Docstoc

AVANT-PROPOS

Document Sample
AVANT-PROPOS Powered By Docstoc
					                                                                                                                    1.-




AVANT-PROPOS

1.          L'idée n'est pas neuve que le droit et la morale expriment les réalités sociales qui les ont
générés. Cette constatation a été particulièrement mise en relief par les philosophes du droit de
l'"Ecole sociologique", à une époque où justement, la révolution industrielle, puis économique et
sociale, imposait un renouvellement du droit, en même temps qu'elle faisait ressortir sous un aspect
nouveau les liens entre les constructions juridiques et les structures sociales.

             C'est une expérience juridique appréciable que les faits "bruts" imposent l'intervention du
législateur et, cette expérience est sans cesse renouvelée : les techniques électroniques ont permis la
prolifération des émetteurs radiophoniques, ce qui fit naître un peu partout des interventions
législatives destinées à mettre fin à l'anarchie et à la "guerre" des ondes; les progrès de la médecine
ont conduit de nombreux pays à abroger certaines dispositions pénales en matière d'avortement;
moins récemment, le développement de l'automobile contraignait les législateurs nationaux à
réglementer la circulation routière ... Aujourd'hui, les progrès en matière de génétique et de la vie, en
infiniment petit, font fleurir, un peu partout, projets et propositions de loi ...


2.           S'il convient d'admettre que les faits imposent l'intervention du législateur, les philoso-
phes de l'Ecole sociologique ont été trop loin en posant le postulat que les faits imposaient également
les solutions à apporter. Selon la thèse sociologique, en effet, le droit cherchant à constater,
procéderait selon une méthode scientifique, au lieu de se contenter de décisions relativement
arbitraires, d'ailleurs inadaptées à leur objet, qui est une réalité complexe et profonde, parce que
sociale1.

             Comme l'exprimait le Professeur Batiffol, la conséquence dépasse ce qu'autorisent les
prémisses et pour partir des faits évoqués, "combien de situations, par contrastes, laissent-elles le
juriste dans l'indécision sur la solution convenable ?"2.

             De plus, quand le juriste a l'impression que les faits paraissent parler clairement, est-il sûr
qu'il s'agisse là d'une simple constatation dénuée d'un jugement de valeur a priori ? Ainsi, le danger
des radiations atomiques pour les populations est un fait. Ce fait présuppose l'affirmation a priori
d'une valeur : l'intégrité des populations.

             La pratique montre que les situations de fait tolèrent le plus souvent plusieurs solutions et
qu'un choix subsiste toujours et on pourrait affirmer que, si la situation de fait ne tolère qu'une seule
solution, c'est parce que la conscience estime que la valeur en cause est telle que seule cette solution
peut être imposée.

            Dans cette optique, les valeurs, l'idéologie, l'éthique (dans son acception "science des
valeurs") sont prédominantes sans pour autant négliger l'"infrastructure" au sens marxiste du terme3.



1
  H. BATIFFOL, "Problèmes de base de philosophie du droit", Paris, 1979, p. 82.
2
  H. BATIFFOL, ibidem.
3
  Engels admettait "l'autonomie relative de la superstructure" par rapport à l'infrastructure : F. ENGELS, "Ausgewählte
briefe", Dietzverlag, Berlin, 1953, lettre à Conrad Schmidt du 27 oct. 1980, p. 508.
                                                                                                      2.-


3.            Il est incontestable que les faits dictent le droit dans la mesure ci-dessus précisée. On
pourrait toutefois longuement décrire le circuit des effets récurrents des évolutions des techniques et
du droit, de l'évolution des données matérielles et de l'idéologie.

            L'évolution des techniques médicales est un exemple frappant de ces effets récurrents.
Ainsi, on a assisté à la naissance de prothèses diverses. Le droit a reconnu se donner brut, soit dans le
cadre d'une sécurité sociale relevant du secteur public, soutenue par l'idée de solidarité, soit dans le
cadre d'assurances privées basées sur le principe de la compensation des risques. Cette reconnais-
sance par le droit a permis l'accès du plus grand nombre aux instruments médicaux sophistiqués et, la
généralisation de l'utilisation de ces derniers a, de son côté, rendu possible, en raison des effets
bénéfiques produits sur les firmes constructrices, l'étude sans cesse renouvelée d'améliorations
techniques. L'effet de circuit est évident, direct et on peut affirmer que la haute technicité en cette
matière n'aurait jamais été atteinte sans la consécration juridique de l'idée de solidarité sociale, ou
sans le mécanisme de l'assurance.


4.          Il n'est pas aisé de systématiser les effets de l'évolution technologique sur l'ordre
juridique. Les solutions que le droit donne aux problèmes suscités par l'évolution technologique
revêtent en effet une grande diversité et varient selon la technique en cause.


5.          Face à l'apparition d'un phénomène technique nouveau, le législateur peut intervenir en
créant des règles nouvelles, en rapport direct avec le phénomène ou ses conséquences.

           L'adoption de ces règles est dictée soit par le souci de parer aux dangers présentés par la
technique nouvelle, soit d'en régler les effets considérés comme néfastes.

             Ainsi, l'avènement de l'automobile a fait naître des normes nouvelles relatives à la
circulation, des normes nouvelles relatives aux aptitudes à la conduite (permis de conduire, statut des
auto-écoles, etc) et à la sécurité des véhicules eux-mêmes ("contrôle technique"); l'assurance de la
responsabilité civile a été rendue obligatoire ...

            C'est un souci similaire de parer aux dangers présentés par la technique nouvelle, qui a
motivé les législateurs de nombreux Etats à établir des normes protectrices pour la vie privée des
citoyens face aux traitements informatiques des banques de données à caractère personnel.


6.           Toute application technique nouvelle ne présente, et c'est heureux, pas que des aspects
négatifs et le législateur intervient également pour favoriser la généralisation de cette technique
lorsqu'elle s'avère bénéfique.

            Ainsi, l'impact économique présenté par l'existence de voies de communication sûres et
rapides a fait naître des normes nouvelles diverses relatives à la voirie (autoroutes, expropriations,
servitudes, ...) favorisant les développements de l'automobile, nonobstant ses dangers pour la vie
humaine et pour l'environnement en général.

           Ce sont également des considérations économiques qui guident les gouvernants à imposer
(ou simplement à favoriser) à leurs administrations et, dans certains cas, aux particuliers eux-mêmes,
notamment pour leurs rapports avec les administrations, l'utilisation des techniques informatiques et
télématiques, nonobstant les dangers présentés par ces dernières pour la vie privée.
                                                                                                                      3.-


7.          L'apparition d'une technique nouvelle peut également avoir pour effet d'entraîner une
adaptation de normes existantes présentant un rapport direct avec le phénomène ou ses conséquences.

             Avec l'avènement de l'automobile, a été créée une présomption de responsabilité pénale à
charge du titulaire de la plaque d'immatriculation, à l'encontre du principe général de droit pénal selon
laquelle les peines sont personnelles et encourues par l'auteur de l'infraction 4. Ainsi, encore, ce sont
les accidents de la circulation routière qui ont permis l'évolution considérable de la jurisprudence de
ces soixante dernières années en matière de responsabilité civile, ceci "grâce", si l'on peut employer
ce terme, à la fréquence des litiges.

              Les techniques informatiques nouvelles constituent également un puissant moteur pour
l'adaptation des normes anciennes. A propos des infractions aux règles afférentes aux limitations de
vitesse, la machine électronique n'a-t-elle pas reçu, dans la plupart des pays, qualité pour constater des
délits ? Les techniques informatiques permettent de créer ou de transmettre des écrits à distance,
bouleversant et mettant directement en cause l'existence traditionnelle de la présence directe de la
plume sur le papier pour faire de ce dernier une preuve, ou un acte de procédure, au sens du droit civil
ou judiciaire classique; à côté des oeuvres littéraires, scientifiques et artistiques créées par l'homme,
les machines électroniques dessinent, chantent, écrivent, élaborent des théories scientifiques ... Plus
de cent ans après la promulgation, dans notre pays, du texte qui régissait les droits des auteurs, texte
qui fut à l'époque considéré comme le plus progressiste d'Europe en la matière5, le législateur s'est vu
contraint d’élaborer de nouveaux textes pour régir ces créations d'un type nouveau 6.

            L'évolution technologique impose donc une adaptation constante des textes normatifs et
cette adaptation se fait avec plus ou moins de rapidité ou de lenteur selon les Etats concernés.


8.          L'apparition d'une technologie nouvelle ne fait pas naître seulement des normes qui sont
en rapport direct avec elle.

           Lorsque cette technique entraîne de profonds changements sur la vie quotidienne, sur la
manière d'être, de penser, des normes nouvelles s'imposent ou des normes anciennes doivent être
adaptées pour répondre aux conditions nouvelles de vie ainsi apportées.

             L'automobile a permis des communications rapides; elle a facilité le passage des
frontières; elle a offert de multiples possibilités pour échapper à la constatation des infractions ...

             Les effets que l'automobile et, de façon générale l’évolution des moyens de locomotion, a
induits sur les délais légaux, les règlements sur l'émigration, la réglementation du statut des étrangers,
les règles de procédure criminelle, les normes relatives à l'information policière sont certains, même
s'ils ne sont pas directement perceptibles.

             L'informatique et la télématique n'ont certainement pas encore acquis dans notre vie
quotidienne une place aussi prépondérante que l'automobile; les modifications à nos conditions de vie
qu'elles apportent maintenant et qu'elles engendreront dans le futur, apparaissent toutefois essen-
tielles. Ces modifications concernent toutes nos communications avec autrui et avec l'autorité, toutes
4
  Sur cette présomption, consultez Cass. 7 fév.1979, Pas., I, 671.
5
  Nous visons ici la loi du 22 mars 1886 sur le droit d'auteur.
6
  Loi du 10 janvier 1990 concernant la protection juridique des topographies de produits semi-conducteurs; loi du 30 juin
1994 transposant en droit belge la directive européenne du 14 mai 1991 concernant la protection juridique des
programmes d'ordinateur.
                                                                                                                        4.-


les méthodes d'acquisition du savoir et l'enseignement, le travail, les loisirs ... Devant l'amplitude de
ses effets, il est certain que l'informatique et la télématique induiront sur l'ensemble des normes
aujourd'hui en vigueur des effets profonds, allant bien au-delà d'une simple réglementation du
phénomène informatique lui-même.


9.          L'ampleur que ces techniques a déjà prise a été telle que peu de domaines du droit peuvent
l'ignorer. L'informatique a fait naître ainsi depuis une trentaine d'années une nouvelle discipline
juridique, le "droit de l'informatique" que les Anglo-saxons ont appelée dès l'origine "computing
law"7.

            Cette nouvelle discipline regroupe la partie du droit qui a trait à l'informatique, cette
dernière pouvant être définie comme la science qui étudie la collecte, le stockage, le traitement, la
réunion, la distribution et la communication de données au moyen de systèmes automatisés".

             Ainsi cernée, cette discipline touche à tous les domaines du droit : droit des contrats, droit
de la responsabilité, droits intellectuels, droit pénal, droit bancaire, réglementation relative à la
preuve, droit comptable et fiscal, droits de l'homme, etc, le tout sous-tendu avec plus ou moins
d'acuité selon les domaines par de nouveaux problèmes éthiques ou moraux.

            A l'occasion des quelques trente heures qui nous sont laissées, nous allons tenter de
donner un aperçu de certains problèmes posés aux juristes par les technologies de l'informatique et de
la télématique et leurs applications, sans toutefois prétendre donner à ce sujet une vue d'ensemble
exhaustive.


10.          Mais avant d'aborder les diverses applications du droit de l'informatique, ne faut-il pas, au
titre d'un avant-propos, pressentir une question fondamentale : la modification des systèmes
juridiques des pays occidentaux, sous l'influence de l'informatique et de la télématique, n'est-elle pas
révélatrice d'un phénomène profond, d'un mécanisme angoissant : la modification de notre système
politique et social ?

             La démocratie suppose l'existence d'un droit forgé autour de "l'idée de limitation du
          8
pouvoir" , du principe de la soumission des actes de l'autorité à la loi, émanation des représentants de
la Nation élue démocratiquement, et du rejet de la "raison d'Etat" en tant que mobile de l'action
administrative. C'est la soumission des actes de l'autorité aux règles édictées par le législateur qui
caractérise les relations de pouvoir d'un "Etat de droit".

            Or l'informatique est une technique qui se situe elle-même au cœur des relations de
pouvoirs : pouvoirs du détenteur des fichiers nominatifs automatisés sur les individus fichés; au plan
du système politique et social, pouvoirs des groupes dotés d'importants moyens informatiques et
souvent, en même temps, d'un monopole de fait ou de droit sur les informations, leur collecte et leur
diffusion, au détriment de ceux qui sont démunis9.
            L'informatique offre donc la possibilité d'affecter les équilibres de pouvoirs définis par les
droits constitutionnels occidentaux et notamment de modifier le schéma traditionnel des relations
7
  G. VANDENBERGHE, "Informatica en recht - een overzicht", T.P.R., 1981, p. 275 et svtes; P. SEIPEL, "Computing
law, perspective on a new legal discipline", Stockholm, 1977.
8
  H. MAISL, "La modification du droit sous l'influence de l'informatique : aspects de droit public", Sem.Jur., 1983, D., n°
3101.
9
  H. MAISL, ibid.
                                                                                                                               5.-


entre les pouvoirs organisés de l'Etat ou des relations entre l'Administration et les administrés,
relations dont les principes de fonctionnement remontent, pour notre pays, à l'adoption de la
Constitution et ressortissent des idées de 1789.

            En ce qui concerne les relations entre l'Etat et les administrés, la rupture d'équilibre trouve
principalement son origine dans l'intervention de l'informatique au niveau du processus décisionnel
de l'Administration. Il est devenu usuel, pour l'Administration investie dans certains cas d'un pouvoir
discrétionnaire de codifier, notamment au moyen d'outils informatiques, à usage interne, ses motifs
de décision, ses orientations générales pour l'exercice de son pouvoir ...10.

             Si l'Administration se réfère exclusivement aux résultats du traitement informatique dans
son processus décisionnel, elle en vient à abandonner totalement son pouvoir discrétionnaire dont le
corollaire lui impose la vérification de la nécessité éventuelle d'une dérogation à ses normes internes
et l'examen des particularités de toute situation... c'est l'abandon de toute réflexion humaine dans les
rapports avec les administrés11.

            Deux articles de la loi française du 6 janvier 1978, "relative à l'informatique, aux fichiers
et aux libertés", ont justement imposé à l'Administration l'exigence d'une réflexion humaine
lorsqu'une décision est prise à la suite d'un traitement informatique et ont contraint le pouvoir à
informer les administrés des critères retenus.

             Aux termes de l'article 2, alinéa 2 de cette loi, "aucune décision administrative ou privée
impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un
traitement automatisé d'informations donnant une définition du profil ou de la personnalité de
l'intéressé". Cette méthode qui finalement impose la consultation intégrale de ce que l'on dénomme
aujourd'hui "le dossier", voire une consultation directe de l'intéressé lui-même, est strictement
interdite pour la prise des décisions de justice12.

              Aux termes de l'article 3 de la même loi "toute personne a le droit de connaître et de
contester les informations et les raisonnements utilisés dans le traitement automatisé dont les résultats
lui sont opposés". Illustrant cette disposition, le Professeur Maisl a envisagé l'hypothèse d'un tracé
d'autoroute qui, défini par ordinateur, entraînait un certain nombre d'expropriations. Les dispositions
légales précitées donnent aux expropriés le droit de connaître le programme de l'ordinateur. En effet,
il serait grave que l'usager, le citoyen, l'administré reçoivent simplement le résultat brut des calculs et
méthodes de l'ordinateur, sans avoir les moyens de contrôler comment ces résultats ont été obtenus et
surtout à partir de quelles données13.

             En France, ces dispositions ont été utilement complétées par les dispositions d'une
seconde loi du 17 juillet 1978 "portant diverses mesures d'amélioration des relations entre l'Admi-
nistration et le public et diverses dispositions d'ordre administratif, social et fiscal". Cette loi garantit
le droit de toute personne à l'information en posant le principe de la liberté d'accès aux documents
administratifs à caractère non nominatif et prévoit que "les documents administratifs sont de plein
droit communicables aux personnes qui en font la demande (...)"14.

10
   Ces directives internes sont, la plupart du temps, tenues soigneusement pour confidentielles par leurs auteurs; cf.
l'exemple donné par P. QUERTAINMONT, "Droit administratif de l'économie", A la rencontre du droit, p. 214.
11
   Tel est le cas des "décisions fiscales automatisées", cf. notre note "La fiscalité et l'informatique ... vers la naissance d'un
droit fiscal de l'informatique", R.G.F., 1984, p. 75 et svtes.
12
   Article 2, alinéa 1er.
13
   H. MAISL, ibid.
14
   Article 2 de la loi du 17 juil. 1978.
                                                                                                              6.-




             Dans notre pays, il aura fallu attendre près de 20 ans pour que ces exigences minimales
soient (de façon minimale) rencontrées.

             La loi15 exige dorénavant une motivation formelle des actes administratifs, c'est-à-dire
"l'indication, dans l'acte des considérations de droit et de fait servant de fondement à la décision".

          Par ailleurs, la publicité des actes administratifs est aujourd'hui la règle pour les
documents des autorités fédérales, régionales, communautaires et locales.


11.         Mais plus angoissantes que la problématique de l'introduction de l'informatique au niveau
des relations de l'Etat et des administrés, sont les conséquences de l'informatisation sur les régimes
politiques et sur le fonctionnement même de la démocratie, qui font s'interroger le juriste, le
sociologue et le politologue.

            Depuis les idées de la révolution française, la démocratie ne se conçoit qu'à partir d'un
schéma de division du pouvoir aux fins d'éviter qu'il ne dégénère en absolutisme et en arbitraire. Or,
on constate qu'aujourd'hui "l'informatique conduit à une nouvelle distribution du pouvoir, qu'elle
oblige à repenser le contrôle de pouvoir"16.

             La concentration des moyens informatiques dans les mains des exécutifs nationaux ou
régionaux crée, dans notre pays, insensiblement, des glissements institutionnels au profit de ces
exécutifs et ce au détriment des assemblées délibérantes; la concentration ou l'excellence des moyens
informatiques auprès de certains ministères ou exécutifs crée, également, insensiblement, des
déséquilibres au sein ou entre ces exécutifs eux-mêmes.

           Tout ceci devrait conduire à repenser la traditionnelle répartition des pouvoirs ou à tout le
moins des relations entre les pouvoirs. Il faut revoir le contrôle parlementaire, voire instituer un
contrôle démocratique de base...

              Certains ont pu même se demander si le développement des moyens de communication et
de traitement de l'information n'a pas, à plus ou moins brève échéance, pour conséquence d'enlever au
système représentatif toute utilité ou tout rôle social, à partir du moment où les gouvernants sont à
même de communiquer directement avec les gouvernés... De là à reprendre l'utopie de la démocratie
directe, il n'y a évidemment qu'un pas.

             Comme l'a exprimé le Professeur Maisl17, "l'informatique obligera à redéfinir la place de
l'Etat-Nation par le bas et par le haut et à trouver l'unité sociale appropriée. Par le bas : quels rapports
l'Etat-Nation nouera-t-il grâce à la télématique avec les communautés de base ? Par le haut :: quelles
relations les Etats-Nations entretiendront-ils dans une société internationale automatisée, quel nouvel
ordre de l'information se mettra en place ?".




15
   Articles 2 et 3 de la loi du 29 juillet 1991 relative à la motivation formelle des actes administratifs.
16
   H. MAISL, ibid.
17
   Ibid.
                                                                                                          7.-




INTRODUCTION GÉNÉRALE


I. EXISTENCE DU DROIT DE L'INFORMATIQUE

12.          L'évolution actuelle des normes face au phénomène informatique justifie-t-elle
l'affirmation d'une discipline juridique spécifique, le droit de l'informatique, qui prendrait place aux
côtés des catégories plus classiques, droit civil, droit commercial, droit pénal, droit administratif,
droit fiscal, droit constitutionnel, etc. et, justifierait la création de chaires qui lui seraient intégrale-
ment consacrées ?

             L'existence même d'un droit de l'informatique n'est aujourd'hui plus contestée. Il tient en
effet de nos jours une place non négligeable dans la littérature juridique, l'enseignement universitaire,
les textes normatifs internes et internationaux, ainsi que dans les décisions des tribunaux.

            Sa naissance, dans notre pays, remonte à près de trente ans. Le premier colloque belge
qui, à notre connaissance, y fut consacré, fut organisé en mai 1971 par l'Institut belge des sciences
administratives, sous le titre "Les aspects institutionnels, juridiques et déontologiques de l'informa-
tique". Ce colloque abordait déjà des thèmes essentiels tels que les répercussions politiques,
institutionnelles et administratives du développement de l'informatique, la problématique du respect
de la vie privée face à l'informatique, le droit à l'information, la déontologie des informaticiens, la
protection des données, etc.

            Quelques mois après ce colloque, un groupe de sénateurs appartenant aux diverses
familles politiques, décidait de déposer une proposition de loi, s'inspirant d'un article paru dans le
Journal des Tribunaux le 3 juillet 1971 sous la plume de Claude Serge Aronstein et intitulé "Essai
pour contribuer à la survie de notre civilisation". Dans cet article, l'auteur formulait différentes
suggestions sur une législation à prendre en matière de protection de la vie privée face à l'informa-
tique18.

             Cette première proposition de loi, qui ne comportait pas moins de 27 articles répartis en
six chapitres, déposée le 9 juillet 1971, s'intitulait proposition de loi "relative à la protection de la vie
privée et de la personnalité". Par cette proposition, leurs auteurs, MM. De Baeck, Herbiet et Pierson
énonçaient, pour la première fois dans notre pays, dans un texte normatif, les principes devant régir le
contrôle des informations traitées par des moyens électroniques ou autres (droit d'accès, droit de
recours en cas d'urgence, création d'une juridiction spécialisée, la "Chambre de contrôle de
l'électronique", ...)19.


13.         Depuis lors, les propositions et projets de loi, en cette matière, se sont succédé jusqu'à
l'adoption de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des
traitements de données à caractère personnel.

          Entre-temps diverses lois ou réglementations internes avaient vu le jour, portant sur des
banques de données particulières ou d'autres aspects de la révolution informatique, aspects trop
18
     J.T., 1971, p. 453 et svtes.
19
     Doc. Parl., Sén., session 1971_1972, n° 142.
                                                                                                     8.-


rapidement et trop sommairement abordés : réglementation du registre national des personnes
physiques, réglementation d'autres banques de données publiques ou semi-publiques, réglementation
nouvelle des statistiques publiques, réglementation de la comptabilité automatisée, réglementation de
la propriété intellectuelle en matière de topographie des semi-conducteurs, etc.

             Sur le plan international, divers organismes internationaux se sont livrés à des travaux
dont l'importance mérite une attention plus que particulière : le Conseil de l'Europe et l'OCDE en ce
qui concerne le traitement des données nominatives et le problème de la fraude informatique, la
Commission des Nations Unies pour l'Europe (ONU-CEE) en matière de "facilitation des procédures
du commerce international", et évidemment aussi l'OMPI et l'UNESCO en matière de propriété
intellectuelle ...

              L'importance des textes normatifs internes et internationaux est donc à présent telle que
l'existence du droit de l'informatique ne peut être niée. Cela, sans compter, que les tribunaux et les
arbitres ont dû, de leur côté, trancher de nombreux problèmes en matière de contrats et de banques de
données informatiques, que les travaux universitaires et les colloques se sont multipliés, que des
revues spécialisées ont vu le jour telles que "Expertises des systèmes d'information"20, la "Revue de
droit de l'informatique", devenue la "Revue de droit de l'informatique et des télécoms"21, pour ne citer
que quelques revues belges et françaises.

          Les analyses ponctuelles, les synthèses et les manuels de droit de l'informatique et des
télécommunications sont actuellement légion, envisageant chacun des aspects du droit influencé par
le phénomène informatique.




20
     Edition Celog.
21
     Edition des Parques et Story Scientia.
                                                                                                                9.-




II. TENTATIVE DE DÉFINITION DU DROIT DE L'INFORMATIQUE PAR SON OBJET

14.         On a, depuis la seconde moitié du 20ème siècle, souvent assisté à l'affirmation de
l'existence de branches particulières du droit. Ainsi a-t-on parlé de droit de la construction et de
l'urbanisme, de droit de l'environnement, de droit bancaire, de droit des assurances, du droit de la
chasse, du droit de l'énergie, etc., toutes branches particulières par la matière économique et sociale
qu'elles concernent.

            Le droit de l'informatique peut, à première vue, être comparé à une de ces subdivisions
par secteur social ou économique du droit.

            Cela n'est toutefois pas sûr. En effet, les technologies nouvelles de l'information ne
connaissent pas de secteurs ou de matières sociales, économiques ou politiques, dans lesquels elles
n'ont pas de répercussion et toutes les branches traditionnelles du droit sont aujourd'hui affectées par
des phénomènes comme la dématérialisation des biens et la disparition du papier22.

            Cette particularité donne, plus qu'à toute autre discipline, au droit de l'informatique, le
caractère d'un droit hétérogène ou éclaté, d'un "droit-carrefour", dont la plupart des règles sont celles
du droit commun des diverses disciplines qu'il pénètre ou avec lesquelles il interfère23.

              Dans cette optique, le droit de l'informatique n'aurait aucune spécificité.


15.         Il est, à notre avis, difficile de nier toutefois une certaine spécificité 24 au droit de
l'informatique.

            D'abord, le droit de l'informatique possède, dans notre pays, comme dans de nombreux
autres, des textes normatifs qui lui sont propres. Songeons notamment à la réglementation des
banques de données à caractère personnel, à la réglementation des droits intellectuels sur les biens
informatiques et sur les droits nés de l'informatique, à la réglementation de certains actes délictueux
commis à propos des outils informatiques, etc.

            Ensuite, par la haute technicité qui la caractérise, l'informatique a permis d'affiner de
façon remarquable les règles du droit commun (droit privé, droit pénal, droit public, etc) qu'on
entendait lui appliquer. Comme l'ont fait remarquer J. Huet et H. Maisl25, le droit privé des contrats
est à cet égard significatif puisqu'on y voit la doctrine et la jurisprudence "définir des obligations
nouvelles, de collaboration et de conseil, qui trouvent à s'illustrer, plus qu'ailleurs, dans ce domaine
hautement technique où elles permettent d'établir entre les parties une relation mieux équilibrée".

             Enfin, le droit de l'informatique procède à une fusion, parfois difficile, de règles nouvelles
et de règles de droit commun.




22
   J. HUET et H. MAISL, "Droit de l'informatique et des télécommunications", Paris, Litec 1989, p. 15, n° 10.
23
   J. HUET et H. MAISL, op. cit., p. 17 n° 11.
24
   Ce qui ne s'identifie toutefois pas avec l'"autonomie".
25
   Op. cit., p. 19, n° 12.
                                                                                                  10.-


            On trouve un exemple remarquable de cette fusion dans la législation relative au registre
national des personnes physiques. Cette loi, nous le verrons26, attribue à chaque individu résidant en
Belgique, un numéro identifiant exclusif pour ses rapports avec l'autorité, les organismes parastataux
et de nombreux interlocuteurs privés. L'échange réglementé des données entre les différents maîtres
de fichiers que l'usage de ce numéro identifiant permet, ne peut toutefois être opéré que dans le
respect des principes légaux du droit commun administratif27.




26
     Infra, n°s 43 et svts.
27
     Infra, n° 61.
                                                                                                                    11.-




III. CARACTÈRES DU DROIT DE L'INFORMATIQUE

16.         Le droit de l'informatique est, avons-nous dit, un droit hétérogène par les disciplines
juridiques qu'il concerne.

            Hétérogène, il l'est également par ses sources qui se révèlent tant nationales qu'interna-
tionales. Les travaux du GATT, de l'OCDE, de l'UNESCO, de l'OMPI, de l’Union Européenne, du
Conseil de l'Europe, sont révélateurs de cette dimension.

             Hétérogène, le droit de l'informatique l'est encore par les autorités qui sont chargées de
l'appliquer. A côté des autorités et des juridictions du droit commun, il n'est pas d'Etat disposant
d'une législation un tant soit peu développée en la matière qui ne possède pas d'autorité spécifique
chargée de l'application de l'une ou l'autre norme propre à la matière informatique, de donner des avis
sur cette matière, ou de définir les concepts normatifs ou une déontologie spécifique. En Belgique, ce
rôle est rempli, notamment, dans les limites de ses attributions, par la Commission de la protection de
la vie privée.


17.          Outre les caractères ci-dessus, le droit de l'informatique est, par excellence, un droit
évolutif et il doit évidemment ce caractère au fait qu'il vient encadrer une technologie en évolution
permanente.

           Des bouleversements importants sont encore à attendre dans notre pays qui, jusqu'à
présent, contrairement à la France 28 et à la plupart des pays anglo-saxons, s'est ouvert moins
rapidement à la télématique de masse (le "Réseau") qui suscite des problèmes juridiques divers.




28
  Nous visons ici l'immense succès rencontré par l'expérience Minitel, devenu en France, avant internet, aussi populaire
que le téléphone.
                                                                                                                       12.-




CHAPITRE I : INFORMATIQUE ET DROIT AU RESPECT DE LA VIE PRIVÉE - PROTECTION
             DE L'INDIVIDU CONTRE LES TRAITEMENTS DE DONNÉES À CARACTÈRE
                     PERSONNEL




Section 1 :       Notion et fondement du droit à la vie privée

18.          La Constitution belge de 1831, conformément à la tradition individualiste, a conçu les
droits de l'homme comme des barricades permettant à l'individu de résister aux entreprises abusives
du pouvoir et elle institua au profit des individus des "libertés-résistances"29.

            Les fondements historiques et sociologiques de cette tendance sont connus : le pouvoir
royal absolu avait obnubilé le libéralisme du XIXe siècle par l'idée que l'Etat abusait naturellement de
ses pouvoirs et qu'il fallait donner à l'individu le moyen de résister contre ces abus. Le libéralisme du
19ème siècle avait ainsi reconnu aux gouvernés un "domaine d'action réservé", "fermé aux
gouvernants" : les "libertés limites"30, telles que le droit à la sécurité, le droit à l'inviolabilité du
domicile, le droit au secret des lettres, ...

             Corrélativement, le Constituant de 1831 reconnaissait à l'individu des droits dans la
sphère de l'Etat afin de lui permettre d'exercer une action contestataire ou d'opposition : les
"libertés-oppositions", pour reprendre l'expression du Professeur Velu, parmi lesquelles la liberté de
la presse, la liberté de réunion, la liberté de penser, la liberté d'association.

              La naissance du prolétariat ouvrier montra le caractère artificiel de ces reconnaissances
formelles.

             C'est dans le but de mettre fin à cette expérience sociale douloureuse, que la démocratie
économique et sociale de la première moitié du 20ème siècle a fait de l'interventionnisme étatique le
garant de l'exercice concret des droits de l'homme reconnus antérieurement, mais encore a créé de
nouveaux droits fondamentaux permettant à l'individu de résister contre l'action des particuliers et
notamment des plus puissants sur le plan économique. Ces droits nouveaux étaient désignés sous le
vocable des "droits de l'homme de la seconde génération" ou encore des "droits économiques et
sociaux" : droit à la sécurité d'existence, droit à la sécurité sociale, droit au travail, droit à la santé,
droit à l'éducation et plus généralement à la culture.

            Depuis la seconde moitié du siècle, on assista, en contrepartie, à l'affirmation de
nouveaux droits de l'homme. Ces droits sont, pour reprendre l'expression imagée du Professeur Velu,
la conséquence des "méfaits des bienfaits du progrès"31; parmi ces nouveaux droits, on trouve le droit
au respect de la vie privée.




29
   J. VELU, "Réflexions sur les perspectives d'avenir du droit positif dans les domaines des droits de l'homme", J.T., 1982,
p. 121 et svtes.
30
   J. VELU, ibid.
31
   "Le droit au respect de la vie privée", Namur, 1974, p. 8.
                                                                                                                              13.-


19.         La notion de vie privée est connue des juristes des pays occidentaux sous des termino-
logies variées : "vie privée", "for intérieur", "sphère intime", "domaine personnel", "droit de la
personnalité", "privacy", "sphere of private life", ...

            La notion de vie privée est connue, dans notre droit, depuis la seconde moitié du XXe
siècle. Le droit à la vie privée est en effet reconnu par l'article 8 de la Convention européenne de
sauvegarde des droits de l'homme du 4 novembre 1950. Cet article confère à chacun un droit au
respect de sa "vie privée" et familiale, de son domicile et de sa correspondance.

             Consacré postérieurement par différents textes de droit interne 32 , il fallut attendre
l'avant-dernière révision de la Constitution antérieure à la coordination de celle-ci pour voir insérer
dans la loi fondamentale de notre pays la disposition qui devint l'article 22 de la Constitution :

             "Chacun a droit au respect de sa vie privée et familiale, sauf dans les cas et conditions
fixés par la loi.

               La loi, le décret ou (les ordonnances régionales) garantissent la protection de ce droit".

             Ni la loi ni la Constitution ne définissent toutefois ce qu'il y a lieu d'entendre par "vie
privée" et rares sont les décisions des tribunaux ou les auteurs de doctrine qui tentent d'en donner une
définition, mais c'est peut-être parce que cette notion échappe tout simplement à toute définition
satisfaisante.

             La seule approche concevable d'une définition de la vie privée est l'établissement d'une
liste des différentes valeurs que cette notion recouvre dans l'ordre juridique et, incontestablement, le
respect du droit à la vie privée recouvre la nécessité d'une protection contre la collecte, l'encodage, le
stockage, le traitement et la diffusion d'informations sur les individus, lorsqu'il apparaît que ces
opérations entraînent ou sont susceptibles d'entraîner une immixtion dans le domaine privé qui paraît
intolérable aux intéressés.




Section 2 :        Dangers de l'informatique

20.         Les dangers de l'informatique sur la vie privée des citoyens sont nombreux et profonds.
Une littérature abondante leur est consacrée dans des ouvrages et revues spécialisées, ainsi que dans
la presse quotidienne qui dénonce, de façon courante, les abus engendrés par l'informatique33.

           L'existence de ces dangers n'est-elle pas incontestable, lorsque l'on sait, par exemple, que
chaque belge figure dans plusieurs milliers de fichiers privés qui servent à fournir à ceux qui les



32
   Cf., notamment, l'article 24, quinquies, de la loi du 4 juillet 1962 relative à la statistique publique introduit par une loi du
1er août 1985.
33
   Voyez l'abondante bibliographie citée par C. S. ARONSTEIN "De la grande urgence d'ordonner les ordinateurs et de la
futilité des demi-mesures", actes du colloque "Informatique et droit en Europe", ULB, 1984; idem "De l'urgence
d'ordonner les ordinateurs", J.T., 1980, p. 161 et svtes; adde, la bibliographie des divers intervenants au colloque
"Banques de données - entreprises - vie privée", sept. 1980, Namur, CIEAU-CREADIF, 1980.
                                                                                                                    14.-


tiennent, à leurs associés ou à leurs clients qui en font la demande une image assez précise, mais fort
incontrôlée de notre personne34.

             Ce sont évidemment, au premier chef, les banques de données à caractère personnel, qui
sont attentatoires à la vie privée. Il s'agit d'ensembles de fichiers automatisés donnant des informa-
tions les plus souvent factuelles mais également numériques, sur les individus.

                Ces informations sont en règle générale immédiatement utilisables lors de l'interrogation
           35
du fichier .

            Dans ces banques de données, les dangers pour la vie privée existent à toutes les phases
du traitement et de l'utilisation et ce, depuis la recherche des données jusqu'à leur destruction
éventuelle.


21.             Au niveau de la collecte des informations, la vie privée est déjà mise gravement en péril.

             La généralisation de l'informatique a fait, et ce n'est un secret pour personne, que chacun
des aspects de notre vie figure dans l'un ou l'autre fichier. Les hôpitaux et les médecins ont
informatisé les dossiers médicaux, les employeurs leurs dossiers concernant les membres de leur
personnel et leurs clients; la sécurité sociale a informatisé les données des assurés sociaux et des
bénéficiaires; les partis politiques, les syndicats et les cercles ont fiché leurs adhérents; les opérateurs
internet leurs visiteurs ... Aucun aspect de notre vie n'échappe donc aux fichiers informatisés.

            Au niveau même de la collecte des données, les dangers d'erreurs et d'abus sont
nombreux. On peut collecter, volontairement ou involontairement, non des données vraies, mais des
ragots, voire des mensonges délibérés36.

            Les méthodes de collecte engendrent elles-mêmes souvent des erreurs (questionnaires
inadéquats ou mal compris, réponses inadéquates ou mal comprises,informations subtilisées à l’insu
de leur possesseur ou de leur destinataire ...). Certaines collectes peuvent s'avérer par elles-mêmes
dangereuses, voire franchement illicites (songeons aux abus d'autorité ou de monopole économique
ou technique, commis sciemment ou non lors de la collecte de renseignements).


22.             La transcription des données présente également de nombreux dangers.

            Ainsi, une toute petite faute (humaine), une simple faute de frappe sur un clavier, relative
à un numéro d'une plaque minéralogique d'un véhicule a failli causer la mort d'un jeune automobiliste
français, victime de l'"ordinateur central de la police". Cet ordinateur avait, en raison, semble-t-il,
d'une faute de transcription de données, fourni de fausses informations à des participants à un barrage
routier ...

                Le jeune homme fut grièvement blessé par les forces de l'ordre !


34
   "Le Soir", du 4 juil. 1983, "Quand la vie privée devient un simple produit commercial".
35
   Le "fichier" est un ensemble de données ou d'enregistrements ayant entre eux un lien logique et traité comme un tout.
Un fichier est donc un instrument de stockage des données sur un support afin de pouvoir en permettre l'utilisation
ultérieure.
36
   Ainsi, Le Soir du 4 juil. 1983 faisait déjà état d'informations vendues pour un paquet de cigarettes.
                                                                                                      15.-


            Cette faute, ridicule en soi, fut justement qualifiée de "grave erreur" par le Ministère
français de l'Intérieur37.

             Combien, depuis que les banques de données informatiques existent, y a-t-il eu de ces
petites fautes, classant comme déserteurs des héros de guerre, classant parmi les débiteurs récalci-
trants de riches et honorables bourgeois, classant comme activistes dangereux de paisibles et
honnêtes citoyens ?


23.         Au niveau de l'application, l'ordinateur commet également des erreurs. Bien entendu,
l'ordinateur peut faire l'objet d'erreurs humaines, être l'objet de fraudes, d'infractions, mais il peut
également "se tromper tout seul", suite à des événements extérieurs, tels que la chaleur ou l'humidité
ou des erreurs aléatoires frappant le contenu de la mémoire, par exemple.

           L'ordinateur ne travaille que d'après les directives du programme, qui est l’œuvre de
l'homme et ce dernier peut involontairement ou volontairement lui imposer des erreurs.

             On cite souvent pour illustrer les dangers de l'informatique au niveau de l'application,
l'incident du citoyen anglais, choqué d'avoir reçu de sa banque la sommation de payer d'urgence le
solde de son compte : la somme de 0 £ !

            L'incident ne prête qu'au sourire. Peut-on encore sourire à l'énoncé des circonstances
suivantes ? Le samedi 10 novembre 1979, un ordinateur de la Défense des Etats-Unis, à la suite d'un
processus resté jusqu'à présent inexpliqué, a fait croire faussement pendant une dizaine de minutes
qu'un missile soviétique se dirigeait vers les Etats-Unis.

            A la suite de cette erreur de détection, l'ordinateur a poursuivi l'application de son
programme et a transmis les ordres prévus à plusieurs centres de défense stratégique. Une dizaine
d'intercepteurs américains et canadiens ont alors pris l'air... L'apocalypse ne fut évitée que de
justesse38.

            Ces deux exemples, aux conséquences potentielles incomparables, montrent que l'on ne
peut faire confiance à l'ordinateur, si perfectionné soit-il.

            Bien plus, les grands ensembles informatiques seraient plus dangereux que les autres :
au-delà d'une certaine capacité, tout système intra-connecté et bouclé sur lui-même finit par générer
ses propres erreurs, erreurs auxquelles on ne peut remédier pour un tel système puisque plus celui-ci
essayerait de les corriger, plus il grossira, et plus il commettra de nouvelles erreurs.


24.             Les dangers sont encore présents au niveau de l'interprétation du résultat et des données.

            L'interprétation n'est pas, en principe, l’œuvre de l'informaticien, mais du consommateur
du produit informatique. Or la donnée, lorsqu'elle est passée par l'informatique et qu'elle est restituée
par cette dernière, a ceci de particulier qu'elle apparaît lavée de tout doute sur sa véracité. Pour le



37
     Le Soir, 14 nov. 1979, p. 4; Le Monde, 13 nov. 1979.
38
     Cf. ARONSTEIN, in actes du colloque "Informatique et droit en Europe", précité.
                                                                                                            16.-


consommateur de l'informatique, le fichier informatique ne contient ni erreur, ni mensonge, mais
"prend l'allure éternelle et solennelle des formules mathématiques et des lois de physiques"39.

            Mais, les dangers de l'interprétation résident avant tout dans le fait informatique même et
sont dus, plus particulièrement, à l'existence même des banques de données. Parce que l'informatique
donne à son utilisateur la possibilité d'obtenir à propos d'un individu une série d'informations
innocentes en principe, ce dernier peut en retirer une série de conclusions non innocentes.

            L'illustration de ce danger fut admirablement cernée par le film de M. Christian Guy, "On
ira tous au lac salé"40. Ce film était consacré à une enquête sur le fichier que constitue la société
généalogique de "L'Eglise de Jésus-Christ des Saints du dernier jour". On apprend, dans ce film
reportage, que, depuis plus d'une cinquantaine d'années, les Mormons ont réalisé un programme de
microfilmage des registres d'état civil et paroissiaux à l'échelle du monde entier. Cette action a été
entreprise notamment dans quarante pays européens, par la société généalogique de Salt Lake City,
agissant pour le compte de l'Eglise des mormons. Etaient déjà entreposés, en 1981, dans une grotte
creusée à plus de deux cents mètres au cœur des montagnes rocheuses, les états civils de 14 milliards
de morts sur support informatique.

             La finalité première de l'opération serait religieuse : les Mormons veulent pratiquer pour
leurs propres ancêtres un baptême "post mortem". Le réalisateur du film prétend cependant que
l'église en cause a entrepris la généalogie de toute l'humanité pour baptiser, à des fins salvatrices,
l'ensemble des morts répertoriés.

             La seconde finalité serait d'ordre médical. Dans l'état de l'Utah, les cancers du sein sont
détectés par ordinateur, en associant les disciplines de la médecine, de la génétique, de la généalogie
et de l'informatique.

           Les responsables de ce fichier ont précisé à l'enquêteur dépêché aux Etats-Unis, par la
Commission nationale de l'informatique et des libertés, organisme de contrôle français, que ces
recherches sur le mode de transmission sur le patrimoine génétique n'étaient réalisées que sur
demande expresse de mormons vivants, le plus souvent américains41.

            L'exploitation informatique de pareils fichiers, de façon systématique, par des personnes
poursuivant d'autres buts, peut susciter de sérieuses appréhensions. Il suffit de songer, notamment
aux fins eugéniques que le fichier serait susceptible de poursuivre.

25.         Bien plus importants encore sont les dangers qui se situent au niveau de la diffusion de
l'information.

             La diffusion de l'information est soit volontaire, soit involontaire, mais quel que soit son
caractère, les dangers pour la vie privée sont présents.

            La diffusion volontaire est celle qui est faite librement par le détenteur légitime des
informations, soit en vertu d'un contrat, soit parce qu'il retire de cette diffusion un avantage
réciproque.

39
   G. MESSADIER, "La fin de la vie privée", Celmann Levy, 1974, p. 95.
40
   Antenne 2, 1981.
41
   Commission nationale de l'informatique et des libertés, (C.N.I.L.) troisième rapport d'activité 1981-1982, La
Documentation française, 1983, p. 112 et svtes.
                                                                                                                     17.-


             Il existe actuellement en Belgique des firmes spécialisées notamment dans la vente
d'informations sur la solvabilité ou l’honnêteté des individus, ainsi que des accords de coopération
entre les organismes financiers (Banques, assurances) pour l'échange de pareils renseignements. Des
décisions récentes des tribunaux ont montré que cette diffusion de renseignements peut impliquer,
quelle que soit l'honnêteté de l'intéressé, pour celui qui a eu jadis un accident, un incident financier,
telle une traite protestée à tort ou un sinistre insolite non indemnisé à tort, le refus de tout crédit ou de
toute assurance future42.

             Les dangers ne sont-ils pas plus angoissants lorsque l'on sait que les données peuvent être
subtilisées à l'insu de leur possesseur. Les informaticiens connaissent en effet les pratiques
frauduleuses de la "poubelle" (récupération et lecture des supports théoriquement effacés), de la
"fuite" (reproduction des données à distance grâce, par exemple, à des émetteurs localisés dans les pc
ou les imprimantes), du "cheval de Troie" (complexe d'instructions supplémentaires introduits dans le
programme, accessible au seul voleur et qui lui donne accès aux données, sans que les autres
utilisateurs puissent s'en apercevoir) ... C'est, semble-t-il, une pratique similaire qui a fait condamner,
dès 1976, une soixantaine de compagnies d'assurances du Colorado pour détention illégale de
dossiers médicaux confidentiels. Les informations qu'elles détenaient étaient en effet volées dans les
ordinateurs des hôpitaux43.


26.       Les ordinateurs sont également dangereux par leur capacité d'enregistrement sans limite
de temps.

            Les techniques actuelles permettent de supprimer la nécessité de toute destruction de
l'information ou des données anciennes, compte tenu de la possibilité illimitée d'enregistrement
d'éléments binaires.

            Pourquoi donc supprimer des informations, dès lors qu'elles pourraient avoir, dans un
futur plus ou moins éloigné, une quelconque utilité ?

            Cette particularité de l'informatique va à l'encontre d'une idée généralement reçue dans
les Etats démocratiques, idée selon laquelle toute information concernant des infractions, des délits
ou plus généralement des méfaits doit être détruite après l'écoulement d'un certain laps de temps.
Cette idée découle tout naturellement de l'opinion selon laquelle on ne doit pas subir toute sa vie les
conséquences d'erreurs pardonnées ou réparées, voire d'erreurs commises par des proches.

              Dans la morale traditionnelle qui est la nôtre, l'homme a ceci de particulier qu'il peut
"racheter ses fautes" et qu'en conséquence elles doivent être oubliées. Cette morale coïncide avec
l'état de la civilisation préinformatique où la conservation des archives "papiers" nécessitait au bout
d'un certain temps une élimination. La possibilité de stockage illimité que donne l'ordinateur ne peut
pas faire oublier la valeur morale sous-tendue.




42
   J.P., Namur, 13 janv. 1987, Dr.inform., 1987, p. 181; Civ. Liège, 11 mars 1987, J.L.M.B., 1987, p. 349 et svtes; Cons.
égal. Prés. Civ. Liège, 2 déc. 1987, J.L.M.B. 1988, p. 122
43
   Le Monde des Assurances, supplément 907, p. 1.
                                                                                                                       18.-




Section 3 :         Relativité du concept du droit au respect de la vie privée et relativité des
                    dangers de l'informatique

27.          Le droit au respect de la vie privée n'est pas un droit absolu. L'article 8 de la Convention
de sauvegarde des droits de l'homme et des libertés fondamentales autorise en effet toute une série
d'ingérences du pouvoir dans l'exercice du droit au respect de la vie privée. L'ingérence de l'autorité
publique dans l'exercice de ce droit est légitime pour autant que cette ingérence soit "prévue par la loi
et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité
nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la
prévention des infractions pénales, à la protection de la santé ou de la morale ou à la protection des
droits et libertés d'autrui".

             Il est vrai qu'il faut admettre, dans un régime démocratique, que certaines ingérences
soient commises en raison de la sécurité nationale, de la sûreté publique, voire de la prévention des
infractions pénales. On devient évidemment plus sceptique, lorsqu'il est question du bien-être
économique du pays, de la défense de l'ordre, de la protection de la santé et on devient franchement
inquiet lorsqu'il s'agit de la défense de la morale, dont l'article 8 précité ne donne aucun contenu
juridique44.

             Il existe toutefois des raisons bien simples au caractère relatif du droit au respect de la vie
privée : plusieurs facteurs antagonistes sont en présence, parmi lesquels, en ordre principal, le droit de
l'individu au secret et le droit de la collectivité à l'information.

            Comme l'exprimait M. Pardon, "il s'agit d'un problème politique très profond : dans quel
type de société voulons-nous vivre et comment voulons-nous y être traités ? Il s'agit là très
fondamentalement de la conception que l'on se fait de la vie en commun dans une société donnée.
Ainsi, les auteurs de la Convention (de sauvegarde des droits de l'homme) ont eu conscience que,
dans une société organisée - aussi organisée et dirais-je aussi "socialisée" - que la nôtre, les
contraintes existent, des nécessités auxquelles on ne peut se soustraire : la sécurité nationale, la sûreté
publique, le bien-être économique, la défense de l'ordre et la prévention des infractions pénales, la
protection de la santé ou de la morale, la protection des droits et libertés d'autrui. Les nécessités de la
vie organisée dans une société démocratique commandent de veiller au maintien et au respect de
l'ordre social choisi par les citoyens. C'est précisément cela la démocratie avec ses tensions, ses
faiblesses, mais aussi sa grandeur, puisqu'elle a permis à la fois tant de bien-être et tant de liberté".


28.        Les exigences d'une démocratie sociale sont, il est vrai, nombreuses et la collecte des
données sur les citoyens par l'autorité est un fait qui est bien antérieur à l'avènement de l'informatique.

             Ce qui différencie cependant la démocratie des dictatures, c'est que les ingérences de
l'autorité sont chaque fois prévues par la loi, c'est-à-dire par un acte législatif émanant des représen-
tants de la nation élus démocratiquement.

            Les ingérences de l'autorité dans la vie privée des citoyens ne sont donc pas le fait de
l'informatique : elles sont voulues par le législateur, elles s'expriment sous son contrôle et il peut y

44
     M. PARDON, "Ethique et vie privée", in actes du colloque "Banques de données - entreprises - vie privée", cité, p. 92.
                                                                                                      19.-


mettre un terme quand il l'entend. En utilisant l'informatique, l'autorité ne fait que mettre en oeuvre,
au moyen d'une technologie nouvelle, les ingérences voulues par le législateur45.


29.            Les exemples d'ingérence dans la vie privée voulue par le législateur abondent.

             Ainsi l’article 28 bis, § 2, du Code d’instruction criminelle donne une mission « proac-
tive » à la Police, mission toute entière fondée sur la notion de « suspicion ».

              Dans le cadre de cette mission, la Police est notamment habilitée à vérifier les documents
d'identité et à soumettre tout individu à une inspection, dans l'attente de la réponse à la question posée
à l'ordinateur. L'existence même de l'ordinateur et son utilisation est en pareil cas non seulement
légitime mais souhaitable : la gendarmerie ferait-elle encore son devoir, demande M. Pardon46, si elle
n'utilisait pas l'informatique pour l'exercice de sa mission, tout comme elle utilise les autres moyens
modernes de communication (radio, téléphone, etc).

            Il existe de nombreux exemples dans lesquels le législateur impose la collecte de
renseignements, touchant la vie privée, et la transmission de ces derniers. Les législations fiscales et
sociales sont révélatrices de cet état de fait. Si ces renseignements et leur transmission constituent des
ingérences dans la vie privée, il faut d'abord poser le problème de savoir s'il faut ou non maintenir ces
ingérences avant de condamner l'outil avec lequel elles sont traitées47.


