Академический Документы
Профессиональный Документы
Культура Документы
caractre personnel
dans la relation de travail
Karen Rosier
Avocate au barreau de Namur
Chercheuse au Centre de Recherche Information, Droit et Socit (CRIDS) F.U.N.D.P.
Assistante la facult de droit des F.U.N.D.P.
Introduction1
1 Lauteur tient remercier chaleureusement le Professeur Ccile de Terwangne pour ses judicieuses sug
gestions.
2 Pour une autre contribution consacre la question du traitement des donnes caractre personnel
dans le contexte de la relation de travail, voyez E.Plasschaert et J.A.Delcorde, Le traitement des
donnes personnelles des travailleurs, Orientations,nospcial 35ans, mars 2005, pp.26 ets.
anthemis 61
Utilisation de loutil informatique et des TIC
62 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
anthemis 63
Utilisation de loutil informatique et des TIC
11 www.privacycommission.be.
12 http://ec.europa.eu/justice/policies/privacy.
13 Voy. notamment les C.C.T. no68, 81 et 100 et la loi du 28janvier 2003 relative aux examens mdicaux
dans le cadre des relations de travail.
64 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
Chapitre1
Le travailleur sujet du traitement de donnes
tape 1
Vrifier si la loi sur la protection des donnes
sapplique
11. Ds lors que lemployeur a lintention de faire usage de donnes portant
sur un ou plusieurs travailleurs, il convient de se poser la question de lappli-
cation de la loi du 8dcembre 1992. Cette loi ne prvoit pas de systme pour
remdier une irrgularit et rendre le traitement lgal si toutes les conditions
poses par elle pour le traitement de donnes caractre personnel nont pas
t respectes ds le dbut de ce traitement; do limportance de considrer
ces questions de protection des donnes caractre personnel ds avant la mise
en uvre dun traitement.
12. La loi du 8dcembre 1992 consacre le principe de responsabilit civile
du responsable de traitement en cas de non-respect de ses dispositions. Ainsi,
lorsque la personne concerne subit un dommage caus par un acte contraire
anthemis 65
Utilisation de loutil informatique et des TIC
Section1
A-t-on affaire un traitement de donnes caractre
personnel?
14. La loi du 8dcembre 1992 sapplique tout traitement totalement ou
partiellement automatis (par des moyens lectroniques) et aux traitements
manuels (travail sur des fichiers papier ou microfiches)15 ds que, dans ce der-
nier cas, les donnes caractre personnel sont contenues ou appeles figurer
dans un fichier.
66 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
dun numro de compte en banque, dun enregistrement vocal, etc. Par ailleurs,
il peut sagir tant dinformations objectives telles que le nom ou la situation
familiale dune personne que de donnes subjectives tels des avis ou apprcia-
tions se rapportant cette personne17.
Le Groupe de lArticle29 a ainsi prcis cet gard que:
Le champ dapplication de cette dfinition implique que la notion de donne
personnelle peut inclure non seulement les donnes administratives ou qui
rsultent de facteurs objectifs pouvant tre vrifis ou rectifis, mais aussi
tout autre lment, information ou circonstance ayant un contenu informatif
susceptible de fournir des lments de connaissance supplmentaires lgard
dune personne identifie ou identifiable.
Des donnes caractre personnel peuvent donc se retrouver dans le cadre
dvaluations et jugements subjectifs, qui peuvent justement inclure des l-
ments spcifiques caractrisant lidentit physique, physiologique, mentale,
conomique, culturelle ou sociale de la personne concerne. Ceci vaut aussi
lorsquun jugement ou une valuation est exprime sous forme de points, ou
dune chelle de valeurs, ou dautres paramtres dvaluation. Ceci peut rev-
tir une importance particulire lorsque le traitement de donnes personnelles
est effectu dans le but dvaluer laptitude des employs pour un poste dter-
min, ce qui pourrait conduire des discriminations ou bien une valuation
incorrecte de lemploy sur base dinformations incompltes18.
16. Quant au contenu des informations, il importe peu que les donnes
soient publiques ou secrtes, quelles soient relatives la sphre prive, publique
ou professionnelle. Enfin, le support de linformation est galement indiffrent:
linformation peut se trouver sur papier, sous format lectronique ou num-
rique.
17. La donne doit concerner une personne physique, lexclusion des per-
sonnes morales (socits, associations, personnes de droit public,). En outre,
les informations relatives la famille dun individu peuvent dans certaines cir-
constances tre considres comme des donnes caractre personnel concer-
nant cet individu. En ce sens, le Groupe de travail de lArticle 29 prcise
que Les informations concernent une personne lorsquelles ont trait
cette personne, et une valuation simpose la lumire de lensemble des cir-
constances du cas despce. Par exemple, les rsultats dune analyse mdicale
concernent manifestement le patient, tout comme les informations contenues
17 Groupe de lArticle29, Avis 4/2007 sur le concept de donnes caractre personnel, WP 136, 20juin
2007, p.7, http://ec.europa.eu/justice/policies/privacy.
18 Groupe de lArticle29, Recommandation 1/2001 concernant les donnes dvaluation des employs,
WP 42, 22mars 2001, p.2, http://ec.europa.eu/justice/policies/privacy.
anthemis 67
Utilisation de loutil informatique et des TIC
19 Groupe de lArticle29, Avis 4/2007 sur le concept de donnes caractre personnel, WP 136, 20juin
2007, p.11, http://ec.europa.eu/justice/policies/privacy.
20 Groupe de lArticle29, Avis 4/2007 sur le concept de donnes caractre personnel, WP 136, 20juin
2007, p.10, http://ec.europa.eu/justice/policies/privacy.
68 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
anthemis 69
Utilisation de loutil informatique et des TIC
70 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
29 Arrt de la C.J.C.E. 101/01 (dit arrt Bodil Lindqvist), 6novembre 2003, disponible sur le site http://curia.
eu.int. Larrt Lindqvist C-101/01 de la C.J.C.E. a rappel, propos de la mise en ligne dinformations sur
internet, que ds lors que lon recourt des moyens automatiss, il nest pas ncessaire que les donnes
soient rassembles sous forme de fichier pour que la loi sapplique (C. de Terwangne, Affaire Lindqvist
ou quand la Cour de justice des Communauts europennes prend position en matire de protection
de donnes caractre personnel, obs. sous C.J.C.E., 6novembre 2003, R.D.T.I., 2004, no19, p.83).
30 Voy. en ce sens, P.De Hert et R. Saelens, Oeps, de privacy vergeten, Juristenkrant, 27mai 2009, p.10.
31 Toutefois, la loi du 8dcembre 1992 ne sapplique pas lorsque le traitement est effectu par une personne
physique pour lexercice dactivits exclusivement personnelles ou domestiques (art.3, 2 de la loi du
8dcembre 1992). La loi contient galement des exclusions partielles. Certaines des dispositions de la
loi ne sont pas applicables aux traitements de donnes caractre personnel effectus aux seules fins de
journalisme ou dexpression artistique ou littraire lorsque le traitement se rapporte des donnes ren
dues manifestement publiques par la personne concerne ou sur des donnes qui sont en relation troite
avec le caractre public de la personne concerne ou du fait dans lequel elle est implique (Cf. art.3, 3
de la loi du 8dcembre 1992). Dautres exclusions partielles de la loi en considration de lidentit de
lauteur du traitement ont galement t adoptes. De telles exemptions partielles sont en effet notam
ment prvues pour la sret de ltat (art.3, 4), les autorits publiques dans le cadre de leur missions de
police judiciaire (art.3, 5) ou encore le Centre europen pour enfants disparus et sexuellement exploits
(art.3, 6).
anthemis 71
Utilisation de loutil informatique et des TIC
Section2
La loi belge est-elle applicable?
