AVIS N 13 / 2007 du 21 mars 2007

Documents pareils
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

données à caractère personnel (ci-après la "LVP"), en particulier l'article 29 ;

CHARTE DU CORRESPONDANT MODELE TYPE

Une saisie européenne des avoirs bancaires Éléments de procédure

Siréas asbl Service International de Recherche, d Education et d Action Sociale

Charte d audit du groupe Dexia

Banque Carrefour de la Sécurité Sociale

Fiche d information relative au fonctionnement des garanties «responsabilité civile» dans le temps

BANQUE DE LUXEMBOURG Vol des espèces retirées - Déclaration de sinistre (Page 1 sur 5) Numéro de police L INFORMATIONS GENERALES

Numéro du rôle : Arrêt n 136/2008 du 21 octobre 2008 A R R E T

Loi modifiant la Loi sur la protection du consommateur et la Loi sur le recouvrement de certaines créances

Règlement d INTERPOL sur le traitement des données

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

RECUEIL DE LEGISLATION. A N novembre S o m m a i r e RÉGIME TEMPORAIRE: GARANTIE DE L ÉTAT

Surveillance dosimétrique Note législative

France Luxembourg Suisse 1

Guide de la pratique sur les réserves aux traités 2011

COMMISSION D ACCÈS À L INFORMATION

Obligation de publication des comptes annuels et consolidés de sociétés étrangères

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

E 5040 TREIZIÈME LÉGISLATURE SESSION ORDINAIRE DE

Loi fédérale sur le transfert international des biens culturels

RÉGIME GÉNÉRAL D ÉPARGNE ET D ACHAT DE TITRES DE LA BANQUE ROYALE DU CANADA

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

1. Procédure. 2. Les faits

COMMISSION DES NORMES COMPTABLES

BANQUE DE LUXEMBOURG Extension garantie constructeur - Déclaration de sinistre (Page 1 sur 5) Numéro de police L INFORMATIONS GENERALES

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

GEWISS FRANCE S.A.S. CODE D ETHIQUE INFORMATIQUE

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

Publication : 19 novembre 2008 BANQUE DU CANADA RÈGLES RÉGISSANT LES AVANCES AUX INSTITUTIONS FINANCIÈRES

INSTRUMENTS DE PAIEMENT ET DE CRÉDIT

Code de conduite Zoomit

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (87) 15 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

Peut-on envisager un effet direct?

RECOMMANDATIONS COMMISSION

Numéro du rôle : Arrêt n 36/2006 du 1er mars 2006 A R R E T

DEPOSER SES STATUTS ARTIST PROJECT

Aperçu des 37 principes directeurs

ACTUALITÉS ASSURANCES & RISQUES FINANCIERS

CONDITIONS GENERALES D UTILISATION. 1.1 On entend par «Site» le site web à l adresse URL édité par CREATIV LINK.

Service public fédéral Emploi, Travail et Concertation sociale Direction générale Humanisation du travail. Fonds de l expérience professionnelle

Portage salarial : effets de l ordonnance n du 2 avril 2015

LE CONSEIL CONSTITUTIONNEL, Vu l ordonnance n du 7 novembre 1958 modifiée portant loi organique sur le Conseil constitutionnel ;

Droit des baux commerciaux

Vu la loi modifiée du 14 février 1955 concernant la réglementation de la circulation sur toutes les voies publiques;

ORDONNANCE. relative au portage salarial. NOR : ETST R/Bleue RAPPORT AU PRÉSIDENT DE LA RÉPUBLIQUE

La Commission de la protection de la vie privée (ci-après "la Commission") ;

Document de travail. Business Corporations Act Securities Transfer Act

LES NOUVELLES CONTRAINTES EN MATIERE DE MARCHES PUBLICS

Banque européenne d investissement. Politique de signalement

Bulletin Officiel de la Concurrence, de la Consommation et de la Répression des Fraudes

GESTION DES ARCHIVES

Délais et retards de paiement : analyse et propositions de l UCM

LE CONTENU DES MODALITÉS DE SERVICE

BANQUE DE LUXEMBOURG Franchise du véhicule de location - Déclaration de sinistre (Page 1 sur 5) Numéro de police L INFORMATIONS GENERALES

ASSOCIATION «HABITER ENFIN!» Loi de 1901 STATUTS

LA GARANTIE LÉGALE DU VENDEUR

Notes explicatives Règles de facturation en matière de TVA

Administration en Ligne e-démarches. Console du gestionnaire. Guide utilisateur. Aout 2014, version 2.1

