Le traitement de donn�es � caract�re personnel par l

Document Sample
Le traitement de donn�es � caract�re personnel par l Powered By Docstoc
					Le traitement de données à caractère
    personnel par l’administration
            communale :
   Les Chartes d’utilisation des ressources
         informatiques communales




                 Cellule TIC de la DGPL
                          Table des matières


4    Introduction et description de la méthode de travail

5    I/ La législation applicable

9    II/ Définitions et notions préalables

9         1/ Le traitement de données à caractère personnel

9         2/ Les données à caractère personnel

9         3/ Le responsable du traitement

10        4/ La Commission de la protection de la vie privée

11   III/ PRINCIPES guidant la surveillance par l’employeur de
     l’utilisation du système informatique sur le lieu de travail en
     application des règles juridiques

11        1/ Le principe de FINALITÉ

11        2/ Le principe de TRANSPARENCE

11        3/ Les principes de PROPORTIONNALITÉ et de NÉCESSITÉ

14   IV/ Le TRAITEMENT des données à caractère personnel

14        1/ QUAND la commune peut-elle traiter des données à caractère
          personnel ?

14        2/ Les données à caractère personnel dont le TRAITEMENT est
          INTERDIT

14        3/ Comment remplir les obligations de CONFIDENTIALITÉ et de
          SÉCURITÉ du traitement ?

15              A/ Lorsque la commune traite elle-même les données

15              B/ Lorsque la commune confie le traitement à un sous-traitant

15        4/ La DIFFUSION d’informations relatives à des personnes
          physiques

15              A/ Données des fonctionnaires


                                       2

                             Cellule TIC de la DGPL
16              B/ Données des élus

16              C/ Données des personnes « autres »

16        5/ La durée de conservation et les conditions de stockage des
          données

18   V/ Les DROITS de la personne concernée par le traitement de
     données à caractère personnel

18        1/ Droit à l’information (art. 9 loi du 8 décembre 1992)

18        2/ Droit d’accès et de rectification (art. 10 et 12 loi 8 décembre
          1992)

19        3/ Droit d’opposition (art.12, § 1 loi 8 décembre 1992)

20   VI/ La déclaration à la Commission de la protection de la vie
     privée

22   Conclusion

23   Sources




                                       3

                             Cellule TIC de la DGPL
Introduction et description de la méthode de travail

Ces dernières années, l’usage des nouvelles technologies de l’information et de la
communication (NTIC) s’est répandu tel une traînée de poudre, s’infiltrant partout,
dans la sphère privée comme dans la sphère professionnelle, au sein des
entreprises privées comme au cœur des administrations. En d’autres mots : les TIC
sont devenues tout simplement incontournables ; les travailleurs ayant de plus en
plus souvent accès à ces moyens de communication sur leur lieu de travail et dans le
cadre de celui-ci, le courrier électronique et l’Internet en étant les instruments
privilégiés.

Si la diffusion rapide des TIC dans les administrations comme dans les entreprises a
de nombreux côtés positifs, notamment en termes d’efficacité, celle-ci ne va pas
sans poser quelques problèmes et notamment celui du contrôle par l’employeur de
l’utilisation faite du système informatique par ses employés ; la difficulté majeure en
ce domaine étant de concilier le contrôle de l’employeur avec le respect de la vie
privée et la liberté de communication des agents.

Mais la matière est complexe et pleuvent les interrogations sur le sujet.

C’est ainsi que la cellule TIC de la DGPL s’est penchée sur le problème, cherchant à
concilier les chartes informatiques communales avec le respect de la vie privée et la
liberté de communication des agents communaux.

L’analyse suivante fut conçue dans le souci permanent d’être le plus complet
possible sur le sujet présent ; à savoir : le respect, par la charte informatique de la
commune, de la protection de la vie privée des agents ayant accès aux ressources
informatiques de la Ville. Plus particulièrement, la cellule TIC de la DGPL s’est
principalement penchée sur la liberté de communication des employés et son
corollaire : le traitement des données à caractère personnel par l’administration
communale à l’occasion de l’utilisation de son matériel informatique par ses agents.

Le but de notre analyse est donc de vous fournir une assise véritable concernant la
problématique qui nous occupe. En d’autres termes, l’ambition de la cellule TIC de la
DGPL est de mettre à votre disposition une base grâce à laquelle vous pourriez
trouver réponse à vos questions et demandes tenant au respect de la vie privée des
agents communaux par la charte informatique de la Ville.

Afin de parvenir à un tel résultat, la cellule TIC de la DGPL a tout d’abord comparé
différentes chartes d’utilisation des ressources informatiques en vigueur dans les
secteurs tant public que privé. Elle s’est ensuite plongée dans l’étude de la
législation, doctrine et jurisprudence applicables dans le domaine du respect de la
vie privée à l’égard du traitement des données à caractère personnel par les chartes
informatiques. En sont découlés différents principes, droits et modalités de traitement
que se doivent de respecter les autorités communales vis-à-vis de leurs agents.
Finalement, la théorie fut confrontée à la pratique.




                                            4

                                  Cellule TIC de la DGPL
I/ La législation applicable

En la matière qui nous occupe ici, il est malheureusement à déplorer qu’il n’existe
pas, pour l’instant, de réglementation spécifique encadrant l’usage professionnel des
technologies de l’information et de la communication au sein des entreprises comme
au sein des communes et autres organismes publics. De la sorte, le traitement des
données à caractère personnel ne trouve de réglementation que de façon indirecte,
soit au travers de différents textes épars. Dès lors, et dans le strict respect des lois
applicables, les conditions du contrôle par l’employeur de l’usage des ressources
informatiques par ses employés relèvera avant tout de la voie conventionnelle,
notamment au moyen de chartes d’utilisation des ressources informatiques.