30.           L'exposé des motifs du projet de loi déposé par le Ministre Vanderpoorten le 8 avril 1976
"relatif à la protection de certains aspects de la vie privée" a mis toutefois en lumière le changement
de nature de l'information par son traitement mécanisé : "ce qui est différent, c'est le volume et la
rapidité avec laquelle les ordinateurs peuvent enregistrer, traiter et diffuser les informations. Grâce
aux ordinateurs, on peut relier entre eux divers registres dans des "banques de données" suscepti-
bles de fournir immédiatement de manière fort complète et sans limitation de distance, un très grand
nombre d'informations sur les personnes. En outre, des informations qui sont en elles-mêmes
inoffensives peuvent, une fois mises en corrélation, faire apparaître des aspects dont la révélation
porte atteinte au droit de la vie privée des personnes concernées. Le passage de ce seuil qualitatif
dans le traitement de l'information justifie une protection légale nouvelle"48.

            Le problème posé par les banques de données informatiques serait donc, si l'on suit
l'exposé des motifs de ce projet de loi, celui d'un seuil qualitatif et non d'un seuil quantitatif.


31.         Le problème est-il bien posé ? La question essentielle est-elle de savoir si l'informatique,
dans les rapports Administration-administrés, est ou non attentatoire à la vie privée ?

            Nous ne le pensons pas. Le degré d'atteinte possible à la vie privée est contenu dans les
textes légaux eux-mêmes et, pour le juriste, les seuls vrais problèmes sont d'une part, celui de
l'adéquation des lois au respect de la personne humaine et, d'autre part, celui de savoir si l'Adminis-
tration, dans ses applications informatiques, respecte le seuil d'atteinte à la vie privée autorisé par la
loi.
45
   M. PARDON, op. cit., p. 97.
46
   M. PARDON, op. cit., p. 96.
47
   Notre note "la fiscalité et l'informatique ...", R.G.F. 1984, p. 79.
48
   Doc. Parl., Sén., session 1975-1976, n° 946/1, p. 17.
                                                                                                                    20.-




           La première interrogation n'est qu'un des aspects de la hiérarchie des normes 49 et
développe essentiellement une question de politique législative. Elle dépasse, par conséquent, notre
propos.

            La seconde question, à savoir le respect par l'Administration des normes existantes en
matière de protection de la vie privée, se résout aisément, abstraction faite de l'outil informatique
utilisé. En effet, l'information administrative, qu'elle fasse ou non l'objet d'un traitement automatisé,
doit toujours être compatible avec les exigences suivantes :

-    être de celles que l'Administration a le droit de recueillir, de traiter et de conserver50 ;
-    avoir été obtenue par des moyens licites51;
-    être utilisée conformément au but déterminé assigné par le législateur à l'Administration et être
     communiquée uniquement aux personnes à qui le législateur a entendu qu'elle puisse être com-
     muniquée et dans les cas autorisés par la loi52.


32.          Dès lors que le degré d'atteinte possible à la vie privée est contenu dans les textes légaux
eux-mêmes, pourquoi les données ne seraient-elles pas recueillies et stockées au moyen de
l'informatique et transmises par télématique : le travail de l'Administration sera plus rapide, moins
sujet à erreur et, paradoxalement, plus confidentiel !53.

             Il est donc plus fondamental de se poser la question de l'adéquation de la législation aux
libertés fondamentales et au respect dû à la personne humaine et, au terme de la réflexion, d'avouer
que la seule véritable grande crainte est celle des connexions entre banques de données ou, à notre
avis, de l'utilisation des données pour des finalités autres que celles pour lesquelles elles sont
enregistrées 54 . L'aspect le plus important des conséquences de l'informatisation serait donc
psychologique et quantitatif et se résumerait à l'appréhension de l'interconnexion progressive de
toutes les banques de données, l'ordinateur devenant "la nouvelle conscience du pays". Cette crainte
s'avère d'autant plus grande que les ingérences autorisées par la loi dans le cercle fermé de la vie
privée sont nombreuses et profondes.

           Nous nous trouvons donc, en quelque sorte, devant un phénomène s'apparentant en une
modification du contenu ou mieux, des effets des normes, sans que ces dernières n'aient subi de
changement conceptuel ou syntagmatique quelconque.

            Ainsi, lorsque le législateur a, dès 1938, autorisé ou imposé l'échange de renseignements
dans le domaine fiscal55, il n'avait certainement pas entrevu les possibilités de la télématique et de
l'informatique... Ces dernières ont donné un aspect tout à fait différent à l'ingérence administrative

49
   Notamment la conformité des lois nationales aux instruments internationaux produisant des effets directs en droit
interne.
50
   C'est le problème de la compatibilité de l'information elle-même avec le secret professionnel ou le domaine de la vie
privée.
51
   C'est le problème de l'utilisation abusive des pouvoirs d'investigation de l'Administration ou du détournement de ses
pouvoirs d'investigation à des fins autres que celles voulues par le législateur.
52
   Il s'agit du respect du principe de "spécialité" de l'information administrative. Nous y reviendrons.
53
   J. PARDON, op. cit., p. 99.
54
    En ce sens, H. MAISL, "Les garanties particulières relatives au traitement automatisé de certaines données
personnelles", Colloque ULB "Informatique et droit en Europe", cité, p. 2.
55
   Voyez l'historique de l'obligation de renseignements des services, établissements ou organismes publics à l'égard de
l'Administration fiscale in Com.I.R. 1964, n°s 235/1 et svts.
                                                                                                           21.-


dans la vie privée du contribuable : le volume et la vitesse avec laquelle les instruments informatiques
actuels peuvent enregistrer, traiter et diffuser les informations sont sans comparaison avec les
possibilités des instruments de l'époque.

              Grâce aux ordinateurs, on peut interconnecter ou jumeler entre eux différents registres ou
fichiers et les réunir dans des banques de données qui peuvent, en un espace de temps limité, donner
d'une manière quasi intégrale et pratiquement sans limite, une image précise du citoyen et il est
permis de se demander si le législateur aurait autorisé, il y a encore trente ans, les mêmes possibilités
d'ingérence dans la vie privée, s'il avait connu les moyens techniques actuels.




Section 4 :     Problématique d'une réglementation de l'informatique - aspects internationaux
                et nationaux

33.          La réglementation des rapports de l'informatique et de la vie privée doit prioritairement
être abordée sur le plan international. Les données traversent sans difficulté les frontières des Etats et
les règles prises par un Etat en matière d'organisation d'une protection des données personnelles
pourraient être facilement contournées par le fait d'un traitement effectué, à l'étranger, sous l'empire
d'une législation plus libérale. A cette possibilité de fraude "internationale", l'Etat concerné pourrait
répondre par une réglementation interne d'importation ou de transit des données, mais en cette
matière, la difficulté de légiférer est grande, sinon insurmontable ou impossible, notamment, compte
tenu du libéralisme économique prôné par les traités internationaux.

            Un Etat isolé n'est donc pas en mesure de répondre adéquatement au problème des flux
transfrontières des données, flux qui sont de la nature des systèmes informatiques contemporains et
futurs. Les solutions à apporter en matière de réglementation de l'informatique ne sont donc pas du
ressort d'un Etat, mais des Etats, par la voie des traités internationaux et des organisations interna-
tionales.

             Les principes des solutions internationales actuellement dégagés consistent à prôner la
libre circulation des données à caractère personnel entre les divers Etats contractants, moyennant une
harmonisation des législations internes tendant à l'obtention d'un minimum de protection de la vie
privée dans chaque Etat ou, en d'autres termes, à l'élaboration d'un noyau inconditionnel uniforme de
droits garantis dans chaque Etat.


34.         Les travaux internationaux les plus remarquables sont certainement ceux du Conseil de
l'Europe. C'est ce Conseil qui, sur le plan international, s'est intéressé le premier au problème de la
protection de la vie privée face aux fichiers informatisés56.

            C'est sur base de l'article 8 de la Convention européenne de sauvegarde des droits de
l'homme et des libertés fondamentales de 1950, prônant le droit au respect de la vie privée, et à
l'occasion de l'Année internationale des droits de l'homme, que l'assemblée consultative du Conseil
adopta, en 1968, une recommandation visant à protéger l'individu contre toute intrusion dans sa vie

56
  J. BARTHELEMY, "Les travaux de l'OCDE, du Conseil de l'Europe et de la CEE", in actes du colloque "Banques de
données ...", cité, p. 105 et svtes.
                                                                                                                   22.-


privée. Cette recommandation concernait principalement les atteintes réalisées par les écoutes et les
prises de vue clandestines et l'interception des communications téléphoniques par les moyens
techniques modernes ... mais, saisi par ce problème, le Comité d'experts en matière des droits de
l'homme conclut que, si les Etats membres offraient en général une législation suffisamment
protectrice en matière d'écoute et d'interception de communications, il ne donnait en revanche aucune
garantie contre les dangers d'utilisation abusive des informations à caractère personnel traitées par
l'informatique57.

           Ces premières constatations furent à l'origine d'un lent mais sûr développement des
travaux du Conseil de l'Europe en matière de banques de données informatiques.

              Dès 1971, le Conseil créa un sous-comité pour la protection de la vie privée vis-à-vis des
banques de données informatiques. Dès 1973-1974, le Conseil adoptait deux résolutions relatives à la
protection de la vie privée vis-à-vis des banques de données électroniques, la première dans le secteur
privé58 et la seconde dans le secteur public59.

            En 1976, le Conseil présidait à la constitution du nouveau Comité d'experts en vue
d'élaborer une convention pour la protection des personnes à l'égard des fichiers automatisés. En
1981, le texte final d'une convention fut soumis à la signature des Etats membres. Il s'agit de la
convention n° 108 du 28 janvier 1981 "pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel".

           La Belgique, signataire de la convention, n'a adopté la loi portant son approbation que le
17 juin 1991.

            Le Conseil de l'Europe a poursuivi ensuite ses travaux dans des domaines particuliers de
protection des données : banques de données médicales, sécurité sociale, marketing direct, problèmes
posés aux chercheurs par les législations de protection des données, police ... Par ses recommanda-
tions en ces matières, le Conseil de l'Europe s'efforce d'inciter les Etats à prendre les initiatives
nécessaires dans ces secteurs60.


35.         C'est dès 1968 que, de son côté, l'OCDE aborda le problème de l'informatique61. Ce n'est
cependant qu'en 1975 qu'un groupe de travail de l'organisation s'attacha véritablement à la recherche
de solutions en prenant la décision d'étudier, en collaboration avec le Conseil de l'Europe, un projet de
convention.

            Ces travaux communs aboutirent à la constatation de l'existence d'intérêts assez différents
entre les deux organisations internationales, le Conseil de l'Europe étant préoccupé par la défense des


57
   J. BARTHELEMY, op. cit., p., 107 et réf. cit.
58
   Résolution 73/22 du 26 sept. 1973.
59
   Résolution 74/29 du 20 sept. 1974.
60
   Recommandations pour la protection des données utilisées à des fins de marketing (R(85)20 du 25 octobre 1985), de la
sécurité sociale (R(86)1 du 23 janvier 1986), dans le secteur de la police (R(87)15 du 15 septembre 1987), à des fins
d'emploi (R(89)2 du 18 janvier 1989), à des fins de paiement (R(90)19 du 13 septembre 1990), sur la communication à des
tierces personnes des données à caractère personnel détenues par des organismes publics (R(91)10 du 9 septembre 1991),
relative à l'utilisation de l'ADN dans le cadre de la justice pénale (R(92)1 du 10 février 1992), dans le domaine des
services de télécommunications (R(95)4 du 7 février 1995); pour la protection des données médicales (R(97)5 du 14
février 1997), etc.
61
   Cf. J. BARTHELEMY, op. cit., p. 110.
                                                                                                       23.-


droits des individus et l'OCDE étant plus soucieuse du développement harmonieux du libre échange
en matière d'informations.

            Le rapport de synthèse du colloque donné en 1977 à l'issue des travaux communs
exprimait, en résumé, l'idée que les droits internes nationaux sont à eux seuls insuffisants pour assurer
l'équilibre entre la protection des données à caractère personnel et le progrès souhaité de la
téléinformatique sur le plan international et en concluait qu'il était nécessaire d'aboutir en la matière à
des accords internationaux.

             En 1978, le Comité de la politique scientifique et technique de l'organisation créa un
groupe de travail chargé d'élaborer un projet de "lignes directrices" relatives aux règles fondamen-
tales régissant les flux transfrontières de données de caractère personnel et la protection des libertés
individuelles.

             Le 23 septembre 1980, le Conseil de l'OCDE adopta une recommandation concernant les
"lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de
caractère personnel" dont le contenu est très proche de la convention du Conseil de l'Europe. On
trouve, effet, dans les lignes directrices un "noyau dur" de données, l'affirmation des principes de
finalité, de qualité des données, de sécurité, la consécration du droit d'accès et de correction, le
principe d'un contrôle...

           Les lignes directrices n'ont toutefois pas la valeur juridique d'une convention interna-
tionale. De nombreux Etats les suivent toutefois et elles sont même reprises comme lignes de
conduite par quelques dizaines de grandes entreprises américaines.


36.           La Communauté européenne n'est pas en reste dans le domaine.

            Le 8 avril 1976, lors de l'examen de propositions dans le cadre de la politique commu-
nautaire de l'informatique, l'assemblée plénière du Parlement européen a adopté une résolution
recommandant à la Commission de rassembler les faits et renseignements devant servir à l'élaboration
d'une directive. Les justifications de ces travaux étaient :

-     les ramifications internationales de certaines banques de données;
-     les distorsions de concurrence pouvant survenir d'une absence d'harmonisation des législations
      nationales;
-     le soucis de rechercher un consensus politique sur des règles communes plutôt que d'harmoniser
      a posteriori des législations internes contradictoires.

             Un groupe d'experts a été, suite à cette résolution, constitué et des échanges d'observa-
teurs ont été réalisés entre les groupes d'experts de la CEE, de l'OCDE et du Conseil de l'Europe.

            En 1979, le Parlement européen a recommandé aux Etats membres de coordonner leur
participation dans toutes les instances où ces questions sont débattues, sans réserve de réciprocité, en
vue de l'adhésion du plus grand nombre d'Etats tiers à la convention du Conseil de l'Europe, à
l'époque, encore en projet.

             Dans cette résolution, le Parlement européen insista également sur la nécessité de
l'élaboration d'une directive communautaire en la matière.
                                                                                                             24.-


           De leur côté, les experts de la CEE se sont montrés adversaires de l'idée d'une directive
communautaire et la Commission a marqué nettement sa préférence sur l'adhésion des Etats membres
de la CEE à la convention du Conseil de l'Europe62.

         Fin juillet 198163, la Commission, réticente à l'alternative d'une directive communautaire,
recommandait aux Etats membres de la CEE d'adhérer à la convention du 28 janvier 1981.

            Le 18 juillet 1990, estimant qu'un système communautaire de protection des données à
caractère personnel était indispensable pour réaliser tant le marché intérieur que l'Europe des
citoyens, ainsi que pour garantir l'essor de l'industrie de l'informatique et des nouveaux services de
télécommunication, la Commission a approuvé une communication destinée au Conseil, assortie de
six propositions d'actions concrètes visant à assurer, dans la Communauté, une protection des
données et une sécurité accrue et harmonisée des systèmes d'information. En présentant cet
ensemble, le vice-président de la Commission a indiqué que cette initiative venait à son heure, les
avancées technologiques (la numérisation, en particulier) rendant aujourd'hui insoutenable tant
l'absence de législation en matière de protection des données personnelles dans cinq Etats membres,
dont la Belgique, que les "différences remarquables" des dispositions prévues dans les sept autres.

                Les six propositions de la Commission étaient les suivantes :

            1) une directive cadre qui, ayant pour but une protection équivalente de haut niveau,
énonce les principes à garantir qui vont des conditions dans lesquelles un traitement de données à
caractère personnel est légitime aux droits de la personne concernée (droits à l'information,
d'opposition, de rectification, d'accès, etc) en passant par les qualités que doivent revêtir les données
(exactes, collectées loyalement, enregistrées pour des finalités déterminées et légitimes ...) et par la
création d'un Comité chargé de conseiller la Commission en la matière. Pour la Commission, puisque
tout citoyen européen bénéficie d'une protection équivalente dans chaque Etat membre, les Etats
membres ne pourront plus opposer de restrictions à la libre circulation des données à caractère
personnel sous prétexte de protéger leurs ressortissants;

            2) une recommandation en faveur de l'ouverture de négociations en vue de l'adhésion de
la Communauté à la convention du Conseil de l'Europe, celle-ci devant servir de support aux relations
avec les pays tiers;

           3) une résolution visant à étendre les principes de la directive cadre aux fichiers du secteur
public échappant au champ d'application du droit communautaire;

           4) une déclaration étendant la disposition de la directive générale aux institutions et
organismes de la Communauté;

           5) une directive visant la protection des données de la vie privée dans le contexte
spécifique des réseaux de télécommunications numériques publics, en particulier, du Réseau
numérique à intégration de services (RNIS) et des réseaux numériques mobiles publics;

           6) une proposition de décision du Conseil concernant l'adoption d'un plan d'action de
deux ans en matière de sécurité des systèmes d'information.


62
     A l'élaboration de laquelle le groupe d'experts de la CEE avait d'ailleurs participé.
63
     Recommandation de la Commission du 29 juil. 1981 - 81/679/CEE - J.O.C.E., 29 août 1981, L/246, p. 31.
                                                                                                                 25.-


           Un des textes les plus importants adoptés suite à ces propositions est la directive
95/46/C.E. du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation
des données64.

             Cette directive, largement inspirée de la convention n° 108 du 28 janvier 1981 du Conseil
de l'Europe, a pour but d'éviter que la libre circulation de l'information entre les Etats membres de
l'Union soit limitée de façon excessive au nom des droits et des libertés des personnes. L'objectif est
atteint en assurant la protection des droits fondamentaux de façon équivalente dans les divers Etats
membres.

             La directive a été transposée en droit belge par une loi du 11 décembre 1998.


37.          Compte tenu des décisions prises dans le cadre de la CEE, la convention du Conseil de
l'Europe n° 108 du 28 janvier 1981 semble être devenue le texte de référence le plus important, en
droit international, notamment si elle est destinée à servir de support aux relations entre la Commu-
nauté et les Etats membres avec les pays tiers et, surtout, les pays de l'Europe de l'Est.

             Cette convention prévoit trois types de disposition.

             Elle énonce d'abord les principes de base65. Elle prévoit, pour les Etats, l'obligation
d'introduire dans leur législation interne les dispositions normatives nécessaires pour que soient
observés les principes essentiels tels que le principe de finalité légitime du traitement, le principe de
l'élaboration d'un noyau dur de données, le droit d'accès et de correction, l'obligation de sécurité, la
possibilité d'un recours pour toute personne lésée...

            La convention prévoit, en matière de flux transfrontières, l'interdiction pour un Etat de
soumettre les flux transfrontières à destination du territoire d'un autre Etat contractant, à des
autorisations spéciales. Cette libre circulation est la conséquence de l'obligation pour les Etats
membres de prendre des mesures de protection minimales prévues par la convention66.

             La convention prévoit enfin, dans un souci d'assistance mutuelle, la désignation dans
chaque Etat d'une autorité de liaison chargée de fournir des informations ou de procéder à des
investigations à la demande des autres Etats à propos d'un traitement automatisé déterminé effectué
sur son territoire ou à propos de son droit ou de sa pratique administrative en matière de protection.
La convention prévoit, dans cette optique, des règles de procédure pour les plaintes ou les requêtes
qui émanent de personne résidant à l'étranger (assistance aux personnes concernées ayant leur
résidence à l'étranger)67.




64
   J.O.C.E. n° L 281/31 du 25 novembre 1995; sur cette directive cons. notamment M-H. Boulanger, C. de Tervangne, Th.
Léonard, S. Louveaux, D. Moreau et Y. Poullet, "La protection des données à caractère personnel en droit communau-
taire", J.T. Dr. Eur., 1997, p. 121 et suiv.
65
   Articles 4 à 11.
66
   Article 12.
67
   Articles 13 à 17.
                                                                                                                     26.-


            On notera que dans le système de l'article 12, § 3 de la convention, relatif aux flux
transfrontières, le pays destinataire peut imposer des restrictions à l'importation, par exemple si sa loi
interne accorde une protection plus étendue que celle du pays d'origine68.


38.        En toute hypothèse, tant que les réglementations resteront limitées à un groupe d'Etats, le
problème des flux transfrontières restera particulièrement aigu notamment lorsqu'ils impliquent un
élément extérieur au système harmonisé réglé par le traité international, c'est-à-dire un flux de
données vers ou en provenance d'un Etat non partie au traité.

             La convention pour la protection des données à l'égard du traitement automatisé des
données à caractère personnel n'a réglé que fort timidement cet aspect des flux transfrontières en
admettant la possibilité de dérogation au principe de la libre circulation par l'Etat d'origine, "lorsque
le transfert est effectué à partir de son territoire vers le territoire d'un Etat non contractant par
l'intermédiaire d'un territoire d'une autre partie, afin d'éviter que de tels transferts n'aboutissent à
contourner la législation" de l'Etat d'origine69.

             La lacune de ce texte est évidente : comment l'Etat d'origine pourrait-elle connaître le
pays de la destination finale des données ? Il est douteux que l'obligation de coopération prévue à
l'article 13 de la convention soit à cet égard suffisant pour permettre une information complète du
pays d'origine sur le destinataire final des données.

              Une internationalisation plus grande des normes s'impose donc.


39.        Si l'ONU s'est déjà souciée de ce sujet au moyen d'une résolution de son assemblée
générale en 1968, il n'y eut aucun aboutissement, du fait principalement des réticences des pays du
tiers monde peu soucieux de protection de la personne.

           Une reprise des travaux a vu le jour au début de 1990, sans aboutissement réellement
concret au moment où ces lignes sont écrites70.


40.            Nonobstant le caractère partiel de la réussite des travaux des organisations internationa-
les, il n'est toutefois pas contestable qu'il existe déjà, en quelque sorte, des règles communes à tous les
Etats ayant légiféré en la matière.

            Les premières législations ont été celles du Land de Hess en RFA, en 1970 et celle de la
Suède en 1973. Aujourd'hui, de nombreux Etats sont dotés de lois : Autriche, Canada, Danemark,
Etats-Unis, Finlande, France, Irlande, Islande, Israël, Luxembourg, Norvège, Nouvelle-Zélande,
Pays-Bas, République Fédérale d'Allemagne, Suède, Suisse, Royaume-Uni, Espagne, Belgique, ...




68
   Il faut, pour que ces restrictions puissent être adoptées, "une réglementation spécifique pour certaines catégories de
données à caractère personnel ou de fichiers automatisés de données à caractère personnel, en raison de la nature de ces
données ou de ces fichiers".
69
   Article 12, § 3.
70
   Sur ces travaux, cf. J. HUET et H. MAISL, op. cit., spéc. p. 160, n° 179.
                                                                                                                     27.-




Section 5 :      Aperçu du droit positif belge en matière de banques de données et de
                 protection des données à caractère personnel



Sous-section 1 : Existence des banques de données administratives

41.         Il est impossible de dresser une liste exhaustive, voire de schématiser les différentes
obligations et modalités d'information des administrés à l'égard de l'administration et du secteur
public en général, car il n'existe pas d'aspect de la fonction administrative qui ne nécessite une
transmission de données du citoyen ou de l'entreprise à l'égard des autorités71.

             On ne s'étonnera donc pas de la multitude des fichiers informatiques du secteur public,
créés tantôt par le législateur, tantôt par le pouvoir exécutif usant d'habilitations légales, tantôt par les
services administratifs eux-mêmes dans le cadre de leur mission légale et en dehors de tout contexte
normatif exprès.

              Parmi les grands fichiers publics, actuellement opérationnels, on citera notamment :

-"le Registre national des personnes physiques", légalisé par la loi du 8 août 1983;

-"le Registre national des personnes morales", coexistant initialement en dehors de tout texte légal,
avec le registre national des personnes physiques et devenu en 2003 la Banque-Carrefour des
entreprises, sorte de registre du commerce modernisé ;

-"la Centrale des risques" de la Banque nationale instaurée par l'arrêté royal de pouvoirs spéciaux n°
43 du 9 octobre 1967;

-"la Centrale des crédits à la consommation" de la Banque nationale, instaurée à l'origine par l'arrêté
royal du 15 avril 1985 et opérationnelle depuis le 1er janvier 1987 et devenue la "la Banque Centrale
des données" avec l'adoption de la loi du 12 juin 1991 relative au crédit à la consommation;

-la liste des entrepreneurs enregistrés, établie par le Ministère des finances (arrêté royal du 5 octobre
1978 portant exécution des articles 299 bis du Code des impôts sur les revenus et 30 bis de la loi du 27
juin 1969 révisant l'arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs);
- les fichiers de l'Institut national de statistique;
- les fichiers spécifiques du secteur social (ONSS, ONEM, INAMI, INASTI, etc);
- les fichiers de la police;
- le fichier des abonnés au téléphone;

-les fichiers des administrations fiscales (fichiers des assujettis à la TVA, fichiers des propriétaires de
parcelles cadastrales);

71
  J. LEBRUN, "L'information de l'administration par les entreprises et son utilisation", in Actes du colloque "Banques de
données ...", cité, p. 175.
                                                                                                      28.-




-le fichier des véhicules immatriculés;

-le fichier du service "radio-télévision-redevances";

-la "Banque de données relatives aux membres du personnel du secteur public", créée par l'arrêté
royal n° 141 du 30 décembre 1982 et dispersée depuis la loi du 22 juillet 1993 en banques de données
multiples en raison de l'échec de sa mise en place;

-la "Banque publique de données sociales" prévue par l'article 18 de la loi du 29 juin 1981, établissant
les principes généraux de la sécurité sociale des travailleurs salariés, devenue la "Banque-Carrefour
de la sécurité sociale", organisée par la loi du 15 janvier 1990;

-le Registre Central des Armes (RCA) tenu par la police ;

-etc.


42.         Nonobstant l'existence des "grands fichiers" administratifs, il a fallu attendre jusqu'au 8
décembre 1992 pour que soit adopté, dans notre pays, un texte légal réglementant, de manière
globale, la protection des individus en matière de traitement automatisé de données à caractère
personnel.

           Avant d'examiner ce cadre général récemment modifié depuis la transposition en droit
belge de la directive 95/46/CE, il importe toutefois de se pencher sur les textes légaux qui ont
organisé, dans notre pays, quatre importants traitements informatisés de données à caractère
personnel. Il s'agit du "Registre national des personnes physiques", des fichiers de l'INS, de la
"Banque centrale de données" et de la "Banque-Carrefour de la sécurité sociale".




Sous-section 2 : Registre national des personnes physiques


A. Historique

43.        Le registre national a été créé en 1968, sans aucune consécration législative, par le
Gouvernement de l'époque. Il regroupait, au moment de l'adoption de la loi du 8 août 1983
"organisant un registre national des personnes physiques", des informations sur quelque 9.200.000
personnes physiques et 150.000 personnes morales.

           Au départ, le registre national des personnes physiques était essentiellement conçu
comme un service rendu aux administrations communales pour la gestion de leurs fichiers de
population et, opérationnel en dehors de tout texte légal, son coût faisait l'objet d'un crédit budgétaire
voté annuellement par le Parlement.

            L'absence de toute réglementation organique de ce registre était fort inquiétante et c'est
avec soulagement qu'on a pu accueillir les quelques dispositions timides de protection apportées par
la nouvelle loi d'août 1983, baptisée loi "Nothomb", du nom de l'auteur du projet.
                                                                                                          29.-




44.         Tout en maintenant le but initial de sa création, les travaux préparatoires de cette loi ont
mis l'accent sur une nouvelle finalité du registre national : ... "faciliter la tenue à jour des fichiers de
l'ensemble des administrations publiques".

            Pour remplir ses deux fonctions, c'est-à-dire l'aide à la tenue par les communes des
fichiers de population et outil de mise à jour des fichiers de l'ensemble des administrations, deux
éléments manquaient au registre national et ces deux éléments ont été rendus possibles par la loi du 8
août 1983.

             Il fallait, d'une part, que le registre soit exhaustif et à jour. Cette exhaustivité a été rendue
possible par le caractère obligatoire du flux vertical d'informations venant des communes vers le
registre national.

             Le registre devait, d'autre part, être autorisé à communiquer des données. C'est pourquoi,
la loi du 8 août 1983 a légalisé le flux horizontal d'informations du registre national vers les autres
administrations.

           La loi du 8 août 1983 a répondu, en outre, à d'autres préoccupations essentielles. Parmi
ses préoccupations, on trouve l'allégement du coût de la tenue des fichiers administratifs pour les
finances publiques. Cet allégement de coût est évident lorsque l'on sait qu'il y a chaque année, dans
notre pays, plus de 1.300.000 changements d'adresse à enregistrer dans une centaine de fichiers
publics.

            Parmi ces préoccupations encore, figure la mise sur pied d'un numéro d'identification
unique permettant le dialogue entre les banques de données des administrations et des organismes
coopérant à l’action administrative, notamment en matière sociale, et la possibilité pour le registre
national de devenir un organe de transmission administratif entre les communes et les administra-
tions.

            Parmi toutes ces préoccupations essentielles, le législateur n'a heureusement pas (trop)
oublié la protection de la vie privée des citoyens.



B. Personnes concernées

45.         L'article 1er de la loi du 8 août 1983 définit le registre national comme un système "de
traitement d'informations qui assure, conformément aux dispositions de la présente loi, l'enregis-
trement, la mémorisation et la communication d'informations relatives à l'identification des personnes
physiques".

             Les personnes physiques fichées sont, en vertu de l'article 2, les personnes inscrites aux
registres de la population et aux registres des étrangers tenus dans les communes du Royaume et les
personnes physiques inscrites aux registres tenus dans les missions diplomatiques et les postes
consulaires belges à l'étranger (sont venus s'ajouter depuis 1994 les demandeurs d'asile, les SDF, les
gens du voyage).
                                                                                                                         30.-



C. Données enregistrées

46.          En règle, le registre national des personnes physiques tire toutes ses informations des
registres de population tenus par les communes, registres qui contiennent de nombreuses données
relatives à la vie privée (milice, filiation, électorat, etc).

           Le registre laisse cependant de côté la plupart de ces données en n'en retenant prioritai-
rement que neuf, énumérées limitativement ci-après, et leurs mises à jour et leur date de prise d'effet :

-    les nom et prénoms;
-    le lieu et la date de naissance;
-    le sexe;
-    la nationalité;
-    la résidence principale;
-    le lieu et la date de décès;
-    la profession;
-    l'état civil;
-    la composition du ménage.


              Depuis 1994, deux données ont été ajoutées aux neufs premières.

           Il s'agit, d'abord, de la mention du registre dans lequel les personnes sont inscrites et dont
les données sont issues (par exemple, registre de la population pour un résident ou registre d'attente
pour les demandeurs d'asile).

            C'est, ensuite, la "situation administrative" des demandeurs d'asile telle qu'enregistrée
dans les "registres d'attente".


47.           Certains se sont interrogés sur la nécessité et sur le danger d'introduire dans le registre
national la composition du "ménage", car cette notion n'est définie ni par la loi du 8 août 1983, ni par
aucun autre texte légal. Dans les travaux préparatoires, le Gouvernement s'est voulu rassurant sur
l'interprétation de ce terme en signalant qu'il était déjà utilisé dans la réglementation relative à la tenue
des registres de la population72 et qu'il était défini dans une circulaire ministérielle adressée aux
gouverneurs de province, aux commissaires d'arrondissement et aux bourgmestres et échevins,
concernant les registres de population73. Il n'aurait certainement pas été inutile de préciser clairement
cette notion dans la loi d'août 1983. Seule cette façon de faire eut pu apporter une réelle garantie au
citoyen.


48.        Notons qu'en vertu de l'article 3, alinéa 3 de la loi du 8 août 1983, des informations, autres
que les onze informations "de base" énumérées ci-dessus, peuvent être enregistrées à la demande

72
   L'article 3 de la loi du 19 juillet 1991 relative au registre de la population définit la "résidence principale" comme "le
lieu où vivent habituellement les membres d'un ménage composé de plusieurs personnes, unies ou non par des liens de
parenté.
73
   Cette circulaire a fait l'objet d'une publication au M.B.
du 2 avr. 1981; cf. sur cette discussion, le Rapport fait au nom de la Commission de l'intérieur, des affaires générales et de
la fonction de la Chambre, Pasin., 1983, p. 1342 et svtes, spéc., p. 1345 et svtes.
                                                                                                                            31.-


d'une commune. En pareil cas, ces informations ne sont accessibles qu'à la commune qui les a
fournies74.


49.         A toutes ces données, s'ajoute un numéro d'identification dont la composition est fixée par
un arrêté royal du 3 avril 1984.

            Le but avoué de ce numéro d'identification est notamment de "permettre une communi-
cation plus sûre et plus aisée des informations entre les différents organismes habilités à l'utiliser et à
échanger des informations à caractère personnel"75. En d'autres termes, le numéro d'identification est
notamment destiné à faciliter l'interconnexion des banques de données habilitées à en faire usage à
des fins externes.

            Le système de numérotation retenu est celui qui était déjà retenu au sein du registre
national depuis 1968. Il s'inspire des identifications utilisées dans les pays scandinaves fondées
essentiellement sur la date de naissance et le sexe76.

             Selon le Rapport au Roi précédant l'arrêté royal du 3 avril 1984, l'indication du numéro de
l'acte d'état civil, à l'instar de la pratique française, aurait facilité l'accès à des informations
confidentielles. C'est d'ailleurs la raison pour laquelle l'utilisation du numéro est, en France,
beaucoup plus restrictive qu'en Belgique.


50.          Un exemple fera très aisément comprendre le mécanisme de la composition du numéro
d'identification retenu en Belgique.

               Prenons le cas d'une personne de sexe masculin née le 19 août 1953.

            Les six premiers chiffres nous seront donnés par la date de naissance de la façon
suivante : 530819.

            Les septième, huitième et neuvième chiffres constituent le numéro d'ordre. Ce numéro
représente le rang d'inscription de la personne dans l'année de naissance. Si les possibilités du
numéro d'ordre sont épuisées, lors d'une nouvelle immatriculation, le sixième chiffre de la date de
naissance est augmenté d'une unité et la numérotation dans le numéro d'ordre recommence à son
début. Le rang d'inscription est recommencé pour les personnes nées à partir de l'an 2000.

           Le numéro d'ordre est pair pour les personnes de sexe féminin, impair pour les personnes
de sexe masculin; prenons, pour notre exemple, le numéro 125.

               Les dixième et onzième chiffres sont obtenus grâce aux opérations suivantes :


74
   Cf. l'article 2 de l'A.R. du 3 avr. 1984 relatif à l'accès de certaines autorités publiques au registre national des personnes
physiques, ainsi qu'à la tenue à jour et au contrôle des informations; consulter sur ce point A. WALLEMACQ, "Le registre
national des personnes physiques", J.T. 1984, p. 70 et svtes.
75
   Rapport au Roi précédant l'A.R. du 3 avr. 1984 relatif à la composition du numéro d'identification, M.B. du 21 avr.
1984.
76
   Ce système s'écarte du système utilisé en France où le numéro comprend outre la date de naissance et le sexe, des
indications sur le lieu de naissance et sur l'acte civil de naissance.
                                                                                                                    32.-


a) Division du nombre obtenu grâce aux neuf premiers chiffres par "97".

              Dans l’exemple :

530819125
--------------- = 5472362.
     97

b) Calcul du reste de la division.

              Dans l'exemple : "11".

c) Soustraction du reste de la division de "97".

              Dans l'exemple : "86".

          Le numéro d'identification de la personne donnée dans l'exemple sera donc
"53081912586".

            Pour les personnes nées à partir de l'an 2000, le calcul sera effectué en faisant précéder les
neuf chiffres par le chiffre 2.


51.         Ce numéro pouvait figurer, à la demande de son titulaire, sur la vignette adhésive apposée
par les communes sur les anciennes cartes d'identité77. Il figure obligatoirement sur la carte de
sécurité sociale78, en tant que numéro d'identification à la sécurité sociale et figurera obligatoirement
sur les nouvelles cartes d’identité électroniques.

            Mais si, en théorie, les citoyens n'avaient, en vertu de la loi du 8 août 1983, aucune
obligation de connaître et de décliner leur numéro d'identification au registre national, on a pu
craindre, dès l'adoption de cette loi, que ce numéro ne remplace, en fait, le nom des individus dans
leurs rapports avec l'autorité. On lisait, en effet, dans le Rapport au Roi précédant l'arrêté royal relatif
à la composition du numéro : ce dernier doit être "assez facilement mémorisable si la personne
concernée est appelée elle-même à l'utiliser..."79.

            L'obligation d'utilisation est maintenant consacrée en matière de sécurité sociale et en
matière d'impôts80.

            Le danger essentiel pour la vie privée ne réside certes pas dans l'utilisation obligatoire
d'un numéro; il réside dans l'existence même d'un numéro identifiant unique, car pareil élément
constitue la clé suffisante pour l'interconnexion généralisée des banques de données à caractère
personnel... sans négliger l'aspect psychologique négatif que pareil numéro comporte !




77
   Article 6, § 2, de la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d'identité (M.B. 3
septembre 1991).
78
   Article 2 de l'arrêté royal du 1er juillet 1994 relatif à la tenue de l'identité sociale.
79
   M.B. du 21 avr. 1984.
80
   Cf. infra, n°s 66 et 67.
                                                                                                                            33.-



D. Fonctionnement et communication des données

52.            La loi du 8 août 1983 a organisé trois principaux flux de données :

-     le flux vertical de données, partant des communes et des missions diplomatiques et postes
      consulaires belges vers le registre national et du registre national vers les communes;
-     le flux horizontal des données du registre vers les autorités publiques, les organismes d'intérêt
      public, les organismes de droit belge remplissant des missions d'intérêt général, les notaires, les
      avocats et les huissiers de justice;
-     le transit obligatoire ou "switching".


             A ces trois flux principaux de données s'ajoute la possibilité, pour le gouvernement,
d'autoriser la communication, à des organismes de droit belge qui remplissent des missions d'intérêt
général et désignés nominativement, les neufs informations de base et leurs mises à jour, exclusi-
vement pour l'exécution d'activités scientifiques de recherche et d'étude, dans les limites des
informations qui doivent être mises à leur disposition uniquement pour l'exécution de ces activités.
Les organismes désignés ne peuvent disposer des informations visées que pendant le temps
nécessaire à l'exécution de ces travaux et uniquement dans ce but.



a) Flux vertical de données, du registre national vers les communes et des communes vers le
   registre national

53.          Depuis la loi du 8 août 1983, les communes ont l'obligation de communiquer au registre
national les informations de base. Le caractère obligatoire de cette communication permet au registre
national d'être exhaustif... Il faut en effet savoir qu'avant la loi du 8 août 1983, des communes aussi
importantes que Bruxelles (capitale) ou Anvers ne participaient pas au registre national.

         Les missions diplomatiques et consulaires belges à l'étranger ont une obligation de
communication identique.


54.         La responsabilité de l'exactitude des données initiales pèse sur les communes qui les ont
transmises. Ces communes doivent, en effet, veiller à la conformité des informations transmises par
rapport aux actes et documents qu'elles détiennent. La même obligation incombe aux missions
diplomatiques et consulaires.

            La communication des informations au registre national peut éventuellement être opérée
par des organismes agréés par arrêté royal81.

            Les communes et les postes diplomatiques et consulaires ont bien entendu le droit
d'accéder aux informations de base contenues dans le registre national même si ces informations ont
été enregistrées sur l’initiative d'une autre commune ou d'un autre poste diplomatique ou consulaire.

81
   Article 5 de l'A.R. du 3 avr. 1984 relatif à l'accès de certaines autorités publiques au registre national ainsi qu'à la tenue
à jour et au contrôle des informations et A.R. du 16 oct. 1984 relatif à l'agrément de centres informatiques pour l'exécution
de tâches auprès du registre national (M.B. des 21 avr. et 9 nov. 1984).
                                                                                                                            34.-




         Cet accès s'exerce à des fins de gestion interne et les informations ne peuvent faire l'objet
de communication à des tiers82.

            Ce dernier principe est tempéré par les dispositions d'un arrêté royal du 30 août 1985
autorisant les "administrations communales"83 à utiliser les numéros d'identification à "fin d'identi-
fication".

               L'utilisation du numéro est en effet autorisée aux "administrations communales" :

           1° pour la gestion interne des fichiers et des traitements qu'elles sont tenues de réaliser en
exécution d'obligations légales;

            2° pour les échanges d'information avec le registre national, avec l'organisme agréé
auquel la commune est éventuellement affiliée, avec les autorités publiques et les organismes qui ont
été autorisés à utiliser le numéro d'identification du registre national dans leurs relations avec les
administrations communales et, enfin, dans leurs relations avec le titulaire du numéro.


55.         Nous serions incomplets si nous ne signalons pas que l'arrêté royal du 3 avril 1984 "relatif
à l'accès de certaines autorités au registre national, ainsi qu'à la tenue à jour et au contrôle des
informations", modifié le 10 juillet 1985, oblige les communes et les missions diplomatiques et
consulaires, à désigner un "agent" dont la mission est de veiller à la tenue à jour des informations, à la
conformité de celles-ci aux actes et documents, à la protection de la vie privée, à l'application des lois
et arrêtés concernant l'accès aux informations et l'exercice du droit de contrôle individuel, aux
mesures de sécurité et au secret professionnel ainsi qu'au respect des normes en matière d'utilisation
du numéro d'identification.


56.          Pour terminer l'examen du flux vertical d'informations, rappelons qu'en ce qui concerne
les informations autres que les neuf informations de base, seule la commune qui les a transmises au
registre national peut en obtenir communication84. Cette possibilité pour les communes d'enregistrer
d'autres informations peut être utilisée pour tous les éléments qui sont, par exemple, repris au registre
de la population (situation de milice, électorat, ...). Les communes peuvent ainsi utiliser les sorties de
leurs terminaux pour la tenue de leur registre de population, leur index et leur registre successif, etc.



b) Flux horizontal, du registre national vers les autorités publiques, les organismes d'intérêt
   public, les organismes de droit belge remplissant des missions d'intérêt général et certains
   officiers ministériels



82
   A.R. du 3 avr. 1984 "relatif à l'accès de certaines autorités publiques au registre national ainsi qu'à la tenue à jour et au
contrôle des informations", article 3.
83
   Notion plus stricte que celle de "commune" (cf. l'avis de la Commission consultative de la protection de la vie privée,
publié avant l'A.R. cité au M.B. du 17 sept. 1985, avis n° 84/006 et avant l'A.R. du 9 févr. 1988, avis n° 85/036, M.B. du
26 févr. 1988).
84
   Article 2 de l'A.R. du 3 avr. 1984 relatif à l'accès de certaines autorités publiques au registre national ainsi qu'à la tenue
à jour et au contrôle des informations (M.B. 21 avr. 1984).
                                                                                                       35.-


57.         L'article 5 de la loi "Nothomb" a posé le principe de la soumission de l'accès au registre à
une autorisation par voie d'arrêté royal.

              Pareille autorisation ne peut en règle être consentie,

-    qu'aux autorités publiques ou,
-    aux organismes d'intérêts publics ou,
-    aux notaires, aux huissiers de justice et à l'(ex)Ordre national des avocats, ou
-    aux organismes de droit belge remplissant des missions d'intérêt général.

            Pour ces derniers organismes, l'arrêté royal qui doit être délibéré en Conseil des Ministres
ne peut être pris qu'après avis de la Commission de la protection de la vie privée. Divers arrêtés
royaux ont été pris nonobstant l'avis défavorable de la Commission, notamment en matière de sécurité
sociale85.

            En ce qui concerne les demandeurs d'asile, la loi a strictement limité l'énumération des
autorités publiques et des organismes d'intérêt public pouvant accéder aux données concernant ces
personnes.


58.         Les huissiers de justice et les notaires ont reçu l'autorisation d'accès dès 198686. Les
avocats, par l'intermédiaire de l'Ordre national, peuvent accéder aux données depuis 1997.

            En ce qui concerne les autorités publiques, ont notamment reçu dès à présent l'autorisa-
tion d'accès :

-    le Ministre de la justice87;
-    certaines autorités du Ministère des finances88;
-    le Secrétaire permanent au recrutement89;
-    les juges d'instruction, les magistrats du ministère public et les officiers et agents judiciaire près
     les parquets90;
-    la police91;
-    le Ministre de l'intérieur, de la fonction publique et de la décentralisation92;
-    les Gouverneurs de province et les députations permanentes93;
-    le Ministère de la prévoyance sociale94;
-    le directeur du service "radio-télévision-redevances"95;
-    le Comité supérieur de contrôle96;
-    certains fonctionnaires du Ministère des classes moyennes97;

85
   L'avis ne lie pas le pouvoir exécutif.
86
   A.R. des 16 mai et 11 sept. 1986, M.B. des 19 juin et 2 oct. 1986.
87
   A.R. du 20 avr. 1984, abrogé et remplacé par l'arrêté du 18 avr. 1990, M.B. du 6 juin 1990.
88
   A.R. du 27 sept. 1984 et du 3 déc. 1986, M.B. des 13 oct. 1984 et 13 déc. 1986.
89
   A.R. du 3 mars 1986, M.B. du 15 mars 1986.
90
   A.R. du 30 sept. 1985, M.B. du 22 oct. 1986.
91
   A.R. du 19 sept. 1986, M.B. du 5 nov.1986.
92
   A.R. du 29 sept. 1986, M.B. du 24 oct. 1986.
93
   A.R. du 27 fév. 1985, M.B. du 9 mars 1985.
94
   A.R. du 12 août 1985, M.B. du 7 sept. 1985.
95
   A.R. du 17 déc. 1984, M.B. du 26 janv. 1985.
96
   A.R. du 12 nov. 1984, M.B. du 1er févr. 1985.
97
   A.R. du 12 sept. 1985, M.B. du 17 oct. 1985.
                                                                                                      36.-


-    le Commissaire général aux réfugiés et aux apatrides98;
-    le Ministre de l'emploi et du travail99;
-    le Ministère des classes moyennes et l'INASTI100;
-    le Ministre de la santé publique et certains fonctionnaires de la santé publique101;
-    le Ministre de la défense nationale et certains fonctionnaires de la défense nationale102;
-    etc.


59.         Par organismes d'intérêt public, il faut entendre les organismes visés par la loi du 16 mars
1954 "relative au contrôle de certains organismes publics" et les décrets régionaux correspondants.
Parmi ces organismes figurent notamment l'OND, l'Office belge du commerce extérieur, Bruxel-
les-propreté, le Bureau fédéral du plan, la Loterie nationale, le centre informatique pour la région
bruxelloise, l'Institut d'expertise vétérinaire, le Théâtre royal de la Monnaie, l'ONE, le Palais des
Beaux-Arts, le port autonome de Liège, l'Office régulateur de la navigation intérieure, la Société
nationale des voies aériennes, la Régie des Bâtiments, la Caisse auxiliaire de paiement des allocations
de chômage, le Fonds des accidents du travail, l'Office national des vacances annuelles, le Fonds des
maladies professionnelles, l'Office de contrôle des assurances, etc.

             De nombreux organismes d'intérêt public ont dès à présent reçu l'autorisation d'accès. Il
s'est agi principalement, à l’origine, d'organismes d'intérêt public remplissant des missions dans le
cadre de la sécurité sociale : la Caisse Nationale d'Assurances Sociales des Travailleurs Indépendants,
la Caisse auxiliaire d'assurance maladie-invalidité, la Caisse nationale des pensions de retraite et de
survie, le Fonds des accidents du travail, le Fonds des maladies professionnelles, l'Institut National
d'Assurance Maladie-Invalidité, l'Office national d'allocations familiales pour travailleurs salariés,
l'Office national des pensions pour travailleurs salariés, l'ONSS, l'Office National des Vacances
Annuelles, la Banque-carrefour103.


60.          La loi sur le registre national ne définit pas non plus ce qu'il y a lieu d'entendre par
l'expression "organismes de droit belge remplissant des missions d'intérêt général". Sont donc
d'intérêt général, les organismes qui sont reconnus comme tels par le Roi, pour obtenir l'autorisation
d'accès, après avis de la Commission de la protection de la vie privée.

             Ont déjà été autorisés à accéder au registre national, en tant qu'organismes de droit belge
remplissant des missions d'intérêt général, la Banque Nationale, la SA "IDOC" (fabricant des
anciennes cartes d'identité)104, les caisses d'assurances sociales pour travailleurs indépendants105, les
mutualités, les caisses de compensation pour allocations familiales, les caisses spéciales des
vacances, les organismes d'assurances chargés de missions dans le cadre de la législation relative aux
pensions des travailleurs salariés, les caisses communes d'assurance contre les accidents du travail et
les sociétés d'assurances agréées pour pratiquer l'assurance contre les accidents du travail et le service
des rentes106 107, etc.

98
   A.R. du 3 août 1990, M.B. du 5 oct. 1990.
99
   A.R. du 7 avr. 1988, M.B. du 19 avr. 1988.
100
    A.R. du 10 sept. 1986, M.B. du 9 oct. 1986.
101
    A.R. du 30 oct. 1986, M.B. du 14 févr. 1987.
102
    A.R. du 19 mars 1990, M.B. du 4 avril 1990.
103
    Loi du 15 janv. 1990; cf. infra, n s 84 et svts.
104
    A.R. du 29 juil. 1985, M.B. du 7 sept. 1985.
105
    A.R. du 10 sept. 1986, M.B. du 9 oct. 1986.
106
    A.R. du 5 déc. 1986 précités sub 100;
                                                                                                                        37.-




61.          L'accès au registre national qui dérive de pareilles autorisations est limité à celles des
informations de base que ces autorités, organismes ou personnes sont habilités à connaître en vertu de
la loi ou du décret.

            Conformément au droit commun administratif, l'autorisation ne peut dès lors pas porter
indistinctement sur l'ensemble des informations mais uniquement sur celles dont la connaissance est
indispensable pour l'accomplissement de sa mission par l'autorité ou l'organisme en cause. La section
de législation du Conseil d'Etat estime toutefois qu'à défaut d'habilitation en termes exprès, "la
détermination des informations (...) peut s'induire des missions dont ces autorités publiques sont
chargées par la loi ou par un décret ou en vertu de la loi ou d'un décret"108.


62.           Ces autorités et organismes peuvent également se voir accorder le droit d'accéder au
numéro identifiant et le droit d'utiliser ce numéro identifiant, mais ceci pour des finalités et dans les
limites spécifiées par l'arrêté royal d'autorisation, arrêté royal délibéré en conseil des ministres après
avis de la Commission de la protection de la vie privée. Le numéro d'identification ne peut donc être
utilisé pour des finalités non expressément prévues par l'arrêté d'habilitation. Telle est la portée de
l'article 8 de la loi du 8 août 1983.

            L'usage du numéro identifiant a ainsi été autorisé et réglementé pour le mode d'identifi-
cation des bénéficiaires de pension109.

