Quelles autorités assurent la protection des données personnelles dans ces différents Paysen Belgique ?

Résumé

La Commission de la protection de la vie privée joue un rôle majeur dans la régulation des traitements de données à caractère personnel en Belgique, veillant au cas par cas à concilier l’efficacité offerte par les traitements et la protection des données à caractère personnel des citoyens. L’utilisation des technologies se déployant de manière fulgurante, le rôle de cette institution est de plus en plus essentiel. La Commission de la protection de la vie privée dispose de multiples moyens d’action, d’efficacité variable. Outre le renforcement des compétences de cette autorité, l’étude se concentre sur le statut de la Commission de la protection de la vie privée, son indépendance et les mesures de contrôle de son action.

Haut de page

Texte intégral

I. Introduction

• 1 Cette contribution est inspirée de l’ouvrage suivant : E. Degrave, L’e-gouvernement et la protectio (...)
• 2 Ci-après « CPVP ».

1La Commission de la protection de la vie privée2 est l’autorité belge de protection des données à caractère personnel. Elle est compétente pour veiller à la protection de la vie privée des citoyens par rapport aux menaces que les traitements de données à caractère personnel font peser sur ce droit fondamental. Ce sujet, particulièrement délicat à l’heure du développement des technologies, génère nombre de questions sensibles.

• 3 Voy. not. http://www.lalibre.be/actu/belgique/fuite-de-donnees-a-la-sncb-le-fichier-etait-disponibl (...)
• 4 Voy. not. http://www.rtbf.be/info/societe/detail_protection-de-la-vie-privee-google-street-view-fac (...)
• 5 Voy. not. http://www.rtbf.be/info/societe/detail_la-carte-d-identite-commence-a-remplacer-les-carte (...)
• 6 Voy. not., C.E., Van Merris, arrêt n° 143.683 du 26 avril 2005.
• 7 Voy. C.E., arrêt Lizin, n° 211.698 du 2 mars 2011.
• 8 Flaherty, 1989, cité par Poullet, 1999, p. 2.

2On se souvient, par exemple, de l’émoi créé auprès du public lorsque, suite à une erreur de manipulation, la SNCB avait mis en ligne le nom et les coordonnées de près d’un million d’usagers3. En outre, régulièrement, la mise en place de nouveaux outils technologiques inquiète. Entre autres exemples, on pense à Google Street View qui, à partir de photos prises par les Google Cars, présente une vue assez précise de chaque habitation, sans que le consentement des propriétaires ait été demandé4. On pense aussi au boitier, disponible sur le comptoir de certains commerçants, qui permet d’utiliser la carte d’identité électronique comme carte de fidélité. Les données de la carte d’identité et les achats effectués sont ainsi regroupés et enregistrés dans une grande base de données détenue par la société privée qui a conçu cet outil, permettant à cette dernière d’avoir un profil précis de chaque consommateur5. On n’ignore pas non plus que certaines personnes sont tentées de commettre des abus dans l’utilisation des données auxquelles elles ont accès. Il est ainsi déjà arrivé que des policiers notent la plaque d’immatriculation de jolies conductrices et accèdent ensuite au registre de la DIV pour les contacter par téléphone ; que des personnes utilisent l’accès au Registre national dont ils disposent dans le cadre de leur profession pour retrouver la trace de leur ancienne compagne6 ; que des politiciens envoient une carte de prompt rétablissement aux personnes venant de sortir de l’hôpital7, etc. Face à ces problèmes de plus en plus fréquents, la CPVP agit comme le « chien de garde »8 de la vie privée des citoyens et assure ainsi un rôle fondamental dans notre société démocratique.

• 9 Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de donné (...)
• 10 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protectio (...)
• 11 Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l'égard du traitement a (...)

3A l’origine, la CPVP, jadis appelée « Commission consultative pour la protection de la vie privée », a été créée en 1983 pour contrôler l’utilisation de la première base de données informatique de l’Etat belge, le Registre national. Depuis lors, la CPVP est instituée et organisée par la loi du 8 décembre 19929 et sa mission a été largement étendue à la faveur du déploiement des technologies. Aujourd’hui, l’existence de cette autorité de contrôle est également imposée par la Directive européenne 95/4610 et la Convention n° 108 du Conseil de l’Europe11, normes qui régissent la protection des données à caractère personnel au niveau supranational. Elles présentent l’autorité de contrôle comme un élément essentiel de la protection des données à caractère personnel des citoyens.

4Par son action, la CPVP régule le secteur des traitements de données à caractère personnel en veillant à trouver, au cas par cas, un équilibre entre, d’une part, l’efficacité qu’offre un traitement de données à caractère personnel – qu’il s’agisse, par exemple, de l’efficacité de l’administration fiscale via le croisement des données des contribuables, de celle de la police utilisant des caméras de surveillance, de celle d’une société de marketing direct au travers du regroupement des caractéristiques personnelles de clients, etc. – et, d’autre part, le souci de protéger la vie privée des personnes concernées en veillant à ce que leurs données soient utilisées légalement.

5Pour ce faire, la CPVP dispose de plusieurs moyens d’action (II.). Par ailleurs, des garanties encadrent le travail de la CPVP. En particulier, il importe que cette autorité agisse de manière indépendante (III.), tout en étant soumise à un contrôle politique et juridictionnel (IV.). La signification et la concrétisation de ces exigences sont analysées dans cette contribution.

II. Les moyens d’action de la Commission de la protection de la vie privée

6Les missions dévolues à la CPVP sont diverses.

• 12 www.privacycommission.be
• 13 A ce sujet, voy. http://www.privacycommission.be/fr/rapport-annuel

7La CPVP informe et assiste le public au sujet des questions que soulèvent les traitements de données à caractère personnel des citoyens. A cet égard, elle communique des conseils et des renseignements sur son site internet12, répond aux médias, rédige chaque année un rapport d’activités13, etc.

8Par ailleurs, une partie substantielle du travail de la CPVP est consacrée au contrôle des traitements de données à caractère personnel. Cette mission a pris de plus en plus d’importance ces dernières années au gré du développement d’internet et de l’apparition des nouveaux outils technologiques. C’est à cette tâche importante de la CPVP que se consacrent les lignes qui suivent.

II.1. L’état des lieux des moyens de contrôle de la CPVP

9La CPVP peut être amenée à contrôler tout traitement de données à caractère personnel, qu’il ne soit qu’au stade de projet ou déjà en cours d’exécution. Elle intervient également par rapport aux traitements de données faisant l’objet de contestations.

II.1.1. Le contrôle des traitements de données en projet : les avis de la CPVP

• 14 En vertu de l’article 29, §1er, de la loi du 8 décembre 1992, la CPVP émet des avis « (…) sur toute (...)
• 15 On qualifie de « régime juridique de la protection de la vie privée et des données à caractère pers (...)

10La CPVP est régulièrement amenée à rendre des avis dans lesquels elle se prononce sur la légalité des normes qui encadrent un traitement de données à caractère personnel avant que celles-ci soient adoptées par l’autorité compétente et rendues effectives14. A cette occasion, la CPVP se prononce sur le fond du traitement envisagé, et vérifie qu’il est conforme aux exigences du régime juridique de la protection de la vie privée et des données à caractère personnel15.

• 16 Voy. les hypothèses mentionnées à l’article 29, §1er, de la loi du 8 décembre 1992.
• 17 Aux termes de l’article 1, §4, de la loi du 8 décembre 1992, le responsable de traitement est « la (...)
• 18 Article 17, §8, de la loi du 8 décembre 1992.

11Pour ce faire, la CPVP doit, au préalable, avoir été saisie d’une demande d’avis. En général, la saisine de la CPVP est facultative16. Par exemple, la CPVP n’est pas tenue de se prononcer lors de l’élaboration d’une norme de valeur législative mais elle peut le faire d’initiative ou à la demande des chambres législatives, notamment. Cependant, dans certaines hypothèses, la consultation de la CPVP est obligatoire et vise plus particulièrement à encadrer les tâches que la loi délègue au Roi. Par exemple, le Roi doit demander l’avis de la CPVP avant d’exempter certaines catégories de responsables de traitement17 de l’obligation de déclarer les traitements de données effectués18.

12Les avis de la CPVP sont d’une grande utilité pour interpréter les exigences cardinales du régime de protection des données à caractère personnel qui sont en général assez floues. On pense principalement aux exigences de finalité, de proportionnalité et de transparence, que doit respecter le législateur lorsqu’il met en place un nouveau traitement de données, ou tout responsable de traitement lorsqu’il collecte ou communique des données.