D’autre part, outre la disparité des textes existants, ceux-ci répondent à des
préoccupations divergentes ; les contrôles effectués par l’employeur, sur base du
droit de propriété et du droit du travail, entrant en effet en conflit avec la protection de
la vie privée de l’employé.

Parmi les textes applicables au traitement des données à caractère personnel, au
niveau européen, seront en particulier pointés :

-      L’article 8 de la convention européenne des droits de l’homme qui pose le
principe du droit de toute personne au respect de sa vie privée et familiale, de son
domicile et de sa correspondance. Selon cette norme :

       « 1. Toute personne a droit au respect de sa vie privée et familiale, de son
       domicile et de sa correspondance.

       2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce
       droit que pour autant que cette ingérence est prévue par la loi et qu'elle
       constitue une mesure qui, dans une société démocratique, est nécessaire à la
       sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la
       défense de l'ordre et à la prévention des infractions pénales, à la protection de
       la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

-     La directive européenne n° 95/46 du Parlement européen et du Conseil du 24
octobre 1995 relative à la protection des personnes physiques à l’égard du traitement
de données à caractère personnel et à la libre circulation des données.

-       La Recommandation n° R (89) 2 du Comité des Ministres du Conseil de
l’Europe aux Etats membres sur la protection des données à caractère personnel
utilisées à des fins d'emploi, adoptée par le Comité des Ministres le 18 janvier 1989 :

       « 3. Information et consultation des employés

       3.1. Conformément aux législations et pratiques nationales et, le cas échéant,
       aux conventions collectives, les employeurs devraient informer ou consulter
       leurs employés ou les représentants de ceux-ci préalablement à l'introduction
       ou à la modification de systèmes automatisés pour la collecte et l'utilisation de
       données à caractère personnel concernant les employés.

                                              5

                                    Cellule TIC de la DGPL
       Ce principe s'applique également à l'introduction ou à la modification de
       procédés techniques destinés à contrôler les mouvements ou la productivité
       des employés.

       3.2. L'accord des employés ou de leurs représentants devrait être recherché
       avant l'introduction ou la modification de tels systèmes ou procédés lorsque la
       procédure de consultation mentionnée au paragraphe 3.1 révèle une
       possibilité d'atteinte au droit au respect de la vie privée et de la dignité
       humaine des employés, à moins que d'autres garanties appropriées ne soient
       prévues par la législation ou la pratique nationales. »

Au plan belge, il s’agit en particulier de :

-       L’article 22 de la Constitution qui stipule que "Chacun a droit au respect de sa
vie privée et familiale, sauf dans les cas et conditions fixés par la loi".

-       La loi du 21 mars 1991 portant réforme de certaines entreprises publiques
économiques dont l’article 109 ter D vise la protection du secret des
télécommunications et énonce l’interdiction pour les tiers de prendre connaissance et
d’utiliser des données transmises par voie de télécommunication, assortie toutefois
d'une exception dans le cas où le tiers obtient l’autorisation de toutes les personnes
qui participent aux communications.

       « Sous réserve de l’autorisation de toutes les autres personnes directement
       ou indirectement concernées par l’information, l’identification ou les données
       visées ci-après, il est interdit à quiconque, qu’il agisse personnellement ou par
       l’entremise d’un tiers :

       1° de prendre frauduleusement connaissance de l’existence de signes, de
       signaux, d’écrits, d’images, de sons ou de données de toute nature transmis
       par voie de télécommunications, en provenance d’autres personnes et
       destinées à celles-ci [modifié par l’article 13, § 2, 1° de la loi du 30 juin 1994] ;

       2° de transformer ou de supprimer frauduleusement par n’importe quel
       procédé technique l’information visée au 1° ou d’identifier les autres
       personnes ;

       3° de prendre connaissance intentionnellement de données en matière de
       télécommunications, relatives à une autre personne ;

       4° de révéler ou de faire usage quelconque de l’information, de l’identification
       et des données obtenues intentionnellement ou non, et visées aux 1°, 2°, 3°,
       de les modifier ou de les annuler. »

-      La loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard
des traitements de données à caractère personnel.

En substance, la loi fixe les conditions générales du caractère licite des traitements
de données à caractère personnel :


                                               6

                                    Cellule TIC de la DGPL
•   L’article 5 prévoit les cas dans lesquels le traitement de données à
    caractère personnel peut être effectué. Selon cet article :

    « Le traitement de données à caractère personnel ne peut être effectué
    que dans l'un des cas suivants :

    a) lorsque la personne concernée a indubitablement donné son
    consentement;

    b) lorsqu'il est nécessaire à l'exécution d'un contrat auquel la personne
    concernée est partie ou à l'exécution de mesures précontractuelles
    prises à la demande de celle-ci;

    c) lorsqu'il est nécessaire au respect d'une obligation à laquelle le
    responsable du traitement est soumis par ou en vertu d'une loi, d'un
    décret ou d'une ordonnance;

    d) lorsqu'il est nécessaire à la sauvegarde de l'intérêt vital de la
    personne concernée;

    e) lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou
    relevant de l'exercice de l'autorité publique, dont est investi le
    responsable du traitement ou le tiers auquel les données sont
    communiquées;

    f) lorsqu'il est nécessaire à la réalisation de l'intérêt légitime poursuivi
    par le responsable du traitement ou par le tiers auquel les données sont
    communiquées, à condition que ne prévalent pas l'intérêt ou les droits
    et libertés fondamentaux de la personne concernée qui peut prétendre
    à une protection au titre de la présente loi. Le Roi peut, par arrêté
    délibéré en Conseil des ministres, après avis de la Commission de la
    protection de la vie privée, préciser les cas où la condition mentionnée
    sous f) est considérée ne pas être remplie. »

