également indiqué que : «les institutions concer-
nées sont tenues, à l’occasion de toute demande d’autorisation
qu’elles introduisent en vue de la communication de données à
caractère personnel codées, de montrer, de manière explicite, la
façon dont l’analyse quant au risque de small cells a été ou sera
exécutée et de préciser les restrictions en matière de small cells
qui seront imposées afin de minimaliser raisonnablement la
réidentification des personnes concernées. À cet effet, elles sont
tenues d’organiser un contrôle croisé, conformément aux moda-
lités telles que décrites dans la présente délibération.»
• En ce qui concerne l’obligation de la communication
d’informations à laquelle une organisation inter-
médiaire est tenue, le Comité sectoriel a rappelé que
lorsque l’organisation intermédiaire est une autorité
administrative chargée explicitement, par ou en ver-
tu de la loi, de rassembler et de coder des données à
caractère personnel et est soumise, à cet égard, à des
mesures spécifiques prévues par ou en vertu de la loi
visant à protéger la vie privée, elle ne doit pas satisfaire
à cette obligation (Délibération n° 11/082 du 18 oc-
tobre 2011 relative à la communication de données à ca-
ractère personnel codées relatives à la santé par l’AIM
et Vaccinnet aux groupes de recherche universitaires de
l’université de Hasselt et de l’université d’Anvers en vue
de l’exécution d’une étude scientifique dans le cadre de
la pharmacovigilance à la demande de l’AFMPS).
cette absence (notamment grâce à la surveillance par
un professionnel des soins de santé et au contrôle des
utilisateurs et des accès par la plate-forme eHealth).
Un tel raisonnement doit également être appliqué
stricto sensu aux autres applications déjà autorisées par
le Comité sectoriel et répondant aux mêmes conditions
et notamment aux applications QERMID visées dans la
délibération précitée n° 09/073 du 15 décembre 2009.
• Dans sa recommandation n° 11/01 du 19 avril 2011 rela-
tive au droit d’accès du patient aux destinataires de son
dossier médical, le Comité sectoriel a estimé qu’un
hôpital universitaire, et par analogie tout hôpital, peut
accéder à la demande d’un patient de prendre connais-
sance de l’identité des personnes qui ont accédé à son
dossier conservé sous forme électronique ainsi que de
la date à laquelle cet accès a eu lieu, et ce en vue de la
transparence et de rassurer le patient quant à son droit
de savoir ce qu’il advient exactement de ses données.
• Le Comité sectoriel souligne qu’une telle pratique
constitue, par ailleurs, un moyen efficace supplémen-
taire de vérifier la légalité de l’utilisation des données
contenues dans les dossiers médicaux électroniques.
S’il est évident qu’un dossier médical conservé sous
forme électronique offre de grandes possibilités pour
le traitement médical, ce système peut également pré-
senter un risque d’abus en cas d’accès non autorisé.
L’hôpital doit donc veiller à mettre en place des méca-
nismes de sécurité efficaces.
• Dans sa recommandation n° 11/03 du 19 juillet 2011 re-
lative à une note du Centre fédéral d’expertise des soins
de santé portant sur l’analyse small cell de données
à caractère personnel codées provenant de l’Agence
intermutualiste, le Comité sectoriel a estimé que tout
demandeur d’une communication de données à carac-
tère personnel codées relatives à la santé à des fins his-
toriques, statistiques ou scientifiques devait soumettre
au Comité sectoriel les garanties nécessaires qu’une
analyse small cell est effectuée et que, le cas échéant,
des restrictions small cell seront imposées, garantis-
Commission de la protection de la vie privée — rapport annuel 2011 125
personnel relatives à la santé, la note décrit également
différentes preuves électroniques d’une relation thé-
rapeutique et établit une durée de validité de chaque
preuve.