13Malheureusement, que l’avis de la CPVP soit requis ou non, il n’est pas contraignant. Or, le non-respect des exigences de protection de la vie privée que dénonce la CPVP peut porter atteinte à la constitutionnalité et à la légalité des normes qui organisent les traitements de données à caractère personnel. Ces règles risquent alors d’être annulées ou privées d’effet par les cours et tribunaux. Dès lors, pour éviter la perte de temps et d’énergie que constitue l’élaboration d’une norme inconstitutionnelle vouée à disparaître de l’ordonnancement juridique, il serait judicieux de prévoir au moins l’obligation, pour le législateur et pour le Roi, d’énoncer, dans l’exposé des motifs, les raisons qui justifient que l’avis de la CPVP ne soit pas suivi. Cela pourrait inciter ces autorités à prendre conscience de la qualité et de l’importance des suggestions émises par la CPVP.

II.1.2. Le contrôle des traitements de données en cours : les autorisations de la CPVP19

• 19 Nous n’analysons pas, dans le cadre de cette contribution, la compétence de la CPVP de rendre des r (...)
• 20 Famifed est l’Agence fédérale pour les allocations familiales, jadis appelée l’Office national d’al (...)
• 21 Pour un exemple, voy. Degrave, 2012.

14De plus en plus souvent, les données des citoyens qui sont collectées et enregistrées par certaines administrations sont ensuite réclamées par d’autres administrations voire par des sociétés privées. Par exemple, il est intéressant, pour un CPAS, d’obtenir de Famifed20 le montant d’allocations familiales versé à un allocataire social afin de calculer le montant de l’allocation à laquelle il a droit, sans devoir demander cette information à l’allocataire en question. Il est tentant, pour certaines sociétés privées, d’enregistrer une copie du numéro d’identification au Registre national des consommateurs afin de pouvoir identifier ces personnes de manière unique dans leur base de données21, etc.

• 22 Article 31bis de la loi du 8 décembre 1992.

15Depuis quelques années, de tels transferts de données doivent être autorisés par la CPVP. Plus précisément, depuis une réforme législative intervenue en 2003, la CPVP comprend, en son sein, des organes dénommés « comités sectoriels », chargés d’autoriser ou non la communication des données enregistrées dans les bases de données de l’administration fédérale22. Il existe actuellement six comités sectoriels, chacun étant compétent en fonction de la nature des données qu’il contrôle.

• 23 Article 5 de loi du 8 août 1983 sur le Registre national. Voy. également l’article 15 de cette même (...)
• 24 Ibidem, articles 8 et 15.

16Ainsi, le Comité sectoriel du Registre national est compétent pour octroyer « l’autorisation d’accéder aux informations [enregistrées dans le Registre national] »23 ainsi que « l’autorisation d’utiliser le numéro d’identification du Registre national »24.

• 25 Articles 17 et 18, §2 du 16 janvier 2003 portant création d’une Banque-Carrefour des Entreprises, M (...)

17Le Comité sectoriel de la Banque-Carrefour des Entreprises est compétent pour autoriser l’accès aux données de la Banque-Carrefour des Entreprises25.

• 26 Ce terme doit être compris au sens de l’article 2, 2°, de la loi du 15 janvier 1990 relative à la B (...)
• 27 Article 43bis, alinéa 2, de la loi du 15 janvier 1990 relative à la Banque-Carrefour de la sécurité (...)

18Le Comité sectoriel de la sécurité sociale et de la santé est divisé en deux sections : la section « sécurité sociale » et la section « santé ». La section « sécurité sociale » est compétente, en somme, pour contrôler les traitements de données effectués par les institutions de sécurité sociale26. Par ailleurs, la section « santé » veille à la légalité des traitements de données à caractère personnel relatives à la santé, au sens de la loi du 8 décembre 199227.

• 28 Articles 22 et suivants de la loi du 10 août 2005 instituant le système d’information Phénix, MB, 1(...)

19Le Comité de surveillance sectoriel « Phénix » contrôle les traitements des données issues de la banque de données Phénix28, qui est la banque de données de l’ordre judiciaire.

• 29 Article 17 de la loi du 22 mars 2006 modifiant la loi du 4 juillet 1962 relative à la statistique p (...)

20Le Comité de surveillance Statistique est compétent pour autoriser l’Institut national de Statistique à communiquer des données d’étude codées29.

• 30 Article 36bis de la loi du 8 décembre 1992.

21Enfin, le Comité sectoriel pour l’Autorité fédérale a une compétence résiduelle, en ce qu’il est compétent pour autoriser « toute communication électronique de données personnelles par un service public fédéral ou par un organisme public avec personnalité juridique qui relève de l’autorité fédérale, (…) à moins que la communication n’ait déjà fait l’objet d’une autorisation de principe d’un autre comité sectoriel créé au sein de la Commission pour la protection de la vie privée »30.

• 31 CPVP, avis n° 30/96, du 13 novembre 1996 relatif à un avant-projet de loi adaptant la loi du 8 déce (...)

22Ces comités sectoriels ont été créés pour que la légalité des transferts de données soit contrôlée au cas par cas et par des spécialistes du secteur dans lequel les échanges de données ont lieu. C’est l’idée que des personnes du terrain peuvent ainsi veiller à ce que les traitements de données accomplis dans l’administration respectent tant la loi que les préoccupations concrètes de l’administration. Comme l’a affirmé la CPVP pour souligner l’intérêt des comités sectoriels, « ces organes de contrôle spécifiques (…) dans lesquels siégeraient, entre autres, des représentants du secteur concerné, devraient s’attacher à rechercher des solutions concrètes à des problèmes concrets » et « exercer un contrôle ‘de première ligne’ dans le domaine de la protection des données à caractère personnel »31.

23Néanmoins, la composition actuelle des comités sectoriels et leur pouvoir de décision génèrent des questions relatives à l’indépendance de la CPVP, d’une part, et au contrôle politique et juridique de celle-ci, d’autre part. Ces différents points sont étudiés dans la suite de la présente contribution.

II.1.3. Le contrôle des traitements de données contestés : la gestion de plaintes, le pouvoir d’enquête et de dénonciation et le pouvoir d’ester en justice

24On a souligné, en guise d’introduction, que le déploiement des traitements de données à caractère personnel peut susciter l’inquiétude et la contestation auprès du public. Face à ces problèmes, la CPVP dispose de plusieurs moyens d’action.

• 32 Article 31 de la loi du 8 décembre 1992 et articles 25 à 36 du règlement d’ordre intérieur de la CP (...)
• 33 En vertu de l’article 26 du règlement d’ordre intérieur, l’identité du plaignant est maintenue secr (...)

25Tout d’abord, la CPVP peut être saisie d’une plainte, déposée par toute personne qui estime que ses données ont été traitées illégalement32. Le dépôt d’une plainte permet à la CPVP de prendre conscience d’un problème et d’investiguer le dossier ensuite dans le cadre d’une procédure qui maintient en principe33 secrète l’identité du plaignant. Si la plainte est recevable, la CPVP tente de concilier les parties dans le cadre d’une procédure de médiation. Elle peut, à cette occasion, inviter le responsable du traitement à respecter, le cas échéant, les droits du plaignant. Si la médiation aboutit à la conciliation des parties, la CPVP dresse un procès-verbal de l’accord. Si la médiation échoue, la CPVP émet un avis sur le caractère fondé de la plainte, et peut accompagner cet avis de recommandations adressées au responsable du traitement. L’avis de la CPVP accompagné des éventuelles recommandations est communiqué aux parties concernées, et une copie est envoyée au Ministre de la Justice.

• 34 Article 32, §1er, de la loi du 8 décembre 1992.
• 35 Pour un cas d’utilisation du numéro de Registre national en violation de l’interdiction du Comité s (...)

26Suite à une plainte, ou d’initiative, la CPVP peut exercer son pouvoir d’investigation pour s’assurer de la réalité des illégalités commises. La loi lui octroie ainsi le droit d’exiger la communication de tout document pouvant être utile à l’exercice de ses missions, et celui de pénétrer dans les lieux où sont accomplis des traitements de données34. Cette prérogative est intéressante pour vérifier, notamment, que les responsables de traitements n’utilisent pas des données pour lesquelles ils n’ont pas reçu l’autorisation du comité sectoriel compétent35.

• 36 Articles 38 et 39 de la loi du 8 décembre 1992.
• 37 Voy. l’article 32, §2, de la loi du 8 décembre 1992.

27Par ailleurs, la plupart des obligations imposées par la loi du 8 décembre 1992 sont assorties d’une sanction pénale36. Si ces règles ne sont pas respectées, la CPVP peut dénoncer, au Procureur du Roi, les infractions dont elle aurait connaissance dans l’exercice de ses missions37. C’est ce qu’a fait la CPVP en avril 2013 en transmettant au Parquet de Bruxelles le dossier relatif à la mise en ligne, par la SNCB, des données à caractère personnel de ses usagers. Suite à cette démarche, la SNCB pourrait prochainement se voir infliger une amende.

• 38 Au sujet de l’action d’intérêt collectif, voy. de Leval, 2005, pp. 21 à 23.