              L'usage du numéro est, aujourd'hui, notamment autorisé aux autorités et organismes
suivants :

-     le Ministère de la prévoyance sociale110;
-     l'Office des étrangers111;
-     le Ministère des finances112;
-     les administrations communales113;
-     le service "radio-télévision-redevances"114;
-     le Ministère des classes moyennes et l'INASTI115;
-     le Ministère de la défense nationale116;
-     les caisses d'assurances sociales pour travailleurs indépendants117;
-     les organismes d'intérêt public relevant du Ministère de la prévoyance sociale118;
107
    Le lecteur intéressé prendra la peine de se pencher sur les avis de la Commission consultative de la protection de la vie
privée publiés avant les A.R. du 5 déc. 1986, avis "entièrement défavorables", laissant entendre, en outre, que ces
réglementations étaient contraires à la loi; avis n° 85/025 à 035 et 85/037 à 042, M.B. 19 déc. 1986, p. 17319 et 17346 et
svtes.
108
    Avis du Conseil d'Etat précédant l'A.R. du 18 avr. 1990 autorisant certaines autorités du Ministère de la justice à
accéder au Registre national, M.B. du 6 juin 1990.
109
    A.R. du 28 juin 1985, modifié par A.R. du 22 déc. 1986, M.B. des 9 août 1985 et 30 déc.1986.
110
    A.R. du 12 août 1985, M.B. du 7 sept. 1986.
111
    A.R. du 22 octobre 1984, M.B. du 8 nov. 1984.
112
    A.R. du 25 avril 1986, modifié par A.R. du 5 mars 1987, M.B. des 21 mai 1986 et 26 mars 1987.
113
    A.R. du 30 août 1985, M.B. du 17 sept. 1985.
114
    A.R. du 16 sept. 1986, M.B. du 28 oct. 1986.
115
    A.R. du 10 sept. 1986, M.B. du 9 oct. 1986.
116
    A.R. du 19 mars 1990, M.B. du 4 avr. 1990.
117
    A.R. du 10 sept. 1986, M.B. du 28 oct. 1986.
118
    A.R. du 5 déc. 1986, M.B. du 19 déc. 1986.
                                                                                                        38.-


-     les mutualités et les hôpitaux119;
-     les caisses de compensation pour allocations familiales120;
-     les caisses spéciales de vacances121;
-     les caisses communes et les sociétés d'assurances pratiquant l'assurance contre les accidents du
      travail122;
-     les organismes d'assurances chargés de missions dans le cadre de la législation relative aux
      pensions des travailleurs salariés123;
-     l'Institut national de statistique124;
-     la police communale125;
-     les CPAS126;
-     la Banque nationale de Belgique127;
-     la Banque-Carrefour de la sécurité sociale,
-     etc.



c) "Switching" ou transit obligatoire

63.         Il s'agit d'un flux d'informations des communes vers les autorités publiques et les
organismes d'intérêt public transitant par le registre national, ce dernier n'étant appelé à jouer qu'un
rôle de simple "relais".

             Lorsque des autorités publiques ou des organismes d'intérêt public sont autorisés en vertu
de la loi ou d'un décret à demander aux communes des informations, autres que les informations de
base, la transmission de ces informations par l'intermédiaire du registre national peut être rendue
obligatoire par arrêté royal.

               Les informations ainsi transmises ne peuvent être conservées au registre national.

               Cette procédure de "switching" est organisée par l'article 6 de la loi du 8 août 1983.

           La ratio legis de cette disposition doit être trouvée, principalement, dans la rationalisation
que peut apporter le rôle de relais du registre national au niveau de la transmission.


64.         A notre connaissance, il n'existe que trois procédures de switching actuellement
réglementées. La première s'inscrit dans le cadre de la loi sur le prélèvement et la transmission
d'organes du 13 juin 1986. La deuxième est prévue par un arrêté royal du 11 mai 1987 relatif à la
transmission d'informations, par les communes, à l'Office des Etrangers. La troisième est prévue par
un arrêté royal du 23 mars 1998 imposant aux communes la communication, au Ministre ayant la


119
    A.R. du 5 déc. 1986, M.B. du 19 déc. 1986.
120
    A.R. du 5 déc. 1986, M.B. du 19 déc. 1986.
121
    A.R. du 5 déc. 1986, M.B. du 19 déc. 1986.
122
    A.R. du 5 déc. 1986, M.B. du 19 déc. 1986.
123
    A.R. du 5 déc. 1986, M.B. du 19 déc. 1986.
124
    Article 24 ter de la loi du 4 juil. 1962 sur les statistiques.
125
    A.R. du 9 févr. 1988, M.B. du 26 févr. 1988.
126
    A.R. du 14 avr. 1988, M.B. du 28 avr. 1988.
127
    A.R. du 5 févr. 1990, M.B. du 23 mars 1990.
                                                                                                                          39.-


sécurité routière dans ses attributions, d'informations relatives au permis de conduire ou au titre qui en
tient lieu, par l'intermédiaire du Registre national.

           La procédure qui s'inscrit dans le cadre de la loi sur le prélèvement et la transplantation
d'organes mérite les quelques commentaires suivants.

            On rappellera que toute personne, désirant exprimer son opposition au prélèvement
d'organes et de tissus après son décès, doit s'adresser à l'administration communale de son domicile.
Les administrations communales ont l'obligation d'enregistrer, dans leur système informatique, cette
opposition et d'en faire mention au registre de population. L'administration communale délivre alors,
aux personnes ayant exprimé leur opposition, la transcription sur papier des données informatiques
enregistrées. Ensuite, les administrations communales doivent transmettre, sans délai, ces données
au Centre de traitement et de l'information du Ministère de la santé publique et de la famille128.

          Cette transmission se fait par l'intermédiaire du registre national des personnes
            129
physiques .

             Le Ministre et le Secrétaire d'Etat ayant la santé publique dans leurs attributions, ainsi que
certains de leurs fonctionnaires, sont autorisés à utiliser le numéro d'identification du registre national
pour l'identification des personnes dont la déclaration de volonté en matière de prélèvement d'organes
a été communiquée130.

             Pour ce qui est de l'interrogation effectuée à des fins de contrôle, il y est procédé par des
personnes appartenant aux centres de transplantation d'organes avec lesquels le médecin ayant
l'intention de procéder au prélèvement de certains organes ou tissus, doit préalablement prendre
contact. A notre connaissance, cette interrogation à des fins de contrôle n'a toujours pas été autorisée,
au moment où ces lignes sont écrites, au moyen du numéro d'identification du registre national 131.

           Cette utilisation spécifique montre que la procédure de switching permet ainsi l'établis-
sement d'une banque de données spécialisée, en dehors du registre national lui-même, mais au départ
de son numéro identifiant.



E. Flux d'information résultant de l'usage du numéro d'identification



128
    A.R. du 30 oct. 1986 organisant le mode d'expression de la volonté des personnes visées à l'article 10, § 2, de la loi du
13 juin 1986 sur le prélèvement et la transplantation d'organes (M.B. 14 févr. 1987).
129
    A.R. du 30 oct. 1986 imposant à l'administration communale la communication au Ministère de la santé publique et de
la famille, des informations mentionnées à l'article 10, § 3, 1, et § 4, 3°, de la loi du 13 juin 1986 sur le prélèvement et la
transplantation d'organes, par l'intermédiaire des services du registre national des personnes physiques (M.B. 14 févr.
1987).
130
    A.R. du 30 oct. 1986 autorisant certaines autorités du Ministère de la santé publique et de la famille à utiliser le numéro
d'identification au registre national des personnes physiques en vue de l'application de la législation sur le prélèvement et
la transplantation d'organes (M.B. 14 févr. 1987).
131
    Cf. sur ce point l'avis défavorable de la Commission consultative de la protection de la vie privée, avis n° 86/050 du 27
août 1986, précédant l'A.R. du 30 oct. 1986 autorisant certaines autorités du Ministère de la santé publique et de la famille
à utiliser le numéro d'identification du registre national des personnes physiques en vue de l'application de la législation
sur le prélèvement et la transplantation d'organes, M.B., 14 févr. 1987; cf. également la circulaire du 19 févr. 1987 du
Ministère de la santé publique et de l'environnement relative à la loi du 13 juin 1986, M.B. du 14 févr. 1987.
                                                                                                                         40.-


65.          L'autorisation d'utiliser le numéro d'identification confère à l'autorité ou à l'organisme
habilité à l'utiliser, soit la possibilité d'un usage à des fins internes (gestion de fichiers propres,
établissement de statistiques), comme c'est le cas pour l'Institut National de Statistique, soit, outre
cette possibilité, celle d'un usage à des fins externes, c'est-à-dire en tant qu'identifiant lors de rapports
avec d'autres autorités ou organismes.


66.          On conçoit aisément que l'usage généralisé du numéro d'identification en tant qu'identi-
fiant "unique" dans le cadre de la gestion administrative des grands secteurs publics (sécurité sociale,
impôts,...) et des relations internes et externes nécessaires à ceux-ci permet une réforme fondamentale
des méthodes d'organisation et la réalisation d'économie dans les frais de fonctionnement. Il suffit,
pour cela, de songer à la quantité de travail non "productif" lié aux recherches administratives
nécessaires pour l'identification des personnes en cause et à la localisation des informations qui les
concernent.

            Le danger de l'usage généralisé de ce numéro ne doit toutefois pas être caché pour ces
raisons économiques.

              Les arrêtés royaux du 5 décembre 1986 132 relatifs à l'accès au registre national des
autorités, des organismes d'intérêt public et des organismes remplissant des missions d'intérêt général
dans le cadre de la sécurité sociale des travailleurs salariés constituent, outre sur de nombreux points,
un parfait exemple d'illégalité, la préfiguration de ce que peut donner un usage intensif du numéro
identifiant. En effet, l'utilisation de ce dernier est rendue obligatoire ou permise, indirectement, aux
employeurs, aux syndicats, aux hôpitaux, aux sous-traitants "informatiques" de ces personnes et des
organismes d'intérêt public ou remplissant des missions d'intérêt général. Dans certains cas,
l'utilisation du numéro d'identification est même rendue obligatoire pour les personnes concernées133.



F. Autres usages du numéro identifiant

67.          En vertu de l'article 314, § 1er, du Code des impôts sur les revenus 1992, chaque
contribuable s'est vu attribuer, par l'Administration des contributions directes, un "numéro fiscal
d'identification", lequel correspond au numéro d'identification du registre national des personnes
physiques, pour les contribuables qui ont pareil numéro.

             Le numéro attribué peut servir d'identification interne aux autorités du Ministère des
finances déjà habilitées à utiliser le numéro du registre national des personnes physiques, en vertu de
l'arrêté royal du 25 avril 1986 précité. Le législateur a ainsi donné le feu vert à différentes procédures
informatiques envisagées, depuis de longues dates, par l'Administration fiscale134.

           Bien plus, le numéro identifiant peut être utilisé par l'Administration des contributions
directes comme identifiant externe avec le titulaire du numéro, avec l'ensemble des autorités ou

132
    M.B. du 19 déc. 1986.
133
    C'est le cas notamment de la reproduction du numéro faisant suite à une communication, en matière de sécurité sociale,
mentionnant la personne concernée et émanant d'une autorité publique ou d'un organisme autorisé à utiliser ce numéro.
Cette obligation dérive, nous l'avons vu, non de la loi du 8 août 1983, mais de l'exécution d'habilitations légales en matière
de sécurité sociale (cf. les avis du Conseil d'Etat avant les A.R. du 5 déc. 1986 - M.B. du 19 déc. 1986).
134
    Cf. P. GLINEUR et T. AFSCHRIFT, "La loi du 7 déc. 1988, dite de réforme fiscale", J.T., 1989, p. 365 à 379 et 389 à
397, spéc. p. 393 et svtes.
                                                                                                     41.-


organismes habilités à utiliser le numéro et, avec toute personne quelconque tenue de fournir des
renseignements à l'Administration des contributions directes dans le cadre des impôts sur les revenus,
c'est-à-dire pratiquement toute personne qui est entrée en contact avec le contribuable.

            L'utilisation du numéro identifiant est même rendue obligatoire dans la plupart des cas,
pour les personnes interrogées par l'Administration et ce, sous peine de sanctions.


68.        En sus de cette application, purement informatique, du registre national, ce dernier a reçu,
dans le domaine fiscal, une utilisation bien déroutante.

            L'article 3, § 2, du Code des impôts sur les revenus 1992, dispose que "sauf preuve
contraire, sont présumées avoir établi en Belgique leur domicile ou le siège de leur fortune, les
personnes physiques qui sont inscrites au registre national des personnes physiques".

            Le but de cette disposition est, évidemment, de dispenser l'Administration de rapporter la
preuve d'un lien de rattachement avec la Belgique. Ce but a été manifestement atteint par le Code des
impôts sur les revenus 1992, mais d'une façon évidement critiquable.

            En effet, la présomption contenue dans cette disposition fait que les personnes inscrites
dans les registres tenus dans les missions diplomatiques et les postes consulaires belges à l'étranger
peuvent, dorénavant, être présumées des habitants du Royaume pour l'application de l'impôt des
personnes physiques.

            Puisque le registre national ne constitue qu'une retranscription des données des registres
de la population, l'inscription au registre national n'est en réalité qu'une présomption de l'inscription
dans ces registres de la population.

            L'article 3 du Code des impôts sur les revenus 1992 aboutit ainsi à une présomption en
cascade : si une personne inscrite au registre national est présumée avoir son domicile fiscal en
Belgique, c'est parce que le registre national est une présomption de l'inscription au registre de
population d'une commune et que cette inscription dans ce dernier registre présume l'existence d'un
domicile en Belgique.



G. Délai de conservation des données

69.         Les données enregistrées, c'est-à-dire toutes les informations passant par le registre, à
l'exception de celles résultant du switching qui ne peuvent être maintenues, sont conservées pendant
trente années à compter du jour du décès de la personne concernée.



H. Contrôle individuel et auto-contrôle


a) Contrôle individuel
                                                                                                                             42.-


70.         L'article 10 de la loi du 8 août 1983 a établi au profit des personnes physiques concernées
un droit d'accès et de rectification dont les dispositions seront appelées à être remplacées par les
dispositions réglementaires prévues en matière de droit d'accès et de rectification prises en exécution
de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de
données à caractère personnel et modifiée en 1998.

           Actuellement, le droit d'accès s'exerce auprès de la commune ou de la mission diploma-
tique ou consulaire dans laquelle l'intéressé est inscrit. Ce droit porte sur tout ce qui est inscrit et
conservé par le registre, à l'exception des mentions en transit qui ne sont pas maintenues.


71.          Un arrêté royal du 3 avril 1984 organise le contrôle individuel en précisant les modalités
de l'accès et de l'exercice du droit de rectification.

           Pour obtenir la communication des éléments la concernant, la personne "fichée" ou son
représentant légal doit s'adresser à la commune ou au poste diplomatique ou consulaire où elle est
inscrite.

            L'intéressé doit, soit présenter "personnellement" une demande datée et signée, soit
adresser cette demande par lettre recommandée à la poste.

             Lorsqu'il n'a pas été répondu immédiatement à la démarche personnelle de l'intéressé ou
dans les sept jours de la demande par lettre recommandée, le demandeur doit être convoqué dans le
délai de un mois prenant cours à la réception de la demande (trois mois pour les missions diploma-
tiques et les postes consulaires), pour obtenir, après vérification de son identité, communication des
informations le concernant et enregistrées au registre national. Cette communication doit être "écrite
et aisément compréhensible"; elle doit reprendre la totalité des enregistrements relatifs à la personne
concernée et les informations doivent être conformes à son contenu.

            Quoique les textes135 pouvaient susciter quelques doutes sur l'étendue du droit d'accès, la
pratique suivie est que la communication sollicitée reprend non seulement les neuf informations de
base, mais également les informations qui auraient été enregistrées, à la demande spécifique de la
commune d'inscription.

            Tout refus de communication (par exemple, pour vice de forme), doit être motivé et
notifié au demandeur dans le délai d'un mois (ou de trois mois pour les demandes formulées à une
mission diplomatique ou un poste consulaire).

            Il est interdit à une commune qui dispose de moyens informatiques pour la gestion de sa
population, de se substituer au registre national pour délivrer le document à fournir en réponse à la
demande de communication de l'intéressé; la communication écrite doit d'ailleurs porter la mention
que les informations qu'elle contient constituent une reproduction conforme de tous les enregistre-
ments relatifs à cette personne et ce document est signé pour certifier que les informations qu'il
contient proviennent du registre national.

           Enfin, le droit d'accès n'est soumis à aucune limite telle que l'exigence d'un intervalle de
temps entre deux demandes ... et, l'accès est gratuit !

135
   Article 10 de la loi du 8 août 1983 et article 4 de l'A.R. du 3 avr. 1984 relatifs à l'exercice du droit d'accès et du droit de
rectification par les personnes inscrites au registre national.
                                                                                                                       43.-




72.          Le droit de rectification reconnu à l'intéressé porte sur toute information à propos de
laquelle l'accès est autorisé (par exemple, omission d'un des prénoms, mauvaise orthographe, état
civil dépassé, etc).

            La procédure pour obtenir la rectification d'une ou de plusieurs informations est la même
que celle prévue pour le droit d'accès.

            La personne qui exerce son droit de rectification doit fournir à l'appui de sa demande tous
les éléments de preuve susceptibles d'être pris en considération136.

             Le droit de rectification inclut, pour la personne concernée, le droit, soit de faire effacer
toutes les informations la concernant lorsqu'elle n'a jamais été inscrite aux registres de la population
ou aux registres des étrangers ou aux registres des missions diplomatiques et des postes consulaires,
soit de se faire inscrire, si elle figure dans l'un de ces registres.

            A l'issue de la procédure de rectification, le demandeur doit recevoir un document dans
lequel toutes les informations modifiées sont présentées sous une forme aisément compréhensible.

              Le droit de rectification est évidemment exercé gratuitement.



b) Auto-contrôle

73.        La loi du 8 août 1983 a prévu, dans son article 11, des obligations spécifiques pour les
personnes qui, dans l'exercice de leur fonction, interviennent dans la collecte, le traitement ou la
transmission des informations figurant au registre national. Ainsi, ces personnes sont tenues au secret
professionnel. Elles doivent faire toute diligence pour la correction et la mise à jour des informations,
pour assurer la sécurité, vérifier le caractère approprié des programmes servant au traitement
informatique et la régularité de la transmission des informations.

              Toutes ces obligations sont sanctionnées pénalement par l'article 13 de la loi du 8 août
1983.

            Nous avons vu que l'article 6 de l'arrêté royal du 3 avril 1984, relatif à l'accès de certaines
autorités publiques au registre national, avait imposé aux communes, aux missions diplomatiques et
aux postes consulaires, la désignation d'un agent "spécialement chargé de veiller à l'application de la
loi du 8 août 1983". Au niveau local, cet agent est donc la personne sur qui repose principalement les
obligations prévues par l'article 11 de la loi137.



I. Contrôle institutionnel

136
    Article 9 de l'A.R. du 3 avr. 1984 relatif à l'exercice du droit d'accès et du droit de rectification par les personnes
inscrites au registre national.
137
    Ce qui n'exclut nullement la responsabilité pénale des organes de la commune, tel le bourgmestre : cf. l'espèce tranchée
par le tribunal correctionnel de Charleroi, le 1er févr. 1990, J.T. 1990, p. 474.
                                                                                                      44.-




74.         L'article 12 de la loi du 8 août 1983 avait prévu l'institution d'une "Commission
consultative". Cette Commission dépendait entièrement de l'exécutif qui en réglait la composition et
le fonctionnement.

                 La compétence de cette Commission était quasi exclusivement une compétence d'avis.

             La Commission avait également compétence pour examiner les plaintes des personnes
concernées. L'examen de cette plainte se terminait après une communication de la Commission, à
l'auteur de la plainte, lui faisant savoir si celle-ci lui paraissait ou non fondée, sans pouvoir y donner
d'autres suites138.

            Enfin, la Commission possédait un pouvoir d'investigation : elle pouvait procéder à des
vérifications sur place moyennant l'autorisation préalable du juge d'instruction.


75.          Eu égard au fait que l'arrêté royal de pouvoirs spéciaux n° 141 du 30 décembre 1982
"créant une banque de données relatives aux membres du personnel du secteur public" avait
également prévu la création d'une Commission consultative, avec des pouvoirs identiques, le
Gouvernement de l'époque avait estimé plus efficace et plus rationnel de créer une commission
unique, dénommée "Commission consultative de la protection de la vie privée", réunissant l'ensemble
des compétences attribuées en matière de vie privée par l'arrêté royal n° 141 et la loi du 8 août 1983 et
la loi du 8 août 1983.

             La Commission consultative de la protection de la vie privée a reçu, par la suite, de
nouvelles compétences dans le cadre de la loi réglant la banque de données "Carrefour", loi qui
modifia profondément ses statuts, outre sa dénomination en "Commission de la protection de la vie
privée", puis dans le cadre de la loi du 8 décembre 1992 relative à la protection de la vie privée à
l'égard des traitements de données à caractère personnel.

           Nous nous proposons donc d'étudier, plus en détail, le fonctionnement et les pouvoirs de
la Commission de la protection de la vie privée, dans le cadre de l'examen de la loi du 8 décembre
1992 précitée.




Sous-section 3 : Banque-Carrefour de la sécurité sociale


A. Historique

76.          Comme l'a relevé le rapporteur de la Commission des affaires sociales de la Chambre,
lors des travaux préparatoires de la loi du 15 janvier 1990 "relative à l'institution et à l'organisation
d'une Banque-Carrefour de la sécurité sociale"139, l'administration de la sécurité sociale, dans notre
pays, possède une "tradition" et une "culture informatique" assez ancienne et tributaire, de toute
évidence, de l'organisation administrative de la sécurité sociale et des modalités de gestion des

138
      Article 12, alinéa 7 de la loi du 8 août 1983.
139
      Doc. Parl. Ch., session 1988-1989, n° 869/4, p. 2.
                                                                                                                     45.-


organismes parastataux qui en constituent l'ossature. Cette organisation administrative se caractérise
par une distribution spécialisée des compétences au sein du régime global de la sécurité sociale des
travailleurs salariés, constituée par un ensemble de branches (allocations familiales, assurances soins
de santé et invalidité, accidents du travail, maladies professionnelles, vacances annuelles, chômage,
pensions).

           Le secteur de la sécurité sociale des travailleurs indépendants n'échappe pas non plus à un
pareil morcellement.

            La gestion de chacune de ces branches est conférée à un organisme parastatal central et
assurée, pour la plupart d'entre elles, avec la collaboration d'organismes nés d'initiatives privées,
souvent à caractère politique ou syndical marqué (mutualités, caisses de vacances, caisses d'alloca-
tions familiales, etc).

           Dans cet univers morcelé, les processus d'informatisation se sont développés de façon
quasiment autonomes, sans prendre en compte des perspectives globales.

             Lorsqu'il y a eu "organisation informatique", celle-ci a été réalisée de "façon verticale"140,
au sein des organismes, voire des différentes branches, et ce, dans la quasi-totalité des cas, sans
habilitation expresse141.

              On lit dès lors sans étonnement, dans l'exposé des motifs, le passage descriptif suivant :
"des efforts exagérés sont (...) demandés aux citoyens, aux assurés sociaux, aux employeurs lors de la
communication aux organismes de sécurité sociale, des données nécessaires à l'établissement de leurs
droits ou obligations. La collecte répétée, et à la même source, d'une information identique
concernant une seule personne ou une même situation, par des institutions différentes et sous une
forme différente, dictée par les besoins spécifiques de l'organisme "collecteur", provoque assez
naturellement chez la personne ou l'organe interrogé une réaction d'agacement peu heureuse là où
l'esprit de solidarité et de justice sociale devrait l'emporter. La multiplication des flux d'informations
provoque en outre une augmentation inutile des frais de gestion administrative, occasionne des
dépenses sociales superflues (par exemple, la non-application des règles d'interdiction, totale ou
partielle de cumul, par manque d'information intégrée) et ralentit considérablement le traitement des
dossiers d'assurés sociaux, pour qui une telle attente peut être dramatique"142.


77.         L'idée de créer une centrale de données sociales n'est pas neuve. Déjà en 1976, le Conseil
national du travail, sur la base de travaux menés dans le cadre d'un programme national de recherche
en sciences sociales, avait défini les grands principes devant présider, à son avis, à la création d'une
banque centrale de données sociales.

              L'article 18 de la loi du 29 juin 1981 établissant les principes généraux de la sécurité
sociale des travailleurs salariés, qui n'a jamais été mis en vigueur, a repris ce projet en prévoyant
l'institution d'une "Banque publique de données sociales" s'étendant à l'ensemble des régimes belges
de sécurité sociale et d'assistance, dont les statuts, les missions et l'organisation auraient dû être
définis par la loi.

140
    Rapport au nom de la Commission des affaires sociales précité, p. 3.
141
    Cf. toutefois l'A.R. du 16 déc. 1987 portant organisation et fonctionnement d'une banque centrale de données au Fonds
des accidents du travail, M.B. du 25 déc. 1987.
142
    Doc. Parl. Ch., session 1988-1989, n° 899/1, p. 4.
                                                                                                                        46.-


             L'avant-projet de Code de la sécurité sociale présenté par le président et le vice-président
de la Commission royale chargée de la codification, de l'harmonisation et de la simplification de la
législation relative à la sécurité sociale, avait déjà conduit le Gouvernement à rédiger un avant-projet
de loi "portant organisation d'une banque sociale générale de carrefour", soumis à l'époque à l'avis du
Conseil national du travail 143 , du Conseil supérieur des classes moyennes 144 , de la Commission
consultative de la protection de la vie privée et du Conseil d'Etat.

             Le projet de loi qui devait devenir la loi du 15 janvier 1990, ne s'est pas écarté fonda-
mentalement du précédent avant-projet. Il fut présenté, par son auteur, comme "un premier module
de base de ce qui devrait devenir, par adoptions successives et dans le cadre d'un processus de
réalisation souple, le Code de la sécurité sociale du XXIe siècle"145.

            Selon l'auteur du projet, "la simplification, l'harmonisation et la coordination de la
sécurité sociale passe (...) pour l'essentiel, par deux voies : la voie législative traditionnelle, associant
activement les interlocuteurs sociaux et devant déboucher sur des propositions concrètes de textes
nouveaux; la voie technique faisant appel aux facilités de gestion offertes par le traitement automatisé
des données. (...) cette informatisation, par les analyses auxquelles elle donnera lieu, les comparai-
sons qu'elle provoquera, les coordinations qu'elle imposera, poussera nécessairement aux simplifi-
cations et aux harmonisations légales ou réglementaires chaque fois que cela se justifie"146.



B. Statut et missions de la Banque-Carrefour

78.         Telle qu'organisée par la loi du 15 janvier 1990 modifiée par la loi du 6 août 1990, la
"Banque-Carrefour de la sécurité sociale" est un "organisme public doté de la personnalité civile",
créé auprès du Ministre de la prévoyance sociale147, et soumis à un régime juridique similaire à celui
des organismes parastataux de sécurité sociale, c'est-à-dire une gestion paritaire associant les
partenaires sociaux.


79.         La Banque-Carrefour n'a pas pour mission de centraliser la collecte des données sociales
ou l'enregistrement ou le traitement de celles-ci. Ces missions relèvent toujours, en principe, des
divers organismes de sécurité sociale qui conservent à cet égard leur pleine autonomie.

            La Banque-Carrefour fait uniquement office d'organisme carrefour par l'intermédiaire
duquel doit normalement se dérouler tout échange de données entre les organismes de sécurité sociale
ou entre ces organismes et des tiers.

             La Banque-Carrefour se borne à coordonner et à contrôler le fonctionnement du réseau,
c'est-à-dire l'ensemble constitué par les banques de données sociales, la Banque-Carrefour et le
Registre national.

143
    Avis n° 867 du 2 juin 1987.
144
    Doc. n° 36-7/87-2 du 10 juil. 1987.
145
    Exposé des motifs, Doc. Parl. Ch., session 1988-1989, n° 899/1, p. 1 et 3. Nous laissons à l'auteur du projet la
responsabilité de ces propos !
146
    Exposé des motifs cité, p. 3.
147
    Article 1 de la loi; l'entrée en vigueur progressive des dispositions de la loi du 15 janv. 1990 est réglée par un arrêté
royal du 13 août 1990, publié au M.B. du 6 déc. 1990. Cet arrêté prévoit l'entrée en vigueur de la plupart des dispositions
de la loi au 1er janv. 1991.
                                                                                                        47.-




           A cet effet, la Banque-Carrefour accorde aux organismes ou institutions concernés, un
accès contrôlé à l'information enregistrée dans les différentes banques de données du réseau, en ce
compris le Registre national, pour autant que cela soit utile pour l'application de la sécurité sociale.

            En d'autres termes, la collecte des données à caractère personnel auprès des assurés
sociaux et des employeurs se fait toujours par et à l'initiative des différents organismes de sécurité
sociale, sans intervention de la Banque-Carrefour. L'organisme concerné a toutefois l'obligation de
s'assurer préalablement à une collecte de données, en faisant appel à la Banque-Carrefour, que
l'information recherchée n'est pas disponible dans la banque d'un autre organisme connecté au
réseau148.

           Lorsque les organismes de sécurité sociale collectent des informations qui ne sont pas
encore disponibles dans le réseau, elles ont l'obligation de communiquer immédiatement à la
Banque-Carrefour la nature des informations complémentaires dont ils disposent désormais, de telle
façon que chaque organisme, dans le réseau, puisse y faire appel si nécessaire149.

            Pour remplir sa fonction, la Banque-Carrefour tient à jour un répertoire des personnes,
fondé sur l'usage de l'identifiant unique (en principe le numéro d'identification au registre national).
Ce répertoire peut être subdivisé en répertoires seconds :

-     de localisation : tel assuré social a un dossier dans tel organisme (ou telle branche);
-     de qualification : telle personne est connue sous telle qualité dans tel organisme (ou telle branche);
-     de référence : telle donnée, avec tel contenu, est présente dans tel organisme (ou telle branche) au
      sujet de telle personne;
-     de contrôle : tel organisme (ou telle branche) a accès à telle donnée.


            Ainsi, en vertu de l'article 6 de la loi du 15 janvier 1990, le répertoire de la Ban-
que-Carrefour fournit la localisation, soit en mentionnant l'institution de sécurité sociale où ces
données sont conservées, soit en mentionnant la ou les branches de la sécurité sociale où ces données
sont disponibles, lorsqu'une ou plusieurs institutions de sécurité sociale chargées de l'application de
cette ou de ces branches tiennent à jour un répertoire particulier des personnes150.

              L'enregistrement des données sociales s'effectue de façon décentralisée, sous les
directives de la Banque-Carrefour, dans les banques de données périphériques particulières des divers
organismes de sécurité sociale. Aux termes de l'exposé des motifs151 "la possibilité de répartition
fonctionnelle des compétences en matière d'enregistrement des données entre ces organismes, dans la
limite des dispositions existantes permet cependant à la Banque-Carrefour de limiter l'enregistrement
multiple et superflu de données en divers endroits et d'optimaliser ainsi les garanties concernant la
validité et le caractère confidentiel de l'information".

             On notera que c'est pour des raisons tenant à la protection de la vie privée qu'il a été prévu
que la localisation des données se fasse, le cas échéant, par "branche de la sécurité sociale" au moyen
d'un "répertoire particulier" des personnes. Cette procédure permet de garantir, de façon appropriée,
la confidentialité de certains renseignements tels que l'affiliation syndicale ou l'affiliation mutualiste.
148
    Article 11 de la loi.
149
    Article 10 de la loi.
150
    Article 6 de la loi.
151
    Doc. Parl. cité, p. 6.
                                                                                                     48.-




80.         La Banque-Carrefour dispose, nonobstant ce qui précède, de la possibilité d'enregistrer et
de conserver un certain nombre de données d'identification à caractère personnel. Il s'agit de données
dont plusieurs organismes de sécurité sociale ont régulièrement besoin pour l'exécution de leurs
missions et qui ne peuvent pas être puisées dans un registre national accessible à ces organismes.

            La disponibilité de telles informations complémentaires d'ordre général, dans le noyau
central du réseau, a semblé au Gouvernement constituer "la solution la plus efficace"152.


81.          En plus de sa mission d'organisation, de coordination et de contrôle de l'échange de
données à caractère personnel, la Banque-Carrefour est également chargée de transformer les
données disponibles dans le réseau en informations statistiques, sociologiques, économiques et
financières "dépersonnalisées", "utiles à la connaissance, à la conception et à la gestion de la sécurité
sociale"153.

            Des extraits d'échantillons représentatifs sont toutefois rendus possibles, dans des
conditions à déterminer par un arrêté royal154.

            L'information dépersonnalisée ainsi que les échantillons sont notamment accessibles aux
Ministres de la sécurité sociale, aux Chambres, aux institutions publiques de sécurité sociale, au
Conseil national du travail, au Conseil supérieur des classes moyennes et au Bureau du Plan155.



C. Liens entre la Banque-Carrefour et le Registre national - Sort du numéro identifiant

82.          Nous avons vu, lors de l'étude du Registre national, que les arrêtés royaux du 5 décembre
1986 avaient autorisé l'accès aux informations du Registre national aux organismes parastataux de
sécurité sociale et aux organismes privés satellites de ces parastataux (mutuelles, caisses d'allocations
familiales, assureurs accidents du travail, caisses de vacances, etc), organismes appelés par la loi du
15 janvier 1990 les "institutions coopérantes".

             Les arrêtés royaux du 5 décembre 1986 avaient également imposé aux organismes
parastataux de sécurité sociale et aux organismes coopérants, l'usage du numéro d'identification du
registre national en tant qu'identifiant unique.

           Dorénavant, en vertu de l'article 7 de la loi du 15 janvier 1990, les données de base
contenues dans le Registre national, ainsi que le numéro identifiant, sont accessibles à la Ban-
que-Carrefour. Celle-ci reçoit également un pouvoir d'utilisation, du numéro identifiant de ce
registre. Dans l'intention du législateur, il est en effet prévu que le Registre national transmettra
automatiquement les données dont il est titulaire ainsi que le numéro identifiant à la Ban-




152
    Exposé des motifs, Doc. Parl. cité, p. 6.
153
    Article 5, al. 1er, de la loi.
154
    Article 5, al. 2, de la loi.
155
    Article 5, al. 3, de la loi.
                                                                                                               49.-


que-Carrefour "qui les répercutera à son tour vers les organismes concernés, à charge pour ceux-ci
d'en tirer les conséquences adéquates à l'égard des assurés sociaux"156.

            Pour les personnes non inscrites au Registre national, un numéro identifiant spécifique au
réseau de la Banque-Carrefour a été prévu157.


D. Etendue du réseau - schéma et fonctionnement

83.        L'étendue du réseau informatique couvert par la Banque-Carrefour est très large puisqu'il
vise l'ensemble des régimes d'assurances sociales (des travailleurs salariés, des travailleurs
indépendants, des personnes relevant du secteur public) ou d'aide sociale158.

           Le réseau comprend donc, outre la Banque-Carrefour elle-même et le registre national,
l'ensemble des institutions publiques de sécurité sociale et l'ensemble des institutions coopérantes.

           Sont également inclus les fonds de sécurité d'existence, dans la mesure où ils accordent
des avantages complémentaires aux prestations assurées par la sécurité sociale.


84.         Le schéma commenté ci-dessous, repris en partie du rapport fait au nom de la Commis-
sion des affaires sociales de la Chambre et aujourd’hui actualisé sur le très intéressant site de la
Banque-Carrefour (http://bcss.fgov.be) permet d'avoir une idée assez claire du réseau ainsi constitué.

             Ce schéma de la structure du réseau distingue deux niveaux :

            1° le réseau primaire, dans lequel sont intégrés les organismes coordinateurs de la sécurité
sociale; il s'agit de la majorité des organismes parastataux. Ils sont reliés directement à la
Banque-Carrefour de la sécurité sociale;

             2° le réseau secondaire est constitué par les institutions coopérantes de sécurité sociale; ce
sont les organismes assureurs en matière d'assurances maladie-invalidité, les caisses de vacances, les
caisses d'allocations familiales, les compagnies d'assurances en matière d'accidents du travail, les
organismes payeurs d'allocations de chômage, les organismes d'assurances en matière de rentes
complémentaires ou pensions. Ils sont chacun reliés à l'organisme du réseau primaire, qui gère et
coordonne la branche en cause, via lequel ils sont reliés à la Banque-Carrefour. Ainsi, les caisses de
vacances ont accès à celle-ci via l'Office national de vacances annuelles. Au sein de chacune des
branches, la communication entre les organismes ne se fera pas nécessairement via la Ban-
que-Carrefour mais celle-ci devra autoriser l'échange des différents types de données (article 14, al.
1er, 5°, de la loi).

            Il est à noter que plusieurs groupes d'institutions coopérantes ont dû décider d'utiliser leur
propre réseau pour les communications entre elles. C'est le cas de certaines compagnies d'assurances
en matière d'accidents du travail. C'est le cas également des organismes assureurs en matière
d'assurances maladie qui ont formé leur propre réseau sous les auspices du Collège Intermutualiste
National (CIN). En raison de la protection nécessaire des données idéologiques et médicales, le
156
    Rapport au nom de la Commission des affaires sociales de la Chambre cité, Doc. Parl. Ch., session 1988-1989, n°
999/4, p. 2.
157
    Article 8, 2°, de la loi.
158
    Cf. article 2 de la loi.
                                                                                                      50.-


Gouvernement leur a accordé, pour certaines applications, un accès direct à la Banque-Carrefour,
étant entendu que la liaison normale via l'organisme central de coordination, l'INAMI en l'occurrence,
reste également possible.

            La Banque-Carrefour est elle-même reliée à des banques de données externes, et
principalement au Registre national des personnes physiques. Aucune institution de sécurité sociale
n'a plus accès direct au registre national, mais les données de celui-ci sont répercutées à l'intervention
de la Banque-Carrefour.

            On notera que le gouvernement, par arrêté délibéré en conseil des ministres, sur
proposition du Comité de gestion de la Banque-Carrefour et après avis de la Commission de la
protection de la vie privée, peut étendre à d'autres personnes que les institutions de sécurité sociale,
tout ou partie des droits et obligations résultant de la loi, c'est-à-dire étendre le réseau159.


85.         De façon tout à fait générale, les institutions de sécurité sociale sont tenues de commu-
niquer à la Banque-Carrefour toutes les données dont celle-ci a besoin pour sa mission160.

            Compte tenu de la finalité avancée d'aboutir à l'unicité de la collecte de l'enregistrement
des données, dans le cadre du réseau informatique intégré, fondé sur une distribution fonctionnelle
des compétences et des responsabilités entre organismes, ainsi que sur une spécialisation des banques
de données périphériques, la loi a donné pour pouvoir à la Banque-Carrefour de répartir les tâches
d'enregistrement des données sociales entre les organismes de sécurité sociale. C'est une obligation
pour ces organismes d'enregistrer et de tenir à jour les données dont la conservation leur a été confiée
par la Banque-Carrefour161.


86.          Toute communication des données par une institution de sécurité sociale, dans ou hors
réseau, a lieu, en principe, obligatoirement par l'intermédiaire de la Banque-Carrefour.

               Il n'est fait exception à ce principe que lorsque la communication a pour destinataires :

-     les personnes auxquelles les données se rapportent, leurs représentants légaux ainsi que leurs
      mandataires;
-     les personnes autres que les institutions de sécurité sociale, qui ont besoin de ces données en vue
      de remplir leurs obligations en matière de sécurité sociale, leurs préposés, mandataires et leurs
      sous-traitants pour l'application de la sécurité sociale;
-     les organismes de droit étranger, pour l'application des conventions internationales en matière de
      sécurité sociale;
-     les institutions de sécurité sociale elles-mêmes, leurs préposés ou mandataires, dans des cas
      déterminés par arrêtés royaux162.



E. Mesures de protection de la vie privée


159
    Article 18 de la loi.
160
    Article 10 de la loi.
161
    Article 9 de la loi; cf. supra, n° 87.
162
    Article 14 de la loi.
                                                                                                           51.-


87.         La loi prévoit diverses mesures de protection de la vie privée dont nous allons tenter de
donner, ci-après, un bref aperçu.

             Ces diverses mesures de protection ont pour objet commun les "données sociales à
caractère personnel", expression définie par la loi comme étant "toutes les données nécessaires à
l'application de la sécurité sociale, (...) concernant une personne identifiée ou identifiable"163.

              Il faut, à notre avis, par cette expression, entendre toutes les données, à caractère
personnel, en possession des institutions de sécurité sociale. En effet, toutes les données détenues par
ces organismes constituent, de facto, des données nécessaires à l'application de la sécurité sociale. Si
tel n'était pas le cas, alors il faudrait considérer que ces données ne sont pas détenues légitimement par
ces organismes dont la mission légale et statutaire est, en principe, exclusivement l'application des
lois sur la sécurité sociale.

            Diverses mesures de protection ont également pour objet commun les "banques de
données sociales", expression définie par la loi comme étant "les banques de données où des données
sociales sont conservées par les institutions de sécurité sociale ou pour leur compte"164.

            Par cette définition, le législateur a voulu inclure, dans la protection, les fichiers ne
figurant pas sur support informatique. C'est évidemment très heureux.



a) Mesures d'autocontrôle

88.         Le législateur a très correctement rappelé, dans le texte de la loi du 15 janvier 1990, le
principe de finalité et de spécialité qui est à la base de toute l'éthique de l'utilisation des fichiers
informatisés publics, voire de l'information administrative en général. L'article 23 de la loi prévoit :
"Les personnes qui interviennent dans l'application de la sécurité sociale ne peuvent obtenir
communication que des données dont elles ont besoin pour cette application. Lorsque ces personnes
ont reçu communication de données sociales à caractère personnel, elles ne peuvent en disposer que
le temps nécessaire pour l'application de la sécurité sociale et elles sont tenues de prendre les mesures
qui permettent d'en garantir le caractère confidentiel ainsi que l'usage aux seules fins prévues par ou
en vertu de la présente loi ou pour l'application de leurs obligations légales (...)".


89.         Cette disposition est utilement complétée par l'article 28, relatif au devoir de discrétion :
"Celui qui, en raison de ses fonctions, participe à la collecte, au traitement ou à la communication de
données sociales à caractère personnel, ou a connaissance de telles données, est tenu d'en respecter le
caractère confidentiel; il est toutefois libéré de cette obligation (...) lorsque la loi le prévoit ou l'oblige
à faire connaître ce qu'il sait".


90.      Plus spécifiquement, en matière de flux d'informations, le législateur a prévu que toute
communication de données dans ou hors réseau devait faire l'objet d'une autorisation de principe du



163
      Article 2, 4° et 6° de la loi.
164
      Article 2, 5° de la loi.
                                                                                                                             52.-


Comité de surveillance165. Il peut toutefois être dérogé à la nécessité de cette autorisation de principe
pour les communications internes au réseau, mais uniquement dans des cas prévus par arrêté royal166.


91.         En matière de conservation des données, l'article 29 de la loi prévoit la possibilité d'une
délégation de pouvoirs en vue de la destruction des banques de données, dans l'hypothèse d'un état de
guerre ou de circonstances assimilables.

             Par ailleurs, les banques de données du réseau, en ce compris la Banque-Carrefour, se
voient attribuer expressément la responsabilité de la parfaite conservation des données167.


92.         Chaque institution de sécurité sociale doit désigner, au sein de son personnel ou non, un
"conseiller en sécurité". La Banque-Carrefour doit également désigner, en son sein, parmi son
personnel, un "conseiller en sécurité ".

            Les personnes ainsi désignées sont chargées de la fourniture d'avis qualifiés à la personne
chargée de la gestion journalière et de l'exécution de missions qui lui sont confiées par la personne
chargée de la gestion journalière.

             Le conseiller en sécurité de la Banque-Carrefour fournit en outre des avis qualifiés relatifs
à la sécurité du réseau168.

            Ces conseillers en sécurité, dont l'institution résulte d'une modification apportée à la loi
du 15 janvier 1990 par une loi du 6 août 1993 remplace les "administrateurs de banques de données",
initialement prévus par l'article 24 de la loi du 15 janvier 1990. Ces administrateurs, qui devaient être
désignés dans chaque institution de sécurité sociale, avaient un rôle beaucoup plus important que les
"conseillers en sécurité". Ils étaient responsables des banques de données sociale et ils étaient chargés
de la supervision, du traitement ou de l'échange automatisé des données sociales. Ils devaient
particulièrement veiller à ce que les programmes de traitement ou d'échange automatisés soient
exclusivement conçus et utilisés conformément à la loi et à ses mesures d'exécution. C'était tout
particulièrement sur ces personnes que reposait l'obligation de prendre effectivement les mesures
permettant de garantir le caractère confidentiel des données... Le rôle des conseillers en sécurité est
donc, par rapport à ce qui était initialement prévu, une atténuation des garanties offertes par la loi.


93.          Les obligations de finalité et de confidentialité s'étendent bien au-delà du réseau
informatique organisé169 pour s'appliquer quasiment à toute personne qui détient des données relevant
de la sécurité sociale, telle que le personnel des secrétariats sociaux, ou les membres des services du
personnel des entreprises et des administrations publiques.


165
    Sur cet organe, cf. infra, n° 108.
166
    Il en est ainsi pour toutes les données issues du Registre national (arrêté royal du 8 mai 1992 relatif à la communication
de certaines données à caractère personnel au sein du réseau de la Banque-Carrefour de la Sécurité sociale).
167
    Article 22 de la loi.
168
    Voy. l'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité
sociale (Moniteur belge du 21 août 1993, p. 18487).
169
    Ainsi, l'article 23 de la loi s'applique aux "personnes qui interviennent dans l'application de la sécurité sociale" et
l'article 28 à "celui qui, en raison de ses fonctions, participe à la collecte, au traitement ou à la communication de données
sociales à caractère personnel ou a connaissance de telles données".
                                                                                                                         53.-


             Bien que nous soyons sceptiques sur l'utilité de la mesure, le législateur a songé à
sensibiliser ces personnes en obligeant quiconque occupe du personnel et qui a enregistré des données
sociales à caractère personnel ou à qui de telles données ont été communiquées, à afficher, à un
endroit apparent et accessible, un avis indiquant où, dans l'entreprise, peut être consulté le texte de la
loi du 15 janvier 1990 et de ses arrêtés d'exécution170.


94.           Les données médicales sont sujettes à une protection renforcée.

              Par donnée médicale, la loi entend toute donnée "dont on peut déduire une information
sur l'état antérieur, actuel ou futur de (la) santé physique ou psychique (d'une personne), à l'exception
des données purement administratives ou comptables relatives aux traitements et aux soins
médicaux"171.

             Ces données médicales sont traitées, échangées et conservées sous "la surveillance et la
responsabilité" d'un médecin172. Les personnes qui interviennent dans l'enregistrement, la consulta-
tion, la modification, le traitement ou la destruction de ces données ou qui peuvent y avoir accès
lorsqu'elles sont conservées aux archives, doivent être désignées nominativement. Le contenu et
l'étendue de l'autorisation d'accès sont définis et il en est fait mention dans un registre tenu
régulièrement à jour.

            L'accès aux donnés médicales contenues dans les banques automatisées se fait au moyen
de codes individuels d'accès et de compétence et leur conservation doit être faite sur des supports non
directement accessibles173.



b) Contrôle individuel

95.          Depuis 1996, l'article 19 de la loi du 15 janvier 1990 renvoie, en matière de contrôle
individuel, aux dispositions de la loi du 8 décembre 1992 relative à la protection de la vie privée à
l'égard des traitements de données à caractère personnel174.



c) Contrôle institutionnel


i. Comité de surveillance

96.      Le législateur a institué, auprès de la Banque-Carrefour, un "Comité de surveillance".
Les membres de ce Comité 175, experts des différentes branches concernées (droit, informatique,

170
    Article 27 de la loi.
171
    Article 2, 7° de la loi. On peut douter de l'opportunité de la distinction ainsi opérée. La frontière entre ces deux types
de données est, en effet, d'une extrême largeur, compte tenu des codifications administratives des prestations médicales et
pharmaceutiques.
172
    Article 26, § 1er de la loi.
173
    Article 26, § 2 et 3 de la loi.
174
    Sur ce contrôle prévu par la loi relative à la protection de la vie privée, cf. infra.
175
    Cinq membres effectifs, cinq membres suppléants.
                                                                                                       54.-


médecine) dont l'indépendance, à l'instar des magistrats de l'ordre judiciaire, est judicieusement
garantie176, sont désignés par les Chambres, sur présentation du Conseil des Ministres.

            Le législateur a ainsi entendu instituer un organe de contrôle spécifique à la sécurité
sociale, organe coexistant avec la Commission pour la protection de la vie privée et collaborant avec
cette dernière.

             L'uniformité d'application des principes fondamentaux de la protection de la vie privée en
général est assurée au moyen d'un "droit d'évocation" reconnu à la Commission de la protection de la
vie privée. Selon le rapport de la Commission des affaires sociales de la Chambre, "La Commission
(de la protection de la vie privée) pourra se reposer sur le Comité de surveillance de la Ban-
que-Carrefour pour l'essentiel mais aura à tout moment l'occasion de vérifier, avec l'aide du Comité
si, dans un secteur aussi spécialisé, on ne s'écarte pas de l'uniformité d'interprétation qu'appellent les
principes généraux qu'elle est chargée de promouvoir. Le Comité de surveillance, s'il hésite quant à la
mise en oeuvre d'un principe fondamental dans le cadre de la sécurité sociale, pourra toujours
interroger la Commission sur la portée dudit principe"177.


97.         La coordination des actions du Comité de surveillance et de la Commission de la
protection de la vie privée est assurée par différentes mesures178.

            Le Comité doit porter sans tarder à la connaissance de la Commission toute demande
d'avis, toute requête ou plainte qui lui a été adressée et communiquer systématiquement à la
Commission ses avis, recommandations et décisions.

            Dès leur réception, la Commission dispose d'un délai de quinze jours pour exercer son
droit d'évocation en vue d'assurer le respect ou l'uniformité de l'application des principes généraux en
matière de protection de la vie privée et, dans les trente jours à dater de leur réception, la Commission
doit avoir amendé ou remplacé par les siens les avis, recommandations ou décisions relatifs aux
dossiers évoqués, faute de quoi ceux-ci deviennent définitifs.

            Aucune notification d'avis, recommandations ou décisions du Comité ne peut intervenir
avant l'expiration du délai dans lequel la Commission peut exercer son droit d'évocation et, si la
Commission évoque la cause, le Comité devra également attendre la fin de cette procédure ou, le cas
échéant, le délai de trente jours ci-dessus, avant de communiquer son avis, sa recommandation ou sa
décision.

            Par ailleurs, il est prévu que le Comité de surveillance peut, chaque fois qu'il le juge utile,
poser à la Commission toute question relative à l'application des principes généraux en matière de
protection de la vie privée.

           Enfin, si la Commission de la protection de la vie privée en émet le souhait, un de ses
membres, autre que ceux qui le sont au titre de membres du Comité, peut assister aux délibérations du
Comité, avec voix consultative179.



176
    Articles 39 à 43 de la loi.
177
    Rapport précité, Doc. Parl. Ch., session 1988-1989, n° 899/4, p. 47.
178
    Article 44 de la loi.
179
    Article 45 de la loi.
                                                                                                                            55.-


98.         Les différentes missions du Comité de surveillance sont énumérées par l'article 46 de la
loi du 15 janvier 1990.

             Il est chargé, en vue de la protection de la vie privée, de "veiller au respect" de la loi et de
ses arrêtés d'exécution180.

            Il instruit toute demande, notamment d'enquête, émanant de la Commission de la
protection de la vie privée.

               Il dénonce aux inspecteurs sociaux tous les cas qui constituent ou laissent présumer une
infraction.

               Il formule toute recommandation qu'il juge utile pour l'application et le respect de la loi181.

             Il prête son aide à la solution de tout problème de principe ou de tout litige relatif à
l'application de la loi relative à la Banque-Carrefour et il agit en qualité d'amiable compositeur dans
les litiges qui n'ont pu être résolus autrement182.

             Plus particulièrement, le président du Comité de surveillance informe, dans un délai
raisonnable, les auteurs de doléances, requêtes ou suggestions, du suivi donné à leur intervention et
leur fait part des motifs qui justifient la position du Comité ou, le cas échéant celle de la Commission
de la protection de la vie privée. En outre, sans préjudice de la compétence des cours et tribunaux
ordinaires, le président du Comité de surveillance peut saisir les juridictions du travail de tout litige
concernant l'application de loi relative à la Banque-Carrefour183.

            Le Comité a le pouvoir de permettre à la Banque-Carrefour de mettre fin à la commu-
nication, aux institutions de sécurité sociale, des données sociales nécessaires à celles-ci, aussi
longtemps que ces institutions de sécurité sociale n'exécutent pas leur obligation de communiquer les
données sociales184.