2.4.2 Section Sécurité Sociale
En 2011, la section Sécurité sociale du Comité sectoriel de la
Sécurité Sociale et de la Santé a, comme à l’habitude, consa-
cré une attention particulière à la sécurisation des commu-
nications de données à caractère personnel à propos des-
quelles elle a dû se prononcer. Depuis toujours, les acteurs
du réseau de la sécurité sociale sont tenus, par arrêté royal,
de respecter certaines normes minimales de sécurité (défi-
nies par le Comité Général de Coordination de la Banque-
Carrefour de la sécurité sociale et approuvées par le Comité
sectoriel de la Sécurité Sociale et de la Santé) et de rendre
des comptes à ce sujet au Comité sectoriel afin que celui-ci
puisse exécuter pleinement sa mission de contrôle. Dans ses
récentes délibérations, la section Sécurité Sociale impose
aussi de plus en plus le respect des normes minimales de
sécurité à des instances qui n’appartiennent pas au réseau
de la sécurité sociale mais qui souhaitent néanmoins obte-
nir des données à caractère personnel provenant du réseau
de la sécurité sociale (le respect des normes minimales de
sécurité a alors valeur de condition essentielle pour l’entrée
en vigueur de l’autorisation accordée à ces instances). Ainsi,
la section Sécurité sociale a notamment imposé le respect
des normes minimales de sécurité à la section Inspection de
l’Économie de l’Agence flamande de l’Entrepreneuriat (déli-
bération n° 11/01 du 11 janvier 2011) ainsi qu’à la direction de
l’Emploi et des Permis de travail du Gouvernement wallon
(délibération n° 11/57 du 6 septembre 2011).
En 2011, le caractère complémentaire et subsidiaire des
registres de la Banque-Carrefour par rapport au Registre
national des personnes physiques a également été mis en
évidence. Plusieurs instances qui disposaient déjà d’une
autorisation du Comité sectoriel du Registre national
pour l’accès au Registre national des personnes physiques
Mentionnons enfin d’importantes délibérations rela-
tives à des projets de développements réalisés par la
plate-forme eHealth. Il s’agit plus particulièrement
des délibérations suivantes :
• délibération n° 11/046 du 17 mai 2011 relative à la note
concernant le consentement éclairé dans le projet des
hubs et du metahub.
En collaboration avec les réseaux d’échange régionaux,
la plate-forme eHealth développe le projet des hubs et
du metahub, qui vise à instaurer un système d’échange
de données électronique sécurisé entre les prestataires
de soins dans le cadre des soins au patient. Grâce à
ce système, un prestataire de soins peut retrouver et
consulter l’ensemble des documents électroniques
contenant des données de santé qui sont disponibles au
sujet d’un patient, et ce indépendamment, d’une part,
du lieu effectif de stockage des documents et, d’autre
part, du point d’entrée du prestataire dans le système.
Le règlement pour le fonctionnement général du sys-
tème des hubs et du metahub a également été approuvé
par le Comité sectoriel (délibération n° 11/089 du 22 no-
vembre 2011). Ce règlement décrit les règles générales
pour l’organisation du traitement de données à carac-
tère personnel dans ce système. On y fait remarquer
que toute modification éventuelle de ce règlement sera
à nouveau soumise à l’approbation du Comité sectoriel.
• Délibération n° 11/088 du 18 octobre 2011 relative à la
note relative aux preuves électroniques d’une relation
thérapeutique et d’une relation de soins.
Concrètement, la note de la plate-forme eHealth décrit
comment – lors de l’échange électronique de don-
nées à caractère personnel relatives à la santé – une
relation thérapeutique peut être définie et la manière
dont cette relation thérapeutique peut être établie et
prouvée. Outre une description de la notion de ‘rela-
tion thérapeutique’ et plusieurs principes généraux
relatifs à l’échange électronique de données à caractère
126
les organismes de pension et les organismes de solidarité
à communiquer des données à caractère personnel à l’as-
sociation sans but lucratif Sigedis afin que celle-ci puisse
compléter la banque de données « Constitution de pension
complémentaire ». Cette banque de données contient des in-
formations sur tous les avantages (belges et étrangers) pour
travailleurs, indépendants et fonctionnaires constituant un
complément à la pension légale.
Outre à la banque de données susmentionnée « Constitution
de pension complémentaire », qui concerne spécifiquement
la constitution de droits à une pension complémentaire, une
attention a également été consacrée en 2011 à la banque de
données à caractère personnel qui contient des informa-
tions sur les paiements effectués dans le «premier pilier »
(les pensions légales) et le «deuxième pilier » (les pensions
complémentaires), à savoir le Cadastre des pensions, géré
conjointement par l’Institut national d’Assurance Maladie
et Invalidité et l’Office des Pensions. Par la délibération
n° 11/33 du 3 mai 2011, les instances qui paient des avan-
tages en matière de pensions ont été autorisées par la sec-
tion Sécurité sociale à communiquer de façon électronique
des données à caractère personnel dont elles disposent au
Cadastre des Pensions, en vue de tenir celui-ci à jour (projet
«ePK»).