•   L’article 4 fixe, pour sa part, les conditions auxquelles est soumis ce
    traitement en disposant que :

    « § 1. Les données à caractère personnel doivent être :

    1°     traitées loyalement et licitement ;

    2°      collectées pour des finalités déterminées, explicites et légitimes,
    et ne pas être traitées ultérieurement de manière incompatible avec ces
    finalités, compte tenu de tous les facteurs pertinents, notamment des
    prévisions raisonnables de l’intéressé et des dispositions légales et
    réglementaires applicables (…) ;

    3°     adéquates, pertinentes et non excessives au regard des finalités
    pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées
    ultérieurement (…) ;
                                   7

                         Cellule TIC de la DGPL
             5°    conservées sous une forme permettant l'identification des
             personnes concernées pendant une durée n'excédant pas celle
             nécessaire à la réalisation des finalités pour lesquelles elles sont
             obtenues ou pour lesquelles elles sont traitées ultérieurement. (…)

             § 2. Il incombe au responsable du traitement d’assurer le respect du §
             1. »

La loi contient également des dispositions relatives :

      •      aux droits de la personne concernée tels que prévus aux articles 9 à
             15 ; et notamment le droit d'accès et de rectification des données à
             caractère personnel ;

      •      à la confidentialité et la sécurité du traitement garanties à l'article 16 ;

      •      aux déclarations à effectuer par le responsable du traitement (maître de
             fichier) ou, le cas échéant, son représentant, auprès de la Commission
             de la protection de la vie privée et les mentions qu'elles doivent
             comporter, reprises aux articles 17 à 20.

-       Pour être plus complet, signalons encore l’arrêté royal du 13 février 2001
portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie
privée à l’égard des traitements de données à caractère personnel, l’article 314bis du
code pénal concernant le secret des communications et la loi du 28 novembre 2000
relative à la criminalité informatique (celle-ci introduisant quatre nouvelles
incriminations : le faux en informatique, la fraude informatique, l’accès non autorisé
ou hacking, ainsi que le sabotage de données et/ou de systèmes).

Par ailleurs, en ce qui concerne l’employeur, le Code civil porte en son chef le droit
de propriété en son article 544, en ce sens où les moyens de communication mis à la
disposition du travailleur dans le cadre du contrat de travail restent la propriété de
l’employeur. Quant à l’article 1384 dudit Code, il consacre la responsabilité du fait
d’autrui de l’employeur ; l’article déclarant : « On est responsable non seulement du
dommage que l'on cause par son propre fait, mais encore de celui qui est causé par
le fait des personnes dont on doit répondre, ou des choses que l'on a sous sa garde.
(…) »




                                             8

                                   Cellule TIC de la DGPL
II/ DÉFINITIONS ET NOTIONS PRÉALABLES

Lors de tout traitement de données à caractère personnel, il s’agit de répondre à la
question : « QUI fait QUOI et POURQUOI ? »

Définir la notion de responsable du traitement revient à déterminer sur QUI repose
les principales obligations prévues par la loi. Pour savoir à QUOI s’applique la loi, il
faut déterminer ce qu’est le traitement des données à caractère personnel. Quant au
POURQUOI, il désigne les finalités en vue desquelles le traitement est mis en
œuvre.

1/ Le traitement de données à caractère personnel

Il y a « traitement » lorsque la commune collecte, enregistre, conserve, organise,
diffuse ou effectue d’autres opérations sur des données à caractère personnel.

La notion de traitement s’applique que l’on utilise ou non des procédés
automatisés.

Par ailleurs, il est courant de penser que la loi relative à la vie privée ne s’applique
qu’en ce qui concerne ce qui est contenu au sein des banques de données ou des
fichiers automatisés alors qu’en fait, la loi s’applique à chaque opération effectuée
sur les données. La simple collecte de données constitue déjà un traitement.

2/ Les données à caractère personnel

On parle de « données à caractère personnel » pour toute information concernant
une personne physique identifiée ou identifiable. Il peut donc s’agir d’un numéro de
téléphone d’une personne, de sa fonction, de la mention de sa présence à une
réunion, etc. De même, une photo est également une donnée à caractère personnel.

Une personne physique est « identifiable » dès lors que le processus d’identification
et de reconnaissance de la personne ne requiert pas des efforts ou des frais
déraisonnables comparés à son utilité. Ainsi, des informations sont considérées
comme des données à caractère personnel aussi longtemps qu’une personne est
capable, à l’aide d’un moyen raisonnablement utilisable, quel qu’il soit, de rechercher
à quel individu s’appliquent les informations.

Par exemple, un fichier de données anonymes (contenant, par exemple, les données
relatives aux consultations effectuées par les visiteurs de sites telles que la date,
l’heure, les pages consultées, etc.) qui peut être couplé à un fichier de données à
caractère personnel devient un fichier de données identifiables.

3/ Le responsable du traitement

Le « responsable du traitement » est la personne physique, morale, ou
l’administration qui détermine les finalités et les moyens du traitement des données à
caractère personnel. La loi précise que, lorsque les finalités et les moyens du
traitement sont déterminés par la loi, le responsable est la personne physique ou
morale désignée par la loi.
                                            9

                                  Cellule TIC de la DGPL
Dans le cadre des activités communales, différentes hypothèses peuvent se
présenter :

      -   Soit une loi, un décret ou un règlement désigne le responsable du
          traitement.