CONDITIONS PARTICULIERES RELATIVES A LA FACILITE DE CAISSE I - En vigueur à partir du 23 mars 2015

REGLEMENT INTERIEUR TITRE I : DISPOSITIONS GENERALES

F Planificateur financier A2 Bruxelles, le 27 mars 2014 MH/SL-EDJ/JP AVIS. sur

Accès des autorités américaines aux données du trafic international des paiements et implications pour la Suisse

COMMERCIALISATION A DISTANCE DE SERVICES FINANCIERS BROCHURE D INFORMATION. Résumé

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

Le ministre de l'intérieur, de la sécurité intérieure et des libertés locales

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

Chapitre 7 Ministère du Développement des ressources humaines / Andersen Consulting

LES DIFFERENTES FORMES JURIDIQUES D UNE ENTREPRISE

SENTENCE ARBITRALE DU COLLEGE ARBITRAL DE LA COMMISSION DE LITIGES VOYAGES

Comité sectoriel du Registre national. Avis RN n 01/2013 du 11 décembre 2013

Introduction. Une infraction est un comportement interdit par la loi pénale et sanctionné d une peine prévue par celle-ci. (1)

TIEN DES DROITS DES TRAVAILLEURS EN CAS DE CHANGEMENT D'EMPLOYEUR DU FAIT D'UN TRANSFERT CONVENTIONNEL D'ENTREPRISE ET REGLANT LES

RADIONOMY SA 55K Boulevard International 1070 Bruxelles Belgique. II. Autorisation d'accès anonyme et acceptation de notre politique de vie privée

PROJET D ARTICLES SUR LES CLAUSES DE LA NATION LA PLUS FAVORISÉE 1978

DÉCISION DU TIERS DÉCIDEUR. SPRL LES COMPTABLES ET FISCALISTES ASSOCIES / SPRL EKITAS CONSULTING Affaire N : cfabelgium.be

Décrets, arrêtés, circulaires

BANQUE DE LUXEMBOURG Livraison des biens achetés sur internet - Déclaration de sinistre (Page 1 sur 5) Numéro de police L

Conditions d entreprise

CONVENTION DE COMPTE DE DEPOT EN DEVISES

Mise en contexte PAR CONSÉQUENT, IL EST CONVENU CE QUI SUIT : 1. Objet

A V I S N Séance du mardi 28 mai

ARGENTA BANQUE D EPARGNE SA Extension garantie constructeur - Déclaration de sinistre (Page 1 sur 7) Numéro de police INFORMATIONS GENERALES

Conférence des Cours constitutionnelles européennes XIIème Congrès

4. Espace serveur et transfert de données

Article 1. Enregistrement d un nom de domaine

CONDITIONS PARTICULIERES D UTILISATION DE L ESPACE CLIENT SUR LE SITE

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

Marché : N DAF/AUDIT COMPT FINANCIER/18-08

1/ 8 BE001 14/06/ Numéro BDA: Formulaire type 14 - FR e-marketing

La dissolution et la liquidation en un seul acte

N 3039 ASSEMBLÉE NATIONALE PROJET DE LOI

CONVENTION CONCERNANT L ASSISTANCE ADMINISTRATIVE MUTUELLE EN MATIÈRE FISCALE

Règle 63 DIVORCE ET DROIT DE LA FAMILLE

STATUTS DE L'AGENCE DEPARTEMENTALE DE L ORNE

Transcription:

ROYAUME DE BELGIQUE Bruxelles, le Adresse : Rue Haute, 139, B-1000 Bruxelles Tél.: +32(0)2/213.85.40 E-mail : commission@privacycommission.be Fax.: +32(0)2/213.85.65 http://www.privacycommission.be COMMISSION DE LA PROTECTION DE LA VIE PRIVEE AVIS N 13 / 2007 du 21 mars 2007 N. Réf. : SA2 / A / 2007 / 005 OBJET : Projet d Arrêté royal autorisant les transferts vers un pays non-membre de la communauté européenne et n assurant pas un niveau de protection adéquat de données à caractère personnel d employés de la société General Electric. La Commission de la protection de la vie privée, Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l égard des traitements de données à caractère personnel, en particulier l article 22, 6 paragraphe 2; Vu la demande d avis du Ministre de la Justice du 8 février 2007 relative au projet d Arrêté royal autorisant les transferts vers un pays non-membre de la communauté européenne et n assurant pas un niveau de protection adéquat de données à caractère personnel d employés de la société General Electric (ci-après, l Arrêté royal «GE») ; Vu le précédent avis de la Commission du 15 mars 2004 n 04/2004 relatif aux «Règles d'entreprise visant à légitimer un transfert de données à caractère personnel vers des pays non membres de la communauté européenne» ; Vu le rapport de madame Junion, Émet, le 21 mars 2007, l avis suivant : AV 13 / 2007-1 / 7