En 2004, divers services d’inspection avaient été autori-
sés par le Comité sectoriel à accéder à certaines banques
de données à caractère personnel du réseau de la sécurité
sociale (DMFA, DIMONA, répertoire des employeurs, …).
Le Comité sectoriel a fixé à cet égard des règles spécifiques
destinées à garantir la sécurité des données à caractère
personnel consultées — et donc également l’intégrité de
la vie privée des personnes auxquelles ces données se rap-
portent —, notamment une procédure de rapport impo-
sant aux services d’inspection concernés de faire rapport
eux-mêmes de leurs consultations au Comité sectoriel.
En 2011, les mesures de sécurité ont été actualisées et le
Comité sectoriel a également décidé, pour les demandes
émanant d’autres services d’inspection, de désormais soit
ont également reçu, en 2011, une autorisation de la sec-
tion Sécurité sociale d’accéder aux registres de la Banque-
Carrefour régis par la Banque-Carrefour de la Sécurité
sociale : l’Institut scientifique de Santé publique (délibé-
ration n° 11/02 du 11 janvier 2011 et délibération n° 11/12 du
1er février 2011), la Vlaams Subsidieagentschap voor Werk en
Sociale Economie (Agence flamande de subventionnement
de l’emploi et de l’économie sociale) (délibération n° 11/17 du
1er mars 2011), la Vlaams Agentschap voor Kwaliteitszorg in
Onderwijs en Vorming (Agence flamande pour la gestion de
la Qualité dans l’Enseignement et la Formatoin) (délibéra-
tion n° 11/27 du 5 avril 2011), la Fédération royale du Nota-
riat belge (délibération n° 11/28 du 5 avril 2011), certaines
polycliniques (délibération n° 11/56 du 6 septembre 2011), le
Vlaams Departement Bestuurszaken (le Département fla-
mand des Affaires administratives) (délibération n° 11/59 du
6 septembre 2011), l’association sans but lucratif Recip-
e (délibération n° 11/72 du 4 octobre 2011), les maisons de
soins psychiatriques et les initiatives d’habitations proté-
gées (délibération n° 11/83 du 8 novembre 2011) et les mai-
sons de repos et de soins agréées (délibération n° 11/84 du
8 novembre 2011).
Par ailleurs, la section Sécurité sociale a continué d’assurer
l’octroi d’autorisations à des instances actives sur le plan
sectoriel dans ce que l’on appelle le «deuxième pilier » (les
pensions complémentaires). Ainsi, les organisateurs, les
organismes de pension et/ou les organismes de solidarité
des secteurs sociaux suivants, notamment, ont été autorisés
à obtenir la communication de certaines données à carac-
tère personnel du réseau de la sécurité sociale en vue d’ac-
complir leurs missions respectives : l’industrie chimique
(délibérations n° 11/18 et n° 11/19 du 1er mars 2011), le sec-
teur de la gestion immobilière et des agences immobilières
(délibération n° 11/32 du 5 avril 2011), les carrières de pierres
de taille et de pierres calcaires du Hainaut (délibération
n° 11/36 du 3 mai 2011) ainsi que le secteur du transport et
de la logistique (délibération n° 11/85 du 8 novembre 2011).
Par la délibération n° 11/03 du 11 janvier 2011, la section
Sécurité sociale a d’ailleurs autorisé tous les organisateurs,
Commission de la protection de la vie privée — rapport annuel 2011 127
déclarer clairement applicables les mesures de sécurité de
la délibération (modifiée) n° 04/32 du 5 octobre 2004, soit
de promulguer des mesures de sécurité particulières ins-
pirées des mesures de sécurité issues de la délibération
n° 04/32 du 5 octobre 2004. À cet égard, voir par exemple la
délibération n° 11/09 du 11 janvier 2011 (Direction Inspection
sociale du département Inspection de la Direction générale
opérationnelle de l’Économie, de l’Emploi et de la Recherche
du Service public de Wallonie) et la délibération n° 11/87 du
8 novembre 2011 (inspecteurs et personnel administratif de
la direction générale Contrôle du bien-être au travail du ser-
vice public fédéral Emploi, Travail et Concertation sociale).