      -   Soit le conseil communal décide qu’il faut effectuer un traitement dans un
          but particulier. Le conseil est alors lui-même responsable du traitement.
          C’est le cas, par exemple, si le conseil estime opportun d’enregistrer et
          conserver les courriers électroniques envoyés à l’adresse de la commune
          ou décide de mettre à disposition sur le site Internet le nom et les
          coordonnées des fonctionnaires.

      -   Soit, au niveau d’un service, on estime nécessaire de réaliser un traitement
          de données (par exemple, tenir un fichier de l’ensemble des personnes
          demandeuses de documents de l’état civil). C’est alors l’organe ou la
          personne qui a le pouvoir de décision sur ce traitement, soit celui ou celle
          qui décide de le mettre en place dans un but particulier, qui sera le
          responsable du traitement.

4/ La Commission de la protection de la vie privée

Un doute ? Pour y répondre et afin de veiller à l’application correcte de la loi, une
Commission de la protection de la vie privée a été mise en place. Celle-ci gère le
registre des déclarations de traitement, donne des avis au Gouvernement, reçoit des
plaintes et fait des recommandations au responsable du traitement. Ainsi, les
autorités communales sont libres de poser différentes question à cette Commission.

La Commission a développé son site Internet sur lequel sont disponibles un certain
nombre d’informations (http://www.privacy.fgov.be).




                                           10

                                  Cellule TIC de la DGPL
III/ PRINCIPES guidant la surveillance par l’employeur de
l’utilisation du système informatique sur le lieu de travail en
application des règles juridiques
1/ Le principe de FINALITÉ

Selon ce principe, la surveillance exercée par l’employeur concernant l’utilisation du
système informatique sur le lieu de travail ne pourra s’exercer que dans le cadre des
finalités énoncées à l’article 5 de la loi du 8 décembre 1992 précitée.

2/ Le principe de TRANSPARENCE

Pareil principe trouve son fondement dans l’article 9 de la loi du 8 décembre 1992 ;
celui-ci prévoyant les procédures d’information et de consultation des travailleurs
devant être respectées par l’employeur lors de l’installation du système de contrôle.
Ainsi, le dialogue entre employeur et employés devra permettre d’établir de façon
suffisamment détaillée, conformément à l’article 9 de la loi du 8 décembre 1992, les
différentes caractéristiques de la politique de contrôle de l’employeur. Celles-ci
devront notamment viser :

-     les modalités d’utilisation du courrier électronique et de l’Internet qui sont
      permises, tolérées ou interdites ;

-     les finalités et modalités du contrôle de cette utilisation (nature des données
      collectées, étendue et circonstances des contrôles, personnes ou catégories
      de personnes sujettes aux procédures de contrôle) ;

-     l’existence d’un stockage des données de télécommunication et la durée de ce
      stockage, par exemple sur un serveur central, dans le cadre de la gestion
      technique du réseau, et les éventuels systèmes de cryptage existants ;

-     les décisions pouvant être prises par l’employeur à l’endroit de l’employé sur la
      base du traitement des données collectées à l’occasion d’un contrôle ;

-     le droit d’accès de l’employé aux données à caractère personnel le
      concernant.

En ce qui concerne le dialogue entre l’employeur et les employés, dans le secteur
public, la loi du 19 décembre 1974 organisant les relations entre les autorités
publiques et les syndicats des agents relevant de ces autorités, et en particulier
l’article 2 de celle-ci, prévoit à cet égard les procédures de concertation ou de
négociation avec les organisations syndicales concernées. Ces procédures peuvent
varier selon les services envisagés.

3/ Les principes de PROPORTIONNALITÉ et de NÉCESSITÉ

En vertu de ces principes de proportionnalité et de nécessité, tout contrôle devrait
être ponctuel et justifié par des indices laissant suspecter une utilisation abusive des
outils de travail.

                                           11

                                  Cellule TIC de la DGPL
Un contrôle général et a priori de l’ensemble des données de télécommunications de
même qu’un enregistrement systématique de l’ensemble de ces données apparaît
disproportionné par rapport à l’objectif poursuivi. En outre, il est assez peu conforme
à la dignité humaine de faire travailler des employés sous une surveillance
constante.

Par ailleurs, en application du principe de finalité, de même que pour toute autre
collecte de données, les données de télécommunications ne peuvent être collectées
que pour la finalité de contrôle précisée, et ne peuvent être utilisées à des fins
différentes.

En ce qui concerne, plus précisément, la nature des données sujettes à contrôle,
seules les données nécessaires à ce dernier peuvent être collectées. Et, dans la
majeure partie des cas, la prise de connaissance du contenu des informations n’est
pas nécessaire à l’exercice du contrôle.

A ce stade, il convient d’opérer une distinction entre le contrôle du courrier
informatique envoyé ou reçu par les employés, et le contrôle des données de trafic
relatives à la consultation d’Internet.

a.    Pour ce qui est du courrier électronique, la Commission de protection de la
      vie privée considère que la prise de connaissance du contenu des courriers
      électroniques est excessive et contraire aux dispositions légales mentionnées
      supra, de la même façon que le serait l’écoute et/ou l’enregistrement des
      communications téléphoniques de l’employé.

      Ceci étant, il existe néanmoins différentes solutions qui permettent de cibler
      les courriers suspects, tels que les logiciels qui identifient l’expédition de
      courriers électroniques en chaîne ou qui isolent et/ou bloquent ceux dont la
      taille est excessive et qui peuvent provoquer un engorgement ou un
      ralentissement du réseau. Ceci est le cas, en particulier, lorsque des images
      ou des fichiers exécutables sont envoyés ou reçus en annexe aux messages.

