Vous êtes sur la page 1sur 59

Gestion et protection des donnes

caractre personnel
dans la relation de travail

Karen Rosier
Avocate au barreau de Namur
Chercheuse au Centre de Recherche Information, Droit et Socit (CRIDS) F.U.N.D.P.
Assistante la facult de droit des F.U.N.D.P.

Introduction1

1. La lgislation en matire de protection des donnes devenue


incontournable
1. Linformatisation des entreprises et des administrations a entran une
rvolution dans la gestion des informations. Il est indniable quactuellement,
la plupart des entreprises grent les donnes dont elles ont besoin pour leur
fonctionnement grce loutil informatique. Quil sagisse denregistrer des
donnes, de les rechercher, de les communiquer, lordinateur et linternet sont
devenus incontournables. Ceci inclut galement la gestion des donnes rela-
tives aux membres du personnel. Lune des consquences de cette volution
est que lapplication de la loi sur les donnes caractre personnel est elle aussi
devenue incontournable2.
2. Tant dans le cadre du processus de recrutement, quau cours de lexcu-
tion du contrat ou mme lorsque le contrat a pris fin, lemployeur est tenu de
respecter certaines rgles lorsquil traite des donnes caractre personnel rela-
tives des travailleurs. En effet, la loi du 8dcembre 1992 relative la protec-

1 Lauteur tient remercier chaleureusement le Professeur Ccile de Terwangne pour ses judicieuses sug
gestions.
2 Pour une autre contribution consacre la question du traitement des donnes caractre personnel
dans le contexte de la relation de travail, voyez E.Plasschaert et J.A.Delcorde, Le traitement des
donnes personnelles des travailleurs, Orientations,nospcial 35ans, mars 2005, pp.26 ets.

anthemis 61
Utilisation de loutil informatique et des TIC

tion de la vieprive lgard des traitements de donnes caractre personnel3


et son arrt royal dexcution du 13fvrier 20014 qui dterminent certaines
conditions et limites au traitement de donnes sont entirement applicables au
secteur professionnel.

2. La protection de donnes plus que de la vieprive


3. La lgislation relative la protection des donnes ne date pas dhier. La
loi relative la protection de la vieprive lgard du traitement des donnes
caractre personnel a t adopte le 8dcembre 19925. Elle a t profon-
dment remanie par la loi du 11dcembre 1998 pour transposer la directive
95/46/CE du Parlement europen et du Conseil, du 24octobre 1995, relative
la protection des personnes physiques lgard du traitement des donnes
caractre personnel et la libre circulation de ces donnes6-7. Cette directive
poursuit un double objectif: celui de permettre la libre circulation des don-
nes caractre personnel entre tats membres et au sein des tats membres,
dune part, et celui de prserver un niveau de protection de la vieprive des
personnes physiques satisfaisant, en conformit avec les exigences de larticle8
de la Convention europenne des droits de lhomme et des liberts fondamen-
tales, dautre part.
4. La protection quoffre la lgislation relative au traitement de donnes
caractre personnel va cependant au-del de la protection de la sphre prive.
En effet, cette lgislation entend protger, dans certains traitements, toute
donne ds lors quelle a trait une personne physique identifie ou iden-
tifiable. De ce fait, sont galement concernes les donnes relatives au milieu
professionnel.
5. Par ailleurs, il y a lieu dviter la confusion, frquemment faite, entre
protection des donnes caractre personnel et obligation de confidentialit.
La lgislation sur la protection des donnes, inspire par la directive 95/46/

3 M.B., 18mars 1993.


4 M.B., 13mars 2001.
5 Et sinspirait des travaux du Conseil de lEurope qui avaient dj dessin les contours de cette lgislation
dans la Convention no108 pour la protection des donnes (Convention pour la protection des per
sonnes lgard du traitement des donnes caractre personnel, STE No108, le 28janvier 1981, entre
en vigueur le 1eroctobre 1985).
6 M.B., 3fvrier 1999. La loi du 11dcembre 1998 transpose la directive 95/46/CE relative la protection
des personnes physiques lgard du traitement des donnes caractre personnel et la libre circu
lation des donnes. Les modifications apportes par la loi du 11dcembre 2008 la loi du 8dcembre
1992 ne sont cependant entres en vigueur quen 2001. Lentre en vigueur tait en effet subordonne
ladoption de mesures dexcution dans un arrt royal qui ne fut promulgu que le 13fvrier 2001.
7 Le droit la protection des donnes caractre personnel est dsormais explicitement consacr lar
ticle8 de la Charte des droits fondamentaux de lUnion europenne.

62 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

CE a pour objet dautoriser le traitement de donnes caractre personnel


moyennant le respect de certaines conditions. La confidentialit vise res-
treindre lusage de donnes en en interdisant la communication des tiers. Si
la lgislation relative la protection des donnes soumet la communication de
donnes caractre personnel certaines conditions (dont, dans certains cas,
une obligation den assurer la confidentialit), elle ne se rduit pas une pro-
blmatique de confidentialit.

3. Une lgislation difficile appliquer? Quelques repres


6. Afin dassurer un quilibre entre la protection des donnes caractre
personnel et la ncessit de pouvoir traiter ces donnes dans le cadre de la
vie conomique et sociale, la lgislation adopte repose essentiellement sur
des principes impliquant une pondration des intrts en prsence au cas par
cas. Cette approche prsente lavantage dune rgulation suffisamment abstraite
que pour pouvoir sappliquer tous les secteurs dactivits et tous les cas de
figure. Elle fait toutefois peser sur les personnes censes lappliquer le devoir et
le risque de lapplication concrte des dispositions de la loi.
7. Ceci tant, il existe une certaine logique dans la loi qui sarticule essen-
tiellement autour de trois principes: finalit, proportionnalit et transparence.
Le principe de finalit implique que lutilisation de donnes caractre per-
sonnel ne puisse tre faite que pour des finalits, prcises et dtermines
lavance. Le second principe, de proportionnalit, est directement en lien avec
le premier puisquen dcoule lexigence dune lgitimit dans la finalit duti-
lisation. Ce principe impose galement lobligation de ne traiter que les don-
nes qui sont ncessaires et pertinentes pour raliser la finalit dtermine et
de supprimer les donnes ds quelles ne sont plus ncessaires. Pour assurer la
transparence du traitement, la personne qui traite les donnes devra fournir
certaines informations aux personnes concernes8 et faire une dclaration de
traitement auprs la Commission de la protection de la vieprive9. Parmi ces
informations, figurent la ou les finalits dutilisation des donnes.
8. De plus, il a t instaur dans chaque tat de lUnion europenne une
autorit de contrle charge de surveiller lapplication, sur son territoire, des
dispositions adoptes par les tats membres en application de la directive
europenne10. En Belgique, il sagit de la Commission de la protection de la
vieprive qui met des avis et des recommandations sur des problmatiques

8 Art.9 de la loi du 8dcembre 1992.


9 Art.17 de la loi du 8dcembre 1992. Il existe cependant des exceptions ces obligations, dfinies par
larrt royal dexcution du 13fvrier 2001 (art.51 et s. de lA.R. du 13fvrier 2001).
10 Art.28 de la Directive 95/46/CE.

anthemis 63
Utilisation de loutil informatique et des TIC

particulires poses par lapplication de cette loi. Ces avis et recommandations


sont librement consultables sur le site internet de la Commission11. Il peut
donc tre fait appel cette Commission pour obtenir des prcisions et expli-
cations en cas de doute sur lapplication de la loi. On soulignera encore quun
travail de rflexion sur la manire dappliquer la lgislation de la protection
des donnes est galement men au niveau europen, notamment par le biais
du groupe dit de lArticle29. Ce groupe, qui tient son nom du fait quil a t
institu par larticle 29 de la directive 95/46/CE, est un organe consultatif
europen, compos en autres de reprsentants de chaque autorit de contrle
des tats membres et qui rend des avis publis sur un site internet12. Les avis
et autres documents de travail du Groupe de lArticle29 et de la Commission
de la protection de la vieprive nont pas de force contraignante mais peuvent
tre utiles linterprtation de la lgislation sur la protection des donnes.

4. Objet de notre propos


9. La prsente contribution se concentrera sur les implications que peut
avoir la lgislation relative la protection des donnes dans le cadre de la
relation de travail. tant donn les problmatiques nombreuses et varies qui
peuvent graviter autour de ce thme, nous nous concentrerons plus particuli-
rement sur le traitement mis en uvre par lemployeur, portant sur des donnes
relatives aux travailleurs et sur la participation du travailleur aux traitements mis
en uvre dans lentreprise. Il reste toutefois quil existe a et l, au sein de
lgislations distinctes de la loi du 8dcembre 1992 et des arrts dexcution,
de nombreuses lois et rglementations qui contiennent des dispositions portant
directement ou indirectement sur la protection des donnes, notamment dans
le secteur des relations de travail13. Nous ne pourrons toutes les voquer.
10. La premire partie de cette contribution se propose daborder la loi sous
un angle pragmatique, en dfinissant pas pas les questions se poser ds avant
la mise en uvre dun traitement de donnes. Nous nous loignerons donc de
la structure de la loi pour privilgier une prsentation des problmatiques dans
lordre o elles peuvent logiquement se poser lorsque lemployeur envisage un
traitement de donnes.
Dans un premier temps, nous nous emploierons exposer les critres
retenus par la loi pour son application matrielle et territoriale ce qui nous
permettra de rpondre la questionde savoir si la loi du 8dcembre 1992

11 www.privacycommission.be.
12 http://ec.europa.eu/justice/policies/privacy.
13 Voy. notamment les C.C.T. no68, 81 et 100 et la loi du 28janvier 2003 relative aux examens mdicaux
dans le cadre des relations de travail.

64 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

sapplique ou non des oprations concrtement envisages dans le cadre


dun traitement de donnes. Nous nous pencherons ensuite sur les dispositions
lgales qui pourraient empcher, dans son principe mme, la mise en uvre
dun traitement. Si lesprit de la loi est dautoriser le traitement de donnes
caractre personnel moyennant le respect de certains principes et conditions,
tout traitement nest toutefois pas permis. Cette seconde section nous permet-
tra donc de dterminer si le traitement, tel quenvisag, ne contrevient pas
une disposition de la loi. Dans une troisime section, nous nous attacherons
passer en revue les conditions et principes poss par la loi pour la mise en
uvre du traitement. Il sagira donc de faonner un traitement de donnes
pour en assurer la conformit par rapport aux exigences lgales. La dernire
section sera consacre aux droits des personnes concernes par le traitement.
Lemployeur qui met en uvre un traitement de donnes doit tre en mesure
dassurer un exercice effectif des droits des travailleurs concerns.
La seconde partie de notre contribution voquera succinctement la pro-
blmatique du respect de la loi du 8dcembre 1992 sous un autre angle: celui
du rle et des responsabilits du travailleur qui, dans le cadre de ses prestations,
met en uvre le traitement de donnes ralis par son employeur.

Chapitre1
Le travailleur sujet du traitement de donnes

tape 1
Vrifier si la loi sur la protection des donnes
sapplique
11. Ds lors que lemployeur a lintention de faire usage de donnes portant
sur un ou plusieurs travailleurs, il convient de se poser la question de lappli-
cation de la loi du 8dcembre 1992. Cette loi ne prvoit pas de systme pour
remdier une irrgularit et rendre le traitement lgal si toutes les conditions
poses par elle pour le traitement de donnes caractre personnel nont pas
t respectes ds le dbut de ce traitement; do limportance de considrer
ces questions de protection des donnes caractre personnel ds avant la mise
en uvre dun traitement.
12. La loi du 8dcembre 1992 consacre le principe de responsabilit civile
du responsable de traitement en cas de non-respect de ses dispositions. Ainsi,
lorsque la personne concerne subit un dommage caus par un acte contraire

anthemis 65
Utilisation de loutil informatique et des TIC

aux dispositions dtermines par ou en vertu de la loi du 8dcembre 1992,


le responsable du traitement est tenu de rparer le dommage qui en a rsult
dans le chef de cette personne. Il est toutefois exonr de cette responsabilit
sil prouve que le fait qui a provoqu le dommage ne lui est pas imputable14.
Il nest pas inutile de pointer, par ailleurs, que le non-respect de la plupart des
dispositions de la loi du 8dcembre 1992 est sanctionn pnalement.
Au regard de ce qui prcde, on comprend que la gestion des don-
nes des travailleurs par lemployeur implique la prise en compte de la loi du
8dcembre 1992.
13. Afin de se conformer celle-ci, il nous semble ncessaire de se poser, ds
avant la mise en uvre dun traitement, les bonnes questions. La premire est
de vrifier si la loi du 8dcembre 1992 sapplique, ce qui implique quil y ait
un traitement de donnes caractre personnel mis en uvre par un respon-
sable de traitement agissant dans le cadre dun tablissement situ sur le ter-
ritoire belge ou tabli hors de lUnion europenne mais utilisant des moyens
localiss sur le territoire belge.

Section1
A-t-on affaire un traitement de donnes caractre
personnel?
14. La loi du 8dcembre 1992 sapplique tout traitement totalement ou
partiellement automatis (par des moyens lectroniques) et aux traitements
manuels (travail sur des fichiers papier ou microfiches)15 ds que, dans ce der-
nier cas, les donnes caractre personnel sont contenues ou appeles figurer
dans un fichier.

A. Quelques notions cls

1. Quentend-on par donne caractre personnel?


15. Une donne caractre personnel est toute information qui concerne
une personne physique identifie ou identifiable (que lon appellera la per-
sonne concerne)16.
Linformation peut tre de toute nature: il peut sagir dun nom, dune
photographie, dune image vido, dune empreinte digitale, dun clich dADN,

14 Art. 15bis de la loi du 8dcembre 1992.


15 Art.3 de la loi du 8dcembre 1992.
16 Art.1, 1erde la loi du 8dcembre 1992.

66 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

dun numro de compte en banque, dun enregistrement vocal, etc. Par ailleurs,
il peut sagir tant dinformations objectives telles que le nom ou la situation
familiale dune personne que de donnes subjectives tels des avis ou apprcia-
tions se rapportant cette personne17.
Le Groupe de lArticle29 a ainsi prcis cet gard que:
Le champ dapplication de cette dfinition implique que la notion de donne
personnelle peut inclure non seulement les donnes administratives ou qui
rsultent de facteurs objectifs pouvant tre vrifis ou rectifis, mais aussi
tout autre lment, information ou circonstance ayant un contenu informatif
susceptible de fournir des lments de connaissance supplmentaires lgard
dune personne identifie ou identifiable.
Des donnes caractre personnel peuvent donc se retrouver dans le cadre
dvaluations et jugements subjectifs, qui peuvent justement inclure des l-
ments spcifiques caractrisant lidentit physique, physiologique, mentale,
conomique, culturelle ou sociale de la personne concerne. Ceci vaut aussi
lorsquun jugement ou une valuation est exprime sous forme de points, ou
dune chelle de valeurs, ou dautres paramtres dvaluation. Ceci peut rev-
tir une importance particulire lorsque le traitement de donnes personnelles
est effectu dans le but dvaluer laptitude des employs pour un poste dter-
min, ce qui pourrait conduire des discriminations ou bien une valuation
incorrecte de lemploy sur base dinformations incompltes18.

16. Quant au contenu des informations, il importe peu que les donnes
soient publiques ou secrtes, quelles soient relatives la sphre prive, publique
ou professionnelle. Enfin, le support de linformation est galement indiffrent:
linformation peut se trouver sur papier, sous format lectronique ou num-
rique.
17. La donne doit concerner une personne physique, lexclusion des per-
sonnes morales (socits, associations, personnes de droit public,). En outre,
les informations relatives la famille dun individu peuvent dans certaines cir-
constances tre considres comme des donnes caractre personnel concer-
nant cet individu. En ce sens, le Groupe de travail de lArticle 29 prcise
que Les informations concernent une personne lorsquelles ont trait
cette personne, et une valuation simpose la lumire de lensemble des cir-
constances du cas despce. Par exemple, les rsultats dune analyse mdicale
concernent manifestement le patient, tout comme les informations contenues

17 Groupe de lArticle29, Avis 4/2007 sur le concept de donnes caractre personnel, WP 136, 20juin
2007, p.7, http://ec.europa.eu/justice/policies/privacy.
18 Groupe de lArticle29, Recommandation 1/2001 concernant les donnes dvaluation des employs,
WP 42, 22mars 2001, p.2, http://ec.europa.eu/justice/policies/privacy.

anthemis 67
Utilisation de loutil informatique et des TIC

dans le dossier au nom dun certain client concernent celui-ci19. Le Groupe


de travail de lArticle29 indique encore en ce sens que dans le cas de donnes
enregistres dans le dossier personnel dun employ dans un service du person-
nel, il sagit clairement de donnes concernant la situation de la personne en
sa qualit demploy20.
18. Pour tre qualifie de donne caractre personnel, linformation doit
concerner une personne identifie ou identifiable, peu importe la nationalit de
celle-ci. Autrement dit, sont considres comme donnes caractre person-
nel:
les informations immdiatement lies une personne identifie.
Ainsi toutes les informations qui sont associes une personne identi-
fie sont des donnes caractre personnel. Il peut sagir, par exemple,
des coordonnes dun travailleur, de son adresse email, de ses donnes
fiscales et sociales, de son curriculum vitae, des rapports dvaluation le
concernant, de sa photographie, de son examen davancement, etc.;
les informations relatives une personne dont on ne connat pas liden-
tit mais qui pourrait, dans labsolu, tre identifie soit par celui qui traite
les donnes en question, soit par un tiers.
cet gard, larticle1erde la loi du 8dcembre 1992 prcise que est
rpute identifiable une personne qui peut tre identifie, directement
ou indirectement, notamment par rfrence un numro didentifica-
tion ou un ou plusieurs lments spcifiques, propres son identit
physique, physiologique, psychique, conomique, culturelle ou sociale.
Le considrant 26 de la directive 95/46/CE indique que pour dtermi-
ner si une donne est ou non identifiable, il faut avoir gard aux moyens
susceptibles dtre raisonnablement mis en uvre, soit par le responsable
du traitement, soit par une autre personne, pour identifier ladite per-
sonne. Il sagit donc dune apprciation in abstracto, lide tant que si
le responsable du traitement ne peut lui-mme immdiatement trouver
lidentit de la personne, un tiers pourrait tre mme de la lui rvler.
Sont ainsi considres comme donnes caractre personnel, une plaque
dimmatriculation, les traces ADN, les images dune bande vido mme
si lon na pas identifi les personnes qui y apparaissent. Constituent ga-
lement des donnes caractre personnel les donnes codes cest--dire
les donnes qui ne peuvent tre mise en relation avec une personne

19 Groupe de lArticle29, Avis 4/2007 sur le concept de donnes caractre personnel, WP 136, 20juin
2007, p.11, http://ec.europa.eu/justice/policies/privacy.
20 Groupe de lArticle29, Avis 4/2007 sur le concept de donnes caractre personnel, WP 136, 20juin
2007, p.10, http://ec.europa.eu/justice/policies/privacy.

68 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

identifie ou identifiable que par lintermdiaire dun code21. Le fait


quune adresse IP puisse tre considre comme donne caractre per-
sonnel est discut. Le Groupe de lArticle29 prconise que ladresse IP
soit considre comme une donne caractre personnel lorsquil est
possible quun lien puisse tre tabli entre une personne et ladresse, le
cas chant par lintermdiaire du fournisseur daccs22.