Enfin, on peut renvoyer ici à la délibération n° 11/01 du
1er février 2011 de la section Sécurité sociale. Celle-ci a
octroyé une autorisation générale aux syndicats, leur per-
mettant une consultation électronique de données à carac-
tère personnel dans le réseau de la sécurité sociale en vue
de défendre les intérêts de leurs membres. Le Comité sec-
toriel a reconnu l’intérêt de l’accès au réseau de la sécurité
sociale pour les syndicats — qui peuvent ainsi assister leurs
membres en contrôlant si la réglementation est bien respec-
tée, vérifier si le dossier administratif est complet et, le cas
échéant, entamer une procédure de recours — mais en pré-
cisant toutefois que tout flux de données à caractère person-
nel qui sera développé en faveur des syndicats devra lui être
soumis pour autorisation préalablement à sa mise en œuvre.
128
tions individuelles, 97 demandes d’adhésion à une autorisa-
tion unique ont été reçues.
Les 15 dossiers d’autorisation individuelle traités ont débou-
ché sur 12 autorisations, deux demandes ont été refusées.
Le traitement du dossier restant a été arrêté.
3.3 Le Comité sectoriel du Registre national
L’octroi d’autorisations pour la communication de données
du Registre national et l’utilisation du numéro d’identifi-
cation du Registre national relèvent de la compétence du
Comité sectoriel du Registre national.
En 2011, il y a eu 94 demandes d’autorisation. Il convient
de faire une distinction entre les demandes d’autorisation
individuelles et les demandes d’autorisation générales.
Lorsque le comité sectoriel accorde une autorisation indi-
viduelle, son (ses) bénéficiaire(s) spécifique(s)s est (sont)
mentionné(s) dans la délibération. En ce qui concerne les
autorisations générales, un système d’adhésion a été mis au
point.
En 2011 le comité a ouvert 1 dossier d’autorisation générale
qui a donné lieu à 1 autorisation générale supplémentaire.
Toutes les autorisations générales ont donné lieu à
238 demandes d’adhésion. 235 bénéficiaires ont reçu une
évaluation positive qui leur a valu un accès au Registre
national des personnes physique et l’autorisation d’utiliser
le numéro d’identification de ce Registre, sur la base des
conditions prévues dans l’autorisation générale, 5 dossiers
ont été arrêtés.
Des comités sectoriels ont été institués au sein de la Com-
mission. Ces comités veillent au respect de la législation
relative à la vie privée dans certains secteurs. Six comités
sectoriels ont été créés parmi lesquels 5 ont été constitués :
le Comité sectoriel du Registre national, le Comité sectoriel
de la Sécurité Sociale et de la Santé, le Comité sectoriel pour
l’Autorité Fédérale, le Comité sectoriel de la Banque-Carre-
four des Entreprises et le Comité de surveillance sectoriel
Phenix. Étant donné que le Comité de surveillance statis-
tique n’a pas encore été constitué, c’est la Commission qui
exerce ses compétences pour le moment.
3.1 Le Comité sectoriel de la Sécurité Sociale et de la Santé
Le Comité sectoriel de la Sécurité Sociale et de la Santé est
divisé en deux sections. La section Sécurité sociale traite les
demandes relatives à la communication électronique des
données à caractère personnel au sein du réseau d’échange
de données de la sécurité sociale et a délivré des autorisa-
tions et émis des avis en 2011. La section Santé surveille la
communication des données relatives à la santé et a délivré
des autorisations en 2011.
3.2 Le Comité sectoriel pour l’Autorité Fédérale
Le Comité sectoriel pour l’Autorité Fédérale surveille la
communication électronique de données à caractère per-
sonnel au sein de l’Autorité fédérale et accorde les autorisa-
tions de communication électronique de données à carac-
tère personnel par les SPF ou les organismes publics dotés
de la personnalité juridique relevant de l’Autorité fédérale.