      Ainsi, c’est sur la base d’une liste de courriers et non de leur contenu - comme
      sur la base d’une facture de téléphone laissant apparaître des montants
      anormalement élevés - que l’absence de respect des règles posées par
      l’employeur pourra être décelée.

      Toutefois, à l’exception des contrôles par le biais de moyens techniques,
      visant par exemple le blocage des courriers entrants de grande taille qui
      constituent un risque d’engorgement du réseau, la Commission émet des
      réserves quant à l’exercice du contrôle au regard des courriers entrants ;
      l’employé n’étant pas l’auteur de ces derniers. La jurisprudence va dans ce
      sens également.

b.    Du point de vue du contrôle des sites Internet consultés par l’employé, les
      données concernées sont des données de trafic ; soit les adresses des sites
      consultés. Ces données constituent des données à caractère personnel à
      partir du moment où l’employeur est en mesure d’établir un lien entre les
      adresses des sites consultés et un employé particulier.
                                           12

                                  Cellule TIC de la DGPL
Dans cette optique, la Commission de protection de la vie privée est d’avis
que le contrôle doit se fonder sur des données objectives restreintes et non
sur une prise de connaissance préalable et systématique du contenu de toutes
les données de trafic concernant chaque employé.

A cet effet, l’employeur pourra disposer, par exemple, d’une liste d’adresses
de sites consultés de façon globale sur une certaine période, sans que soient
identifiés dans un premier temps les auteurs des consultations. Il pourra sur
cette base repérer une durée anormalement élevée de consultation d’Internet
ou la mention d’adresses de sites suspects et prendre les mesures de contrôle
appropriées. La détection de la consultation de certains sites pourrait
également être effectuée de façon automatique grâce à un logiciel spécifique,
sur la base de mots-clés déterminés.




                                   13

                          Cellule TIC de la DGPL
IV/ Le traitement des données à caractère personnel

1/ QUAND la commune peut-elle traiter des données à caractère personnel ?

Selon l’article 5 de la loi du 8 décembre 1992, la commune ne peut recueillir et
utiliser des données à caractère personnel que dans les cas suivants :

       -   lorsque la personne concernée a indubitablement donné son accord ;

       -   quand c’est nécessaire à la tenue de négociations ou à l’exécution d’un
           contrat auquel la personne concernée est partie ;

       -   lorsque c’est imposé par une obligation à laquelle la commune est soumise
           en vertu d’une loi ou d’un décret (tenue du registre de l’état civil, respect de
           la législation sur la publicité de l’administration…) ;

       -   pour l’exécution d’une mission d’intérêt public relevant de l’autorité de la
           commune (par exemple, les fichiers des abonnés à la bibliothèque
           municipale) ;

       -   lorsque c’est nécessaire à la réalisation de l’intérêt légitime de la commune
           et que l’intérêt ou les libertés et droits fondamentaux de la personne
           concernées ne prévalent pas (fichiers du personnel, fichier des
           fournisseurs…)

2/ Les données à caractère personnel dont le TRAITEMENT est INTERDIT

La loi interdit de collecter certaines données sensibles. Il s’agit des données à
caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques,
les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les
données relatives à la vie sexuelle ou à la santé.

Néanmoins, exceptionnellement, ces données pourront toutefois être récoltées à
condition d’obtenir l’accord écrit de la personne concernée ou quand ces données
sont rendues manifestement publique par l’intéressé (l’appartenance à un groupe
politique d’un mandataire communal par exemple) ou encore lorsque le traitement
est effectué en exécution de la loi du 4 juillet 1962 relative à la statistique publique.

3/ Comment remplir les obligations de CONFIDENTIALITÉ et de SÉCURITÉ du
traitement ?

Afin de garantir la sécurité des données à caractère personnel, la commune (et son
éventuel sous-traitant) doit prendre les mesures techniques et organisationnelles
requises. Cette protection doit être effective contre la destruction accidentelle ou non
autorisée, contre la perte accidentelle, ainsi que contre la modification, l’accès et tout
autre traitement non autorisé de données à caractère personnel.

Les mesures prises doivent être d’un niveau adéquat, compte tenu de l’état de la
technique, soit la technologie standard qui existe sur le marché, et des frais
qu’entraînent de telles mesures.
                                             14

                                    Cellule TIC de la DGPL
     A/ Lorsque la commune traite elle-même les données

     La commune doit :

     -   mettre tout en œuvre pour tenir les données à jour, pour rectifier ou
         supprimer les données inexactes, incomplètes ou non pertinentes ;

     -   veiller à ce que les personnes qui travaillent sous son autorité n’aient qu’un
         accès limité aux données et à ce dont elles ont besoin pour l’exercice de
         leurs fonctions ou ce qui est nécessaire pour les nécessités du service ;

     -   informer les personnes agissant sous son autorité des dispositions de la loi
         sur la protection de la vie privée et des prescriptions pertinentes en matière
         de protection de la vie privée.

     B/ Lorsque la commune confie le traitement à un sous-traitant

     Dans l’hypothèse où la commune confie partiellement ou totalement le
     traitement à un sous-traitant, elle doit, en tant que responsable du traitement,
     choisir le sous-traitant en s’assurant que celui-ci apporte des garanties
     suffisantes de sécurité technique et d'organisation du traitement.

     La commune doit fixer dans le contrat qui la lie au sous-traitant :

     -   des contraintes de sécurité et de confidentialité des données à caractère
         personnel ;

     -   la responsabilité du sous-traitant à son égard ;

     -   que le sous-traitant n’agit que sur la seule instruction du responsable du
         traitement ;

     -   que le sous-traitant est tenu aux mêmes obligations que le responsable du
         traitement.