24. Il existe deux critres dapplication territoriale. Le critre principal retenu
pour lapplication de la loi du 8 dcembre 1992 est le lieu dtablissement
du responsable du traitement sur le territoire belge dans le cadre des activits
duquel le traitement est effectu (point A.). Si le responsable de traitement nest
pas localis sur le territoire belge, la loi belge sera tout de mme applicable dans
la mesure o le responsable de traitement fait usage de moyens localiss sur le
territoire belge pour mettre en uvre le traitement de donnes (point B.).
72 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
lui quincombent, par ailleurs, la plupart des obligations dfinies par la loi du
8dcembre 1992. Il convient de distinguer cet gard deux hypothses:
a. Le traitement est prvu dans un texte lgal: dans ce cas la loi du 8dcembre 1992
dispose que lorsque les finalits et les moyens du traitement sont dtermins
par ou en vertu dune loi, dun dcret ou dune ordonnance, le responsable
du traitement est la personne physique, la personne morale, lassociation de
fait ou ladministration publique dsigne comme responsable du traitement
par ou en vertu de cette loi, de ce dcret ou de cette ordonnance35.
b. Dans tous les autres cas: le responsable du traitement est la personne
physique ou morale, lassociation de fait ou ladministration publique
qui, seule ou conjointement avec dautres, dtermine les finalits et les
moyens du traitement de donnes caractre personnel36.
anthemis 73
Utilisation de loutil informatique et des TIC
la marge de manuvre laisse lentit B.Dans bien des cas, cest lentit excu-
tante qui prend en main lexcution du projet et sera la responsable du traitement.
b.En cas de projet excut par diffrentes entits, qui est le responsable des traitements
mis en uvre pour lexcution du projet?
On doit distinguer deux hypothses cet gard:
Soit lensemble des traitements effectus par les participants au projet for-
ment un tout cohrent,auquel casce sont le ou les partenaires qui dcident
des finalits et moyens de traitement qui sont le ou les responsables de trai-
tement. Les autres sont ventuellement des sous-traitants37.
Soit les traitements sont distincts et chaque partenaire est responsable des
traitements de donnes caractre personnel quil effectue pour la mise en
uvre de la partie du projet qui lui est confie.
30. Sil y a plusieurs responsables pour un mme traitement et que ceux-ci sont
tablis dans diffrents tats membres de lUnion europenne dont la Belgique,
le traitement devra tre conforme aux exigences de chacune des lois relatives
la protection des donnes de ces tats membres et donc galement la loi belge.
blissement en question participe lui-mme au traitement de donnes (Th. Lonard, La protection des
donnes caractre personnel et lentreprise, Guide Juridique de lEntreprise, TitreXI, Livre 112.1, Bruxelles,
Kluwer, 2004, 2ed.,p.23). Le Groupe de larticle29 a labor un avis dat du 16dcembre 2010 et qui fait
une analyse dtaille de la manire selon laquelle le critre de la localisation du lieu de ltablissement dans
le cadre duquel le traitement a lieu devrait tre interprt (Groupe de lArticle29, Opinion 8/2010 on
applicable law, WP179, 16dcembre 2010, p.8-17, http://ec.europe.eu/justice/policies/privacy).
74 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
lingen in informatica- en telecommunicatierecht, Brugge, Die Keure, 1999, p.85, spc. note 33.
anthemis 75
Utilisation de loutil informatique et des TIC
Section3
Le traitement envisag est-il ou non rgi par la loi du
8dcembre 1992?
32. Il convient de noter que la loi du 8dcembre 1992 prvoit une srie
dhypothses dans lesquelles elle ne sapplique pas, en tout ou en partie46.
Il convient de sassurer que ces hypothses ne sont pas rencontres avant de
conclure lapplication de la loi.
tape 2
Dterminer si le traitement envisag est licite au
regard des exigences de la loi du 8dcembre 1992
33. Dans lhypothse o lon identifie un traitement de donnes carac-
tre personnel soumis la loi du 8dcembre 1992, on se doit de vrifier si le
traitement peut tre mis en uvre au regard des restrictions prvues par la loi.
Nous nous limiterons ce stade aux obstacles qui interdiraient que le
traitement puisse tre mis en uvre. Ces obstacles peuvent tre lis la finalit
dutilisation envisage (cf. section1, infra), la nature des donnes dont le trai-
tement est envisag (cf. section2, infra) ou encore aux oprations de traitement
envisages (cf. section3, infra).
45 Voy. sur cette question, Th.Lonard et A. Mention, Transferts transfrontaliers de donnes: quelques
considrations thoriques et pratiques, in Actualits du droit de la vieprive, Bruxelles, Bruylant, 2008,
pp. 113.
46 Voy. supra, note de bas de page no31.
76 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
Section1
Obstacles lis la finalit dutilisation
34. En application de la loi du 8 dcembre 1992, les donnes caractre
personnel ne peuvent tre recueillies quen vue dune ou de plusieurs finalits
dtermines, explicites et lgitimes47.
1. Des finalits dtermines: on ne peut pas collecter des donnes caractre
personnel et dcider dutiliser ces donnes sans un but prcis. Cest ce
but dcid au dpart qui va orienter toute la suite des oprations. Cest,
en effet, en fonction de lobjectif poursuivi que lon saura quelles don-
nes on peut collecter, ce que lon peut faire avec ces donnes, si on peut
les communiquer et qui, etc.
2. Une ou plusieurs finalits explicites: le responsable du traitement ne peut
tenir les finalits poursuivies secrtes. Il doit les indiquer aux personnes
concernes (obligation dinformation) et les dclarer la Commission de
la protection de la vieprive (obligation de dclaration)48.
3. Une ou plusieurs finalits lgitimes: pour que le traitement puisse tre admis,
chaque finalit que le responsable poursuit en traitant des donnes caractre
personnel doit tre lgitime. Cela implique quun quilibre existe entre lin-
trt du responsable du traitement et les intrts des personnes sur qui portent
les donnes traites. On nadmettra pas comme lgitime un objectif qui cau-
serait une atteinte excessive aux droits et liberts des personnes concernes.
Le lgislateur a prvu diffrents cas de figure dans lesquels le traitement
est a priori lgitime. Ceux-ci sont des causes de justification sociale qui
seront examines ci-aprs. De mme, on peut considrer que le traite-
ment est a priori lgitime sil sinscrit dans le cadre des exceptions prvues
pour le traitement des donnes sensibles sur lequel nous reviendrons infra.
anthemis 77
Utilisation de loutil informatique et des TIC
sappuyer sur au moins une des causes de justification sociale dfinies par la
loi et dont les plus pertinentes dans le cadre de la relation de travail sont les
suivantes49:
si le traitement des donnes est ncessaire lexcution dun contrat ou
lexcution de mesures prcontractuelles sollicites par la personne
concerne.
Cette base de lgitimit permettra lemployeur de mettre en uvre la
plupart des traitements de donnes qui sont lis lexcution mme du
contrat de travail: ltablissement dun contrat de travail, ladministration
des salaires, le traitement des donnes dans le cadre du suivi des tches du
travailleur, etc.;
ou si le traitement est exig par une loi, un dcret ou une ordonnance.
Ainsi en est-il des traitements de donnes quimplique lapplication de la
lgislation en matire de scurit sociale, commencer par la dclaration
DIMONA prvue par larrt royal du 5novembre 2002 instaurant une
dclaration immdiate de lemploi, en application de larticle38 de la loi
du 26juillet 1996 portant modernisation de la scurit sociale et assurant
la viabilit des rgimes lgaux des pensions.