            Enfin, le Comité de surveillance (comme la Commission de la protection de la vie privée)
peut à tout moment rendre publique une de ses recommandations ou décisions, lorsqu'il (elle) a
formulé une recommandation écrite, résolu un problème ou tranché une contestation, qu'il (elle) n'a
pas été informé(e) de la suite qui a été réservée à son intervention, dans le délai fixé par lui (elle) 185.
Ni le projet de loi, ni les travaux préparatoires, ne précisent la manière dont cette publicité sera
assurée.

180
    Comme l'a relevé le Conseil d'Etat, dans son avis, on "n'aperçoit pas clairement comment ce contrôle se situe par
rapport à celui dont sont chargés les inspecteurs sociaux" (Doc. Parl. Ch., session 1988-1989, n° 999/1, p., 118).
181
    Les avis, recommandations ou décisions du Conseil de surveillance n'ont qu'une autorité morale et n'ont aucune force
obligatoire : cf. l'avis du Conseil d'Etat précité, Doc. Parl. Ch., session 1988-1989, n° 899/1, p. 118.
182
    Il résulte des travaux préparatoires de la loi que le Comité n'a, nonobstant l'expression "trancher les litiges" utilisée par
l'article 46, aucune compétence juridictionnelle. Le Comité ne peut se prononcer que sur des questions de stratégie et, à
cet effet, il doit s'efforcer de "trouver des règlements amiables" (déclaration du délégué du Gouvernement au Conseil
d'Etat, avis du Conseil d'Etat précité, Doc. Parl. Ch., session 1988-1989, n° 999/1, p. 119.
183
    Articles 50 et 52 de la loi.
184
    On ne peut oublier, à ce propos, la remarque pertinente du Conseil d'Etat : "Indépendamment des répercussions d'une
telle mesure sur les bénéficiaires de la sécurité sociale, il convient de relever que cette compétence relève davantage du
domaine de la politique que du contrôle" (avis du Conseil d'Etat précité, Doc. Parl. Ch., session 1988-1989, n° 899/1, p.
119.
185
    Article 51 de la loi. Notons que le destinataire de la recommandation ou de la décision peut, dans le cas d'une décision
rendue publique, rendre également publique sa réponse et la décision finalement prise.
                                                                                                      56.-




            Enfin, le Comité fait un rapport aux Chambres législatives chaque année sur l'exécution
de ses missions au cours de l'année écoulée. Le rapport est public et peut être consulté ou acquis par
toute personne intéressée.


99.          Les modes de saisine du Comité sont prévus de façon excessivement large. Aux termes
de l'article 48 de la loi du 15 janvier 1990, "le Comité de surveillance agit soit d'initiative, soit à la
demande notamment de la Commission de la protection de la vie privée, soit à la suite d'une demande
d'avis ou d'une plainte qui lui est adressée".

           Si une doléance ou une requête est adressée à la Commission, celle-ci doit en saisir le
Comité de surveillance.

             La délation anonyme est en outre favorisée. L'article 49 dispose que toute personne, en
particulier tout membre du personnel de la Banque-Carrefour, d'une institution de sécurité sociale,
d'une administration ou d'un service public quel qu'il soit peut, sans devoir obtenir d'autorisation
préalable, s'adresser au Comité de surveillance pour lui signaler des faits ou situations qui selon son
sentiment, nécessitent l'intervention de celui-ci ou lui faire toute suggestion utile. L'alinéa 2 de cet
article garantit très strictement l'anonymat du délateur : son identité ne peut même pas être révélée
aux instances judiciaires186.


100.         Pour exercer sa mission, le Conseil de surveillance dispose de pouvoirs d'enquête et
d'investigation très importants.

             Le Comité peut procéder à des enquêtes, charger un ou plusieurs de ses membres
d'effectuer telle enquête sur place en faisant, le cas échéant, appel à des experts.

             Le Comité ou ses membres, éventuellement assistés d'experts, disposent des pouvoirs
d'investigation qui sont reconnus aux inspecteurs sociaux. Ils peuvent notamment exiger commu-
nication de tout document pouvant leur être utile dans leur enquête.

             Les membres du Conseil de surveillance peuvent également pénétrer en tout lieu où ils
peuvent avoir un motif raisonnable de supposer que s'exerce une activité en rapport avec l'application
de la sécurité sociale. Il s'agit là d'une compétence exceptionnellement large, qui n'est soumise qu'aux
seules restrictions de la loi du 7 juin 1969 fixant le temps pendant lequel il ne peut être procédé à des
perquisitions ou visites domiciliaires.



ii. Inspecteurs sociaux

101.         Outre un organe de contrôle spécifique, le législateur a autorisé l'attribution à des
fonctionnaires qualifiés d'"inspecteurs sociaux" de la "surveillance pénale" du respect de la loi
relative à la Banque-Carrefour.



186
      Avis du Conseil d'Etat précité, Doc. Parl. Ch., session 1988-1989, n° 899/1, p. 120.
                                                                                                                       57.-


             La dénomination "inspecteurs sociaux" est peu heureuse, comme l'a relevé le Conseil
d'Etat, car la législation dont le respect doit être surveillé n'est pas une législation sociale au sens
habituel du terme187.

             Les inspecteurs sociaux188 ont des pouvoirs d'investigation très étendus, s'exerçant de jour
et de nuit, avec la seule restriction de la nécessité d'une autorisation du pouvoir judiciaire si la visite
doit se dérouler dans des locaux habités.

           Les inspecteurs sociaux peuvent entendre des témoins, se faire produire sans déplacement
tous documents, en ce compris les supports informatiques, procéder à des vérifications et des
recherches d'identité, y compris par des procédés photographiques, etc.

              Leurs procès-verbaux font foi jusqu'à preuve du contraire.

           Par ailleurs, ils ont pouvoir d'adresser des injonctions aux institutions de sécurité sociale
et de donner des avertissements.

             Ils peuvent recevoir des plaintes, l'anonymat de l'auteur de la plainte étant garanti, même
devant les tribunaux189.



iii. Commission de la protection de la vie privée

102.        La loi du 15 janvier 1990 a conçu, nous l'avons vu, le Comité de surveillance, comme un
organe indépendant, dont les membres sont désignés par le pouvoir législatif et doté, notamment,
d'une compétence de décisions, de recommandations et de saisine des tribunaux. Ce Comité de
surveillance est investi de larges pouvoirs d'investigation.

           De son côté, la Commission consultative de la protection de la vie privée, tels qu'étaient
conçus ses statuts dans le cadre du registre national et de la banque de données des membres du
personnel des services publics, était un organe purement consultatif, dépendant du pouvoir exécutif et
responsable quasi exclusivement devant ce dernier.

            Il était donc inimaginable de confier à cette Commission consultative un droit d'initiative
et d'évocation à l'égard du Comité de surveillance.

            La modification des statuts de la Commission consultative de la protection de la vie
privée s'imposait donc. Elle fait l'objet de l'article 92 de la loi du 15 janvier 1990, puis des
dispositions de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des
traitements de données à caractère personnel.


103.     Indépendamment de son nouveau statut que nous nous proposons d'étudier plus loin, la
Commission de la protection de la vie privée a, dans le cadre de la Banque-Carrefour, des droits
187
    Avis du Conseil d'Etat précité, Doc. Parl. Ch., session 1988-1989, n° 899/1, p. 121.
188
    Il s'agit des inspecteurs du service de l'inspection sociale du ministère de la prévoyance sociale, des inspecteurs de
l'administration de la réglementation et des relations de travail du ministère de l'emploi et du travail et des inspecteurs
attachés à l'administration des affaires sociales du ministère des classes moyennes.
189
    Article 58, § 2, de la loi.
                                                                                                                      58.-


similaires à ceux d'une autorité chargée d'une tutelle de substitution, pouvoir que l'on ne retrouve pas
dans le cadre du registre national.

           La Commission peut en effet enjoindre au Comité d'agir190. En outre, la Commission peut
évoquer, pour les amender ou remplacer par les siens, les avis, recommandations ou décisions du
Comité191.

             Cette tutelle de substitution confère, à notre avis, à la Commission de la protection de la
vie privée, dans le cadre de l'exercice de cette tutelle, les mêmes pouvoirs que ceux qui sont reconnus
au Conseil de surveillance, tels que le pouvoir d'intervenir en tant qu'amiable compositeur, le pouvoir
de saisir le tribunal du travail, le pouvoir d'effectuer des enquêtes et des investigations, dans les
mêmes conditions que le Comité de surveillance, dans le cas où celui-ci refuse d'y procéder, etc.

              Ni la loi, ni les travaux préparatoires de la loi n'ont abordé cette question192.



iv. Dispositions pénales

104.        A l'instar des dispositions relatives au Registre national et à la banque de données des
membres du personnel du secteur public, la loi relative à la Banque-Carrefour a prévu des sanctions
pénales à charge de ceux qui enfreignent le principe de finalité, le devoir de confidentialité ou qui
s'abstiennent de prendre les mesures appropriées pour leur respect193.

             On notera tout particulièrement que le législateur de 1990 a érigé en infraction le fait
d'accéder volontairement ou de se maintenir volontairement, avec ou sans intention frauduleuse, dans
tout ou partie d'un traitement automatisé de données sociales du réseau. Est également érigé en
infraction le fait d'avoir, en dehors des conditions prévues par la loi, volontairement, avec ou sans
intention frauduleuse, introduit des données dans le réseau ou supprimé ou modifié des données qu'il
contient ou leur mode de traitement ou de transmission, entravé ou altéré le fonctionnement d'un
traitement automatisé de données sociales du réseau ou endommagé ou détruit tout ou partie d'un tel
traitement, notamment les données ou les programmes qui y figurent.




190
    Article 48 de la loi.
191
    Article 44 de la loi.
192
    Dans son avis, le Conseil d'Etat s'est borné à relever que la définition des missions de la Commission était "trop
sommaire" : elle "ne fait pas état des nouvelles compétences de la Commission dans le cadre du droit d'évocation réglé par
l'article 44", avis du Conseil d'Etat cité, Doc. Parl. Ch., session 1988-1989, n° 899/1, p. 130.
193
    Articles 60 à 71 de la loi.
                                                                                                                 59.-




                                                                                                       194
Sous-section 5 : De la Centrale des risques à la Centrale des crédits aux particuliers


A. Généralités

105.         Il n'est pas contestable qu'une vision claire et précise de la situation financière des
candidats emprunteurs est nécessaire tant pour la protection des intérêts privés (ceux des prêteurs
notamment) que pour celle des intérêts généraux (sécurité des dépôts, solvabilité des organismes
financiers,...).

             En 1967 déjà, lors d'une révision du statut des banques, le Gouvernement de l'époque
avait songé à créer une "Centrale des risques" auprès de la Banque Nationale 195, permettant aux
organismes bancaires d'obtenir, préalablement à l'octroi de crédit, des informations sur le volume des
crédits déjà accordés par d'autres organismes financiers, de manière à mesurer le degré de solvabilité
du demandeur.

            Le fonctionnement de cette "Centrale des risques" (appelée aujourd’hui « Centrale des
crédits aux entreprises ») est simple196.

             Les établissements de crédit soumise au contrôle de la Commission bancaire financière et
des assurances (CBFA) communiquent d'office et nominalement à la Banque Nationale et à la CBFA
tous les crédits et prêts de 25.000 € et plus qu'ils ont consentis à leurs clients. Sur demande, soit de la
Banque Nationale de Belgique, soit de la CBFA, elles communiquent à chacune de ces deux
institutions les prélèvements effectués sur lesdits crédits, leurs créances et droits de recours sur des
intermédiaires financiers ainsi que les montants à recevoir ou à délivrer du chef d'opérations à terme
sur devises.

            Ces communications permettent, outre de donner à la Banque Nationale de Belgique, des
informations nécessaires à la conduite de la politique monétaire (dans le cadre, aujourd’hui de la
Banque de l’Union européenne) et de renforcer les moyens de contrôle de la CBFA sur l'équilibre de
la gestion des banques et sur les risques qui y sont liés197, de "centraliser les risques du crédit".

              Les renseignements recueillis, ainsi que ceux de même nature que la Banque Nationale
tient, aux mêmes fins, d'autres intermédiaires financiers et d'autres centrales de risques et ceux qui
proviennent de ses propres activités peuvent être communiqués par la Banque Nationale aux banques
et aux intermédiaires financiers198 ainsi qu'à des centrales de risques étrangères. Depuis 1975, en
effet, l'interconnexion entre la centrale des risques de la Banque Nationale de Belgique et les centrales
de risques étrangères a été rendue possible en vue de permettre la globalisation de l'information sur
les crédits accordés et utilisés en Belgique et à l'étranger.




194
    Cf. B. Dejemeppe, " La Centrale des crédits à la consommation", note sous Mons, 12 févr. 1989, J.L.M.B., 1989, p.
441 et suiv.
195
    A.R. n° 43 du 9 oct. 1967.
196
    Cf. R.P.D.B., complément t. V., v° Epargne publique, n°s 294 et suiv.
197
    R.P.D.B., v° cit., n° 294.
198
    Notamment les caisses d'épargne et les organismes publics de crédit.
                                                                                                                     60.-


106.        La Centrale des données, relative au crédit à la consommation, créée par la loi du 12 juin
1991 qui était avant la Centrale des crédits à la consommation et qui est devenue la Centrale des
crédits aux particuliers, à partir de 2001, répond, elle, à la double préoccupation de créer, d'une part,
une centrale des risques (information des prêteurs) et, d'autre part, de protéger le consommateur (elle
diminue, par une correcte information du prêteur, l'octroi de prêts inconsidérés). Elle se distingue
donc, sur ce dernier point, de la « Centrale des risques », aujourd’hui improprement appelée la
« Centrale des crédits aux entreprises ».



B. L'ancienne « Centrale des crédits à la consommation »

107.         Opérationnelle depuis le 1er janvier 1987, la Centrale des crédits à la consommation avait
été instituée auprès de la Banque Nationale de Belgique par un arrêté royal du 15 avril 1985.

            La légalité de cet arrêté était controversée puisqu'elle n'était susceptible de trouver un
fondement que dans l'article 30 de la loi du 9 juillet 1957 prévoyant l'"enregistrement des contrats de
vente et prêt à tempérament dans le seul but "de rendre opposable au tiers les réserves de propriété
stipulées dans lesdits contrats".


108.      Les données qui figuraient dans la Centrale des crédits à la consommation étaient
communiquées à la Banque Nationale par les entreprises pratiquant les opérations de vente à
tempérament, les prêts à tempérament et les prêts personnels à tempérament.

            Les données qui y étaient enregistrées correspondaient, à une chose près, aux données qui
ont été, avant l’été 2003 enregistrées dans la "Centrale des données".

             La Centrale des crédits à la consommation, devenue la Centrale des données a aujourd'hui
fait place à la "Centrale des crédits aux particuliers" régie par la loi du 10 août 2001.



C. La « Centrale des crédits aux particuliers »

109.             La loi du 12 juin 1991 réglemente, de façon générale, le crédit à la consommation199.

            L'objectif principal de cette loi est de couvrir, par une réglementation appropriée, tous les
contrats de crédit conclus par un consommateur (particulier).

            Pour atteindre son objectif, la loi a adopté une définition du contrat de crédit rédigée en
termes très généraux : "(...) tout contrat en vertu duquel un prêteur consent ou s'engage à consentir à
un consommateur un crédit, sous la forme d'un délai de paiement, d'un prêt ou de toute autre facilité
de paiement similaire"200. Cette définition inclut notamment la vente à tempérament, le crédit-bail, le
prêt à tempérament et l'ouverture d'un crédit en ce compris celle mobilisable à l'aide d'une carte de
paiement ou de toute autre manière.


199
      Doc. parl. Sén., session 1989-1990, n°s 916/1 à 4; Doc. parl., Ch. Repr., session 1990-1991, n°s 1491/1 à 5.
200
      Art. 1er, 4° de la loi relative au crédit à la consommation.
                                                                                                                         61.-


           Sont exclus de tout ou partie de l'application de la loi certains contrats limitativement
énumérés, parmi lesquels figurent les prêts et ouvertures de crédit hypothécaires, les contrats portant
sur des montants inférieurs à 200 €, les contrats constatés par un acte authentique portant sur des
montants supérieurs à 20.000 €, etc201.

            La loi réglemente, outre les conditions des crédits eux-mêmes, diverses matières
apparentées telles que la publicité, les activités des intermédiaires de crédit et, ce qui intéresse plus
particulièrement notre propos, les fichiers.


110.          La réglementation des fichiers du crédit adoptée est assez complète.

             Sollicité par un consommateur en vue de l'obtention d'un crédit, le prêteur ou l'intermé-
diaire de crédit peuvent recueillir des renseignements de tous ordres sur ce dernier, à l'exception de
données concernant la race, l'origine ethnique, la santé202, la vie sexuelle, les opinions ou activités
politiques, philosophiques ou religieuses ou l'appartenance syndicale ou mutualiste. En cas de refus
du crédit, le prêteur communique au candidat emprunteur l’identité de la banque de données qu’il a
consulté et à laquelle ce dernier peut prétendre à accéder.


111.         Diverses banques de données peuvent tomber sous l'application de la réglementation
édictée par la loi du 12 juin 1991: les fichiers établis par les bureaux d'informations ou des firmes
spécialisées en renseignements commerciaux, les fichiers des assureurs-crédit, des sociétés de
recouvrement, des associations professionnelles de prêteurs ou de courtiers de crédit sont également
visés. Ceci résulte de l'article 68 de la loi, aux termes duquel les mesures protectrices "sont
applicables aux traitements automatisés ou non des données à caractère personnel destinées à être
consultées par des tiers". Les autres traitements (ceux non destinés à être consultés par des tiers) sont
régis par la loi relative à la protection de la vie privée.


112.        Après avoir rappelé le principe essentiel de finalité du traitement des données, la loi
donne une liste limitative des informations pouvant faire l'objet d'un traitement (destiné à des tiers)
sous forme de fichier : seules peuvent être traitées les données relatives à l'identification du
consommateur (nom, prénom, date de naissance, sexe, domicile), le montant et la durée des crédits, la
périodicité des versements, les facilités de paiement octroyées, les retards de paiement. Le contenu
de ces données est déterminé par un arrêté royal du 20 novembre 1992.

            Quant à l'identité des prêteurs ayant octroyé les crédits ou se trouvant à l'origine de
l'enregistrement de la donnée, elle peut être enregistrée mais ne peut, sauf en ce qui concerne les
retards de paiement, être communiquée à d'autres prêteurs qui consulteraient les fichiers pour des
motifs évidents de loyauté de la concurrence et de confidentialité des renseignements commerciaux.

         Le consommateur a en revanche le droit de connaître l'identité des prêteurs ayant
communiqué les données répertoriées dans les fichiers.



201
    Art. 3 de la loi relative au crédit à la consommation.
202
    Ce qui n'est pas sans inconvénient lorsqu'une assurance-vie doit accompagner le prêt (art. 10 de la loi relative au crédit
à la consommation).
                                                                                                          62.-


              En principe, les condamnations pénales ne sont pas enregistrées. Des catégories
déterminées de condamnations pénales peuvent toutefois être enregistrées. Trois conditions sont en
ce cas requises : il faut que le consommateur ait été averti préalablement et par écrit par le maître du
fichier de l'enregistrement de cette donnée, que cette donnée soit traitée uniquement par les personnes
physiques ou morales désignées par arrêté royal et que le traitement soit conforme aux conditions et
modalités particulières établies par arrêté royal203.


113 à 123. Seules certaines catégories de personnes peuvent avoir accès aux données contenues dans
les fichiers, qu'il s'agisse de fichiers privés ou du fichier tenu par la Banque Nationale de Belgique.

            Il s'agit des entreprises de prêts hypothécaires, des prêteurs agréés pour l'application de la
loi relative au crédit à la consommation, des assureurs de crédits, des émetteurs des cartes de
paiement, des avocats et des huissiers de justice et de la CBFA, dans le cadre de sa mission.

             Les données obtenues ne peuvent être utilisées que dans le cadre des activités de crédit
telles qu'elles sont réglementées par la loi, qu'il s'agisse de crédits à la consommation ou de crédits
hypothécaires.

             Ceux qui obtiennent communication des données ne peuvent les communiquer à qui ce
que soit, hormis les personnes ci-dessus et les compagnies d'assurances agréées pour pratiquer les
activités d'assurance-crédit. Ces dernières n'ont pas un accès direct aux données de la Banque
Nationale de Belgique, mais elles peuvent être informées par les prêteurs qui souhaitent leur céder le
contrat ou faire assurer le risque de crédit.

            Conformément au principe de finalité du traitement des données, celles-ci ne pourront
être conservées dans un fichier lorsqu'elles auront cessé de se justifier. Des délais assez brefs pour la
conservation des données ont été fixés par un arrêté royal.

             L’article 70 de la loi pose le principe du droit du consommateur d'être informé de
l'existence du fichier (destiné à des tiers) constitué à son sujet. Lorsqu'un consommateur est
enregistré pur la première fois dans un tel fichier, il en est immédiatement informé, directement ou
indirectement, par le maître du fichier. Cette information mentionne (1) l'identité et l'adresse du
maître du fichier, c'est-à-dire de la personne physique ou morale ou l'organisme non doté de la
personnalité juridique qui tient le fichier, (2) l'adresse de la Commission de la protection de la vie
privée, (3) l'identité et l'adresse de la personne qui a communiqué la donnée, (4) le droit pour le
consommateur d'accéder au fichier, (5) le droit pour lui de rectifier les données erronées et le droit
pour lui de demander la suppression des données, (6) les modalités d'exercice de ces droits, ainsi que
(7) le délai de conservation des donnés s'il en existe un. Le consommateur est également informé, de
façon indirecte, de l'existence d'un fichier constitué à son sujet, en cas de refus d'octroi d'un crédit. En
effet, dans cette hypothèse, l'article 12 de la loi a prévu que le prêteur devait communiquer au
consommateur l'identité ainsi que l'adresse du maître du fichier qu'il avait consulté.

              Le droit d’accès et de rectification s’exerce conformément aux modalités prévues par la
loi sur la protection de la vie privée. Proche du droit de rectification est le droit qui a été prévu, pour le
consommateur, d'exiger lorsqu'un fichier traite les défauts de paiement, que le motif du défaut de
paiement qu'il communique au maître du fichier soit enregistré en même temps que le défaut de
paiement.

203
      Art. 69 de la loi relative au crédit à la consommation.
                                                                                                      63.-




124.       L'article 71 de la loi sur le crédit à la consommation organisait, avant la loi du 10 août
2001, ce qui devint l’actuelle "Centrale des crédits aux particuliers" instituée auprès de la Banque
Nationale de Belgique.

            Cette Centrale est en fait une extension de l'ancienne Centrale des crédits à la consom-
mation.

             En principe, la Banque Nationale n'était chargée que de l'enregistrement des défauts de
paiement. Avec la loi du 10 août 2001 relative à la Centrale des crédits aux particuliers et l’arrêté
royal du 7 juillet 2002 la centrale, devenue la Centrale des crédits aux particuliers, a vu son obligation
d'enregistrement des données étendue aux contrats de crédit à la consommation et de prêts
hypothécaires, indépendamment des défauts de paiement.

            En ce qui concerne la consultation de la Centrale par tous les prêteurs, celle-ci est
obligatoire préalablement à la conclusion des contrats de crédit et à l’offre de prêts hypothécaires.
Cette consultation doit intervenir dans les quinze jours précédant la remise de l'offre de prêt
hypothécaire et dans les vingt jours de la conclusion d’un contrat de crédit à la consommation. Si le
prêt hypothécaire n’a pas été conclu dans les quatre mois, une nouvelle consultation est nécessaire.

             L’emprunteur qui souhaite exercer son droit d'accès doit joindre à sa demande d'infor-
mation une photocopie de sa carte d'identité. Toute demande émanant d'un emprunteur visant à
rectifier ou supprimer des données enregistrées à son nom doit en outre être accompagnée de tous
documents justifiant le bien-fondé de la demande.

             En cas de rectification, la Banque Nationale est tenue de communiquer immédiatement
cette rectification à ceux qui ont eu communication des données erronées et que la personne
enregistrée indique.


125.         En ce qui concerne le contrôle institutionnel, la Commission de la protection de la vie
privée exerce, mutatis mutandis, les mêmes compétences que celles qui lui sont attribuées dans le
cadre de la loi du 15 janvier 1990 relative à l'institution et à l'organisation de la Banque-Carrefour de
la sécurité sociale.

            Par ailleurs, la loi du 12 juin 1991 a habilité le Roi à créer un Comité de surveillance
composé d'un président, de deux juristes spécialisés et de deux experts en informatique, nommés sur
présentation du Conseil des ministres, par les Chambres.

             Les membres du Comité de surveillance devront réunir des conditions d'indépendance, à
l'instar des membres du Comité de surveillance auprès de la Banque-Carrefour.

            Le président et un membre du Comité de surveillance auprès de la Banque centrale seront
également, de plein droit, membres de la Commission de la protection de la vie privée et ils veilleront
à la coordination des travaux du Comité avec ceux de la Commission.

          Le Comité de surveillance pourra procéder à des enquêtes, charger un ou plusieurs de ses
membres d'effectuer de telles enquêtes sur place et faire appel à des experts. Le Comité et ses
membres disposeront des pouvoirs d'investigation reconnus par l'article 81 de la loi du 12 juin 1991
                                                                                                                          64.-


aux "agents commissionnés par le Ministre des affaires économiques" pour rechercher et constater les
infractions portées par la loi sur le crédit à la consommation. Ils pourront donc pénétrer, pendant les
heures habituelles d'ouverture ou de travail, dans les locaux et pièces dont l'accès est nécessaire à
l'accomplissement de leur mission, se faire produire sans déplacement les documents, pièces ou livres
nécessaires à leur recherche et en prendre copie. Ils pourront saisir, contre récépissé, les documents
qui sont nécessaires pour faire la preuve d'une infraction ou pour rechercher les contrevenants 204. Ils
pourront en outre, s'ils ont des raisons de croire à l'existence d'une infraction, pénétrer dans les locaux
habités, avec l'autorisation préalable du juge du tribunal de police mais exclusivement entre 8 et 18 h.

              Pour le surplus, les dispositions relatives

1) aux différents pouvoirs et aux différentes missions du Comité de surveillance et de la Commis-
   sion de la protection de la vie privée,

2) à la coordination des actions du Comité de surveillance et de la Commission de la protection de la
   vie privée et,

3) aux modes de décision des organes de contrôle institutionnel,

prévues en matière de banques de données relatives au crédit à la consommation, s'inspirent très
largement des dispositions de la loi du 15 janvier 1990.


126.        En matière d'autocontrôle, l'article 69, § 6, de la loi du 2 juin 1991 a imposé au
responsable du traitement la prise de "toutes les mesures qui permettent de garantir la parfaite
conservation des données à caractère personnel" et a imposé, à toute personne qui a obtenu
communication de pareilles données, outre l'obligation du respect du principe de finalité, l'obligation
de prendre les mesures permettant de garantir leur caractère confidentiel.

             La loi a en outre prévu, fort à propos, que pesait sur le responsable du traitement
l'obligation de veiller au respect du principe de finalité en matière d'échanges automatisés de données.

             Le non-respect de ces obligations et les obstacles mis au droit d'accès et au droit de
rectification sont sanctionnés pénalement205.

            Outre la condamnation à une peine d'emprisonnement et/ou d'amende, le juge peut
ordonner l'interdiction définitive ou temporaire de pratiquer, même pour compte d'autrui, les
opérations réglementées par la loi du 12 juin 1991 et l'affichage du jugement ou de son résumé, ainsi
que la publication du jugement ou de son résumé dans un ou plusieurs journaux206.

             Sans préjudice des autres sanctions de droit commun et sans préjudice des sanctions
pénales éventuelles à charge du contrevenant, le juge peut relever le consommateur de tout ou partie
des intérêts de retard et réduire ses obligations jusqu'au prix au comptant du bien ou du service, ou au
montant emprunté, lorsque le prêteur n'a pas consulté la Banque centrale préalablement à l'offre, à la
conclusion de tout contrat de crédit tombant sous l'application de la loi du 10 août 2001207.

204
    La saisie est toutefois levée de plein droit à défaut de confirmation par le ministère public dans les dix jours ouvrables.
205
    Art. 101 de la loi du 2 juin 1991.
206
    Art. 103, 1°, et 3°, de la loi du 2 juin 1991.
207
    Art. 16 de la loi du 10 août 2001.
                                                                                                     65.-




127.          Dans l'exercice des missions qui lui étaient imparties, dans le cadre de la Centrale des
crédits à la consommation et de la Centrale des risques, la Banque Nationale a rencontré de nombreux
problèmes d'identification, de nature à compromettre l'exactitude des données enregistrées et, partant,
la fiabilité de ces centrales.

            Ainsi, il est arrivé régulièrement, surtout dans le cadre de la Centrale des crédits à la
consommation, que les intermédiaires financiers aient communiqué à la Banque des données
imprécises ou même erronées concernant outre la date de naissance des personnes physiques,
l'orthographe de leur nom ou l'indication de leur adresse.

            Lorsque l'on sait que la Banque centrale des données enregistre par an quelque 80.000
contrats ayant fait l’objet d’un défaut de paiement, le gouvernement a estimé qu'il y avait lieu de doter
la Banque Nationale d'un système de contrôle sérieux des données d'identification. C'est, dans ce
contexte, qu'un arrêté royal du 5 février 1990 a autorisé la Banque Nationale, aux fins exclusives de
l'accomplissement des tâches dont elle était chargée dans le cadre de la Centrale des risques et de la
Banque centrale des données, d'accéder aux informations suivantes du Registre national des
personnes physiques : les nom et prénom, le lieu et la date de naissance, le sexe et la nationalité.

           Les données ainsi obtenues ne peuvent être communiquées qu'aux seuls organismes et
personnes qui, en vertu des dispositions légales et réglementaires, sont autorisés à recevoir de la
Banque Nationale de Belgique des informations relatives aux crédits, aux emprunts et aux contrats à
tempérament enregistrés au nom de la personne physique concernée et qui sont tenus de connaître ces
informations sur l'identité de la personne physique concernée pour exécuter leurs obligations de
communication à l'égard de la Banque.

             La Banque Nationale a également été autorisée à faire usage, pour ces centrales de
données, du numéro d'identification du Registre national mais ceci "en vue de sa seule gestion
interne" et dans ses relations avec le Registre national.

             L'arrêté royal du 5 février 1990 interdit, par ailleurs, toute communication du numéro
d'identification à des tiers.



Sous-section 6 : Statistiques officielles


A. Caractères et historique

141.        L'article 8, § 2, de la Convention européenne de sauvegarde des droits de l'homme de
1950, admet que l'autorité puisse justifier des ingérences dans l'exercice du droit au respect de la vie
privée, en se fondant sur les exigences du bien-être économique du pays.

            Ainsi qu'en a décidé la Commission européenne des droits de l'homme, à propos d'une
réglementation des Pays-Bas obligeant les agriculteurs à fournir divers renseignements sur leurs
exploitations208, les statistiques officielles répondent de toute évidence aux exigences du bien-être


208
      Comm. eur. D.H. 6 févr. 1977, Req. n° 2290/64, D.R. n° 22, p. 25.
                                                                                                                     66.-


économique du pays puisqu'elles permettent la prévision et la planification dans les domaines les plus
divers.


142.         La statistique officielle dans notre pays n'est pas neuve : l'origine de la statistique
officielle peut être retrouvée dans un décret du Gouvernement provisoire du 24 janvier 1831 créant le
"Bureau de statistique générale" auprès du Ministère de l'intérieur.

             Ce bureau avait pour mission de "constater tous les faits statistiques dont la connaissance
importe à l'Administration en général et au progrès des sciences en particulier". A côté du "Bureau de
statistique générale" fut créée en 1841 la "Commission centrale de statistique", conçue comme un
"organe centralisateur, coordinateur, animateur et consultatif" en matière de statistiques209.

             En 1932, fut institué "l'Office central de statistique" chargé notamment des recensements
et enquêtes périodiques en vue d'établir toutes les statistiques de l'Etat à l'exclusion des enquêtes et
investigations faisant partie de la pratique administrative courante répondant aux exigences directes
des services administratifs intéressés. C'est en 1939 que fut définitivement arrêtée la nécessité de la
centralisation et l'apport à l'Office central de tous les services statistiques des ministères.

            En 1946, la dénomination de "l'Office central de statistique" fut changée en "Institut
national de statistique" et la "Commission centrale de statistique" fut réorganisée et appelée "Conseil
supérieur de statistique".

             Parallèlement, le contenu de l'étude de cet organisme officiel s'élargissait constamment :
démographie, agriculture, industrie, commerce extérieur et intérieur, les salaires et l'emploi, les
finances, la justice, l'enseignement, etc.

            A partir de 1959, l'Institut national de statistique disposa d'un matériel électronique de
traitement de l'information. Une direction spéciale "mécanographique, centre national du calcul
mécanique et de codification générale" fut créée par un arrêté royal du 23 décembre 1964; elle devint
le "Centre de traitement de l'information" le 16 juillet 1977.


143.         Sur le plan juridique, les activités de l'Institut national de statistique furent précisées et
complétées par la loi du 4 juillet 1962, modifiée en 1985 et intitulée depuis lors "loi relative à la
statistique publique"210. Cette loi charge l'Institut national de statistique de la collecte, du traitement
et de l'application des résultats de ses investigations. L'Institut a, en principe, le monopole des
recensements, enquêtes et investigations statistiques pour le compte de l'Etat, des communautés et des
régions. Certaines investigations statistiques peuvent être confiées à d'autres services. Ce sont celles
qui ont pour objet de recueillir des renseignements individuels indispensables pour la préparation,
l'élaboration ou l'exécution d'une loi, d'un décret ou d'une réglementation administrative par les
services concernés, à l'exclusion des administrations fiscales. Il s'agit des investigations "à but
administratif" dites "spéciales". Le service intéressé ne peut toutefois être autorisé à pareille
investigation que s'il s'agit "d'une enquête faisant partie de la pratique administrative courante de ce
service, à laquelle elle est inséparablement liée par son but spécial"211.

209
    Cf. "L'Institut national de statistique", p. 16, ouvrage publié par le Ministère des affaires économiques.
210
    Anciennement, loi "autorisant le Gouvernement à procéder à des investigations statistiques et autres sur la situation
démographique, économique et sociale du pays" (M.B. 20 juil. 1962).
211
    Articles 5, 6, 7 et 17 de la loi relative à la statistique publique.
                                                                                                                 67.-




144.          Avec l'interventionnisme étatique sur le plan économique (expansion économique,
contrôle conjoncturel, travaux publics, commandes de l'Etat,...), sur le plan social (sécurité sociale,
minimum vital, enseignement...), sur le plan collectif (urbanisation, transport, protection du cadre de
vie et de l'environnement, loisirs...), l'Institut national de statistique s'est vu mis à la tête la plus grande
concentration de données informatives du pays.


145.       Parmi les tâches de l'Institut, la collecte la plus spectaculaire d'informations est sans
aucun doute le recensement général de la population prescrit depuis la loi du 2 juin 1956 sur les
recensements généraux et les registres de population. Un recensement général est opéré toutes les
années dont le millésime fini par un, soit au moins une fois par décennie212.



B. Mesures de protection de la vie privée

146.         En vertu de l'article 24, quinquies de la loi relative à la statistique publique, "en aucun cas,
les investigations et études de statistiques de l'Institut national de statistique ne peuvent concerner la
vie privée, notamment la vie sexuelle, les opinions ou activités politiques, philosophiques ou
religieuses, la race ou l'origine ethnique".

            Cette disposition se garde de définir la notion de "vie privée", et l'énumération donnée par
cette disposition semble indubitablement exemplative ("notamment ...") et non limitative. Lorsque
l'on examine les questions posées aux habitants, lors des recensements décennaux, il faut toutefois
bien admettre que la plupart des renseignements demandés concernent la vie privée ... Il faut donc
bien constater que la notion de vie privée employée par l'article 24, quinquies précité est comprise de
manière fort restrictive par le pouvoir exécutif.


147.       A côté de cette norme générale, la loi relative à la statistique publique contient les trois
grands principes de protection suivants :

1) L'utilisation des renseignements par l'Institut national de statistiques ne peut avoir pour finalité
   exclusive que "l'établissement de statistiques globales et anonymes"213.

2) Lorsque, par suite du nombre réduit de déclarants, la publication des statistiques pourrait
   divulguer des situations individuelles, la publication ou la communication des résultats à des tiers
   est interdite sans l'autorisation préalable du déclarant ou du recensé. Si pareille autorisation n'est
   pas donnée, l'Institut a le droit de communiquer les statistiques au département ministériel
   intéressé, à l'exclusion des administrations fiscales. En aucun cas toutefois, il n'est permis
   d'appliquer des mesures légales ou réglementaires au déclarant ou au recensé sur la base de
   situations individuelles ainsi connues214.

3) Tant que les renseignements individuels ne constituent pas un "secret statistique", ils peuvent être
   utilisés à des fins autres que documentaires ou administratives, lorsque l'utilisation proposée ne
212
    Voyez pour le recensement de 1981, l'A.R. du 24 déc. 1980, relatif au recensement général de la population et des
logements au 1er mars 1981, M.B. du 20 janv. 1981.
213
    Article 2, a, de la loi relative à la statistique publique.
214
    Articles 2, b et c et 22 de la loi relative à la statistique publique.
                                                                                                           68.-


      peut porter atteinte au déclarant et pour autant que cette utilisation soit l'objet d'une décision dans
      chaque cas d'espèce. Pour l'application de ce principe, on appelle un "secret statistique", "tout
      renseignement dont on ne peut avoir connaissance d'une manière licite qu'à l'intervention de
      l'intéressé lui-même".


148.        D'une façon tout à fait générale, on ne peut toutefois affirmer que les collectes de
renseignements par l'Institut ne peuvent porter atteinte au déclarant. En effet, dans le cadre
d'"investigations à but administratif", appelées parfois "investigations spéciales", des renseignements
individuels peuvent être collectés par l'Institut, lorsque ces renseignements sont indispensables pour
la préparation, l'élaboration ou l'exécution d'une loi, d'un décret ou d'une réglementation administra-
tive. L'Institut procède, dans ce cas, à la collecte de données pour les mettre à la disposition des
départements ministériels, des services de l'Etat ou des services d'un exécutif communautaire ou
régional, mais à l'exclusion des administrations fiscales.

              Notons qu'en vertu de l'article 24, quater de la loi relative à la statistique publique,
l'Institut national est autorisé à procéder au traitement statistique et à l'étude des données de base du
registre national des personnes physiques et que, dans le but de faciliter la confection des statistiques
globales et anonymes, l'INS est autorisé à faire usage du numéro du registre national.




Section 6 :      La loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des
                 traitements de données à caractère personnel : une réglementation d'en-
                 semble de la protection de la vie privée à l'égard des banques de données



Sous-section 1 : Généralités

149.       L'idée de légiférer pour protéger la vie privée à l'égard des banques de données à caractère
personnel n'est pas neuve.

          Dans notre pays, la première proposition de loi ayant cet objet a été déposée sur le bureau
des Chambres le 9 juillet 1971.

              Le premier projet de loi ayant le même objet a été déposé le 8 avril 1976.

             Il faudra toutefois attendre le 8 décembre 1992 pour que notre pays dispose d'une
législation un tant soit peu générale en la matière.

             Les initiatives ont pourtant été nombreuses car on peut affirmer qu'il n'y a pas eu, dans
notre pays, un Ministre de la Justice qui, depuis 1976, n'ait été l'auteur d'un avant-projet ou d'un projet
de loi en cette matière215.


215
   A cet égard, les Ministres VANDERPOORTEN, MOUREAUX et GOL sont certainement ceux qui ont présenté les
projets les plus développés en la matière; cf. notamment sur le projet Vanderpoorten, J. BERLEUR et Y. POULLET,
                                                                                                                         69.-




             Si des propositions et des projets successifs n'ont pas été votés, ce n'est pas par manque
d'intérêt. Dans la plupart des cas, ce sont des impératifs budgétaires, linguistiques ou communau-
taires, jugés plus importants, qui furent traités par priorité, empêchant les propositions de loi relatives
à la protection de la vie privée d'être adoptées.

             On regrettera certainement que l'adoption de cette loi, en 1992, fut apparemment animée
plus par le souci de voir rapidement entrer en vigueur les accords de Schengen (dont l'entrée en
vigueur était subordonnée à l'adoption, par tous les pays membres, d'une législation protectrice de la
vie privée), que par un rare élan de générosité.

             Avant d'examiner les dispositions de la loi du 8 décembre 1992, nous allons, dans les
lignes qui suivent, tenter de cerner les questions véritablement essentielles posées à tout législateur
appelé à élaborer ce que les Anglo-saxons appellent un "computer bill of rights", tout en suggérant
des ébauches de réponses à ces questions, au départ des textes adoptés tant en Belgique qu'à l'étranger
et des textes des traités et des recommandations internationales.

            Un "computer bill of rights" ne peut se contenter de généralités, mais doit répondre aux
questions essentielles suivantes :


150.          Quelles sont les personnes concernées ?

            Les personnes concernées par un droit de protection à l'égard des banques de données
sont-elles uniquement les personnes physiques ou comprennent-elles également les personnes
morales, c'est-à-dire les sociétés, les associations, les collectivités...216.

            La prolifération des fichiers nominatifs, tant publics que privés, sur les personnes
morales, pourrait justifier amplement une législation en la matière. La question de l'identification
sans nuance des personnes morales et des personnes physiques, dans le cadre d'une protection à
l'égard des banques de données, pose toutefois des problèmes aigus en relation, notamment, avec la
notion de secret des affaires.


151.        Quelles données peuvent être collectées et enregistrées, par qui et à qui peuvent-elles
êtres transmises ?

             Le problème de la nature des données qui peuvent être collectées et enregistrées met en
opposition les deux philosophies de base en matière de constitution de banque de données. La
première, individualiste, met l'accent sur la notion de vie privée. La seconde se fonde sur le droit de la
collectivité à l'information.

             La première philosophie propose de protéger la personne au moyen d'une énumération de
données sensibles en soi, qu'il est interdit de collecter et d'enregistrer. La seconde philosophie
n'interdit la collecte et le stockage d'aucune donnée, mais propose plutôt l'interdiction d'un usage



"Informatique et vie privée", J.T., 1978, p. 110 et svtes; sur le projet Gol, idem, "Le droit à la vie privée selon le projet
Gol", J.T., 1982, p. 769 et svtes.
216
    Cf. P. et Y. POULLET, "Données - entreprises", actes du colloque "Banques de données", cité, p. 237 et svtes.
                                                                                                                         70.-


abusif ou discriminatoire de toute donnée et assortit son approche de solution par l'instauration de
mesures de contrôle et de sanctions.

            La question est évidemment essentielle. Les possesseurs de fichiers peuvent-ils
enregistrer n'importe quelle donnée ou y a-t-il des données d'une sensibilité telle que, par el-
les-mêmes, elles réfutent tout stockage ?

             Si l'on fonde l'approche d'une solution législative sur la notion même de vie privée, on
aboutit, a priori, à l'établissement d'une liste supposée complète des données personnelles tenant
compte de leur sensibilité pour les personnes concernées. Nous avons notamment trouvé un exemple
de ce type de réglementation, en matière de statistiques publiques où le législateur a prévu que les
investigations et études de statistiques de l'Institut National de Statistique ne pouvaient concerner la
vie sexuelle, les opinions ou activités politiques, philosophiques ou religieuses, la race ou l'origine
ethnique217.

             On peut, à l'instar de certaines réglementations, plutôt établir une liste de données
supposées non sensibles. Sont, pour les traitements automatisés à caractère statistique effectués à
partir de documents ou de fichiers de gestion concernant des informations nominatives sur des
personnes physiques, par les services producteurs d'informations statistiques français, considérées
comme non sensibles les données des catégories suivantes : identité, situation familiale, situation
militaire, formation, diplôme, distinctions, logement, vie professionnelle, situation économique et
financière, déplacement de personnes, utilisation des médias et moyens de communication,
consommation d'autres biens et services, loisirs, santé, habitudes et conditions de vie218.

            Au supposer que l'on ne puisse jamais établir une liste complète des données sensibles, il
convient de ne pas oublier que la possibilité de combiner un ensemble de données non sensibles peut
aboutir à isoler les données les plus sensibles. Il est donc nécessaire, outre d'établir une liste de
données sensibles, de prôner une législation de contrôle, de limitation d'usage, d'autorisation, etc.


152.        Faut-il donner au citoyen la possibilité d'être informé des données enregistrées à son
propos, voire lui conférer un droit de correction ?

           La plupart des textes législatifs étrangers qui réglementent les banques de données
prévoient la possibilité pour les personnes de connaître les données qui les concernent. La
communication de ces données peut être opérée soit à la demande de l'intéressé, soit d'office, par
exemple, lors du premier enregistrement.

            La teneur de cette communication varie selon les législations et les fichiers en cause. Elle
peut aller de la simple communication des données de base à la communication du résultat du
traitement; elle peut même porter sur le fait de la diffusion des données à un tiers.

217
   Supra, n° 137.
218
   Délibération n° 84-38 du 13 nov. 1984 de la C.N.I.L. contenant la norme simplifiée n° 26 relative au traitement
automatisé à caractère statistique effectué à partir de documents ou de fichiers de gestion contenant des informations
nominatives sur des personnes physiques, par les services producteurs d'informations statistiques, Journal officiel - N.C.
du 1er déc. 1984; le lecteur intéressé par les normes françaises relatives à l'informatique et aux libertés et les principales
recommandations de la C.N.I.L. pourra se référer à la brochure "Informatique et libertés - texte et documents", éd. 1990, la
Documentation française (les rapports annuels de cet organisme sont publiés par le même éditeur); l'information, en
France, sur la réglementation en matière de banques de données est telle que de nombreux renseignements, d'ordre
juridique et pratique, sont accessibles, par Minitel, sur un service télématique mis en oeuvre par la C.N.I.L.
                                                                                                                   71.-




             La communication des données suppose le plus souvent une information collective. Il
importe de prendre des mesures de publicité imposant la diffusion, dans le public, de l'existence de tel
ou tel fichier, des buts poursuivis par ces derniers et des catégories de personnes visées, des avis et
sanctions des instances de contrôle à l'égard des ficheurs...

            Enfin, au corollaire du droit qui est reconnu à certains de ficher leurs semblables et du
devoir qui incombe à ces derniers de communiquer le contenu des données enregistrées, ne faut-il pas
reconnaître aux fichés le droit de faire corriger ou supprimer certaines données erronées ou non... "La
démocratie, voire la transparence sociale, n'est-elle pas à ce prix ?"219


153.       Quelles sont les méthodes de collectes autorisées et, plus particulièrement, est-il
admissible que des données personnelles sensibles ou non soient collectées à l'insu du citoyen et à son
propos ?

            La question est relativement nouvelle et elle concerne notamment les collectes de
données réalisées par des détenteurs de sites ou domaines Internet à l'occasion d'une connexion. La
question est complexe dans la mesure où les réponses qui peuvent être données sont principalement
dépendantes de l'usage fiat des données collectées.


Sous-section 2 : Personnes à protéger

154.        L'article 1er de la Convention du Conseil de l'Europe du 28 janvier 1981 "pour la
protection des personnes à l'égard du traitement automatisé des données à caractère personnel",
dispose :

            "Le but de la présente convention est de garantir, sur le territoire de chaque partie, à toute
personne physique, quelle que soit sa nationalité ou sa résidence, le respect de ses droits et de ses
libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé
des données à caractère personnel la concernant".

           Les personnes morales sont donc exclues, en principe, de la protection prévue par la
convention. L'article 3 de celle-ci dispose toutefois :

            "Tout Etat peut, lors de la signature ou du dépôt de son instrument de ratification,
d'acceptation, d'approbation ou d'adhésion, ou à tout moment ultérieur, faire connaître par déclaration
adressée au secrétaire général du Conseil de l'Europe : (...) qu'il appliquera la présente convention
également à des informations afférentes à des groupements, associations, fondations, sociétés,
corporations ou à tout autre organisme regroupant directement ou indirectement des personnes
physiques et jouissant ou non de la personnalité juridique".


155.      Lorsque l'on parle de personnes morales, on songe immédiatement aux sociétés et, par
voie de conséquence, aux entreprises économiques. Les entreprises économiques ne revêtent


219
    L. DARMS, "Vers la société réciprocritique - risquons la transparence ...", in actes du colloque "Banque de données
...", cité, p. 81 et svtes.
                                                                                                                       72.-


toutefois pas toutes la forme sociétaire et les entreprises économiques individuelles ont encore, dans
notre pays, un bel avenir.

             Avant d'aborder la question d'une éventuelle exclusion des personnes morales des
mesures de protection, il faut dès lors se demander si, en droit économique, il s'impose de donner aux
entreprises, quelle que soit leur forme, une protection semblable ou équivalente à celle de l'individu
en matière d'enregistrement des données ou, en d'autres termes, de savoir si l'entreprise a droit à une
garantie de secret sur un certain nombre d'éléments220.

             Comme l'enseignent Van Ryn et Heenen, "les tiers, notamment les clients, les fournis-
seurs et les bailleurs de fonds de l'entreprise, ont intérêt à connaître l'objet de son activité, l'identité de
son propriétaire et de ses dirigeants et, surtout, l'état de ses affaires"221. C'est pourquoi, la loi a
organisé des mesures diverses de publicité : registre du commerce, registre de l'artisanat, publication
des statuts et des actes des sociétés et notamment des actes relatifs à la nomination de leurs dirigeants,
publicité des comptes annuels, publication des jugements de faillites ou de concordats, publicité des
saisies et des protêts, publicité de certains jugements rendus en matière de pratique du commerce...


156.        A côté de cette multitude de données rendues publiques pour des considérations d'intérêt
général, en vertu de la loi, l'entreprise doit-elle bénéficier d'une protection semblable à celle de
l'individu en matière de vie privée ?

            MM. Poullet ont démontré que l'idée d'une protection des données concernant l'entreprise
dépasse la simple idée de protection de données concernant une personne morale (par opposition aux
personnes physiques) : elle concerne la protection des données relatives à l'activité économique en
général, que cette dernière soit l’œuvre ou non d'une personne morale (voire l'activité des groupes ou
des collectivités)222.

              Il est difficile, à propos d'une entreprise économique exercée sous la forme sociétaire ou
d'une entreprise économique individuelle, de parler de "vie privée". Tout au plus peut-on mettre en
exergue certaines notions de discrétion ou tenter d'élaborer une notion de secret des affaires qui aurait
"trait à la zone commerciale propre aux activités de certaines personnes, qu'elles soient physiques ou
morales"223.

             Selon MM. Poullet, loin d'opposer personnes physiques et personnes morales, il suffirait
"d'opposer données individuelles et données de l'entreprise"224. Parmi ces dernières, nous retrouvons
toutes les données propres à l'activité commerciale ou économique de la personne, que cette dernière
soit personne morale ou personne physique, données telles que la clientèle, la production, le prix de
revient, les secrets de fabrication, etc.

            La solution est logique mais incertaine : il sera, dans la plupart des cas, difficile de tracer
une frontière nette entre les données de l'entreprise et les données individuelles, notamment en ce qui
concerne les données en matière de solvabilité ou d'honnêteté commerciale.


220
    Sur ce point, consultez l'excellente intervention de P. et Y. POULLET, "Applicabilité aux entreprises d'une législation
protectrice des données", in actes du colloque "Banque de données ...", cité, p. 237 et svtes.
221
    Principes de droit commercial, t. I, 2ème éd., n° 59.
222
    Ibid., p. 244.
223
    P. et Y. POULLET, ibid., p. 247.
224
    Ibid., p. 247
                                                                                                         73.-




157.         La nécessité d'inclure les personnes morales ou les données d'entreprise dans les mesures
de protection des données n'est pas unanimement reconnue. Certains estiment, en effet, que le secret
des affaires est un frein au progrès économique ou encore qu'il n'existe pas, à propos des entreprises,
une "vie privée" à protéger. Il en serait d'autant plus ainsi si l'entreprise est exercée sous la forme
sociétaire.