4/ La DIFFUSION D’INFORMATIONS relatives à des personnes physiques

     A/ Données des fonctionnaires

     Concernant la diffusion des données des fonctionnaires, la Commission de la
     protection de la vie privée a déclaré qu’il est « légitime de diffuser des
     informations permettant d’aider les particuliers à s’orienter entre les différents
     services de l’administration » ; ce qui justifie la diffusion des noms, fonctions et
     coordonnées professionnelles des fonctionnaires. Notons par ailleurs que la loi
     du 12 novembre 1997 relative à la publicité de l’administration dans les
     provinces et les communes impose pareille communication ; les communes
     étant en effet tenues de publier un document décrivant les compétences et
     l’organisation interne de toutes les autorités administratives qui en dépendent.


                                           15

                                  Cellule TIC de la DGPL
      En revanche, concernant la publication (notamment sur Internet) des adresses
      privées des fonctionnaires et de toute donnée à caractère personnel les
      concernant, la Commission est d’avis qu’elle est en contradiction avec la loi.

      Ceci n’empêche pas la publication de renseignements obtenus des personnes
      concernées, sur base volontaire ou nécessaire au vu de la fonction particulière
      d’un fonctionnaire, dans le respect de la loi sur la vie privée (et donc, en
      prévenant les personnes en question notamment).

      B/ Données des élus

      Un raisonnement identique à celui développé supra peut être tenu.

      C/ Données des personnes « autres »

      Lorsque la diffusion de données nominatives s’impose en raison du service
      d’information à fournir au public (présentation d’ASBL communales avec le
      nom de leurs responsables, nom des directeurs et directrices des écoles
      communales, annonces d' activités       culturelles    avec    le    nom       des
      organisateurs…), il n’est pas nécessaire d’obtenir le consentement des
      personnes intéressées. Ainsi, la diffusion de pareilles informations est légitime.

      Dans les autres cas, la commune peut opter pour les deux solutions
      suivantes :

      -   elle peut recueillir l’accord des intéressés préalablement à la diffusion de
          données les concernant. La commune peut considérer que l’accord des
          personnes concernées est acquis en l’absence de réponse endéans un
          certain délai. Néanmoins, il s’agit d’informer ces individus qu’ils pourront
          demander à tout moment que cesse la diffusion d’informations les
          concernant ;

      -   elle peut choisir d’avertir ces personnes de la diffusion de données les
          concernant et les informer qu’elles pourront lui demander à tout moment
          que cesse la diffusion des informations qui les regardent.

      Quoi qu’il en soit, en toutes circonstances, il faut respecter les exigences de la
      loi relative à la protection de la vie privée et, notamment, informer les
      personnes que des données les concernant sont diffusées par la commune.


5/ La durée de conservation et les conditions de stockage des données

En vertu de l’article 4 de la loi du 8 décembre 1992, et en application du principe de
proportionnalité, les données collectées à l’occasion ou en vue des contrôles ne
doivent pas être conservées plus longtemps que la durée nécessaire à l’exercice de
ceux-ci. En outre, le stockage des données pendant une durée déterminée, par
exemple sur un serveur de réseau, doit être effectué en conformité avec les
dispositions de l’article 16 de la loi du 8 décembre 1992 concernant la confidentialité
et la sécurité des traitements.
                                           16

                                  Cellule TIC de la DGPL
Par ailleurs, l’accès à ces données ne peut être autorisé que par l’employeur et dans
les conditions et pour les finalités strictes prévues pour l’exercice d’un contrôle. Il
s’agit d’éviter que des données qui peuvent s’avérer confidentielles ne puissent être
interceptées par des personnes extérieures à la communication.

La commune pourrait cependant justifier la conservation de courriers électronique
pour un délai supplémentaire à celui strictement nécessaire à leur traitement dans le
but d’apporter un complément d’information ou dans l’éventualité de devoir traiter des
contestations futures. La commune peut aussi dès le départ annoncer une finalité qui
justifie un enregistrement de plus longue durée des messages (par exemple, afin
d’identifier les utilisateurs du courrier électronique dans la commune pour
entreprendre des actions ciblées par la suite).

Pour la conservation des données relatives aux personnes avec lesquelles la
commune est en lien contractuel, la commune ne doit pas les garder pour une durée
excédant celle pendant laquelle l’existence ou l’exécution du contrat peut être
contestée.




                                           17

                                  Cellule TIC de la DGPL
V/ Les droits de la personne concernée par le traitement de
données à caractère personnel
1/ Droit à l’information (art. 9 loi du 8 décembre 1992)

Les informations minimales que doit obligatoirement fournir le responsable de
traitement à l’individu concerné par le traitement de données à caractère personnel
sont :

       -   les coordonnées du responsable du traitement (nom, adresse) et, le cas
           échéant, de son représentant ;

       -   les finalités du traitement ;

       -   l’existence du droit de s’opposer au traitement à des fins de marketing
           direct.

Par ailleurs, à moins que celles-ci ne soient pas nécessaire afin d’assurer un
traitement loyal, le responsable se doit de fournir quelques informations
supplémentaires concernant :

       -   les destinataires des données,

       -   le caractère obligatoire ou facultatif de la réponse aux questions ainsi que
           les conséquences du défaut de réponse,

       -   l’existence et les modalités d’exercice des droits d’accès et de rectification.

Quant à savoir quand l’information doit être fournie, l’article 9 § 1 de la loi du 8
décembre 1992 déclare que l’information de la personne concernée doit se faire au
plus tard au moment où ces données sont récoltées. Sinon, lorsque la collecte
d’informations ne se fait pas directement auprès de la personne concernée,
l’information de l’intéressé doit intervenir lors de l’enregistrement ou de la
communication de données (art. 9 § 2 loi du 8 décembre 1992).