28Enfin, la loi du 8 décembre 1992 reconnaît à la CPVP un droit d’action collective38, celui de saisir le tribunal de première instance pour faire valoir les droits d’un ensemble de citoyens. Saisi d’un tel recours, le juge peut être amené à condamner un responsable de traitement à mettre fin aux pratiques illégales commises dans l’utilisation de données à caractère personnel. Ce droit d’action est particulièrement intéressant pour pallier les difficultés que rencontrent les citoyens dans le contrôle de leurs données. En effet, ceux-ci ne sont pas toujours conscients de l’existence de pratiques illégales. De plus, quand bien même ils auraient connaissance de telles pratiques, ils risquent de n’avoir ni le courage ni les moyens d’agir pour résoudre un problème dont l’ampleur les dépasse. Néanmoins, pour l’heure, la CPVP n’a encore jamais utilisé ce droit d’agir dans l’intérêt collectif.

II.2. Le renforcement des moyens de contrôle de la CPVP

29Bien que les moyens d’action de la CPVP soient très utiles, on constate avec regret que notre autorité de contrôle en matière de protection des données n’est pas toujours en mesure de sanctionner efficacement les traitements de données à caractère personnel illégaux en y mettant fin le plus rapidement possible. Plusieurs facteurs expliquent ce constat. Souvent, les citoyens n’ont pas connaissance des illégalités commises ou n’ont pas le courage de les dénoncer auprès de la CPVP. De plus, en pratique, la CPVP privilégie les démarches de médiation plutôt que la saisine des cours et tribunaux, par exemple. Ces procédures sont lentes et longues, et ne permettent donc pas d’obtenir rapidement la cessation des traitements illégaux. De plus, les solutions dégagées par la CPVP au terme de ces procédures ne sont pas contraignantes, ce qui peut créer auprès des responsables de traitement un sentiment d’impunité. Enfin, ces illégalités, fussent-elles constatées par la CPVP, font rarement l’objet d’une publicité auprès des citoyens, si bien que le responsable de traitement ne craint pas d’atteinte à sa réputation.

30C’est pourquoi le législateur devrait conférer à la CPVP des moyens d’action supplémentaires, adaptés à la technicité et à la rapidité des traitements de données à caractère personnel.

• 39 European Union Agency for fundamental rights, 2010, p. 23.

31Il serait ainsi utile que la CPVP dispose d’un pouvoir d’injonction consistant à ordonner le verrouillage, l’effacement ou la destruction des données, ainsi qu’interdire temporairement ou définitivement un traitement. Un tel pouvoir d’injonction permettrait à la CPVP d’obtenir rapidement la cessation de traitements de données illégaux. A cet égard, il est piquant de constater que l’article 28.3 de la directive 95/46 impose que l’autorité de protection des données nationale dispose d’un tel pouvoir d’injonction et que la CPVP est la seule autorité de protection des données européenne à en être privée39.

32Le contrôle des traitements de données par la CPVP serait également renforcé par l’octroi à la CPVP du pouvoir de formuler des avertissements publics, appelé « pouvoir d’admonestation ». D’ailleurs, comme le pouvoir d’injonction, le pouvoir d’admonestation devrait déjà avoir été attribué à la CPVP, conformément à l’article 28.3 de la directive 95/46. Le pouvoir d’admonestation consiste en la rédaction d’un avertissement à destination d’un responsable de traitement qui ne respecte pas le régime juridique de la protection des données. L’admonestation peut être rendue publique, notamment en la publiant sur le site internet de l’autorité de protection des données, ce qui incite les responsables de traitement à agir légalement pour éviter une atteinte à leur réputation. Ce type de sanction est régulièrement utilisé par la CNIL (Commission nationale de l’informatique et des libertés) en France qui publie ses avertissements publics sur son site internet et sur le site internet Legifrance.

• 40 Selon un rapport de l’Agence des droits fondamentaux de l’Union européenne, seules les autorités de (...)
• 41 Article 31 de la loi du 29 avril 1999 relative à l’organisation du marché de l’électricité, MB, 11 (...)

33Enfin, il ne faut pas sous-estimer l’efficacité du pouvoir d’amende, qui a un effet dissuasif et permet de sanctionner rapidement un acte illégal. La CPVP n’est malheureusement pas compétente pour imposer une amende à un responsable de traitement, à la différence de plusieurs autorités de protection des données européennes40 et d’autres autorités de régulation comme la CREG (Commission de Régulation de l’Electricité et du Gaz), par exemple41.

• 42 Article 23 de la loi du 8 décembre 1992.
• 43 Article 28 de la directive 95/46 et article 1.3 du Protocol additionnel à la Convention n° 108.

34La CPVP doit exercer ses moyens d’action en toute indépendance, comme le lui imposent la loi du 8 décembre 199242 et les normes supranationales qui régissent la matière43.

35Quelles sont la raison d’être et l’étendue de cette exigence d’indépendance ? La CPVP y répond-t-elle pleinement ? Ce sont les questions auxquelles se consacrent les lignes qui suivent.

III.1. La raison d’être et l’étendue de l’exigence d’indépendance des autorités de protection des données

III.1.1. La raison d’être de l’indépendance des autorités de protection des données

• 44 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07. Pour un co (...)
• 45 C.J.U.E., gde ch., 16 octobre 2012, République d’Autriche c. Commission, C-614/10.

36Selon la Cour de justice de l’Union européenne, l’exigence d’indépendance imposée aux autorités de protection des données s’explique par le souci de permettre à ces autorités d’être en mesure d’effectuer un examen objectif et impartial de l’équilibre à atteindre entre la circulation des données à caractère personnel et la protection de la vie privée des personnes concernées. Cette affirmation de la Cour de justice de l’Union européenne résulte d’une interprétation téléologique de la directive 95/46 à laquelle elle s’est prêtée dans deux arrêts récents. Le premier arrêt concerne les autorités de protection des données instituées dans les Länder allemands44 tandis que le second vise l’autorité de protection des données autrichienne45.

• 46 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07, § 23.
• 47 Ibidem, § 24.

37Plus précisément, la Cour rappelle que l’objectif poursuivi par la directive européenne est d’assurer la libre circulation des données entre les Etats-membres. Puisque ces échanges d’informations peuvent heurter la vie privée des citoyens concernés, les autorités de contrôle doivent être des « gardiennes [des] droits et libertés fondamentaux »46. Leur tâche revient à « assurer un juste équilibre entre, d’une part, le respect du droit fondamental à la vie privée et, d’autre part, les intérêts qui commandent une libre circulation des données à caractère personnel »47.

• 48 Ibidem, § 25. Dans le même sens, C.J.U.E., gde ch., 16 octobre 2012, République d’Autriche c. Commi (...)

38Dès lors, si les autorités de contrôle doivent être indépendantes, c’est pour être en mesure d’examiner le respect dudit équilibre « de manière objective et impartiale »48.

III.1.2. L’étendue de l’indépendance des autorités de protection des données

39De quelle sphère d’influence cherche-t-on à protéger les autorités de protection des données par cette exigence d’indépendance ?

• 49 A ce sujet, voy. Degrave, 2012. Dans la décision commentée, la Cour d’appel de Bruxelles condamne u (...)

40Rappelons que les autorités de protection des données sont chargées de protéger le droit fondamental à la vie privée dans le secteur des traitements de données à caractère personnel. Leur intervention peut également avoir un impact économique en favorisant la concurrence loyale entre des opérateurs privés désireux d’utiliser des données à caractère personnel49. Les traitements de données étant effectués au sein du secteur privé et du secteur public, ces autorités contrôlent donc un grand nombre d’organismes.

• 50 Debaets, 2010.

41Dès lors, s’agissant de la CPVP, celle-ci est à la fois un relais de l’action étatique, lorsqu’elle contrôle le secteur privé, et un moyen de contrôle de l’Etat, s’agissant de l’examen de traitements de données effectués par les administrations50. Le contrôle exercé par les comités sectoriels vise même principalement les administrations puisqu’ils peuvent empêcher une administration de communiquer les données qu’elle détient. C’est pourquoi, compte tenu du fait que l’autorité de protection des données doit faire preuve d’objectivité et d’impartialité tant à l’égard des sociétés privées que de l’administration, il y a lieu de lui assurer une indépendance particulièrement ample.

• 51 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07, §30 ; C.J. (...)
• 52 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07, §36.
• 53 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07, §36.

42L’interprétation que donne la Cour de justice de l’Union européenne de l’exigence d’indépendance confirme ce propos. En effet, la Cour soutient qu’étant donné que la directive 95/46 prescrit à l’autorité de protection des données d’agir en « toute » indépendance, cela signifie qu’elle doit « jouir d’une indépendance qui [lui] permette d’exercer [ses] missions sans influence extérieure ». Cela exclut « non seulement toute influence exercée par les organismes contrôlés, mais aussi toute injonction et toute autre influence extérieure, que cette dernière soit directe ou indirecte, qui pourraient remettre en cause l’accomplissement, par lesdites autorités, de leur tâche consistant à établir un juste équilibre entre la protection du droit à la vie privée et la libre circulation des données à caractère personnel »51. En d’autres termes, l’autorité de protection des données doit faire preuve d’une indépendance objective et subjective. Objectivement, cette autorité doit être organisée de manière telle qu’elle soit « au-dessus de tout soupçon de partialité »52. Subjectivement, il importe qu’aucun risque d’influence politique ne crée auprès des membres de l’autorité de protection des données une « obéissance anticipée »53.