En 2011, le Comité a reçu 18 demandes. Outre des autorisa-
3 Les activités des comités sectoriels en chiffres
Commission de la protection de la vie privée — rapport annuel 2011 129
Sur les 64 demandes d’autorisation individuelles, 43 ont été
traitées en 2011 : 32 demandeurs ont été autorisés à accéder
au Registre national des personnes physiques et à en utili-
ser le numéro d’identification ; pour 4 de ces demandeurs,
cette autorisation a toutefois été accordée sous conditions
résolutoires, pour 8 de ces demandeurs, cette autorisation
a été accordée sous conditions et pour deux demandes, une
autorisation a été accordée pour une durée limitée . Trois de-
mandes d’autorisation ont été refusées, 5 demandes étaient
irrecevables et dans 4 dossiers, le traitement a été arrêté.
3.4 Le Comité sectoriel de la Banque-Carrefour des Entreprises et le Comité de surveillance sectoriel Phénix
Ni le Comité sectoriel de la Banque-Carrefour des Entre-
prises — qui veille à la sécurité du traitement des données au
sein de la Banque-Carrefour — ni le Comité de surveillance
sectoriel Phenix — qui veille à la sécurité et à la confiden-
tialité des traitements de données effectués par l’appareil
judiciaire belge — n’ont reçu de demandes d’autorisation
recevables au cours de l’année écoulée.
130
3.5 Tableaux et graphiques
3.5.1. Dossiers traités par les comités sectoriels
3.5.1.1 Comité sectoriel de la Sécurité sociale et de la Santé
3.5.1.1.1 Section Santé
— avis : .................................................... 1
— délibérations : ...................................... 34
3.5.1.1.2 Section Sécurité sociale
— avis : .................................................. 23
— délibérations : ..................................... 87
Commission de la protection de la vie privée — rapport annuel 2011 131
Trimestre Dossiers AF-MA IN
Dossiers AF-MA OUT
% clôturés Dossiers AF-MA ouverts
01.2011 - 03.2011 59 58 98,31 1
04.2011 - 06.2011 41 40 97,56 1
07.2011 - 09.2011 9 6 66,67 3
10.2011 - 12.2011 6 4 66,67 2
Total 115 108 93,91 7
3.5.2 Comité sectoriel pour l’Autorité Fédérale : dossiers AF-MA en chiffres
3.5.2.1 Analyse globale des dossiers AF-MA 2011
Nom
bre
Trimestre Dossiers AF-MA IN Dossiers AF-MA OUT % clôturés Dossiers AF-MA ouverts01.2011 - 03.2011 59 58 98,31 1
adhésion Secrétariat 49 48 97,96 1autorisation individuelle 10 10 100,00 0
04.2011 - 06.2011 41 40 97,56 1adhésion Secrétariat 37 36 97,30 1autorisation individuelle 4 4 100,00 0
07.2011 - 09.2011 9 6 66,67 3adhésion Secrétariat 7 6 85,71 1autorisation individuelle 2 0 0,00 2
10.2011 - 12.2011 6 4 66,67 2adhésion Secrétariat 4 3 75,00 1autorisation individuelle 2 1 50,00 1
Total 115 108 93,91 7adhésion Secrétariat 97 93 95,88 4autorisation individuelle 18 15 83,33 3
0
20
40
60
01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011
59
41
9 6
58
40
6 41 1 3 2
dossiers AF-MA 2011
Dossiers AF-MA IN Dossiers AF-MA OUT Dossiers AF-MA ouverts
132
TrimestreDossiers AF-
MA INDossiers AF-
MA OUT% clôturés
Dossiers AF-MA ouverts
01.2011 - 03.2011 59 58 98,31 1
adhésion Secrétariat 49 48 97,96 1
autorisation individuelle 10 10 100,00 0
04.2011 - 06.2011 41 40 97,56 1
adhésion Secrétariat 37 36 97,30 1
autorisation individuelle 4 4 100,00 0
07.2011 - 09.2011 9 6 66,67 3
adhésion Secrétariat 7 6 85,71 1
autorisation individuelle 2 0 0,00 2
10.2011 - 12.2011 6 4 66,67 2
adhésion Secrétariat 4 3 75,00 1
autorisation individuelle 2 1 50,00 1
Total 115 108 93,91 7
adhésion Secrétariat 97 93 95,88 4
autorisation individuelle 18 15 83,33 3
Nom
bre
4.2.2 Délai de traitement dossiers AF-MA
Adhésion Secrétariat
Nombre Délai de traitement Dossiers clôturés** Dossiers en traitement<= 45 j 80 1> 45 j 0 0
on hold * 3total 80 4
Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement<= 45 j 100,00 100,00> 45 j 0,00 0,00total 100 100
0
20
40
60
80
100
adhésion Secrétariat autorisation individuelle
97
18
93
15
4 3
Dossiers AF-MA IN
Dossiers AF-MA OUT
Dossiers AF-MA ouverts
Commission de la protection de la vie privée — rapport annuel 2011 133
3.5.2.2 Délai de traitement dossiers AF-MA
Adhésion Secrétariat
Nombre Délai de traitement Dossiers clôturés** Dossiers en traitement
< 45 j 80 1
> 45 j 0 0
on hold * 3
total 80 4
Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement
< 45 j 100,00 100,00
> 45 j 0,00 0,00
total 100 100
< 45 j 100,00
> 45 j 0,00
* dossier non complet, le demandeur n'a pas encore répondu pour l'instant aux questions transmises, d'où la mise "on hold “ du dossier.