I. INTRODUCTION : ---------------------------------- En date du 8 février 2007, le Ministre de la Justice a soumis, pour avis, à la Commission un Arrêté royal visant à autoriser la société General Electric à transférer des données à caractère personnel relatives à ses employés notamment vers des pays non membres de la Communauté européenne et n assurant pas un niveau de protection adéquat, en vertu de ses règles d entreprises destinées à s appliquer à l ensemble des entités du groupe à travers le monde. Les règles visent à appliquer les principes de protection des données à l ensemble des employés du groupe. La problématique du transfert de données à caractère personnel vers des pays tiers à l Union européenne est réglementée par les articles 21 et 22 de la loi du 8 décembre 1992. Un transfert vers un pays tiers qui n offre pas un niveau de protection adéquat ne peut être effectué qu en vertu de l une des exceptions énumérées à l article 22 de la loi. L une de ces exceptions prévoit la faculté pour le Roi d autoriser un transfert, après avis de la Commission, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants. Si ces garanties résultent le plus souvent de clauses contractuelles appropriées, d autres solutions peuvent également être envisagées. Un engagement multilatéral des différentes entités d un groupe d entreprises, prenant la forme de règles d entreprises contraignantes, est une solution indiquée pour les multinationales et peut également encadrer le transfert international de données à caractère personnel au sens de l article 22 de la loi, à condition de répondre à certaines exigences. Cette possibilité est notamment soutenue par le Groupe européen des Commissaires à la protection des données (ci-après, «le groupe de l article 29») 1. II. EXAMEN DE L ARRETE ROYAL : ---------------------------------------------------------- La Commission souligne le fait qu elle a déjà rendu un avis positif sous condition portant sur les règles contraignantes d entreprise de la société General Electric 2 pour une durée d un an, endéans laquelle certains points devaient être pris en considération. Pour cette raison, la Commission ne renouvellera pas son analyse détaillée de l ensemble des points de l arrêté royal «GE» mais se concentrera sur le respect des points abordés dans son précédent avis et sur certains points additionnels. 1 Une procédure d approbation des règles d entreprises contraignantes a été élaborée par le «groupe de l article 29», et est décrite dans différents documents de travail et notamment ceux relatifs : - Aux transferts de données personnelles vers des pays tiers: Application de l article 26 (2) de la directive de l UE relative à la protection des données aux règles d'entreprise contraignantes applicables aux transferts internationaux de données, WP 74 du 3 juin 2003 ; - A une procédure de coopération en vue de l émission d avis communs sur le caractère adéquat de la protection offerte par les «règles d entreprise contraignantes», WP 107 du 14 avril 2005 ; - A l établissement d une liste de contrôle type pour les demandes d approbation des règles d entreprise contraignantes, WP 108 du 14 avril 2005. Un formulaire standard pour la soumission de règles contraignantes d entreprise pour autorisation a été également récemment proposé par ce groupe (Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data, WP 133 du 10 janvier 2007). 2 Avis n 04/2004 relatif aux «Règles d'entreprise visant à légitimer un transfert de données à caractère personnel vers des pays non membres de la communauté européenne» du 15 mars 2004. AV13 / 2007-2 / 7