• 54 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07, §58.
• 55 C.J.U.E., gde ch., 16 octobre 2012, République d’Autriche c. Commission, C-614/10, § 66.

43Concrètement, la Cour de justice de l’Union européenne en déduit que l’autorité de protection des données ne peut pas être soumise à un contrôle de tutelle de l’Etat54. La Cour juge également que l’exigence d’indépendance s’oppose à ce que tout ou partie des membres de l’autorité de protection des données soit des fonctionnaires soumis au contrôle de l’Etat55.

III.2. La CPVP confrontée à l’exigence d’indépendance de l’autorité de protection des données

44Les lignes qui suivent confrontent l’indépendance des membres de la CPVP et l’indépendance institutionnelle de notre autorité de protection des données à ces enseignements.

III.2.1. L’indépendance des membres de la CPVP

45L’indépendance de la CPVP pose question au regard du mode de désignation de ses membres et de la manière dont elle est composée.

46Le mode de désignation des membres de la CPVP :

• 56 Article 24, §1er, de la loi du 8 décembre 1992.

47Les membres de la CPVP sont élus par la Chambre des représentants sur des listes comprenant, pour chaque mandat à pourvoir, deux candidats présentés par le Conseil des ministres56.

• 57 European Union Agency for fundamental rights, 2010, pp. 19-20.

48Dans son rapport sur les autorités chargées de la protection des données à caractère personnel, l’Agence des droits fondamentaux de l’Union européenne fait apparaître que l’élection des membres de l’autorité de protection des données par le Parlement – pratiquée également en Grèce, en Allemagne et en Slovénie – est un mécanisme de désignation bien plus respectueux de l’exigence d’indépendance que la nomination par le Gouvernement – comme en Irlande ou au Luxembourg – ou le rattachement de ladite autorité au Ministère de la justice – comme au Danemark ou en Lettonie et comme c’était le cas en Belgique avant 200357.

• 58 SLCE du 28 novembre 1990 sur un projet de loi relative à la protection de la vie privée à l’égard d (...)

49L’élection des membres de la CPVP par la Chambre des représentants n’est donc pas, en soi, une atteinte à l’indépendance de l’autorité de protection des données. Néanmoins, la présentation des candidats par le Conseil des ministres pose question puisque le pouvoir du Conseil des ministres de présenter deux candidats pour chaque poste à pourvoir limite le choix de la Chambre des représentants, en le teintant d’une logique majoritaire. La section de législation du Conseil d’Etat affirme ainsi que ce pouvoir est « inhabituel » et est « de nature à limiter sérieusement le choix des chambres législatives »58.

• 59 Dans le même sens, voy. Kauff-Gazin, 2010, p. 15. Cette auteure affirme que « la nomination des mem (...)
• 60 SLCE, avis du 2 février 1998 sur un avant-projet de loi transposant la Directive 95/46/CE du 24 oct (...)
• 61 European Union Agency for fundamental rights, 2010, pp. 19-20.

50En outre, on peut raisonnablement penser que, concrètement, les candidats choisis par le Conseil des ministres émanent des cabinets ministériels et des administrations. Une fois membres de la CPVP, ces personnes sont appelées à contrôler l’action administrative. N’y a-t-il pas là un risque de manque d’impartialité dans l’exercice de leurs tâches59 ? C’est en ce sens, en tout cas, que se prononce la section de législation du Conseil d’Etat. Constatant qu’« un grand nombre de responsables des traitements sont des autorités publiques dépendant du pouvoir exécutif », elle soutient que « ce droit exclusif de présentation conféré au pouvoir exécutif et la logique majoritaire qui le sous-tend ne sont pas en parfaite harmonie avec la nature des missions [de la Commission] »60. Rappelons également que cette situation pose question au regard de la position de la Cour de justice de l’Union européenne, pour qui l’exigence d’indépendance impose que les membres de l’autorité de protection des données doivent exercer leur fonction en dehors de toute influence extérieure, qu’elle soit directe ou indirecte. Enfin, l’Agence des droits fondamentaux de l’Union européenne émet une crainte semblable. Elle cite la Belgique comme un des Etats dans lequel la procédure de désignation des membres de l’autorité de protection des données implique l’intervention de l’exécutif, du législatif et du judiciaire et ne manque pas de préciser que « it is essential to ensure that the Government does not, in practice, control directly or indirectly the majority of the appointees, thus effectively frustrating the purpose of a pluralistic nomination procedure »61.

• 62 En ce sens : SLCE du 28 novembre 1990 sur un projet de loi relative à la protection de la vie privé (...)
• 63 SLCE du 28 novembre 1990 sur un projet de loi relative à la protection de la vie privée à l’égard d (...)

51Pour remédier à ces écueils, il pourrait être judicieux que les membres de la CPVP, ou au moins une partie de ceux-ci puissent être élus sans être présentés par le Conseil des ministres62. Les candidats à un poste de membre de la CPVP pourraient se présenter devant la Chambre afin d’y exposer les raisons de leur motivation. S’en suivrait un débat public avant l’élection, par les parlementaires, du meilleur candidat. Par ailleurs, la légitimité des membres de la CPVP élus pourrait être renforcée en prévoyant un vote à majorité spéciale, et non simple, à la Chambre. Ce faisant, les candidats devraient convaincre un plus grand nombre de parlementaires, ce qui renforcerait la voix de l’opposition dans le débat et, dans le même temps, transcenderait la division de la Chambre en groupes linguistiques. Cette idée s’inscrit dans la lignée de la section de législation du Conseil d’Etat qui a affirmé qu’ « il serait souhaitable, en raison des missions confiées à la CPVP, que l’opposition parlementaire soit associée au processus de désignation des membres de la Commission »63.

• 64 Article 16.2 de la loi 2472/1997 on the Protection of the Individuals with regard to the Processing (...)
• 65 Article 104 de la loi sur l’accès aux documents des organismes publics et sur la protection des ren (...)

52Une telle solution est, par exemple, appliquée en Grèce, où les membres de l’autorité chargée de la protection des données sont désignés par le Parlement après une procédure qui requiert un consentement entre la majorité et l’opposition64. Au-delà des frontières européennes, cette solution est également appliquée au Québec, où les membres de la Commission d’accès à l’information sont nommés par l’Assemblée nationale qui doit approuver leur nomination par un vote d’au moins deux tiers de ses membres65.

53La composition de la CPVP :

54La CPVP comprend en son sein la Commission et les comités sectoriels. La composition de ces organes est marquée par un pluralisme des intérêts représentés, et un souci d’expertise des membres. Ainsi, siègent au sein de la CPVP, au moins un juriste, au moins un magistrat, ainsi que plusieurs experts, à savoir, au moins un informaticien, un spécialiste de la gestion des données dans le secteur public et un spécialiste de la gestion des données dans le secteur privé.

• 66 Article 31 bis, §2, de la loi du 8 décembre 1992 et article 3 de l’arrêté royal du 17 décembre 2003 (...)
• 67 Proposition de loi modifiant la loi du 8 décembre 1992 relative à la protection de la vie privée à (...)

55Quant aux comités sectoriels institués au sein de la CPVP, ils sont composés pour moitié de membres de la CPVP, et pour moitié de membres externes désignés en fonction de leur expertise66. La désignation d’« assesseurs externes spécialisés » est présentée comme un « gage de compétence et d’efficacité »67, tandis que la présence des membres de la CPVP au sein de chaque comité sectoriel se justifie par le souci d’unifier les solutions avancées en matière de protection des données à caractère personnel.

56Sans remettre en question le pluralisme et l’expertise de la CPVP, des questions se posent quant à l’objectivité et l’impartialité de certains membres. En effet, la loi du 8 décembre 1992 n’empêche pas que le fonctionnaire d’une administration soumise au contrôle de la CPVP soit également membre de cette Commission. La loi encourage même cette situation, en exigeant la présence, au sein de la CPVP, d’un spécialiste de la gestion des données dans le secteur public et en prévoyant que le Conseil des ministres présente les candidats, ce qui peut favoriser les membres issus de l’administration, comme expliqué plus haut. Dans cette hypothèse, ledit membre est à la fois le contrôleur et le contrôlé, ce qui sème le doute sur son impartialité.

• 68 A titre d’illustration, prenons le cas de la Banque-Carrefour de la sécurité sociale, qui est la pl (...)

57Ce problème est d’autant plus important que certaines personnes sont à la fois membres de la CPVP et membres d’un ou plusieurs comités sectoriels. La loi du 8 décembre 1992 impose, en effet, que la moitié des membres d’un comité sectoriel émanent de la CPVP. Le problème du « contrôleur contrôlé » s’étend alors à plusieurs organes68.