19. On oppose aux donnes caractre personnel les donnes anonymes


cest--dire les donnes qui ne peuvent pas ou plus tre mises en relation avec
une personne identifie ou identifiable23. Le traitement des donnes anonymes
nest soumis aucune condition lgale. En revanche, les oprations par les-
quelles une donne caractre personnel est rendue anonyme constituent un
traitement de donnes caractre personnel et sont soumises au respect des
conditions lgales.
Les donnes statistiques et agrges sont typiquement des donnes anonymes,
car elles ne permettent gnralement plus lindividualisation et lidentifica-
tion des personnes concernes lorigine par ces donnes. Il nest cepen-
dant pas exclu que des donnes statistiques puissent constituer des donnes
caractre personnel partir du moment o une identification reste possible.
Prenons lexemple dune enqute statistique ralise au sein dune entreprise
et destine vrifier la corrlation entre lutilisation de moyens de transport
et les arrives tardives le matin en entreprise. Si les rsultats sont prsents
dpartement par dpartement et que les paramtres choisis sont particuli-
rement identifiants parce quil est possible quune seule personne rponde
ce critre, il pourrait tre ais de trouver qui se cache derrire une donne
statistique. Par exemple, les rsultats statistiques aux termes desquels sur le
dpartement RH, il y a un taux de retard de 15% pour les personnes qui
viennent au travail en moto ne sont pas des donnes anonymes sil ny a
quune seule personne de ce dpartement qui se rend au travail en moto, cette
personne pouvant facilement tre identifie. Ces donnes doivent alors tre
traites comme des donnes caractre personnel24.

2. Quentend-on par traitement de donnes?


20. La notion de traitement de donnes caractre personnel est trs large.
Elle recouvre toute opration ou ensemble doprations effectues ou non
laide de procds automatiss et appliques des donnes caractre per-

21 Art.1, 3 de lA.R. du 13fvrier 2001.


22 Groupe de lArticle29, Avis 4/2007 sur le concept de donnes caractre personnel, WP 136, 20juin
2007, p.18, http://ec.europa.eu/justice/policies/privacy.
23 Art.1, 5 de lA.R. du 13fvrier 2001.
24 Commission de la protection de la vie prive, Avis 37/2001 concernant lenqute socio-conomique
2001, 8octobre 2001, www.privacycommission.be.

anthemis 69
Utilisation de loutil informatique et des TIC

sonnel, telles que la collecte, lenregistrement, lorganisation, la conservation,


ladaptation ou la modification, lextraction, la consultation, lutilisation, la
communication par transmission, diffusion ou toute autre forme de mise
disposition, le rapprochement ou linterconnexion, ainsi que le verrouillage,
leffacement ou la destruction de donnes caractre personnel25.
21. Bien que cela ne ressorte pas explicitement du texte de la loi, il nous
semble que les termes traitement de donnes sont gnralement utiliss pour
dsigner un ensemble doprations techniques qui poursuivent une ou plu-
sieurs finalits dfinies. Cest ainsi que, dun point de vue pratique, lorsquune
personne doit dclarer un traitement de donnes la Commission de la pro-
tection de la vieprive, il lui est propos des catgories de finalits pour dfinir
le traitement dclar. Aussi parlera-t-on du traitement de donnes effectu par
une entreprise pour la gestion de sa comptabilit pour englober toutes les op-
rations (enregistrement, suppression, communication,) mises en uvre dans
le but de raliser la comptabilit de lentreprise.

3. Quentend-on par fichier?


22. Un fichier est tout ensemble structur de donnes caractre person-
nel accessibles selon des critres dtermins, que cet ensemble soit centralis,
dcentralis ou rparti de manire fonctionnelle ou gographique26. Il peut
sagir tant dun fichier lectronique (sur ordinateur) que dun fichier papier.
Ce qui est dterminant pour la qualification de fichier papier, cest lexistence
dune structure logique permettant le traitement systmatique des donnes
qui y sont contenues (consultation, diffusion, effacement,). Ainsi, un simple
dossier thmatique qui ne permet pas ce traitement de donnes systmatique
ne peut tre qualifi de fichier au sens de la loi du 8dcembre 199227.

B. Champ dapplication matriel de la loi

23. La loi du 8dcembre 1992 sapplique tout traitement de donnes


caractre personnel automatis en tout ou en partie, ainsi qu tout traitement
non automatis de donnes caractre personnel contenues ou appeles
figurer dans un fichier28.
Avec lavnement de lutilisation de linformatique, la loi devient incon-
tournable: ds que des donnes caractre personnel font lobjet dun traite-
ment de texte informatique, la loi trouve sappliquer. Elle ne sappliquera pas

25 Art. 1er, 2 de la loi du 8dcembre 1992.


26 Art. 1er, 3 de la loi du 8dcembre 1992.
27 Cass., 16mai 1997, J.T., 1997, p.779.
28 Art.1, 1 de la loi du 8dcembre 1992.

70 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

uniquement dans lhypothse o diffrentes oprations de traitement sur des


donnes caractre personnel interviennent sans quune opration informa-
tique soit faite et sans que les donnes ne soient incluses dans un fichier papier.
Linsertion de donnes caractre personnel sur un site internet emporte
application de la loi du 8dcembre 199229, tout comme lusage du courrier
lectronique ou la communication de fichiers lectroniques.
La question de lapplication de la loi du 8 dcembre 1992 sest galement
pose dans le cadre du dpistage par lemployeur de consommation de
drogue et dalcool dans le chef de travailleurs. La C.C.T. no100 prvoit en
son article4, 6 que Le traitement des rsultats de tests de dpistage dalcool
ou de drogues en tant que donnes personnelles dans un fichier est inter-
dit. Cette interdiction nenlve rien au fait, selon nous, que ds lors que les
rsultats des tests font lobjet dun traitement - ne serait-ce que partiellement
automatis -, la loi du 8dcembre 1992 sera applicable30. Autrement dit, le
fait que lon exclue le traitement dans le cadre dun fichier nimplique pas
que la loi ne trouvera pas sappliquer dans la mesure o les donnes seraient
intgres dans un traitement automatis au sens de la loi.

Le contexte dans lequel le traitement de donnes a lieu est, quant lui,


indiffrent de sorte que la loi sapplique tant aux autorits publiques quaux
personnes morales de droit priv, aux associations de fait, etc., et ce indpen-
damment de lactivit mene31.
Ds lors quun employeur traite, en tant que responsable de traitement,
des donnes (informations crites, photographies, images vido, empreintes
digitales,) relatives ses travailleurs, quil sagisse dun enregistrement, dune
communication ou de la simple conservation de donnes caractre personnel,

29 Arrt de la C.J.C.E. 101/01 (dit arrt Bodil Lindqvist), 6novembre 2003, disponible sur le site http://curia.
eu.int. Larrt Lindqvist C-101/01 de la C.J.C.E. a rappel, propos de la mise en ligne dinformations sur
internet, que ds lors que lon recourt des moyens automatiss, il nest pas ncessaire que les donnes
soient rassembles sous forme de fichier pour que la loi sapplique (C. de Terwangne, Affaire Lindqvist
ou quand la Cour de justice des Communauts europennes prend position en matire de protection
de donnes caractre personnel, obs. sous C.J.C.E., 6novembre 2003, R.D.T.I., 2004, no19, p.83).
30 Voy. en ce sens, P.De Hert et R. Saelens, Oeps, de privacy vergeten, Juristenkrant, 27mai 2009, p.10.
31 Toutefois, la loi du 8dcembre 1992 ne sapplique pas lorsque le traitement est effectu par une personne
physique pour lexercice dactivits exclusivement personnelles ou domestiques (art.3, 2 de la loi du
8dcembre 1992). La loi contient galement des exclusions partielles. Certaines des dispositions de la
loi ne sont pas applicables aux traitements de donnes caractre personnel effectus aux seules fins de
journalisme ou dexpression artistique ou littraire lorsque le traitement se rapporte des donnes ren
dues manifestement publiques par la personne concerne ou sur des donnes qui sont en relation troite
avec le caractre public de la personne concerne ou du fait dans lequel elle est implique (Cf. art.3, 3
de la loi du 8dcembre 1992). Dautres exclusions partielles de la loi en considration de lidentit de
lauteur du traitement ont galement t adoptes. De telles exemptions partielles sont en effet notam
ment prvues pour la sret de ltat (art.3, 4), les autorits publiques dans le cadre de leur missions de
police judiciaire (art.3, 5) ou encore le Centre europen pour enfants disparus et sexuellement exploits
(art.3, 6).

anthemis 71
Utilisation de loutil informatique et des TIC

il est tenu de se conformer aux conditions qui permettent de garantir la trans-


parence et la lgitimit des traitements.

Section2
La loi belge est-elle applicable?
24. Il existe deux critres dapplication territoriale. Le critre principal retenu
pour lapplication de la loi du 8 dcembre 1992 est le lieu dtablissement
du responsable du traitement sur le territoire belge dans le cadre des activits
duquel le traitement est effectu (point A.). Si le responsable de traitement nest
pas localis sur le territoire belge, la loi belge sera tout de mme applicable dans
la mesure o le responsable de traitement fait usage de moyens localiss sur le
territoire belge pour mettre en uvre le traitement de donnes (point B.).

A. Critre du lieu dtablissement du responsable du


traitement

25. La loi du 8 dcembre 1992 sapplique lorsque le traitement est effec-


tu dans le cadre des activits relles et effectives dun tablissement fixe du
responsable du traitement sur le territoire belge ou en un lieu o la loi belge
sapplique en vertu du droit international public32.

1. Qui est le responsable du traitement?


26. La loi du 8dcembre 1992 distingue plusieurs acteurs dans le cadre de trai-
tement de donnes. Outre le responsable de traitement, la loi dfinit les notions de
tiers33, de destinataire et de sous-traitant. Cest souvent la notion de sous-
traitant que lon oppose celle de responsable du traitement, le sous-traitant tant la
personne qui, sans tre place sous lautorit directe du responsable du traitement,
traite des donnes caractre personnel pour le compte de ce dernier34.
27. Il est primordial de pouvoir dterminer qui est le responsable du traite-
ment (anciennement appel matre de fichier sous la mouture de la loi du
8 dcembre 1992 avant sa rvision de 1998), et ce dautant plus que cest

32 Art. 3bis, 1, de la loi du 8dcembre 1992.


33 Le terme tiers vise les personnes qui ne sont pas impliques dans le traitement de donnes tandis que
le terme destinataire dsigne les personnes qui les donnes sont communiques, que ces destina
taires soient ou non par ailleurs tiers au traitement (art.1, 6 et 7 de la loi du 8dcembre 1992). Ainsi,
le dpartement dune entreprise peut tre considr comme destinataire de donnes quand bien mme
il ne sagit pas dun tiers puisquil dpend de lentreprise responsable du traitement (Expos des motifs
de la loi du 8dcembre 1992, Doc. Parl., Ch. repr., sess. ord. 1997-1998, no1566/1, p.16).
34 Art.1, 5 de la loi du 8dcembre 1992.

72 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

lui quincombent, par ailleurs, la plupart des obligations dfinies par la loi du
8dcembre 1992. Il convient de distinguer cet gard deux hypothses:
a. Le traitement est prvu dans un texte lgal: dans ce cas la loi du 8dcembre 1992
dispose que lorsque les finalits et les moyens du traitement sont dtermins
par ou en vertu dune loi, dun dcret ou dune ordonnance, le responsable
du traitement est la personne physique, la personne morale, lassociation de
fait ou ladministration publique dsigne comme responsable du traitement
par ou en vertu de cette loi, de ce dcret ou de cette ordonnance35.
b. Dans tous les autres cas: le responsable du traitement est la personne
physique ou morale, lassociation de fait ou ladministration publique
qui, seule ou conjointement avec dautres, dtermine les finalits et les
moyens du traitement de donnes caractre personnel36.

La qualit de responsable de traitement dpend donc, dans ce second


cas, dune situation de fait: il convient pour chaque traitement de dterminer
qui se charge ou a le pouvoir de dcider des finalits du traitement ainsi que
des moyens mis en uvre pour le raliser. Il peut sagir de plusieurs personnes
lorsquelles participent toutes la dtermination des finalits et des moyens de
traitement. Dans ce cas, elles sont coresponsables de traitement.
Il est possible de dterminer dans un contrat qui sera le responsable dun
traitement. Dans ce cas, il est convenu entre parties que la personne dsigne
aura le pouvoir de dcision et assumera les responsabilits qui incombent
un responsable de traitement. Ceci tant, il conviendra toujours davoir gard
la situation de fait. Sil savre que dans les faits, cest une autre personne
qui dtermine les finalits et moyens de traitement, cette dernire sera consi-
dre comme la responsable du traitement aux yeux des tiers.En effet, la loi
du 8dcembre 1992 tant dordre public, on ne peut choisir par contrat de
dsigner comme responsable de traitement une autre personne que celle qui
simpose au regard des critres dfinis par la loi du 8dcembre 1992.
28. Il nest pas toujours ais de dterminer qui est le responsable du traitement.
titre dillustration, prenons lexemple dun projet dans lequel diffrentes
entits sont impliques. Plusieurs cas de figure peuvent se prsenter:
a.En cas de projet confi par une entit A une entit B, qui est responsable des trai-
tements de donnes caractre personnel mis en uvre pour lexcution du projet?
Lentit A ne sera le responsable du traitement que dans la mesure o cest elle qui
dfinit concrtement les finalits et les moyens de traitement. Cela dpendra de

35 Art. 1er, 4 de la loi du 8dcembre 1992.


36 Idem.

anthemis 73
Utilisation de loutil informatique et des TIC

la marge de manuvre laisse lentit B.Dans bien des cas, cest lentit excu-
tante qui prend en main lexcution du projet et sera la responsable du traitement.
b.En cas de projet excut par diffrentes entits, qui est le responsable des traitements
mis en uvre pour lexcution du projet?
On doit distinguer deux hypothses cet gard:
Soit lensemble des traitements effectus par les participants au projet for-
ment un tout cohrent,auquel casce sont le ou les partenaires qui dcident
des finalits et moyens de traitement qui sont le ou les responsables de trai-
tement. Les autres sont ventuellement des sous-traitants37.
Soit les traitements sont distincts et chaque partenaire est responsable des
traitements de donnes caractre personnel quil effectue pour la mise en
uvre de la partie du projet qui lui est confie.

2. Quimplique lexigence aux termes de laquelle le


traitement doit intervenir dans le cadre des activits dun
tablissementsitu sur le territoire belge?
29. Un tablissement suppose lexercice effectif et rel dune activit au
moyen dune installation stable tandis que la forme juridique du responsable de
traitement et lexistence ou non dune personnalit juridique importent peu38.
Pour dterminer si cest la loi belge qui sapplique un tablissement
(sige, filiale ou succursale), il convient donc de vrifier si cest bien dans le
cadre des activits de celui-ci que le traitement est effectu39.
Imaginons que, dans un groupe de socits, les donnes relatives lvaluation
du travail des cadres dune succursale belge sont communiques la socit
mre localise aux tats-Unis o sont prises des dcisions relatives aux pro-
motions. On devra considrer que cest bien dans le cadre des activits de
la succursale belge que le traitement a lieu et que la loi belge est applicable.

30. Sil y a plusieurs responsables pour un mme traitement et que ceux-ci sont
tablis dans diffrents tats membres de lUnion europenne dont la Belgique,
le traitement devra tre conforme aux exigences de chacune des lois relatives
la protection des donnes de ces tats membres et donc galement la loi belge.

37 Voir supra no26 et suiv. pour une dfinition de cette notion.


38 Voy. cet gard le considrant 19 de la directive 95/46/CE auquel se rfre lexpos des motifs de la loi
du 8dcembre 1992 (Expos des motifs, Doc. Parl., Ch. repr., sess. ord. 1997-1998, no1566/1, p.27).
39 Th.Lonard voit galement une autre condition implicite lapplication de la loi belge, savoir que lta

blissement en question participe lui-mme au traitement de donnes (Th. Lonard, La protection des
donnes caractre personnel et lentreprise, Guide Juridique de lEntreprise, TitreXI, Livre 112.1, Bruxelles,
Kluwer, 2004, 2ed.,p.23). Le Groupe de larticle29 a labor un avis dat du 16dcembre 2010 et qui fait
une analyse dtaille de la manire selon laquelle le critre de la localisation du lieu de ltablissement dans
le cadre duquel le traitement a lieu devrait tre interprt (Groupe de lArticle29, Opinion 8/2010 on
applicable law, WP179, 16dcembre 2010, p.8-17, http://ec.europe.eu/justice/policies/privacy).

74 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

B. Critre des moyens utiliss

31. En sus du critre dtablissement, larticle 3bis, 2 de la loi impose un


second critre dapplication territorial. La loi belge sapplique, nonobstant le
fait que le responsable de traitement na pas dtablissement sur le territoire
de lUnion europenne, sil recourt, des fins de traitement de donnes
caractre personnel, des moyens automatiss ou non, situs sur le territoire
belge, autres que ceux qui sont exclusivement utiliss des fins de transit sur
le territoire belge. Le responsable du traitement doit alors dsigner un repr-
sentant tabli sur le territoire belge, sans prjudice dactions qui pourraient tre
introduites contre le responsable du traitement lui-mme40.
Ce faisant, le lgislateur belge a transpos, presque mot pour mot, larticle4,
1., c) de la directive 95/46/CE. Le but de cette disposition est dviter de voir
le responsable du traitement tenter de contourner les lgislations europennes
applicables en stablissant en dehors du territoire europen alors mme que le
traitement porte sur des donnes qui en proviennent et que le bnfice de ce
traitement est rechercher dans ses activits orientes vers lUnion europenne.
Cest donc lutilisation de moyens localiss sur le territoire auxquels on
recourt pour mettre en uvre un traitement qui entrane lapplicabilit de
la loi belge en particulier, et des lois europennes en gnral. Ds lors que le
responsable na pas dtablissement sur le territoire communautaire mais utilise
nimporte quel moyen situ sur le territoire belge en vue de traiter des donnes
caractre personnel41, la loi belge sapplique sous rserve du seul transit des
donnes sur le territoire42. Lexpos des motifs de la loi belge parat aller en ce
sens43. Certains commentateurs galement44.
La porte exacte de ce critre nest pourtant pas claire et pose de srieuses
difficults en pratique. La principale difficult provient du fait que, vue lin-

40 Art. 3bis, 2, de la loi du 8dcembre 1992.


41 Ou quil dispose dun tel tablissement mais que le traitement nest pas effectu dans le cadre des acti
vits de cet tablissement.
42 Pour une analyse de cette problmatique applique aux sites internet, voy. Groupe de lArticle29, Docu
ment de travail sur lapplication internationale du droit de lUE en matire de protection des donnes au
traitement des donnes caractre personnel sur internet par des sites web tablis en dehors de lUE,
WP 56, 30mai 2002, http://ec.europa.eu/justice/policies/privacy, voy. galement Groupe de larticle29,
Opinion 8/2010 on applicable law, WP179, 16dcembre 2010, pp.10-25, http://ec.europe.eu/justice/
policies/privacy.
43 Daprs lexpos des motifs de la loi du 8dcembre 1992, Le terme moyens recouvre tout qui
pement possible, tels que les ordinateurs, les appareils de tlcommunication, les units dimpression,
etc., lexclusion, formule explicitement, des moyens qui sont uniquement utiliss pour le transit des
donnes caractre personnel par le territoire, tels que les cbles, les routeurs, etc. (Expos des motifs,
Doc. Parl., Ch. repr., sess. ord. 1997-1998, no1566/1, p.27).
44 J.Dumortier, De nieuwe wetgeving over de verwerking van persoonsgegevens, in Recente ontwikke-

lingen in informatica- en telecommunicatierecht, Brugge, Die Keure, 1999, p.85, spc. note 33.

anthemis 75
Utilisation de loutil informatique et des TIC

ternationalisation croissante des traitements de donnes, il sera trs souvent


possible de considrer que le responsable tabli en dehors de lUnion euro-
penne utilise des moyens qui y sont situs pour les besoins de ses traitements.
Lapplication de ce critre peut ds lors avoir des effets surprenants. Prenons
lexemple dun responsable de traitement tabli hors de lUnion europenne
et qui confie des prestations techniques de traitement de donnes collectes
dans son propre pays un sous-traitant tabli sur le territoire belge. Il pour-
rait tre considr que, ce faisant, ce responsable de traitement recourt des
moyens localiss en Belgique pour traiter des donnes caractre personnel.
La loi belge doit donc sappliquer si lon sen tient une interprtation stricte
du critre, quand bien mme cette application extraterritoriale de la loi belge
peut paratre incongrue45.