             Nous ne pouvons que très difficilement adhérer à cette opinion. Une banque de données
peut enregistrer, à propos d'une personne physique exerçant une activité économique, des données
"individuelles" et des données de "l'entreprise"; la même banque de données peut également
enregistrer, à propos d'une société commerciale, outre les données de "l'entreprise", des données
relatives aux individus qui en sont les actionnaires ou les dirigeants. L'exclusion des personnes
morales des mesures de protection aurait en pareil cas deux conséquences :

-      d'une part, l'existence de lacunes au niveau de la protection de la vie privée des individus, "fichés"
       indirectement par le "fichage" de la personne à laquelle ils participent;

-      d'autre part, un traitement discriminatoire à l'égard des personnes morales qui ne se verraient pas
       reconnaître un droit d'accès et de correction des données de "l'entreprise", contrairement aux
       personnes physiques, entraînant ainsi une rupture du jeu normal de la concurrence entre les
       entreprises, selon leur forme.


158.         Bien évidemment, le respect du secret des affaires ne s'assimile pas à un prétendu respect
de la vie privée des entreprises et on n'aperçoit pas comment on pourrait fonder l'existence de données
interdites à leur propos.

            Compte tenu de cette évidence, les principes applicables à l'enregistrement et à la
communication des données des entreprises peuvent et doivent se résumer aux principes essentiels
applicables en matière de données individuelles, c'est-à-dire les principes de légalité et spécialité pour
les banques publiques de données, le principe de pertinence pour les banques de données du secteur
privé et le principe du respect du secret professionnel ou du devoir de discrétion, en matière de
diffusion des données225.


159.         A l'exclusion des autorités et des entreprises qui puisent respectivement leurs droits à
l'information, les unes dans leurs prérogatives de puissance publique, les autres, dans leurs rapports
contractuels avec les fichés, il apparaît que le principe premier est la liberté d'enregistrement pour les
banques de données non soumises au principe de légalité et ne se trouvant pas en relation contrac-
tuelle avec le fiché. En ce cas, toutes les données de l'entreprise peuvent être enregistrées à la double
condition de la licéité de l'obtention de l'information et d'un usage correct : l'usage de l'information ne
peut avoir pour intention de nuire226. Les banques de données de ce type se rencontreront dans les
bureaux d'informations spécialisés et auprès des entreprises quand il s'agit de ficher leurs concur-
rentes.




225
      Sur ces principes, infra n° 166 et svts.
226
      P. et Y. POULLET, ibid., p. 248.
                                                                                                       74.-


160.         Le droit d'accès des entreprises aux fichiers les concernant est une question très
controversée. D'aucuns estiment qu'il ne convient pas d'accorder aux entreprises un droit d'accès aux
fichiers les concernant au motif qu'une habile utilisation de ce droit d'accès fausserait le jeu de la
concurrence : ce droit d'accès des entreprises entraînerait, en effet, l'accès des concurrents aux fichiers
de recherches concernant les marchés ou les stratégies en matière de vente et le droit d'accès à des
fichiers concernant des données sur les potentialités où les faiblesses des clients et des fournisseurs
donnerait à ces derniers la clé pour d'éventuelles révisions d'accord ou de pratique...227.

            D'autres, au contraire, estiment que le droit d'accès est nécessaire car il faut permettre aux
entreprises de sauvegarder leur réputation et de contester les données fausses ou inexactes les
concernant. Comme l'exprime très bien MM. Poullet : "il ne peut être question d'admettre que, sur
base de données fausses ou inexactes, l'Administration ou l'entreprise collectrice prenne à l'encontre
d'une entreprise fichée des décisions discriminatoires ou négatives pouvant aller jusqu'à mettre en
cause son existence"228.

            Comment résoudre le dilemme ? D'une manière générale, nous sommes d'avis que l'on ne
peut refuser un droit d'accès et de correction à l'entreprise, lorsque la banque de données en cause est
une banque des autorités ou de l'Administration ou d'un bureau spécialisé en matière d'information,
car, dans ces hypothèses, il n'est point question de fausser le jeu de la concurrence.

             Le problème est tout différent lorsque la banque de données appartient à une entreprise
qui l'a constituée sur base de ses rapports contractuels avec le fiché et dont le but social n'est pas de
"vendre" des informations sur les autres entreprises. Dans ce cas, sauf à nier à l'entreprise tout droit à
la discrétion sur ses affaires, le droit d'accès ne peut être reconnu.


161.        La loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements
de données à caractère personnel n'a pas fait usage de la faculté d'extension du champ d'application de
la convention du Conseil de l'Europe du 28 janvier 1981 en faveur des fichiers contenant des données
relatives aux associations et aux sociétés. La raison en est, selon l'exposé des motifs du projet de la loi
portant approbation de la convention du Conseil de l'Europe, "que la vie privée des personnes morales
procède d'une problématique propre qui justifie qu'un traitement distinct leur soit appliqué".

            Le "fichage indirect" des personnes physiques dans un traitement de données relatives
aux personnes morales et aux associations bénéficie toutefois des dispositions protectrices de la loi du
6 décembre 1992. En effet, si les banques de données relatives à des personnes morales contiennent
des informations relatives à des personnes physiques (par exemple, les noms des administrateurs
d'une société ou des membres d'une association sans but lucratif), ces dernières bénéficieront, à
l'égard des données qui les concernent, de la totalité de la protection prévue par la loi229.




Sous-section 3 : Différents types de "fichiers" ou "banques de données"




227
    P. et Y. POULLET, ibid., p. 248.
228
    Ibid., p. 250 et svtes, et réf. cit.
229
    (...)
                                                                                                                    75.-


162.         L'article 2 de la Convention du Conseil de l'Europe du 28 janvier 1981 entend par
"fichiers automatisés", "tout ensemble d'informations faisant l'objet d'un traitement automatisé". Par
traitement automatisé, cette convention entend les "opérations suivantes effectuées en totalité ou en
partie à l'aide de procédés automatisés : enregistrements des données, application à ces données
d'opérations logiques et/ou arithmétiques, leurs modifications, effacements, extraction ou diffusion".

             Cette terminologie excessivement neutre, au départ de la notion de "fichiers", est très
satisfaisante230.

             On peut bien entendu regretter que la protection prévue par la convention ne s'étende pas
aux fichiers exclusivement manuels. Il faut toutefois reconnaître que la technique des fichiers
automatisés présente, en soi, des problèmes de protection beaucoup plus complexes que ceux posés
par les fichiers manuels. Un tel fichier ne comprend, normalement, qu'un nombre limité de fiches et
de données, alors que le fichier automatisé permet l'enregistrement d'un nombre indéterminé de
données et une capacité illimitée de fiches et, il est, par sa nature même, en mesure de mettre en
relation les données diverses et nombreuses, par rapport à une seule et même personne fichée.




Sous-section 4 : Organisation des contrôles

163.            On peut, sur un plan théorique, distinguer trois niveaux de contrôle :

1° l'auto-réglementation ou l'auto-contrôle qui repose sur celui qui détient, gère ou maîtrise le
   traitement automatisé;

2° le contrôle individuel, qui se confond avec le droit d'accès aux données par la personne fichée et
   est assorti, le plus souvent, de son corollaire, le droit de corriger ou de faire supprimer les don-
   nées;

3° le contrôle fonctionnel ou institutionnel qui est l’œuvre de l'autorité publique et qui peut s'exercer
   lors de la création de la banque de données et/ou lors de son fonctionnement.


164.        L'auto-contrôle ou l'auto-réglementation est assimilable à un code d'éthique ou de
déontologie minimale des détenteurs des fichiers, comprenant notamment une définition au sein des
organisations d'un statut de responsable des banques de données, du "maître du fichier".

             Un auto-contrôle ou une réglementation prévue dans un "computer bill of rights" suppose
donc l'imposition de mesures de sécurité détaillées et la détermination des personnes responsables de
l'application de ces normes, éventuellement assorties de sanctions, telles des sanctions pénales.

            Quant au contenu du code d'éthique ou de déontologie, les principes fondamentaux et
simples peuvent suffire, tels ceux dégagés par la Convention n° 108 du 28 janvier 1981 du Conseil
de l'Europe :



230
      Cf. J. BERLEUR et Y. POULLET, "Informatique et vie privée", J.T., 1978, p. 109 et svtes, spécialement n° 7.
                                                                                                        76.-


-     le principe dit de "finalité", selon lequel les données ne peuvent être enregistrées que pour des
      finalités déterminées et légitimes, ce qui a pour corollaire la compatibilité et la pertinence des
      données enregistrées par rapport à cette finalité231;

-     le principe selon lequel les données doivent être obtenues et traitées loyalement et licitement232;

-     le principe de la nécessité de la mise à jour des données et de leur nécessaire destruction à
      l'expiration de la période n'excédant pas celle nécessaire aux finalités pour lesquelles elles ont été
      enregistrées233;

-     le principe du respect du droit d'accès et de correction de la personne fichée234;

-     le principe des garanties de sécurité contre la destruction accidentelle ou non autorisée, ou la perte
      accidentelle, ainsi que contre l'accès, la modification ou la diffusion non autorisée235;

-     le principe du devoir de discrétion des personnes ayant accès aux informations, et le principe de
      l'autorisation pour toutes diffusions à des tiers, principe qui n'est qu'un corollaire des précédents.


165.        L'accès de l'individu aux banques de données dans lesquelles il est enregistré est
certainement l'instrument le plus utile pour ôter la crainte qu'inspire au citoyen l'utilisation de
l'informatique. En donnant la possibilité au citoyen de savoir où il est fiché et ce que le fichier
contient sur lui ou encore l'interprétation qui est retirée des données, en offrant au citoyen le droit de
contester les données et les résultats qui en sont tirés, en offrant au citoyen, le cas échéant, le droit de
se faire supprimer purement et simplement d'une banque de données, on fait disparaître, dans une
grande mesure, l'appréhension liée aux fichiers informatiques et on met en place le meilleur et le plus
sûr moyen de contrôle.


166.        La plupart des législations prévoient la possibilité pour les personnes de connaître les
données figurant à leur propos dans un fichier. Pour en arriver à ce droit d'accès, les modalités
prévues sont les plus diverses. Parfois, certaines législations prévoient le droit, pour l'intéressé, de
savoir pourquoi on l'interroge et notamment s'il est interrogé en vue de la constitution d'un fichier.
Est prévu, encore, dans certains cas, le droit de refuser l'enregistrement de certaines données.

             En général, on donne, au moyen d'une publicité adéquate, le droit de connaître l'existence
des banques de données. Plus particulièrement, la plupart des législateurs reconnaissent à l'individu
un droit de connaître la banque de données dans laquelle il est enregistré. Enfin, est reconnu à
l'individu le droit d'accéder aux données et de les contester.

            Les différents droits reconnus au citoyen sont assortis d'exceptions significatives, soit
pour des raisons de principes d'intérêt public ou privé, soit, la plupart du temps, pour des raisons
d'ordre pratique.



231
    Article 5, b, de la convention.
232
    Article 5, a, de la convention.
233
    Article 5, d et e, de la convention.
234
    Article 8 de la convention.
235
    Article 7 de la convention.
                                                                                                                     77.-


167.         Pour protéger l'individu contre un abus éventuel des données à caractère personnel, le
législateur peut consacrer un droit d'opposition à l'enregistrement de toute donnée pour des raisons
légitimes. Ce droit, reconnu notamment par l'article 26 de la loi française, protège l'individu contre
les recherches de données sensibles à partir de données non sensibles236.

           La protection de l'individu est envisagée différemment ou plutôt directement dans la
recommandation n° R (85) 20 adoptée par le Comité des ministres du Conseil de l'Europe le 25
octobre 1985 en ce qui concerne les banques de données du secteur du marketing direct. Cette
recommandation prévoit, en effet, que toute personne doit pouvoir, selon le cas :

-     soit refuser que les données la concernant soient enregistrées dans les listes de marketing direct;
-     soit refuser une transmission de ces données à des tiers;
-     soit demander, sans autre condition, l'effacement ou la radiation de telles données.


168.         La protection est envisagée également de manière directe lorsqu'elle consiste en des
interdictions d'enregistrer certaines données présumées sensibles. On pense immédiatement aux
données relatives à la race, aux opinions ou activités politiques, syndicales, philosophiques,
religieuses, mutualistes ou culturelles ainsi qu'aux données relatives à l'assistance sociale, etc. On
pourrait penser, bien évidement, dans nos sociétés, aux revenus et au patrimoine. Ce serait là
toutefois condamner toutes les banques de données des administrations sociales et des administra-
tions fiscales.

             Très proche de ce droit de refus à l'enregistrement de certaines données est le "droit à
l'oubli" ou à "l'effacement" de certaines données, après l'écoulement d'une certaine période de temps.


169.        La protection de la vie privée à l'égard des banques de données à caractère personnel
suppose la connaissance en général, par les citoyens, de l'existence des banques de données.

           Cette connaissance ne peut se réaliser que par une publicité tel qu'un registre public des
banques de données, un "fichier" des "fichiers" accessible à tous.

              Pareille publicité est organisée aux USA, en France, en Suède, en RFA, etc.

             Ainsi, le "Privacy Act" de 1974 prévoit que toute agence fédérale qui tient un système
d'enregistrement est obligé, chaque année, de consigner au registre fédéral les informations suivantes
: nom et emplacement du système, catégories d'individus repris, catégories d'enregistrement,
utilisation habituelle du système, catégories d'utilisateurs, but poursuivi par ces utilisateurs, politique
et pratique de l'agence concernant le stockage, les classements, les contrôles d'accès, la détention et la
disparition des enregistrements, le responsable du système, les procédures et notifications à l'individu




236
   Cette pratique est en effet très dangereuse. Dans une étude intitulée "Bancontact, Mister Cash, Postomat ...", G.
VANDENBERGHE et J. de LAME citent l'anecdote suivante : "En 1971, la mission suivante fut confiée à un groupe
d'experts du centre d'études stratégiques et internationales de l'Université de Georgetown : "Comme conseiller du KGB, la
police secrète d'URSS, vous devez concevoir un système qui permette de surveiller en permanence les habitants et
visiteurs de l'URSS. Le système ne peut être ni gênant, ni visible". Le système proposé fut le transfert électronique de
fonds" (J.T., 1983, p. 281 et svtes).
                                                                                                                            78.-


de l'enregistrement le concernant, la procédure d'accès de cet individu et de contestation du contenu
et, enfin, les catégories de sources237.

               Plusieurs solutions sont possibles pour permettre l'exercice de ce droit.

             La première solution est implicite : un individu peut savoir s'il figure dans une banque de
données si cela lui est révélé par le but de l'interrogatoire ou encore à partir des renseignements
fournis par le registre public des banques de données. Un computer bill of rights idéal devrait en tout
cas consacrer que tout citoyen a le droit d'obtenir, à sa demande, de toute banque de données, une
réponse à la question de savoir s'il y figure.

             La deuxième solution est directe et par conséquent plus efficace : la banque de données
doit avertir l'intéressé lors du premier enregistrement de données personnelles qui le concernent.

            La troisième solution se situe à l'intersection des deux premières. Elle consiste à rendre
obligatoire l'identification du maître du fichier lors de toute communication avec l'intéressé,
communication rendue possible par le fichier. C'est la solution retenue dans la recommandation n° R
(85) 20 du Conseil de l'Europe en matière de marketing direct.


170.        Savoir que l'on est fiché dans une banque de données est déjà en soi un progrès.
Connaître les données qui y figurent est fondamental.

             L'étude comparative des lois en vigueur dans les différents pays occidentaux montre une
multiplicité de variantes dans l'exercice du droit d'accès. Le droit d'accès peut être limité aux fichiers
du secteur public (Privacy Act de 1974) ou s'étendre tant aux fichiers du secteur public qu'aux fichiers
du secteur privé (France, Luxembourg). Le droit d'accès peut ne pas s'étendre aux fichiers intéressant
la sûreté de l'Etat ou la santé, sauf en obligeant le passage par un intermédiaire obligé qui sera, selon
le cas, magistrat ou médecin238.

             Le droit d'accès peut être limité aux données brutes elles-mêmes, être étendu aux résultats
du traitement, voire même au raisonnement utilisé dans les traitements 239, ou encore aux buts du
fichier ou aux sources des données, voire à l'identité des utilisateurs finaux des données ou des
résultats du traitement.

            Le droit d'accès peut également être réglementé dans sa périodicité (par exemple, une fois
l'an, ou moyennant un certain délai de réponse, comme c'est le cas en matière d'accès à la banque de
données des membres du personnel du secteur public).

            L'accès peut être exercé gratuitement 240 ou moyennant paiement d'un droit ou d'une
redevance, fixée par un organisme institutionnel241 ou d'un droit ou d'une redevance réglementaire-
ment fixée.


237
    Connaître, en général, l'existence des banques des données est déjà en soi un droit important, connaître avec précision
les banques de données dans lesquelles je suis enregistré est essentiel.
238
    Articles 39 et 40 de la loi française.
239
    Article 3 de la loi française.
240
    C'est le cas en Suède; c'est le cas de l'accès au registre national des personnes physiques et à la centrale des crédits à la
consommation.
241
    La C.N.I.L. en France.
                                                                                                                            79.-




171.         Le droit de contester les données et, le cas échéant, le résultat ou le raisonnement du
traitement, comme l'obligation de rectifier ou d'annuler les données incomplètes, inexactes, périmées
ou illégales sont les finalités principales du droit d'accès.

             La principale difficulté de ce droit de correction est d'organiser la charge de la preuve.
Ainsi, appartient-il aux fichés d'apporter les éléments tendant à discréditer les données ou, au
contraire, incombe-t-il au responsable du fichier d'apporter la preuve de la réalité des données ?

            La loi française a apporté à cette question une solution idéale : la charge de la preuve
incombe au responsable du fichier sauf si les données contestées ont été communiquées par le fiché
ou avec son accord242. Les textes actuels en Belgique, relatifs au registre national des personnes
physiques et à la centrale des données, ne se sont pas prononcés directement sur la question de la
charge de la preuve. Il est simplement dit que l'intéressé devait apporter des éléments de preuve à
l'appui de sa demande, ce qui nous paraît tout différent.

            Mais que faut-il prévoir lorsque l'exercice du droit de contester n'est pas reconnu par le
maître du fichier et qu'il s'écoule un certain laps de temps avant que la question soit vidée par la
juridiction ou l'autorité compétente ? A ce propos, la loi allemande a prévu, selon la nature de la
donnée contestée, soit un blocage de l'information, soit son effacement. Ce dernier a lieu s'il s'agit de
données relatives à la santé, au casier judiciaire ou aux opinions politiques ou religieuses.

            L'article 15 de la loi du 8 décembre 1992 n'a prévu aucune mesure d'effacement ou de
blocage des données en cas de contestation, même judiciaire. Il est seulement prévu que dès la
réception de la demande tendant à faire rectifier, supprimer ou interdire d'utiliser ou de divulguer des
données à caractère personnel ou dès la notification de l'introduction de l'instance judiciaire et jusqu'à
ce qu'une décision soit coulée en force de chose jugée, le responsable du traitement doit indiquer
clairement, lors de toute communication d'une donnée à caractère personnel, que celle-ci est
contestée.

               Cette mesure est, à notre avis, tout à fait inefficace, voire inopportune.


172.         Notons encore que tout système de droit à la rectification des données serait en partie vain
s'il ne comportait pas les deux principes accessoires essentiels que sont, d'une part, la gratuité de la
rectification et, d'autre part, l'obligation pour le responsable des données de communiquer cette
rectification à tous ceux qui ont reçu les données auparavant, ce que nous appelons le "droit de
suite"243.




242
   Article 36 de la loi française.
243
   Ce droit de suite est libellé très judicieusement par l'article 38 de la loi française : "Si une information a été transmise à
un tiers, sa rectification ou son annulation doit être notifiée à ce tiers, sauf dispense accordée par la Commission". Il l'est
moins dans l'article 12, § 3, de la loi belge du 8 décembre 1992 : "dans le mois à compter de la demande (en rectification),
le maître du fichier communique les rectifications ou suppressions de données (...) aux personnes auxquelles les données
inexactes, incomplètes ou non pertinentes ont été communiquées, pour autant qu'il connaisse encore les destinataires de
cette information". Ce libellé permet au maître du fichier de refuser la communication de la rectification pour le motif
qu'il ne connaîtrait plus les personnes auxquelles il a communiqué des données. Cette latitude est toutefois réduite est
toutefois réduite dans la mesure où l'article 12, § 3, impose au maître du fichier de conserver l'identité des destinataires de
cette information pendant une période de douze mois.
                                                                                                                        80.-


173.        Le droit d'accès individuel aux données est un instrument indispensable de contrôle. La
recherche d'un équilibre entre les intérêts de la collectivité et des individus paraît toutefois imposer
des limites à ce droit d'accès. Ainsi, on peut se demander s'il est bien normal que le fraudeur puisse
accéder, sans limite, à son fichier fiscal et le délinquant, à son fichier de police.

             L'article 9 de la "convention pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel" permet de déroger au droit d'accès individuel lorsqu'il
s'agit d'une mesure nécessaire dans une société démocratique, à la protection de la sécurité de l'Etat, à
la sûreté publique, aux intérêts monétaires de l'Etat ou à la répression des infractions pénales ou
encore à la protection de la personne concernée et des droits et libertés d'autrui.

            Telles que libellées, ces dérogations sont trop larges et elles permettraient, comme telles,
d'exclure tout droit d'accès aux fichiers publics.

            Nous pensons qu'en cette matière il importe de ne pas écarter trop rapidement le droit
d'accès individuel et, qu'en toute hypothèse, ce contrôle doit être organisé, fût-ce éventuellement par
l'intermédiaire d'une personne indépendante (un magistrat), comme cela est prévu par la loi française.

           La recommandation n° R (87) 15 du Conseil de l'Europe du 17 septembre 1987 "visant à
réglementer l'utilisation de données à caractère personnel dans le secteur de la police", adopte sur ce
point une position très libérale.

             Aux termes de l'article 6 de cette recommandation, l'exercice du droit d'accès et de
rectification ne peut faire l'objet d'une restriction que dans la mesure où une telle restriction est
indispensable à l'accomplissement d'une tâche légale de la police ou nécessaire pour la protection de
la personne concernée ou des droits et libertés d'autrui. Un refus ou une restriction de ces droits doit
être motivé par écrit. La communication de la motivation ne peut être refusée que dans la mesure où
cela est indispensable pour l'accomplissement d'une tâche légale de la police ou nécessaire pour la
protection des droits et libertés d'autrui. Enfin, au cas où l'accès serait refusé, la personne concernée
pourrait disposer d'un recours auprès de l'autorité de contrôle ou d'un autre organe indépendant qui
s'assurera que le refus est bien fondé244.


174.          Un contrôle individuel est, nous l'avons vu, indispensable pour la protection des citoyens.
Il serait toutefois illusoire de penser que pareil contrôle peut, à lui seul, s'avérer être suffisant compte
tenu de l'évolution des techniques informatiques (existence de banques de données réparties, de
fichiers virtuels, de réseaux...).

            Partant de cette constatation, la plupart des législations en vigueur instituent un
organisme de contrôle. Ainsi, en République Fédérale d'Allemagne, il existe, depuis 1978, un
commissaire fédéral au contrôle des banques de données du secteur public. En France, a été institué
en 1978 la Commission nationale de l'informatique et des libertés. Au Canada, existe depuis 1983, un
"Privacy Commissionner" dont la tâche, à l'instar d'un ombudsman, est d'instruire les plaintes. En
Autriche, existe également depuis 1978 la "Commission fédérale pour la protection des données". Il
existe de même, des organismes de contrôle en Norvège, en Suède, etc.


244
   On notera que selon cette recommandation, sauf législation nationale spécifique, la collecte de données à caractère
personnel à des fins de police doit se limiter à ce qui est nécessaire à la prévention d'un danger concret ou à la répression
d'une infraction pénale déterminée (article 2, § 1er).
                                                                                                                        81.-




175.         Si la nécessité d'un organisme ad hoc semble quasi universellement reconnue, les
législations ne concordent plus lorsqu'il s'agit de déterminer l'étendue de la mission et les pouvoirs à
attribuer à l'organisme de contrôle. En effet, l'institution d'un organisme spécialisé peut être
envisagée au départ de plusieurs hypothèses.

             L'organisme de contrôle peut être investi d'une mission de contrôle préventif à l'occasion
de la création des banques de données. C'est le système de l'agrément ou de l'autorisation, voire de la
déclaration préalable245.

            A côté ou indépendamment d'une mission préventive, l'organisme de contrôle peut
recevoir une mission de surveillance et obtenir un pouvoir d'intervention pour vérifier le respect de la
loi.

           L'organisme de contrôle peut recevoir pour mission une simple compétence d'avis soit au
pouvoir exécutif, soit au pouvoir législatif, soit au pouvoir judiciaire.

             Même si l'avis est obligatoire246, une compétence de ce type est illusoire sauf s'il est prévu
que l'avis lie les autorités dans leur décision.

           Tout autre chose est de donner à l'organisme de contrôle un véritable statut juridictionnel
comportant notamment le pouvoir de retirer l'agrément ou l'autorisation en cas d'infraction.

          Un organisme de contrôle peut recevoir à des degrés divers un droit d'enquête comportant
notamment la possibilité de vérification sur place et un droit de poursuite247.


176.         Le degré d'indépendance de l'organisme de contrôle est important. L'organisme peut être
constitué comme un simple ombudsman parlementaire, comme un organisme mi-exécutif
mi-judiciaire, comme une autorité indépendante de l'exécutif ou encore comme une partie intégrante
de l'exécutif.


177.        L'organisme de contrôle peut recevoir une mission générale de contrôle et de surveillance
des traitements informatiques. A l'opposé, sa mission de contrôle peut être limitée à certains aspects
(autorisation de création, flux transfrontières, etc) ou à certaines banques de données (banques de
données publiques, banques de données privées, banques de données spécialisées, etc).


178.       A la question de savoir s'il existe un système de contrôle institutionnel idéal, c'est
résolument qu'il faut répondre de manière négative. Le caractère judicieux d'une réglementation en la
matière dépend de la pratique et du droit d'un Etat déterminé. Ainsi, si la réglementation suédoise en
matière de protection des données informatiques peut apparaître comme la plus poussée en Europe


245
    C'est le cas en principe, en France, pour les traitements automatisés d'informations nominatives opérés pour le compte
de l'Etat, d'un établissement public ou d'une collectivité territoriale, ou d'une personne morale de droit privé gérant un
service public, sauf les cas où ces traitements automatisés doivent être autorisés par la loi elle-même (article 15 de la loi
française).
246
    En ce sens que l'avis doit être obligatoirement demandé.
247
    C'est-à-dire le droit d'exercer l'action devant les tribunaux.
                                                                                                                        82.-


occidentale, ce fait doit être rapproché de l'existence dans ce pays d'une informatique envahissante :
aucun aspect de la personne du citoyen suédois n'échappe aux banques de données publiques.

            La législation idéale, si tant est qu'il en est une, est celle qui protège l'individu contre la
moindre atteinte à sa vie privée, tout en n'augmentant pas le coût du contrôle pour les entreprises et les
administrations, en n'entravant pas le progrès des techniques par un tarissement de l'information, en
n'empêchant pas l'Administration de se libérer de ses structures rigides en adoptant des méthodes de
gestion informatique souples et modernes ... Elle n'existe donc pas.




Sous-section 5 : Distinction des fichiers publics et des fichiers privés

179.         Tous les législateurs qui ont entendu voter une réglementation en matière de protection de
la vie privée à l'égard des banques de données automatisées, se sont posé la question de savoir s'il
fallait réglementer distinctement les banques de données des entreprises privées par rapport à celles
de l'Etat.

           L'idée selon laquelle il n'est pas possible d'assurer la protection des droits de l'homme si la
réglementation ne couvre pas à la fois le secteur privé et le secteur public, est actuellement
généralement admise248.

           Il est certes des lois, telles la loi australienne, la loi canadienne, la loi américaine ou la loi
de Nouvelle-Zélande, qui ne concernent que les fichiers publics, mais il ne faut pas oublier qu'il s'agit
là de réglementations fédérales et donc de textes émanant d'organes à compétences limitées, les
compétences sur le plan du secteur privé appartenant aux Etats fédérés.


180.         Si le problème n'est pas tellement de savoir s'il faut exclure un des deux secteurs de la
réglementation, il subsiste toutefois une interrogation sur le plan du contenu de la réglementation :
faut-il une identité complète des règles pour les deux secteurs ou faut-il tenir compte de leur
spécificité et adopter, en conséquence, des dispositions distinctes ?


181.          Les arguments ne manquent pas en faveur de l'identité de régime. En effet, les dangers
pour la vie privée sont identiques, que le fichier soit public ou privé. Par ailleurs, dans de nombreux
cas, il existe une impossibilité pratique de distinguer les fichiers privés des fichiers publics249.

             Les partisans d'un régime plus souple pour les fichiers privés contestent que les dangers
pour la vie privée soient identiques pour les deux types de fichiers. Selon eux, le problème ne se pose
en effet pas, avec la même acuité, dans le secteur public et dans le secteur privé, car le secteur public,
outre la détention de prérogatives de puissance publique, a une vocation à concerner de vastes

248
    Déclaration finale du rapport Bayerl, Parlement européen, 20 mars 1979, P.E. 56386, Annales 1/n° 18 (le 8 avr. 1976,
l'assemblée plénière du Parlement européen a pris une résolution confiant à la Commission juridique la mission d'élaborer
un rapport sur la protection des droits de l'homme contre le progrès technique en matière d'informatique, ceci à l'initiative
de divers parlementaires. La Commission juridique a approuvé le rapport de la Commission en réunion des 5 et 6 juil.
1979. Le rapporteur en était A. Bayerl, qui a donné son nom audit document.
249
    On ne s'étonnera donc pas de la solution adoptée par la loi suédoise, à savoir, une identité de régime quasi complète,
tempérée par une réglementation souple des banques de données créées par la loi.
                                                                                                                         83.-


secteurs de la population (tels les fichiers de sécurité sociale, les fichiers fiscaux, les fichiers de
population,...), voire toute la population. En outre, le secteur public posséderait une tendance
fâcheuse à la centralisation250, ce qui nécessiterait une protection accrue.


182.        Ces constatations sont peut-être à l'origine de la situation que l'on a connue dans notre
pays : d'une part, on a assisté à une réglementation de plus en plus détaillée des banques de données
publiques, tels le registre national et la banque-carrefour. D'autre part, tous les projets relatifs à la
protection de la vie privée face aux banques de données informatiques en général (et donc tant des
banques de données du secteur public que des banques de données du secteur privé) sont restés
immobilisés sur le bureau des Chambres pendant près de vingt années avant l'adoption de la loi du 8
décembre 1992.


183.       En France, la loi opère une nette distinction entre les "traitements automatisés d'infor-
mations nominatives" du secteur public dont la création est soumise à l'avis préalable de la
Commission et les traitements automatisés d'informations nominatives effectués pour le compte des
personnes privées, dont la création est soumise à simple déclaration.


184.      Il faut se garder d'admettre la distinction "secteur public - secteur privé" comme pouvant
valablement justifier des différences de régime, tant la distinction est floue et mal adaptée à la
matière.

            En effet, dans notre pays, comme dans la plupart des autres pays européens, prévaut une
économie mixte dans laquelle il est malaisé, sinon impossible, de tirer une frontière nette entre le
secteur public et le secteur privé. Un bon nombre d'entreprises possèdent à la fois les caractéristiques
des deux secteurs251. En Suède, les entreprises nationalisées sont considérées comme relevant du
secteur privé; aux Pays-Bas, elles relèvent du secteur public; en Belgique, les sociétés à participations
majoritaires des pouvoirs publics ne reçoivent, de façon générale, aucun statut bien défini.

            Les pays qui ont adopté un régime différentiel pour le secteur public et le secteur privé ont
tenté de résoudre le délicat problème posé par le secteur mixte. Ainsi, la loi française a défini le
"traitement public nominatif" comme étant celui "opéré pour compte de l'Etat, d'un établissement
public ou d'une collectivité territoriale ou une personne de droit privé gérant un service public".

             La loi allemande distingue un secteur mixte. Ce dernier comprend "les entreprises de
droit public opérant dans des conditions de concurrence" et les "personnes de droit privé, dans
lesquelles les instances fédérales ou une collectivité, un établissement ou une fondation quasi fédérale
de droit public possède la majorité des parts ou dispose de la majorité des voix...". Ce secteur est
soumis à un régime légèrement distinct de celui du secteur public.


185.         Pareilles distinctions ne paraissent pas pouvoir, en Belgique, tracer la frontière nette
éventuellement souhaitée. En effet, la notion de service public est, par définition, variable en vertu de
la finalité qui le caractérise, "donner satisfaction à un besoin collectif du public d'une façon régulière


250
      Voyez la création en Suède de "Fobalt", le "big brother" informatique public suédois, "Le Soir" du 26 août 1983.
251
      La SNCB, par exemple.
                                                                                                                         84.-


et continue"252, et l'appréciation d'une éventuelle majorité des pouvoirs publics dans une société
privée, n'apparaît pas être le bon critère (il est des pouvoirs de fait difficiles à jauger et qui peuvent
résulter, par exemple, non d'une majorité de droit, mais de l'octroi de crédits, ou d'une participation
importante non assortie de droits de vote).


186.        En toute hypothèse, il nous semble indispensable que, d'une manière ou d'une autre, les
banques de données du secteur public soient traitées différemment de celles du secteur privé et ce,
non pas tellement au niveau des modalités pratiques du contrôle individuel, mais surtout sur le plan du
but avec lequel le ou les contrôles institutionnels doivent être et opérés.

             La raison de cette distinction, prônée par de nombreux auteurs, résulte de la différence de
nature de l'information publique. L'information publique est en effet subordonnée, comme l'action
administrative en général dont elle est l'accessoire, aux principes de "légalité" et de "spécialité",
fondements de notre état de droit.


187.         Le principe de légalité qui s'identifie à la soumission de l'Administration au droit veut que
l'acte d'un organe détenteur d'une parcelle de puissance publique ne soit régulier que s'il est conforme
aux règles déterminées par une autorité supérieure à celle dont l'acte émane. Dans un Etat
démocratique comme le nôtre, cette autorité supérieure ultime est le législateur lui-même. Le pouvoir
exécutif (l'Administration) n'a d'autres pouvoirs que ceux qui lui sont attribués par le constituant
lui-même ou par le législateur en vertu de la Constitution. La Belgique est un Etat de droit dans lequel
le véritable souverain est la loi et les rapports entre l'Administration et les particuliers sont régis par la
loi, de la même manière que les rapports entre particuliers, et non par la "raison d'Etat".

              Ce principe veut qu'un acte administratif ou, de façon plus générale, de l'exécutif, ne soit
légal, licite, que s'il trouve un fondement dans la Constitution ou dans la loi : les autorités adminis-
tratives ne peuvent rien faire, sauf ce que la loi leur permet253.


188.       Le principe de la spécialité est celui qui veut que chaque service, chaque organe de la
puissance publique, limite son activité à ce qui constitue le but de la mission qui lui a été confiée par
la loi254.


189.         C'est aux deux principes de légalité et de spécialité que doit répondre le fonctionnement
d'un fichier public et le respect de ces principes nécessite un contrôle de nature démocratique 255. Or,
c'est le législateur qui définit le cadre de l'action administrative dont l'information est l'accessoire.
C'est donc au législateur qu'il appartient également de définir le cadre de l'information administrative
et de contrôler son respect256.

252
    A. BUTTGENBACH, "Les modes de gestion des services publics", n° 22, p. 27.
253
    Sur le principe de légalité, cf. P. QUERTAINMONT, op. cit., p. 26 et svtes.
254
    P. QUERTAINMONT, op. cit., p. 48 et svtes; idem, note sous Cass. 1er avril 1982, R.C.J.B., 1984, p. 636 et svtes,
spécialement n° 4 et svts et réf. cit.; J. LEBRUN, "L'information de l'Administration par les entreprises et son utilisation",
in actes du Colloque "Banques de données ...", cité, p. 176.
255
    P. et Y. POULLET, "Applicabilité aux entreprises d'une législation protectrice des données ...", in actes du Colloque
"Banques de données ...", cité, p. 99.
256
    P. et Y. POULLET, "Applicabilité aux entreprises d'une législation protectrice des données ...", in actes du Colloque
"Banques de données ...", cité, p. 198.
                                                                                                                    85.-




190.        Il n'y a, dans le contrôle des fichiers du secteur privé, aucune préoccupation de ce type.
Le secteur privé peut tout ... sauf ce que la loi lui interdit. Le droit à l'information des entreprises
privées n'est donc fondé que sur le principe de la liberté contractuelle ou la liberté d'entreprendre257 et
l'information elle-même trouve en ce cas son origine, en principe, dans les relations contractuelles
nouées par le ficheur avec le fiché.


191.        Qu'en est-il des organismes et entreprises du secteur mixte (régies, services publics,
entreprises contrôlées par des organismes de droit public...) ? Une réponse à la question peut être
ébauchée à partir du fondement du droit à l'information. L'entreprise puise-t-elle son information à
partir de ses prérogatives de puissance publique ou, en d'autres termes, entretient-elle avec des
individus des rapports réglementaires ? Dans l'affirmative, il y a lieu de prévoir pour elle un contrôle
des principes de légalité et de spécialité; dans la négative 258, son droit à l'information n'a qu'une
origine contractuelle, à l'instar d'une entreprise privée et, son contrôle peut se limiter au respect du
principe de "pertinence", par rapport à la finalité de ses rapports avec les individus. Ce critère rejoint
d'une manière générale la solution de la loi allemande qui ne fait valoir les principes de légalité et de
spécialité que pour les administrations et les entreprises de droit public en situation de monopole259.


192.        Contrairement à l'Administration, l'entreprise privée puise son droit à l'information dans
les rapports contractuels qu'elle entretient avec les particuliers et les autres entreprises.

             Toute personne a, en effet, dans l'exercice de sa propre activité, la faculté de constituer un
fichier de ses propres clients et fournisseurs, passés, présents et même futurs 260 . Devant cette
constatation, il faut écarter, pour le contrôle des fichiers privés, le principe de légalité et de spécialité
régissant les banques de données publiques. Il convient, plutôt, de substituer à ces principes, le
principe de "pertinence", c'est-à-dire celui de la conformité du fichier par rapport au but des relations
contractuelles entretenues par l'entreprise. Les prestations contractuelles que peut fournir une
entreprise, responsable de son traitement, est en même temps la justification et la limite de l'usage et
de la collecte des données auprès de ses clients et fournisseurs, actuels ou potentiels.

            Analysant l'article 23 de la loi allemande, MM. Poullet261 concluent que cette dernière "a
envisagé tout le fonctionnement des banques de données des entreprises à partir du seul principe de
pertinence : l'enregistrement des données d'identification est autorisé dans le cadre des finalité d'un
rapport contractuel ou d'un rapport de confiance quasi contractuel avec la personne concernée, pour
autant que ce même enregistrement soit indispensable à la sauvegarde des intérêts légitimes de
l'instance qui enregistre les données et à la condition qu'il n'y ait pas lieu de supposer que ce même
enregistrement porte atteinte aux intérêts légitimes de la personne concernée".




257
    J. HUET et H. MAISL, op. cit., p. 562 et svtes, spécialement n° 527; J. PARDON, op. cit., p. 100.
258
    La distinction entre les deux situations reste indéniablement difficile : consultez P. WIGNY, "Droit administratif -
principes généraux", 1962, n° 399 et svts; F. de VISSCHERE, "Het administratieve contract - de stand van het vraagstuck
naar belgisch recht", R.W., 1962, col. 2393; P. QUERTAINMONT, op.cit., p. 69 et svtes, spécialement p. 96.
259
    P. et Y. POULLET, étude citée, in actes du Colloque "Banques de données ...", cité, p. 200.
260
    J. HUET et H. MAISL, op. cit., p. 563.
261
    Etude citée, in actes du Colloque "Banques de données ...", cité, p. 200.
                                                                                                                        86.-


            Ce principe appliqué à la collecte des informations est étendu aux questions relatives à la
transmission, à la modification, au blocage et à l'effacement des données. Ce principe se résume donc
à l'exigence de la conformité au but légitime de l'enregistreur et à l'intérêt légitime du fiché.

             Le principe de pertinence est également affirmé avec vigueur dans l'article 5 de la
Convention du 28 janvier 1981 du Conseil de l'Europe : "les données à caractère personnel faisant
l'objet d'un traitement automatisé sont :

a) obtenues et traitées loyalement et licitement;

b) enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière
   incompatible avec ces finalités;

c) adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont
   enregistrées;

d) exactes et, si nécessaire, mises à jour;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une
   durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées".


193.       Le principe de "pertinence" s'explique aisément : des données sont toujours rassemblées
dans une finalité bien déterminée. C'est également dans cette finalité qu'elles sont traitées ou
communiquées à des tiers. Connaissant cet objectif et conscient de sa légitimité, on peut circonscrire
aisément la sensibilité du fiché et le principe de pertinence rend ainsi inutile la consécration d'un
noyau dur de données et leur protection par voie d'interdiction262.

              Il n'existe, en effet, aucune raison valable d'interdire l'enregistrement de données
"sensibles", lorsque cet enregistrement répond à la finalité de la relation contractuelle avec le fiché :
il est aberrant d'interdire à un syndicat de ficher ses affiliés, d'interdire à un médecin ou un hôpital de
collecter des données relatives à la santé, d'interdire à un avocat de collecter les données judiciaires de
ses clients, au motif qu'il s'agirait de données sensibles. En pareil cas, en effet, notre vie privée n'entre
nullement en conflit avec l'ordinateur, mais, à l'inverse pourrait-on dire, la conservation de ces
données par l'informatique, leur donne une confidentialité accrue via, par exemple, les techniques de
chiffrement.

            C'est à juste titre que certains préconisent de refuser l'extension du noyau dur des données
sensibles; en effet, à force d'étendre ce noyau, il conviendra de multiplier les exceptions chaque fois
que "le principe de pertinence exigera l'enregistrement de la donnée pour répondre à la finalité
contractuelle voulue par l'individu"263.

            Le principe de pertinence, au regard de la finalité contractuelle apparaît donc comme une
base de protection sûre en matière des banques de données des entreprises et on peut donc affirmer de


262
    J. PARDON, étude citée, in actes du Colloque "Banques de données ...", cité, p. 101.
263
    S. SIMITIS, "Les garanties générales quant à la qualité des données à caractère personnel faisant l'objet d'un traitement
automatisé", actes du Colloque "Informatique et droit en Europe", ULB, 14-15 et 16 juin 1984; H. MAISL, "Les garanties
particulières relatives aux traitements automatisés de certaines données personnelles", in actes du Colloque "Informatique
et droit en Europe", cité, p. 2.
                                                                                                                     87.-


manière générale que les entreprises ont la liberté de collecter, de stocker et de traiter toutes les
informations qui sont nécessaires à la poursuite de leur finalité légitime.

             Ce principe de liberté étant posé, il serait illusoire, nous l'avons vu, d'attendre d'un
mécanisme d'auto réglementation, une réglementation suffisante pour les intérêts des fichés. Un
contrôle collectif et un contrôle individuel doivent donc être organisés. L'organisation de pareil
contrôle ne devrait pas être effectué au départ d'un système d'autorisation ou de réglementation
préalable sous peine de contredire le principe de liberté que nous venons de poser. On peut toutefois
envisager, pour les banques de données du secteur privé, un contrôle a posteriori par l'autorité de
surveillance et un système de déclaration préalable, permettant l'accès individuel aux fichiers. Il n'est
pas nécessaire, s'agissant de fichiers d'entreprises, que l'autorité de surveillance émane du pouvoir
législatif, puisque le principe du contrôle démocratique n'est pas, dans ce cadre, en jeu.


194.          Le principe de liberté connaît des limites.

             Ainsi, à propos du fichier des débiteurs défaillants de l'Union professionnelle du crédit (le
fichier "Mutuelle d'information sur le risque"), le tribunal de première instance de Liège264 a estimé,
avant l'adoption des mesures protectrices de la loi du 8 décembre 1992, qu'il était "en fait un fichier
secret, dont la menace de publicité est ignorée des consommateurs de crédit qui contractent avec les
membres de l'Union professionnelle du crédit et dont l'existence est dissimulée, aussi longtemps que
possible, aux débiteurs ayant leur nom signalé dans le fichier; qu'il s'agissait "en fait" d'un établis-
sement de listes noires secrètes constituées par l'insertion définitive et irrévocable des noms de tous
les preneurs de crédit ayant connu une défaillance financière à un moment quelconque, sans égard à
l'évolution ultérieure du crédit, sans effacement lié à l'écoulement du temps, ou remboursement de
crédit ou à une décision de justice prononçant l'inexistence de la créance ou de la faute du débiteur".

           Cette banque de données fut jugée illicite au motif que "la tenue de listes noires secrètes"
des mauvais débiteurs par les institutions bancaires et les organismes de crédit, en dehors de la loi et
sans mesure réelle effective garantissant le consommateur de crédit contre un ébranlement de crédit
erroné ou disproportionné, viole le droit au respect de la vie privée de chaque individu, fût-il
consommateur de crédit, et le droit de chacun de faire trancher un contentieux de crédit par les
tribunaux de l'ordre judiciaire, ainsi que de tenir pour vérité la décision judiciaire le déchargeant
éventuellement de toute dette envers le créditeur.

              De cette excellente décision, on conclura que la tenue d'un fichier privé n'est donc pas,
"en soi", illégale, mais que des normes de comportement prudent s'imposent au maître du fichier pour
la tenue de celui-ci.




Sous-section 6 : Diffusion et commercialisation des données

195.       A première vue, le principe de pertinence semble interdire la diffusion à des tiers des
données récoltées par une entreprise à l'occasion ou en vue de ses relations contractuelles avec le
fiché. C'est la raison pour laquelle les législations de nos voisins contrôlent plus sévèrement la

264
  11 mars 1987, J.L.M.B., 1987, p. 549; cons. également Prés. Civ. Liège, 2 déc. 1987, J.L.M.B. , 1988, p. 122 et note de
JEMEPPE; J.P. Namur, 13 janv. 1987, Dr. inform. 1987, p. 181.
                                                                                                                        88.-


communication externe des données que le traitement de celles-ci. Ainsi, la loi française relative à
l'informatique et aux libertés, dans son article 19, invite le responsable du fichier à mentionner dans sa
déclaration si la possibilité de la cession d'informations nominatives à des tiers est envisagée. Cette
possibilité est donc ainsi admise implicitement.

            Il en est différemment, à notre avis, pour les données gérées par une administration ou un
service public.

             Saisie d'une demande de conseil présentée par EDF-GDF concernant la communication à
des tiers d'informations nominatives contenues dans leurs fichiers, la C.N.I.L. a relevé « ce sont des
établissements publics à caractère industriel et commercial régis par un double principe juridique :

-     principe de spécialité - L'activité des établissements est limitée aux services publics qu'ils ont
      pour mission de gérer, ils ne peuvent employer leur patrimoine à d'autres fins;

-     principe de finalité - (...) Ils ne peuvent utiliser les fichiers qu'ils détiennent (fichiers d'abonnés, de
      personnel, de fournisseurs) qu'à des fins de gestion personnelle de leurs établissements ».

             Il résulte de ces principes qu'EGF-GDF, qui détiennent des informations nominatives en
vue de servir la mission de service public qui leur est impartie, ne peuvent les utiliser pour d'autres
finalités que la gestion des contrats avec leurs abonnés (il en va de même pour les fichiers de gestion
du personnel et des fournisseurs). Il (est) donc exclu que la Commission permette que les fichiers
d'EDF-GDF jouent un rôle de "fichiers de référence" à la disposition de personnes physiques ou
morales qui en feraient la demande"265.

           Ces principes nous paraissent applicables, en Belgique. En l'absence d'un texte autorisant
une personne de droit public à céder à des tiers les informations nominatives qu'elle détient, cette
communication est interdite266.


196.         Il est donc nécessaire qu'en matière de communication de données à des tiers, la
réglementation renforce ou réaffirme le principe de pertinence. En matière de communication des
données, ce principe doit certes être adapté : il s'agit de la pertinence par rapport à la finalité de
l'ensemble des relations contractuelles qu'entretient la collectivité des fichés avec la collectivité des
ficheurs. Ainsi codifié, le principe de pertinence interdit toute communication entre ficheurs ne
poursuivant pas les mêmes finalités économiques : le destinataire de la communication doit justifier
un intérêt légitime de réception et de l'absence de préjudice pour le fiché267.

            Enfin, il est utile que la réglementation en matière de communication des données tienne
compte de l'existence de secrets professionnels, voire de devoirs de discrétion propres à certaines
entreprises ou à certains secteurs : la communication doit demeurer dans le cadre des relations
contractuelles ou de confiance entre le collecteur de données et le fiché.




265
    C.N.I.L., troisième rapport d'activités, 1981-1982, in "La documentation française", p. 108 et svtes, spécialement p.
108 et 109.
266
    Peut-être faudrait-il faire exception à la règle pour des données faisant partie du domaine public tel que le fichier des
abonnés au téléphone; en ce sens, C.N.I.L., 6e rapport d'activités, 1984-1985, "La documentation française", p. 291.
267
    A l'instar de ce qui est prévu par la loi allemande.
                                                                                                     89.-



Sous-section 7 : Problèmes posés par les éditeurs d'adresses et les bureaux d'information
                 spécialisés


A. Editeurs d'adresses et banques de données de marketing direct

197.        Nous avons constaté, dans les lignes qui précèdent, que le droit des entreprises à
enregistrer et à traiter les données de caractère personnel trouvait son fondement dans les rapports
contractuels entretenus par les entreprises avec les fichés. Les éditeurs d'adresses et les bureaux
d'information spécialisés (sur le crédit ou l'emploi notamment) ont ceci de particulier que leurs
fichiers sont constitués en dehors de tout rapport contractuel avec le fiché.


198.        Certains éditeurs d'adresses ne présentent que peu de danger pour la vie privée des
individus pour autant qu'ils respectent scrupuleusement leur but social consistant en la collecte et la
diffusion de données intégralement neutres telles que le nom et le prénom, l'adresse, la qualité ou la
profession.

            Un contrôle institutionnel de ces éditeurs d'adresses est nécessaire aux fins de permettre la
surveillance de la neutralité absolue des données. Le contrôle individuel est toutefois, pour eux,
réduit à sa plus simple expression et une législation prévoyant uniquement la possibilité de faire
effacer son nom de la banque de données apparaît, à cet égard, largement suffisante.


199.       Fort proches des banques des éditeurs d'adresses ci-dessus, mais beaucoup plus sensibles,
les banques de données du secteur du marketing direct sont florissantes dans notre pays.

            Le marketing direct recouvre l'ensemble des activités, ainsi que tout service auxiliaire à
ces activités, permettant d'offrir des produits et des services ou de transmettre des messages
publicitaires à des segments de population par le moyen du courrier, du téléphone ou d'autres moyens
directs dans le but d'information ou afin de solliciter une réaction de la part de la personne concernée.

             Parmi les services auxiliaires des activités du marketing direct, on range le courtage de
listes ou les services d'adresses.

            En tant que telles, les banques de données du secteur du marketing direct ne sont pas fort
dissemblables de celles des éditeurs d'adresses ne récoltant et ne diffusant que des données neutres.
La sensibilité du fiché à son indication dans une banque de données de ce secteur dépend cependant
du but du fichier (par exemple, fichier des personnes susceptibles d'être intéressées par des emprunts,
fichiers des personnes susceptibles d'acquérir des voitures de haut de gamme, fichiers de personnes
susceptibles d'être intéressées par des revues légères, fichiers de personnes susceptibles d'octroyer des
dons à des oeuvres philanthropiques, etc).