Notons que dans un avis portant sur les systmes dalerte interne pro-
fessionnelle (ou whistleblowing), la Commission de la protection de la
vieprive a considr que Pour pouvoir parler dune obligation lgale
au sens de larticle5, c) de la LVP en respect de laquelle une organisation
est tenue de traiter des donnes caractre personnel via un systme
dalerte, il doit sagir dune disposition lgale du droit belge. Une obliga-
tion lgale trangre ne peut pas entrer ici en ligne de compte. La Com-
mission partage cet gard le point de vue du Groupe de lArticle29
et des Commissions de protection de la vieprive franaise et nerlan-
daise50;
ou, si le traitement des donnes est ncessaire pour raliser un intrt lgi-
time du responsable ou dun tiers, condition que lintrt ou les droits
de la personne concerne ne prvalent pas. Des traitements sont admis si
lintrt du responsable du traitement traiter les donnes est suprieur
49 Art.5de la loi du 8dcembre 1992; voy. g. Groupe de lArticle29, Avis 2001/8 sur le traitement des
donnes caractre personnel dans le contexte professionnel, WP 48, 13septembre 2001, p.17, http://
ec.europa.eu/justice/policies/privacy.
50 Commission de la protection de la vieprive, Recommandation no1/2006 relative la compatibilit
des systmes dalerte interne professionnelle avec la loi du 8dcembre 1992 relative la protection de
la vieprive lgard des traitements de donnes caractre personnel, 29novembre 2006, p.4, www.
privacycommission.be.
78 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
anthemis 79
Utilisation de loutil informatique et des TIC
dfaut de pouvoir se fonder sur lune des hypothses vises par la loi,
le traitement ne peut tre mis en uvre.
51 Groupe de lArticle29, Avis 2001/8 sur le traitement des donnes caractre personnel dans le contexte
professionnel, WP 48, 13septembre 2001, pp. 31-32, http://ec.europa.eu/justice/policies/privacy.
52 T.Van Overstraeten, La protection des donnes caractre personnel: quelques rflexions de prati
cien, in Les 25 marchs mergents du droit, (dir. L. Marlire), Bruxelles, Bruylant, 2006, p.363.
53 Comm. Bruxelles, 12juillet 1996, D.C.C.R., 1996, p.351.
54 Les travaux parlementaires de la loi du 8dcembre 1992 apportent certaines prcisions utiles quant ce
deuxime critre: Afin de vrifier si un traitement est compatible avec la finalit pour laquelle les don
80 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
nes ont t collectes, il conviendra parfois de tenir compte de dispositions lgales ou rglementaires.
Il est notamment possible que les autorits souhaitent utiliser certaines donnes caractre personnel
concernant les citoyens pour une nouvelle finalit inconnue lors de la collecte des donnes relatives
limmatriculation des vhicules pour mettre en uvre un systme relatif au permis points. Il est
vident que, si les autorits disposent dj des donnes ncessaires pour cette nouvelle finalit, elles ne
sont pas obliges de redemander ces donnes aux personnes concernes. Dans un cas pareil galement,
la mesure dans laquelle et la manire dont les personnes concernes ont pralablement t informes
du nouveau traitement par les autorits jouera un rle important lors de lvaluation de la compatibilit
ou de lincompatibilit du traitement avec la finalit initiale pour laquelle les donnes ont t obtenues.
Il convient cependant dobserver que linformation de la personne concerne nest pas obligatoire si
lenregistrement ou la communication des donnes caractre personnel sont prvus par la loi (consi
drant 40 de la directive) (Expos des motifs, Doc. Parl., Ch.Repr., sess. ord. 1997-1998, 1566/1-n 1,
pp.29 et30).
55 (cf. infra no78 et suiv.).
anthemis 81
Utilisation de loutil informatique et des TIC
met sur le site internet voire sur un site Intranet de lentreprise le CV dun
collaborateur, ou encore intgre les coordonnes prives du travailleur dans
un trombinoscope distribu lensemble du personnel.
Section2
Obstacles lis la nature des donnes traites
38. Si toutes les donnes peuvent, dans labsolu, faire lobjet dun traitement,
il existe certaines catgories de donnes qui, sauf exceptions, ne peuvent tre
traites.
Il sagit des donnes sensibles et dautres donnes qui font lobjet de
rglementations particulires.
A. Donnes sensibles
39. Certaines donnes sont des informations personnelles par nature beau-
coup plus sensibles que dautres. Alors que le nom et ladresse de quelquun
sont des informations somme toute anodines, il nen est pas de mme des
56 Mis part dans le cadre du rgime spcifique dfini dans lA.R. du 13fvrier 2001 relatif aux traitements
des fins historiques, scientifiques ou statistiques.
57 noter que la Commission de la protection de la vieprive adopte une position plus souple cet gard
en considrant que la photo dun employ prise pour la confection dun badge didentification ne
pourra pas figurer sur un site intranet ou encore apparatre dans une brochure dite par lemployeur
sans quun accord explicite de lemploy pour ces autres finalits nait t demand de manire conco
mitante au moment de la confection du badge ou ultrieurement lors de la mise sur intranet ou de la
publication dans une brochure (Commission de la protection de la vieprive, Avis dinitiative No02
/ 2004 relatif aux badges didentification sur lesquels figurent le nom et/ou la photo du dtenteur du
badge, 26fvrier 2004, p.3, www.privacycommission.be). Cette position, aux termes de laquelle une
rutilisation des donnes serait possible moyennant le consentement de la personne concerne nous
semble contraire la loi, bien quelle ait t prconise par Y. Poullet et Th. Lonard (Y. Poullet et
Th.Lonard, La protection des donnes caractre personnel en pleine (r)volution, J.T., 1999, no31,
p.385).
82 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
41. Il sagit tant des donnes relatives ltat de sant que celles ayant trait
des pathologies particulires, quelles soient mentales ou physiques, et ce ind-
pendamment du fait quil sagisse de ltat de sant actuel, antrieur ou futur
de la personne concerne58.
Dans un arrt du 6novembre 2003, la Cour de justice de lUnion euro-
penne a jug que lindication du fait quune personne sest blesse au pied
et est temps partiel pour raisons mdicales constitue une donne caractre
personnel relative la sant au sens de larticle 8, 1, de la directive59. Le
Groupe de lArticle29 a, quant lui, considr comme constituant des don-
nes relatives la sant les donnes caractre personnel qui prsentent un lien
clair et troit avec la description de ltat de sant dune personne, les donnes
sur la consommation de mdicaments, dalcool ou de drogue et les donnes
gntiques60.
58 Voy. cet gard: Commission de la protection de la vieprive, Avis dinitiative no08/2002 relatif au
traitement de donnes caractre personnel ralis par des socits prives dintrim, 11fvrier 2002,
p.2, www.privacycommission.be.
59 C.J.C.E., arrt Bodil Lindqvist du 6novembre 2003, affaire C-101/01.
60 Groupe de lArticle29, Document de travail sur le traitement des donnes caractre personnel rela
tives la sant contenues dans les dossiers mdicaux lectroniques (DME), 15fvrier 2007, p.8, http://
ec.europa.eu/justice/policies/privacy.
anthemis 83
Utilisation de loutil informatique et des TIC
42. Les donnes relatives la sant correspondent des donnes qui se rap-
portent la sant dune personne. Le simple fait quune information rvle une
donne relative la sant ne suffit donc pas61. Ainsi une photographie qui rv-
lerait le handicap dune personne nest pas une donne relative la sant62. On
pourrait toutefois nuancer cette interprtation en prcisant que, si la photo-
graphie fait lobjet dun traitement pour les donnes relatives la sant quelle
rvle, elle doit alors tre considre comme une donne sensible. En ce sens, la
Commission de la protection de la vieprive a estim que si une donne bio-
mtrique (image, empreintes,) utilise pour le contrle daccs nest a priori
pas une donne relative la sant; en revanche, lorsque elle est utilise pour
en dduire une information relative, par exemple ltat de sant ou lorigine
raciale, cette donne doit tre considre comme une donne sensible63.
b. Les donnes qui rvlent lorigine raciale ou ethnique, les opinions poli-
tiques, les convictions religieuses ou philosophiques, lappartenance syndi-
cale, ainsi que le traitement des donnes relatives la viesexuelle
43. Si lon sen tient la terminologie utilise, les donnes qui appartiennent
ces catgories ne se limitent pas celles qui rvlent immdiatement linfor-
mation sensible. Elles concernent galement toutes les donnes dont on peut
raisonnablement dduire une information rvlant des donnes sensibles.