Section3
Le traitement envisag est-il ou non rgi par la loi du
8dcembre 1992?
32. Il convient de noter que la loi du 8dcembre 1992 prvoit une srie
dhypothses dans lesquelles elle ne sapplique pas, en tout ou en partie46.
Il convient de sassurer que ces hypothses ne sont pas rencontres avant de
conclure lapplication de la loi.

tape 2
Dterminer si le traitement envisag est licite au
regard des exigences de la loi du 8dcembre 1992
33. Dans lhypothse o lon identifie un traitement de donnes carac-
tre personnel soumis la loi du 8dcembre 1992, on se doit de vrifier si le
traitement peut tre mis en uvre au regard des restrictions prvues par la loi.
Nous nous limiterons ce stade aux obstacles qui interdiraient que le
traitement puisse tre mis en uvre. Ces obstacles peuvent tre lis la finalit
dutilisation envisage (cf. section1, infra), la nature des donnes dont le trai-
tement est envisag (cf. section2, infra) ou encore aux oprations de traitement
envisages (cf. section3, infra).

45 Voy. sur cette question, Th.Lonard et A. Mention, Transferts transfrontaliers de donnes: quelques
considrations thoriques et pratiques, in Actualits du droit de la vieprive, Bruxelles, Bruylant, 2008,
pp. 113.
46 Voy. supra, note de bas de page no31.

76 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

Section1
Obstacles lis la finalit dutilisation
34. En application de la loi du 8 dcembre 1992, les donnes caractre
personnel ne peuvent tre recueillies quen vue dune ou de plusieurs finalits
dtermines, explicites et lgitimes47.
1. Des finalits dtermines: on ne peut pas collecter des donnes caractre
personnel et dcider dutiliser ces donnes sans un but prcis. Cest ce
but dcid au dpart qui va orienter toute la suite des oprations. Cest,
en effet, en fonction de lobjectif poursuivi que lon saura quelles don-
nes on peut collecter, ce que lon peut faire avec ces donnes, si on peut
les communiquer et qui, etc.
2. Une ou plusieurs finalits explicites: le responsable du traitement ne peut
tenir les finalits poursuivies secrtes. Il doit les indiquer aux personnes
concernes (obligation dinformation) et les dclarer la Commission de
la protection de la vieprive (obligation de dclaration)48.
3. Une ou plusieurs finalits lgitimes: pour que le traitement puisse tre admis,
chaque finalit que le responsable poursuit en traitant des donnes caractre
personnel doit tre lgitime. Cela implique quun quilibre existe entre lin-
trt du responsable du traitement et les intrts des personnes sur qui portent
les donnes traites. On nadmettra pas comme lgitime un objectif qui cau-
serait une atteinte excessive aux droits et liberts des personnes concernes.
Le lgislateur a prvu diffrents cas de figure dans lesquels le traitement
est a priori lgitime. Ceux-ci sont des causes de justification sociale qui
seront examines ci-aprs. De mme, on peut considrer que le traite-
ment est a priori lgitime sil sinscrit dans le cadre des exceptions prvues
pour le traitement des donnes sensibles sur lequel nous reviendrons infra.

35. Nous retiendrons deux consquences de lapplication des principes sus-


mentionns qui ont une incidence sur la lgalit de la mise en uvre du trai-
tement:

A. Le traitement doit sinscrire dans lune des causes de


justification sociale prvues par la loi du 8dcembre 1992

36. En sus dexigence de lgitimit de traitement, les donnes caractre


personnel ne peuvent tre traites que si le responsable du traitement peut

47 Art.4, 1er, 2 de la loi du 8dcembre 1992.


48 Cf. no72 et suiv., tape 3, section2.

anthemis 77
Utilisation de loutil informatique et des TIC

sappuyer sur au moins une des causes de justification sociale dfinies par la
loi et dont les plus pertinentes dans le cadre de la relation de travail sont les
suivantes49:
si le traitement des donnes est ncessaire lexcution dun contrat ou
lexcution de mesures prcontractuelles sollicites par la personne
concerne.
Cette base de lgitimit permettra lemployeur de mettre en uvre la
plupart des traitements de donnes qui sont lis lexcution mme du
contrat de travail: ltablissement dun contrat de travail, ladministration
des salaires, le traitement des donnes dans le cadre du suivi des tches du
travailleur, etc.;
ou si le traitement est exig par une loi, un dcret ou une ordonnance.
Ainsi en est-il des traitements de donnes quimplique lapplication de la
lgislation en matire de scurit sociale, commencer par la dclaration
DIMONA prvue par larrt royal du 5novembre 2002 instaurant une
dclaration immdiate de lemploi, en application de larticle38 de la loi
du 26juillet 1996 portant modernisation de la scurit sociale et assurant
la viabilit des rgimes lgaux des pensions.
Notons que dans un avis portant sur les systmes dalerte interne pro-
fessionnelle (ou whistleblowing), la Commission de la protection de la
vieprive a considr que Pour pouvoir parler dune obligation lgale
au sens de larticle5, c) de la LVP en respect de laquelle une organisation
est tenue de traiter des donnes caractre personnel via un systme
dalerte, il doit sagir dune disposition lgale du droit belge. Une obliga-
tion lgale trangre ne peut pas entrer ici en ligne de compte. La Com-
mission partage cet gard le point de vue du Groupe de lArticle29
et des Commissions de protection de la vieprive franaise et nerlan-
daise50;
ou, si le traitement des donnes est ncessaire pour raliser un intrt lgi-
time du responsable ou dun tiers, condition que lintrt ou les droits
de la personne concerne ne prvalent pas. Des traitements sont admis si
lintrt du responsable du traitement traiter les donnes est suprieur

49 Art.5de la loi du 8dcembre 1992; voy. g. Groupe de lArticle29, Avis 2001/8 sur le traitement des
donnes caractre personnel dans le contexte professionnel, WP 48, 13septembre 2001, p.17, http://
ec.europa.eu/justice/policies/privacy.
50 Commission de la protection de la vieprive, Recommandation no1/2006 relative la compatibilit
des systmes dalerte interne professionnelle avec la loi du 8dcembre 1992 relative la protection de
la vieprive lgard des traitements de donnes caractre personnel, 29novembre 2006, p.4, www.
privacycommission.be.

78 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

lintrt de la personne concerne ce que ses donnes ne soient pas


traites.
Cette base de justification qui a une application plus large et plus incertaine
que les autres en ce quelle implique une balance ponctuelle des intrts en
prsence, peut, le cas chant, servir de base des traitements qui, sans quils
ne soient exigs par la loi ni quils ne simposent en vue de lexcution du
contrat de travail, prsentent un intrt pour lemployeur. Ainsi en est-il des
valuations des membres du personnel ou de certains contrles oprs sur les
travailleurs qui se justifient au regard des obligations du travailleur de respec-
ter les instructions de lemployeur dans le cadre du contrat de travail.
si la personne concerne a sans ambigut donn son consentement. Le
consentement nest valable que sil est libre (cest--dire sil a t mis
sans pression), spcifique (le consentement doit porter sur un traitement
prcis) et inform (la personne a reu toute linformation utile sur le
traitement envisag). Le consentement ne doit pas ncessairement tre
donn par crit.
Le consentement nest donc quune des causes de justification sociale envi-
sages par le lgislateur et ne doit pas doffice tre obtenu pour effectuer
un traitement de donnes. Il est toutefois indispensable lorsquaucune autre
base ne peut tre utilement invoque pour fonder un traitement de donnes.
Ainsi en serait-il, notre estime, de lannonce lensemble des membres du
personnel dinformations caractre priv relatives un travailleur, telle la
publication dun avis de naissance dun enfant dun travailleur sur lintranet
de lentreprise.

Ceci tant, tant le lgislateur belge ( propos du traitement des donnes


sensibles) que le Groupe de travail lArticle 29 conoivent des doutes
quant la possibilit de considrer quun travailleur pourrait donner un
consentement libre dans le contexte de la relation de travail.
Larticle27 de larrt royal du 13fvrier 2001 prvoit que Lorsque le
traitement de donnes caractre personnel, vises aux articles6 et 7 de
la loi [du 8dcembre 1992], est exclusivement autoris par le consen-
tement crit de la personne concerne, ce traitement est, nanmoins,
interdit lorsque le responsable du traitement est lemployeur prsent ou
potentiel de la personne concerne ou lorsque la personne concerne
se trouve dans une situation de dpendance vis--vis du responsable du
traitement qui lempche de refuser librement son consentement. Il est
toutefois prcis que Cette interdiction est leve lorsque le traitement
vise loctroi dun avantage la personne concerne.
Par ailleurs, dans un avis du 13septembre 2001, le Groupe de lArticle29
estime que le consentement ne devait tre considr comme possible

anthemis 79
Utilisation de loutil informatique et des TIC

base de traitement que si aucune autre cause de justification ntait envi-


sageable. Il prcise dans la foule que si le consentement du travailleur
est ncessaire et que labsence de consentement peut entraner un pr-
judice rel ou potentiel pour le travailleur, le consentement nest pas
valable au titre de larticle7 ou de larticle8 [de la directive 95/46/CE],
dans la mesure o il nest pas donn librement. Si le travailleur na pas la
possibilit de refuser, il ne sagit pas de consentement. Le consentement
doit toujours tre donn librement. En consquence, le travailleur doit
avoir la possibilit de se dgager de son consentement sans prjudice51.
Aussi, pour pallier ce type dcueil, T. Van Overstraeten prconise-t-il
dassortir le consentement individuel du travailleur dune procdure
dacceptation gnrale dans lentreprise par le biais de ladoption dun
rglement de travail52.

dfaut de pouvoir se fonder sur lune des hypothses vises par la loi,
le traitement ne peut tre mis en uvre.

B. Les oprations de traitement doivent sinscrire dans le cadre


de la finalit de traitement initialement dfinie ou ne pas
tre incompatibles avec celle-ci

37. Un second corollaire du principe de finalit est que le responsable du


traitement ne peut traiter des donnes caractre personnel que dans la mesure
ou ces traitements sinscrivent dans la ou les finalits initialement poursuivies
ou ne sont pas incompatibles avec ces finalits. Par exemple, le transfert de
donnes par un responsable de traitement un tiers doit tre compatible avec
les finalits initiales. Si tel ne devait pas tre le cas, il faudrait considrer que ce
traitement est illicite53.
Le terme compatible nest pas dfini par la loi du 8dcembre 1992.
Pour dterminer ce qui est compatible, prcise larticle 4, 2o de cette loi, il y
a lieu de tenir compte de tous les facteurs pertinents, notamment des prvisions
raisonnables de la personne concerne et des dispositions lgales rglemen-
taires applicables. On comprend, la lecture des commentaires qui sont rser-
vs cette disposition dans les travaux prparatoires54, quil y a lieu de parler

51 Groupe de lArticle29, Avis 2001/8 sur le traitement des donnes caractre personnel dans le contexte
professionnel, WP 48, 13septembre 2001, pp. 31-32, http://ec.europa.eu/justice/policies/privacy.
52 T.Van Overstraeten, La protection des donnes caractre personnel: quelques rflexions de prati

cien, in Les 25 marchs mergents du droit, (dir. L. Marlire), Bruxelles, Bruylant, 2006, p.363.
53 Comm. Bruxelles, 12juillet 1996, D.C.C.R., 1996, p.351.
54 Les travaux parlementaires de la loi du 8dcembre 1992 apportent certaines prcisions utiles quant ce
deuxime critre: Afin de vrifier si un traitement est compatible avec la finalit pour laquelle les don

80 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

de rutilisation de donnes lorsquil sagit dentamer un nouveau traitement


sur des donnes dont le responsable du traitement ou le tiers qui lui fournit les
donnes dispose dores et dj. Toute autre est la situation dans laquelle le res-
ponsable du traitement collecte des informations en ayant lesprit diffrentes
finalits dutilisation, que celles-ci soient dailleurs compatibles ou incompa-
tibles entre elles: en vertu du devoir de loyaut, il lui faudra informer les per-
sonnes concernes relativement toutes les finalits dutilisation55.
Il convient donc de rester trs prudent lorsquil sagit par exemple de
communiquer des donnes caractre personnel des tiers. Ces communi-
cations constituent des traitements de donnes part entire, ce qui implique
quelles ne sont lgitimes que dans la mesure o elles sinscrivent dans le cadre
dune finalit pour laquelle les donnes ont t collectes initialement ou,
tout le moins compatible avec celle-ci.
Ces exigences sappliquent pleinement en ce qui concerne les donnes
relatives au personnel du responsable du traitement. Si certaines utilisations
entrent implicitement, mais certainement dans le cadre de lexcution du
contrat de travail, il en est dautres qui ne vont pas de soi et qui devront faire
lobjet dune informationsuffisamment claire et prcise.
Ainsi, il parat vident que les donnes collectes au moment de lengage-
ment concernant lidentit du travailleur, sa date de naissance, son adresse
personnelle seront utilises dans le cadre de ladministration du personnel
pour lui adresser la correspondance relative au contrat de travail, pour lta-
blissement de ses fiches de paie ou encore dans le cadre dun licenciement.
En revanche, si dautres traitements envisags peuvent dtromper les attentes
raisonnables et lgitimes du travailleur, il importera de sassurer, ds lenga-
gement dune nouvelle personne, de ces finalits dutilisation des donnes
collectes que lemployeur envisage de faire et den informer la personne
concerne. Une telle incompatibilit peut se rencontrer lorsquune entreprise
communique des donnes dautres entits dun mme groupe de socits,

nes ont t collectes, il conviendra parfois de tenir compte de dispositions lgales ou rglementaires.
Il est notamment possible que les autorits souhaitent utiliser certaines donnes caractre personnel
concernant les citoyens pour une nouvelle finalit inconnue lors de la collecte des donnes relatives
limmatriculation des vhicules pour mettre en uvre un systme relatif au permis points. Il est
vident que, si les autorits disposent dj des donnes ncessaires pour cette nouvelle finalit, elles ne
sont pas obliges de redemander ces donnes aux personnes concernes. Dans un cas pareil galement,
la mesure dans laquelle et la manire dont les personnes concernes ont pralablement t informes
du nouveau traitement par les autorits jouera un rle important lors de lvaluation de la compatibilit
ou de lincompatibilit du traitement avec la finalit initiale pour laquelle les donnes ont t obtenues.
Il convient cependant dobserver que linformation de la personne concerne nest pas obligatoire si
lenregistrement ou la communication des donnes caractre personnel sont prvus par la loi (consi
drant 40 de la directive) (Expos des motifs, Doc. Parl., Ch.Repr., sess. ord. 1997-1998, 1566/1-n 1,
pp.29 et30).
55 (cf. infra no78 et suiv.).

anthemis 81
Utilisation de loutil informatique et des TIC

met sur le site internet voire sur un site Intranet de lentreprise le CV dun
collaborateur, ou encore intgre les coordonnes prives du travailleur dans
un trombinoscope distribu lensemble du personnel.

Si un nouveau traitement est envisag en cours de contrat, il faut en


principe procder une nouvelle collecte dinformations en respectant les
conditions dfinies par la loi dans la mesure o la loi du 8 dcembre 1992
nautorise pas la rutilisation de donnes des fins incompatibles avec les fina-
lits initiales de traitement56.
titre dillustration, si lemployeur a fait disposer une photographie sur les
badges daccs de travailleurs, il sagit dassurer un contrle efficace de laccs
aux locaux de lentreprise et den assurer la scurit. Il ne peut tre question
de rutiliser la photographie ainsi obtenue dautres fins, par exemple, en la
faisant figurer dans une brochure publie pour promouvoir lentreprise57.

Section2
Obstacles lis la nature des donnes traites
38. Si toutes les donnes peuvent, dans labsolu, faire lobjet dun traitement,
il existe certaines catgories de donnes qui, sauf exceptions, ne peuvent tre
traites.
Il sagit des donnes sensibles et dautres donnes qui font lobjet de
rglementations particulires.

A. Donnes sensibles

39. Certaines donnes sont des informations personnelles par nature beau-
coup plus sensibles que dautres. Alors que le nom et ladresse de quelquun
sont des informations somme toute anodines, il nen est pas de mme des

56 Mis part dans le cadre du rgime spcifique dfini dans lA.R. du 13fvrier 2001 relatif aux traitements
des fins historiques, scientifiques ou statistiques.
57 noter que la Commission de la protection de la vieprive adopte une position plus souple cet gard
en considrant que la photo dun employ prise pour la confection dun badge didentification ne
pourra pas figurer sur un site intranet ou encore apparatre dans une brochure dite par lemployeur
sans quun accord explicite de lemploy pour ces autres finalits nait t demand de manire conco
mitante au moment de la confection du badge ou ultrieurement lors de la mise sur intranet ou de la
publication dans une brochure (Commission de la protection de la vieprive, Avis dinitiative No02
/ 2004 relatif aux badges didentification sur lesquels figurent le nom et/ou la photo du dtenteur du
badge, 26fvrier 2004, p.3, www.privacycommission.be). Cette position, aux termes de laquelle une
rutilisation des donnes serait possible moyennant le consentement de la personne concerne nous
semble contraire la loi, bien quelle ait t prconise par Y. Poullet et Th. Lonard (Y. Poullet et
Th.Lonard, La protection des donnes caractre personnel en pleine (r)volution, J.T., 1999, no31,
p.385).

82 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

convictions politiques de cette personne, de ses prfrences sexuelles ou de son


pass judiciaire. La loi du 8dcembre 1992 rgle de manire beaucoup plus
stricte lenregistrement et lutilisation de ces informations sensibles.
Tandis que le traitement des donnes ordinaires est permis pour autant
que certaines conditions prvues par la loi soient remplies, le traitement des
donnes sensibles est interdit sauf dans le cas des exceptions limitativement
prvues par la loi. Et mme dans le cas o le traitement entre dans le champ
dapplication dune de ces exceptions, il reste soumis aux mmes conditions
que le traitement des donnes ordinaires.