** pour les dossiers clôturés, les dossiers qui sont irrecevables ou dont le traitement a été arrêté ne sont pas repris dans le calcul du délai de traitement.
<
<
<
134
Autorisation individuelle
Nombre Délai de traitement Dossiers clôturés** Dossiers en traitement
< 45 j 7 1
> 45 j 7 2
on hold * ou traitement arrêté
1
total 15 3
Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement
< 45 j 50,00 33,33
> 45 j 50,00 66,67
total 100 100
< 45 j 47,06
> 45 j 64,29
Délai légal de taitement : 30 jours après réception de l'avis technique et juridique avec un maximum de 45 jours une fois le dossier complet.
Par rapport au règlement SLA en vigueur (séance +2), tous les dossiers ont été clôturés dans le délai imparti.
<
<
<
Commission de la protection de la vie privée — rapport annuel 2011 135
3.5.2.3 Suite donnée aux dossiers d'autorisation clôturés
Type de dossiers Suite Nombre % /types de dossier
adhésion Secrétariat autorisations 80 86,02
traitement arrêté 12 12,90
irrecevable 1 1,08
autorisation individuelle autorisation 10 66,67
autorisation avec condition suspensive
1 6,67
autorisation à durée déterminée
1 6,67
refus 2 13,33
irrecevable 1 6,67
3.5.2.4 Nombre d'adhésions par autorisation générale
autorisation générale Nombre
AF n° 12/2009 (01/10/2009) 63
AF n° 17/2010 (21/10/2010) 34
136
3.5.3 Comité de surveillance Statistitique : dossiers STAT-MA en chiffres
3.5.3.1 Analyse globale dossiers STAT-MA 2011
Trimestre Dossiers STAT-MA IN
Dossiers STAT-MA OUT
% clôturés Dossiers STAT-MA ouverts
01 2011 - 03 2011 6 6 100,00 0
04 2011 - 06 2011 11 11 100,00 0
07 2011 - 09 2011 11 10 90,91 1
10 2011 - 12 2011 10 8 80,00 2
Total 38 35 92,11 3
Nom
bre
Trimestre Dossiers STAT-MA IN Dossiers STAT-MA OUT % clôturés Dossiers STAT-MA ouverts01.2011- 03.2011 6 6 100,00 0
autorisation générale 0 0 *** ***autorisation individuelle 6 6 100,00 0
04.2011 - 06.2011 11 11 100,00 0autorisation générale 0 0 *** ***autorisation individuelle 11 11 100,00 0
07.2011 - 09.2011 10 10 100,00 0autorisation générale 0 0 *** ***autorisation individuelle 10 10 100,00 0
10.2011 - 12.2011 11 8 72,73 3autorisation générale 1 0 0,00 1autorisation individuelle 10 8 80,00 2
Total 38 35 92,11 3autorisation générale 1 0 0,00 1autorisation individuelle 37 35 94,59 2
0
2
4
6
8
10
12
01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011
6
11 1110
6
1110
8
0 01
2
Dossiers STAT-MA 2011
Dossiers STAT-MA IN Dossiers STAT-MA OUT Dossiers STAT-MA ouverts
Dossiers STAT-MA 2011
Commission de la protection de la vie privée — rapport annuel 2011 137
Trimestre Dossiers STAT-MA IN
Dossiers STAT-MA OUT
% clôturés Dossiers STAT-MA ouverts
01.2011- 03.2011 6 6 100,00 0
autorisation générale 0 0 *** ***
autorisation individuelle 6 6 100,00 0
04.2011 - 06.2011 11 11 100,00 0
autorisation générale 0 0 *** ***
autorisation individuelle 11 11 100,00 0
07.2011 - 09.2011 10 10 100,00 0
autorisation générale 0 0 *** ***
autorisation individuelle 10 10 100,00 0
10.2011 - 12.2011 11 8 72,73 3