Ainsi linformation M. Robert est de confession juive est une
donne sensible, tout comme linformation M. Robert prend des repas cas-
cher puisquon peut raisonnablement dduire lappartenance religieuse de
M.Robert. Il en est de mme de linformation selon laquelle un individu paie
une cotisation un syndicat. En revanche, la Cour dappel de Bruxelles a consi-
dr que linformation selon laquelle les coordonnes lectroniques dune per-
sonne se trouvent reprises dans le fichier utilis pour communiquer sur les
activits du Front National nest pas de nature rvler les opinions politiques
de cette personne lorsque les coordonnes dautres personnes sy trouvent ga-
lement reprises en raison de leurs intrts professionnels (tels des journalistes),
par sympathie ou par simple curiosit64. Dans un tel cas, on ne peut infrer de
cette appartenance au fichier une information relative une appartenance un
61 Expos des motifs de la loi du 8dcembre 1992, Doc. Parl., Ch.Repr., sess. ord. 1997-1998, 1566/1 no1,
p.34. M. De Bot va mme plus loin en affirmant que pour tre qualifies comme telles, les donnes
relatives la sant doivent porter directement sur la sant ou ltat de sant dune personne (D. De Bot,
Verwerking van persoonsgegevens, Antwerpen, 2001, Kluwer, p.154).
62 Y.Poullet et Th. Lonard, La protection des donnes caractre personnel en pleine (r)volution,
84 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
parti politique ou une adhsion des opinions politiques et la donne nest pas
une donne sensible.
44. Il reste que la dfinition donne par la loi peut savrer trop large si on
lapplique la lettre. On pourrait ainsi considrer que le nom patronymique est
susceptible dans certains cas de donner une indication sur lorigine ethnique
de la personne qui le porte. Il en est de mme de certains titres attachs une
fonction ecclsiastique qui rvlent les convictions religieuses de la personne
concerne. Nous considrons quil faut privilgier une interprtation raison-
nable de la loi et avoir gard au contexte de lutilisation de telles donnes.
Le nom patronymique dun individu ne doit pas tre considr en tant que
tel comme une donne sensible sauf sil ressort du contexte dans lequel il est
trait quil en est infr une information sur les origines ethniques ou raciales
dun individu. Cest en ce sens nous semble-t-il que la Commission de la
protection de la vie prive a analys le traitement de donnes relatives la
nationalit dune personne, de ses parents et grands-parents comme tant des
donnes sensibles dans la mesure o ces donnes taient traites dans le but
de mettre en uvre une politique dgalit des chances et de diversit dans la
gestion des ressources humaines65. Dans la droite ligne de ce qui prcde, la
nationalit dune personne ne nous semble pas tre en soi une donne sensible.
Toujours dans le mme sens, la Commission estime, aprs avoir relev que
certaines donnes biomtriques peuvent rvler des informations sur ltat de
sant ou lorigine raciale dun individu, que cette donne devra tre consi-
dre comme sensible lorsque les donnes biomtriques sont utilises pour
en dduire une information relative, par exemple ltat de sant ou lorigine
raciale, ces donnes doivent tre considres comme des donnes sensibles66.
Autrement dit, si on suit le raisonnement de la Commission, le fait quune
donne rvle des informations sur lorigine raciale dune personne ne semble
pas dterminant pour la qualifier de sensible, encore faut-il quil y ait usage de
la donne pour cette information quelle rvle.
45. On ne peut manquer de constater que la loi utilise une autre termino-
logie en ce qui concerne la dernire catgorie de donnes quelle voque: les
donnes relatives la viesexuelle. linstar de ce qui a t dit concernant les
donnes relatives la sant, il nous semble quil y a lieu de considrer que ne
tombent en toute hypothse dans cette catgorie que les donnes qui se rap-
65 Commission de la protection de la vieprive, Avis no07 relatif au projet monitoring des groupes
potentiel au sein du fichier du personnel du Ministre de la Communaut flamande gr via le systme
Vlimpers, 22mars 2006, www.privacycommission.be.
66 Commission de la protection de la vie prive, Avis dinitiative no 17/2008 relatif aux traitements de
donnes biomtriques dans le cadre de lauthentification de personnes (A/2008/017), 9avril 2008, p.8,
www.privacycommission.be.
anthemis 85
Utilisation de loutil informatique et des TIC
67 Y.Poullet et Th. Lonard, La protection des donnes caractre personnel en pleine (r)volution,
J.T., 1999, no42, p.388.
68 Commission de la protection de la vieprive, Recommandation no1/2006 relative la compatibilit
des systmes dalerte interne professionnelle avec la loi du 8dcembre 1992 relative la protection de
la vieprive lgard des traitements de donnes caractre personnel, 29novembre 2006, p.3, www.
privacycommision.be.
69 Art.6, 7 et 8 de la loi du 8dcembre 1992.
70 Art.6, 7 et 8 de la loi du 8dcembre 1992.
71 C.C., 14fvrier 2008, arrt no15/2008, point B.27, www.cass.be.
86 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
anthemis 87
Utilisation de loutil informatique et des TIC
3. Quelques applications
50. Nous nous proposons de donner un aperu ncessairement non exhaus-
tif de la problmatique au travers dexemples pris dans chaque catgorie de
donnes sensibles.
a. Le traitement de donnes sensibles dans le cadre de la lutte contre la dis-
crimination
51. Lemployeur peut tre amen devoir traiter des donnes sensibles, rela-
tives par exemple, lorigine ethnique ou un handicap pour se conformer
des obligations positives ou ngatives mises sa charge en matire de lutte
contre la discrimination73. Comme le relve J. Ringelheim, lemployeur ne
pourra traiter de telles donnes quen sappuyant sur les exceptions prvues par
la loi. En sus de lhypothse dun consentement du travailleur, on relvera que
lemployeur peut justifier que cela est ncessaire pour se conformer des droits
et obligations spcifiques en matire du travail ou encore que ce traitement est
autoris par une loi, un dcret ou une ordonnance pour des motifs dintrt
public importants74.
72 Cf. no90 et suiv., infra. Voy. galement larticle42, 2, 3o de la loi du 13dcembre 2006 portant disposi
tions diverses en matire de sant et qui subordonne la communication de donnes relatives la sant
des tiers condition dune autorisation pralable du Comit sectoriel de la Scurit Sociale et de la
Sant, sauf exceptions prvues dans cette disposition.
73 Pour une application de ces principes, voy. Commission de la protection de la vieprive, Avis no07
relatif au projet monitoring des groupes potentiel au sein du fichier du personnel du Ministre de la
Communaut flamande gr via le systme Vlimpers, 22mars 2006, www.privacycommission.be.