1. Quelles donnes sont considres comme sensibles?


40. Les donnes sensibles rassemblent une srie de donnes caractre per-
sonnel dont le lgislateur a estim quelles touchaient davantage la vieprive
et dont le traitement devait ds lors tre rserv des hypothses restreintes.
En droit belge, les donnes sensibles se subdivisent, dans leur rglemen-
tation lgale, en trois groupes:
a. Les donnes relatives la sant

41. Il sagit tant des donnes relatives ltat de sant que celles ayant trait
des pathologies particulires, quelles soient mentales ou physiques, et ce ind-
pendamment du fait quil sagisse de ltat de sant actuel, antrieur ou futur
de la personne concerne58.
Dans un arrt du 6novembre 2003, la Cour de justice de lUnion euro-
penne a jug que lindication du fait quune personne sest blesse au pied
et est temps partiel pour raisons mdicales constitue une donne caractre
personnel relative la sant au sens de larticle 8, 1, de la directive59. Le
Groupe de lArticle29 a, quant lui, considr comme constituant des don-
nes relatives la sant les donnes caractre personnel qui prsentent un lien
clair et troit avec la description de ltat de sant dune personne, les donnes
sur la consommation de mdicaments, dalcool ou de drogue et les donnes
gntiques60.

58 Voy. cet gard: Commission de la protection de la vieprive, Avis dinitiative no08/2002 relatif au
traitement de donnes caractre personnel ralis par des socits prives dintrim, 11fvrier 2002,
p.2, www.privacycommission.be.
59 C.J.C.E., arrt Bodil Lindqvist du 6novembre 2003, affaire C-101/01.
60 Groupe de lArticle29, Document de travail sur le traitement des donnes caractre personnel rela
tives la sant contenues dans les dossiers mdicaux lectroniques (DME), 15fvrier 2007, p.8, http://
ec.europa.eu/justice/policies/privacy.

anthemis 83
Utilisation de loutil informatique et des TIC

42. Les donnes relatives la sant correspondent des donnes qui se rap-
portent la sant dune personne. Le simple fait quune information rvle une
donne relative la sant ne suffit donc pas61. Ainsi une photographie qui rv-
lerait le handicap dune personne nest pas une donne relative la sant62. On
pourrait toutefois nuancer cette interprtation en prcisant que, si la photo-
graphie fait lobjet dun traitement pour les donnes relatives la sant quelle
rvle, elle doit alors tre considre comme une donne sensible. En ce sens, la
Commission de la protection de la vieprive a estim que si une donne bio-
mtrique (image, empreintes,) utilise pour le contrle daccs nest a priori
pas une donne relative la sant; en revanche, lorsque elle est utilise pour
en dduire une information relative, par exemple ltat de sant ou lorigine
raciale, cette donne doit tre considre comme une donne sensible63.
b. Les donnes qui rvlent lorigine raciale ou ethnique, les opinions poli-
tiques, les convictions religieuses ou philosophiques, lappartenance syndi-
cale, ainsi que le traitement des donnes relatives la viesexuelle

43. Si lon sen tient la terminologie utilise, les donnes qui appartiennent
ces catgories ne se limitent pas celles qui rvlent immdiatement linfor-
mation sensible. Elles concernent galement toutes les donnes dont on peut
raisonnablement dduire une information rvlant des donnes sensibles.
Ainsi linformation M. Robert est de confession juive est une
donne sensible, tout comme linformation M. Robert prend des repas cas-
cher puisquon peut raisonnablement dduire lappartenance religieuse de
M.Robert. Il en est de mme de linformation selon laquelle un individu paie
une cotisation un syndicat. En revanche, la Cour dappel de Bruxelles a consi-
dr que linformation selon laquelle les coordonnes lectroniques dune per-
sonne se trouvent reprises dans le fichier utilis pour communiquer sur les
activits du Front National nest pas de nature rvler les opinions politiques
de cette personne lorsque les coordonnes dautres personnes sy trouvent ga-
lement reprises en raison de leurs intrts professionnels (tels des journalistes),
par sympathie ou par simple curiosit64. Dans un tel cas, on ne peut infrer de
cette appartenance au fichier une information relative une appartenance un

61 Expos des motifs de la loi du 8dcembre 1992, Doc. Parl., Ch.Repr., sess. ord. 1997-1998, 1566/1 no1,
p.34. M. De Bot va mme plus loin en affirmant que pour tre qualifies comme telles, les donnes
relatives la sant doivent porter directement sur la sant ou ltat de sant dune personne (D. De Bot,
Verwerking van persoonsgegevens, Antwerpen, 2001, Kluwer, p.154).
62 Y.Poullet et Th. Lonard, La protection des donnes caractre personnel en pleine (r)volution,

J.T., 1999, no38, p.387.


63 Commission de la protection de la vie prive, Avis dinitiative no 17/2008 relatif aux traitements de
donnes biomtriques dans le cadre de lauthentification de personnes (A/2008/017), 9avril 2008, p.8,
www.privacycommission.be.
64 Bruxelles (11ech.), 17mars 2010, Dr. pn. entr., 2010/4, p.319, note K.Rosier.

84 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

parti politique ou une adhsion des opinions politiques et la donne nest pas
une donne sensible.
44. Il reste que la dfinition donne par la loi peut savrer trop large si on
lapplique la lettre. On pourrait ainsi considrer que le nom patronymique est
susceptible dans certains cas de donner une indication sur lorigine ethnique
de la personne qui le porte. Il en est de mme de certains titres attachs une
fonction ecclsiastique qui rvlent les convictions religieuses de la personne
concerne. Nous considrons quil faut privilgier une interprtation raison-
nable de la loi et avoir gard au contexte de lutilisation de telles donnes.
Le nom patronymique dun individu ne doit pas tre considr en tant que
tel comme une donne sensible sauf sil ressort du contexte dans lequel il est
trait quil en est infr une information sur les origines ethniques ou raciales
dun individu. Cest en ce sens nous semble-t-il que la Commission de la
protection de la vie prive a analys le traitement de donnes relatives la
nationalit dune personne, de ses parents et grands-parents comme tant des
donnes sensibles dans la mesure o ces donnes taient traites dans le but
de mettre en uvre une politique dgalit des chances et de diversit dans la
gestion des ressources humaines65. Dans la droite ligne de ce qui prcde, la
nationalit dune personne ne nous semble pas tre en soi une donne sensible.
Toujours dans le mme sens, la Commission estime, aprs avoir relev que
certaines donnes biomtriques peuvent rvler des informations sur ltat de
sant ou lorigine raciale dun individu, que cette donne devra tre consi-
dre comme sensible lorsque les donnes biomtriques sont utilises pour
en dduire une information relative, par exemple ltat de sant ou lorigine
raciale, ces donnes doivent tre considres comme des donnes sensibles66.
Autrement dit, si on suit le raisonnement de la Commission, le fait quune
donne rvle des informations sur lorigine raciale dune personne ne semble
pas dterminant pour la qualifier de sensible, encore faut-il quil y ait usage de
la donne pour cette information quelle rvle.
45. On ne peut manquer de constater que la loi utilise une autre termino-
logie en ce qui concerne la dernire catgorie de donnes quelle voque: les
donnes relatives la viesexuelle. linstar de ce qui a t dit concernant les
donnes relatives la sant, il nous semble quil y a lieu de considrer que ne
tombent en toute hypothse dans cette catgorie que les donnes qui se rap-

65 Commission de la protection de la vieprive, Avis no07 relatif au projet monitoring des groupes
potentiel au sein du fichier du personnel du Ministre de la Communaut flamande gr via le systme
Vlimpers, 22mars 2006, www.privacycommission.be.
66 Commission de la protection de la vie prive, Avis dinitiative no 17/2008 relatif aux traitements de
donnes biomtriques dans le cadre de lauthentification de personnes (A/2008/017), 9avril 2008, p.8,
www.privacycommission.be.

anthemis 85
Utilisation de loutil informatique et des TIC

portent la viesexuelle des personnes quelles concernent. Il ne suffit donc pas


quon puisse infrer dune donne lexistence dindications sur la viesexuelle
dune personne mais quil faudrait en outre, pour que la donne soit qualifie de
sensible, quelle soit traite pour linformation quelle donne sur la vie sexuelle
de la personne concerne. Ainsi, le fait quon enregistre dans le cadre de la
gestion des salaires le nom de lpoux ou de lpouse ne suffit pas considrer
quil sagit l de donnes relatives la viesexuelle de la personne concerne en
ce quelles permettent de conclure lhtrosexualit ou lhomosexualit de
celle-ci. En revanche, si ces mmes donnes sont traites pour cette information
quelles rvlent elles devront tre considres comme sensibles.
c. Les donnes caractre personnel relatives des litiges soumis aux cours
et tribunaux ainsi quaux juridictions administratives, des suspicions, des
poursuites ou des condamnations ayant trait des infractions, ou des
sanctions administratives ou des mesures de sret (donnes judiciaires)

46. Cette catgorie de donnes est relativement large en ce quelle ne


concerne pas uniquement les donnes relatives des dcisions judiciaires mais
galement les donnes relatives des suspicions dinfractions pnales. Des don-
nes concernant des suspicions de fraude de la part de la clientle et enregis-
tres dans des banques de donnes prives de commerants concernent des
donnes judiciaires67. Il en est de mme des donnes relatives des suspicions
dinfraction commises par les membres du personnel traites dans le cadre de
systmes dalerte interne lentreprise (systme auquel il est galement rfr
par le terme Whistleblowing)68.

2. Dans quelles conditions peut-on traiter ces donnes?


47. Il est, en principe, interdit de traiter des donnes sensibles69. On peut
tout de mme traiter ces donnes dans certains cas bien dtermins et nu-
mrs par la loi pour chacune des trois catgories de donnes sensibles70. Ces
exceptions doivent tre interprtes restrictivement71.
48. Les principales bases de traitement sont pour ce qui concerne les don-
nes, les suivantes, reprises sous forme de synthse:

67 Y.Poullet et Th. Lonard, La protection des donnes caractre personnel en pleine (r)volution,
J.T., 1999, no42, p.388.
68 Commission de la protection de la vieprive, Recommandation no1/2006 relative la compatibilit
des systmes dalerte interne professionnelle avec la loi du 8dcembre 1992 relative la protection de
la vieprive lgard des traitements de donnes caractre personnel, 29novembre 2006, p.3, www.
privacycommision.be.
69 Art.6, 7 et 8 de la loi du 8dcembre 1992.
70 Art.6, 7 et 8 de la loi du 8dcembre 1992.
71 C.C., 14fvrier 2008, arrt no15/2008, point B.27, www.cass.be.

86 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

Donnes qui rvlent lorigine raciale Donnes relatives la Donnes judiciaires


ou ethnique, les opinions politiques, sant
les convictions religieuses, etc.
La personne concerne a donn son consentement par crit un tel trai
tement, pour autant que ce consentement puisse tout moment tre
retir par celle-ci.
Le traitement est ncessaire afin dexcuter les obligations et les droits
spcifiques du responsable du traitement en matire de droit du travail.
Le traitement est ncessaire la dfense des intrts vitaux de la per
sonne concerne ou dune autre personne dans le cas o la personne
concerne se trouve dans lincapacit physique ou juridique de donner
son consentement.
Le traitement porte sur des donnes manifestement rendues publiques
par la personne concerne.
Le traitement est ncessaire la ralisation dune finalit fixe par ou en
vertu de la loi, en vue de lapplication de la scurit sociale.
Le traitement est ncessaire aux fins de mdecine prventive, des dia
gnostics mdicaux, de ladministration de soins ou de traitements soit
la personne concerne, soit un parent, ou de la gestion de services de
sant agissant dans lintrt de la personne concerne et le traitement est
effectu sous la surveillance dun professionnel des soins de sant.
Le traitement des donnes caractre Le traitement est rendu obli Le traitement par dautres per
personnel de telles donnes sensibles gatoire par ou en vertu dune sonnes quune autorit publique
est permis par une loi, un dcret ou une loi, dun dcret ou dune ou un officier ministriel lorsque
ordonnance pour un autre motif impor ordonnance pour des motifs le traitement est ncessaire la
tant dintrt public. dintrt public importants. ralisation de finalits fixes par
ou en vertu dune loi, dun dcret
ou dune ordonnance.
Le traitement est ncessaire la constatation, lexercice ou la dfense Le traitement par des personnes
dun droit en justice. physiques ou par des personnes
morales de droit public ou de
droit priv pour autant que la ges
tion de leurs propres contentieux
lexige.

49. lexception des donnes judiciaires, le traitement de donnes sensibles est


permis notamment lorsque le traitement est ncessaire afin dexcuter les obliga-
tions et les droits spcifiques du responsable du traitement en matire de droit du
travail, lorsque le traitement est ncessaire des fins de mdecine prventive ou

anthemis 87
Utilisation de loutil informatique et des TIC

encore lorsque le traitement est ralis avec le consentement crit de la personne


concerne. Concernant cette dernire hypothse, le lgislateur interdit toutefois,
larticle27 de larrt royal du 13fvrier 2001, tout traitement de donnes sen-
sibles sur la seule base du consentement crit de la personne concerne lorsque
le responsable du traitement est lemployeur prsent ou potentiel de la personne
concerne ou lorsque la personne concerne se trouve dans une situation de
dpendance vis--vis du responsable du traitement lempchant de refuser libre-
ment son consentement. Dans une telle situation, le consentement crit permet
nanmoins le traitement sil sagit doctroyer un avantage la personne concerne.
La loi du 8dcembre 1992 et son arrt dexcution prvoient gale-
ment des modalits particulires respecter et qui sajoutent celles dfinies
pour le traitement de donnes caractre personnel non sensibles72.

3. Quelques applications
50. Nous nous proposons de donner un aperu ncessairement non exhaus-
tif de la problmatique au travers dexemples pris dans chaque catgorie de
donnes sensibles.
a. Le traitement de donnes sensibles dans le cadre de la lutte contre la dis-
crimination

51. Lemployeur peut tre amen devoir traiter des donnes sensibles, rela-
tives par exemple, lorigine ethnique ou un handicap pour se conformer
des obligations positives ou ngatives mises sa charge en matire de lutte
contre la discrimination73. Comme le relve J. Ringelheim, lemployeur ne
pourra traiter de telles donnes quen sappuyant sur les exceptions prvues par
la loi. En sus de lhypothse dun consentement du travailleur, on relvera que
lemployeur peut justifier que cela est ncessaire pour se conformer des droits
et obligations spcifiques en matire du travail ou encore que ce traitement est
autoris par une loi, un dcret ou une ordonnance pour des motifs dintrt
public importants74.

72 Cf. no90 et suiv., infra. Voy. galement larticle42, 2, 3o de la loi du 13dcembre 2006 portant disposi
tions diverses en matire de sant et qui subordonne la communication de donnes relatives la sant
des tiers condition dune autorisation pralable du Comit sectoriel de la Scurit Sociale et de la
Sant, sauf exceptions prvues dans cette disposition.
73 Pour une application de ces principes, voy. Commission de la protection de la vieprive, Avis no07
relatif au projet monitoring des groupes potentiel au sein du fichier du personnel du Ministre de la
Communaut flamande gr via le systme Vlimpers, 22mars 2006, www.privacycommission.be.
74 J.Ringelheim, Recueil des donnes personnelles et lutte contre les discriminations. Une tension nces

saire entre non-discrimination et vieprive, in Les nouvelles lois luttant contre la discrimination, Die
Keure / La Charte, 2008, pp.91-92. La Commission de la protection de la vieprive a dj admis que
ces deux causes dexceptions pouvaient justifier la mise en place par la Communautflamande dun

88 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

b. Le traitement des donnes relatives la sant des travailleurs75

52. Comme rappel ci-avant, par donnes relatives la sant, on entend


que les informations doivent se rapporter la sant de lindividu, les donnes ne
faisant que rvler ltat de sant dun individu ne tombant pas dans la catgorie
des donnes relatives la sant.
Ds lors, sil ne fait pas de doute que linformation selon laquelle une tra-
vailleuse est enceinte ou quun employ est affect dun handicap mental ou
physique peut bel et bien constituer une donne relative la sant, quen
est-il de linformation selon laquelle lemploy est en incapacit de travailler
sur la base dun certificat mdical? En effet, mme si le certificat ne men-
tionne pas la maladie ou le handicap qui frappe le travailleur, linformation
semble nanmoins se rapporter ncessairement ltat de sant du travailleur
ds lors que lincapacit constate par le mdecin est forcment motive par
un problme de sant. Cette interprtation pourrait tre toutefois discute
au vu dun avis de la Commission de la protection de la vieprive qui avait
qualifi certaines donnes relatives la sant dans le contexte de la relation de
travail de donnes administratives76.