58Pour remédier à ce problème, deux solutions pourraient être envisagées.

59Une première solution serait de maintenir une composition collégiale de la CPVP à la condition de renforcer l’indépendance de chaque membre désigné. A cet égard, la solution française est intéressante. L’objectivité et l’impartialité de la CNIL sont organisées au travers d’une composition pluraliste qui vise à concilier les intérêts de personnes venant d’horizons distincts. Ainsi, la CNIL comprend quatre parlementaires (deux députés, deux sénateurs), six hauts magistrats (deux conseillers d’Etat, deux conseillers à la Cour de cassation et deux conseillers à la Cour des comptes), ainsi que deux membres du Conseil économique, social et environnemental. Ces douze membres sont élus par l’assemblée ou la juridiction dont ils émanent. S’ajoutent à ces membres cinq personnalités qualifiées, dont une est désignée par le Président de l’Assemblée nationale, une par le Président du Sénat et trois par décret.

60En outre, des incompatibilités de mandats devraient être prévues par la loi. Ainsi serait-il préférable d’instaurer une incompatibilité entre l’exercice d’un mandat de membre de la CPVP et/ou d’un comité sectoriel, et un poste de directeur d’une administration.

61Une deuxième solution serait de désigner une personne qui présente elle-même suffisamment de garanties d’expertise, d’objectivité et d’impartialité dans ce domaine, sans exclure qu’elle puisse s’entourer d’une équipe de conseillers. Cette personne serait élue par la Chambre des représentants, au terme d’un examen et d’une audition. Elle incarnerait la protection de la vie privée face à l’opinion publique.

• 69 En Suisse, les missions de l’autorité de protection des données sont exercées par le Préposé fédéra (...)
• 70 En Allemagne, le Bundesbeauftragten für den Datenschutz und die Informationsfreiheit est nommé par (...)
• 71 Le Commissariat à la protection de la vie privée du Canada est également organisé de cette manière. (...)

62Plusieurs autorités de protection des données sont organisées de cette manière. Tel est le cas, notamment, en Suisse69, en Allemagne70 et au Canada71.

III.2.2. L’indépendance institutionnelle de la CPVP

63L’indépendance institutionnelle de la CPVP s’apprécie au regard des ressources mises à sa disposition et de la possibilité d’adopter des décisions à l’abri d’ordres ou d’injonctions provenant de l’extérieur.

• 72 Loi du 26 février 2003 modifiant la loi du 8 décembre 1992 relative à la protection de la vie privé (...)

64La CPVP était instituée dans un premier temps auprès du Ministre de la Justice. Pour lui assurer davantage d’indépendance à l’égard de l’exécutif, une importante réforme législative intervenue en 2003 a placé la CPVP sous l’égide de la Chambre des représentants72. Aujourd’hui, la CPVP ne fait donc plus partie du pouvoir exécutif.

65Désormais, le budget de la CPVP est fixé par la Chambre des représentants, tout comme les règles applicables à son secrétariat. Au-delà, la CPVP exerce sa mission de manière indépendante. En effet, la Chambre des représentants ne dispose que du droit de voir communiquer le rapport d’activité de la CPVP, ainsi que son règlement d’ordre intérieur, sans toutefois pouvoir modifier ce dernier.

66L’indépendance institutionnelle de la CPVP semble donc renforcée par ce rattachement à la Chambre des représentants, dans la mesure où aucun contrôle de tutelle ne peut orienter les agissements de l’autorité de protection des données.

IV. Le contrôle de la Commission de la protection de la vie privée

67Le fait que la CPVP soit désormais rattachée à la Chambre des représentants et n’agisse plus sous le contrôle d’un ministre de tutelle est de nature à renforcer son indépendance, ainsi qu’on l’a expliqué dans les lignes qui précèdent. Néanmoins, cette indépendance pose la question de savoir dans quelle mesure la CPVP est encore soumise à un réel contrôle politique, conformément à ce qu’exige la Constitution.

68Par ailleurs, on s’interroge également sur le contrôle juridictionnel de la CPVP, imposé par la directive 95/46, notamment.

IV.1. Le contrôle politique de la CPVP

69L’analyse du contrôle politique de la CPVP met en évidence une tension entre le droit européen et le droit constitutionnel belge. La Cour constitutionnelle a eu l’occasion de rendre un arrêt à ce sujet qui laisse toutefois perplexe à certains égards. Partant de ces constats, les développements qui suivent suggèrent une solution possible pour organiser un réel contrôle politique de la CPVP.

IV.1.1. Une tension entre le droit européen et le droit constitutionnel belge

70Le statut de la CPVP est au cœur d’une tension entre le droit européen et le droit constitutionnel belge.

71D’un côté, le fait que la CPVP soit rattachée à la Chambre des représentants et ne soit soumise ni au contrôle hiérarchique d’un ministre, ni à un contrôle de tutelle est conforme à l’exigence d’indépendance de l’autorité de protection des données imposée par la directive 95/46, telle qu’interprétée par la Cour de justice de l’Union européenne et analysée précédemment.

• 73 Pour de plus amples détails à ce sujet, voy. Déom, 1990, p. 227 ; Delgrange, Detroux et Dumont, 199 (...)
• 74 Avis L. 33.865/4 du 13 novembre 2002 sur un avant-projet de décret sur la radiodiffusion, Doc. CCF, (...)

72D’un autre côté, ce statut pose question au regard de deux principes fondamentaux du droit constitutionnel belge qui résultent des articles 37 et 101, alinéa 1er, de la Constitution, à savoir, le principe de la responsabilité politique du ministre du fait de l’administration et le principe de l’indisponibilité des compétences73. En effet, la CPVP dispose de prérogatives importantes et, en particulier, d’un pouvoir de décision contraignant qu’elle exerce par l’intermédiaire des comités sectoriels chargés d’autoriser ou de refuser le transfert des données dans l’administration. En d’autres termes, bien qu’étant une autorité externe au Gouvernement, elle dispose d’une parcelle du pouvoir de mettre en œuvre les lois. Or, selon la section de législation du Conseil d’Etat, il découle des deux principes constitutionnels susvisés qu’un ministre doit donc exercer sur l’autorité indépendante un « contrôle suffisant pour pouvoir en assumer la responsabilité politique devant une assemblée démocratiquement élue »74. Selon cette légisprudence, la CPVP devrait être soumise au moins à un contrôle de tutelle.

IV.1.2. Des éléments de réponse dans l’arrêt de la Cour constitutionnelle n° 130/2010

• 75 C.C., arrêt n° 130/2010 du 18 novembre 2010 relatif à la question préjudicielle concernant la loi d (...)

73Le 18 novembre 2010, la Cour constitutionnelle a rendu un arrêt concernant la Commission de régulation de l’électricité et du gaz (CREG) dans lequel elle livre des indications intéressantes pour résoudre cette tension entre le droit européen et le droit constitutionnel relative au contrôle politique des autorités indépendantes75.

74Tout comme la CPVP, la CREG est une autorité de régulation qui dispose d’un pouvoir de décision sans être soumise au contrôle de tutelle d’un ministre. Etant donné que la CREG n’est pas soumise au contrôle de tutelle d’un ministre, le pouvoir exécutif n’est pas en mesure d’exercer sur cette autorité un « contrôle suffisant pour en assumer la responsabilité devant une assemblée démocratiquement élue », comme l’exige pourtant la section de législation du Conseil d’Etat. Partant de là, doit-on considérer que le pouvoir réglementaire de la CREG est inconstitutionnel ? C’est la question qui a été posée à la Cour constitutionnelle.

75En somme, au terme de son raisonnement, la Cour constitutionnelle soutient qu’une autorité indépendante dotée d’un pouvoir de décision ne doit pas nécessairement être soumise à un contrôle de tutelle. Elle pose néanmoins deux conditions à cette liberté.

76D’une part, un contrôle juridictionnel doit être exercé sur l’autorité indépendante. Cette exigence est remplie si les actes de ladite autorité peuvent être contestés devant une juridiction.

• 76 Ibidem, B. 7.

77D’autre part, un contrôle parlementaire doit exister, ce qui est le cas lorsque le Parlement définit les missions et le fonctionnement de l’autorité indépendante, approuve son budget et qu’un rapport d’activités annuel lui est communiqué. A cet égard, un parallélisme peut être fait avec l’arrêt de la Cour de justice de l’Union européenne relatif à l’indépendance de l’autorité de protection des données, dans lequel des critères semblables sont utilisés pour vérifier l’existence d’un contrôle parlementaire. Néanmoins, à la différence de la Cour de justice de l’Union européenne, la Cour constitutionnelle ne se contente pas de ces critères. Elle conditionne le contrôle parlementaire à la possibilité d’interpeller un ministre pour les actes posés par l’autorité indépendante. La Cour constitutionnelle semble ainsi vouloir trouver une solution qui respecte l’interdiction de tutelle imposée par le droit européen, et la responsabilité parlementaire du pouvoir exécutif imposée par le droit constitutionnel. La Cour constitutionnelle affirme ainsi que les « chambres législatives peuvent par ailleurs, en usant des moyens de contrôle dont elles disposent, appeler le ministre compétent ou le Gouvernement fédéral à se justifier. Il ressort de ce qui précède qu’il existe bien un contrôle parlementaire »76.