74 J.Ringelheim, Recueil des donnes personnelles et lutte contre les discriminations. Une tension nces
saire entre non-discrimination et vieprive, in Les nouvelles lois luttant contre la discrimination, Die
Keure / La Charte, 2008, pp.91-92. La Commission de la protection de la vieprive a dj admis que
ces deux causes dexceptions pouvaient justifier la mise en place par la Communautflamande dun
88 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
systme de monitoring des groupes potentiels au sein de son fichier du personnel (cf. Commission de
la protection de la vieprive, Avis 03/2004 du 15mars 2004 et 07/2006 du 22mars 2002 comment par
J. Ringelheim, op.cit., pp. 92-94).
75 Cette section est inspire par une partie de larticle co-rdig par K.Rosier, S. Gilson et N. Hautenne
et intitul Les informations mdicales dans la relation de travail (Orientations, nospcial 35ans, mars
2005, pp. 65-67).
76 Ibidem.
77 Art.7, 4, de la loi du 8dcembre 1992.
78 Expos des motifs de la loi du 8dcembre 1992, Doc. Parl., Ch.Repr., sess. ord. 1997-1998, 1566/1-n 1,
p.39; Th. Lonard, La protection des donnes caractre personnel et lentreprise, Le guide juridique
anthemis 89
Utilisation de loutil informatique et des TIC
de lentreprise, TitreXI, Livre 112.1, 2ed., Bruxelles, Kluwer, p.36. La loi ne fournit pas de liste des profes
sions mdicales et paramdicales concernes. La question se pose de savoir si un psychologue peut tre
qualifi de professionnel des soins de sant. Preste-t-il des soins de sant? Cette question est controver
se (H. Nys, La mdecine et le droit, Diegem, Kluwer, 1995, p.29). Cette question peut revtir un intrt
particulier dans lhypothse o des tests psychologiques devraient tre mis en uvre par lemployeur
ou que lemployeur envisage doffrir un service de soutien psychologique ses employs par le biais dun
psychologue dentreprise. Lintervention dun psychologue suffirait-elle alors remplir lobligation de
contrle par un professionnel des soins de sant?
79 C.E., arrt no150.861 du 27octobre 2005, cit par J.M.Van Gyseghem et J.-Ph. Moiny, Chronique de
jurisprudence en droit des technologies de linformation (2002-2008), R.D.T.I., 2009, no35, p.90.
80 Expos des motifs de la loi du 8dcembre 1992, Doc. Parl., Ch.Repr., sess. ord. 1997-1998, 1566/1 no1,
p.38. Il est noter qutonnamment le lgislateur na pas tendu les rserves nonces larticle27 de
larrt royal du 13fvrier 2001 relatives la possibilit de sappuyer sur le consentement du travailleur
pour traiter des donnes sensibles dans lhypothse o lemployeur entend se passer de lintervention
dun professionnel des soins de sant moyennant le consentement du travailleur.
81 Art.7, 5 de la loi du 8dcembre 1992.
82 Ce qui devrait de toute faon toujours tre le cas en vertu de larticle4, 3 de la loi du 8dcembre 1992.
90 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
83 Voy. Les articles 595 et 596 C.I.C. modifis par la loi du 31 juillet 2009 portant diverses dispositions
concernant le Casier judiciaire central et arrt de la Cour constitutionnelle du 13janvier 2011 annullant
partiellement larticle596 C.I.C. tel que modifi (C.C., 13janvier 2001, no1/2011). Suite un arrt du
Conseil dtat ayant annul la circulaire qui organisait la dlivrance de ce certificat par les communes,
la ministre de la Justice avait adopt une nouvelle circulaire le 2fvrier 2007 qui prvoyait la dlivrance
dun extrait de casier judiciaire (Circulaire no095 du 2fvrier 2007 relative la dlivrance dextrait
de casier judiciaire, M.B., 9fvrier 2007. Une proposition de loi a dailleurs t dpose la chambre
le 30juillet 2007 visant rpondre aux remarques du Conseil dtat et assurer une certaine scurit
juridique en donnant une base lgale aux certificats de bonne conduite, vieet murs [Proposition de
loi relative au certificat de bonnes conduite, vieet murs, Doc. parl., Chambre, 52 -081/001]). Cette
circulaire avait elle-mme t annule par le Conseil dtat le 26janvier 2009 (C.E., arrt du 26janvier
2009, no189.761 cit dans Bonnes vieet murs: suite des errements dun trs long dossier, actualit
du 3mars 2009, http://www.uvcw.be). Voy. galement sur cette question, S.Gilson, Motif grave et
bonne murs in Le cong pour motif grave, Limal, Anthemis, 2011, pp.334-335.
84 Convention collective de travail no38 du 6dcembre 1983 concernant le recrutement et la slection de
travailleurs modifie par les conventions collectives de travail no38bis du 29octobre 1991, no38ter du
17juillet 1998, no38quater du 14juillet 1999 et no38quinquies du 21dcembre 2004.
85 H.Clauwaert, Le respect de la vieprive lors de la recherche dun emploi et de la slection de person
anthemis 91
Utilisation de loutil informatique et des TIC
ment des donnes que lon qualifie de donnes judiciaires au sens de lar-
ticle8, 1erde la loi du 8dcembre 1992, ds lors quelles sont relatives des
condamnations ayant trait des infractions. En vertu de cette disposition,le
traitement de ces donnes est, en principe, interdit sauf dans le cadre dex-
ceptions qui sont numres limitativement par larticle8, 2 de la loi du
8dcembre 1992.
Ds lors que le traitement de telles donnes nentre pas dans le cadre de la
gestion du contentieux de lemployeur, il ne reste alors que la possibilit de
traiter de telles donnes lorsque cela est ncessaire la ralisation de finalits
qui sont fixes par ou en vertu dune loi, dun dcret ou dune ordonnance.
La Commission de la protection de la vie prive a dailleurs indiqu, dans
un avis quelle a mis le 11fvrier 200287 que dfaut de rglementation
approprie, lemployeur ne pourra que prendre connaissance, avec le consen-
tement de la personne concerne, du contenu du certificat, sans en prendre
note, ni conserver de mention ce sujet pour autant que comme exig par
larticle11 de la C.C.T. no38, ces informations se justifient par rapport la
nature de la fonction convoite. Le raisonnement sous-jacent est sans doute
quen labsence dinclusion de ces donnes dans un fichier ou de traitement
automatis sur ces donnes, la loi ne sapplique pas. On peut alors se deman-
der pourquoi mentionner une exigence spcifique de consentement du tra-
vailleur, consentement qui ne permet pas, par ailleurs, de lever linterdiction
de traitement88.
55. En ce qui concerne lexistence dune loi permettant le traitement de
donnes relatives des suspicions quant lexistence dune infraction,la Com-
mission de la protection de la vieprive a estim quil ne pouvait sagir que
dune loi belge.
La question a t aborde dans le cadre dune analyse de ladmissibilit de trai-
tements de donnes intervenant dans la mise en uvre dun systme dalerte
professionnelle (auquel il est galement rfr par le terme whistleblowing)89.
Ce systme vise permettre, voire encourager, le signalement par les travail-
leurs dune entreprise du comportement dun membre de leur organisation,
contraire, selon eux, une lgislation ou une rglementation ou aux rgles
primordiales tablies par leur organisation. Le plus souvent la dnonciation se
fait de manire anonyme.
La Commission identifie deux bases potentielles aux traitements intervenant
dans un tel systme:
87 Commission de la protection de la vieprive, Avis no08/2002 relatif aux traitements de donnes carac
tre personnel raliss par les socits prives dintrim, 11fvrier 2002, p.3, www.privacycommision.be.
88 Cf. no48, supra.
89 Commission de la protection de la vieprive, Recommandation no1/2006 relative la compatibilit
des systmes dalerte interne professionnelle avec la loi du 8dcembre 1992 relative la protection de
la vie prive lgard des traitements de donnes caractre personnel, 29 novembre 2006, www.
privacycommision.be.