En sus des conditions applicables tout traitement de donnes caractre


personnel et celles applicables aux donnes sensibles que nous aborderons ci-aprs,
il convient de signaler deux particularits propres aux donnes relatives la sant.
Tout dabord, le traitement des donnes relatives la sant peut, sauf dans
le cas dun consentement crit de la personne concerne ou lorsque le trai-
tement est ncessaire pour la prvention dun danger concret ou la rpression
dune infraction pnale dtermine, uniquement tre effectu sous la respon-
sabilit dun professionnel des soins de sant77. La notion de professionnel
de la sant na t dfinie ni dans la loi du 8 dcembre 1992 ni dans un
arrt dexcution. Selon lexpos des motifs de la loi du 11dcembre 1998
qui a introduit cette modification dans la loi du 8dcembre 1992, ces termes
renvoient un concept vaste qui fait rfrence lensemble des personnes
qui prestent des soins de sant lgard dautres personnes dans lexercice de
leur profession78. Ainsi, aprs avoir estim quun test dhaleine implique le

systme de monitoring des groupes potentiels au sein de son fichier du personnel (cf. Commission de
la protection de la vieprive, Avis 03/2004 du 15mars 2004 et 07/2006 du 22mars 2002 comment par
J. Ringelheim, op.cit., pp. 92-94).
75 Cette section est inspire par une partie de larticle co-rdig par K.Rosier, S. Gilson et N. Hautenne
et intitul Les informations mdicales dans la relation de travail (Orientations, nospcial 35ans, mars
2005, pp. 65-67).
76 Ibidem.
77 Art.7, 4, de la loi du 8dcembre 1992.
78 Expos des motifs de la loi du 8dcembre 1992, Doc. Parl., Ch.Repr., sess. ord. 1997-1998, 1566/1-n 1,
p.39; Th. Lonard, La protection des donnes caractre personnel et lentreprise, Le guide juridique

anthemis 89
Utilisation de loutil informatique et des TIC

traitement de donnes de sant, le Conseil dtat a jug que, en application


de larticle7, 4, alina1er, de tels tests ne peuvent tre raliss que par un
professionnel des soins de sant qui est tenu au secret y compris vis--vis de
lautorit qui est seulement autorise savoir si lagent est apte ou non exer-
cer ses fonctions. Ds lors que ces conditions navaient pas t respectes, le
Conseil dtat constata lillicit du traitement79.
Lintervention dun professionnel de la sant nest, en revanche, pas
requise si le travailleur consent par crit ce que ce traitement ne soit pas
effectu sous une telle responsabilit80. Il convient nanmoins de noter quen
application de larrt royal du 28mai 2003 relatif la surveillance de la sant
des travailleurs, lintervention du conseiller en prvention-mdecin du travail
est rendu obligatoire pour certains traitements de donnes mdicales de sorte
quil nous semble que lemployeur ne pourra se passer de lintervention du
conseiller en prvention-mdecin du travail en faisant usage de lexception du
consentement.
53. Par ailleurs, les donnes relatives la sant ne peuvent tre collectes
quauprs de la personne concerne81. Il est donc, en principe, interdit de se
procurer de telles donnes auprs de tiers. La loi du 8dcembre 1992 nauto-
rise une telle collecte que lorsque le traitement est effectu dans le respect des
conditions dfinies par la loi (en ce qui concerne la supervision par un pro-
fessionnel des soins de sant) et par arrt royal (en loccurrence larrt royal
du 13fvrier 2001) et dans la mesure o les donnes relatives la sant sont
ncessaires aux fins du traitement82 ou lorsque la personne concerne nest pas
mme de fournir les donnes elle-mme.

de lentreprise, TitreXI, Livre 112.1, 2ed., Bruxelles, Kluwer, p.36. La loi ne fournit pas de liste des profes
sions mdicales et paramdicales concernes. La question se pose de savoir si un psychologue peut tre
qualifi de professionnel des soins de sant. Preste-t-il des soins de sant? Cette question est controver
se (H. Nys, La mdecine et le droit, Diegem, Kluwer, 1995, p.29). Cette question peut revtir un intrt
particulier dans lhypothse o des tests psychologiques devraient tre mis en uvre par lemployeur
ou que lemployeur envisage doffrir un service de soutien psychologique ses employs par le biais dun
psychologue dentreprise. Lintervention dun psychologue suffirait-elle alors remplir lobligation de
contrle par un professionnel des soins de sant?
79 C.E., arrt no150.861 du 27octobre 2005, cit par J.M.Van Gyseghem et J.-Ph. Moiny, Chronique de
jurisprudence en droit des technologies de linformation (2002-2008), R.D.T.I., 2009, no35, p.90.
80 Expos des motifs de la loi du 8dcembre 1992, Doc. Parl., Ch.Repr., sess. ord. 1997-1998, 1566/1 no1,
p.38. Il est noter qutonnamment le lgislateur na pas tendu les rserves nonces larticle27 de
larrt royal du 13fvrier 2001 relatives la possibilit de sappuyer sur le consentement du travailleur
pour traiter des donnes sensibles dans lhypothse o lemployeur entend se passer de lintervention
dun professionnel des soins de sant moyennant le consentement du travailleur.
81 Art.7, 5 de la loi du 8dcembre 1992.
82 Ce qui devrait de toute faon toujours tre le cas en vertu de larticle4, 3 de la loi du 8dcembre 1992.

90 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

c. Le traitement des donnes relatives au casier judiciaire

54. Le traitement des donnes judiciaires est interdit, mme de laccord de la


personne concerne. Un employeur ne pourra donc traiter les donnes judi-
ciaires que si ce traitement est ncessaire la gestion du contentieux de lem-
ployeur ou lorsque le traitement est ncessaire la ralisation de finalits fixes
par ou en vertu dune loi, dun dcret ou dune ordonnance.
Quen est-il ds lors de la lgalit de la pratique consistant demander un
candidat lembauche la production dun certificat de bonnes vieet murs?
Il convient, tout dabord, de constater la fin de certificat dsormais remplac
par un extrait de casier judiciaire83.
Le recueil dinformations dans le cadre du recrutement et de la slection
doit se faire dans le respect de lobligation de bonne foi tant dans le chef de
lemployeur que dans celui du candidat. Larticle11 de la convention collec-
tive de travail no3884 pose une premire limite en matire de demande din-
formations un travailleur en stipulant que la vieprive des candidats doit
tre respecte lors de la procdure de slection. Cela implique, selon cette
disposition,que des questions sur la vieprive ne se justifient que si elles sont
pertinentes en raison de la nature et des conditions dexercice de la fonction.
Enfreindre ce principe serait constitutif dun manquement lobligation de
bonne foi dans le chef de lemployeur85. Si la demande dinformations nest
pas justifie, le travailleur nest pas tenu de les donner spontanment et est
mme autoris mentir si la question lui est pose86.
Un extrait de casier judiciaire contient, par ailleurs, non seulement des don-
nes caractre personnel ordinaires (nom, prnom, adresse,) mais gale-

83 Voy. Les articles 595 et 596 C.I.C. modifis par la loi du 31 juillet 2009 portant diverses dispositions
concernant le Casier judiciaire central et arrt de la Cour constitutionnelle du 13janvier 2011 annullant
partiellement larticle596 C.I.C. tel que modifi (C.C., 13janvier 2001, no1/2011). Suite un arrt du
Conseil dtat ayant annul la circulaire qui organisait la dlivrance de ce certificat par les communes,
la ministre de la Justice avait adopt une nouvelle circulaire le 2fvrier 2007 qui prvoyait la dlivrance
dun extrait de casier judiciaire (Circulaire no095 du 2fvrier 2007 relative la dlivrance dextrait
de casier judiciaire, M.B., 9fvrier 2007. Une proposition de loi a dailleurs t dpose la chambre
le 30juillet 2007 visant rpondre aux remarques du Conseil dtat et assurer une certaine scurit
juridique en donnant une base lgale aux certificats de bonne conduite, vieet murs [Proposition de
loi relative au certificat de bonnes conduite, vieet murs, Doc. parl., Chambre, 52 -081/001]). Cette
circulaire avait elle-mme t annule par le Conseil dtat le 26janvier 2009 (C.E., arrt du 26janvier
2009, no189.761 cit dans Bonnes vieet murs: suite des errements dun trs long dossier, actualit
du 3mars 2009, http://www.uvcw.be). Voy. galement sur cette question, S.Gilson, Motif grave et
bonne murs in Le cong pour motif grave, Limal, Anthemis, 2011, pp.334-335.
84 Convention collective de travail no38 du 6dcembre 1983 concernant le recrutement et la slection de
travailleurs modifie par les conventions collectives de travail no38bis du 29octobre 1991, no38ter du
17juillet 1998, no38quater du 14juillet 1999 et no38quinquies du 21dcembre 2004.
85 H.Clauwaert, Le respect de la vieprive lors de la recherche dun emploi et de la slection de person

nel, Rev. trav., 1997, p.13.


86 G. Demez, Le droit au respect de la vie prive dans le cadre des tests pralables lembauche in

Vieprive du travailleur et prrogatives patronales, Bruxelles, d. J.B.B., 2005, p.63.

anthemis 91
Utilisation de loutil informatique et des TIC

ment des donnes que lon qualifie de donnes judiciaires au sens de lar-
ticle8, 1erde la loi du 8dcembre 1992, ds lors quelles sont relatives des
condamnations ayant trait des infractions. En vertu de cette disposition,le
traitement de ces donnes est, en principe, interdit sauf dans le cadre dex-
ceptions qui sont numres limitativement par larticle8, 2 de la loi du
8dcembre 1992.
Ds lors que le traitement de telles donnes nentre pas dans le cadre de la
gestion du contentieux de lemployeur, il ne reste alors que la possibilit de
traiter de telles donnes lorsque cela est ncessaire la ralisation de finalits
qui sont fixes par ou en vertu dune loi, dun dcret ou dune ordonnance.
La Commission de la protection de la vie prive a dailleurs indiqu, dans
un avis quelle a mis le 11fvrier 200287 que dfaut de rglementation
approprie, lemployeur ne pourra que prendre connaissance, avec le consen-
tement de la personne concerne, du contenu du certificat, sans en prendre
note, ni conserver de mention ce sujet pour autant que comme exig par
larticle11 de la C.C.T. no38, ces informations se justifient par rapport la
nature de la fonction convoite. Le raisonnement sous-jacent est sans doute
quen labsence dinclusion de ces donnes dans un fichier ou de traitement
automatis sur ces donnes, la loi ne sapplique pas. On peut alors se deman-
der pourquoi mentionner une exigence spcifique de consentement du tra-
vailleur, consentement qui ne permet pas, par ailleurs, de lever linterdiction
de traitement88.
55. En ce qui concerne lexistence dune loi permettant le traitement de
donnes relatives des suspicions quant lexistence dune infraction,la Com-
mission de la protection de la vieprive a estim quil ne pouvait sagir que
dune loi belge.
La question a t aborde dans le cadre dune analyse de ladmissibilit de trai-
tements de donnes intervenant dans la mise en uvre dun systme dalerte
professionnelle (auquel il est galement rfr par le terme whistleblowing)89.
Ce systme vise permettre, voire encourager, le signalement par les travail-
leurs dune entreprise du comportement dun membre de leur organisation,
contraire, selon eux, une lgislation ou une rglementation ou aux rgles
primordiales tablies par leur organisation. Le plus souvent la dnonciation se
fait de manire anonyme.
La Commission identifie deux bases potentielles aux traitements intervenant
dans un tel systme:

87 Commission de la protection de la vieprive, Avis no08/2002 relatif aux traitements de donnes carac
tre personnel raliss par les socits prives dintrim, 11fvrier 2002, p.3, www.privacycommision.be.
88 Cf. no48, supra.
89 Commission de la protection de la vieprive, Recommandation no1/2006 relative la compatibilit
des systmes dalerte interne professionnelle avec la loi du 8dcembre 1992 relative la protection de
la vie prive lgard des traitements de donnes caractre personnel, 29 novembre 2006, www.
privacycommision.be.

92 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

1lexistence dune obligation lgale ou rglementaire lui imposant de trai-


ter des donnes caractre personnel via un systme dalerte;
2en labsence dune telle obligation lgale, un intrt lgitime dans son chef
condition que ne prvalent pas lintrt ou les droits et liberts fonda-
mentaux de la personne mise en cause.
Elle estime toutefois que dans la mesure o les donnes fournies et traites
sont des donnes caractre personnel au sens de larticle8 de la LVP, en
lespce des donnes caractre personnel concernant des suspicions relatives
des infractions, larticle5 de la LVP ne suffit pas pour permettre lorgani-
sation de traiter les donnes vises90. Il ne reste que la possibilit dinvoquer
un fondement lgal ou rglementaire pour le traitement exceptionnel de
ces donnes tel que prcis larticle8, 2 de la loi du 8dcembre 1992.
La Commission estime toutefois quil doit sagir dune disposition lgale du
droit belge et quune obligation lgale trangre ne peut pas entrer en ligne
de compte.

B. Les donnes faisant lobjet dune rglementation


particulire

56. Certaines donnes font lobjet dune rglementation particulire. Nous


pensons notamment aux donnes gnres pour les besoins des communica-
tions lectroniques et qui ne peuvent tre traites que pour certaines finali-
ts par les oprateurs91 ou seulement dans certaines conditions par tout un
chacun92.
57. Ainsi en est-il galement du numro de registre national qui, sauf auto-
risation octroye par le biais dune loi ou dun arrt royal ou par le comit
sectoriel Registre national institu au sein de la Commission de la protection
de la vieprive, ne peut tre trait93.
Lemployeur peut-il demander et conserver le numro didentification du
registre national de ses employs et dans laffirmative, dans quel cadre?
Le numro didentification du registre national est une donne caractre
personnel qui fait lobjet dune rglementation spcifique. La loi du 8aot
1983 organisant un registre national des personnes physiques dfinit les pos-
sibilits daccs au registre national. Cest dans ce cadre que son article 8,
2 dispose, de faon tout fait gnrale, quil nest pas possible de trai-

90 Commission de la protection de la vieprive, Recommandation no1/2006 relative la compatibilit


des systmes dalerte interne professionnelle avec la loi du 8dcembre 1992 relative la protection de
la vieprive lgard des traitements de donnes caractre personnel, 29novembre 2006, p.3, www.
privacycommision.be.
91 Cf. art.122 et 123 de la loi du 13juin 2005 sur les communications lectroniques.
92 Cf. art.124, 125 et 128 de la loi du 13juin 2005.
93 Cf. art.5 et 8 de la loi du 8aot 1983 organisant un registre national des personnes physiques.

anthemis 93
Utilisation de loutil informatique et des TIC

ter le numro didentification du registre national sans y avoir t autoris.


Larticle13 de la loi prvoit par ailleurs que la violation de cette disposition
est passible dune peine demprisonnement de huit jours un an et dune
amende de cent euros deux mille euros. Ce rgime est donc plus restrictif
que celui prvu par la loi du 8dcembre 1992 qui a galement vocation
rgir le traitement de ce numro ds lors quil sagit dune donne caractre
personnel. Lune des implications de cette loi est que lemployeur qui traite
cette donne doit en principe94 dclarer le traitement y affrent auprs de la
Commission de la protection de la vieprive.
Lautorisation dutiliser le numro didentification du registre national est
octroye par le comit sectoriel du registre national cr au sein de la Com-
mission de la protection de la vieprive. Toutefois, ce comit nest habilit
dlivrer des autorisations qu certaines catgories de personnes et pour
des finalits particulires. Ainsi les entreprises prives ne peuvent ventuel-
lement bnficier dune autorisation que dans lhypothse o cette donne
savre ncessaire laccomplissement de tches dintrt gnral qui leur
sont confies par ou en vertu dune loi, dun dcret ou dune ordonnance
ou de tches reconnues explicitement comme telles par le comit sectoriel
prcit ou encore lorsquelles agissent en qualit de sous-traitants des autori-
ts publiques belges et des organismes publics ou privs de droit belge pour
autant queux-mmes soient susceptibles de se voir octroyer une autorisation.
Le rgime dautorisation mis en place par la loi est donc pour le moins res-
trictif. Pourtant, les entreprises qui disposent de cette donne doivent tre
mme de le justifier par rapport la lgislation en vigueur. Dailleurs, dans
son formulaire de notification des traitements de donnes, la Commission de
la protection de la vieprive invite indiquer si le traitement dclar porte
sur le numro didentification du registre national et, dans laffirmative, sur
quelle base lgale.
Le traitement du numro didentification du registre national se justifie tou-
tefois au regard de certaines dispositions lgales relatives la scurit sociale.
En effet, lemployeur peut, dans certaines circonstances, tre tenu de fournir
cette information linstitution charge de la perception des cotisations de
scurit sociale, et ce en dehors du rgime des autorisations. Ainsi, en vertu de
larticle4, 2 de larrt royal du 5novembre 2002 instaurant une dclaration
immdiate de lemploi, en application de larticle 38 de la loi du 26 juil-
let 1996 portant modernisation de la scurit sociale et assurant la viabilit
des rgimes lgaux des pensions, lemployeur est oblig de traiter le numro
didentification la scurit sociale du travailleur. Or ce numro correspond
au numro didentification du registre national sil sagit dun assur social
repris dans ledit registre comme il rsulte de larticle 1, 4 de arrt royal
portant des mesures en vue dinstaurer une carte didentit sociale lusage
de tous les assurs sociaux, en application des articles38, 40, 41 et 49 de la loi

94 Voyez cependant les exceptions lobligation de dclaration pour les traitements relatifs ladministra
tion des salaires et la gestion du personnel (A.R. du 13fvrier 2001, art.51 et 52).

94 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

du 26juillet 1996 portant modernisation de la scurit sociale et assurant la


viabilit des rgimes lgaux des pensions.
En dehors de ce cadre dutilisation,lemployeur doit donc veiller ne pas
recueillir ni conserver le numro didentification du registre national moins
quil puisse se fonder sur une loi ou une autorisation ad hoc.

Section3
Les obstacles lis aux oprations de traitement
envisages
A. Linterdiction des dcisions automatises

58. La loi du 8dcembre 1992 interdit quune dcision affectant une per-
sonne de manire significative soit prise sur le seul fondement dun traitement
automatis de donnes destines valuer certains aspects de sa personnalit.
Doit, par exemple, tre considr comme un traitement automatis, la
correction dun examen choix multiples par une machine (par exemple, dans
le cadre dun concours dentre dans la fonction publique).
Toutefois, cette interdiction ne sapplique pas lorsque la dcision est prise
dans le cadre dun contrat ou est fonde sur une disposition lgale ou rgle-
mentaire. Le contrat ou la disposition en question doivent contenir des mesures
garantissant la sauvegarde des intrts de lintress. tout le moins, celui-ci
doit avoir le droit de faire valoir utilement son point de vue.

B. La problmatique des transferts de donnes hors du


territoire de lE.E.E.

59. Parmi les oprations de traitement qui peuvent tre effectues, il en est
une qui est rglemente de manire particulire: il sagit du transfert de don-
nes vers un territoire situ hors de lEspace conomique europen.
La notion de transfert nest dfinie ni dans la directive 95/46/CE, ni
par la loi du 8dcembre 1992. Intuitivement, on serait tent de penser que le
transfert implique lenvoi des donnes et est distinct de la simple possibilit de
permettre la consultation de celles-ci. Des discussions se sont toutefois leves
sur la question de savoir si la diffusion dinformations sur internet correspond
un transfert ds lors que les donnes sont de fait accessibles toute personne
qui accde au site, sans toutefois quune rponse claire ce sujet nmerge.
La C.J.C.E. a, dans larrt Lindqvist du 6novembre 2003, dcid quune per-
sonne mettant en ligne des informations sur un site hberg par un tiers

anthemis 95
Utilisation de loutil informatique et des TIC

noprait pas de transfert de donnes vers des pays tiers95. La Cour a notam-
ment estim que Eu gard, dune part, ltat du dveloppement dinternet
lpoque de llaboration de la directive 95/46 et, dautre part, labsence,
dans son Chapitre IV, de critres applicables lutilisation dinternet, on ne
saurait prsumer que le lgislateur communautaire avait lintention dinclure
prospectivement dans la notion de transfert vers un pays tiers de donnes
linscription, par une personne se trouvant dans la situation de MmeLindq-
vist, de donnes sur une page internet, mme si celles-ci sont ainsi rendues
accessibles aux personnes de pays tiers possdant les moyens techniques dy
accder96.
propos de la situation de MmeLindqvist, la Cour avait relev que Il ressort
du dossier que, pour obtenir les informations figurant sur les pages internet
dans lesquelles MmeLindqvist avait insr des donnes relatives ses collgues,
un utilisateur dinternet devait non seulement se connecter celui-ci mais
aussi effectuer, par une dmarche personnelle, les actions ncessaires pour
consulter lesdites pages. En dautres termes, les pages internet de MmeLin-
dqvist ne comportaient pas les mcanismes techniques qui auraient permis
lenvoi automatique de ces informations des personnes qui navaient pas
dlibrment cherch accder ces pages97 Le raisonnement semble repo-
ser sur lide que les oprations effectues par MmeLindqvist (communiquer
des informations un hbergeur pour quelles figurent sur un site internet)
ne constituent pas en elles-mmes un transfert vers un pays tiers de don-
nes au motif que les donnes nont pas t transfres directement entre
MmeLindqvist et un internaute mais au travers de linfrastructure informa-
tique du fournisseur de services dhbergement o la page est stocke98. Le
raisonnement de la Cour nous semble quelque peu obscur et ne permet pas
de conclure que toute mise en ligne de donnes ne doit pas tre considre
comme un transfert99.