autorisation générale 1 0 0,00 1
autorisation individuelle 10 8 80,00 2
Total 38 35 92,11 3
autorisation générale 1 0 0,00 1
autorisation individuelle 37 35 94,59 2
4.3.2 Délai de traitement dossiers STA-MA
Autorisation individuelle
Nombre Délai de traitement Dossiers clôturés Dossiers en traitement<= 45 j 18 2> 45 j 16 0
on hold * ou traitement arrêté
1 0
Total 35 2
Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement<= 45 j 52,94 100,00
0
5
10
15
20
25
30
35
40
autorisation générale autorisation individuelle
1
37
0
35
1 2
Dossiers STAT-MA IN
Dossiers STAT-MA OUT
Dossiers STAT-MA ouverts
Nom
bre
138
3.5.3.3 Suite donnée aux dossiers d'autorisation clôturés
Type de dossiers Suite Nombre % type de dossier
autorisation générale autorisation 30 85,71
autorisation avec condition suspensive
2 5,71
refus 2 5,71
traitement arrêté 1 2,86
3.5.3.2 Délai de traitement dossiers STA-MA
Autorisation individuelle
Nombre Délai de traitement Dossiers clôturés Dossiers en traitement
< 45 j 18 2
> 45 j 16 0
on hold * ou traitement arrêté
1 0
Total 35 2
Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement
< 45 j 52,94 100,00
> 45 j 47,06 0,00
Total 100 100
< 45 j 55,56
> 45 j 44,44
Délai légal de taitement : 30 jours après réception de l’avis technique et juridiqueavec un maximum de 45 jours une fois le dossier complet.
Par rapport au règlement SLA en vigueur (séance +2), tous les dossiers ont été clôturés dans le délai imparti.
<
<
<
Commission de la protection de la vie privée — rapport annuel 2011 139
3.5.4 Comité sectoriel du Registre national : dossiers RN-MA en chiffres
3.5.4.1 Analyse globale dossiers RN-MA 2011
Trimestre Dossiers RN-MA IN
Dossiers RN-MA OUT
% clôturés Dossiers RN-MA ouverts
01.2011 - 03.2011 94 88 93,62 6
04.2011 - 06.2011 106 104 98,11 2
07.2011 - 09.2011 71 67 94,37 4
10.2011 - 12.2011 62 27 43,55 35
Total 333 286 85,89 47
Trimestre RN-MA dossier IN RN-MA dossier OUT % clôturés RN-MA dossiers ouverts01.2011 - 03.2011 94 88 93,62 6,00
adhésion Secrétariat 71 70 98,59 1autorisation générale 0 0 *** ***autorisation individuelle 23 18 78,26 5
04.2011 - 06.2011 106 104 98,11 2,00adhésion Secrétariat 93 92 98,92 1autorisation générale 1 1 100,00 0autorisation individuelle 12 11 91,67 1
07.2011 - 09.2011 71 67 94,37 4,00adhésion Secrétariat 48 48 100,00 0autorisation générale 0 0 *** ***autorisation individuelle 23 19 82,61 4
10.2011 - 12.2011 62 27 43,55 35,00adhésion Secrétariat 26 20 76,92 6autorisation générale 0 0 *** ***autorisation individuelle 36 7 19,44 29Total 333 286 85,89 47adhésion Secrétariat 238 230 96,64 8
0
20
40
60
80
100
120
01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011
94106
7162
88104
67
27
6 2 4
35
Dossiers RN-MA IN Dossiers RN-MA OUT Dossiers RN-MA ouverts
Dossiers RN-MA 2011
Nom
bre
140
Trimestre RN-MA dossier IN
RN-MA dossier OUT
% clôturés RN-MA dossiers ouverts
01.2011 - 03.2011 94 88 93,62 6,00
adhésion Secrétariat 71 70 98,59 1
autorisation générale 0 0 *** ***
autorisation individuelle 23 18 78,26 5