92 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
anthemis 93
Utilisation de loutil informatique et des TIC
94 Voyez cependant les exceptions lobligation de dclaration pour les traitements relatifs ladministra
tion des salaires et la gestion du personnel (A.R. du 13fvrier 2001, art.51 et 52).
94 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
Section3
Les obstacles lis aux oprations de traitement
envisages
A. Linterdiction des dcisions automatises
58. La loi du 8dcembre 1992 interdit quune dcision affectant une per-
sonne de manire significative soit prise sur le seul fondement dun traitement
automatis de donnes destines valuer certains aspects de sa personnalit.
Doit, par exemple, tre considr comme un traitement automatis, la
correction dun examen choix multiples par une machine (par exemple, dans
le cadre dun concours dentre dans la fonction publique).
Toutefois, cette interdiction ne sapplique pas lorsque la dcision est prise
dans le cadre dun contrat ou est fonde sur une disposition lgale ou rgle-
mentaire. Le contrat ou la disposition en question doivent contenir des mesures
garantissant la sauvegarde des intrts de lintress. tout le moins, celui-ci
doit avoir le droit de faire valoir utilement son point de vue.
59. Parmi les oprations de traitement qui peuvent tre effectues, il en est
une qui est rglemente de manire particulire: il sagit du transfert de don-
nes vers un territoire situ hors de lEspace conomique europen.
La notion de transfert nest dfinie ni dans la directive 95/46/CE, ni
par la loi du 8dcembre 1992. Intuitivement, on serait tent de penser que le
transfert implique lenvoi des donnes et est distinct de la simple possibilit de
permettre la consultation de celles-ci. Des discussions se sont toutefois leves
sur la question de savoir si la diffusion dinformations sur internet correspond
un transfert ds lors que les donnes sont de fait accessibles toute personne
qui accde au site, sans toutefois quune rponse claire ce sujet nmerge.
La C.J.C.E. a, dans larrt Lindqvist du 6novembre 2003, dcid quune per-
sonne mettant en ligne des informations sur un site hberg par un tiers
anthemis 95
Utilisation de loutil informatique et des TIC
noprait pas de transfert de donnes vers des pays tiers95. La Cour a notam-
ment estim que Eu gard, dune part, ltat du dveloppement dinternet
lpoque de llaboration de la directive 95/46 et, dautre part, labsence,
dans son Chapitre IV, de critres applicables lutilisation dinternet, on ne
saurait prsumer que le lgislateur communautaire avait lintention dinclure
prospectivement dans la notion de transfert vers un pays tiers de donnes
linscription, par une personne se trouvant dans la situation de MmeLindq-
vist, de donnes sur une page internet, mme si celles-ci sont ainsi rendues
accessibles aux personnes de pays tiers possdant les moyens techniques dy
accder96.
propos de la situation de MmeLindqvist, la Cour avait relev que Il ressort
du dossier que, pour obtenir les informations figurant sur les pages internet
dans lesquelles MmeLindqvist avait insr des donnes relatives ses collgues,
un utilisateur dinternet devait non seulement se connecter celui-ci mais
aussi effectuer, par une dmarche personnelle, les actions ncessaires pour
consulter lesdites pages. En dautres termes, les pages internet de MmeLin-
dqvist ne comportaient pas les mcanismes techniques qui auraient permis
lenvoi automatique de ces informations des personnes qui navaient pas
dlibrment cherch accder ces pages97 Le raisonnement semble repo-
ser sur lide que les oprations effectues par MmeLindqvist (communiquer
des informations un hbergeur pour quelles figurent sur un site internet)
ne constituent pas en elles-mmes un transfert vers un pays tiers de don-
nes au motif que les donnes nont pas t transfres directement entre
MmeLindqvist et un internaute mais au travers de linfrastructure informa-
tique du fournisseur de services dhbergement o la page est stocke98. Le
raisonnement de la Cour nous semble quelque peu obscur et ne permet pas
de conclure que toute mise en ligne de donnes ne doit pas tre considre
comme un transfert99.
95 Arrt de la C.J.C.E. 101/01 (dit arrt Bodil Lindqvist), 6novembre 2003, R.D.T.I., 2004, no19, p.67, note
C.de Terwangne.
96 Arrt de la C.J.C.E. 101/01 (dit arrt Bodil Lindqvist), 6novembre 2003, R.D.T.I., 2004, no67, p.75, note
C.de Terwangne.
97 Arrt de la C.J.C.E. 101/01 (dit arrt Bodil Lindqvist), 6novembre 2003, R.D.T.I., 2004, no60, p.74, note
C.de Terwangne.
98 Arrt de la C.J.C.E. 101/01 (dit arrt Bodil Lindqvist), 6novembre 2003, R.D.T.I., 2004, no61, p.74, note
C.de Terwangne.
99 La conclusion de la Cour nest pas partage par tous. Voy. pour une critique de cette dcision: C.de
Terwangne, Affaire Lindqvist ou quand la Cour de justice des Communauts europennes prend posi
tion en matire de protection de donnes caractre personnel, Obs. sous C.J.C.E., 6novembre 2003,
R.D.T.I., 2004, pp.90 ets.
96 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
100 Groupe de lArticle29, Avis 6/2002 sur la transmission par les compagnies ariennes dinformations rela
tives aux passagers et aux membres dquipage et dautres donnes aux tats-Unis, WP66, 27octobre
2002, p.7, http://ec.europa.eu/justice/policies/privacy.
101 Voy. no31 et suiv., supra.
102 Le principe de libre circulation des donnes au sein de lU.E. a en effet tendu lE.E.E. qui inclut la Nor
vge, Liechtenstein et lIslande.
103 Sur la problmatique des transferts de donnes (documents et courriers lectroniques) hors E.E.E. (en
particulier vers les tats -Unis) dans le cadre de procdures civiles, voy. Groupe de lArticle29, Docu
ment de travail 1/2009 sur la procdure dchange dinformations avant le procs (pre-trial disco
very) dans le cadre de procdures civiles transfrontalires, WP 158, 11fvrier 2009, http://ec.europa.
eu/justice/policies/privacy/workinggroup.
anthemis 97
Utilisation de loutil informatique et des TIC
europen, ne peut donc avoir lieu que si le pays en question assure un niveau
de protection adquat104.
Tout responsable de traitement qui souhaite exporter des donnes
caractre personnel hors de lEspace conomique europen doit dabord se
demander si le pays destinataire assure un niveau de protection adquat pour de
telles donnes cest--dire si le tiers qui on communique les donnes est
soumis au respect de principes de protection qui assurent une protection qui-
valente celle qui prvaut sur le territoire europen.
Pour valuer la qualit de la protection offerte, il faut tenir compte de
toutes les circonstances relatives un transfert de donnes ou une catgorie
de transferts de donnes, notamment de la nature des donnes, de la finalit et
de la dure du ou des traitements envisags ainsi que des rgles de droit, gn-
rales et sectorielles, en vigueur dans le pays en cause, tout comme des rgles
professionnelles et des mesures de scurit qui y sont respectes. En cas de
doute, on peut sadresser la Commission de la protection de la vieprive pour
savoir si un pays particulier offre une protection adquate et si les transferts de
donnes vers ce pays sont autoriss. Le Roi peut, aprs avis de la Commission
de la protection de la vieprive, tablir une liste noire de pays vers lesquels
les donnes ne peuvent tre envoyes105. Il est noter que la Commission euro-
penne a adopt diffrentes dcisions constatant que certains pays offrent un
niveau de protection adquat106.