60. Une rponse plus tranche a t donne par le Groupe de lArticle29


dans un autre cas de figure. Lorsque la consultation est couple lextraction
de donnes contenues dans une banque de donnes, le Groupe de lArticle29
a considr quil ne sagissait pas dappliquer les rgles propres au transfert

95 Arrt de la C.J.C.E. 101/01 (dit arrt Bodil Lindqvist), 6novembre 2003, R.D.T.I., 2004, no19, p.67, note
C.de Terwangne.
96 Arrt de la C.J.C.E. 101/01 (dit arrt Bodil Lindqvist), 6novembre 2003, R.D.T.I., 2004, no67, p.75, note
C.de Terwangne.
97 Arrt de la C.J.C.E. 101/01 (dit arrt Bodil Lindqvist), 6novembre 2003, R.D.T.I., 2004, no60, p.74, note
C.de Terwangne.
98 Arrt de la C.J.C.E. 101/01 (dit arrt Bodil Lindqvist), 6novembre 2003, R.D.T.I., 2004, no61, p.74, note
C.de Terwangne.
99 La conclusion de la Cour nest pas partage par tous. Voy. pour une critique de cette dcision: C.de
Terwangne, Affaire Lindqvist ou quand la Cour de justice des Communauts europennes prend posi
tion en matire de protection de donnes caractre personnel, Obs. sous C.J.C.E., 6novembre 2003,
R.D.T.I., 2004, pp.90 ets.

96 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

de donnes. Pour le Groupe de lArticle29100, le fait de permettre laccs


une banque de donnes depuis des pays noffrant pas de protection adquate
implique lutilisation de moyens localiss sur le territoire europen et a pour
consquence que toute la lgislation de la protection des donnes caractre
personnel dcoulant de la directive 95/46/CE est applicable la personne qui
importe les donnes101.

1. Le principe de linterdiction de transfert vers un tat noffrant


pas un niveau adquat de protection
61. Les transferts de donnes caractre personnel entre pays membres de
lUnion europenne et au sein de lEspace conomique europen sont libres.
Une personne tablie en Belgique peut donc envoyer des donnes caractre
personnel dans un autre pays de lEspace conomique europen102 si cet envoi
est lgitime aux yeux de la loi belge, cest--dire si cet envoi simpose pour
raliser le but annonc du traitement des donnes ou sil est compatible avec
ce but.
Par exemple, une entreprise belge peut envoyer les donnes relatives des
employs qui occupent un poste au sein dune autre socit du groupe situe
dans un autre tat membre de lUnion europenne103.
En revanche, on ne peut transfrer des donnes caractre personnel vers
des pays situs en dehors de lEspace conomique europen moins que ceux-
ci nassurent une protection des donnes adquate au regard de celle assure
sur le territoire de lUnion europenne. En labsence dune telle rgle, la forte
protection garantie lintrieur de lUnion europenne serait rapidement vide
de sens tant donn la facilit de circulation des donnes grce aux nouvelles
technologies.
Le transfert de donnes caractre personnel faisant lobjet dun trai-
tement, aprs leur transfert vers un pays situ hors de lEspace conomique

100 Groupe de lArticle29, Avis 6/2002 sur la transmission par les compagnies ariennes dinformations rela
tives aux passagers et aux membres dquipage et dautres donnes aux tats-Unis, WP66, 27octobre
2002, p.7, http://ec.europa.eu/justice/policies/privacy.
101 Voy. no31 et suiv., supra.
102 Le principe de libre circulation des donnes au sein de lU.E. a en effet tendu lE.E.E. qui inclut la Nor
vge, Liechtenstein et lIslande.
103 Sur la problmatique des transferts de donnes (documents et courriers lectroniques) hors E.E.E. (en
particulier vers les tats -Unis) dans le cadre de procdures civiles, voy. Groupe de lArticle29, Docu
ment de travail 1/2009 sur la procdure dchange dinformations avant le procs (pre-trial disco
very) dans le cadre de procdures civiles transfrontalires, WP 158, 11fvrier 2009, http://ec.europa.
eu/justice/policies/privacy/workinggroup.

anthemis 97
Utilisation de loutil informatique et des TIC

europen, ne peut donc avoir lieu que si le pays en question assure un niveau
de protection adquat104.
Tout responsable de traitement qui souhaite exporter des donnes
caractre personnel hors de lEspace conomique europen doit dabord se
demander si le pays destinataire assure un niveau de protection adquat pour de
telles donnes cest--dire si le tiers qui on communique les donnes est
soumis au respect de principes de protection qui assurent une protection qui-
valente celle qui prvaut sur le territoire europen.
Pour valuer la qualit de la protection offerte, il faut tenir compte de
toutes les circonstances relatives un transfert de donnes ou une catgorie
de transferts de donnes, notamment de la nature des donnes, de la finalit et
de la dure du ou des traitements envisags ainsi que des rgles de droit, gn-
rales et sectorielles, en vigueur dans le pays en cause, tout comme des rgles
professionnelles et des mesures de scurit qui y sont respectes. En cas de
doute, on peut sadresser la Commission de la protection de la vieprive pour
savoir si un pays particulier offre une protection adquate et si les transferts de
donnes vers ce pays sont autoriss. Le Roi peut, aprs avis de la Commission
de la protection de la vieprive, tablir une liste noire de pays vers lesquels
les donnes ne peuvent tre envoyes105. Il est noter que la Commission euro-
penne a adopt diffrentes dcisions constatant que certains pays offrent un
niveau de protection adquat106.

2. Drogations
62. Le transfert de donnes vers des pays qui noffrent pas un niveau de pro-
tection adquat peut nanmoins tre ralis soit dans les hypothses o la loi le
prvoit (a), soit moyennant la runion de garanties qui pallient labsence de
protection suffisante (b).

104 Art.21, 1 de la loi du 8dcembre 1992.


105 Art.21, 2 de la loi du 8dcembre 1992. Une telle liste nexiste pas ce jour.
106 lheure actuelle il existe des dcisions concernant la Suisse, le Canada, lArgentine, Guernesey, les les
Fro, lIle de Man, Andorre, Isral, les principes de la sphre de scurit publis par le ministre du
Commerce des tats-Unis dAmrique et les donnes caractre personnel contenues dans les dossiers
des passagers ariens transfrs au Bureau des douanes et de la protection des frontires des tats-Unis.
Consultez cet gard le site de la Commission europenne: http://ec.europa.eu/justice/policies/pri
vacy/thridcountries.

98 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

a. Hypothses dans lesquelles le transfert est permis sans obligation doffrir


des garanties complmentaires

63. Le transfert des donnes vers des pays qui noffrent pas un niveau de pro-
tection adquat est autoris dans certaines hypothses limitativement numres
par larticle22, 1erde la loi du 8dcembre 1992.
Cest notamment le cas si les personnes concernes donnent leur consen-
tement indubitable au transfert de leurs donnes vers un tel pays, ou lorsque le
transfert est ncessaire pour excuter un contrat avec la personne concerne, ou
encore lorsque les donnes proviennent dun registre public destin linforma-
tion du public (annuaire tlphonique, registre du commerce, par exemple)107.
b. Hypothses dans lesquelles le transfert est permis moyennant loctroi de
garanties complmentaires

64. Le responsable du traitement peut galement offrir lui-mme, par la voie


contractuelle, une protection approprie. La protection peut ainsi tre assure
au moyen dun contrat liant celui qui envoie les donnes et celui qui les reoit
et contenant des garanties suffisantes au regard de la protection des donnes.
Deux modles de contrat offrant des garanties suffisantes sont proposs par
la Commission europenne108: lun concerne un transfert de responsable de
traitement vers un responsable de traitement109, le second un transfert dun
responsable de traitement vers un sous-traitant110.
65. Enfin, un transfert ou un ensemble de transferts de donnes caractre
personnel vers un pays hors Espace conomique europen et nassurant pas un
niveau de protection adquat, peut tre spcifiquement autoris par arrt royal
aprs avis de la Commission de la protection de la vieprive, et ce lorsque le
responsable du traitement offre des garanties suffisantes au regard de la protec-
tion de la vieprive et des liberts et droits fondamentaux des personnes, ainsi
qu lgard de lexercice des droits correspondant111.

107 Art.22, 2 de la loi du 8dcembre 1992.


108 Ces contrats standards sont disponibles sur le site de la Commission europenne: http://ec.europa.eu/
justice/policies/privacy/modelcontracts.
109 Voy. Dcision 2001/497/CE en ce qui concerne lintroduction dun ensemble alternatif de clauses
contractuelles types pour le transfert de donnes caractre personnel vers des pays tiers telle que
modifie par la dcision 2004/915.CE.
110 Voy. Dcision de la Commission du 5fvrier 2010 (C(2010)593 final) relative aux clauses contractuelles
types pour le transfert de donnes caractre personnel vers des sous-traitants tablis dans des pays
tiers en vertu de la directive95/46/CE du Parlement europen et du Conseil; Dcision 2002/16/CE rela
tive aux clauses contractuelles types pour le transfert de donnes caractre personnel vers des sous-
traitants tablis dans des pays tiers en vertu de la directive 95/46/CE. Pour la notion de sous-traitant,
voyez no84 et s., infra.
111 Art.22 de la loi du 8dcembre 1992. Pour un cas dapplication, voy. Commission de la protection de
la vieprive, Avis no13/2007 relatif un projet darrt royal autorisant les transferts vers un pays non-

anthemis 99
Utilisation de loutil informatique et des TIC

66. Cette autorisation ad hoc tait prvue larticle26, 2 de la directive


95/46/CE. Cest en sappuyant sur cette mme base juridique que le Groupe de
lArticle29 uvre depuis plusieurs annes, pour faciliter la viedes groupes de
socits qui, oprant des traitements de donnes dans diffrents tats membres,
souhaitent obtenir des autorisations pour exporter leurs donnes. Dans un
document de travail du 3juin 2003, le Groupe entamait une rflexion sur la
possibilit de travailler autour des rgles dentreprise contraignantes (REC)
applicables aux transferts internationaux de donnes112. Ds lors quun groupe
de socits aura tabli un corps de rgles contraignantes pour toutes les socits
du groupe se transmettant des donnes et qui permettra de garantir un niveau
de protection suffisant et dassurer le respect des droits des personnes concer-
nes par les donnes, il est envisageable dintroduire une demande dautorisa-
tion dans un tat membre et dobtenir presque automatiquement par la suite
les autorisations des autres tats membres concerns.
Le Groupe de lArticle29 a procd en plusieurs tapes. Dans le document
de travail prcit, il nonce les principes auxquels devraient satisfaire les
REC. Dans un document adopt le 14avril 2005, le Groupe de lArticle29
sest attel dfinir plus particulirement les critres qui devaient prsider
au choix de lautorit de contrle qui serait demande lautorisation de
principe113. Par la suite, le Groupe de lArticle 29 a labor un document
standard pour une demande dautorisation qui devrait grandement faciliter la
viedes entreprises qui font le choix de cette option114. Enfin, le Groupe de
lArticle29a publi le 1eroctobre 2008 un nouveau document comprenant
des rponses aux questions frquemment poses lors des demandes dappro-
bation des rgles dentreprise contraignantes115. Ces FAQ ont pour but
daider les demandeurs obtenir lapprobation de leurs rgles dentreprise
contraignantes en clarifiant certaines exigences nonces prcdemment par

membre de la communaut europenne et nassurant pas un niveau de protection adquat de donnes


caractre personnel demploys de la socit General Electric, 21mars 2007, www.privacycommission.
be.
112 Groupe de lArticle29, Document de travail: Transferts de donnes personnelles vers des pays tiers:
Application de larticle 26 (2) de la directive de lUE relative la protection des donnes aux rgles
dentreprise contraignantes applicables aux transferts internationaux de donnes, 3juin 2003, WP 74,
disponible sur http://ec.europa.eu/justice_home/fsj/privacy.
113 Groupe de lArticle29, Document de travail relatif une procdure de coopration en vue de lmis
sion davis communs sur le caractre adquat de la protection offerte par les rgles dentreprise contrai
gnantes, 14avril 2005, WP 107 disponible sur http://ec.europa.eu/justice/policies/privacy.
114 Groupe de lArticle29, Recommandation 1/2007 sur une demande standard pour lapprobation de
Rgles dEntreprise Contraignantes pour le transfert de donnes caractre personnel, 10janvier 2007,
WP 133, disponible sur http://ec.europa.eu/justice/policies/privacy.
115 Groupe de lArticle29, Document de travail sur les questions frquemment poses (FAQ) concernant
les rgles dentreprise contraignantes du 24juin 2008, 1eroctobre 2008, WP 155, http://ec.europa.eu/
justice/policies/privacy.

100 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

le Groupe116. Elles ne sont pas exhaustives et le Groupe de lArticle29 entend


publier des mises jour, le cas chant.
Le document publi contient des prcisions quant la question de savoir si
les REC doivent sappliquer toutes les donnes caractre personnel trai-
tes par le groupe de socits et aux sous-traitants des socits du groupe. Il
aborde galement la question de la dsignation de la socit responsable en
cas de violation des rgles dentreprise contraignantes commise en dehors
de lUnion europenne et dcrit quelles sont les exigences rencontrer en
matire de conscration du droit de plainte des personnes concernes et de
transparence vis--vis des personnes concernes. Enfin, le Groupe de lAr-
ticle29 se penche galement sur la manire dont les finalits de traitement
doivent tre dcrites et recommande que ces REC soient nonces au sein
dun mme document.
Malgr cette louable initiative, il demeure toutefois quelques difficults que
les REC ne permettront pas dradiquer. La premire consiste en une limite
pose la possibilit de dfinir des rgles uniformment applicables au sein
des entreprises lies par les REC. En effet, chaque entreprise sera tenue de
respecter, outre les REC, le droit national applicable au traitement de don-
nes quil met en uvre. Or, malgr lobjectif dharmonisation poursuivi en
la matire par la directive 95/46/CE, il a t constat quil subsistait encore
dinnombrables disparits entre les lgislations des tats membres117. La
seconde difficultest propre la Belgique. Lautorisation de transfert de don-
nes est, comme prcise ci-avant, obtenue par arrt royal aprs avis de la
Commission de la protection de la vieprive118. Autant dire que cela peut
dcourager plus dune entreprise

tape 3
Affiner le projet de traitement de donnes au regard
des exigences de la loi
67. Lorsque, au terme dune analyse, des ventuels obstacles la mise en
uvre du traitement de donnes envisag, il apparat que ceux-ci sont inexis-
tants ou que le projet peut tre adapt pour lever ces obstacles, il convient alors
de tenir compte des exigences lgales pour dterminer quelles donnes feront
lobjet du traitement (section 1), pour assurer la transparence du traitement
(section2) ainsi que la scurit et la confidentialit des donnes (section3). Par

116 Si cet effort de clarification tend faciliter la viedes groupes internationaux, on dplorera quen Belgique
la procdure dapprobation des REC reste trs lourdepuisquelle requiert une approbation par arrt
royal pris aprs avis de la Commission de la protection de la vieprive.
117 Voy. cet gard le Rapport de la Commission Premier rapport sur la mise en uvre de la directive
relative la protection des donnes (95/46/CE), COM/2003/0265 final, http://eur-lex.europa.eu.
118 Art.22 de la loi du 8dcembre 1992.

anthemis 101
Utilisation de loutil informatique et des TIC

ailleurs, dans lhypothse o des donnes sensibles font lobjet du traitement,


certaines exigences complmentaires doivent tre rencontres (section4).

Section1
Exigences quant aux donnes traites
A. Lorigine de donnes

68. Larticle4, 1er, 1 de loi du 8dcembre 1992 exige que le traitement


soit licite. Le traitement doit tre conforme aux lois et rglementations en
vigueur, en ce compris les dispositions de la loi du 8 dcembre 1992 et de
larrt royal du 13fvrier 2001. Cela implique notamment que le traitement
ne peut porter sur des donnes qui ont t obtenues en violation dune loi.
Ainsi, un traitement consistant rcolter des preuves en vue de licencier un
travailleur pour motif grave ne peut impliquer la violation du secret profes-
sionnel ou du secret des communications lectroniques. Nous vous renvoyons
cet gard la contribution consacre la problmatique du contrle des
travailleurs119.

B. Pertinence des donnes traites

69. Le responsable du traitement ne peut collecter et traiter ensuite que les


donnes qui sont adquates, pertinentes et non excessives au vu des finalits annon-
ces. Autrement dit, il ne peut engranger des donnes dont il sait quelles ne
sont pas pertinentes et ncessaires pour raliser les finalits annonces.
Dans le processus de recrutement du personnel, lemployeur est tenu den
respecter les limites120 et de se plier toutes les conditions applicables au
traitement, notamment, le devoir dinformation de la personne concerne.
titre dexemple, la Commission de la protection de la vieprive a soulign,
en se rfrant larticle11 de la convention collective de travail no38, que
la loi du 8dcembre 1992 relative la protection de la vieprive adopte les
mmes limitations cet gard et ne permet pas que des donnes excessives
soient rcoltes, conserves, transmises,... en fin de compte, traites. De ce
fait, la Commission recommande de ne poser aucune question au candidat
relative son tat de sant lorsque lexercice de la fonction pourvoir nen-

119 Voy. au sein du prsent ouvrage la contribution de R. Robert et K.Rosier consacre la rglementation
et au contrle de lutilisation des technologies de la communication et de linformation sur le lieu du
travail.
120 Signalons galement que le Conseil de lEurope a adopt une recommandation noR(89) 2 sur la protec
tion des donnes caractre personnel utilises des fins demploi. Larticle10 de la recommandation
contient des directives particulires quant au traitement de donnes sensibles dans la phase de recrute
ment.

102 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

gendre pas de risques particuliers et de se limiter aux questions objectivement


ncessaires121.
La loi du 28janvier 2003 relative aux examens mdicaux dans le cadre des
relations de travail dfinit les principes gnraux qui simposent lorsque
lemployeur envisage de faire passer des examens mdicaux un travailleur
ou un candidat lembauche ou de collecter des informations relatives
son tat de sant. Larticle6 de la loi prcise expressment que larticle7 de
la loi du 8dcembre 1992 sur la protection de la vieprive, portant sur les
donnes relatives la sant, est applicable aux informations recueillies dans
le cadre dexamens mdicaux. Aux termes de larticle3 de cette loi, les tests
biologiques, examens mdicaux ou les collectes dinformations orales, en
vue dobtenir des informations mdicales sur ltat de sant ou des informa-
tions sur lhrdit dun travailleur ou dun candidat travailleur, ne peuvent
tre effectus pour dautres considrations que celles tires de ses aptitudes
actuelles et des caractristiques spcifiques du poste pourvoir. Lexamen
gntique prvisionnel et le test de dpistage de linfection par le virus de
limmunodficience humaine sont, quant eux, interdits.