            Un fichier de marketing suppose un tri, un échantillonnage, basé sur des critères parfois
très subjectifs et discriminatoires, voire simplement sur des données objectives mais relativement
confidentielles (modes de paiement et avoirs, rémunérations, centres d'intérêt, centres de loisirs, etc).

            Le danger de pareils fichiers n'est donc nullement négligeable.
                                                                                                        90.-


            Une recommandation n° R (85) 20 adoptée par le Comité des Ministres du Conseil de
l'Europe le 25 octobre 1985 "relative à la protection des données à caractère personnel utilisées à des
fins de marketing direct", invite les Etats membres à élaborer des règles spécifiques à ce secteur.
Cette recommandation préconise, entre autres, de reconnaître à l'individu le droit, selon le cas, de
refuser que les données le concernant soient enregistrées dans des listes de marketing, ou de refuser
que les données contenues dans de telles listes soient transmises à des tiers, ou de faire effacer, à sa
demande et sans autre condition, les données le concernant de toutes ou de certaines listes de
marketing détenues par des utilisateurs.

             Par ailleurs, d'après cette recommandation, toute personne devrait pouvoir obtenir et faire
rectifier les données la concernant, incluses dans une liste ou un fichier de marketing direct; à cet
effet, c'est-à-dire pour permettre à la personne concernée d'exercer ses droits, la recommandation
prévoit que des mesures appropriées doivent être prises pour permettre d'identifier le maître du fichier
de marketing, notamment lors de toute communication rendue possible par le fichier.

            Toujours aux termes de cette recommandation, les produits et les services offerts, ainsi
que les messages transmis, devraient revêtir une forme appropriée afin que la vie privée du
destinataire ne subisse aucun préjudice. Sont ainsi visés les cas où la nature du produit ou des
messages reçus par une personne peut être aisément décelée par des tiers, d'où le risque d'une
ingérence dans la vie privée.

              Cette recommandation est toutefois sur certains points d'une lourdeur impraticable; il en
est notamment ainsi de l'obligation faite au maître du fichier d'avertir les intéressés de la mise des
listes à la disposition de tiers. Voulant éviter le débordement des boites aux lettres, la recommanda-
tion multiplie les notifications inutiles !

             En ce qui concerne le droit positif belge, en matière de marketing direct, nous ne pouvons
résumer mieux les principes applicables qu’en faisant référence à deux documents de la Commission
pour la protection de la vie privée, accessible sur le site de celle-ci et intitulés, le premier « Marketing
direct et protection des données personnelles » et le second « Le SPAM en Belgique » documents que
nous annexons aux présentes notes (format PDF).



B. Bureaux spécialisés

200.        Les bureaux spécialisés en matière de données relatives à l'emploi ou au crédit occupent
une place spécifique dans les banques de données pour diverses raisons.

             Premièrement, ces bureaux ne tirent pas leur droit à l'information de relations contrac-
tuelles avec le fiché. Ensuite, ils s'occupent de matières essentielles ou vitales, l'emploi et le crédit.
Enfin, ils traitent des données sensibles ou tentent d'arriver, au départ de données neutres, à des
résultats sensibles : les données intéressant la sécurité du crédit ou l'honorabilité et la compétence
d'un travailleur ne se limitent pas à des informations objectives (avoirs, habitudes de paiement,
garanties, diplômes, expériences professionnelles, quotient intellectuel...) mais englobent des
renseignements de nature éminemment subjective, tels que la réputation, le mode de vie, la moralité...

            D'une manière générale et sans avoir égard à la qualité du détenteur de la banque de
données, des mesures de protection des données personnelles en matière d'emploi ou en matière de
crédit ne peuvent être que des instruments de conciliation des divers intérêts en présence.
                                                                                                                        91.-




            L'intérêt de l'organisme prêteur ou de l'employeur, d'une part. C'est une nécessité pour le
prêteur de posséder une image la plus exacte possible du risque de crédit et ce risque n'est nullement
indépendant de la personnalité de l'emprunteur. C'est également une nécessité pour le futur
employeur de connaître divers aspects de la personne du candidat à un emploi. La confiance est un
élément essentiel tant à l'octroi du crédit que d'un engagement.

            L'intérêt du candidat emprunteur ou du demandeur d'emploi, d'autre part. Un candidat
emprunteur et un demandeur d'emploi estiment normal de livrer à leur contact un ensemble de
données personnelles pour obtenir le crédit ou le poste souhaité. Comme corollaire de la confiance
qu'ils ont accordée, il convient que la loi leur assure la protection de leur honorabilité car la
circulation de données pouvant ternir leur image de marque nuit gravement à leur liberté.

           L'intérêt de la collectivité, enfin. La société a un intérêt primordial à la circulation de
données à caractère personnel tant en matière de crédit qu'en matière d'emploi.

           En matière de crédit, l'intérêt collectif rejoint en partie l'intérêt du prêteur : la collectivité
doit maintenir la sûreté et la sécurité des opérations qui ont trait à l'épargne publique268.

            En matière d'emploi, c'est l'Etat qui a souvent été à l'origine de la nécessité de collecter un
grand nombre d'informations à caractère personnel. Ainsi, en matière d'allocations familiales,
l'employeur ou les caisses collectant les renseignements relatifs aux attributaires, aux allocataires et
aux bénéficiaires doivent enregistrer l'identité des intéressés, les liens de droit ou de fait les unissant,
le choix du réseau scolaire et, le cas échéant, l'application du régime de tutelle aux allocations ou les
handicaps justifiant l'octroi d'allocations majorées...


201.        Au service des organismes de crédit et des employeurs, les centrales de renseignements et
les bureaux d'information ont, contrairement à leurs clients, fait de l'enregistrement et de la
communication des données à caractère personnel, l'objet même de leur activité et la multiplicité des
destinataires réels ou potentiels a sans aucun doute augmenté considérablement le risque de dommage
pour les fichés.

           C'est pour cette raison que les législations étrangères ont, notamment au niveau des
bureaux de crédit, prôné un contrôle strict sur plusieurs plans.

           Sur le plan de la création de la banque de données d'abord, de nombreuses législations
exigent une autorisation préalable ou une déclaration préalable269.

            Sur le plan des données ensuite, les législations de notre pays et des pays voisins
renforcent ou étendent le noyau dur des données ou encore, imposent un traitement différencié de
protection selon les sources des données.

          En ce qui concerne les banques de données en matière d'emploi, on notera que la
recommandation n° R (89) 2 du Conseil de l'Europe du 18 janvier 1989, "sur la protection des
données à caractère personnel utilisées à des fins d'emploi", prévoit que les données à caractère
268
    "Il appartient à l'Etat de favoriser la constitution d'épargnes suffisantes dans les divers types d'actifs nécessaires à
l'économie publique et privée et de veiller à la correcte organisation des marchés sur lesquels se rencontrent les offres et
les demandes d'actifs financiers", R.P.D.B., compl., t. V, v° Epargne publique, n° 2, p. 518.
269
    L'Allemagne, les pays scandinaves.
                                                                                                     92.-


personnel collectées à des fins d'emploi ne devraient être utilisées par l'employeur qu'à des fins
exclusivement internes270. Ne devraient être autorisées, en principe, que des communications de
données à des organismes publics pour les besoins de leur fonction officielle et ce dans les limites des
obligations légales de l'employeur271.




Sous-section 8 : La loi du 8 décembre 1992 et la protection de la vie privée


A. Portée et champ d'application de la loi du 8 décembre 1992

202.        Le champ d'application de la loi du 8 décembre 1992 se déduit implicitement des
définitions données à l'article 1er de la loi.

           L'article 1er, § 1er, définit les "données à caractère personnel" comme étant "toute
information concernant une personne physique identifiée ou identifiable".

             Il semble qu'il y ait lieu d'entendre le mot "données" d'une façon relativement large. Il ne
s'agit pas seulement des informations écrites ou chiffrées mais de toutes informations contenues dans
une image, une bande son, une empreinte digitale, une empreinte génétique, etc.

             Ce qui est certain c'est qu'il importe peu que la donnée soit sensible ou non, protégée ou
facilement accessible, et qu'importe peu son sens et son objet. Une donnée neutre et objective, telle
que le lieu de naissance est soumise à l'application de la loi.


203.         Toute donnée quelconque n'entre pas forcément dans le champ d'application de la loi. Il
faut que la donnée soit relative à une personne physique identifiée ou identifiable.

           Ainsi, les données relatives aux sociétés, aux associations, aux personnes morales, aux
groupements quelconques, sont exclues de la protection légale sauf si elles ont un lien, un rapport
avec des personnes physiques membres ou organes de cette personne morale, de ce groupement.

            Est identifiable une personne physique qui peut être identifiée, directement ou indirec-
tement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments
spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou
sociale, comme le prévoit l'article 1er, § 1er, de la loi depuis sa modification du 11 décembre 1998
transposant la directive européenne 95/46/CE du 24 octobre 1995.

           Ne peuvent dès lors, lorsqu'elles concernent des personnes physiques, être considérées
comme à caractère personnel, les données agrégées sous forme statistique, de telle sorte que les
personnes concernées ne sont plus identifiables. Tel ne serait pas le cas lorsque lesdites statistiques

270
      Article 6, § 1er.
271
      Article 8, § 1er.
                                                                                                        93.-


produisent des résultats tellement précis qu'elles permettent, sans effort excessif, de retrouver les
personnes concernées.


204.        La loi vise les "traitements" de données à caractère personnel. Par "traitement", la loi
entend "toute opération ou ensemble d'opérations effectuées non à l'aide de procédés automatisés et
appliqués à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation,
la conservation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de
mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la
destruction de données à caractère personnel".

                  Tous les types d'opérations sur les données sont donc prévus.

             Il ne faut pas nécessairement que ces opérations soient effectuées, en tout ou en partie, à
l'aide de "procédés automatisés". Les traitements manuels sont aussi visés.

             Il ne faut pas non plus que ces opérations forment un ensemble et présentent un caractère
qui leur soit commun. Une opération isolée peut constituer un traitement.


205.       Pour être soumis à la loi, un "traitement de données à caractère personnel" doit concerner
des données "contenues ou appelées à figurer dans un fichier"272.

            Depuis sa modification par la loi du 11 décembre 1998, la loi du 8 décembre 1992 donne
du fichier la définition suivante : "tout ensemble structuré de données à caractère personnel,
accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de
manière fonctionnelle ou géographique".

            Cette définition distingue nettement les "fichiers" des "dossiers", en se fondant sur le
degré de structuration de l'information.


206.              L'article 1er, § 4, de la loi définit encore le "responsable du traitement".

            C'est "la personne physique ou morale ou l'association de fait ou l'Administration
publique qui, seule ou conjointement avec d'autres détermine les finalités et les moyens du traitement
de données à caractère personnel devant y figurer". L'appréciation de cette question est une pure
question de fait.

            En matière pénale, résoudre la question de savoir qui, dans une organisation, est le
"responsable du traitement" (problème dit de l'"imputation") ne sera pas toujours facile. Ainsi, à
propos des traitements automatisés des sociétés commerciales, la plupart du temps se sera le conseil
d'administration qui décidera de la création du traitement et, partant, de sa finalité. La mise en oeuvre
de cette décision, et en particulier le choix des moyens appartiendra à la compétence d'autres
responsables de l'entreprise.

              C'est sur le "responsable du traitement" que reposent les principales obligations prévues
par la loi, telles que celles de donner suite à l'exercice des droits d'accès ou de rectification. Le maître

272
      Article 3, § 1er, de la loi.
                                                                                                       94.-


du fichier est par ailleurs seul responsable des mesures concernant la gestion du traitement, la
déclaration de celui-ci, ainsi que l'obligation générale de contrôle et de surveillance.


207.          A côté ou plutôt en dessous du "responsable du traitement", se trouve le "sous-traitant",
défini par l'article 1er, § 5, de la loi comme étant "la personne physique ou morale, l'association de fait
ou l'Administration publique qui traite des données à caractère personnel pour le compte du
responsable du traitement et est autre que la personne qui, placée sous l'autorité directe du respon-
sable du traitement, est habilitée à traiter les données". Le sous-traitant est donc la personne autre
qu'un préposé qui assure concrètement la mise sur pied et le suivi du traitement.


208.        Tout traitement de données n'est pas visé par la loi.

             L'article 3, § 2, de la loi prévoit en effet une exception pour les traitements gérés par des
personnes physiques qui, de par leur nature, sont destinés à un usage privé, familial ou domestique (la
loi vise par là, par exemple, les fichiers d'adresses privés - agendas);


209.        Si la loi vise tant les traitements du secteur public que du secteur privé sous réserve de
l'exception visée ci-avant, des régimes particuliers ont toutefois été mis en place notamment pour :

-   les traitements effectués aux seuls fins de journalisme ou d'expression artistique ou littéraire (qui
    peuvent concerner, notamment, des données relatives aux appartenances politiques ou religieuses,
    des données relatives à des procédures judiciaires, des données relatives à la santé);

-   les traitements gérés par la Sûreté de l'Etat et le Service général de renseignement et de la sécurité
    (qui bénéficient de très importantes dérogations);

-   les traitements gérés par les services de police, par le Centre européen pour enfants disparus et
    sexuellement exploités ou les traitements instaurés dans le cadre de la loi relative à l'utilisation du
    système financier aux fins de blanchiment de capitaux.



B. L'application de la loi du 8 décembre 1992 dans l'espace

210.         La loi du 8 décembre 1992 s'applique au traitement de données dès qu'il entre "dans le
cadre des activités réelles et effectives d'un établissement fixe du responsable du traitement sur le
territoire belge".

              Elle s'applique encore dès que le traitement utilise des moyens automatisés ou non situés
sur le territoire belge (autres qu'à des fins exclusives de transit), lorsque le responsable du traitement
n'est pas établi de manière permanente sur le territoire de la Communauté européenne.

             Il va de soi que dans le cas d'un traitement effectué totalement à l'étranger, la loi belge ne
pourra être finalement appliquée qu'à l'opérateur disposant d'un établissement fixe belge tenu de
respecter la loi et, en conséquence, de déclarer les données obtenues et/ou insérées par/dans son
propre traitement.
                                                                                                       95.-




211.       La loi répond au problème fort important de la transmission des données à caractère
personnel vers l'extérieur du territoire national.

          Elle prévoit, d'une part, une habilitation au Roi d'établir une liste de traitements ou de
données non transmissibles à destination de pays non membres de la Communauté européenne.

            Elle énonce encore l'interdiction de transfert de données à caractère personnel vers un
pays non membre de la Communauté européenne si les lois de ce pays n'assurent pas "un niveau de
protection adéquat".



C. La mise en oeuvre des principes de protection

212.        Après avoir énoncé, en son article 2, que toute personne physique a droit au respect de sa
vie privée lors du traitement des données à caractère personnel qui la concernent (ce qui constitue
plus un vœu pieux qu'une disposition revêtant un réel caractère normatif), la loi, en son article 5,
dispose :

             "Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas
suivants :

a) lorsque la personne concernée a indubitablement donné son consentement;

b) lorsqu'il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à
   l'exécution de mesures précontractuelles prises à la demande de celle-ci;

c) lorsqu'il est nécessaire au respect d'une obligation à laquelle le responsable du traitement est
   soumis par ou en vertu d'une loi, d'un décret ou d'une ordonnance;

d) lorsqu'il est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée;

e) lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de
   l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont
   communiquées;

f) lorsqu'il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du
   traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas
   l'intérêt ou les droits et libertés fondamentaux de la personne concernée qui peut prétendre à une
   protection au titre de la présente loi".


            La "légitimité" n'est pas définie par la loi. C'est une notion conciliatrice entre les intérêts
de la personne fichée et l'intérêt poursuivi par le responsable du traitement. Le principe de légitimité
se confondra donc, par conséquent, avec le principe de légalité, pour les fichiers du secteur public et
avec le principe de "pertinence", dans le cas de fichiers du secteur privé.
                                                                                                      96.-


213.        C'est par ailleurs en tenant compte de ce que l'utilisation des données ne peut être faite de
manière incompatible avec les finalités poursuivies que doit s'apprécier la légalité des transmissions,
diffusions et communications des données.

            Si la finalité légitime poursuivie peut être, d'un côté, la communication avec profit des
données collectées (cas des entreprises de marketing direct), la finalité du traitement qui bénéficie de
la communication devra être, elle aussi, tout aussi légitime et les données reçues devront être
adéquates, pertinentes et non excessives par rapport à cette finalité.




214.         Le principe de finalité fait l'objet d'un contrôle tant de la part des personnes concernées
(via le droit d'accès) que de la part de la Commission de la protection de la vie privée : la finalité du
traitement doit être déclarée.

            Si modification de finalité il y a, il faut, à notre avis, considérer qu'il y a un nouveau
traitement des données, ce qui entraîne l'obligation d'en informer les fichés et l'autorité de contrôle.


215.        Pour certaines données qualifiées de "sensibles", la loi n'a autorisé leur traitement qu'à
des fins déterminées.

            Les premières données sensibles sont les données relatives aux origines raciales ou
ethniques, aux opinions ou activités politiques, philosophiques ou religieuses, aux appartenances
syndicales ou mutualistes.

            Ces données peuvent toutefois être traitées dans les cas suivants :

-   moyennant le consentement écrit de la personne concernée, consentement par essence révocable;

-   lorsque le traitement est nécessaire pour exécuter les obligations et les droits spécifiques du
    responsable du traitement en matière de droit du travail;

-   lorsque le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée;

-   lorsque le traitement est l’œuvre d'une association de droit ou de fait, à finalité politique,
    philosophique, religieuse, mutualiste ou syndicale et que le traitement se rapporte aux seuls
    membres de cette association et aux personnes entretenant des contacts réguliers avec elle, liés à
    sa finalité;

-   lorsque le traitement porte sur des données manifestement rendues publiques par la personne
    concernée;

-   lorsque le traitement est nécessaire à l'exercice ou à la défense d'un droit en justice;

-   lorsque le traitement est nécessaire à l'application de la sécurité sociale;
                                                                                                          97.-


-      etc273.

             Le traitement de données à caractère personnel concernant la vie sexuelle est uniquement
autorisé lorsque le traitement est effectué par une association dotée de la personnalité juridique ou par
un établissement d'utilité publique, qui a pour objet statutaire principal l'évaluation, la guidance et le
traitement des personnes dont le comportement sexuel peut être qualifié d'infraction, et qui est agréé
et subventionné par l'autorité compétente en vue de la réalisation de ce but.


216.             Le traitement des données à caractère personnel relatives à la santé est, en règle, interdit.

                 De nombreuses exceptions sont toutefois prévues. Elles concernent les cas suivants :

a) lorsque la personne concernée a donné son consentement par écrit à un tel traitement, pour autant
   que ce consentement puisse à tout moment être retiré par celle-ci;

b) lorsque le traitement est nécessaire afin d'exécuter les obligations et les droits spécifiques du
   responsable du traitement en matière de droit du travail;

c) lorsque le traitement est nécessaire à la réalisation d'une finalité fixée par ou en vertu de la loi, en
   vue de l'application de la sécurité sociale;

d) lorsque le traitement est nécessaire à la promotion et à la protection de la santé publique y compris
   le dépistage;

e) lorsque le traitement est rendu obligatoire par ou en vertu d'une loi, d'un décret ou d'une
   ordonnance pour des motifs d'intérêt public importants;

f) lorsque le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou
   d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou
   juridique de donner son consentement;

g) lorsque le traitement est nécessaire pour la prévention d'un danger concret ou la répression d'une
   infraction pénale déterminée;

h) lorsque le traitement porte sur des données manifestement rendues publiques par la personne
   concernée;

i) lorsque le traitement est nécessaire aux fins de médecine préventive, des diagnostics médicaux, de
   l'administration de soins ou de traitements soit à la personne concernée, soit à un parent, ou de la
   gestion de services de santé agissant dans l'intérêt de la personne concernée et les données sont
   traitées sous la surveillance d'un professionnel des soins de santé;

j) lorsque le traitement est nécessaire à la recherche scientifique et est effectué conformément aux
   conditions fixées par le Roi.

           Le traitement des données à caractère personnel relatives à la santé peut, sauf dans le cas
d'un consentement écrit de la personne concernée ou lorsque le traitement est nécessaire pour la

273
      Article 6 de la loi du 8 décembre 1992, modifié par l'article 9 de la loi du 11 décembre 1998.
                                                                                                                         98.-


prévention d'un danger concret ou la répression d'une infraction pénale déterminée, uniquement être
effectué sous la responsabilité d'un professionnel des soins de santé274.

            L'accès de l'intéressé aux données médicales le concernant doit obligatoirement se faire
par l'intermédiaire d'un médecin choisi par lui si le responsable du traitement l'exige.


217.         Le traitement des données relatives à des procédures judiciaires ou administratives est
interdit, sauf dans le cas des traitements effectués :

a) sous le contrôle d'une autorité publique ou d'un officier ministériel au sens du Code judiciaire,
   lorsque le traitement est nécessaire à l'exercice de leurs tâches;

b) par d'autres personnes lorsque le traitement est nécessaire à la réalisation de finalités fixées par ou
   en vertu d'une loi, d'un décret ou d'une ordonnance;

c) par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour
   autant que la gestion de leur propre contentieux l'exige;

d) par des avocats ou d'autres conseils juridiques, pour autant que la défense de leurs clients l'exige;

e) pour les nécessités de la recherche scientifique, dans le respect des conditions fixées par le Roi par
   arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie
   privée.



D. Les obligations du responsable du traitement

218.       Le responsable du traitement doit déclarer, auprès de la Commission de la protection de la
vie privée, tout traitement entièrement ou partiellement automatisé, avant sa mise en oeuvre
proprement dite.

             Les différentes déclarations sont regroupées par la Commission et contresignées dans un
registre qui reprend la liste des traitements et de leurs principales caractéristiques, ainsi que la liste
des fichiers manuels susceptibles de porter atteinte à la vie privée.

              Ce registre tenu par la Commission est accessible au public.

             On notera que la formalité de déclaration ne s'applique qu'aux seuls traitements
automatisés. Elle ne concerne pas les fichiers manuels sauf si la Commission estime, dans des cas
particuliers, que ces fichiers sont susceptibles de porter atteinte à la vie privée.

           Par ailleurs, une procédure d'exemption de déclaration ou de déclaration peut être
envisagée pour les traitements automatisés ne présentant pas clairement un risque d'atteinte à la vie
274
    L'Ordre des médecins s'est insurgé contre la possibilité, pour le patient, de consentir à la transmission des données à un
autre médecin. Il envisageait le cas de la transmission à un médecin intervenant pour un tiers comme par exemple, le
médecin de l'employeur du patient ou le médecin de l'assureur du patient. Le code de déontologie médicale tient en effet
le médecin traitant au secret, même à l'égard des médecins-contrôleurs, des médecins-conseils et des experts-médecins et
l'autorisation du patient ne suffit pas à relever le médecin de son secret professionnel.
                                                                                                       99.-


privée. C'est au gouvernement qu'il appartient d'édicter, par voie d'arrêté royal, ces normes
d'exemption ou de dérogation. L’arrêté royal d’exécution de la loi, promulgué le 13 février 2001, a
exonéré divers traitements de déclaration. Il s'agit, notamment,

            -des fichiers se rapportant exclusivement à l’administration, en interne, des salaires ;

            -des fichiers se rapportant exclusivement à l’administration, en interne, du personnel à
l’exception de données sensibles et de données fondant une évaluation;

         -des fichiers se rapportant exclusivement à la comptabilité et non destinés à être
communiqués à des tiers ;

            -des fichiers portant sur les données exclusivement nécessaires à l’administration, en
interne, des associés ;

            -des fichiers exclusivement relatifs à la gestion de la clientèle et des fournisseurs et à
l’exclusion de toute donnée sensible ou judiciaire, ce qui exclut les fichiers du contentieux clients ou
fournisseurs ;

          -des fichiers des autorités administratives réglementés par des dispositions spécifiques
(par exemple, la Banque-Carrefour de sécurité sociale, la Banque-Carrefour des entreprises, la
Banque des crédits aux particuliers, etc …) ;

            -des fichiers des associations et fondations ;

            -des agendas et carnets d’adresses, non destinés à la commercialisation ;

            -des fichiers d'enregistrement des visiteurs ;

            -des fichiers des élèves actuels ou anciens dans l'enseignement ;

             -des registres de la population, des registres de l’état civil et des traitements des
institutions de sécurité sociale ;

            -etc.

            La déclaration du responsable du traitement à la Commission comporte une description
des caractéristiques du traitement.

            Le formulaire standard de déclaration est accessible sur le site Internet de la Commission.

            La Commission de la protection de la vie privée a le pouvoir d'exiger d'autres éléments
d'information, et notamment l'origine des données, la technique d'automatisation choisie et les
mesures de sécurité prévues.

            Une déclaration doit être faite par "traitement automatisé". Le système de déclaration
adopté par la loi pose le principe qu'il y a un "traitement" par finalité poursuivie par le responsable du
traitement.
                                                                                                    100.-



E. L'information du fiché et le contrôle individuel

219.      L'information de la personne fichée est, en la matière, la condition sine qua non du droit
fondamental de l'individu que constitue le droit d'accès et de correction.

             L'article 9 de la loi impose à quiconque recueille des données à caractère personnel en vue
d'un traitement, d'informer la personne concernée par ces données, lorsque la collecte est effectuée
auprès de ces personnes. L'objectif est d'attirer l'attention de la personne concernée sur les risques
d'atteinte à sa vie privée que pourrait occasionner le traitement.

             Les informations communiquées à l'individu auprès duquel la collecte des données est
effectuée, lorsque ces données concernent cette personne, sont afférentes à l'identité du responsable
du traitement, le caractère obligatoire ou non de la réponse ainsi que les conséquences éventuelles
d'un défaut de réponse, la finalité d'utilisation des données, l'existence du droit d'accès et de
rectification, les destinataires ou les catégories de destinataires des données, l'existence du droit de
s'opposer, sur demande et gratuitement, au traitement des données à des fins de marketing direct. Ces
informations doivent être fournies pour toute collecte de données effectuée sur le territoire belge, sans
avoir égard au fait que le traitement sera effectué en Belgique ou à l'étranger.

            Le mode et la formule d'information de la personne concernée ne sont pas précisés. Il
appartient donc au collecteur de données de remplir le plus adéquatement son obligation.

            La loi n'a pas prévu d'obligation d'information de l'intéressé lors de la collecte d'infor-
mations à son propos auprès d'un autre individu, mais postérieurement lors de l’enregistrement ou de
la première communication à des tiers.

           La personne interrogée ne doit pas recevoir l'information lorsque la collecte des données
concerne, notamment :

-   les traitements de données à caractère personnel gérés par des autorités publiques en vue
    d'exercice de leur mission de police judiciaire;

-   les traitements de données à caractère personnel gérés par les services de police en vue de
    l'exercice de leur mission de police administrative;

-   les traitements de données à caractère personnel gérés en vue de l'exercice de leur mission de
    police administrative par d'autres autorités publiques.


220.        Lorsqu'une personne est enregistrée pour la première fois dans un traitement déterminé,
elle doit en être immédiatement informée, sauf si elle a fait l'objet de l'information ci-dessus au
moment de la collecte.

            Les renseignements à fournir lors du premier enregistrement sont analogues à ceux qui
doivent être communiqués lors de la collecte.

             Comme c'est la finalité poursuivie qui distingue un traitement d'un autre, dès le moment
où un maître de fichier modifie la finalité première de celui-ci, il met en oeuvre un nouveau traitement
et doit, partant, en informer la personne concernée.
                                                                                                      101.-




221.        L'information obligatoire lors du premier enregistrement n'existe pas, notamment,
lorsque le traitement est opéré dans le cadre d'une relation entre la personne concernée et le
responsable du traitement, réglée par ou en vertu de la loi, d'un décret ou d'une ordonnance (article 9,
3°, de la loi du 8 décembre 1992 - cette exception est excessivement large : les rapports entre les
administrations et les citoyens dérivent nécessairement toujours d'une habilitation légale, décrétale ou
ordonnancielle). Elle n'existe pas non plus dans les cas visés supra, n° 219, où la personne interrogée
ne doit pas recevoir l'information.


222.       L'individu informé de l'existence des traitements le concernant a le droit de prendre
connaissance des données qui sont enregistrées à son sujet.

             La mise en oeuvre de ce droit d'accès se fait par demande écrite datée et signée au
responsable du traitement ou au gestionnaire du traitement. La réglementation belge n’évoque
aujourd’hui plus clairement si oui ou non une redevance raisonnable peut être exigée à l’occasion de
cet accès et son montant maximum.



             Les renseignements doivent être communiqués sans délai et, au plus tard, dans les 45
jours de la réception de la demande. Avec la réponse à sa demande, l'individu doit être averti de son
droit d'obtenir la correction des données erronées et de la faculté qui lui appartient d'intenter un
éventuel recours en justice. Il doit également être avisé de la possibilité de consulter le registre public
tenu auprès de la Commission de la protection de la vie privée.

           En vue de prévenir d'éventuels abus, il est prévu qu'un délai "raisonnable" doit s'écouler
entre deux demandes adressées par une même personne. Ce même intervalle court lorsque les
données ont été communiquées d'office par le responsable du traitement.

            Le droit d'accès s'étend :

-   aux données;
-   aux finalités du traitement;
-   aux catégories des destinataires;
-   aux informations disponibles sur l'origine des données;
-   à la logique qui sous-entend le traitement s'il est utilisé pour la prise automatisée de décisions.


223.         L'article 12, § 1er, de la loi du 8 décembre 1992 dispose qu'une personne fichée jouit du
droit d'obtenir gratuitement la rectification d'une donnée inexacte qui la concerne. Cette personne est
également en droit d'exiger la suppression ou l'interdiction d'utilisation de toute donnée qui, compte
tenu du but du traitement, est incomplète ou non pertinente ou dont l'enregistrement, la communica-
tion ou la conservation sont interdits ou encore qui a été conservée au-delà de la période autorisée.

            Le droit de rectification autorise la personne concernée à exiger la suppression pure et
simple des données qui la concerne. Le droit de suppression n'existe (1) que si les données ne sont
pas pertinentes eu égard à la finalité du traitement ou (2) que si l'intéressé a des raisons sérieuses et
légitimes tenant à sa situation particulière de s'opposer à un traitement de données le concernant.
                                                                                                     102.-


Lorsqu'il s'agit d'un traitement de données à des fins de marketing direct, l'opposition ne doit toutefois
pas être justifiée.

            Dès qu'une demande tend à faire rectifier, supprimer ou interdire l'utilisation ou la
divulgation de données à caractère personnel, le responsable du traitement doit, lorsqu'il communique
les données, signifier clairement l'existence d'une contestation. Lorsqu'une rectification ou une
suppression a lieu, le responsable du traitement est tenu d'en avertir les tiers à qui ces données ont été
communiquées. Le responsable du traitement ne doit se soumettre à cette obligation que pour autant
qu'il connaisse encore les destinataires de l'information ...


224.        En cas d'opposition au droit d'accès ou de rectification de l'intéressé, la loi a organisé un
recours auprès du Président du tribunal de première instance siégeant comme en référé. Dans le cours
de la procédure, s'il existe des motifs impérieux de craindre une dissimulation ou une disparition des
éléments de preuve, le Président du tribunal de première instance peut ordonner toutes mesures de
nature à éviter cette dissimulation ou cette disparition.

            Le droit d'accès et de rectification n'existe pas, comme tel, en ce qui concerne les
traitements des autorités de police administratives ou judiciaires et en ce qui concerne les traitements
gérés par l'Administration de la sûreté de l'Etat ou par le Service général du renseignement et de la
sécurité du ministère de la Défense nationale.

            A l'égard de ces traitements, l'intéressé ne peut exercer son droit d'accès que par
l'intermédiaire de la Commission de la protection de la vie privée. En règle, la Commission
communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.



F. Auto-contrôle

225.        Toute une série d'obligations d'ordre interne s'imposent au responsable du traitement à
propos de la gestion du traitement.

            En vertu de l'article 4 de la loi, "les données à caractère personnel doivent être :

1° traitées loyalement et licitement;


2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieu-
   rement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents,
   notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires
   applicables (...);

3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont
   obtenues et pour lesquelles elles sont traitées ultérieurement;

4° exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que
   les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues
   ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;
                                                                                                     103.-


5° conservées sous forme permettant l'identification des personnes concernées pendant une durée
   n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues ou
   pour lesquelles elles sont traitées ultérieurement".

            Le responsable du traitement doit, notamment :

-   vérifier la conformité du programme servant au traitement automatisé avec les termes de la
    déclaration faite à la Commission et la régularité de l'application de ce programme;

-   faire toute diligence pour tenir les données à jour, rectifier ou supprimer les données inexactes,
    incomplètes ou non pertinentes;

-   prendre, d'une manière générale, toutes mesures nécessaires pour sauvegarder la confidentialité
    de la sécurité du traitement et des données.


            Par ailleurs, le maître du fichier a l'obligation de faire connaître aux utilisateurs internes
des données les dispositions de la loi de protection ainsi que toute autre prescription relative à la
protection de la vie privée face au traitement de données à caractère personnel.

              Le degré de protection des données qui doit être apporté doit être adéquat eu égard à l'état
de l'art en la matière, aux dépenses suscitées par les mesures adoptées, aux menaces virtuelles et à la
nature des données mêmes à protéger.



G. Le contrôle institutionnel

226.      Le contrôle institutionnel a été confié par la loi à une commission indépendante, la
"Commission de la protection de la vie privée".

             Cette Commission était déjà en fonction lors de l'entrée en vigueur de la loi du 8
décembre 1992 puisqu'elle avait déjà été créée par la loi du 4 janvier 1990 relative à l'institution et à
l'organisation de la Banque-Carrefour de sécurité sociale.

          La Commission exerce donc un contrôle institutionnel général à l'égard de toutes les
banques de données, outre les missions spécifiques qui lui ont été confiées dans le cadre de la
Banque-Carrefour de la sécurité sociale et dans le cadre des banques de données relatives au crédit à
la consommation.


227.       La Commission comprend huit membres effectifs dont un magistrat qui en assume la
présidence et huit membres suppléants dont un magistrat.

           Ces membres sont nommés directement par le Parlement sur base de listes déposées par le
Conseil des ministres et comprenant deux candidats pour chaque mandat à pourvoir.

           La Commission doit compter au moins un juriste, un informaticien, une personne relevant
du secteur public expérimentée dans la gestion de données à caractère personnel et une personne
                                                                                                    104.-


appartenant au secteur privé disposant des mêmes compétences. Quant au Président, il doit être
magistrat.

             Le statut des membres de la Commission est plus proche du statut du magistrat que du
statut des fonctionnaires.


228.       La Commission reçoit des responsables des traitements les déclarations des traitements
automatisés et elle tient le registre public des fichiers.

            La Commission a une mission générale de proposition et de conseil à l'égard des pouvoirs
publics. Elle est amenée à rendre des avis ou des recommandations, soit d'initiative, soit sur demande
du gouvernement, du Parlement, des Exécutifs et Conseils communautaires et régionaux ou d'un des
comités de surveillance. Ces avis et recommandations portent sur toute question intéressant la
protection de la vie privée à l'égard des traitements de données à caractère personnel.

            La Commission a encore une compétence générale de contrôle de l'application de la loi.
Elle examine les plaintes qui lui sont adressées et accomplit, ensuite de ces plaintes, toute mission de
conciliation qu'elle juge utile.

            Elle dénonce au Procureur du Roi les infractions dont elle aurait connaissance mais
n'exerce pas elle-même l'action publique.

            La Commission a d'importants pouvoirs d'investigation. Elle peut opérer des contrôles et
des vérifications sur place. Elle est habilitée à requérir le concours d'experts. Les membres de la
Commission peuvent notamment exiger communication de tout document pouvant leur être utile
dans leur enquête. Ils peuvent également pénétrer en tous lieux où ils ont un motif raisonnable de
supposer que s'exerce une activité en rapport avec l'application de la loi relative à la protection de la
vie privée.

          Les activités menées par la Commission font l'objet d'un rapport annuel communiqué aux
Chambres législatives.

            Par ailleurs, en ce qui concerne les Comités de surveillance, la Commission exerce sur
eux une tutelle de substitution.



H. Les peines

229.        La loi du 8 décembre 1992 a prévu de nombreuses sanctions pénales en cas de violation
de ses dispositions.

           La plupart des peines consistent en des amendes dont le montant varie de 100 à 100.000
F. En cas de récidive, une peine d'emprisonnement peut être prononcée.

           Des peines accessoires sont prévues telles que la confiscation des supports matériels des
données qui forment l'objet de l'infraction, à l'exclusion des ordinateurs eux-mêmes et de tout autre
matériel.
                                                                                                      105.-


             Le juge a encore la possibilité d'ordonner l'insertion du jugement, intégralement ou par
extrait, dans un ou plusieurs journaux, dans les conditions qu'il détermine, au frais du condamné.

            Le juge peut encore interdire à la personne condamnée de gérer, personnellement ou par
personne interposée, tout traitement de données à caractère personnel. La durée de cette interdiction
ne peut toutefois excéder deux années.



I. Les décisions automatisées

230.         Copié sur la directive européenne, elle-même inspirée par la loi française, l'article 12 bis,
alinéa 1er, de la loi dispose :

            "Une décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de
manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données
destiné à évaluer certains aspects de sa personnalité".

            L'alinéa 2 du même article lui enlève toutefois toute portée pratique utile en disposant :

             "L'interdiction prévue à l'alinéa 1er ne s'applique pas lorsque la décision est prise dans le
cadre d'un contrat ou est fondée sur une disposition prévue par ou en vertu d'une loi, d'un décret ou
d'une ordonnance. Ce contrat ou cette disposition doivent contenir des mesures appropriées,
garantissant la sauvegarde des intérêts légitimes de l'intéressé. Il devra au moins être permis à
celui-ci de faire valoir utilement son point de vue".

            Toutefois, aux fins de permettre à l'intéressé de faire valoir son point de vue, la loi a, dans
le cadre du droit d'accès, prévu que la personne concernée avait le droit d'obtenir du responsable du
traitement "la connaissance de la logique qui sous-entend (le) traitement automatisé" sur le
fondement duquel la décision a été prise.



J. La responsabilité présumée du responsable du traitement

231.        L'article 15 bis crée une présomption de responsabilité dans le chef du responsable d'un
traitement, en cas de dommage résultant d'une violation de la loi.

            Cette présomption de responsabilité (civile) est renversée lorsque le responsable du
traitement "prouve que le fait qui a provoqué le dommage ne lui est pas imputable".
                                                                                                     106.-




CHAPITRE II : EVOLUTION DU DROIT SOUS L'INFLUENCE DE L'INFORMATIQUE


232.         Nous avons ébauché, dans le chapitre précédent, l'évolution que subissait notre droit pour
maîtriser les dangers présentés, pour les individus, par les techniques informatiques.

           Mais l'influence de l'informatique sur le droit est plus profonde dès lors que cette
technique est devenue un phénomène de masse.

           La dématérialisation de l'information, qui est de nos jours la valeur économique première,
soulève des problèmes liés à la réglementation de la protection des oeuvres de l'esprit, aux normes
comptables, à la fiscalité, aux flux transfrontières et à la tarification douanière.

             Le droit du travail est confronté au phénomène de la modification des conditions de
travail et des relations sociales au sein de l'entreprise.

             Les règles et les notions du droit privé se trouvent de toutes parts concernées par
l'importance que prend l'informatique dans la vie économique. Tous ceux qui sont à l'origine des
créations de valeur dans le domaine de l'informatique (banques de données, logiciels,
semi-conducteurs, machines) tentent de trouver dans l'arsenal des réglementations des activités
intellectuelles, une protection adéquate leur réservant le bénéfice exclusif de leur production. Tous
ceux qui concluent des contrats touchant de près ou de loin à l'informatique se trouvent confrontés à la
difficulté de décrire, en normes contractuelles, la complexité technique de l'objet, la diversité des
besoins à satisfaire et la multiplicité des obligations réciproques ... Par ailleurs, la multiplicité des
intervenants (experts, conseils, constructeurs, sociétés de services) leur rend malaisée la définition
des tâches de chacun et de leur responsabilité respective.

             Comment décrire le désarroi des juristes habitués aux pratiques qui étaient les nôtres il y a
encore une vingtaine d'années et qui conditionnaient la preuve de quasi toutes les relations sociales, à
l'existence d'un écrit sur matériau papier, revêtu d'une signature manuscrite (pièces d'identité,
certificats divers, déclarations aux impôts, titres contractuels, effets de commerce, quittances,
décharges) ? Aujourd'hui, les paiements les plus courants des particuliers comme les paiements les
plus importants des professionnels du monde de la finance s'exécutent électroniquement; les
documents et les contrats s'échangent par fac-similé électronique, les déclarations douanières se font
par terminaux, la comptabilité électronique enregistre les bénéfices d'une opération là où c'est
fiscalement le plus profitable ...

            Comment, enfin, rechercher et réprimer justement ceux qui utilisent l'informatique pour
retirer des profits illégitimes ou ceux qui s'approprient illégitimement les valeurs informatiques
d'autrui ? A ces questions, le Code pénal de notre pays, adopté dans la seconde moitié du siècle
dernier, semble rester dans de cas nombreux sans réponse.


233.       Cet ouvrage n'a pas la prétention de donner aux lecteurs un aperçu exhaustif de l'ensemble
des problèmes posés par l'informatique aux juristes de toutes les disciplines.

             Nous nous contenterons, dans les chapitres qui suivent, d'examiner les matières pour
lesquelles l'évolution a été, jusqu'à présent, la plus sensible, ceci grâce à l'action du législateur ou,
comme ce fut le plus souvent le cas, de la jurisprudence.
                                                                                                                      107.-


234.         Une constante ressortira de ces examens. Rares sont les cas où un nouveau droit,
c'est-à-dire de nouvelles normes ont été ressenties comme répondant à des besoins tellement pressant
qu'elles ont amené le législateur à intervenir.

             Ceci est très probablement une conséquence de la plasticité des règles, des notions et des
concepts de notre droit. La plupart de ces concepts sont en effet à contenu vague et évolutif. Ainsi en
est-il des notions de "bonnes mœurs"275, de "faute"276, d'"ordre public"277.

           Ces notions ont été élaborées ou consacrées par le législateur en 1804 pour le droit privé
et en 1867 pour le droit pénal. Mais, lorsque le juge les applique maintenant, il ne ressent pas le
besoin de devoir modifier la règle de droit car le contenu des concepts a évolué sans que les concepts
eux-mêmes subissent une quelconque modification.

             Le juge applique donc toujours la même règle à laquelle l'évolution des esprits a donné un
contenu différent : la règle n'est pas modifiée et son application nouvelle ne nécessite aucune
interprétation terminologique ou syntagmatique nouvelle.

            Les notions de droit à contenu vague et évolutif ne se rencontrent pas uniquement dans les
matières sensibles à l'évolution des données sociales, mais aussi dans les matières sensibles à
l'évolution des techniques. Ainsi, lorsque le législateur de 1867 a érigé l'usage de fausses clés en
circonstance aggravante du vol, ces fausses clés ne pouvaient être, dans son esprit, qu'un instrument
de métal servant à faire fonctionner le mécanisme d'une serrure. C'est tout naturellement, sans devoir
modifier la norme, que les tribunaux peuvent appliquer le même concept de clé à une carte de banque
en matière plastique magnétisée.

             Mais, sous prétexte d'évolution, la règle de droit ne peut évidemment être ni dénaturée, ni
       278
violée . Ce serait, à notre avis, le cas si on qualifiait d'usage de fausse clé l'utilisation abusive d'un
algorithme de chiffrement, dans le but de s'approprier le bien d'autrui. En effet, l'usage d'une
technique immatérielle n'entrait nullement dans les intentions du législateur de 1867279 : lorsqu'il a
voulu réprimer plus sévèrement le vol commis à l'aide de fausses clés, il les définissait alors comme
étant "tout crochet, rossignol, passe-partout, clé imitée, contrefaite ou altérée ..."280. Et, si l'évolution
technique fait ressentir la nécessité de punir l'usage abusif d'un algorithme de chiffrement, c'est bien
entendu au législateur qu'il appartient de modifier la loi, mais non au juge. Celui-ci excéderait son
pouvoir si, sous prétexte d'adapter le droit à l'évolution et même en invoquant l'approbation de la
majorité de l'opinion publique, il écartait l'application des règles juridiques existantes pour les
interpréter de manière telle qu'il les dénaturerait281.

            Ce faisant, en effet, le juge confondrait sa mission avec celle du législateur et se
substituerait à lui, ce qui est inconcevable dans le système constitutionnel belge qui confie
l'établissement des lois à la majorité parlementaire élue ... Si des problèmes de valeur se posent, si
l'évolution sociale ou technique fait apparaître l'absence ou l'inéquité de certaines normes, c'est

275
    Article 6 du Code civil.
276
    Articles 1382 et svts du Code civil.
277
    Article 6 du Code civil.
278
    Cf. Mercuriale du procureur général F. Dumon, alors avocat général, prononcée à l'audience solennelle de rentrée à la
Cour de cassation, le 1er sept. 1975, "La mission des cours et tribunaux - quelques réflexions", J.T., 1975, p. 541 et svtes
et 561 et svtes.
279
    Car il aurait, par exemple, songé à qualifier de fausse clé, une combinaison de coffres-fort dérobée.
280
    Article 87 du Code pénal.
281
    F. Dumon, Mercuriale citée, p. 563.
                                                                                                   108.-


évidemment au législateur de décider d'un changement ou de l'abrogation ou de l'élaboration de ces
normes et non au pouvoir judiciaire. Tant que le législateur ne l'a pas fait, le juge doit respecter les
normes anciennes car il n'est pas, contrairement aux représentants élus de la nation, une émanation
d'une décision du corps électoral.
                                                                                                          109.-




CHAPITRE III : INFORMATIQUE ET PROPRIÉTÉ INDUSTRIELLE



Section 1 : Généralités

235.       L'expression "propriété industrielle" englobe, selon la terminologie traditionnelle, deux
groupes de droits privatifs reconnus aux entreprises.

             Il s'agit, d'une part, des droits exclusifs à l'usage de certains signes distinctifs qui servent à
identifier une entreprise, un établissement ou des produits. Ce sont principalement les marques de
fabriques ou de commerce et le nom commercial. Ces droits, à l’exception des noms de domaines ne
présentent pas de caractéristiques particulières lorsqu'ils sont appliqués à des éléments informatiques
et ils sortent pas conséquent de notre propos

            Il s'agit, d'autre part, des droits à un certain monopole d'exploitation. C'est, d'abord, le
droit exclusif d'utiliser une "invention" permettant d'obtenir une application industrielle. Ce droit est
limité dans le temps et suppose la délivrance préalable d'un brevet administratif, le "brevet
d'invention". C'est, ensuite, le droit exclusif de reproduire les dessins ou les formes qui différencient
un objet des autres objets similaires, c'est-à-dire le droit aux "dessins et modèles industriels", droit qui
n'a pas de caractéristique propre en matière d'informatique et qui sort également de notre propos.

            C'est, enfin, le droit exclusif de tirer profit de toute oeuvre de l'esprit exprimée de manière
originale ou, droit de l'auteur.




Section 2 : Brevets d'invention

236.       Les inventions exploitées dans le commerce et l'industrie peuvent être, en vertu de la loi
du 28 mars 1984282, protégées par des brevets.

             La loi du 28 mars 1984 a harmonisé notre législation nationale avec les dispositions
contenues dans la convention de Munich sur la délivrance des brevets européens approuvée par la loi
du 8 juillet 1977.

             Comme la plupart des autres législations européennes, la nouvelle loi belge, en son article
3, § 2, a exclu la brevetabilité des programmes et logiciels d'ordinateur, en s'inspirant des traités
internationaux sur la question et notamment de l'article 52, § 2, du Traité de Munich qui prévoit que
ne sont pas "considérés comme des inventions (...) les programmes d'ordinateur (...) considérés en
tant que tels".


237.             Cette exclusion du droit des brevets est traditionnellement motivée par deux faits.

282
      (M.B., 9 mars 1985), remplaçant la loi antérieure sur les brevets datant de 1854.
                                                                                                                  110.-


             D'une part, l'invention brevetable suppose qu'elle soit susceptible d'application
industrielle immédiate, c'est-à-dire qu'elle relève de l'action de l'homme sur la nature ou la matière.
Tel n'est pas le cas d'un logiciel, considéré en tant que tel. Un logiciel se borne à fournir une série
d'instructions pour la solution mathématique d'un problème. Un logiciel rentre donc dans la catégorie
des "méthodes mathématiques", des "idées pures" ou des "solutions abstraites"283.

            D'autre part, la technique de la délivrance des brevets (description, rapports de recherche,
revendications) est mal adaptée à la protection des logiciels.

           De nombreuses réactions se sont élevées contre une exclusion totale de la matière
informatique du droit des brevets.

            En effet, il n'est pas contestable que l'ordinateur lui-même, en tant que machine ou
ensemble architectural électronique, puisse constituer une invention brevetable et qu'un procédé dans
lequel intervient un logiciel ou dont une des étapes réalisées à l'aide d'un logiciel soit brevetable 284.
Ainsi, une invention comportant comme élément constitutif un système de traitement de l'information
peut être brevetée pour autant que cette invention considérée "in globo" satisfasse aux conditions de
brevetabilité.

             Cette solution, sur laquelle s'accordent plusieurs pays, a été retenue par une décision de la
Cour d'appel de Paris du 15 juin 1981285. Dans cette affaire, la Cour d'appel de Paris a déclaré, à
propos de forages pétroliers, qu'un procédé ne peut être privé de la brevetabilité pour le seul motif
qu'une ou plusieurs de ses étapes sont réalisées par un ordinateur commandé par un programme. La
seule exigence est que le logiciel ait une application industrielle et s'intègre dans une invention dont il
n'est qu'un élément286.


238.         L'Office européen des brevets, dans les directives qu'il a adoptées en 1985, se montre
d'ailleurs favorable à reconnaître une protection aux logiciels et s'oriente vers des solutions très
libérales. Ainsi, l'Office estime que "des machines, des procédés de fabrication ou de commande,
commandés par un programme d'ordinateur, devraient normalement être considérés comme des
objets susceptibles d'être brevetés" et admet même que si "un programme combiné avec un ordinateur
fait fonctionner ces dernières de manière différente d'un point de vue technique, la combinaison des
deux pourrait être susceptible d'être brevetée".


239.       Enfin, divers travaux affirment que les logiciels, dans la mesure où ils constituent un
ensemble d'instructions qui formulent une règle pour l'utilisation reproductive des propriété
physiques du hardware, produisent un résultat comparable à une impulsion qui peut être utilisée
directement ou une information qui peut être utilisée indirectement à la production d'autres résultats.
Les logiciels contiendraient donc une solution technique à un problème et seraient, partant,


283
    R. VANDERPERRE, "Droits intellectuels et banques de données", in Actes du colloque "Banques de données ...,"
cité p. 336; F. GOTZEN, "Intellectuele eigendom en nieuwe technologieën, R.W., 1983_1984, col. 2375 et svtes; M.
VERSCHAEVE, "Naar een nieuwe octrooirecht", R.W., 1984-1985, col. 2241 et svtes.
284
    X. THUNIS, "Les modes de production juridique du logiciel", DPCI, 1983, n° 1, p. 121 et svtes; B. LEJEUNE,
"Protection juridique du logiciel en droit belge", J.T., 1986, p. 605 et svtes.
285
    Affaire Schlumberger, D. 1982, I.R., p. 231, et obs. MOUSSERON.
286
    J. HUET et H. MAISL, op. cit, p. 309; P. PEETERS, "La protection juridique du logiciel", in Actes des "Séminaires de
droit de l'informatique", CRID 1988, p. 21 et svtes.
                                                                                                              111.-


brevetables pour autant qu'ils satisfassent aux autres conditions de brevetabilité de fonds (activité
inventive, nouveauté, caractère industriel)287.