2. Drogations
62. Le transfert de donnes vers des pays qui noffrent pas un niveau de pro-
tection adquat peut nanmoins tre ralis soit dans les hypothses o la loi le
prvoit (a), soit moyennant la runion de garanties qui pallient labsence de
protection suffisante (b).
98 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
63. Le transfert des donnes vers des pays qui noffrent pas un niveau de pro-
tection adquat est autoris dans certaines hypothses limitativement numres
par larticle22, 1erde la loi du 8dcembre 1992.
Cest notamment le cas si les personnes concernes donnent leur consen-
tement indubitable au transfert de leurs donnes vers un tel pays, ou lorsque le
transfert est ncessaire pour excuter un contrat avec la personne concerne, ou
encore lorsque les donnes proviennent dun registre public destin linforma-
tion du public (annuaire tlphonique, registre du commerce, par exemple)107.
b. Hypothses dans lesquelles le transfert est permis moyennant loctroi de
garanties complmentaires
anthemis 99
Utilisation de loutil informatique et des TIC
100 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
tape 3
Affiner le projet de traitement de donnes au regard
des exigences de la loi
67. Lorsque, au terme dune analyse, des ventuels obstacles la mise en
uvre du traitement de donnes envisag, il apparat que ceux-ci sont inexis-
tants ou que le projet peut tre adapt pour lever ces obstacles, il convient alors
de tenir compte des exigences lgales pour dterminer quelles donnes feront
lobjet du traitement (section 1), pour assurer la transparence du traitement
(section2) ainsi que la scurit et la confidentialit des donnes (section3). Par
116 Si cet effort de clarification tend faciliter la viedes groupes internationaux, on dplorera quen Belgique
la procdure dapprobation des REC reste trs lourdepuisquelle requiert une approbation par arrt
royal pris aprs avis de la Commission de la protection de la vieprive.
117 Voy. cet gard le Rapport de la Commission Premier rapport sur la mise en uvre de la directive
relative la protection des donnes (95/46/CE), COM/2003/0265 final, http://eur-lex.europa.eu.
118 Art.22 de la loi du 8dcembre 1992.
anthemis 101
Utilisation de loutil informatique et des TIC
Section1
Exigences quant aux donnes traites
A. Lorigine de donnes
119 Voy. au sein du prsent ouvrage la contribution de R. Robert et K.Rosier consacre la rglementation
et au contrle de lutilisation des technologies de la communication et de linformation sur le lieu du
travail.
120 Signalons galement que le Conseil de lEurope a adopt une recommandation noR(89) 2 sur la protec
tion des donnes caractre personnel utilises des fins demploi. Larticle10 de la recommandation
contient des directives particulires quant au traitement de donnes sensibles dans la phase de recrute
ment.
102 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
70. Le corollaire de lexigence dadquation des donnes est que, ds que les
donnes ne sont plus ncessaires ou pertinentes pour la finalit annonce, le
responsable du traitement doit les effacer ou les rendre anonymes122.
Ainsi, la dure de conservation de certaines donnes dans la relation de tra-
vail pourra se justifier au regard, et dans les limites, de la rglementation sur
les documents sociaux. Larrt royal no 5 du 23 octobre 1978 relatif la
tenue des documents sociaux impose un certain nombre dobligations aux
employeurs, ainsi quaux personnes qui y sont assimiles123.
Les documents sociaux dont la tenue est prescrite par lA.R. no 5 sont le
registre gnral, le registre spcial du personnel, le compte individuel, le
registre de prsence, le contrat doccupation dtudiant, le contrat doccupa-
tion de travailleur domicile et la convention dimmersion professionnelle124.
121 Commission de la protection de la vie prive, Avis dinitiative no08/2002 relatif au traitement de don
nes caractre personnel ralis par des socits prives dintrim, p.2, www.privacycommission.be.
122 Cf.Art.4, 1, 5 de la loi du 8dcembre 1992. Il existe cependant une exception ce principe: le res
ponsable du traitement peut conserver des donnes au-del de ce qui est ncessaire la ralisation des
finalits initiales pour autant que cette conservation soit justifie par des fins scientifiques, statistiques
ou historiques et que le responsable du traitement se plie aux exigences de larrt royal du 13fvrier
2001.
123 Larticle1erde lA .R. no5 nest nanmoins pas applicable aux travailleurs rgis par un statut qui sont
occups par ltat, les Provinces, lAgglomration, les Fdrations de communes et les Communes (art.3
de lA.R. du no5).
124 Cf. ChapitreII de lA.R. no5.
anthemis 103
Utilisation de loutil informatique et des TIC
Section2
Exigences relatives la transparence du traitement
72. Le traitement doit tre loyal par rapport aux personnes concernes. Cela
implique que celles-ci soient informes des traitements qui les concernent.
Il sagit, dune part, de fournir une information individuelle aux per-
sonnes concernes par le traitement et, dautre part, de dclarer le traitement
au moyen dun formulaire ad hoc auprs de la Commission de la protection de
la vieprive. La dclaration de traitement est ainsi intgre dans un registre
public accessible tous et, depuis quelques annes, consultable sur internet.
125 Art.4, 1, 4 de la loi du 8dcembre 1992. Larticle16, 2, 1 de la loi du 8dcembre 1992 impose au
responsable de traitement de faire toute diligence pour tenir les donnes jour, pour rectifier ou sup
primer les donnes inexactes, incompltes ou non pertinentes, ainsi que celles obtenues ou traites en
mconnaissance des articles4 8 de la loi du 8dcembre 1992.
126 Commission de la protection de la vie prive, Avis dinitiative no08/2002 relatif au traitement de don
nes caractre personnel ralis par des socits prives dintrim, p.4, www.privacycommission.be.
104 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
Si ces deux exigences procdent du mme but, savoir assurer une trans-
parence des traitements effectus, tant le contenu que la forme et le moment
de linformation diffrent.
Tandis que la dclaration prend la forme dun formulaire avec cases
remplir par rfrence diffrents lexiques sur les finalits et types de donnes
traites, la communication de linformation individuelle est moins encadre.
1. Contenu de la dclaration
74. La dclaration comporte une description des caractristiques du traite-
ment. Doivent y figurer, notamment128:
les finalits du traitement;
les catgories de donnes traites (pas les donnes elles-mmes);
les catgories de destinataires qui les donnes peuvent tre fournies;
les garanties entourant la communication de donnes des tiers;
les moyens par lesquels les personnes propos desquelles des donnes
sont traites en seront informes;
les mesures prises pour faciliter lexercice du droit daccs;
les catgories de donnes destines tre transmises ltranger et les
pays de destination;
la priode au-del de laquelle les donnes ne peuvent plus tre gardes,
utilises ou diffuses.
75. Par ailleurs, aux termes de larticle25 de larrt royal du 13fvrier 2001,
le responsable de traitement doit indiquer soit lors de linformation, soit dans
la dclaration la Commission de la protection de la vieprive, la base lgale
anthemis 105
Utilisation de loutil informatique et des TIC
(article de la loi) sur laquelle il se fonde pour traiter les donnes sensibles129.
En ralit, le formulaire de dclaration de traitement comporte un champ au
sein duquel cette mention est automatiquement requise lorsque le responsable
de traitement dclare par ailleurs traiter des donnes sensibles. En pratique, le
responsable de traitement mentionnera donc la base lgale au sein de la dcla-
ration de traitement, moins quil ne soit dispens de cette dclaration en
vertu des exceptions prvues en ce sens.
106 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
134 Art.17, 7 de la loi du 8dcembre 1992. Pour en savoir plus sur la fin des traitements, voyez http://www.
privacycommission.be/declarations/lexique1.htm, questions 2.19 et 2.20.