C. Dure de conservation limite des donnes

70. Le corollaire de lexigence dadquation des donnes est que, ds que les
donnes ne sont plus ncessaires ou pertinentes pour la finalit annonce, le
responsable du traitement doit les effacer ou les rendre anonymes122.
Ainsi, la dure de conservation de certaines donnes dans la relation de tra-
vail pourra se justifier au regard, et dans les limites, de la rglementation sur
les documents sociaux. Larrt royal no 5 du 23 octobre 1978 relatif la
tenue des documents sociaux impose un certain nombre dobligations aux
employeurs, ainsi quaux personnes qui y sont assimiles123.
Les documents sociaux dont la tenue est prescrite par lA.R. no 5 sont le
registre gnral, le registre spcial du personnel, le compte individuel, le
registre de prsence, le contrat doccupation dtudiant, le contrat doccupa-
tion de travailleur domicile et la convention dimmersion professionnelle124.

121 Commission de la protection de la vie prive, Avis dinitiative no08/2002 relatif au traitement de don
nes caractre personnel ralis par des socits prives dintrim, p.2, www.privacycommission.be.
122 Cf.Art.4, 1, 5 de la loi du 8dcembre 1992. Il existe cependant une exception ce principe: le res
ponsable du traitement peut conserver des donnes au-del de ce qui est ncessaire la ralisation des
finalits initiales pour autant que cette conservation soit justifie par des fins scientifiques, statistiques
ou historiques et que le responsable du traitement se plie aux exigences de larrt royal du 13fvrier
2001.
123 Larticle1erde lA .R. no5 nest nanmoins pas applicable aux travailleurs rgis par un statut qui sont

occups par ltat, les Provinces, lAgglomration, les Fdrations de communes et les Communes (art.3
de lA.R. du no5).
124 Cf. ChapitreII de lA.R. no5.

anthemis 103
Utilisation de loutil informatique et des TIC

D. Exactitude des donnes conserves


71. Enfin, il faut que les donnes traites soient exactes et compltes au regard
des finalits poursuivies. Le responsable doit prendre toutes les mesures raison-
nables pour que les donnes soient mises jour et pour quelles le restent125.
Par exemple, si lentreprise maintient des banques de donnes relatives aux
travailleurs en service dans lentreprise, elle a lobligation de prendre des
mesures pour sassurer que les donnes enregistres sont maintenues jour.
Cela implique, par exemple, quen cas de changement dadresse dun travail-
leur, elle fasse en sorte den tre informe.

Si le principe nous semble pertinent, il est noter que bon nombre de


donnes ne peuvent notre sens tre qualifies dexactes ou inexactes dans la
mesure o elles comportent par leur nature mme une part de subjectivit. Les
apprciations relatives la qualit du travail dun employ peuvent videm-
ment reflter en partie lopinion dun suprieur hirarchique qui juge que ledit
employ rsiste ou non au stress, fait preuve defficacit et dinitiative. Cette
attnuation du principe ninterdit pas que des prcautions ne soient prises pour
satisfaire une exigence dobjectivit dans la mesure du possible.
Cest ainsi que, propos de tests de personnalit ou psychotechniques dans
le cadre de recrutement, la Commission de la protection de la vie prive
indique que, afin de satisfaire lexigence dexactitude des donnes traites,
il est ncessaire que ces tests et leur interprtation soient raliss sous la res-
ponsabilit dun psychologue ou, et dans ce cas avec laccord du candidat, par
une personne dment forme ce type de missions par un psychologue126.

Section2
Exigences relatives la transparence du traitement
72. Le traitement doit tre loyal par rapport aux personnes concernes. Cela
implique que celles-ci soient informes des traitements qui les concernent.
Il sagit, dune part, de fournir une information individuelle aux per-
sonnes concernes par le traitement et, dautre part, de dclarer le traitement
au moyen dun formulaire ad hoc auprs de la Commission de la protection de
la vieprive. La dclaration de traitement est ainsi intgre dans un registre
public accessible tous et, depuis quelques annes, consultable sur internet.

125 Art.4, 1, 4 de la loi du 8dcembre 1992. Larticle16, 2, 1 de la loi du 8dcembre 1992 impose au
responsable de traitement de faire toute diligence pour tenir les donnes jour, pour rectifier ou sup
primer les donnes inexactes, incompltes ou non pertinentes, ainsi que celles obtenues ou traites en
mconnaissance des articles4 8 de la loi du 8dcembre 1992.
126 Commission de la protection de la vie prive, Avis dinitiative no08/2002 relatif au traitement de don
nes caractre personnel ralis par des socits prives dintrim, p.4, www.privacycommission.be.

104 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

Si ces deux exigences procdent du mme but, savoir assurer une trans-
parence des traitements effectus, tant le contenu que la forme et le moment
de linformation diffrent.
Tandis que la dclaration prend la forme dun formulaire avec cases
remplir par rfrence diffrents lexiques sur les finalits et types de donnes
traites, la communication de linformation individuelle est moins encadre.

A. Dclaration la Commission de la protection de la vieprive

73. La dclaration doit tre pralable la mise en uvre du traitement127.


Cette dclaration se fait auprs de la Commission de la protection de la
vieprive au moyen dun formulaire type (sur papier ou en ligne). Une contri-
bution financire est verser chaque dclaration.
Tous les renseignements transmis dans la dclaration sont repris dans un
registre public. Ce registre peut tre librement consult par quiconque sur
place, dans les locaux de la Commission de la protection de la vieprive ou
en ligne.

1. Contenu de la dclaration
74. La dclaration comporte une description des caractristiques du traite-
ment. Doivent y figurer, notamment128:
les finalits du traitement;
les catgories de donnes traites (pas les donnes elles-mmes);
les catgories de destinataires qui les donnes peuvent tre fournies;
les garanties entourant la communication de donnes des tiers;
les moyens par lesquels les personnes propos desquelles des donnes
sont traites en seront informes;
les mesures prises pour faciliter lexercice du droit daccs;
les catgories de donnes destines tre transmises ltranger et les
pays de destination;
la priode au-del de laquelle les donnes ne peuvent plus tre gardes,
utilises ou diffuses.

75. Par ailleurs, aux termes de larticle25 de larrt royal du 13fvrier 2001,
le responsable de traitement doit indiquer soit lors de linformation, soit dans
la dclaration la Commission de la protection de la vieprive, la base lgale

127 Art.17 de la loi du 8dcembre 1992.


128 Art.17, 2 de la loi du 8dcembre 1992.

anthemis 105
Utilisation de loutil informatique et des TIC

(article de la loi) sur laquelle il se fonde pour traiter les donnes sensibles129.
En ralit, le formulaire de dclaration de traitement comporte un champ au
sein duquel cette mention est automatiquement requise lorsque le responsable
de traitement dclare par ailleurs traiter des donnes sensibles. En pratique, le
responsable de traitement mentionnera donc la base lgale au sein de la dcla-
ration de traitement, moins quil ne soit dispens de cette dclaration en
vertu des exceptions prvues en ce sens.

2. Exceptions lobligation de dclaration


76. Outre le fait quil ne faut pas dclarer les traitements manuels (sur papier
ou microfiches), une srie de traitements automatiss de donnes font lobjet
dune dispense de dclaration130. Il sagit notamment, dans les limites admises
par larrt royal du 13fvrier 2001131, des traitements raliss par ladminis-
tration des salaires du personnel travaillant pour le responsable du traitement et
des traitements pour ladministration du personnel au service du responsable
du traitement. Ces exceptions sont galement reprises dans le formulaire de
dclaration propos par la Commission de la protection de la vieprive.
Il convient de bien vrifier pour chaque exception dans quelle limite
celle-ci est valable. Ainsi, lexception prvue larticle52 de larrt royal pour
les traitements de donnes caractre personnel qui visent exclusivement lad-
ministration du personnel au service du ou travaillant pour le responsable du
traitement ne joue pas si le traitement se rapporte des donnes relatives la
sant de la personne concerne, des donnes sensibles ou judiciaires au sens
des articles6 et 8 de la loi ou des donnes destines une valuation de la
personne concerne.
Le dfaut de dclaration est sanctionn pnalement132.
Si le responsable de ces traitements est dispens de la formalit de dcla-
ration, il doit tout de mme tenir la disposition de toute personne qui en
fait la demande les mmes renseignements que ceux contenus dans la dcla-
ration133. Cet exercice nest certes pas vain: il contribue une bonne gestion
interne des ressources informationnelles.

129 Art.25, 4 de la loi du 8dcembre 1992.


130 Ces exceptions sont prvues aux articles51 62 de lA.R. du 13fvrier 2001. Il convient de bien vrifier
pour chaque exception dans quelle limite celle-ci est valable. Ces exceptions sont galement reprises
dans le formulaire de dclaration propos par la Commission de la Protection de la ViePrive.
131 Pour une description synthtique des cas dexemptions et des conditions y relatives, voyez http://www.
privacycommission.be/declarations/lexique1.htm, question 2.13.
132 Art.39, 7 de la loi du 8dcembre 1992.
133 Voy. plus particulirement: art.51 et 52 de lA.R. du 13fvrier 2001.

106 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

77. Il est encore noter que le responsable du traitement doit galement


informer la Commission de la protection de la vie prive de la suppression
dun traitement automatis ou de toute modification de traitement intervenant
postrieurement la dclaration134.

B. Information des personnes concernes


1. Quand linformation doit-elle tre donne?
78. Il convient de distinguer deux hypothses: celle o le responsable du
traitement collecte les donnes directement auprs de la personne concer-
ne135 de celle o les donnes ne lui sont fournies par elle136.
Dans le premier cas de figure, le responsable du traitement doit fournir
linformation requise au plus tard au moment de la collecte, moins que ces
personnes naient dj reu lesdites informations auparavant.
Il se peut galement que le responsable du traitement obtienne les don-
nes, non auprs de la personne concerne, mais auprs dun tiers par exemple.
Dans ce cas, le responsable du traitement doit informer les personnes concer-
nes, moins quelles ne le soient dj, au moment de lenregistrement des
donnes ou, au plus tard, lors de la premire communication un tiers si une
telle communication est envisage.

2. Quelle est linformation fournir?


79. La principale difficult dans le cadre de linformation individuelle est de
fournir une information suffisamment prcise au regard de la loi tout en tant
toutefois suffisamment large que pour comprendre lensemble des oprations
qui seront ncessaires au traitement.
En effet, la loi prvoit que linformation doit au minimum porter sur les
points suivants:
le nom et ladresse du responsable du traitement;
les finalits de traitement;
si les donnes seront traites des fins de marketing direct (toutes
dmarches de promotion), lexistence dun droit de sopposer gratuite-
ment un tel traitement137.

134 Art.17, 7 de la loi du 8dcembre 1992. Pour en savoir plus sur la fin des traitements, voyez http://www.
privacycommission.be/declarations/lexique1.htm, questions 2.19 et 2.20.
135 Art.9, 1 de la loi du 8dcembre 1992.
136 Art.9, 2 de la loi du 8dcembre 1992.
137 Non seulement la loi du 8dcembre 1992 impose dannoncer lexistence dun droit dopposition, mais
larrt royal en son article34 impose au responsable du traitement de proposer la personne concer
ne dexercer son droit dopposition.

anthemis 107
Utilisation de loutil informatique et des TIC

La loi impose toutefois au responsable du traitement de fournir toute


autre information supplmentaire qui permet dassurer un traitement loyal des
donnes au vu des circonstances particulires de traitement et notamment:
les destinataires ou les catgories de destinataires des donnes (personnes
qui les donnes seront communiques);
le caractre obligatoire ou non de la rponse, ainsi que les consquences
ventuelles dun dfaut de rponse;
lexistence pour chacun dun droit daccs aux donnes qui le concernent
et dun droit de rectification de celles-ci.

Cette liste nest donc pas exhaustive et il convient de dterminer au cas


par cas quelle information devrait tre donne pour assurer un traitement loyal.
Ainsi, la Commission de la protection de la vieprive prconise-t-elle lors
de la mise en place dun systme daccs fonctionnant grce des donnes
biomtriques (images, empreintes digitales, etc.) que les personnes reoivent,
outre les informations minimales prvues par la loi, une information propos
du type de systme biomtrique utilis (type de stockage notamment), de
lexistence dun taux derreur de reconnaissance inhrent tout systme bio-
mtrique et de la procdure suivre par la personne concerne lors dune
prtendue non-reconnaissance par le systme138.

3. Comment linformation doit-elle tre fournie?


80. Si linformation ne doit pas ncessairement tre donne par crit, on
ne peut que le conseiller des fins probatoires. Il est donc recommand de
faire figurer dans un document remis au travailleur soit lors de lengagement
(contrat de travail ou rglement de travail, par exemple), soit sur le document
lui demandant de fournir certaines informations, une clause linformant des
traitements de donnes qui seront effectus sur les informations que le travail-
leur fournit ou que lemployeur sera amen recevoir de tiers139.

4. Existe-t-il des exceptions lobligation dinformation?


81. Lors dune collecte auprs de tiers, le responsable du traitement est, tou-
jours, dispens de lobligation dinformation dans deux hypothses.

138 Commission de la protection de la vie prive, Avis dinitiative no 17/2008 relatif aux traitements de
donnes biomtriques dans le cadre de lauthentification de personnes (A/2008/017), 9avril 2008, p.18,
www.privacycommission.be.
139 Pour la fourniture dinformations par le biais de communications lectroniques, voy. Groupe de lAr
ticle29, Avis 10/2004 sur Dispositions davantage harmonises en matire dinformations, WP100,
25novembre 2004, p.7, http://ec.europa.eu/justice_home/fsj/privacy.

108 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

82. La premire concerne le cas de figure o la dmarche dinformation


savre impossible ou extrmement difficile140.
La loi ne prcise pas ce qui pourrait constituer un obstacle rendant impossible
ou extrmement difficile linformation. On peut aisment concevoir des dif-
ficults matrielles: le nombre de personnes concernes, le fait que lon ne
soit pas en mesure de les contacter, etc. Rien nexclut de pouvoir galement
concevoir des impossibilits dune autre nature. Ainsi, confronte la question
de linformation fournir par un avocat aux personnes propos desquelles
il a obtenu des informations, C. de Terwangne indique que lexception peut
aussi se concevoir en raison dune impossibilit fonctionnelle (dans le sens o
linformation contrarierait luvre de lavocat) ou lgale (dans la mesure o
il existe une obligation lgale de respecter le secret professionnel)141. Dans le
droit fil de ce raisonnement, il nous semble que, dans certaines hypothses, on
pourrait invoquer une impossibilit dinformer lorsque cette dmarche irait
lencontre de lexercice des droits de dfense ou de la gestion dun conten-
tieux impliquant un ou plusieurs membres du personnel.

Celui qui invoque limpossibilit ou les efforts disproportionns quim-


pliquerait pour lui le fait dinformer les personnes concernes doit se justifier
auprs de la Commission de la protection de la vieprive. Il rajoute cette justi-
fication dans la dclaration quil doit faire avant de dmarrer son traitement142.
83. Une seconde exception est prvue: le responsable du traitement est
exempt de lobligation dinformation lorsque lenregistrement ou la com-
munication des donnes est effectu en vue de lapplication dune disposition
prvue par ou en vertu dune loi, dun dcret ou dune ordonnance143. La
loi du 8dcembre 1992 ne semble donc pas exiger que la loi, le dcret ou
lordonnance en question prvoie la communication ou lenregistrement en
tant que tels. lire la loi du 8dcembre 1992, il suffit que cet enregistrement
soit effectu pour lapplication de dispositions lgales.
Toutefois si une prise de contact stablit (plus tard) avec une ou plusieurs
personnes concernes, le responsable du traitement devra ce moment fournir
les informations numres144.

140 Art.9, 2, e) de la loi du 8dcembre 1992.


141 C. de Terwangne, Les cabinets davocats et la loi sur la protection des donnes caractre personnel,
in Cabinets davocats et technologies de linformation: balises et enjeux, Bruxelles, Bruylant, 2005, p.171.
142 Art.31 de lA.R. du 13fvrier 2001.
143 Art.9, 2, e) de la loi du 8dcembre 1992.
144 Art.30 de lA.R. du 13fvrier 2001.

anthemis 109
Utilisation de loutil informatique et des TIC

Section3
Exigences relatives la scurit et la confidentialit des
donnes
A. Veiller la confidentialit des donnes

84. Le responsable du traitement doit veiller ce que les personnes travaillant


sous son autorit naient accs et ne puissent utiliser que les donnes dont elles ont
besoin pour exercer leurs fonctions. Il nest pas question de permettre aux membres
du personnel davoir accs des donnes qui ne leur sont pas ncessaires145.
Par exemple, les donnes caractre personnel relatives des employs
peuvent tre ncessaires aux personnes travaillant au sein dun dpartement
ressources humaines. Par contre, seules certaines dentre elles telles le nom,
numro de bureau, extension tlphonique par exemple sont utiles au rcep-
tionniste.
85. Le responsable doit en outre mettre son personnel au courant des pres-
crits des dispositions lgales en matire de protection des donnes146. Il doit
expliquer les principes de protection qui doivent dsormais tre respects. Cela
peut, par exemple, tre ralis nous semble-t-il par des formations dispenses
en interne ou par la mise disposition dun petit guide pratique, sur papier ou
sur lintranet, qui reprend les principes lgaux respecter.
86. En cas de sous-traitance dun traitement effectu sur des donnes sen-
sibles, le responsable du traitement devra prvoir une obligation de confidenti-
alit charge du sous-traitant147.

B. Veiller la scurit des donnes

87. Le responsable du traitement est tenu de protger les donnes contre


une curiosit malsaine venant de lintrieur ou de lextrieur ou contre des
manipulations non autorises, quelles soient de nature accidentelle ou quelles
soient malintentionnes. Il doit prendre les mesures techniques et organisa-
tionnelles requises pour protger les donnes caractre personnel contre la
destruction accidentelle ou non autorise, contre la perte accidentelle ainsi que
contre la modification, laccs et tout autre traitement non autoris de donnes
caractre personnel148.

145 Art.16, 2, 2 de la loi du 8dcembre 1992.


146 Art.16, 2, 3 de la loi du 8dcembre 1992.
147 Cf. section D, infra.
148 Art.16, 4 de la loi du 8dcembre 1992.

110 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

Ces mesures de scurit que doit prendre le responsable du traitement


sont donc de deux ordres: des mesures organisationnelles (limiter le nombre
de personnes ayant accs aux donnes, fermer les locaux o sont localiss les
ordinateurs et les fichiers, etc.) et des mesures techniques (protger les bases
de donnes contre les virus (programme anti-virus, firewalls), utiliser des droits
daccs - mots de passe et noms dutilisateur -, cryptage, protection des locaux
contre les incendies et dgts des eaux, etc.).
La loi du 8dcembre 1992 prcise que ces mesures doivent assurer un
niveau de protection adquat, compte tenu, dune part, de ltat de la technique
en la matire et des frais quentrane lapplication de ces mesures et, dautre
part, de la nature des donnes protger et des risques potentiels. Plus les don-
nes en cause sont sensibles et les risques pour la personne concerne grands,
plus importantes seront les prcautions prendre.