            Cette thèse qui rend brevetable des logiciels sans qu'ils fassent nécessairement partie
d'une invention les combinant avec d'autres éléments purement techniques est, à notre avis, excessive
de lege lata, dans la mesure où elle vide de toute portée pratique l'exclusion de la brevetabilité des
logiciels "en tant que tels".

             Aujourd’hui, mais on est là dans le domaine du droit futur, sont discutés au sein de
l’Union européenne des projets visant à admettre une brevetabilité des logiciels à la mode US. Il ne
s’agirait plus d’interdire, comme c’est le cas en droit positif avec le droit d’auteur, le seul plagiat des
logiciels, mais d’interdire purement et simplement, sans l’accord (évidemment payant) de
l’ « inventeur » du logiciel premier, toute commercialisation d’un logiciel, complémentaire ou
supplémentaire au premier et ne pouvant opérer qu’à l’aide des fonctionnalités de celui-ci. Une telle
option législative ferait, on s’en doute, la part belle aux entreprises américaines commercialisant la
quasi-totalité des logiciels de base.




Section 3 : Droits d'auteur

240.        Le droit d'auteur est traditionnellement défini comme l'ensemble des droits accordés au
créateur d'une oeuvre de l'esprit, droits qui lui permettent d'être seul à pouvoir tirer profit de son
oeuvre et à en assurer le respect.

             Régi dans notre pays par une loi centenaire du 22 mars 1886 intégralement refondue par
la récente loi du 30 juin 1994 "relative au droit d'auteur et aux droits voisins", le droit d'auteur, par
d'importants aspects, doit être rapproché du brevet d'invention. En effet, le droit d'auteur a acquis
droit de cité dans le domaine du droit économique (cinéma, mass média, photographie, publicité,
moyens de reproduction visuelle et acoustique, etc.)288. En outre, le droit d'auteur confère à celui qui
en est titulaire, un monopole économique d'exploitation à l'instar du brevet d'invention.

             Si le droit d'auteur et le système juridique qui y est attaché ressemblent fort aux autres
droits de la propriété industrielle, certaines différences essentielles sont à noter.

            D'abord, la protection du droit d'auteur dans notre pays existe dès que l’œuvre est mise en
forme ou ébauchée, alors que la protection des autres droits intellectuels nécessite une formalité
administrative tel que le dépôt ou l'obtention d'un certificat préalable289.

           Ensuite, la durée de la protection par le droit d'auteur (70 ans) est beaucoup plus
importante que celle de la protection des autres droits intellectuels.



287
    M. FLAMEE, "Oktrooieebaarheid van software - Rechtsvergelijkenden studie - België, Nederland, Frankrijk, De
Bondesrepubliek Duistland, Groot Brittannië, De Verenigde Staten van Noord Amerika en het Europese oktrooiverdrag",
Brugge, Die keure 1985; H. HANNEMAN, "De patentability of Computer software", De Venter, Kluwer, 1985.
288
    A. BERENBOOM, "Le droit d'auteur", Larcier, 1984, n° 6.
289
    Ceci contrairement à la pratique anglo-saxonne du Copyright.
                                                                                                                 112.-


             Le droit d'auteur est non seulement un droit patrimonial, conférant à son titulaire un
monopole d'exploitation, mais également un droit moral permettant d'assurer le respect de la
personnalité créatrice : les droits de l'auteur ne disparaissent pas lorsqu'un monopole d'exploitation a
été conféré.

            Enfin, le droit d'auteur ne suppose pas, comme l'invention brevetable, la "nouveauté",
mais simplement "l'originalité", c'est-à-dire la marque de la création de la personnalité de l'auteur.
Ainsi, une traduction, une adaptation peut elle-même être protégée par les droits d'auteur dans le chef
du traducteur ou de l'adaptateur.


241.         Pour qu'une oeuvre littéraire, artistique ou scientifique bénéficie de la protection par les
droits d'auteur, l’œuvre doit réunir deux conditions.

             D'une part, l’œuvre doit être exprimée dans une certaine forme (mise en forme orale,
écrite, peinte, codée,...). C'est la raison pour laquelle l'idée en tant que telle n'est pas protégée, ni le
mode, ni la méthode de travail. Seule l'expression est protégée par le droit d'auteur, c'est-à-dire "le
véhicule" par lequel l'homme de science ou le vulgarisateur ou l'artiste ou l'informaticien a exprimé sa
pensée290. En d'autres termes, le droit d'auteur ne protège que la forme d'expression et non son
contenu.

            D'autre part, l’œuvre doit être originale, c'est-à-dire marquée de la personnalité de son
créateur. La marque de la personnalité est une notion subtile qui peut s'attacher même à une
anthologie, à une adaptation, à une traduction, à la composition d'un annuaire d'adresses, à des
comptes rendus de cours de bourse, à des fiches de documentation technique, à des slogans
publicitaires, à des images de jeux électroniques paraissant sur un écran.


242.         Seul le créateur ou le concessionnaire des droits du créateur a le droit de communiquer
l’œuvre au public, soit par des interprètes, soit par l'intermédiaire d'une machine comme cela pourrait
être le cas de l'affichage d'une banque de données sur écran291. C'est ce que l'on appelle le droit de
représentation.

             Le droit de reproduction est, lui, le droit de reproduire l’œuvre de façon matérielle, mais
aussi de façon immatérielle ou intellectuelle : toute reproduction d'une oeuvre de quelque manière
que ce soit, ainsi que toute traduction, qui est une forme de reproduction, nécessite le consentement de
l'auteur (reproduction mécanique, édition d'un livre, photographie, photocopie, télécopie, mise en
mémoire d'un ordinateur, adaptation, etc). La représentation est cependant autorisée si elle a un
caractère privé, enseigne-t-on généralement. A cette condition, il conviendrait d'ajouter, à notre avis,
le fait que la reproduction privée n'a pas pour but de s'intégrer dans un moyen de production ou de
distribution économique de biens ou de services. La reproduction est également autorisée lorsqu'il
s'agit de citations dans un but polémique, de critique ou d'enseignement.


243.          La protection des programmes ou logiciels pose aux juristes de délicats problèmes. En
effet, si la plupart des organisations internationales n'estiment pas inutile des mesures de protection,
le mode juridique de la protection à accorder est incertain.

290
      A. BERENBOOM, op. cit., n° 28.
291
      J.H. SPOOR, "Banques de données et droits d'auteurs", Dr. infor. 1984, n° 2, p. 14 et svtes et réf. cit.
                                                                                                              113.-




            D'après les travaux de l'organisation mondiale de la propriété intellectuelle (OMPI), il
faut entendre par : "Programme d'ordinateur : un ensemble d'instructions pouvant, une fois transposé
sur un support déchiffrable par machine, faire indiquer, faire accomplir ou faire obtenir une fonction,
une tâche ou un résultat particulier par une machine capable de faire du traitement de l'information".

          "Description de programme : une présentation complète d'opérations sous forme verbale,
schématique ou autre, suffisamment détaillée pour déterminer un ensemble d'instructions constituant
un programme d'ordinateur correspondant".

            "Documentation auxiliaire : toute documentation autre qu'un programme d'ordinateur ou
une description de programme, créée pour faciliter la compréhension ou l'application d'un programme
d'ordinateur, par exemple des descriptions de problèmes et des instructions à l'usage d'un utilisateur".

             "Logiciel : un ou plusieurs des objets définis ci-dessus"292.

             Ainsi défini, le logiciel peut apparaître comme une oeuvre de l'esprit, produit d'une
activité intellectuelle, comportant une composition, un enchaînement d'idées et susceptible de
s'exprimer sous une forme déterminée selon le support employé. Le logiciel et ses composants
revêtent donc diverses formes matérielles (écrits, graphiques, symboles, cartes, bandes, disques, ...) et
l'existence de ces sujets matériels permet de songer à faire protéger le logiciel par la loi centenaire sur
le droit d'auteur, pour autant, bien entendu, que ce logiciel soit original et formulé de façon
suffisamment précise293.

             Cette question, qui est demeurée longtemps non résolue en Belgique, a été tranchée
définitivement par une loi du 30 juin 1994 "transposant en droit belge la directive européenne du 14
mai 1991 concernant la protection juridique des programmes d'ordinateur". Cette loi a ajouté "les
logiciels" au nombre des oeuvres de l'esprit visées par l'article 3 de la loi du 11 mars 1957 sur la
propriété littéraire et artistique.


244.        Avant la loi du 30 juin 1994, le texte de l'ancienne loi de 1886 sur le droit d'auteur n'avait
jamais, contrairement à ce qui s'est passé dans d'autres pays, été amendé en vue d'inclure les logiciels
parmi les oeuvres protégées.

             Pourtant, contrairement à ce qui s'est passé dans d'autres pays, les tribunaux belges ont
admis le principe de la protection des logiciels par le droit d'auteur comme une chose évidente, allant
de soi et ne méritant pas de longs débats294.


245.         Les premiers à avoir été saisis de la question, avant 1994, furent les juges des saisies à
l'occasion des procédures de saisie-description. C'est sans hésitation qu'ils ont fait droit aux requêtes
présentées par les firmes informatiques se plaignant de contrefaçon des images visuelles produites par
les logiciels des jeux vidéo électroniques, puis de ces logiciels eux-mêmes295.


292
    OMPI, Dispositions-types sur la protection du logiciel, 1978.
293
    X. THUNIS, étude citée, p. 121.
294
    Ph. Peters, "La protection juridique du logiciel", in "Séminaires de droit de l'informatique", CRID, 1988 et les
références citées.
295
    Cf. les références citées par Ph. Peters, note citée; Adde, Bruxelles, 14 mars 1992, Rev.Dr.Int. 1992, p. 276.
                                                                                                                      114.-




246.        Ce fut ensuite les présidents des tribunaux et les juridictions de référé qui furent saisis
d'actions en cessation ou de demandes d'interdiction au provisoire, fondées sur le droit commun, mais
au départ d'actes de contrefaçon.

             Une action en cessation fut déclarée irrecevable aux motifs que les logiciels concernés par
la contestation présentaient très certainement les caractéristiques nécessaires de l'originalité, que leur
composition exigeait plus qu'une simple compilation de données connues et qu'ils entraient, partant,
dans le cadre de la protection spéciale de la loi sur les droits d'auteur296.

            Les autres actions en cessation furent jugées recevables, les magistrats saisis considérant
que les actes constitutifs d'une éventuelle contrefaçon (sur la qualification de laquelle ils ont évité de
se prononcer) étaient accompagnés de pratiques contraires aux usages honnêtes en matière
commerciales justifiant la recevabilité de l'action en cessation297.

            Une action tendant à entendre ordonner une interdiction de vente, au provisoire, fut jugée
recevable aux motifs qu'il n'était pas demandé de jugement déclaratif sur l'existence du droit d'auteur
du demandeur, que la mesure demandée était de nature à assurer la protection de droits évidents qui
étaient menacés, que le demandeur était titulaire des droits d'auteur contrefaits et que ces droits,
quelle qu'en soit la qualification, étaient indiscutables298.

             La question de l'applicabilité des droits d'auteur aux programmes d'ordinateurs fut encore
abordée implicitement par les tribunaux dans le cadre de litiges opposant des utilisateurs de systèmes
à leurs fournisseurs informatiques. Ainsi, ce n'est qu'après avoir expressément relevé qu'il n'existait,
entre parties, aucun litige sur l'appartenance des droits d'auteur du fournisseur sur les logiciels sources
et la documentation, que le Président du tribunal de première instance de Mons jugea recevable et
fondée l'action d'un utilisateur exigeant la communication, par son fournisseur, d'une copie intégrale
des sources et de la documentation du logiciel livré, en accessoire d'une mesure d'expertise, "pour
exercer son droit de prouver que l'exception d'inexécution qu'il invoquait était fondée"299.


247.         Si l'unanimité semblait se faire jour, avant 1994, en jurisprudence pour l'applicabilité des
droits d'auteur aux logiciels, les auteurs étaient plus hésitants.

            Sans repousser tout à fait l'idée de la protection des programmes par les droits d'auteur,
certains avaient estimé que le choix du droit d'auteur était, sinon critiquable, du moins inadéquat 300.

           Malgré l'exclusion expresse du "logiciel en tant que tel" des inventions brevetables,
contenue dans la loi du 28 mars 1984 sur les brevets d'invention, reprenant, sur ce point, la solution de
la Convention de Munich, certains auteurs avaient même cru pouvoir affirmer que les logiciels, dans
la mesure où ils constituent un ensemble d'instructions qui formulent une règle pour l'utilisation
reproductive des propriétés physiques du hardware, produisent un résultat comparable à une
impulsion qui peut être utilisée directement ou une information qui peut être utilisée indirectement à

296
    Com. Bruxelles (Président), 4 octobre 1985, Rev. Dr. Int., 1985, p. 463.
297
    Cf. les décisions citées par F. Brison et J.P. Trieille, "La directive CEE du 14 mai 1991 et la protection juridique des
programmes d'ordinateur en droit belge", JT 1991, p. 782 et suiv., spéc. p. 783, note 20; adde les décisions citées supra,
note 2.
298
    Bruxelles, 26 juin 1986, cité en extrait par Ph. Peters, note citée, spéc. p. 9.
299
    Première instance Mons (Président), 20 mars 1992, inédit.
300
    G. Vandenberghe, "Bescherming van computersoftware", Anvers, Kluwer, 1984.
                                                                                                                   115.-


la production d'autres résultats. Les logiciels contiendraient donc, selon ces auteurs, une solution
technique à un problème et ils seraient, partant, brevetables pour autant qu'ils satisfassent aux autres
conditions de fonds de la brevetabilité (activité inventive, nouveauté, caractère industriel)301.


248.         Même si, contrairement à la doctrine, la jurisprudence belge n'hésite guère sur l'applica-
bilité des droits d'auteur aux logiciels, il faut constater que les quelques rares décisions publiées n'ont
pas abordé les questions essentielles, telles que le degré d'originalité exigé d'un logiciel pour qu'il
puisse bénéficier de la protection, la titularité des droits, l'objet et l'étendue exacte de la protection...
ou ne les ont abordées que trop sommairement.


249.        Seules trois décisions, rendues en premier ressort, examinent, sur le plan des principes
l'importante question du degré d'originalité.

           Selon une première décision, les caractéristiques de l'originalité seraient présentes dès
que la composition du programme exigerait plus qu'une "simple compilation de données connues"302.

            Selon une autre décision, la marque de l'originalité d'un logiciel suppose qu'il soit
"l'expression d'apports créatifs personnels et pas seulement la reproduction de la réalité technique
en vue de la simple utilisation d'un programme d'ordinateur et à condition que l'on n’ait pas à
maîtriser uniquement les techniques normales et de base du programmeur dans le cadre de la
profession, mais bien son esprit créateur"303.

             Selon une troisième décision encore, les logiciels de l'espèce (code-objet) étaient protégés
par le droit d'auteur aux motifs qu'ils étaient "le fruit d'un travail personnel et non de quelque chose
de généralement connu"304.

             Ces trois décisions sont conformes à l'enseignement fort libéral de la Cour de cassation de
Belgique selon laquelle pour qu'une oeuvre puisse bénéficier de la protection légale instaurée par la
loi du 22 mars 1886, "il faut mais il suffit qu'elle soit l'expression de l'effort intellectuel de son auteur,
condition indispensable pour donner à l’œuvre le caractère d'individualité nécessaire pour qu'il y ait
création"305.

             On utilisera cet enseignement pour interpréter l'article 2, alinéa 1er, de la loi du 30 juin
1994 sur la protection juridique des programmes d'ordinateur, paraphrasant l'article 1er, alinéa 3, de
la directive : "un programme d'ordinateur est protégé s'il est original, en ce sens qu'il est une création
intellectuelle propre à son auteur. Aucun autre critère ne s'applique pour déterminer s'il peut
bénéficier d'une protection par le droit d'auteur".




301
    M. Flammé, "Octrooieerbaarheid van software", Bruges, Die Keure 1985; H. Hanneman, "The Patentability of
Computer Software", Deventer, Kluwer, 1985.
302
    Com. Bruxelles (Président), 4 octobre 1985, précité (la question de l'originalité ne semble toutefois pas avoir été
débattue dans ce litige).
303
    Première instance Bruxelles, 30 septembre 1988, Dr.Inform., 1989, n° 1, p. 68 et suiv. et obs. B. Lejeune, dont nous
nous sommes inspirés pour rectifier l'erreur matérielle évidente de rédaction de la décision, dans la citation ci-dessus.
304
    Première instance Louvain, 5 février 1991, Dr.Inform., 1991, n° 3, p. 45 et obs. B. Lejeune.
305
    Cass., 27 avril 1989, Pas., I, 908, arrêt rendu à propos d'une oeuvre photographique.
                                                                                                               116.-


250.         Enfin, pour être complet, et quoique ce propos sorte du cadre strict de la protection des
logiciels par les droits d'auteur, nous devons relever que trois décisions judiciaires ont, en Belgique,
qualifié de "vol" (au sens du Code pénal belge qui ignore aujourd'hui encore les infractions dites
"informatiques", sauf pour la contrefaçon des logiciels) la copie de programmes à l'insu du titulaire
des droits d'auteur306. Ces arrêts ont fait l'objet de sévères critiques de la doctrine. Ces critiques ne
sont, à notre avis, que partiellement justifiées dans la mesure où l'on admet, en droit pénal belge, qu'il
y a "soustraction" lorsqu'il y a copie, à l'insu du propriétaire, d'un support d'informations dont le
fraudeur prend matériellement possession, même momentanément307.


251.         L'adoption, par le Conseil des Communautés européennes, le 14 mai 1991, de la directive
"concernant la protection juridique des programmes d'ordinateurs"308, est intervenue alors que le
Sénat de Belgique n'avait pas terminé l'examen d'une proposition de réforme globale de la législation
sur le droit d'auteur. Cette proposition de réforme, connue sous le nom de "proposition Lallemand",
du nom du sénateur qui en était le principal signataire, a connu de nombreuses versions successives.
Le texte discuté au moment de l'adoption de la directive s'était borné, en ce qui concerne les
programmes d'ordinateurs, à s'inspirer des modifications qui avaient été votées, en France, en 1985.
Dès la publication de la directive du Conseil, ce texte fut très rapidement et fort imparfaitement
amendé par la Commission de la justice du Sénat, pour être aligné sur la directive309.

            Par la suite, eu égard aux nombreuses critiques émises sur le texte approuvé par le Sénat
le 22 mai 1992310 un traitement législatif autonome fut donné aux programmes d'ordinateur. Cette
autonomie de traitement aboutit à la loi séparée du 30 juin 1994 relative aux seuls programmes
d'ordinateur. Cette autonomie de traitement a surpris les commentateurs dans la mesure où elle avait
pour effet d'extraire formellement les programmes d'ordinateur de leur cadre originaire que
constituent les oeuvres littéraires311.

             Malgré la séparation des textes, l'article 1er de la loi spéciale, comme l'impose la
directive, considère les programmes comme des oeuvres littéraires au sens de la convention de Berne.
L'article 1er de la loi spéciale le fait toutefois par une assimilation expresse ("sont assimilées à"),
alors que la directive imposait, à notre avis, une identification pure et simple en prévoyant une
protection des programmes "en tant qu’œuvre littéraire".

              Sans vouloir discourir sur la distinction (purement sémantique ?) existant entre
l'assimilation et l'identification, il nous semble que l'assimilation impose de façon plus claire que
l'identification, le maintien, en ce qui concerne les programmes d'ordinateur, des dispositions
nationales applicables aux oeuvres littéraires en général, sur tous les points qui n'ont pas été réglés de
manière spécifique.


252.       Il n'est guère contestable que la protection prévue par la loi belge pour les "programmes
d'ordinateur" vise les programmes, sous quelque forme et quelque support que ce soient, en ce

306
    Anvers, 13 décembre 1984, Dr.Inform., 1986, n° 2, p. 95 et obs. G. Vandenberghe; Bruxelles, 5 décembre 1986,
Dr.Inform., 1987, n° 1, p. 53 et obs. B. De Schutter; Corr. Bruxelles, 24 juin 1993, inédit.
307
    Cf. notre ouvrage "Droit et Ethique de l'Informatique", Bruxelles, Story Scientia 1991, n° 288, p. 186.
308
    JOCE, L. 122 du 17 mai 1991, p. 42 et suiv.
309
    Doc. parl. Sénat, n° 329-2, session extraordinaire 1988 (session de 1990-1991), p. 355 et suiv.
310
    Cf., notamment, les "recommandations de la Commission Mixte Logiciels", Dr.Inform., 1992, n° 3, p. 44 et suiv.
311
    M. Matthys, "La protection juridique des programmes d'ordinateur", L'Echo, 9 septembre 1994; A. Strowel, "Vers un
droit d'auteur suyi generis : la loi sur les programmes d'ordinateur", L'ingénieur conseil, 1994, p. 70 et suiv.
                                                                                                                     117.-


compris ceux qui sont incorporés au matériel et toutes les différentes étapes de leur conception et de
leur réalisation. L'article 1er de la loi spéciale prend d'ailleurs le soin de préciser, comme le faisait
l'alinéa 1er de l'article 1er de la directive, que les programmes comprennent le matériel de conception
préparatoire. Il est toutefois douteux que la protection de la loi spéciale s'étende aux manuels, tels que
les manuels d'utilisation.

           L'article 2, alinéa 2, de la loi reprend, pour le surplus, la précision contenue dans le
considérant n° 14 de la directive : "les idées et principes à la base de tout élément d'un programme
d'ordinateur, y compris ceux qui sont à la base de ses interfaces, ne sont pas protégés par le droit
d'auteur".


253.        L'article 3 de la loi spéciale a repris la règle de l'article 2, alinéa 3 de la directive relative
aux programmes créés, par un employé, dans l'exercice de ses fonctions ou d'après les instructions de
son employeur. En vertu de cet article 3, "l'employeur est présumé cessionnaire des droits
patrimoniaux relatifs aux programmes d'ordinateur" créés par ses employés. Cette présomption
juristantum de cession des droits patrimoniaux s'écarte du régime général des droits d'auteur en vertu
duquel, en ce qui concerne les oeuvres d'employé, la cession des droits patrimoniaux doit être
expresse et le contrat qui la prévoit doit être prouvé par écrit à l'égard de l'auteur312.


254.        La directive était restée muette sur la cession des droits patrimoniaux d'auteur dans le
cadre d'un contrat de commande. La loi spéciale du 30 juin 1994 n'est pas plus explicite.

              C'est donc le régime prévu par la loi générale qui s'applique et, plus particulièrement,
l'article 3, § 3, alinéa 2, de cette loi.

             Il en résulte que les droits sur un programme créé en exécution d'un contrat de commande
peuvent être cédés au commanditaire à condition que la cession soit expressément prévue, mais aussi
à condition de respecter toutes les obligations imposées par le paragraphe 1er de cet article 3,
c'est-à-dire, notamment, l'obligation de mentionner, pour chaque mode d'exploitation, la rémunéra-
tion de l'auteur, l'étendue et la durée de la cession, sauf si l'activité du commanditaire relève de
"l'industrie non culturelle" - ce qui sera le plus souvent le cas en matière de programme informatique.
Mais, même si l'activité du commanditaire ne relève pas de l'industrie culturelle, le transfert des droits
devra être prévu par contrat, lequel ne peut être prouvé à l'égard de l'auteur que par écrit et doit, en
outre, être interpréter restrictivement.


255.         A l'alinéa 1er de son article 2, la directive avait autorisé l'introduction du système de
l’œuvre collective selon lequel la personne qui est à l'initiative de la publication d'une oeuvre sous sa
direction et sous son nom, est investie des droits d'auteur.

           Ce régime n'a pas été introduit dans le droit belge qui conserve le principe de l'auteur
"personne physique".



312
    Le contrat de cession des droits patrimoniaux relatif à des oeuvres autres que des programmes d'ordinateur est, par
ailleurs, d'interprétation restrictive. Ainsi, la clause qui confère le droit d'exploiter sous un mode inconnu à la date du
contrat doit être expresse et stipuler une participation aux profits générés par cette exploitation.
                                                                                                      118.-


256.       En ce qui concerne les droits moraux, l'article 4 de la loi spéciale renvoie au contenu
minimal de l'article 6 bis, 1, de la convention de Berne.

            Contrairement aux autres auteurs, le programmeur ne dispose donc pas du droit de
divulgation.

           Par ailleurs, le programmeur ne sera en mesure de faire respecter le droit à l'intégrité de
son oeuvre que s'il établit un préjudice à son honneur ou à sa réputation313.

             Si les programmeurs ont le droit de revendiquer la paternité de l’œuvre et le droit de faire
respecter l'intégralité de celle-ci en établissant un préjudice à leur honneur ou à leur réputation, la loi
spéciale n'a pas résolu expressément la question de savoir si ces deux droits moraux étaient, comme
dans le cas des autres auteurs, inaliénables et susceptibles de renonciation.

           A notre avis, en faisant référence à l'article 6 bis de la convention de Berne, la loi spéciale
a entendu déroger au principe de l'inaliénabilité prévue par la loi générale 314. Les droits moraux du
programmeur sont donc cessibles et il peut valablement y renoncer.


257.        L'intégration dans le droit interne belge des droits exclusifs de reproduction, de
traduction, d'adaptation, d'arrangement, de transformation et de distribution (les droits "patrimo-
niaux") n'a pas posé de réels problèmes.

             L'article 5 de la loi du 30 juin 1994 a prévu que les droits patrimoniaux du programmeur
(c'est-à-dire son monopole d'exploitation) comprennent :

             "a) la reproduction permanente ou provisoire d'un programme d'ordinateur, en tout ou en
partie, par quelque moyen et sous quelque forme que ce soit. Lorsque le chargement, l'affichage, le
passage, la transmission ou le stockage d'un programme d'ordinateur nécessite une telle reproduction
du programme, ces actes seront soumis à l'autorisation du titulaire du droit;

            b) la traduction, l'adaptation, l'arrangement et toute autre transformation d'un programme
d'ordinateur et la reproduction du programme en résultant sans préjudice des droits de la personne qui
transforme le programme;

            c) toute forme de distribution au public, y compris la location et le prêt, de l'original ou de
copies d'un programme d'ordinateur".

                 L'article 5 prévoit toutefois la limitation dite du "first sale".

             Dès que le titulaire du droit d'auteur a vendu une copie de son programme d'ordinateur à
un tiers, en vue de sa mise en circulation dans un Etat membre de l'Union européenne, son droit de
distribution s'épuise en ce sens qu'il ne peut plus se réserver le droit d'autoriser ou d'interdire
l'exploitation commerciale du programme ou encore l'importation en vue de pareille exploitation. Il
ne conserve que le droit de contrôler les locations et les prêts ultérieurs du programme ou des copies
de celui-ci.


313
      Alors que l'auteur d'une autre oeuvre littéraire ne doit pas établir pareil préjudice.
314
      En ce sens, A. Strowel, étude citée, spéc. p. 80.
                                                                                                      119.-


           L'article 6 de la loi du 30 juin 1994 reprend les trois exceptions des droits patrimoniaux
prévues par l'article 5 de la directive CEE.

            Ces trois exceptions sont les suivantes :

-   la reproduction d'un programme, sa traduction, son adaptation, son arrangement ou toute autre
    transformation ne sont pas soumis à l'autorisation préalable du titulaire du droit, lorsque ces actes
    sont nécessaires pour permettre à la personne ayant le droit d'utiliser le programme d'ordinateur,
    de l'utiliser d'une manière conforme à sa destination, en ce compris la correction d'erreurs (sauf
    convention contraire);

-   la reproduction sous la forme d'une copie de sauvegarde ne peut pas être interdite à une personne
    ayant reçu le droit d'utiliser le programme d'ordinateur, lorsque cette copie de sauvegarde est
    nécessaire à l'utilisation du programme;

-   l'autorisation du titulaire du droit d'auteur sur le programme ne peut être exigée lorsqu'une
    personne ayant le droit d'utiliser le programme entend observer, étudier ou tester le fonctionne-
    ment de ce programme afin de déterminer les idées et les principes qui sont à la base d'un élément
    du programme, lorsqu'elle effectue une opération de chargement, d'affichage, de passage, de
    transmission ou de stockage du programme d'ordinateur qu'elle est en droit d'effectuer.

             Une quatrième exception a été prévue par l'article 7. L'autorisation du titulaire du droit
n'est pas requise pour une reproduction du code ou la traduction de la forme de ce code lorsque cette
reproduction ou cette traduction est indispensable pour obtenir les informations nécessaires à
l'interopérabilité d'un programme créé de façon indépendante avec d'autres programmes, sous réserve
que les conditions suivantes soient réunies :

-   les actes de reproduction et de traduction doivent être accomplis par une personne jouissant du
    droit d'utiliser une copie de programme ou, pour son compte, par une personne habilitée à cette
    fin;

-   les informations nécessaires à l'interopérabilité ne lui sont pas déjà facilement et rapidement
    accessibles;

-   les actes de reproduction ou de traduction sont limités aux parties du programme d'origine
    nécessaires à cette interopératiblité.

-   la décompilation ainsi autorisée ne peut en aucun cas porter un préjudice injustifié aux intérêts
    légitimes du titulaire du droit ou porter atteinte à l'exploitation normale du programme d'ordina-
    teur.


258.        En dehors des exceptions prévues par la directive et reprises par les articles 6 et 7 de la loi
spéciale du 30 juin 1992, la question demeure posée de savoir s'il existe d'autres exceptions aux droits
patrimoniaux relativement aux programmes d'ordinateur, telles les exceptions prévues par la loi
générale, en matière d’œuvres littéraires (par exemple l'exception pour courtes citations ou
l'exception de copie privée).
                                                                                                                  120.-


              La loi belge ne résout, ni expressément, ni implicitement, cette question315.


259.       La durée des droits sur les programmes est celle du droit d'auteur en général, c'est-à-dire
70 ans après la mort de l'auteur.

            En cas de violation des droits d'auteur sur les programmes d'ordinateur, les sanctions qui
seront applicables sont celles prévues par la loi générale. Il est donc possible de poursuivre pour
contrefaçon ceux qui, sciemment, distribuent, tiennent en dépôt ou importent des programmes
contrefaits. De même on peut introduire une action civile pour obtenir la cessation de toute atteinte
aux droits.

             La loi spéciale a en outre prévu une peine d'amende pour ceux qui mettent en circulation
ou qui, à des fins commerciales, détiennent une copie d'un programme d'ordinateur en sachant qu'elle
est illicite ou en ayant des raisons de le croire. Sont également punis d'une amende ceux qui
commercialisent ou détiennent à des fins commerciales des moyens facilitant le piratage des
programmes (par exemple, un logiciel de déplombage)316.

              Les sanctions pénales prévues par la loi spéciale du 30 juin 1994 sont complétées, à
l'article 11, par une disposition qui permet d'ordonner la confiscation des supports matériels formant
l'objet de l'infraction.

             Cette dernière disposition fait, à notre avis, double emploi, sans y déroger, à l'article 42 du
Code pénal qui permet la confiscation des "choses formant l'objet de l'infraction" et de "celles qui ont
servi ou qui ont été destinées à la commettre", ainsi que des "choses qui ont été produites par
l'infraction".


260.          L'article 12 de la loi spéciale règle l'application de cette loi dans le temps.

            Cette loi s'appliquera aux programmes d'ordinateur créés avant son entrée en vigueur (le 3
août 1994) sans préjudice des "droits acquis en vertu de la loi ou par l'effet d'actes juridiques", et sans
préjudice des "actes d'exploitation accomplis antérieurement à cette entrée en vigueur".




Section 4 : Oeuvres fabriquées ou produites par ordinateur

261.        Le problème de la protection par le droit d'auteur se pose également dans le domaine des
oeuvres produites par l'ordinateur, comme c'est le cas notamment pour les images visuelles des jeux
vidéo électroniques317.


315
    Pour une tentative de systématisation, cf. A. Strowel, étude citée, spéc. p. 83 et 84.
316
    Ces moyens techniques sont comparables aux décodeurs pirates destinés à rendre inopérants les systèmes de brouillage
conçus par les chaînes de télévision à péage. La commercialisation de ces systèmes donne ouverture, en Belgique,
uniquement à l'action en cessation (Bruxelles, 13 juin 1986, JT 1986, p. 529; Liège, 20 avril 1990, JT 1990, p. 642).
317
    P. PEETERS, "La protection des jeux vidéo électroniques", Dr. infor., 1984, n° 2, p. 10 et svtes et réf. cit.; J.P.
BUYLE, L. LANOYE, A. WILLEMS, "L'informatique", J.T. 1988, p. 93 et svtes et p. 113 et svtes, spéc. n° 39.
                                                                                                                   121.-


            Il ne s'agit pas d'un problème de protection du logiciel mais essentiellement du problème
d'une protection éventuelle d’œuvres produites par l'ordinateur suite aux instructions de l'utilisateur :
musique, image, dessin, etc, et ce problème dépasse largement le domaine ludique318.

             Le principe en cette matière semble simple. Si l’œuvre créée ne contient rien d'autre que
ce qui a été programmé par le concepteur de logiciels, il faut admettre que le droit d'auteur repose sur
le concepteur. Au contraire, si l’œuvre créée peut être considérée comme indépendante du logiciel,
ce dernier n'ayant joué que le simple rôle d'outil au service de l'originalité de l'utilisateur, il faut
admettre que la paternité de l'oeuvre repose dans le chef de l'utilisateur.

              Dans bien des cas cependant, se retrouvera dans la création seconde, une partie du logiciel
utilisé : la création comportera des éléments empruntés au système d'aide à la création.

            Dans cette hypothèse, d'aucuns ont songé à l'hypothèse d'une copropriété intellectuelle
supplantant le principe selon lequel l'auteur de l'oeuvre première a la faculté d'interdire toute
exploitation de l'oeuvre dérivée319.




Section 5 : Banques de données

262.        Les banques de données informatiques posent le problème de la protection des droits des
auteurs face à l'introduction d'une oeuvre dans une mémoire informatique, parfois de façon intégrale,
mais très souvent sous forme d'extraits, de résumés, de "mots clés".

             Le stockage dans une banque de données est sans nul doute assimilable à une reproduc-
tion et dès lors, l'exploitant de la banque de données doit avoir l'autorisation de l'auteur pour effectuer
la mise en mémoire et ensuite la communication aux utilisateurs de l'ouvrage ou de parties de
l'ouvrage.

            L'exploitant de la banque de données doit également obtenir l'approbation préalable de
l'auteur pour effectuer des compilations ou des résumés considérés comme des adaptations, et leur
traduction en langage informatique...

             Toutefois, la simple indexation d'un article, notamment au moyen de mots-clés n'a pas été
considérée, par la Cour de cassation de France, comme portant atteinte aux droits d'auteur320. Selon la
Cour de cassation de France, il est licite de constituer une banque de données à partir d’œuvres
d'autrui, en l'espèce des articles de presse, et pour cela de les référencer à l'intérieur d'un index, d'en
proposer des résumés signalétiques ou de brèves citations sous la double réserve que soient
mentionnés le nom de l'auteur et la source utilisée et que les informations rassemblées ne dispensent
pas le lecteur de recourir à la lecture de l'oeuvre elle-même321.


318
    Songeons notamment aux plans d'architecture ou aux systèmes experts qui reposent sur l'association de logiciels et de
connaissances.
319
    J. HUET et H. MAISL, op. cit., p. 299, n° 305.
320
    Cass. franç., 9 nov. 1983 et 30 oct. 1987, en cause Microfort c/ Le Monde, Gaz. Pal. 1984, 1, 177 et note R.
PLAISANT; Sem. Jur. 1984, II, n° 20189 et note A. FRANCON; D. 1984, p. 297 et Sem. Jur. 1988, II, n° 20932.
321
    J. HUET et H. MAISL, op. cit., p. 544.
                                                                                                                    122.-




263.       Mais dans une seconde optique, il faut également reconnaître à l'auteur d'une banque de
données le droit exclusif sur sa collection. En effet, une encyclopédie, une anthologie, une
bibliographie, pour autant qu'elle soit originale, peut être en tant que telle protégée par le droit
d'auteur.

            Pour cette raison, l'article 20 bis de la loi générale relative au droit d'auteur 322 a prévu
qu'étaient protégées comme telles par le droit d'auteur "les bases de données qui, par le choix ou la
disposition des matières, constituent une création intellectuelle propre à leur auteur".

            Mais la loi belge, à la suite de la directive européenne du 11 mars 1996, a entendu
protéger d'une manière spécifique les banques de données qui (protégées ou non par le droit d'auteur
et quelle que soit leur forme) ont nécessité un "investissement qualitativement ou quantitativement
substantiel pour "l'obtention, la vérification ou la présentation de leur contenu"323.

             La protection supplémentaire à la protection éventuelle par les droits d'auteur accordée
par la loi du 31 août 1998 est d'une durée de 15 ans prenant cours le 1er janvier de l'année qui suit au
plus tôt la date d'achèvement de la fabrication ou la date de la première mise à la disposition du public.

            Le droit exclusif du producteur de la base de données, supplémentaire à la protection
éventuelle par les droits d'auteur, est un droit portant :

-     sur l'extraction et/ou la réutilisation de la totalité ou d'une partie qualitativement ou quantitati-
      vement substantielle du contenu de la base de données;

-     sur les extractions et/ou les réutilisations répétées et systématiques de parties non substantielles
      du contenu de la base de données, lorsque les extractions et/ou les réutilisations sont contraires à
      une exploitation normale de la base de données ou causant un préjudice injustifié aux intérêts
      légitimes du producteur.

              Par extraction, la loi entend :

              "Un transfert permanent ou temporaire de la totalité ou d'une partie substantielle du
contenu d'une base de données sur un autre support par quelque moyen ou sous quelque forme que ce
soit; le prêt public n'est pas un acte d'extraction".

              Par réutilisation, la loi entend :

            "Toute forme de mise à la disposition du public de la totalité ou d'une partie substantielle
du contenu de la base de données par distribution de copies, par location, par transmission en ligne ou
sous d'autres formes; le prêt public n'est pas un acte de réutilisation".




322
    Article inséré par une loi du 31 août 1998 "transposant en droit belge la directive européenne du 11 mars 1996
concernant la protection juridique des bases de données".
323
    Article 3 de la loi du 31 août 1998, "transposant en droit belge la directive européenne du 11 mars 1996 concernant la
protection juridique des bases de données".
                                                                                                       123.-



Section 6 : Protection des noms de domaines et protection de la propriété intellectuelle par
les contrats

264.        Le droit des brevets et le droit d'auteur n'apportent, dit-on, que peu ou pas de protection
aux firmes informatiques. Dans la pratique, celles-ci se prémunissent, par des dispositifs techniques
et surtout par la voie de clauses contractuelles restreignant les possibilités d'utilisation et les risques
de divulgation des produits mis à la disposition de leurs clients.

             Aussi, la plupart des conventions en matière de logiciels ne sont pas intitulées "ventes",
mais plutôt "concessions de droit d'usage" ou "licences d'utilisation" et elles évitent soigneusement de
transférer à l'utilisateur un droit privatif sur le logiciel. De telles conventions sont, en règle, valables
en droit.

             Avant la loi du 26 juin 2003 relative à l’enregistrement abusif des noms de domaine, il
était possible à tout quiconque d’enregistrer, sans droit ou intérêt légitime, soit dans le seul but de
nuire, soit dans le but d’en tirer indûment profit, un nom de domaine soit identique, soit ressemblant
au point de créer la confusion, à une marque de produits ou de services, à une indication géographique
ou une appellation d’origine, à un nom commercial, à une œuvre originale, à une dénomination ou à
un nom patronymique, ou encore à un nom d’entité géographique appartenant à autrui.

          Face à un pareil comportement, le droit des marques, le droit sur les pratiques du
commerce, les droits de propriété intellectuelle n’apportaient que des réponses parcellaires.

           Dorénavant, ce comportement peut faire l’objet d’une action en cessation (au civil ou au
commercial) si la personne ayant fait procédé à l’enregistrement a un domicile ou un établissement en
Belgique ou si l’enregistrement est fait dans le domaine .BE en vertu de la norme ISO-3166-1.




Section 7 : Protection des topographies des produits semi-conducteurs



Sous-section 1 : Directive communautaire du 16 décembre 1986

265.      Les semi-conducteurs, appelés communément "chips" ou "puces" ont un rôle économique
fondamental dans l'industrie électronique et la fabrication des machines-outils.

            A la frontière entre le matériel et le logiciel, un semi-conducteur est composé de couches
selon une configuration tridimensionnelle prédéterminée. Les fonctions des "puces" dépendent
essentiellement de leur topographie, c'est-à-dire une série d'images liées entre elles, qui représentent
la configuration choisie.

            La mise au point de la topographie des puces nécessite un investissement humain,
technique et financier considérable... La copie de ces produits et leur reproduction est, à l'inverse, très
                                                                                                             124.-


facile et beaucoup moins onéreuse. La "piraterie" en ce domaine est donc une plaie pour l'inventeur
initial.

            Souvent, ces produits ne recèlent pas un degré de nouveauté tel qu'ils soient brevetables.
Quant au logiciel intégré dans ces puces, il manque souvent de l'originalité nécessaire pour être
protégé par les droits d'auteur.

             La seule méthode applicable pour la protection de ces semi-conducteurs doit donc être
spécifique. C'est la solution votée en 1984 par le législateur américain dans le "Semi-conductor Chips
Protection Act". Cette loi a organisé une forme nouvelle et spécifique de protection du dessin des
circuits intégrés et autres produits semi-conducteurs fabriqués à l'aide de masques. Une législation
identique a été également prise au Japon324.

             Poussé par les Etats-Unis qui menaçaient d'imposer aux producteurs européens la
condition de réciprocité prévue par leur loi nationale, le Conseil des Ministres de la CEE a adopté, le
16 décembre 1986, une directive concernant la protection juridique des topographies des
semi-conducteurs 325 . Cette directive vise à protéger les circuits intégrés et les produits
semi-conducteurs analogues dans chaque Etat membre selon certains principes de base communs,
tout en laissant aux Etats membres un large choix quant aux modalités des méthodes de protection.


265.         La directive prévoit que la protection qui doit être accordée dans chaque Etat membre
consiste en l'octroi de droits exclusifs comportant le droit d'autoriser ou d'interdire la reproduction
d'une topographie, qui satisfait aux conditions de protection, ainsi que le droit d'autoriser ou
d'interdire l'exploitation commerciale ou encore l'importation en vue de pareille exploitation, d'une
topographie ou d'un produit semi-conducteur réalisé à l'aide de cette topographie. Toutefois, les Etats
membres peuvent ou selon le cas, doivent, apporter dans les dispositions nationales d'exécution, un
certain nombre de limitation à ces droits exclusifs. Ainsi, un Etat membre peut décider que la
reproduction d'une topographie dans la sphère privée à des fins non commerciales est autorisée. Par
contre, les Etats membres doivent, et ce, par analogie avec la loi américaine, prévoir trois limitations
: le "reverse engineering", le "innocent infringement" et le "first sale".

             On entend par la limitation dite du "first sale", le fait que le droit d'autoriser ou d'interdire
l'exploitation commerciale ou l'importation en vue de pareille exploitation n'est plus valable lorsque
ces actes sont accomplis après que la topographie ou le produit semi-conducteur ait été mis en
circulation dans un Etat membre par ou avec l'autorisation de la personne qui avait le droit de le faire.

            La limitation dite de l'"innocent infringement" implique que l'on ne peut interdire à une
personne d'exploiter un produit semi-conducteur de manière commerciale si elle ne savait pas ou ne
pouvait raisonnablement présumer lors de l'acquisition de ce produit, que ce produit était protégé en
vertu des droits exclusifs accordés par un Etat membre conformément à la directive. Lorsque cette
personne a continué d'exploiter après qu'elle a su ou a dû raisonnablement présumer que les produits
semi-conducteurs étaient protégés, il existe alors, dans son chef, l'obligation de payer des royalties.

            Le "reverse engineering" de l'article 906 de la loi américaine est pratiquement traduit mot
à mot par l'article 5, § 3, de la directive : "les droits exclusifs (de reproduction et d'exploitation) ne

324
    J. KEUSTERMANS, "Evolution de la protection des chips aux USA, au Japon et dans la CEE", Dr. inform., 1986, p.
37 et svtes.
325
    J.O.C.E. n° L24/36 du 27 janv. 1987.
                                                                                                                       125.-


s'appliquent pas à la reproduction aux fins d'analyse, d'évaluation ou d'enseignement des concepts,
procédés, systèmes ou techniques incorporés dans la topographie ou de la topographie elle-même".

            La topographie n'est protégée que si elle est le produit d'un effort intellectuel propre du
créateur et n'est pas généralement connue dans l'industrie du semi-conducteur. Si, au contraire, une
topographie est composée d'éléments généralement connus dans l'industrie du semi-conducteur, elle
ne peut bénéficier d'une protection que pour autant que la combinaison de ces éléments, vue dans son
ensemble, satisfasse à la condition d'originalité ci-dessus.

              Enfin, la directive prévoit que la durée des droits exclusifs n'excède pas dix ans à partir de
la première commercialisation ou à partir de la demande d'enregistrement de la topographie, si
celle-ci est rendue obligatoire par la loi nationale.

           D'une façon générale, la directive laisse aux Etats membres la liberté d'organiser ou non
un système d'enregistrement ou de dépôt auprès d'un organisme spécialisé326.




Sous-section 2 : La loi belge du 10 janvier 1990


A. Topographies protégées

266.       En Belgique, comme en France327, aux Pays-Bas, en Allemagne, aux USA, au Royau-
me-Uni, c'est la solution de la protection sui generis qui a été retenue.

            En ce qui concerne l'objet de la protection, la loi belge du 10 janvier 1990, renvoie aux
définitions de la directive. A l'article 1 de cette dernière, la "topographie" protégée d'un
semi-conducteur est définie comme "une série d'images liées entre elles, quelle que soit la manière
dont elles sont fixées ou codées, représentant la configuration tridimensionnelle des couches qui
composent un produit semi-conducteur et dans lesquelles chaque image produit le dessin ou une
partie du dessin d'une surface du produit semi-conducteur à n'importe quel stade de sa fabrication".
Un "produit semi-conducteur" est défini comme étant un produit dans sa forme définitive ou
intermédiaire, "composé d'un substrat comportant une couche de matériaux semi-conducteurs et
constitué d'une ou de plusieurs autres couches de matière conductrice, isolante ou semi-conductrice,
les couches étant disposées conformément à une configuration tridimensionnelle prédéterminée et
destinée à remplir, exclusivement ou non, une fonction électronique"328.

           Il faut noter que l'article 1, alinéa 2, de la directive dispose que le Conseil peut modifier,
sur proposition de la Commission, à la majorité qualifiée des voix, la définition du concept de
semi-conducteur, ceci afin d'adapter la définition au progrès des techniques.


326
    Pour un examen plus complet de la directive, cf. M. FLAMMEE, "Une approche européenne de la protection des
chips", R.I.D.E., 1989, p. 51 et svtes.
327
    Loi française du 4 novembre 1987 "relative à la protection des topographies des produits semi-conducteurs et à
l'organisation de l'Institut national de la propriété industrielle"; cf. le commentaire de cette loi par J. HUET et H. MAISL,
op. cit., p. 368 et svtes.
328
    Ce sont là des définitions qui se distancient quelque peu de l'état actuel de la technique : M. FLAMEE, "Computer
software en chips", in 100 jaar auteurswet, Kluwer 1986, p. 55.
                                                                                                      126.-


            L'article 3 de la loi dispose, à l'instar de l'article 8 de la directive, que la protection ne
s'étend pas aux autres concepts, procédés, systèmes techniques ou informations codées intégrés dans
la topographie, seule cette dernière étant protégée.


267.         L'article 2 de la loi du 10 janvier 1990 est la reproduction de l'article 2, alinéa 2, de la
directive : une topographie n'est protégée que si elle est le produit d'un effort intellectuel propre du
créateur, et n'est pas généralement connue dans l'industrie du semi-conducteur. Si, au contraire, une
topographie est composée d'éléments généralement connus dans l'industrie du semi-conducteur, elle
ne peut bénéficier d'une protection que pour autant que la combinaison de ces éléments, prise comme
un tout, satisfasse aux conditions ci-dessus.

            L'originalité n'est donc plus un critère essentiel de la protection, comme c'était le cas dans
la proposition originaire de la Commission CEE.



B. Titulaires de la protection

268.        La loi du 10 janvier 1990, à l'instar de la directive du 16 décembre 1986, prévoit une
réglementation très étendue concernant la détermination des personnes pouvant prétendre à la
protection.

            En vertu de l'article 6 de la loi, le droit à la protection est accordé aux personnes physiques
qui créent des topographies de produits semi-conducteurs et qui sont ressortissantes d'un Etat membre
ou qui ont leur résidence habituelle sur le territoire d'un Etat membre.

             Lorsqu'une topographie est créée dans le cadre d'une relation de travail, la loi prévoit que
c'est l'employeur qui est considéré comme créateur, sauf convention contraire. La loi prévoit
également que lorsqu'une topographie d'un produit semi-conducteur est créée sur commande, c'est
celui qui a passé commande qui est considéré comme créateur, sauf stipulation contraire. L'em-
ployeur ou le maître de l'ouvrage ne peuvent toutefois bénéficier de la protection offerte qu'à la
condition d'être ressortissants d'un Etat membre de la CEE ou d'avoir leur résidence habituelle sur le
territoire d'un Etat membre (pour les personnes physiques) ou qu'à la condition d'avoir un établis-
sement industriel ou commercial effectif et sérieux sur le territoire d'un Etat membre (pour les
sociétés et les personnes morales).

            Les personnes physiques ressortissantes d'un Etat membre ou qui y ont leur résidence
habituelle, ainsi que les sociétés ou autres personnes morales ayant un établissement industriel ou
commercial effectif et sérieux sur le territoire d'un Etat membre peuvent également bénéficier de la
protection accordée à l'employeur ou au mandant, si elles exploitent pour la première fois, dans un
Etat membre, une topographie qui n'est pas encore exploitée ailleurs dans le monde et, ont obtenu de
celui qui peut en disposer l'autorisation exclusive pour cette exploitation.

            Bénéficient également du droit à la protection, les personnes ressortissantes de pays
autres que ceux de la CEE ou ayant leur résidence habituelle ou un établissement industriel ou
commercial effectif et sérieux dans ces autres pays, pour autant que cela ait été prévu par un
instrument international ou décidé par le conseil des Communautés européennes.
                                                                                                   127.-


              A cet égard, notons que par décisions du 26 octobre 1987, du 31 mai 1988, du 9 octobre et
du 26 octobre 1990, le Conseil de la CEE a imposé aux Etats membres d'étendre le droit à la
protection, au titre de la directive, aux personnes physiques qui sont citoyens d'un pays ou d'un
territoire cité à l'annexe de ces décisions, ou qui y ont leur résidence habituelle. La protection doit
être également étendue aux sociétés et aux autres personnes morales qui ont un établissement
industriel ou commercial effectif dans un des pays cités à l'annexe de ces décisions, pourvu que les
sociétés et autres personnes morales des Etats membres bénéficient à leur tour, dans ces pays, de la
protection des chips qui y est en vigueur, ce qui doit être constaté par la Commission pour chacun des
pays désignés. Parmi les pays figurant à l'annexe de ces décisions, se trouvent, entre autres,
l'Autriche, les Etats-Unis, la Finlande, l'Islande, le Japon, la Norvège, la Suède, la Suisse, etc.



C. Etendue de la protection

269.          En vertu de l'article 1er de la loi du 10 janvier 1990, les droits exclusifs accordés sont
relatifs à la reproduction et à l'exploitation commerciale de la topographie.