• 77 Pâques, 2011, p. 423. Dans le même sens, Renson, 2011, p. 350.
• 78 Pâques, 2011, p. 423.

78La condition de l’interpellation du ministre crée toutefois un malaise juridique. En effet, pourquoi interpeller un ministre s’il n’a pas de droit de regard sur l’action de l’autorité indépendante et que sa mission « se borne à transmettre un rapport ? »77. Selon Michel Pâques, « la responsabilité du ministre a un sens quand il exerce la tutelle, car, alors, le reproche d’avoir ou de ne pas avoir cautionné les actes sous tutelle a une vraie consistance. Devenu débiteur d’un service de transmission de document, comment pourrait-il mal s’en acquitter ? De quelle épaisseur est ce contrôle résiduel ? »78.

79Dès lors, bien qu’il tente au mieux de concilier le droit européen et le droit constitutionnel, l’arrêt de la Cour constitutionnelle ne résout pas entièrement la question de savoir comment soumettre à un contrôle politique une autorité qui échappe au contrôle de tutelle.

IV.1.3. Une solution envisageable pour organiser le contrôle politique de la CPVP

• 79 Dans le même sens, Office parlementaire d’évaluation de la législation (France), 2005-2006.

80Le contrôle politique de la CPVP pourrait être organisé via une interaction directe entre la Chambre des représentants et la CPVP79.

• 80 § 43 de l’arrêt du 9 mars 2010.
• 81 Voy. §§ 43 à 46.

81En effet, la Cour de justice de l’Union européenne ne s’oppose pas à une certaine influence parlementaire sur l’autorité de protection des données et affirme même que « la directive 95/46 n’impose en rien aux Etats membres une telle absence de toute influence parlementaire »80. Ainsi, le législateur peut définir les compétences de l’autorité de protection des données, les membres de cette autorité peuvent être nommés par le Parlement, et on peut également imposer à l’autorité de protection des données une obligation de rendre compte de ses activités au Parlement81.

82Néanmoins, la mise en œuvre de cette solution suppose que la Cour constitutionnelle revienne quelque peu sur la solution prônée dans son arrêt n° 130/2010, en renonçant à ce que le contrôle politique de la CPVP passe nécessairement par l’intermédiaire d’un ministre, solution qui crée d’ailleurs un certain malaise juridique, comme expliqué précédemment. Elle devrait admettre que la légitimité démocratique de la CPVP peut être fondée sur l’existence d’un lien suffisamment étroit entre la Chambre et la CPVP, dès le moment où la CPVP est obligée de rendre compte de ses agissements devant les assemblées démocratiques. La CPVP serait alors responsable seule devant la Chambre sans passer par l’interpellation d’un ministre. En suivant cette solution, le contrôle politique de la CPVP serait possible, sans que la CPVP doive être placée à nouveau dans le giron du pouvoir exécutif.

• 82 Conseil d’Etat (France), 2001, p. 372.

83Pour donner une réelle consistance au contrôle de la Chambre sur la CPVP, il serait intéressant d’imposer à la CPVP de rédiger un rapport annuel particulièrement précis. Ce document devrait refléter le plus fidèlement possible la réalité de l’activité de l’institution et les problèmes surgissant dans le secteur contrôlé. Comme l’affirme le Conseil d’Etat français, « le rapport annuel constitue un instrument indispensable à la ‘respiration démocratique’ d’organismes dotés de compétences décisionnelles. Il est impératif que les autorités administratives indépendantes utilisent toutes les potentialités de cet instrument »82.

• 83 CPVP, Rapport annuel 2011, p. 78.
• 84 Ce tableau ne mentionne malheureusement pas la traduction des termes « dossier A » « dossier AR », (...)

84A cet égard, on regrette que, pour l’heure, les infractions constatées soient présentées d’une manière trop générale pour comprendre concrètement de quoi il s’agissait et comment il y a été mis fin. En effet, la CPVP mentionne le nombre de dossiers traités et traduit ce chiffre en pourcentage. Ces chiffres sont peu éloquents dans la mesure où ils visent tant les dossiers de contrôle, que les dossiers d’information et ceux de médiation83. En outre, la suite qui y a été réservée est formulée de manière trop vague pour être compréhensible, d’autant plus qu’elle n’est reprise que dans un tableau sommaire qui se présente comme suit84 :

Source : Rapport annuel de la Commission de la protection de la vie privée, 2011, p. 83.

• 85 Voy. l’article 23, §3, la loi du 29 avril 1999 relative à l’organisation du marché de l’électricité (...)
• 86 Voy. l’article 32, §2, de la loi du 8 décembre 1992.

85Par ailleurs, le rapport de la CPVP ne devrait pas seulement être un moyen pour cette institution de justifier son existence et la nécessité du budget qui lui est alloué. Cela présenterait peu d’indications sur les agissements concrets de la CPVP et, au-delà, sur les failles existantes dans la protection de la vie privée des citoyens. Ce rapport devrait donc non seulement contenir un exposé du travail effectué par la CPVP, mais également dénoncer les réels problèmes existant dans le secteur de la protection des données à caractère personnel, de manière assez détaillée et percutante pour convaincre le législateur et le Gouvernement de réagir aux dangers naissants. A cet égard, la comparaison entre la CPVP et la CREG est éloquente. Le rapport d’activité rendu annuellement par la CREG85 doit être bien plus détaillé que celui rendu par la CPVP86.

• 87 Cette solution est mise en place au Québec. Voy. l’article 119 de la loi d’accès à l’information et (...)

86Il serait également judicieux de prévoir que le rapport annuel de la CPVP doit non seulement être communiqué à la Chambre, mais doit aussi être suivi de la désignation d’une commission parlementaire chargée d’étudier ce document et de communiquer à la Chambre les points méritant un écho au sein des assemblées démocratiquement élues87.

• 88 Tel serait le cas, par exemple, d’un commissaire faisant preuve d’un manque manifeste d’indépendanc (...)
• 89 Article 24, §2bis et §2ter, de la loi du 29 avril 1999 relative à l’organisation du marché de l’éle (...)

87La Chambre devrait aussi pouvoir se prononcer sur la révocation des membres de la CPVP, en cas de manquements graves de leur part88. Dès lors, il conviendrait de prévoir l’élection, par la Chambre, d’un Conseil disciplinaire composé de personnes indépendantes. Après avoir mené une procédure respectueuse des droits de la défense, le Conseil disciplinaire rendrait un avis au Ministre responsable de la CPVP, concluant qu’il y a lieu, ou non, de mettre fin prématurément aux fonctions du commissaire. Le Ministre formulerait alors une proposition au Conseil des ministres, sur la base de cet avis. C’est d’ailleurs la procédure mise en place pour la CREG89.

IV.2. Le contrôle juridictionnel de la CPVP

• 90 C.C., arrêt n° 130/2010 précité, B.5.

88Plusieurs raisons justifient que la CPVP doive être soumise à un contrôle juridictionnel. Il y va, tout d’abord, du respect de l’article 28 §3, de la directive 95/46, qui affirme que « les décisions de l'autorité de contrôle faisant grief peuvent faire l’objet d'un recours juridictionnel ». Par ailleurs, si les décisions prises par la CPVP ne sont pas susceptibles de recours, on peut y voir une atteinte aux articles 10 et 11 de la Constitution étant donné que, contrairement aux destinataires des décisions prises par des autorités administratives, les destinataires des décisions de la CPVP ne peuvent pas introduire de recours juridictionnel contre ces décisions. Enfin, rappelons que dans son arrêt n° 130/2010 précité, la Cour constitutionnelle a affirmé que le contrôle juridictionnel de l’autorité indépendante est une condition de sa constitutionnalité en vertu de l’article 37 de la Constitution90.

89Actuellement, aucun recours juridictionnel n’est spécifiquement organisé pour contester les décisions de la CPVP. Il y a donc lieu de se demander si ces décisions sont attaquables devant la section du contentieux administratif du Conseil d’Etat. Cela suppose que soit reconnue à la CPVP la qualité d’autorité administrative au sens de l’article 14 des lois coordonnées sur le Conseil d’Etat, puisque seules les décisions de ces autorités sont attaquables devant cette juridiction.

• 91 Voy. Degrave, 2014, pp. 600 et suivantes.

90A première vue, la CPVP ne peut pas être qualifiée d’autorité administrative car elle ne répond pas à l’ensemble des critères d’une telle autorité. En effet, bien qu’elle soit instituée par le législateur, qu’elle exerce une mission d’intérêt général et qu’elle puisse prendre des décisions obligatoires à l’égard des tiers, la CPVP n’est pas soumise à un réel contrôle des pouvoirs publics91.