C. Prvoir certaines garanties en cas de sous-traitance


88. Le responsable de traitement peut confier lexcution des oprations de
traitement un tiers sous-traitant. Le sous-traitant est donc la personne phy-
sique ou morale, lassociation de fait ou ladministration publique qui traite des
donnes caractre personnel pour le compte du responsable du traitement et
est autre que la personne qui, place sous lautorit directe du responsable du
traitement, est habilite traiter les donnes149.
Le sous-traitant typique est le secrtariat social qui traite certaines donnes
qui lui sont transmises par un employeur. On peut galement citer lexemple
de la socit informatique qui ralise un back up des donnes du responsable du
traitement ou de la socit de publipostage qui se charge de lenvoi de courrier
sur la base dune liste de destinataires tablie par ses clients.T.Van Overstraeten
cite galement les tiers vers lesquels certains services tels que des call centers, des
services informatiques ou business process sont externaliss (outsourcing)150.
En revanche, les employs ne sont pas des sous-traitants de leur
employeur151.
89. Le responsable du traitement qui confie tout ou partie du traitement de
donnes caractre personnel un sous-traitant doit sassurer que celui-ci offre
des garanties suffisantes au regard des mesures de scurit technique et dorga-

149 Art.1, 5 de la loi du 8dcembre 1992.


150 T.Van Overstraeten, La protection des donnes caractre personnel: quelques rflexions de prati
cien, in Les 25 marchs mergents du droit, (dir. L. Marlire), Bruxelles, Bruylant, 2006, pp. 357-358.
151 Cf.chapitre 2, infra.

anthemis 111
Utilisation de loutil informatique et des TIC

nisation relatives aux traitements152. Il doit conclure avec ce dernier un contrat


par crit, sur support papier ou lectronique, au sein duquel il est prvu quele
sous-traitant veillera appliquer ces mesures, quil nagira que sur instruction
du responsable du traitement et veillera ce que son personnel respecte ce
principe. Le contrat doit galement fixer la responsabilit du sous-traitant vis-
-vis du responsable du traitement153.

Section4
Exigences propres un traitement portant sur des
donnes sensibles
A. Information spcifique en cas de traitement de donnes
sensibles

90. Lorsque le responsable du traitement traite des donnes sensibles il doit


fournir, outre les informations reprises supra154, des informations supplmentaires,
et ce quil ait obtenu les informations de la personne concerne ou dun tiers.
Le responsable du traitement doit indiquer lors de linformation, si
ce nest dj fait dans la dclaration la Commission de la protection de la
vieprive, la base lgale (article de la loi du 8dcembre 1992) sur laquelle il se
fonde pour traiter les donnes sensibles155.
En outre, dans lhypothse o le traitement de ces donnes est exclusive-
ment autoris moyennant le consentement crit de la personne concerne, le res-
ponsable du traitement doit lui indiquer les motifs pour lesquels ses informations
sont traites, ainsi que les catgories de personnes ayant accs ses donnes156.

B. Garanties supplmentaires

91. Des garanties supplmentaires sont respecter galement en cas de trai-


tement de donnes sensibles:
le responsable du traitement doit dsigner les catgories de personnes
ayant accs aux donnes et dcrire de manire prcise leur fonction par

152 Selon larticle17, 3 de la directive 95/46/CE, la loi de rfrence applicable pour dterminer quelles sont
les obligations est la loi de ltat membre dans lequel le sous-traitant est tabli. Voy. cet gard, Groupe
de lArticle29, Opinion 8/2010 on applicable law, WP179, 16dcembre 2010, p.25, http://ec.europa.
eu/justice/policies/privacy.
153 Art.16, 1 de la loi du 8dcembre 1992.
154 Cf. no79.
155 Art.25, 4 de la loi du 8dcembre 1992.
156 Art.26 de lA.R. du 13fvrier 2001.

112 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

rapport au traitement des donnes157. Cela noblige pas le responsable du


traitement dsigner les personnes par leur nom mais plutt tablir des
profils daccs (le personnel de tel service, par exemple);
de plus, les personnes traitant des donnes sensibles devront tre tenues
par une obligation de confidentialit quelle soit lgale, statutaire ou
contractuelle158. Celle-ci est galement applicable au sous-traitant,
lorsque le responsable confie la ralisation de certaines oprations de
traitement un tiers159.

tape 4
Se mettre en mesure de permettre un exercice
effectif des droits des personnes concernes
92. Paralllement aux conditions prescrites pour la mise en uvre dun trai-
tement de donnes caractre personnel, la loi du 8dcembre 1992 dfinit les
droits dont bnficient les personnes concernes.

Section1
Droit la curiosit
93. Nous avons voqu ci-avant160, lobligation faite au responsable de trai-
tement dinformer les personnes concernes propos des traitements oprs
sur les donnes les concernant.
94. Cette obligation de transparence est prolonge par le droit de toute per-
sonne interpeller un responsable de traitement pour savoir sil traite des donnes
le concernant161. Le responsable ainsi interrog doit confirmer sil dtient ou
non des donnes et, dans laffirmative, il a lobligation de prciser dans quel but il
dtient ces donnes, de quelles catgories de donnes il sagit et quels en sont les
destinataires. Ainsi, un employ dune filiale pourrait interpeller une autre socit
du groupe pour savoir si des donnes le concernant lui ont t communiques.
95. Les personnes concernes disposent galement dun droit daccs
direct162 aux donnes les concernant. Elles peuvent demander recevoir, sous

157 Art.25,1 de lA.R. du 13fvrier 2001.


158 Art.8, 3 de la loi du 8dcembre 1992 et art.25, 3 de lA.R. du 13fvrier 2001.
159 Art.25, 3 de lA.R. du 13fvrier 2001; pour la notion de sous-traitant cf. no26 et 88.
160 Cf. no78 et s., supra.
161 Art.10, a) de la loi du 8dcembre 1992.
162 Il existe galement un droit daccs indirect spcifique aux donnes relatives la sant qui peut seffec
tuer soit directement par la personne sur qui portent les donnes, soit par lintermdiaire dun profes

anthemis 113
Utilisation de loutil informatique et des TIC

une forme intelligible, une copie des donnes faisant lobjet dun traitement
ainsi que toute information disponible sur lorigine des donnes163. Le droit de
connatre la provenance des donnes utilises est particulirement important
car cest bien souvent la question de la source des informations qui proccupe
les personnes concernes.
96. Dans le cas de dcisions automatises164, la personne en cause doit pou-
voir avoir aussi accs la logique qui sous-tend le traitement automatis en
question165.
97. Pour exercer son droit daccs, la personne concerne doit, aux termes de
la loi, adresser une demande au responsable du traitement en faisant la preuve
de son identit (en joignant la photocopie de sa carte didentit, par exemple).
La demande doit tre date et signe et peut tre envoye par la poste ou par
tout moyen de tlcommunication (par fax, par courrier lectronique avec
apposition dune signature lectronique) ou tre dpose sur place (dans ce cas
la personne concerne doit se voir dlivrer un accus de rception).
Elle peut tre adresse:
o
1 soit au responsable du traitement ou son reprsentant, ses mandataires
ou prposs;
o
2 soit au sous-traitant du responsable du traitement qui la communique
lune des personnes mentionnes sous 1166.

Il est vident que, dans le cadre dune entreprise, il est possible et mme
sans doute prfrable de mettre en place une procdure ad hoc, en indiquant
par exemple la procdure interne suivre et la personne au sein de lentreprise
contacter.
98. Le responsable du traitement doit rpondre sans dlai et au plus tard dans
les quarante-cinq jours de la rception de la demande et fournir une copie
complte des donnes ainsi quun avertissement de la facult dexercer les
recours prvus par la loi du 8dcembre 1992 et, ventuellement, de consulter
le registre public de la Commission de la protection de la vieprive167.

sionnel des soins de sant choisi par cette personne, si le responsable du traitement ou la personne elle-
mme demande lintervention dun intermdiaire. Ceci ne porte pas prjudice toutefois lapplication
de la loi du 22aot 2002 relative aux droits du patient qui contient galement des dispositions relatives
laccs du patient son dossier mdical.
163 Art.10, 1, b) de la loi du 8dcembre 1992.
164 Cf. no58, supra.
165 Art.10, 1, c) de la loi du 8dcembre 1992.
166 Art.32 de lA.R. du 13fvrier 2001.
167 Art.10, 1, d) de la loi du 8dcembre 1992.

114 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

Il est toutefois prvu que le responsable de traitement ne doit donner


suite une nouvelle demande daccs qu lexpiration dun dlai raisonnable,
compter de la date dune demande antrieure dune mme personne laquelle
il a t rpondu ou de la date laquelle les donnes lui ont t communiques
doffice168.

Section2
Le droit de rectification
99. Chacun peut, sans frais, faire rectifier les donnes inexactes qui se rap-
portent lui et faire effacer ou interdire dutilisation les donnes incompltes,
non pertinentes ou interdites169.
Les modalits dexercice du droit de rectification sont identiques
celles prvues pour laccs aux donnes170. Le responsable du traitement doit
rpondre dans le mois celui qui a demand les corrections. Il doit indiquer
les rectifications ou effacements quil a effectus. Sil ne le fait pas, la personne
concerne peut dnoncer ce comportement la Commission de la protection
de la vieprive, voire initier une procdure en justice171.
Si des donnes inexactes, incompltes, non pertinentes ou interdites ont
t transmises des tiers, le responsable doit, dans le mois, signaler les correc-
tions ou effacements effectuer aux personnes qui ces donnes ont t com-
muniques, moins que cela ne savre impossible ou extrmement difficile172.

Section3
Le droit dopposition
100. La personne concerne a le droit de sopposer ce que les donnes la
concernant fassent lobjet dun traitement, mais elle doit invoquer des raisons
srieuses et lgitimes. Le responsable de traitement ne peut plus traiter les don-
nes de la personne concerne si lopposition est justifie.
Le droit dopposition nest cependant pas admis pour les traitements
ncessaires la conclusion ou lexcution dun contrat ou lorsque le traite-
ment est impos par une obligation lgale ou rglementaire173.

168 Art.10, 3 de la loi du 8dcembre 1992.


169 Art.12, 1 et 2 de la loi du 8dcembre 1992.
170 Art.33 de lA.R. du 13fvrier 2001.
171 Cf. art.13 15bis de la loi du 8dcembre 1992.
172 Art.12, 3 de la loi du 8dcembre 1992.
173 Art.12, 1 de la loi du 8dcembre 1992.

anthemis 115
Utilisation de loutil informatique et des TIC

Les modalits dexercice du droit dopposition sont identiques celles


prvues pour laccs aux donnes174. Le responsable du traitement doit indi-
quer dans le mois la suite rserve lexercice du droit dopposition.

Conclusion
101. Permettre un exercice effectif de ces droits implique que le responsable
de traitement en tienne compte lors de lorganisation des traitements quil
entend mettre en uvre.
Ainsi, si les donnes traites sont parpilles au sein de diffrentes bases
de donnes, il sera plus difficile de donner suite une demande daccs ou
de sassurer que les demandes de rectifications seront correctement excutes
pour toutes les donnes qui se trouvent traites ci et l dans lentreprise.

Chapitre 2
Le travailleur acteur de traitements

102. Le travailleur peut tre amen oprer des traitements de donnes


caractre personnel. Comme il a t prcis ci-avant, le prpos qui participe
aux traitements de donnes dans le cadre du travail quil accomplit pour son
employeur na pas la qualit de responsable de traitement, ni mme celle de
sous-traitant175.
Il convient donc de sassurer que les traitements entrent dans le cadre de
lexcution du contrat de travail.
Ainsi, si un travailleur effectue des traitements caractre personnel pour
lexcution dun projet qui lui est confi par son employeur, cest ce dernier
qui est le responsable du traitement. Ceci prvaut quand bien mme cest
lemploy qui, en dfinitive, dcide des finalits et des moyens mettre en
uvre dans lexcution du travail. En revanche, si lemploy procde des
traitements de donnes caractre personnel dans le cadre dactivits effec-
tues hors contrat de travail, pour son propre compte (rdaction dun ouvrage
titre personnel par exemple), il est le responsable des traitements raliss
dans ce contexte.

174 Art.33 de lA.R. du 13fvrier 2001.


175 Art.1, 2, 5 de la loi du 8dcembre 1992. Voy. en ce sens: Th.Lonard, La Protection des donnes
caractre personnel et lentreprise, Guide Juridique de lentreprise, TitreXI, livre 112.1, p.18.

116 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

Il incombe lemployeur responsable de traitement de sassurer de la


lgalit des oprations de traitement mises en uvre par ses prposs, quil
sagisse de prposs ou de fonctionnaires.
Ainsi, par exemple, si des dlgus commerciaux prennent linitiative de
constituer des fichiers clients dans lesquels ils intgrent des informations
relatives aux personnes de contact, en ce compris des donnes relatives la
vieprive de ces personnes, cest lemployeur qui doit tre considr comme
responsable de ces traitements. Il appartient donc lemployeur de sassurer
une certaine matrise sur les informations collectes par ses prposs. Sont
donc proscrire des collectes de donnes faites linitiative des travailleurs
et qui seraient trangres aux finalits de traitement, ainsi que des donnes
relatives la vieprive des personnes de contact qui, si elles permettent peut-
tre davoir des contacts plus personnaliss avec la clientle, ne se justifient pas
forcment. Il est dailleurs gnralement fait limpasse sur le respect de lobli-
gation dinformation. On imagine mal une entreprise commerciale informer
les personnes de contact chez ses clients quelle conserve dans des fichiers des
donnes relatives leur situation familiale, etc.

La loi du 8 dcembre 1992 se montre particulirement stricte sur la


marge de manuvre du travailleur. Larticle 16, 3 de cette loi prvoit, en
effet, que Toute personne agissant sous lautorit du responsable du traitement
ou celle du sous-traitant, ainsi que le sous-traitant lui-mme, qui accde des
donnes caractre personnel, ne peut les traiter que sur instruction du res-
ponsable du traitement, sauf en cas dune obligation impose par ou en vertu
dune loi, dun dcret ou dune ordonnance. Autrement dit, la loi exige, nous
semble-t-il, que toutes les oprations de traitement effectues par des prposs
ninterviennent que suivant les instructions spcifiques de lemployeur.
103. Par ailleurs, lemployeur en sa qualit de responsable de traitement, a
galement lobligation dinformer les personnes agissant sous son autorit des
dispositions de la prsente loi et de ses arrts dexcution, ainsi que de toute
prescription pertinente, relative la protection de la vieprive a lgard des
traitements des donnes caractre personnel176.
104. Sur le plan de lorganisation dun traitement de donnes caractre per-
sonnel, certaines rgles intressent galement les prposs. Ainsi le responsable
du traitement doit-il veiller ce que, pour les personnes agissant sous son
autorit, laccs aux donnes et les possibilits de traitement soient limits ce
dont ces personnes ont besoin pour lexercice de leurs fonctions ou ce qui est
ncessaire pour les ncessits du service177. En outre, ds lors que ces prposs

176 Art.16, 2, 3 de la loi du 8dcembre 1992.


177 Art.16, 2, 3 de la loi du 8dcembre 1992.

anthemis 117
Utilisation de loutil informatique et des TIC

sont amens traiter des donnes sensibles, leur employeur, toujours en sa


qualit de responsable de traitement, doit veiller ce quelles soient tenues, par
une obligation lgale ou statutaire, ou par une disposition contractuelle quiva-
lente, au respect du caractre confidentiel des donnes178. Il aura dailleurs d
dterminer les catgories de personnes qui auront accs ces donnes sensibles.
Le responsable de traitement est en effet tenu dtablir une liste des catgo-
ries des personnes qui bnficient de cet accs et de dcrire leur fonction par
rapport au traitement des donnes en cause179. Cette liste doit tre fournie sur
demande la Commission de la protection de la vieprive.
105. la lecture de ces diffrentes dispositions, on peroit toute lambigit
que peut revtir la lgislation quant aux obligations respectives des parties.
Lemployeur, en tant que responsable du traitement, doit sassurer de la lga-
lit de celui-ci et notamment dment informer ses prposs sur les tenants et
aboutissants de la loi. Dans le mme temps, le prpos nest cens agir que sur
la base des instructions du responsable du traitement mais doit lui-mme res-
pecter les dispositions de la loi du 8dcembre 1992. Il est en effet noter que,
nonobstant le fait que le prpos na pas la qualit de responsable de traitement,
cela ne lexempte pas de toute responsabilit en cas de non-respect de la loi. En
marge du rgime de responsabilit du travailleur, les articles38 et 39 de loi du
8dcembre 1992 rigent en infractions pnales la violation de la plupart des
dispositions de la loi et vise galement, dans les personnes susceptibles dtre
sanctionnes, les prposs.

Conclusion

106. Ds lors quun employeur traite, en tant que responsable de traitement,


des donnes (informations crites, photographies, images vido, empreintes
digitales,) relatives ses travailleurs, quil sagisse dun enregistrement, dune
communication ou de la simple conservation de donnes caractre person-
nel,il est tenu de se conformer aux conditions qui permettent de garantir la
transparence et la lgitimit des traitements.
107. Pour assurer la transparence du traitement, lemployeur devra fournir
certaines informations aux travailleurs - notamment en ce qui concerne le
but poursuivi par le traitement - et faire une dclaration du traitement auprs
la Commission de la protection de la vie prive sauf sil peut se prvaloir

178 Art.25, 3 de lA.R. du 13fvrier 2001.


179 Art.25, 1 et 2 de lA.R. du 13fvrier 2001.

118 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail

des exceptions prvues par la loi. Ensuite, concernant la mise en uvre du


traitement, lemployeur doit respecter certains principes: le traitement devra
toujours tre loyal et licite, tandis que les finalits de traitement doivent tre
dtermines, spcifiques et lgitimes. La loi du 8dcembre 1992 dresse une
liste des cas dans lesquels les finalits de traitements sont a priori lgitimes (par
exemple lorsquelles sont ncessaires lexcution dun contrat). Les donnes
collectes devront tre adquates, pertinentes et non excessives par rapport aux
finalits de traitement poursuivies. Lemployeur ne pourra traiter des donnes
caractre personnel (au lieu de traiter des donnes anonymes par exemple)
que lorsque cela est ncessaire au regard du but poursuivi par le traitement. Ce
principe implique galement que les donnes doivent tre effaces ou rendues
anonymes ds quelles ne sont plus ncessaires. Enfin, les donnes ne pourront
en principe tre traites que pour les finalits annonces au travailleur ou pour
des finalits compatibles avec celles-ci.
Si lemployeur se plie ces conditions, il peut traiter des donnes
caractre personnel lexception des donnes dites sensibles. Ces donnes
ne peuvent pas tre traites sauf dans les cas spcifiquement admis par la loi du
8dcembre 1992 et moyennant le respect dobligations et de garanties com-
plmentaires. Certaines restrictions demeurent pour assurer le maintien dun
niveau de protection adquat (rgime des flux transfrontires) ou un quilibre
entre les intrts des parties (rgime des dcisions automatises).
Par ailleurs, la loi du 8dcembre 1992 reconnat aux personnes dont les
donnes font lobjet dun traitement un droit daccs aux donnes, un droit
de rectification et un droit dopposition au traitement pour des motifs srieux
et lgitimes tenant sa situation particulire. Lemployeur doit donc assurer la
possibilit dun exercice effectif de ces droits.
Enfin, tout responsable de traitement doit prendre des mesures tech-
niques et organisationnelles pour assurer la scurit et lintgrit des donnes
ainsi que le respect de la loi du 8dcembre 1992 par son personnel.

anthemis 119