Pour ce qui est du fait de savoir comment fournir l’information à l’intéressé, il convient
de noter que la loi ne prévoit pas de modalités légales spécifiques.

2/ Droit d’accès et de rectification (art. 10 et 12 loi 8 décembre 1992)

L’intéressé a le droit d’obtenir du responsable du traitement, sans contrainte et sans
délai (soit 45 jours au maximum) ou frais excessifs :

       -   confirmation que des données le concernant sont ou non traitées, ainsi que
           les finalités de ce traitement ;

       -   toute information portant sur l’origine des données ;

       -   communication des données sous forme intelligible ;

                                              18

                                     Cellule TIC de la DGPL
       -   rectification, effacement ou verrouillage des données, notamment lorsque
           celles-ci sont incomplètes ou inexactes ;

       -   notification de toute diffusion aux tiers, à moins que cela soit impossible ou
           implique des efforts disproportionnés ;

       -   en cas de décision automatisée, communication de la logique qui sous-
           tend le traitement.

3/ Droit d’opposition (art.12, § 1 loi 8 décembre 1992)

La personne concernée peut s’opposer au traitement de ses données dans deux
hypothèses :

       -   quand elle invoque des raisons sérieuses et légitimes tenant à sa situation
           particulière, bien que pareille opposition ne soit pas possible alors que le
           traitement des données à caractère personnel est nécessaire à la
           conclusion ou à l’exécution du contrat ou d’une obligation légale ;

       -   sans justification et gratuitement, lorsque les données à caractère
           personnel sont collectées à des fins de marketing direct.

Signalons in fine que l’article 3, § 5 de la loi fait exception au droit à l’information, au
droit d’accès et au droit d’opposition pour les traitements tenus par des autorités
publiques en vue de l’exercice de leurs missions de police judiciaire et administrative.
Ces autorités doivent cependant être désignées par arrêté royal. En outre, ces
principes ne s’appliquent pas non plus aux traitements de données à caractère
personnel gérés par les services de police visés à l’article trois de la loi du 18 juillet
1991 organique du contrôle des services de police et des renseignements, en vue de
l’exercice de leurs missions de police administrative. Il en va de même pour ce qui
est des traitements de données à caractère personnel gérés en vue de leur mission
de police administrative, par d’autres autorités publiques qui ont été désignées par
arrêté royal délibéré en Conseil des Ministres après avis de la Commission de la
protection de la vie privée.




                                             19

                                    Cellule TIC de la DGPL
VI/ La déclaration à la Commission de la protection de la vie privée

En principe, la commune doit faire une déclaration auprès de la Commission de la
protection de la vie privée préalablement à la mise en œuvre d’un traitement
automatisé.

Cependant, ce principe doit être tempéré en ce qui concerne les communes.

D’une part, la loi prévoit que semblable déclaration ne doit pas intervenir lorsque le
traitement a pour seul objet la tenue d’un registre qui, par ou en vertu d’une loi, d’un
décret ou d’une ordonnance, est destiné à l’information du public et est ouvert à la
consultation du public ou de toute personne justifiant d’un intérêt légitime.

D’autre part, dans certains cas, la commune est exemptée de l’obligation de
déclaration. Ces cas sont repris dans les articles 51 à 62 de l’arrêté royal du 13
février 2001.

Enfin, la commune ne doit pas nécessairement faire une nouvelle déclaration parce
que le traitement se fait désormais par voie électronique. Si le traitement était déjà
organisé sur papier et avait fait l’objet d’une déclaration, il suffit de signaler que le
traitement se fait maintenant par voie électronique.

Par contre, lorsque la commune offre un nouveau service, elle doit le déclarer en
mentionnant :

      -   la date de la déclaration et, le cas échéant, la loi, le décret ou l’acte
          réglementaire décidant de la création du traitement automatisé ;

      -   la dénomination et l’adresse du responsable du traitement (la commune ou
          un service particulier) ;

      -   la dénomination du traitement automatisé ;

      -   les finalités du traitement ;

      -   les catégories des données qui sont traitées ;

      -   les catégories de destinataires à qui les données peuvent être fournie ;

      -   les garanties imposées aux tiers lorsque les données leur sont
          communiquées ;

      -   les moyens d’information des personnes concernées ;

      -   le service auprès duquel s’exerce le droit d’accès ;

      -   la période après laquelle les données ne peuvent plus être gardées,
          utilisées ou diffusées ;


                                             20

                                    Cellule TIC de la DGPL
      -   une description générale des mesures prises pour assurer la sécurité du
          traitement.

La Commission adresse dans les trois jours ouvrables un accusé de réception de la
déclaration. La Commission a le pouvoir de demander d’autres éléments
d’information.

Il s’agit par la suite de veiller à la conformité de ce qui est réalisé par le traitement
avec la déclaration. En cas de modification des finalités du traitement, il faut mettre à
jour la déclaration.

Quiconque le veut a le droit de consulter le registre des traitements automatisés de
données à caractère personnel qui est tenu auprès de la Commission.




                                            21

                                   Cellule TIC de la DGPL
Conclusion

Ainsi que le déclare d’emblée l’introduction, cet exposé portant sur le traitement des
données à caractère personnel ne se prétend pas exhaustif mais tente seulement
d’être le plus complet possible sur le sujet ; le but ultime de ce traité théorique étant
d’aider les communautés locales à rédiger leurs chartes d’utilisation du matériel
informatique communal dans le strict respect des normes légales.