91Néanmoins, à notre sens, ce n’est pas pour autant qu’il faille renoncer à soumettre les décisions de la CPVP au contrôle de la section du contentieux administratif du Conseil d’Etat.

• 92 Voy. Degrave, 2014, pp. 680 et suivantes.
• 93 Vautrot-Schwarz, 2009, pp. 432 et 433. Voy. égal. De Roy, 2013, pp. 88 et suivantes.

92Plusieurs solutions existent92. Parmi celles-ci, celle de la « qualification par assimilation » retient notre attention dans ces lignes. Il s’agit d’une technique d’interprétation que pourrait appliquer le Conseil d’Etat pour accepter de connaître des recours introduits contre les décisions de la CPVP. Cette technique se définit comme une « fiction juridique [qui] consiste (…) à rattacher délibérément à une catégorie juridique un objet qui, aux yeux de l’observateur avisé, ne remplit pas les conditions traditionnellement nécessaires pour y entrer, de façon à permettre la mise en œuvre des conséquences attachées à cette catégorie »93. Cette technique de qualification se fonde sur un raisonnement par analogie.

• 94 Vautrot-Schwarz, 2009,p. 435.

93En l’occurrence, supposons que le Conseil d’Etat estime que la CPVP ne répond pas aux conditions nécessaires pour entrer dans la catégorie juridique de l’autorité administrative. On constate cependant que la CPVP « ne présente pas de différence fondamentale »94 avec les institutions traditionnellement qualifiées d’«  autorité administrative ». En effet, ainsi qu’on l’a dit, la CPVP répond à trois des quatre critères de l’autorité administrative. C’est pourquoi on applique à la CPVP le régime juridique applicable aux autorités administratives. Cette assimilation ne se fonde pas sur une identité réelle entre la CPVP et les institutions traditionnellement qualifiées d’autorités administratives. Elle se justifie par une identité de raison juridique : le but que l’on poursuit en soumettant les décisions des autorités administratives au contrôle du Conseil d’Etat est similaire à celui qui justifie le contrôle des décisions de la CPVP.

• 95 C.C., arrêt n° 31/96 du 15 mai 1996, B.2.1.
• 96 Maron, 1999, p. 328.

94Plus particulièrement, s’agissant de la question de savoir si le Conseil d’Etat est compétent pour se prononcer sur la légalité d’une décision de la CPVP, on pourrait raisonner comme suit. Le Conseil d’Etat a été institué « en tant que juridiction spécifique en vue d’offrir une protection juridictionnelle supplémentaire à celle des cours et tribunaux contre les actes administratifs entachés d’illégalité »95. Cette juridiction œuvre donc à la protection des citoyens à l’égard des décisions arbitraires qui s’appliqueraient à eux96.

95Or, les décisions de la CPVP s’apparentent en de nombreux aspects aux décisions émanant d’une autorité administrative. Les personnes soumises à une décision illégale de la CPVP pourraient subir le même dommage que les individus visés par une décision illégale émanant d’une autorité administrative. La CPVP doit donc pouvoir être rattachée à la catégorie juridique de l’autorité administrative, afin que chaque personne visée par une décision de la CPVP puisse soumettre celle-ci à l’examen du Conseil d’Etat et ne pas avoir à subir les conséquences néfastes d’une décision entachée d’illégalité.

Conclusions

96La CPVP régule le secteur des traitements de données à caractère personnel en veillant à concilier les intérêts a priori contradictoires que sont, d’une part, l’efficacité qu’offre un traitement de données à caractère personnel et, d’autre part, la protection de la vie privée des individus, qui peut être menacée par de tels traitements.

• 97 Rigaux, 2008,p. 39.

97Compte tenu du déploiement des technologies et des questions nouvelles qui apparaissent régulièrement dans ce secteur en pleine évolution, le rôle de la CPVP est de plus en plus ample et essentiel. Dès lors, pour assurer sa mission, la CPVP dispose de plusieurs moyens. Certains s’apparentent aux moyens juridiques classiques, tels que le pouvoir d’agir en justice ou celui de dénoncer les infractions au procureur du Roi. La CPVP en use peu. Elle préfère se tourner vers les moyens d’action plus souples, avec lesquels elle essaie de convaincre plutôt que de contraindre. La CPVP privilégie ainsi la médiation et l’émission d’avis. On doit y voir « un exemple de l'abandon par le législateur des modes traditionnels de règlement des conflits »97. Néanmoins, bien que cette manière d’agir soit utile, elle peut révéler un manque d’efficacité. C’est pourquoi il serait judicieux d’octroyer de nouveaux moyens d’action à la CPVP qui, tout en tenant compte de la réticence de cette autorité à saisir les cours et tribunaux, soient plus contraignants que les solutions actuellement appliquées. On pense à l’octroi de pouvoirs d’injonction, d’admonestation et d’amende qui permettraient à la CPVP d’obtenir rapidement de l’administration qu’elle mette fin aux traitements illégaux en cours d’exécution.

98Par ailleurs, les questions qui entourent le statut de la CPVP rappellent l’importance, aujourd’hui, d’interpréter les exigences de notre Constitution au regard du droit européen. La directive 95/46 impose l’indépendance de l’autorité de protection des données. Dans deux arrêts récents, la Cour de justice de l’Union européenne a donné une portée particulièrement large à cette exigence d’indépendance. Une fois réceptionnée par le droit belge, on s’aperçoit que cette interprétation est difficile à combiner avec certains principes constitutionnels et la jurisprudence de la Cour constitutionnelle à ce sujet. En effet, pour satisfaire au droit européen, la CPVP ne peut pas être soumise au contrôle d’un ministre tandis que la Cour constitutionnelle exige qu’un ministre puisse être interpellé par la Chambre des représentants du fait des agissements de l’autorité indépendante, exigence qui est difficilement tenable si le ministre ne peut pas contrôler ladite autorité du fait même de l’indépendance de cette dernière… Face à la tension entre l’indépendance et la responsabilité de l’autorité de protection des données, une solution pourrait être d’organiser le contrôle direct de la Chambre des représentants sur l’autorité indépendante, sans passer par l’intermédiaire d’un ministre.

99Ainsi donc, au terme de ces réflexions, gageons du fait que le prochain législateur saura être attentif à confier à la CPVP les moyens d’action que l’importance de son rôle mérite, tout en veillant à peaufiner davantage les garanties d’indépendance et de contrôle qui doivent baliser le travail de notre autorité de protection des données et conforter sa légitimité dans notre société démocratique.

Haut de page

Bibliographie

Andersen, R., Nihoul, P., Joassart, M., « Le Conseil d’Etat. Chronique de jurisprudence 2002 », R.B.D.C., 2004.

Andersen, R., « Les autorités administratives indépendantes en droit belge », Annuaire européen de droit administratif, 2008.

Aubert, M., Broussy, E. et Donnat, F., « Chronique de jurisprudence communautaire », AJDA, 2010, pp. 938 et 939.

Conseil d’Etat (France), Rapport public 2001. Les autorités administratives indépendantes, Etudes et Documents, n° 52.

Debaets, E., « Les autorités administratives indépendantes et le principe démocratique : recherches sur le concept d’ ‘indépendance’« , Rapport présenté au VIIIème Congrès mondial de l’association internationale de droit constitutionnel, Mexico, 6-10 décembre 2010 disponible sur le site www.juridicas.unam.mx/wccl/ponencias/14/254.pdf

Degrave, E., « La carte d’identité électronique utilisée comme carte de fidélité : un traitement de données à caractère personnel illégal sanctionné par la Cour d’appel de Bruxelles », observations sous Bruxelles (9e ch.), 9 mai 2012, J.T., 2012, pp. 691-693.

Degrave, E., L’e-gouvernement et la protection de la vie privée. Légalité, transparence et contrôle, Bruxelles, Larcier, coll. Crids, 2014.

de Leval, G., Eléments de procédure civile, Bruxelles, Larcier, 2ème éd., 2005.

Delgrange, X., Detroux, L., Dumont, H.,« La régulation en droit public », in : Elaborer la loi aujourd’hui, une mission impossible ?, Bruxelles, Publication des Facultés universitaires Saint-Louis, 1999.

Delvax, D., « Les contrôles administratifs pesant sur les autorités administratives indépendantes », Rev. Dr. ULB, 2008.

Déom, D.,Le statut juridique des entreprises publiques, Bruxelles, Story-Scientia, 1990.

De Roy, D., « Etablissements publics, organismes d’intérêt public et tutti quanti : la qualification juridique des satellites de l’administration », note sous Cass. 19 mars 2010, R.C.J.B., 2013.

De Schutter, O., « Les droits fondamentaux dans l’Union européenne », J.D.E., 2011.

European Union Agency for fundamental rights, Data protection in the European Union: the role of National Data Protection Authorities. Strengthening the fundamental rights architecture in the EU II, 7 mai 2010, disponible sur le site www.fra.europa.eu

Flaherty, D.H., Protecting Privacy in a surveillance Society, Chapell Hill, N.C., 1989.