04.2011 - 06.2011 106 104 98,11 2,00
adhésion Secrétariat 93 92 98,92 1
autorisation générale 1 1 100,00 0
autorisation individuelle 12 11 91,67 1
07.2011 - 09.2011 71 67 94,37 4,00
adhésion Secrétariat 48 48 100,00 0
autorisation générale 0 0 *** ***
autorisation individuelle 23 19 82,61 4
10.2011 - 12.2011 62 28 45,16 34,00
adhésion Secrétariat 26 20 76,92 6
autorisation générale 0 0 *** ***
autorisation individuelle 36 7 19,44 29
Total 333 286 85,89 47
adhésion Secrétariat 238 230 96,64 8
autorisation générale 1 1 100,00 0
autorisation individuelle 94 55 58,51 39
autorisation générale 1 1 100,00 0autorisation individuelle 94 55 58,51 39
4.4.2 Délai de traitement dossiers RN-MA
Adhésion Secrétariat
Nombre Délai de traitement Dossiers clôturés Dossiers en traitement<= 45 j 224 3> 45 j 1 0
on hold *ou traitement arrêté
5 5
Total 230 8
Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement<= 45 j 99,56 100,00> 45 j 0,44 0,00
0
50
100
150
200
250
RN-MA dossier IN RN-MA dossier OUT RN-MA dossiers ouverts
238 230
81 1 0
94
5539
adhésion Secrétariat
autorisation générale
autorisation individuelleNom
bre
Commission de la protection de la vie privée — rapport annuel 2011 141
3.5.4.2 Délai de traitement dossiers RN-MA
Adhésion Secrétariat
Nombre Délai de traitement Dossiers clôturés Dossiers en traitement
< 45 j 224 3
> 45 j 1 0
on hold *ou traitement arrêté
5 5
total 230 8
Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement
< 45 j 99,56 100,00
> 45 j 0,44 0,00
total 100 100
< 45 j 99,56
> 45 j 0,44
<
<
<
142
Autorisation individuelle
Nombre Délai de traitement Dossiers clôturés ** Dossiers en traitement
< 45 j 20 16
> 45 j 27 9
on hold * ou traitement arrêté
8 14
total 55 39
Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement
< 45 j 42,55 64,00
> 45 j 57,45 36,00
total 100 100
< 45 j 50,00
> 45 j 50,00
Délai légal de traitement : 30 jours après réception de l'avis technique et juridique avec un maximum de 45 jours une fois le dossier complet.
Par rapport au règlement SLA en vigueur (séance +2), 91 % des dossiers ont été clôturés dans le délai imparti.
<
<
<
Commission de la protection de la vie privée — rapport annuel 2011 143
3.5.4.3 Suite donnée aux dossiers d'autorisation clôturés
Type de dossiers Suite Nombre % / type de dossier
adhésion Secrétariat
autorisation 225 97,83
traitement arrêté 5 2,17
autorisation 32 58,18
Autorisation individuelle
autorisation avec condition résolutoire
4 7,27
autorisation avec condition suspensive
8 14,55
autorisation à durée déterminée
2 3,64
traitement arrêté 4 7,27
irrecevable 5 9,09
3.5.4.4 Nombre d'adhésions par autorisation générale
Autorisation générale Nombre
RN n° 02/2011 (26/01/2011) 37
RN n° 35/2010 (06/10/2010) 11
RN n° 15/2010 (14/04/2010) 14
RN n° 74/2009 (23/12/2009) 15
RN n° 38/2009 (17/06/2009) 3
RN n° 21/2009 (25/03/2009) 15
RN n° 22/2009 (25/03/2009) 6
RN n° 15/2009 (18/02/2009) 1
RN n° 08/2006 (22/03/2006) 136
Commission de la protection de la vie privée — rapport annuel 2011 145