A. Points abordés par l avis de la Commission du 15 mars 2004 1) L adjonction de précisions quant au fond, en ce qui concerne la notion de personne identifiable, le respect du principe de finalité et l étendue du droit d accès a. La notion de personne identifiable Dans son avis du 15 mars 2004, la Commission énonçait que «Les règles s appliquent aux données relatives à des personnes identifiées ou identifiables (chapitre II), mais le texte stipule qu il ne couvre pas les données lorsqu il est fait usage de pseudonymes, sauf si les individus restent identifiables malgré l utilisation de ces pseudonymes. La Commission rappelle que l on peut avoir affaire à des données à caractère personnel, même si le responsable des données ne dispose pas lui même de la clé permettant d identifier les personnes : la loi s applique dès qu un tiers (ou une autre entité du groupe) dispose d un moyen raisonnable permettant l identification». Ce point n a pas été pris en compte dans le projet d Arrêté royal soumis à la Commission. La Commission suggère dès lors que l article 3 de l Arrêté royal «GE» soit modifié comme suit : «Si les données rendues anonymes perdent leur caractère anonyme et que les individus sont à nouveau identifiables, ou en cas d utilisation de pseudonymes permettant l identification des personnes concernées que ce soit par une entité GE ou un tiers, alors l arrêté sera de nouveau applicable». b. Le respect du principe de finalité Dans son avis du 15 mars 2004, la Commission soulignait qu «En ce qui concerne le respect du principe de finalité (chapitre V), les règles stipulent qu une information sera fournie aux employés si les données devaient être traitées pour une finalité qui irait au delà de celles indiquées dans le texte. Si une telle information doit bien entendu être approuvée, elle ne dispense pas d un examen de compatibilité de toute nouvelle finalité avec celles pour lesquelles les données ont été collectées et traitées à l origine». Ce point n a pas été pris en compte dans le projet d Arrêté royal soumis à la Commission. La Commission suggère par conséquent que le second paragraphe de l article 6 de l Arrêté royal «GE» soit modifié comme suit : Si une entité GE introduit un nouveau procédé ou un nouvel outil donnant lieu au traitement de données à des fins qui vont au-delà des finalités citées ci-dessus, l entité GE responsable de ce procédé ou de cet outil s assure que cette finalité est compatible avec celles citées ci-dessus et que les employés concernés sont informés du nouveau procédé ou du nouvel outil, des finalités pour lesquelles les données seront utilisés et des catégories de destinataires des données. c. L étendue du droit d accès Dans son avis du 15 mars 2004, la Commission notait que «Le chapitre VIII des règles prévoit l hypothèse d un refus opposé à l employé qui demande l accès ou la rectification de ses données à caractère personnel. Le texte prévoit à l intention de l employé une information sur les raisons du refus, et une procédure interne de recours. La Commission souligne que les raisons qui pourraient amener à restreindre les droits d accès et de rectification ne sont pas mentionnées dans les règles, ce qui laisse une grande marge de manœuvre à l employeur. Le droit européen ne prévoit pourtant que des exceptions particulièrement strictes aux droits d accès et de rectification, dont une seule semble pouvoir trouver à s appliquer dans le cadre d une relation de travail : il s agit de la protection de la personne concernée ou des droits et libertés d autrui. AV13 / 2007-3 / 7

La Commission note en outre que cette restriction au droit d accès prévue par la directive européenne en ce qui concerne les droits et libertés d autrui n a pas été transposée dans la loi belge, ce qui donne aux droits d accès et de rectification un caractère beaucoup plus absolu au niveau national que dans les règles d entreprise soumises pour avis». Les principes n ont pas été repris non plus dans le projet d Arrêté royal. La Commission suggère que le troisième paragraphe de l article 11 soit modifié comme suit : «L accès ou la rectification peut être refusé si le motif de refus est conforme avec les exceptions prévues par la législation nationale applicable qui transpose la Directive européenne 95/46/CE relative à la protection des données. Dans ce cas, le motif du refus est communiqué et la demande ainsi que le motif de refus seront consignés». 2) Le caractère exécutoire des règles d entreprise, impliquant la responsabilité de l entité du groupe établie sur le territoire de l Union européenne, et la possibilité pour l employé d agir en tant que tiers bénéficiaire devant les juridictions de son propre pays La Commission accueille favorablement les modifications qui ont été introduites par l article 24 de l Arrêté royal «GE». Cet article prévoit que l entité du groupe, située sur le territoire de l Union européenne, qui exporte les données à une entité située en dehors de l Espace Economique Européen, dans un pays n offrant pas de protection adéquate 3, reste responsable vis-à-vis des employés lorsque l entité importatrice des données a commis une violation des règles d entreprise. Dans cette hypothèse, l employé est en droit d entamer une procédure devant les tribunaux du pays dans lequel il travaille. L insertion de cette clause de tiers bénéficiaire est essentielle aux yeux de la Commission dès lors qu elle rend possible l action de la personne concernée devant une juridiction du territoire de l Union européenne si une violation des règles d entreprise a lieu dans un pays tiers. Dans son avis du 15 mars 2004, la Commission précisait toutefois qu «il devrait revenir au siège européen ou à cette filiale établie en Europe de prouver que l entité située en dehors de l Union européenne n est pas responsable de l infraction dénoncée. En effet, il s avère pratiquement impossible pour un employé «de prouver qu une société établie dans un pays tiers effectue des opérations de traitement contraires aux règles de l entreprise», ce qui n est pas actuellement prévu par l Arrêté royal «GE». 3) Les engagements des sous-traitants en termes de sécurité et de respect des principes de protection des données à caractère personnel. Dans son avis du 15 mars 2004, la Commission soulignait que les engagements en termes de sécurité des sous-traitants ne présentaient pas un niveau de détail suffisant. La Commission accueille favorablement le fait que l article 13 2 de l arrêté royal «GE» prévoit que les mesures exigées des sous-traitants se basent sur les mêmes standards de protection que ceux prévus pour les entités GE. 3 Conformément à une décision de la Commission européenne prise en application de l article 25 de la Directive européenne de la protection des données AV13 / 2007-4 / 7