135 Art.9, 1 de la loi du 8dcembre 1992.
136 Art.9, 2 de la loi du 8dcembre 1992.
137 Non seulement la loi du 8dcembre 1992 impose dannoncer lexistence dun droit dopposition, mais
larrt royal en son article34 impose au responsable du traitement de proposer la personne concer
ne dexercer son droit dopposition.
anthemis 107
Utilisation de loutil informatique et des TIC
138 Commission de la protection de la vie prive, Avis dinitiative no 17/2008 relatif aux traitements de
donnes biomtriques dans le cadre de lauthentification de personnes (A/2008/017), 9avril 2008, p.18,
www.privacycommission.be.
139 Pour la fourniture dinformations par le biais de communications lectroniques, voy. Groupe de lAr
ticle29, Avis 10/2004 sur Dispositions davantage harmonises en matire dinformations, WP100,
25novembre 2004, p.7, http://ec.europa.eu/justice_home/fsj/privacy.
108 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
anthemis 109
Utilisation de loutil informatique et des TIC
Section3
Exigences relatives la scurit et la confidentialit des
donnes
A. Veiller la confidentialit des donnes
110 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
anthemis 111
Utilisation de loutil informatique et des TIC
Section4
Exigences propres un traitement portant sur des
donnes sensibles
A. Information spcifique en cas de traitement de donnes
sensibles
B. Garanties supplmentaires
152 Selon larticle17, 3 de la directive 95/46/CE, la loi de rfrence applicable pour dterminer quelles sont
les obligations est la loi de ltat membre dans lequel le sous-traitant est tabli. Voy. cet gard, Groupe
de lArticle29, Opinion 8/2010 on applicable law, WP179, 16dcembre 2010, p.25, http://ec.europa.
eu/justice/policies/privacy.
153 Art.16, 1 de la loi du 8dcembre 1992.
154 Cf. no79.
155 Art.25, 4 de la loi du 8dcembre 1992.
156 Art.26 de lA.R. du 13fvrier 2001.
112 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
tape 4
Se mettre en mesure de permettre un exercice
effectif des droits des personnes concernes
92. Paralllement aux conditions prescrites pour la mise en uvre dun trai-
tement de donnes caractre personnel, la loi du 8dcembre 1992 dfinit les
droits dont bnficient les personnes concernes.
Section1
Droit la curiosit
93. Nous avons voqu ci-avant160, lobligation faite au responsable de trai-
tement dinformer les personnes concernes propos des traitements oprs
sur les donnes les concernant.
94. Cette obligation de transparence est prolonge par le droit de toute per-
sonne interpeller un responsable de traitement pour savoir sil traite des donnes
le concernant161. Le responsable ainsi interrog doit confirmer sil dtient ou
non des donnes et, dans laffirmative, il a lobligation de prciser dans quel but il
dtient ces donnes, de quelles catgories de donnes il sagit et quels en sont les
destinataires. Ainsi, un employ dune filiale pourrait interpeller une autre socit
du groupe pour savoir si des donnes le concernant lui ont t communiques.
95. Les personnes concernes disposent galement dun droit daccs
direct162 aux donnes les concernant. Elles peuvent demander recevoir, sous
anthemis 113
Utilisation de loutil informatique et des TIC
une forme intelligible, une copie des donnes faisant lobjet dun traitement
ainsi que toute information disponible sur lorigine des donnes163. Le droit de
connatre la provenance des donnes utilises est particulirement important
car cest bien souvent la question de la source des informations qui proccupe
les personnes concernes.
96. Dans le cas de dcisions automatises164, la personne en cause doit pou-
voir avoir aussi accs la logique qui sous-tend le traitement automatis en
question165.
97. Pour exercer son droit daccs, la personne concerne doit, aux termes de
la loi, adresser une demande au responsable du traitement en faisant la preuve
de son identit (en joignant la photocopie de sa carte didentit, par exemple).
La demande doit tre date et signe et peut tre envoye par la poste ou par
tout moyen de tlcommunication (par fax, par courrier lectronique avec
apposition dune signature lectronique) ou tre dpose sur place (dans ce cas
la personne concerne doit se voir dlivrer un accus de rception).
Elle peut tre adresse:
o
1 soit au responsable du traitement ou son reprsentant, ses mandataires
ou prposs;
o
2 soit au sous-traitant du responsable du traitement qui la communique
lune des personnes mentionnes sous 1166.
Il est vident que, dans le cadre dune entreprise, il est possible et mme
sans doute prfrable de mettre en place une procdure ad hoc, en indiquant
par exemple la procdure interne suivre et la personne au sein de lentreprise
contacter.
98. Le responsable du traitement doit rpondre sans dlai et au plus tard dans
les quarante-cinq jours de la rception de la demande et fournir une copie
complte des donnes ainsi quun avertissement de la facult dexercer les
recours prvus par la loi du 8dcembre 1992 et, ventuellement, de consulter
le registre public de la Commission de la protection de la vieprive167.
sionnel des soins de sant choisi par cette personne, si le responsable du traitement ou la personne elle-
mme demande lintervention dun intermdiaire. Ceci ne porte pas prjudice toutefois lapplication
de la loi du 22aot 2002 relative aux droits du patient qui contient galement des dispositions relatives
laccs du patient son dossier mdical.
163 Art.10, 1, b) de la loi du 8dcembre 1992.
164 Cf. no58, supra.
165 Art.10, 1, c) de la loi du 8dcembre 1992.
166 Art.32 de lA.R. du 13fvrier 2001.
167 Art.10, 1, d) de la loi du 8dcembre 1992.
114 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
Section2
Le droit de rectification
99. Chacun peut, sans frais, faire rectifier les donnes inexactes qui se rap-
portent lui et faire effacer ou interdire dutilisation les donnes incompltes,
non pertinentes ou interdites169.
Les modalits dexercice du droit de rectification sont identiques
celles prvues pour laccs aux donnes170. Le responsable du traitement doit
rpondre dans le mois celui qui a demand les corrections. Il doit indiquer
les rectifications ou effacements quil a effectus. Sil ne le fait pas, la personne
concerne peut dnoncer ce comportement la Commission de la protection
de la vieprive, voire initier une procdure en justice171.
Si des donnes inexactes, incompltes, non pertinentes ou interdites ont
t transmises des tiers, le responsable doit, dans le mois, signaler les correc-
tions ou effacements effectuer aux personnes qui ces donnes ont t com-
muniques, moins que cela ne savre impossible ou extrmement difficile172.
Section3
Le droit dopposition
100. La personne concerne a le droit de sopposer ce que les donnes la
concernant fassent lobjet dun traitement, mais elle doit invoquer des raisons
srieuses et lgitimes. Le responsable de traitement ne peut plus traiter les don-
nes de la personne concerne si lopposition est justifie.
Le droit dopposition nest cependant pas admis pour les traitements
ncessaires la conclusion ou lexcution dun contrat ou lorsque le traite-
ment est impos par une obligation lgale ou rglementaire173.
anthemis 115
Utilisation de loutil informatique et des TIC
Conclusion
101. Permettre un exercice effectif de ces droits implique que le responsable
de traitement en tienne compte lors de lorganisation des traitements quil
entend mettre en uvre.
Ainsi, si les donnes traites sont parpilles au sein de diffrentes bases
de donnes, il sera plus difficile de donner suite une demande daccs ou
de sassurer que les demandes de rectifications seront correctement excutes
pour toutes les donnes qui se trouvent traites ci et l dans lentreprise.
Chapitre 2
Le travailleur acteur de traitements
116 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
anthemis 117
Utilisation de loutil informatique et des TIC
Conclusion
118 anthemis
Gestion et protection des donnes caractre personnel dans la relation de travail
anthemis 119