Néanmoins, le contrôle de l’usage fait d’Internet et de la messagerie électronique par
les agents communaux s’apparente à un traitement de données à risque ; la
législation sur le sujet n’étant pas toujours très claire et opposant des intérêts
divergents qu’il s’agit pourtant de concilier. De la sorte, s’il devait malgré tout
subsister des questions restées sans réponse, la cellule TIC de la DGPL reste à
votre entière disposition afin d’y apporter une solution ; la personne de contact en
cette matière étant Monsieur Pierre Goffin (P.Goffin@mrw.wallonie.be ;
081/32.36.73). Par ailleurs, un exemple de charte informatique est également
disponible sur le site de l’Union des Villes et Communes de Wallonie.

Pour en terminer, bien que cette matière dépasse le cadre du traitement des
données à caractère personnel par les autorités communales pour se rapprocher du
droit d’auteur, insérer une clause dans la charte informatique développant les
dangers, pour la Ville, du « copier-coller » par les agents communaux pourrait
prévenir moult conflits et procès ; ceux-ci se résumant en définitive à une perte
d’argent.

De plus, en ce qui concerne l’utilisation des ordinateurs portables communaux à
domicile par les agents, lors de toute visite sur le Net, le pare-feu, ou firewall, du
réseau communal ne fonctionne pas. Dès lors, ces PC ne sont plus protégés des
virus. Une fois ces ordinateurs à nouveau branchés sur le réseau communal, ils
pourraient à leur tour infecter tout ce réseau. Voilà pourquoi une clause attirant
l’attention des agents concernés sur ce point serait certainement la bienvenue.




                                            22

                                   Cellule TIC de la DGPL
Sources

Arrêt de la Cour du Travail de Liège du 23 mars 2004.

Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992
relative à la protection de la vie privée à l’égard des traitements de données à
caractère personnel.

Avis N°08/2004 de la Commission de la protection de la vie privée du 14 juin 2004
concernant l’avant-projet de loi relatif aux communications électroniques.

Avis d’initiative N°10/2000 de la Commission de la protection de la vie privée du 3
avril 2000 relatif à la surveillance par l’employeur de l’utilisation du système
informatique sur le lieu de travail.

Charte informatique de la Ville de Marche-en-Famenne.

Code de bonnes pratiques en matière d’utilisation du matériel informatique de la
Région wallone.

Code pénal belge.

Constitution belge.

Convention collective de travail N°81 du 26 avril 2002 relative à la protection de la vie
privée des travailleurs à l’égard du contrôle des données de communication
électroniques en réseau.

Convention européenne des droits de l’homme.

Directive européenne n°95/46 du Parlement européen et du Conseil du 24 octobre
1995 relative à la protection des personnes physiques à l’égard du traitement de
données à caractère personnel et à la libre circulation des données.

e-PRIVACY.be : Protection des données en ligne : amélioration de la protection des
données dans les sites Web belges, un an après l’entrée en vigueur de la ‘nouvelle’
Loi Vie Privée, Katholieke Universiteit Leuven, Prof. Dr. Michel Walrave,
Département des Sciences de la communication, 2002.

Exemple de directives relatives à l’utilisation du courrier électronique et d’Internet au
sein de l’entreprise, Olivier Rijckaert, Droit et Nouvelles Technologies, juillet 2002.

Guide juridique relatif à la création et gestion d’un site Internet communal, Union des
Villes et Communes de Wallonie, CRID, 2000.

La protection du secret des courriers électroniques en Belgique : Aspects techniques,
Frédéric Colantino, ULG, 1décembre 2002

Loi du 21 mars 1991 portant réforme de certaines entreprises publiques
économiques.
                                            23

                                   Cellule TIC de la DGPL
Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des
traitements de données à caractère personnel.

Loi du 28 novembre 2000 relative à la criminalité informatique.

Note d’information de la Commission de la protection de la vie privée du premier
septembre 2001 sur la protection des données personnelles en Belgique.

Note d’information de la Commission de la protection de la vie privée du 24 mars
2003 concernant le marketing direct et la protection des données personnelles en
Belgique.

Note d’information de la Commission de la protection de la vie privée relative à la
collecte de données à caractère personnel sur Internet et les conditions minimales à
respecter par les responsables de sites Internet.

Pouvoir de contrôle de l’employeur et droits des salaries à l’heure d’Internet : les
enjeux de la cybersurveillance dans l’entreprise, Fabrice Fevrier, Droit et Nouvelles
Technologies, 4 octobre 2003.

Question parlementaire n°957 de M. Destexhe du 12 décembre 2000 concernant
l’utilisation du courrier électronique par les travailleurs.

Recommandation n° R (89) 2 du Comité des Ministres du Conseil de l’Europe aux
Etats membres sur la protection des données à caractère personnel utilisées à des
fins d'emploi, adoptée par le Comité des Ministres le 18 janvier 1989.

Réforme de la loi du 6 janvier 1978 : quelle protection des données personnelles
dans l’entreprise ?, Stéphanie Debuck, Droit et Nouvelles Technologies, 29
novembre 2004.

Séminaire du 24 novembre 2004 sur les questions juridiques liées à l’Internet, Didier
Gobert, Technocité, Hornu.

Séminaire du 1 décembre 2004 concernant les bonnes pratiques en matière
d’Intranet, DGPL, Jambes.

Service DGPL consulté : Stéphane Marnette, cellule institutionnelle.

Vie privée et communications électroniques : Une union faite de compromis ?, Me
Caroline Carpentier, Avocat au barreau de Bruxelles, Droit et Nouvelles
Technologies, 03 février 2004




                                           24

                                  Cellule TIC de la DGPL

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:2
posted:10/1/2012
language:French
pages:24