4) La possibilité d audit par les autorités de protection des données La Commission rappelle également que dans son avis du 15 mars 2004, elle demandait que l obligation de collaboration avec les autorités de protection des données prévoie la possibilité pour ces autorités d exiger la réalisation d audit par des inspecteurs de l autorité même ou par des auditeurs indépendants au nom de l autorité de contrôle. Cette possibilité n est actuellement pas prévue et pourrait être insérée à l article 19 de l Arrêté royal«ge». Outre les points abordés lors de l avis du 15 mars 2004, Commission désire émettre également son opinion sur certains points additionnels : B. Points additionnels 1) Les conditions à respecter lors de la communication des données par la Société General Electric à d autres destinataires que des sous-traitants L article 14 de l Arrêté royal «GE» prévoit la possibilité pour la Société General Electric de communiquer des données à «d autres tiers» dans les cas suivant : 1. pour se conformer à une obligation légale. Dans ce cas, GE en informe le Service public fédéral Justice (115, Boulevard de Waterloo à 1000 Bruxelles) et la Commission de la protection de la vie privée ; 2. pour protéger les droits de GE ; 3. dans le cas d une situation d urgence dans laquelle la santé ou la sécurité d un employé est menacée. L obligation d avertir le SPF Justice et la Commission lorsqu une obligation légale étrangère impose la communication d informations doit être accueillie positivement. En effet, la Commission tient à souligner que dans un récent avis, le «Groupe de l article 29» a considéré cette obligation d information des autorités nationales de protection des données comme étant nécessaire pour déclencher efficacement les mécanismes de contrôle de la protection des données 4. Par un e-mail datant du 13 février 2007, la Société General Electric a soumis des éventuelles modifications à cet article. - La première modification vise à prévoir une exception à l obligation d informer le SPF Justice et la Commission par l entité General Electric, lorsque l autorité étrangère interdit spécifiquement cette information 5. La Commission suggère que si cette modification, telle que proposée par la Société General Electric, devait être insérée, le texte devrait prévoir que cette interdiction ne pourrait être émise que par une autorité chargée d assurer le respect de la loi, que l interdiction d information devrait avoir une base légale et qu elle soit limitée dans le temps 6. 4 Avis 10/2006 du 22 novembre 2006 sur le traitement des données à caractère personnel par la Société de télécommunications interbancaires mondiales (SWIFT). 5 Voici le texte tel que proposé en anglais : 1) as a matter of law (e.g., to tax and social security authorities). In such a case, GE shall inform the Justice Cabinet (115, Boulevard de Waterloo à 1000 Bruxelles) and the Belgian Privacy Commission about this, unless specifically prohibited by the requesting authority. 6 Voir le point 3.3.3 du Document de travail WP 74 du «groupe de l article 29», op. cit., qui prévoit une obligation pour les filiales du groupe d informer immédiatement le siège européen du groupe ou la filiale européenne responsable par délégation de la protection des données lorsqu elles ont des raisons de penser que la législation qui leur est applicable risque de les empêcher de remplir leurs obligations en vertu des règles d entreprise contraignantes et d avoir un impact négatif sur les garanties fournies. Une exception est prévue lorsque l information est interdite par une autorité AV13 / 2007-5 / 7