            En ce qui concerne le "reverse engineering", la loi a prévu que le droit exclusif de
reproduction n'est pas valable pour les reproductions effectuées "uniquement aux fins d'analyses,
d'évaluation ou d'enseignement de la topographie, des concepts, procédés, systèmes ou techniques
qui y sont incorporés"329. Le titulaire du droit à la topographie ne peut opposer son droit à une
topographie conçue sur base des résultats du "reverse engineering", "du moins dans la mesure où la
nouvelle topographie résulte de l'effort intellectuel du créateur et n'est pas courante dans le secteur
des semi-conducteurs"330.

            Le droit exclusif ne s'étend pas à l'exploitation commerciale d'une topographie ou d'un
produit semi-conducteur, après que celui-ci ait été mis sur le marché dans un Etat membre des
Communautés européennes par le titulaire du droit exclusif ou avec son consentement exprès 331.
Enfin, la personne qui acquiert un produit semi-conducteur, sans savoir ou sans être fondée à croire
que la topographie de ce produit est protégée par le droit exclusif, ne peut se voir interdire l'exploi-
tation commerciale de ce produit. Le titulaire du droit exclusif peut toutefois exiger de celui qui
continue l'exploitation de payer des royalties. Le montant de ces royalties est "équivalent à celui qui
aurait normalement dû lui revenir au titre de l'exploitation commerciale de la topographie pour les
actes commis après qu'elle sait ou est fondée à croire que la topographie du produit semi-conducteur
est protégée par un droit exclusif"332.


270.      La directive n'obligeait pas les Etats membres de la CEE de soumettre à une formalité
quelconque l'obtention ou le maintien de la protection.

             L'article 9 de la loi belge a exclu tout accomplissement de formalité quelconque. En effet,
l'article 9 précité dispose que la protection "naît lorsque la topographie est fixée ou codée pour la
première fois".


329
    Article 10, a, de la loi du 10 janv. 1990.
330
    Article 10, b, de la loi du 10 janv. 1990.
331
    C'est la limitation dite du "first-sale"; cf. supra, n° 206.
332
    Article 11, § 2, de la loi du 10 janv. 1990.
                                                                                                         128.-


             La protection expire après une période de 10 ans à compter de la fin de l'année civile au
cours de laquelle la topographie a fait l'objet d'une exploitation commerciale pour la première fois, où
que ce soit dans le monde. Si la topographie n'a pas fait l'objet d'une exploitation commerciale, où
que ce soit dans le monde, dans un délai de 15 ans à partir de la date à laquelle elle est fixée ou codée
pour la première fois, la protection vient à expiration.


271.        L'article 18 de la loi du 10 janvier 1990 prévoit, à l'instar de l'article 10 de la directive, que
les normes spécifiques qu'elle édicte en matière de topographie de produits semi-conducteurs ne
portent pas atteinte aux autres dispositions législatives en matière de propriété intellectuelle et, plus
particulièrement, à l'application du droit d'auteur aux oeuvres qui seraient fixées dans le produit
semi-conducteur.



D. Entrée en vigueur

272.         En vertu de l'article 11, alinéa 1er de la directive, la Belgique comme les autres pays
membres de la CEE devait faire entrer en vigueur les dispositions légales et administratives
nécessaires pour satisfaire à la directive, au plus tard le 7 novembre 1987. Force est de constater que
la Belgique n'a pas exécuté correctement ses obligations à temps. C'est d'autant plus dommage que la
loi du 10 janvier 1990 ne s'applique que pour les topographies de produits semi-conducteurs fixées ou
codées pour la première fois après l'entrée en vigueur de la loi333.



E. Sanctions

273.        En ce qui concerne les actions concernant les droits sur une topographie d'un produit
semi-conducteur, on notera que le tribunal saisi peut prononcer à l'égard du contrefacteur, à la
demande de la partie lésée, la cessation de la contrefaçon et l'obligation de payer au préjudicié une
indemnité en réparation du préjudice causé. Le tribunal peut également ordonner la publication du
jugement334.

            En cas de mauvaise foi, le tribunal est en droit de prononcer, au profit du titulaire de la
protection, la confiscation des produits semi-conducteurs confectionnés en contrefaçon ou des
instruments ou des moyens de confection.

            Si des produits semi-conducteurs ont déjà été commercialisés par le contrefacteur de
mauvaise foi, le juge peut allouer au bénéficiaire de la protection une somme égale au prix ou à la
valeur des produits semi-conducteurs déjà cédés.

             On est donc, dans cette matière, placé devant des dispositions fort proches de celles
réglant les autres droits de propriété industrielle.




333
      La loi du 10 janv. 1990 a été publiée au M.B. du 26 janv. de la même année.
334
      Article 13 de la loi du 10 janv. 1990.
                                                                     129.-




CHAPITRE IV : INFORMATIQUE ET RÉGLEMENTATION DE LA PREUVE - LE FORMALISME

P.M.
                                                                                                                 130.-




CHAPITRE V : CONTRATS INFORMATIQUES



Section 1 : Généralités

274.         Pour automatiser son organisation et ses procédures, une entreprise ou une administration
devra, la plupart du temps, recourir aux services de firmes spécialisées qui lui fourniront les systèmes
de traitement de l'information nécessaires ou utiles à ses besoins.

           Cette obtention nécessite toute une série de prestations que l'on peut classer dans l'ordre
chronologique suivant335.


a) Le travail préliminaire de conception ou d'étude.

             C'est un travail comparable, sous de nombreux aspects, à l'ingénierie et sous d'autres, à
l'audit de gestion. Ce travail suppose qu'il soit répondu à des questions essentielles : quel résultat
veut-on obtenir par l'introduction d'un système informatique ? Quel est le système adapté aux besoins
et aux moyens de l'entreprise pour obtenir le résultat désiré ? Quel impact l'introduction du système
va-t-il avoir dans l'entreprise ? (impact financier, réorganisation, politique du personnel, politique de
gestion, de fabrication et de commercialisation).


b) La fourniture de biens (hardware et logiciels de base).

            Ces prestations consisteront en livraisons diverses : fourniture du matériel (composants,
bandes, disques, connecteurs, machines ...) de l'ensemble des programmes qui permettent l'utilisation
du matériel (operating systems, compilateurs, assembleurs, éditeurs, ...), de la documentation ...


c) La conception et la réalisation du logiciel d'application.


d) Le transfert de certains droits intellectuels.

                 Ces prestations consisteront en licence de brevets ou de programmes.


e) La formation du personnel de l'entreprise.


f) La connexion entre différents systèmes de banques de données, ce qui supposera la fourniture de
modems, l'installation de lignes et l'instauration de rapports avec l'exploitant de l'autre ordinateur ou
de l'autre banque de données.



335
      Cf. sur ce point, P. et Y. POULLET, "Les contrats informatiques", J.T., 1982, p. 1 et svtes, spéc. p. 2.
                                                                                                           131.-


g) L'assistance technique ou la maintenance du système.

275.         Ces diverses prestations peuvent faire l'objet de contrats séparés soit avec un cocontrac-
tant unique, soit avec plusieurs cocontractants distincts : telle firme livrera le hardware et le logiciel
de base, une autre se chargera de la conception du logiciel d'application, une autre encore de la
formation du personnel ou de la maintenance ... C'est la situation la plus courante compte tenu de la
spécialisation des firmes informatiques.

             L'hypothèse d'un contrat global avec un cocontractant unique est toutefois fréquente. Il
s'agit, dans cette hypothèse, de la fourniture d'un système clé en main, impliquant la livraison d'un
système complet, c'est-à-dire l'ordinateur, les périphériques, les terminaux, le système d'exploitation
et tous les programmes d'application nécessaires ainsi que leur documentation, système fourni et
maintenu comme un tout cohérent répondant aux besoins d'un utilisateur.


276.          Le choix entre l'unicité et la pluralité de contrats n'est pas neutre de conséquence en droit
car les vicissitudes d'un contrat ne peuvent préjudicier ni remettre en cause l'existence d'un autre
contrat336, sauf le cas du contrat "accessoire". En effet, en cas de contrat unique prévoyant à charge
d'un contractant les diverses phases de l'opération informatique ou à tout le moins certaines d'entre
elles, le défaut d'exécution de l'une ou de l'autre des prestations autorise à l'utilisateur de demander la
dissolution du contrat dans sa totalité. Lorsque les contrats sont séparés, la question est plus délicate
et se résoudra le plus souvent au détriment de l'utilisateur. Ainsi, si une firme prend en location pour
une durée de cinq ans un ordinateur auprès d'un fournisseur informatique Primus et fait assurer la
maintenance, par contrat séparé du contrat de location, par un fournisseur informatique Secondus, les
dangers sont importants pour l'utilisateur. En effet, imaginons que peu de temps après la conclusion
du contrat et la livraison du système, Secondus" perd sa concession qu'il tenait d'un fabricant étranger
et devienne, faute de pièces détachées, incapable d'assurer la maintenance de l'appareil loué.
L'utilisateur obtiendra sans nulle doute en justice la dissolution du contrat de maintenance, mais il est
douteux qu'il puisse obtenir la résiliation du contrat de location. En effet, ce dernier contrat n'est pas
l'accessoire du contrat de maintenance (il se présente plutôt, en fait, comme le contrat principal) et ne
disparaît donc pas avec lui. L'utilisateur est donc contraint non seulement de s'équiper d'un nouvel
ordinateur auprès d'un autre fournisseur mais encore de payer le loyer de l'ancien ordinateur pendant
cinq ans ! Certes, si la perte de concession peut être imputée à un manquement de Secondus,
l'utilisateur obtiendra bien entendu des dommages et intérêts pour ces désagréments; mais si la perte
de concession provient d'un cas fortuit ou d'un fait du Prince (faillite imprévisible du concédant,
interdiction d'importation ou d'exportation ...), la situation est sans issue pour l'utilisateur337.

            Même lorsqu'un seul fournisseur informatique intervient, ce dernier aura une propension
toute naturelle à maintenir l'indépendance des divers rapports contractuels pour réaliser la mise en
place d'un système informatique complet : la technique adoptée par le fournisseur consiste à conclure
plusieurs contrats indépendants les uns des autres (vente du matériel et du logiciel de base, vente des
périphériques, licence du logiciel d'application, maintenance du hardware et des terminaux,
maintenance du logiciel d'application, etc)338.



336
    "Le droit des contrats informatiques", oeuvre collective, Larcier 1983, p. 41.
337
    Pour une application de ces principes, cf. appel Paris, 1er oct. 1980, Expertises 1980, n° 25, p. 2 et note
BENSOUSSAN.
338
    BUYLE, LANOYE et WILLEMS, "L'informatique, chronique de jurisprudence", J.T. 1988, p. 103, n° 30, spéc. note
72.
                                                                                                                   132.-


              Devant pareille construction juridique qui contredit la réalité économique unique vécue
par l'utilisateur, l'isolationnisme contractuel est-il toujours de règle, de sorte que le sort d'un contrat
reste sans incidence sur celui des autres. La question divise la doctrine et la jurisprudence339, mais il
convient toutefois de constater que toutes les théories élaborées pour rompre l'isolationnisme
contractuel resteront toujours tenues en échec par une clause souvent prévue dans les contrats
standardisés, aux termes de laquelle, le fournisseur rejette toutes les conséquences que pourrait
présenter, pour un contrat, l'échec des prestations relevant d'un autre contrat.


277.         Les contrats informatiques relèvent évidemment du droit commun des obligations et des
contrats : contrat de vente, contrat d'entreprise, location, etc.

          S'il est une certaine spécificité des contrats informatiques, cette spécificité résulte, pour
une bonne part, de la complexité technique de la matière et de l'importance que revêt le choix d'un
équipement adapté aux besoins de celui qui va l'utiliser.

           Mais la spécificité des contrats informatiques provient également du fait que la plupart
des firmes informatiques font un usage très intensif des contrats standardisés, contenant de
nombreuses clauses que l'on peut qualifier d'uniformes, issues, pour la plupart, des pratiques
anglo-saxonnes. Ces contrats standardisés se caractérisent par l'inégalité du droit des cocontractants,
au détriment de l'utilisateur, tant au niveau des clauses qu'ils contiennent, qu'au niveau de celles qu'ils
ne contiennent pas (absence de garanties essentielles, comme la garantie de disponibilité, par
exemple).

             Certes, certains fournisseurs informatiques ont pris l'initiative de proposer à leur clientèle
des contrats plus équilibrés et ce, en tant qu'argument commercial. Certains puissants constructeurs
opérant sur le marché belge proposent toutefois, encore actuellement, les contrats les plus unilatéraux
qui soient, en affirmant qu'ils ne sont pas négociables.




Section 2 : Qualification des contrats informatiques

278.        Les relations contractuelles entre utilisateurs et fournisseurs de biens et de prestations
informatiques suscitent une jurisprudence et une doctrine variées révélatrices des difficultés
juridiques en la matière.

            La difficulté majeure pour le juriste consiste certainement en la recherche des règles de
droit applicables à ces contrats. Cette recherche n'est certainement pas facilitée par la complexité
technique des prestations en cause, par la multiplicité des activités offertes340 ou par la multiplicité des
intervenants 341.

339
    C.A. DAWAGNE, "Application des principes généraux du droit des obligations et des contrats au droit de
l'informatique", in "Séminaires de droit de l'informatique", CRID 1988, p. 3 et svtes.
340
    Vente de matériels ou de logiciels, fourniture de temps "machine", sous-traitance de travaux et services "bureau",
contrats d'étude, conception de logiciels, fourniture de systèmes "clé en main", maintenance, licence de programme,
assistance technique, location-financement de logiciels, ...
341
    Experts, conseils en organisation d'entreprises, constructeurs, sociétés de services, concessionnaires et revendeurs,
sociétés spécialisées dans la maintenance, etc.
                                                                                                                         133.-




            D'une façon générale, les auteurs de doctrine invitent à rapprocher les contrats informa-
tiques des contrats relatifs à la construction immobilière, contrats qui sont aussi remarquables par la
multiplicité des différentes prestations allant de la conception d'ensemble jusqu'aux travaux de
maintenance342.

           La similitude entre les contrats informatiques et les contrats immobiliers est loin
cependant d'être parfaite eu égard au caractère "immatériel" du résultat de la plupart des opérations
informatiques et à l'absence de textes de loi spécifiques à la matière informatique.

             Une des questions essentielles posées aux juristes est la qualification de la plupart des
contrats, soit en un contrat de vente, soit en un contrat d'entreprise, car selon le choix opéré en faveur
d'une de ces deux alternatives, des règles différentes seront applicables343.


279.        Or, depuis l'adoption du Code civil, il existe une controverse tenace au sujet de la
distinction entre le contrat de vente et le contrat d'entreprise, de même qu'il existe une autre
controverse sur certains effets de cette distinction, notamment au niveau de la garantie des vices
cachés344.


280.         Par sa nature même, le contrat d'entreprise s'analyse uniquement en une ou plusieurs
obligations de prester un travail et non de transférer une chose : c'est l'activité de l'homme qui est
l'objet du contrat.

              Mais que faut-il décider lorsque l'entrepreneur fournit de la matière ?

            Certains estiment, dans ce cas, qu'il faut considérer le contrat comme un contrat de vente,
voire un contrat de vente d'une chose future ou encore comme un contrat "mixte", à la fois "vente" et
"entreprise".

             Personnellement, nous préférons donner à ce problème la solution préconisée par le
professeur De Page, solution qui consiste en l'examen de la prestation caractéristique du contrat : le
contrat a-t-il pour objet la prestation d'un travail bien déterminé, le contrat doit être qualifié de contrat
d'entreprise, même si la matière est fournie par l'entrepreneur; le contrat a-t-il pour objet le transfert
de propriété d'une chose aux caractéristiques bien spécifiques et connues, le contrat doit être qualifié
de contrat de vente même si l'objet du contrat est une matière façonnée par l'homme 345, l'importance
économique respective (la valeur) du travail et de la matière ne nous paraissant pas déterminante346.

           On qualifiera donc de "contrat d'entreprise", un contrat dans lequel un travail bien
déterminé de l'homme est l'objet essentiel, c'est-à-dire l'objet même du contrat (fourniture d'un

342
    J. HUET, "La modification de droit sous l'influence de l'informatique - aspects de droit privé", Sem. Jur., 1983, D.
3095.
343
    Il faut rappeler que le juge n'est pas tenu par la qualification donnée par les parties à une convention conclue par elles;
il peut en déterminer la nature juridique exacte sur la base d'éléments intrinsèques ou extrinsèques à la convention.
344
    J. HUET, op. cit., n° 30; P. et Y. POULLET, "Les contrats informatiques", étude citée, n° 8; R.P.D.B., compl. t. II, v°
Devis et marchés, n°s 182 à 206; M.M. FLAMME, "Chronique de jurisprudence - le contrat d'entreprise", J.T. 1976, n°
64; Cass., 6 mai 1977, R.C.J.B. 1979, p. 162 et svtes et la note M. FALLON.
345
    DE PAGE, op. cit., t. IV, 2e édition, n° 842 et svts.
346
    Cf. Liège, 18 déc. 1980, J.C.B. 1981, p. 381.
                                                                                                            134.-


logiciel d'application spécifique, prestation de conseils, etc) et on qualifiera de "contrat de vente", la
convention dont la fourniture d'une chose est l'objet essentiel (fourniture de machines, de bandes, de
disques, etc)347.

             En pratique, cette distinction va s'appuyer sur des circonstances de fait, telle que
l'existence de "choses pareilles" à celles faisant l'objet du contrat, c'est-à-dire des choses possédant
des caractéristiques de série, car en pareil cas, il est probable que l'objet essentiel du contrat ne soit
pas le travail fourni, mais le bien transféré348.


281.         Il serait erroné de penser que la solution de la qualification des contrats se résout toujours
par le choix entre l'une des branches de l'alternative "vente" - "contrat d'entreprise", car la pratique
tant en matière informatique qu'en matière immobilière notamment connaît des contrats appelés
"complexes" dans lesquels l'entrepreneur se charge de la conception, de la fourniture des matériaux,
de l'installation du bien, de son entretien et de sa maintenance, voire de sa gestion ou de sa
commercialisation.

            En pareil cas, s'agit-il d'un contrat de vente ou d'un contrat d'entreprise ? La réponse ne se
trouve certainement pas dans une des branches de l'alternative et il faut alors accepter le caractère
mixte du contrat qui sera soumis, selon les prestations en cause, soit simultanément, soit successi-
vement aux deux statuts de la vente et du contrat d'entreprise et même, dans certains cas, au troisième
statut du contrat de location.


282.         La fourniture de matériel informatique relève, de toute évidence, des règles du contrat de
vente, dès lors qu'il s'agit d'un bien préexistant susceptible d'être l'objet d'un transfert de propriété. Si
l'acquisition du matériel n'a pas lieu en propriété et que seules la détention et l'utilisation ont été
conférées, on se trouvera vraisemblablement devant un contrat de location (ou de loca-
tion-financement).

            Les prestations du fournisseur comportent donc, dans le cadre de ces contrats, une
garantie des vices cachés, telle qu'elle est prévue par le Code civil tant en matière de vente, qu'en
matière de location.

            En pratique, le contrat de fourniture de matériel portera tant sur les machines elles-mêmes
que sur le logiciel de base ou "logiciel système". Le logiciel système apparaît ainsi juridiquement
comme l'accessoire nécessaire de la machine et son transfert doit également être soumis aux règles de
la vente.

              Il faut rappeler que les règles de la vente prévoient que les obligations du vendeur
s'étendent à la fourniture de tous les accessoires nécessaires à l'utilisation de la chose, conformément
à l'article 1615 du Code civil. Ce n'est là qu'une application du principe de l'exécution de bonne foi
des contrats. Il est donc interdit aux constructeurs, sauf disposition contractuelle contraire, de
chercher à lier leurs cocontractants pour l'approvisionnement en fournitures annexes, comme des
bandes ou des disques, par le biais de procédés techniques conservés secrets, sauf aux fournisseurs à
mettre à la disposition des clients ces éléments spécifiques à des prix équivalents à ceux du marché349.
347
    La distinction que nous faisons peut parfois, nous en sommes conscients, poser des problèmes d'interprétation
(R.P.D.B., compl. t. II, v° Devis et marchés, notamment n° 28).
348
    Liège, 18 déc. 1980, précité.
349
    Comp. J. HUET, op. cit., n° 26.
                                                                                                     135.-




283.        Le logiciel de base ou le logiciel système est en pratique toujours transféré avec la
machine dont il est un accessoire indispensable. Il fait donc l'objet, avec la fourniture de la machine,
d'un contrat de vente ou de location global.

              Juridiquement il sera malaisé d'appliquer la garantie des vices cachés à un programme,
car celui-ci comporte toujours une marge irréductible d'erreurs que l'on découvre au fur et à mesure de
l'utilisation et qui font, la plupart du temps, l'objet de corrections régulières par le fournisseur.


284.         Le logiciel d'application spécifique est celui qui est conçu en fonction des besoins
particuliers d'un client, afin de permettre l'accomplissement des fonctions définies avec ce dernier; la
conception du programme est une prestation principalement intellectuelle, une prestation de services
et les relations contractuelles des parties entrent donc, sans difficulté, dans le cadre du contrat
d'entreprise350.

            Le progiciel, ou logiciel d'application générale, est un logiciel standard, un produit de
série préconstitué destiné à une clientèle d'acheteurs ou d'utilisateurs ayant des besoins similaires (par
exemple, un programme de paie des employés et appointés).

            Certains estiment que la commercialisation d'un progiciel peut être qualifiée de vente ou
de location car la prestation de la société informatique n'est pas un service intellectuel et se confond
avec la mise à disposition de biens déterminés (programme bien défini, documentation) avec laquelle
la valeur du progiciel se confond351.

             D'autres rejettent, à notre avis avec raison, la qualification de vente (ou de location), au
profit de la qualification de contrat d'entreprise, au motif que la prestation fournie consiste en une
jouissance non exclusive d'une utilisation par d'autres et insusceptible d'être cédée à des tiers en vertu
des stipulations conventionnelles d'usage dans ce type de contrat. Ils ajoutent à cet argument que la
notion de vente ne peut coïncider avec la nécessité de mises à jour consécutives à la réparation des
anomalies et aux modifications rendues nécessaires par certains événements comme un changement
de législation.

            Les clauses habituelles des contrats de fourniture de progiciels imposent ces remanie-
ments aux clients afin de n'être en présence que d'une seule version du programme dont la mainte-
nance doit être assurée. La fourniture de progiciels est donc une fourniture de biens sans cesse
perfectibles, ce qui ne coïncide pas avec la norme habituelle de la vente.

              Les contrats de fourniture de progiciels, aux fins d'éviter les problèmes de qualification,
s'intitulent généralement "Contrat de licence de programme" ou "Concession de droit d'usage", mais
ces dénominations conventionnelles ne permettent pas de mieux définir le régime juridique qui leur
est applicable.

           Comme le préconise J. Huet352, nous sommes d'avis que le caractère de prestation de
service domine dans la fourniture de logiciels, ainsi que dans l'adaptation aux besoins spécifiques du

350
    J. HUET, op. cit., n° 27; P. et Y. POULLET, "Les contrats informatiques", étude citée, n° 6.
351
    P. et Y. POULLET, ibidem, n° 6.
352
    Ibidem, n° 29.
                                                                                                            136.-


client ou dans les améliorations apportées aux produits. Le contrat d'entreprise donnera aux solutions
à retenir, l'appui d'un ensemble de règles élaborées de longue date.


285.         La fourniture d'un système "clé en main" combine études et conseils, prestations en
matériel et en logiciel, prestations de maintenance, le tout adapté aux besoins d'une entreprise. En
pareil cas, c'est le travail effectué pour le client qui est l'élément principal du contrat et partant, ce
dernier doit être soumis aux règles du contrat d'entreprise, même si la dénomination choisie par les
parties est le contrat de vente.

            Cette qualification du contrat "clé en main" en "contrat d'entreprise" 353 n'est pas
incompatible avec des qualifications partielles de certaines prestations prévues dans le contrat global
en "contrat de vente" ou de "location", de sorte que le fournisseur du système "clé en main" cumulera
dans le même contrat global les qualités de vendeur, de bailleur et d'entrepreneur; cette hypothèse,
que nous avons déjà relevée du contrat complexe, conduit à introduire dans les règles applicables, une
obligation de garantie des vices cachés portant, en toute hypothèse, sur le matériel fourni.




Section 3 : Négociation et exécution des contrats informatiques



                                                                                                    354
Sous-section 1 : Actes préparatoires au contrat ou "période précontractuelle"

286.        Un contrat n'est pas un événement isolé, mais le résultat d'une préparation : les
pourparlers préliminaires. Les parties étant libres de contracter ou de ne pas contracter, tant qu'elles
n'ont pas émis leur volonté de s'engager355, elles ne sont tenues à rien et les risques de rupture de
pourparlers ne donnent lieu, en principe, à aucune indemnisation quelconque (frais de devis, de
projet, de déplacement, de perte d'offre intéressante d'une autre partie, perte de bénéfices sur un
contrat espéré ...).

            Certains comportements des parties en présence, lors des pourparlers, peuvent cependant
leur être reprochés après la conclusion du contrat. Ce sera le cas lorsque les conséquences de ces
comportements se manifestent après la conclusion du contrat en cause.

           Actuellement, la jurisprudence met en effet, à l'occasion des pourparlers préliminaires,
une obligation d'information et de renseignement à charge des deux parties et une obligation de
conseil à charge du seul fournisseur, la violation de ces obligations étant traditionnellement
sanctionnée par la nullité du contrat, pour erreur ou dol et par l'allocation de dommages et intérêts
éventuels.

            L'importance que revêt, pour l'utilisateur, le choix d'un équipement adapté à ses besoins
est proportionnelle à l'importance du devoir de conseil incombant au fournisseur, de même qu'à

353
    Qualification qui n'est pas unanimement admise : cf. P. et Y. POULLET, ibidem, n°s 7 à 9 et réf. cit.
354
    C'est-à-dire jusqu'au stade de l'offre.
355
    Ou, en d'autres termes, formuler une offre ferme de contrat.
                                                                                                                        137.-


l'obligation de collaboration de l'utilisateur à la détermination de la solution adéquate par la définition
de ses besoins.

            Ces obligations de conseil et de collaboration, qui sont antérieures ou contemporaines de
la formation du contrat, sont assurément des obligations de moyen356.


287.        L'utilisateur ne peut se contenter, lors des pourparlers, d'une attitude passive. Il doit
informer le fournisseur de ses besoins, de ses souhaits, des objectifs à atteindre, en précisant
clairement la nature et l'importance des travaux qu'il souhaite voir automatiser, au besoin en ayant
recours à un conseil spécialisé, apte à analyser et à traduire, à l'égard du fournisseur, les différentes
opérations à traiter. Il lui incombe de définir son organisation et ses problèmes spécifiques, ainsi que
tous les problèmes qui doivent entrer en compte pour permettre l'utilisation du système.

             Si la définition de ses besoins incombe à l'utilisateur et sont de sa responsabilité, le
fournisseur doit toutefois prêter la main à l'utilisateur pour qu'il puisse procéder correctement à cette
définition et préciser correctement ses besoins357.

288.         L'utilisateur doit donc informer son partenaire, mais il doit aussi s'informer, c'est-à-dire,
soit se faire conseiller par un expert, soit, à tout le moins, exiger des informations de son fournisseur
sur le matériel et les garanties fournies. En d'autres termes, l'utilisateur doit agir comme un
commerçant avisé et soucieux de ses intérêts, dans la mesure de ses possibilités. C'est le devoir de
"collaboration" de l'utilisateur au stade précontractuel.


289.        En ce qui concerne le fournisseur, il est tenu lui aussi d'une double "obligation
d'information"358 : il est à la fois tenu d'informer l'utilisateur et de s'informer auprès de lui.

             Déjà dans un jugement de 1980, le tribunal de commerce de Bruxelles359 a considéré que
l'obligation principale du fournisseur consistait à fournir à l'utilisateur une configuration apportant
une solution adéquate à son problème, en l'espèce, la gestion des ventes. Pour exécuter cette
obligation, le tribunal a estimé que le fournisseur "devait s'informer des besoins" de l'utilisateur,
"c'est-à-dire recueillir les données de son problème et lui fournir le matériel et le logiciel propres à le
résoudre".

            L'obligation pour le fournisseur de s'informer auprès de l'utilisateur va très loin, puisque
l'on admet généralement qu'il doit demander à son cocontractant des renseignements ou des données
complémentaires lorsque les données fournies lui paraissent incomplètes ou contradictoires.
L'obligation de s'informer ne cesse pas, même lorsque le client a rédigé un cahier des charges ou a fait
appel à un conseil spécialisé. Ainsi, un fournisseur de matériel ne peut rester passif lorsqu'un client
lui passe commande d'un matériel répondant inadéquatement à ses besoins, même si ce matériel a été
conseillé par une société spécialisée mandatée par le client360.


356
    J. HUET et H. MAISL.
357
    Appel Paris, 3 avr. 1979, Expertises, 1979, n° 10, p. 1 et svtes; appel Paris, 2 juin 1983 et 30 juin 1983, D., 1985, I.R.
de droit de l'informatique, p. 43 et svtes et obs. J. HUET; de LAMBERTERIE, "Les contrats en informatique", litec, 1984,
n° 18 et svts.
358
    P. et Y. POULLET, ibidem, n° 17.
359
    7 janv. 1980, J.C.B., 1981, p. 57 et la note J. VANDENBERGHE.
360
    T. Com. Charleroi, 18 déc. 1982, J.T., 1983, p. 285 et note Y. POULLET et P. ULMANN.
                                                                                                      138.-




290.        Mais outre s'informer, le fournisseur doit informer. Cette obligation d'information du
fournisseur trouve ses limites dans l'obligation de se renseigner à charge de l'utilisateur361.

             Ainsi, le fournisseur doit renseigner l'utilisateur sur les usages possibles du matériel, sur
les caractéristiques d'utilisation (courant, climatisation, etc), sur les éléments qui doivent permettre au
client de procéder au calcul de rentabilité du système (coût d'achat, d'entretien, rendement, coût des
accessoires, coût et possibilité d'extension, etc.).

                Ces obligations se retrouvent évidemment au niveau de la réclame.


291.        Mais au-delà d'une obligation d'information pure et simple, la jurisprudence, depuis plus
d'une dizaine d'années affirme, en matière informatique, qu'un devoir de conseil s'impose au
fournisseur. Ce devoir implique que le fournisseur doit porter un jugement convenable sur
l'opportunité de l'informatisation elle-même et, celle-ci étant admise, d'orienter le client dans le choix
du système et de le dissuader de se décider à un moment peu propice. En résumé, le devoir de conseil
oblige le fournisseur de mettre en garde le client contre les risques de l'informatisation et de l'orienter
dans son choix. C'est ainsi qu'un fournisseur engagerait sa responsabilité en proposant un matériel
inadapté, parce que trop puissant ou trop coûteux. Mais il n'y a là qu'une obligation de moyen, car la
décision finale appartient au client, maître de son entreprise362.




Sous-section 2 : Exécution du contrat ou "période contractuelle"

292.        Les pourparlers se terminent normalement soit par une rupture ou une suspension des
contacts, soit par l'émission d'une offre, c'est-à-dire l'émission par une des parties d'une volonté
définitive de s'engager à contracter pour autant que l'autre accepte.

            Il y a une offre dès qu'il y a présentation à l'autre partie des éléments essentiels du contrat
proposé. L'acceptation de l'offre par l'autre partie entraînera la formation du contrat avant même toute
rédaction ou signature d'un écrit.


293.         Dans les contrats informatiques, le fournisseur peut être un vendeur, un donneur à bail ou
en leasing, un entrepreneur ... Les obligations du fournisseur sont, bien entendu, fort différentes selon
la qualification du contrat et l'objet des prestations (machine, logiciel, conseil, ...).

                Par delà ces spécificités, il est des obligations communes pour les deux parties.


294.          Les deux obligations principales du fournisseur informatique sont, d'une part, l'obligation
de livrer à l'utilisateur un objet ou une prestation conforme à l'objet ou à la prestation commandée et
ce, dans les délais convenus et, d'autre part, l'obligation de garantir le bon fonctionnement du
système.

361
      P. et Y. POULLET, ibidem, n° 17.
362
      J. HUET et H. MAISL, op. cit., p. 393.
                                                                                                       139.-




            La livraison peut se définir comme la mise à la disposition de l'utilisateur de l'objet de sa
commande, de telle sorte que ce dernier puisse s'en servir compte tenu de sa nature et de sa
destination. Sauf stipulation contraire dans le contrat, la livraison d'un système informatique n'est
exécutée que si le système est mis à la disposition de l'utilisateur, dans ses locaux, que si le système a
été mis en ordre, c'est-à-dire positionné en liaison avec tous les éléments dont le système a besoin, que
si le système a été mis en place, c'est-à-dire alimenté du logiciel d'application selon le cas, et que si le
système a été mis en charge, c'est-à-dire mis en état de fonctionnement par l'utilisateur.

           Comment, pour certaines prestations, et notamment les prestations en logiciel spécifique,
ou en système clé en main, peut-on déterminer si le fournisseur à livré un système conforme à la
commande ?

            A cette question, on peut proposer un premier critère objectif en se référant exclusivement
aux spécifications techniques du contrat, si du moins celui-ci en comporte : le fournisseur a livré un
système conforme lorsque l'objet répond techniquement à ce qui avait été prévu dans le contrat.

             On peut répondre à la question en envisageant un critère subjectif : la spécification
fonctionnelle de l'objet ou de la prestation livrée. Le fournisseur aura rempli son obligation lorsque
l'objet ou la prestation est apte à rendre compte des besoins fonctionnels de l'utilisateur.

              Comment opérer le choix entre ces critères ? La réponse à cette question ne peut être
trouvée que dans l'interprétation des clauses du contrat et plus spécialement dans l'examen de
l'étendue des obligations contractuelles du fournisseur. Celui-ci peut très bien ne s'être engagé qu'à
livrer un système dont les caractéristiques ont été décrites ou encore, outre cette première obligation,
à livrer un système possédant certains caractéristiques fonctionnelles limitées mais précises 363 ou
mieux, il a peut-être promis un système apte à rendre compte de besoins fonctionnels précis décrits
par l'utilisateur.

            Il est rare de trouver un fournisseur informatique s'engageant à rendre compte de certains
besoins fonctionnels et il est au contraire fréquent de trouver dans les contrats informatiques une
exclusion formelle de toute "garantie implicite d'aptitude à l'exécution d'un travail donné". Pareille
exclusion écarte, en principe, la possibilité d'une appréciation de type fonctionnel, d'autant qu'elle est
souvent combinée avec une clause appelée "clause des quatre coins" qui rédigée le plus souvent
comme suit : "Le client reconnaît avoir pris connaissance du présent contrat et de toute annexe y
relative en toutes leurs dispositions écrites et imprimées et déclare en accepter les termes et
conditions. Il reconnaît, en outre, que ces documents constituent l'intégralité de l'accord intervenu
entre les parties, remplaçant ou annulant toutes propositions ou engagements écrits ou verbaux les
précédant et toutes autres communications entre les parties ayant trait au présent contrat".

             Devant pareilles clauses, il devient ardu de faire prendre en considération les engage-
ments ou les promesses faits par le fournisseur, à propos des qualités fonctionnelles du système,
lorsque ces engagements et promesses résultent d'éléments externes au contrat signé entre les parties
tels que la réclame, l'offre, les documents échangés lors des pourparlers, etc.


295.        Le fournisseur doit également garantir à l'utilisateur le bon fonctionnement du système
fourni. Cette garantie de bon fonctionnement correspond à la notion de garantie des "vices cachés".

363
      Par exemple, une capacité de mémoire, un temps de réponse, une vitesse de lecture, etc.
                                                                                                                  140.-




             Il est rare que la fourniture d'un système informatique donne lieu à l'application des règles
de la garantie contre les vices cachés. La raison en est certainement à rechercher entre le glissement
qui s'opère entre deux contrats : le contrat principal de fourniture d'un système et le contrat accessoire
de maintenance364, dès lors que la jurisprudence admet que le fournisseur peut subordonner la mise en
oeuvre de sa garantie à certaines conditions, notamment des obligations d'entretien ou certaines
conditions d'usage.

            Par ailleurs, le contrat informatique déroge souvent à la garantie légale des vices cachés et
la pratique a dégagé de nombreuses garanties conventionnelles de bon fonctionnement souvent
élisives ou limitatives de responsabilité. Ces limitations de garantie sont généralement considérées
comme valables lorsque le contrat est conclu entre "professionnels de la même spécialité" ou entre
des "personnes ayant une compétence technique comparable" ou encore avec un "utilisateur
professionnel". En d'autres termes, les clauses d'exonération ou limitatives de responsabilité seraient
valables lorsque l'utilisateur n'est pas "un consommateur", au sens commun de ce terme365 et il est
douteux que les utilisateurs professionnels de l'informatique puissent être assimilés à des consom-
mateurs366.

             La rareté des décisions rendues en matière de garantie de bon fonctionnement est
également due, à notre avis, au fait que l'on ne peut conclure à l'existence d'un vice caché à la seule
constatation que le système ne répond pas aux besoins de l'utilisateur. Si le système ne répond pas à
ces besoins, ce sera souvent la conséquence d'un manquement du fournisseur à son devoir de conseil.
Seul le mauvais état ou le défaut de fonctionnement du système met en jeu la garantie contre les vices
cachés. Tel sera le cas d'un logiciel conçu et écrit en dépit de ce que l'on pourrait dénommer les
"règles de l'art" en matière informatique367.


296.         A côté des deux obligations principales ci-dessus, on relèvera également, dans la phase
contractuelle, le devoir de collaboration du fournisseur et tout particulièrement la faculté d'adaptation
dont il doit faire preuve. Le fournisseur doit se plier à certaines exigences de l'utilisateur et,
notamment, il doit prendre en compte les modifications apportées à la définition de la prestation
jusqu'à la réalisation finale. Pour que cette obligation joue, il faut sans aucun doute que les
aménagements demandés par le client ne sortent pas du cadre de ce qui avait été prévu initialement,
c'est-à-dire, en d'autres termes, qu'il n'implique pas une conception nouvelle de la prestation368.


297.         Le fournisseur d'un système informatique, nous l'avons vu, a des obligations de conseil à
l'égard de l'utilisateur. L'exécution de ces obligations précède le choix des machines ou logiciels.
Elles s'étendent à la matière de la formation du personnel, à la réorganisation d'un service, à
l'adaptation du logiciel,...

            Ces obligations du fournisseur ne cessent pas après le contrat et continuent lors de la mise
au point du système, en vertu du devoir de collaboration du fournisseur.


364
    J. HUET et H. MAISL, op. cit., p. 400.
365
    T. BOURGOIGNIE, "Réalités et spécificités du droit de la consommation", J.T., 1979, p. 295 et 297.
366
    P. et Y. POULLET, ibidem, n°s 4 et 5.
367
    Utilisation d'un langage mal adapté, manque de mesures de contrôle élémentaires, absence d'instructions importantes,
etc.
368
    J. HUET et H. MAISL, op. cit., p. 349.
                                                                                                                  141.-


            Il est toutefois fréquent que ces obligations de conseil, doublées d'un engagement exprès
d'assistance technique, fassent l'objet d'une stipulation expresse complémentaire dans le cadre d'un
contrat de vente avec le fournisseur ou l'objet d'un contrat autonome, soit avec le fournisseur, soit
avec une tierce personne telle qu'une société de services et de conseils en informatique (désignée
habituellement en abrégé "SSCI") chargée par l'utilisateur de définir le système informatique
approprié à ses besoins et/ou de développer un logiciel d'application spécifique.

              Lorsque l'obligation de conseil est l'objet principal d'un contrat et non une obligation
accessoire, le juge sera normalement plus sévère dans l'appréciation de la responsabilité contractuelle
du conseiller 369 : le conseiller doit faire preuve d'une diligence toute particulière à l'égard de
l'utilisateur et s'entourer de toutes les informations disponibles et aussi récentes que possibles.

            Cette même obligation sera jugée également de façon plus sévère, dans le cadre de la
fourniture d'un système clé en main370.


298.        Quant à l'utilisateur, il doit mettre le fournisseur en mesure d'opérer la livraison. Il doit,
par conséquent, mettre les locaux à sa disposition et lui fournir les raccordements indispensables. Les
locaux doivent, en outre, être adaptés aux mesures de sécurité et de conditionnement usuelles. Les
contrats prévoient souvent, à cet égard, les modalités suivantes : "l'utilisateur fournira un local
approprié à l'installation et aménagé conformément aux spécifications du manuel d'installation
d'application. Le client fournira le personnel nécessaire au déballage et à la mise en place de chaque
machine à l'emplacement prévu...".


299.           L'utilisateur doit, en outre, collaborer avec le fournisseur pour permettre à ce dernier
d'exécuter son obligation. Ce qui signifie que l'utilisateur doit se montrer ouvert au dialogue dans la
phase d'exécution du contrat. Il ne peut adopter un comportement négatif, agir avec brusquerie, voire
légèreté, en prenant l'initiative d'une rupture unilatérale après l'échec des premiers tests de conformité
et refuser de nouveaux essais proposés par le fournisseur. Selon J. Huet et H. Maisl 371, pour des
contrats complexes dans leur élaboration comme dans leur mise en oeuvre, ce que sont souvent ceux
relatifs à l'informatique, cette exigence de collaboration et de dialogue est impérieuse et la patience et
la prudence s'impose à l'utilisateur dans ses rapports avec le fournisseur, alors même que la prestation
ne lui paraît pas répondre dans l'immédiat à son attente.


300.       Enfin, l'utilisateur doit évidemment payer le prix convenu dans les délais fixés. En vertu
des principes généraux applicables à la matière contractuelle, le prix doit être déterminé ou
déterminable d'après les éléments objectifs fixés par le contrat.

            Notons que, dans notre pays, les clauses d'indexation sont strictement réglementées. Les
contrats industriels et commerciaux ne peuvent contenir de clauses de révision de prix que dans la
mesure où celles-ci ne s'appliquent qu'à concurrence d'un montant maximum de 80 % du prix final et
se réfèrent à des paramètres représentant les coûts réels, chaque paramètre étant uniquement
applicable à la partie du prix correspondant au coût qu'il représente372.

369
    P. et Y. POULLET, ibidem, n° 40.
370
    J. HUET et H. MAISL, op. cit., p. 390.
371
    Op. cit., p. 389.
372
    Article 57, § 2, de la loi du 30 mars 1976 relative aux mesures de redressement économique, M.B. 1er avr. 1976.
                                         142.-




CHAPITRE VI : CRIMINALITÉ INFORMATIQUE


P.M.
                                              143.-




CHAPITRE VII : INFORMATIQUE ET DROIT SOCIAL


P.M.
                                                                             144.-




Principales abréviations

Ann.Dr.        Annales de Droit (Louvain)
A.I.R.         Arrêté royal d'exécution du Code des impôts sur les revenus
A.R.           Arrêté royal
Cass.          Cour de cassation
Cass.fr.       Cour de cassation de France
Ch.            Chambre des représentants
C.I.R.         Code des impôts sur les revenus
D.             Recueil hebdomadaire Dalloz
Doc.parl.      Documents parlementaires
Dr.inform.     Droit de l'informatique (et des télécoms)
Expertises     Expertises des systèmes d'information
J.C.B.         Jurisprudence commerciale de Belgique
J.L.M.B.       Revue de jurisprudence de Liège, Mons et Bruxelles
J.O.C.E.       Journal officiel des Communautés européennes
J.T.           Journal des tribunaux
J.T.T.         Journal des tribunaux du travail
M.B.           Moniteur belge
obs.           observations
Orientations   Orientations. Droit social - Gestion du personnel
Pas.           Pasicrisie
Pasin.         Pasinomie
R.C.J.B.       Revue critique de jurisprudence belge
R.D.S.         Revue de droit social
Rev.sc.crim.   Revue de science criminelle et de droit pénal comparé
Rev. T.V.A.    Revue de la T.V.A.
R.G.F.         Revue générale de fiscalité
R.I.D.E.       Revue internationale de droit économique
R.P.D.B.       Répertoire pratique du droit belge
R.W.           Rechtskundig Weekblad
Sem.jur.       La Semaine juridique (Jurisclasseur périodique)
Sén.           Sénat
T.P.R.         Tijdschrift voor privaatrecht
                                                                                                                                                                            145.-



                                                          TABLE DES MATIÈRES

AVANT-PROPOS ................................................................................................................................................................... 1
INTRODUCTION GÉNÉRALE .................................................................................................................................................. 7
I. EXISTENCE DU DROIT DE L'INFORMATIQUE .................................................................................... 7
II. TENTATIVE DE DÉFINITION DU DROIT DE L'INFORMATIQUE PAR SON OBJET ......... 9
III. CARACTÈRES DU DROIT DE L'INFORMATIQUE ......................................................................... 11
   CHAPITRE I :   INFORMATIQUE ET DROIT AU RESPECT DE LA VIE PRIVÉE - PROTECTION DE L'INDIVIDU CONTRE LES
   TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL.................................................................................................. 12
       Section 1 :      Notion et fondement du droit à la vie privée ..................................................................................... 12
       Section 2 :      Dangers de l'informatique ................................................................................................................. 13
       Section 3 :      Relativité du concept du droit au respect de la vie privée et relativité des dangers de l'informatique
                        18
       Section 4 :      Problématique d'une réglementation de l'informatique - aspects internationaux et nationaux .......... 21
       Section 5 :      Aperçu du droit positif belge en matière de banques de données et de protection des données à
       caractère personnel ................................................................................................................................................... 27
         Sous-section 1 : Existence des banques de données administratives .................................................................... 27
         Sous-section 2 : Registre national des personnes physiques ................................................................................. 28
            A. Historique ..................................................................................................................................................... 28
            B. Personnes concernées ................................................................................................................................... 29
            C. Données enregistrées .................................................................................................................................... 30
            D. Fonctionnement et communication des données .......................................................................................... 33
               a) Flux vertical de données, du registre national vers les communes et des communes vers le registre
               national ......................................................................................................................................................... 33
               b)       Flux horizontal, du registre national vers les autorités publiques, les organismes d'intérêt public, les
               organismes de droit belge remplissant des missions d'intérêt général et certains officiers ministériels ....... 34
               c) "Switching" ou transit obligatoire ......................................................................................................... 38
            E. Flux d'information résultant de l'usage du numéro d'identification .............................................................. 39
            F. Autres usages du numéro identifiant ............................................................................................................ 40
            G. Délai de conservation des données .............................................................................................................. 41
            H. Contrôle individuel et auto-contrôle ............................................................................................................ 41
               a) Contrôle individuel ............................................................................................................................... 41
               b)       Auto-contrôle .................................................................................................................................... 43
            I. Contrôle institutionnel ................................................................................................................................... 43
         Sous-section 3 : Banque-Carrefour de la sécurité sociale ..................................................................................... 44
            A. Historique ..................................................................................................................................................... 44
            B. Statut et missions de la Banque-Carrefour ................................................................................................... 46
            C. Liens entre la Banque-Carrefour et le Registre national - Sort du numéro identifiant ................................. 48
            D. Etendue du réseau - schéma et fonctionnement ........................................................................................... 49
            E. Mesures de protection de la vie privée ......................................................................................................... 50
               a) Mesures d'autocontrôle ......................................................................................................................... 51
               b)       Contrôle individuel ........................................................................................................................... 53
               c) Contrôle institutionnel .......................................................................................................................... 53
                  i. Comité de surveillance........................................................................................................................... 53
                  ii. Inspecteurs sociaux ............................................................................................................................... 56
                  iii. Commission de la protection de la vie privée ...................................................................................... 57
                  iv. Dispositions pénales ............................................................................................................................ 58
         Sous-section 5 : De la Centrale des risques à la Banque centrale des données ..................................................... 59
            A. Généralités ................................................................................................................................................... 59
            B. L'ancienne "Centrale des crédits à la consommation" .................................................................................. 60
            C. La Banque centrale des données .................................................................................................................. 60
         Sous-section 6 : Statistiques officielles ................................................................................................................. 65
            A. Caractères et historique ................................................................................................................................ 65
            B. Mesures de protection de la vie privée ......................................................................................................... 67
            C. Institut national de statistique et sondages d'opinion................................. Error! Bookmark not defined.70
       Section 6 :      La loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données
                                                                                                                                                                       146.-


     à caractère personnel : une réglementation d'ensemble de la protection de la vie privée à l'égard des banques de
     données         68
        Sous-section 1 : Généralités .................................................................................................................................. 68
        Sous-section 2 : Personnes à protéger ................................................................................................................... 71
        Sous-section 3 : Différents types de "fichiers" ou "banques de données" ............................................................. 74
        Sous-section 4 : Organisation des contrôles ......................................................................................................... 75
        Sous-section 5 : Distinction des fichiers publics et des fichiers privés ................................................................. 82
        Sous-section 6 : Diffusion et commercialisation des données .............................................................................. 87
        Sous-section 7 : Problèmes posés par les éditeurs d'adresses et les bureaux d'information spécialisés ............ 89
          A. Editeurs d'adresses et banques de données de marketing direct ................................................................... 89
          B. Bureaux spécialisés ...................................................................................................................................... 90
        Sous-section 8 : La loi du 8 décembre 1992 et la protection de la vie privée ....................................................... 92
          A. Portée et champ d'application de la loi du 8 décembre 1992 ....................................................................... 92
          B. L'application de la loi du 8 décembre 1992 dans l'espace ............................................................................ 94
          C. La mise en oeuvre des principes de protection ............................................................................................. 95
          D. Les obligations du responsable du traitement .............................................................................................. 98
          E. L'information du fiché et le contrôle individuel ......................................................................................... 100
          F. Auto-contrôle .............................................................................................................................................. 102
          G. Le contrôle institutionnel ........................................................................................................................... 103
          H. Les peines .................................................................................................................................................. 104
          I. Les décisions automatisées .......................................................................................................................... 105
          J. La responsabilité présumée du responsable du traitement........................................................................... 105
  CHAPITRE II :      EVOLUTION DU DROIT SOUS L'INFLUENCE DE L'INFORMATIQUE ....................................................... 106
  CHAPITRE III : INFORMATIQUE ET PROPRIÉTÉ INDUSTRIELLE .................................................................................. 109
     Section 1 : Généralités ............................................................................................................................................ 109
     Section 2 : Brevets d'invention ............................................................................................................................... 109
     Section 3 : Droits d'auteur ....................................................................................................................................... 111
     Section 4 : Oeuvres fabriquées ou produites par ordinateur ................................................................................... 120
     Section 5 : Banques de données .............................................................................................................................. 121
     Section 6 : Protection de la propriété intellectuelle par les contrats ....................................................................... 123
     Section 7 : Protection des topographies des produits semi-conducteurs ................................................................. 123
        Sous-section 1 : Directive communautaire du 16 décembre 1986 ...................................................................... 123
        Sous-section 2 : La loi belge du 10 janvier 1990 ................................................................................................ 125
          A. Topographies protégées ............................................................................................................................. 125
          B. Titulaires de la protection ........................................................................................................................... 126
          C. Etendue de la protection ............................................................................................................................. 127
          D. Entrée en vigueur ....................................................................................................................................... 128
          E. Sanctions .................................................................................................................................................... 128
  CHAPITRE IV : INFORMATIQUE ET RÉGLEMENTATION DE LA PREUVE - LE FORMALISME ......................................... 129
  CHAPITRE V :       CONTRATS INFORMATIQUES ............................................................................................................ 130
     Section 1 : Généralités ............................................................................................................................................ 130
     Section 2 : Qualification des contrats informatiques .............................................................................................. 132
     Section 3 : Négociation et exécution des contrats informatiques ............................................................................ 136
        Sous-section 1 : Actes préparatoires au contrat ou "période précontractuelle" ................................................... 136
        Sous-section 2 : Exécution du contrat ou "période contractuelle" ...................................................................... 138
  CHAPITRE VI : CRIMINALITÉ INFORMATIQUE .......................................................................................................... 142
  CHAPITRE VII : INFORMATIQUE ET DROIT SOCIAL ....................................................................................................... 143
Principales abréviations .................................................................................................................................................. 144

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:21
posted:8/20/2011
language:French
pages:146