- Les autres suggestions de la Société General Electric visent à apporter des exemples aux possibilités de communication des données : 1. pour se conformer à une obligation légale : la Société General Electric propose d ajouter un exemple relatif aux autorités fiscales et de sécurité sociale 2. pour protéger les droits de GE : la Société General Electric propose d ajouter un exemple relatif à la défense des droits en justice 3. dans le cas d une situation d urgence dans laquelle la santé ou la sécurité d un employé est menacée : la Société General Electric propose d ajouter un exemple relatif à l urgence mettant la santé ou la sécurité de l employé en danger. La Commission accueille favorablement ces propositions, mais souligne toutefois que des définitions (relatives «aux droits de GE» et «à la situation d urgence») pourraient apporter encore plus de précision. 2) Précision sur le champ d application des règles d entreprise L article 2 de l arrêté royal stipule : «Le présent arrêté autorise, moyennant le respect des règles qui y sont reprises, le traitement et le transfert de données à caractère personnel des employés par une entité de la société GE ou de tiers sélectionnés établie dans un pays de la communauté européenne vers des entités de la société GE établies dans un pays non-membre de la communauté européenne qui assurent ou n assurent pas un niveau de protection adéquat.» La manière dont est rédigé cet article pourrait faire penser que les règles d entreprise s appliquent aux données relatives aux employés de la société GE ou aux données relatives à des tiers. La version néerlandaise du texte semble plus claire car elle précise qu il s agit de traitements et de transferts de données personnelles relatives à des employés par une entité de la société GE qui est établie dans la communauté européenne vers une entité GE ou des tiers sélectionnés qui sont établis dans un pays non-membre de la communauté européenne qui assure ou n assure pas un niveau de protection adéquat. La commission propose dès lors que la version française du texte soit revue pour être en parfaite concordance avec la version néerlandaise. 3) Les exceptions au droit d opposition L article 21 de l Arrêté royal «GE» prévoit la possibilité pour les employés de s opposer au traitement de données. Parmi les exceptions prévues, il est indiqué que ce droit ne s applique pas si le traitement est fondé sur le consentement individuel de l employé. Cette exception devrait être supprimée, dès lors qu il est nécessaire, afin qu un consentement soit libre, que celui-ci puisse toujours être retiré. Le consentement comme légitimation du traitement et le droit d opposition en tant que droit de la personne concernée sont deux principes distincts et complémentaires de la loi. L application de l un ne peut jamais empêcher celle de l autre. 4) Précisions sur l étendue du droit d information et du droit d accès L article 7 de l Arrêté royal «GE» prévoit une obligation d information de la personne concernée en cas de traitement portant sur des données sensibles. L information prévue porte sur la collecte et le traitement de données. chargée d assurer le respect de la loi. Le texte communique également un exemple qui s appuie sur une base légale («comme par exemple une interdiction prévue par le code pénal pour préserver le secret de l instruction»). AV13 / 2007-6 / 7

La Commission précise que l article 25, 4 de l Arrêté royal du 13 février 2001 portant exécution de la Loi Vie Privée prévoit la communication également de la base légale ou réglementaire autorisant le traitement de données sensibles. L article 11 1 de l Arrêté royal «GE» relatif au droit d accès le limite à la possibilité pour la personne concernée de se renseigner sur la nature des données. La Commission précise qu en vertu de l article 10 de la Loi Vie Privée, le droit d accès doit également permettre de se renseigner sur les finalités du traitement ainsi que sur les catégories de destinataires des données. PAR CES MOTIFS, La Commission souligne le caractère positif de la démarche effectuée par la société General Electric en ce qui concerne la protection des données à caractère personnel de ses employés. Dans cette perspective, la Commission entend se prononcer de façon favorable quant à l adoption d un Arrêté royal autorisant les transferts vers un pays non-membre de la communauté européenne et n assurant pas un niveau de protection adéquat de données à caractère personnel d employés de la société General Electric. Compte tenu des préoccupations exprimées dans le présent avis, la Commission conditionne toutefois son avis positif à la modification de l Arrêté royal visant à intégrer les remarques suivantes : L adjonction de précisions quant au fond, en ce qui concerne la notion de personne identifiable, le respect du principe de finalité et l étendue du droit d accès ; Prévoir la possibilité d audit par les autorités de protection des données ; Prendre en considération les suggestions de la Commission concernant les conditions à respecter lors de la communication des données par la Société General Electric à d autres destinataires que des sous-traitants ; Retirer l exception prévue au droit d opposition qui vise l hypothèse du traitement fondé sur le consentement individuel de l employé ; Insérer des précisions sur l étendue du droit d information et du droit d accès. La Commission souhaite être tenue informée du suivi apporté à ces considérations. L administrateur, Le vice-président, (sé) Jo BARET (sé) Willem DEBEUCKELAERE AV13 / 2007-7 / 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back