Kauff-Gazin, F.,« Vers une conception européenne de l’indépendance des autorités de régulation ? », Europe, 2010.

Kranenborg, H.R.,« Commentaar », SEW, 2010.

Maron, E., « Les notions d’acte administratif et d’autorité administrative : compétence ou incompétence du Conseil d’Etat pour connnaître des recours en annulation dirigés contre les actes de nature administrative accomplis par des autorités relevant du pouvoir législatif ou du pouvoir judiciaire ? », in Le Conseil d’Etat de Belgique. Cinquante ans après sa création (1946 à 1996), Bruxelles, Bruylant, 1999.

Office parlementaire d’évaluation de la législation (France), Rapport sur les autorités administratives indépendantes, Sénat, session 2005-2006, n° 404.

Pâques, M., « Décentralisation, régulation et contrôle démocratique. L’arrêt 130/2010 en question », Liber amicorum Marc Boes, Bruges, die Keure, 2011.

Poullet, Y., « L’autorité de contrôle : ‘vues’ de Bruxelles », Revue française d’administration publique, 1999.

Renson, A.-S., « L’indépendance des autorités de régulation : la fin d’une controverse », J.T., 2011.

Rigaux, F., « Chapitre 3. Les paradoxes de la protection de la vie privée » in Rapport n° 1 sur Internet et la vie privée, 2008, disponible à l’adresse http://www.asmp.fr/travaux/gpw/internetvieprivee/rapport1/chapitre3.pdf

Slautsky, E., « Droit européen, Constitution et autorités administratives indépendantes. Commentaire des arrêts de la Cour constitutionnelle du 18 novembre 2010, n° 130/2010 et du Conseil d’Etat du 7 avril 2011, Ville de Wavre, n° 212.557 », A.P.T., 2012.

Vautrot-Schwarz, C., La qualification juridique en droit administratif, Paris, L.G.D.J., 2009.

Haut de page

Notes

1 Cette contribution est inspirée de l’ouvrage suivant : E. Degrave, L’e-gouvernement et la protection de la vie privée. Légalité, transparence et contrôle, Bruxelles, Larcier, coll. Crids, 2014, en particulier pp. 562 à 650 et pp. 666 à 713.

2 Ci-après « CPVP ».

3 Voy. not. http://www.lalibre.be/actu/belgique/fuite-de-donnees-a-la-sncb-le-fichier-etait-disponible-depuis-mai-51b8f6f2e4b0de6db9c927fa

4 Voy. not. http://www.rtbf.be/info/societe/detail_protection-de-la-vie-privee-google-street-view-fache-de-nombreux-belges?id=7131633

5 Voy. not. http://www.rtbf.be/info/societe/detail_la-carte-d-identite-commence-a-remplacer-les-cartes-de-fidelite?id=7886463

6 Voy. not., C.E., Van Merris, arrêt n° 143.683 du 26 avril 2005.

7 Voy. C.E., arrêt Lizin, n° 211.698 du 2 mars 2011.

8 Flaherty, 1989, cité par Poullet, 1999, p. 2.

9 Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel MB, 18 mars 1993. Voy. en particulier le Chapitre VII de cette loi.

10 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O., L. 21 du 23 novembre 1995.

11 Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, 28 janvier 1981. L’obligation, pour chaque Etat lié à cette Convention, de créer une autorité de protection des données est ancrée dans cette norme depuis 2001.

12 www.privacycommission.be

13 A ce sujet, voy. http://www.privacycommission.be/fr/rapport-annuel

14 En vertu de l’article 29, §1er, de la loi du 8 décembre 1992, la CPVP émet des avis « (…) sur toute question relative à l’application des principes fondamentaux de la protection de la vie privée dans le cadre de [la loi du 8 décembre 1992] ainsi que des lois contenant des dispositions relatives à la protection de la vie privée à l’égard des traitements de données à caractère personnel ». Précisons que la CPVP peut rendre des avis à propos des normes en projet, comme nous l’analysons dans ces lignes. Elle peut également le faire suite à une question qui lui est posée ou à une plainte dont elle serait saisie. Ces avis sont consultables sur le site internet de la CPVP, www.privacycommission.be

15 On qualifie de « régime juridique de la protection de la vie privée et des données à caractère personnel » l’ensemble formé par la directive 95/46 précitée, la Convention n° 108 précitée, l’article 8 de la Charte européenne des droits de l’homme qui consacre le droit à la protection des données à caractère personnel, l’article 8 de la Convention européenne des droits de l’homme et l’article 22 de la Constitution qui organisent tous deux le droit fondamental à la protection de la vie privée et la loi du 8 décembre 1992 précitée.

16 Voy. les hypothèses mentionnées à l’article 29, §1er, de la loi du 8 décembre 1992.

17 Aux termes de l’article 1, §4, de la loi du 8 décembre 1992, le responsable de traitement est « la personne physique ou morale, l'association de fait ou l'administration publique qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Par exemple, le SPF Finances est le responsable de traitement pour les données collectées via Tax-on-web en vue de l’établissement, du contrôle, de la perception et du recouvrement des impôts.

18 Article 17, §8, de la loi du 8 décembre 1992.

19 Nous n’analysons pas, dans le cadre de cette contribution, la compétence de la CPVP de rendre des recommandations. A ce sujet, voy. Degrave, 2014, pp. 625 et suivantes.

20 Famifed est l’Agence fédérale pour les allocations familiales, jadis appelée l’Office national d’allocations familiales pour travailleurs salariés.

21 Pour un exemple, voy. Degrave, 2012.

22 Article 31bis de la loi du 8 décembre 1992.

23 Article 5 de loi du 8 août 1983 sur le Registre national. Voy. également l’article 15 de cette même loi.

24 Ibidem, articles 8 et 15.

25 Articles 17 et 18, §2 du 16 janvier 2003 portant création d’une Banque-Carrefour des Entreprises, MB, 5 février 2003.

26 Ce terme doit être compris au sens de l’article 2, 2°, de la loi du 15 janvier 1990 relative à la Banque-Carrefour de la sécurité sociale. Voy. égal. l’article 43bis, alinéa 1, de cette loi.

27 Article 43bis, alinéa 2, de la loi du 15 janvier 1990 relative à la Banque-Carrefour de la sécurité sociale. Voy. également l’article 42, §2, 3°, de la loi du 13 décembre 2006 portant dispositions diverses en matière de santé, MB, 22 décembre 2006. Ainsi, sont soumis à l’autorisation de la section « sécurité sociale » et non à celle de la section « santé », les traitements de données à caractère personnel relatives à la santé, au sens de la loi du 8 décembre 1992, par les institutions de sécurité sociale et les personnes visées à l’article 18 de la loi du 15 janvier 1990 (article 15, §2, 2°, et article 43bis de la loi du 15 janvier 1990) ; les traitements de données sociales à caractère personnel relatives à la santé (au sens de la loi du 15 janvier 1990) par les instances d’octroi visées à l’article 11bis de la loi du 15 janvier 1990 (article 43bis de la loi du 15 janvier 1990) et les traitements de données sociales à caractère personnel relatives à la santé par une instance de sécurité sociale vers une autre instance de sécurité sociale, une instance d’octroi visée à l’article 11bis de la loi du 15 janvier 1990 ou une personne visée à l’article 18 de la loi du 15 janvier 1990 (article 15, §1er, de la loi du 15 janvier 1990). Sur la question de la compétence d’autorisation de chaque section de ce comité sectoriel, voy. également CPVP, avis n°43/2006 du 8 novembre 2006 relatif au projet de loi portant dispositions diverses – création d’un comité sectoriel de la sécurité sociale et de la santé, p. 7, n° 15.

28 Articles 22 et suivants de la loi du 10 août 2005 instituant le système d’information Phénix, MB, 1er septembre 2005.

29 Article 17 de la loi du 22 mars 2006 modifiant la loi du 4 juillet 1962 relative à la statistique publique et la loi du 8 août 1983 sur le Registre national. Les données d’étude sont « les informations qui serviront à établir des résultats statistiques ». On les dit « codées » lorsqu’elles « ne peuvent être mises en relation avec une personne identifiée que par l’intermédiaire d’un code » [article 3 de la loi du 22 mars 2006 modifiant la loi du 4 juillet 1962 relative à la statistique publique et la loi du 8 août 1983 organisant un Registre national des personnes physiques, MB, 21 avril 2006. Signalons que cette disposition n’est pas encore entrée en vigueur].

30 Article 36bis de la loi du 8 décembre 1992.

31 CPVP, avis n° 30/96, du 13 novembre 1996 relatif à un avant-projet de loi adaptant la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel à la Directive 95/45/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, n° 60.

32 Article 31 de la loi du 8 décembre 1992 et articles 25 à 36 du règlement d’ordre intérieur de la CPVP disponible à l’adresse

http://www.privacycommission.be/sites/privacycommission/files/documents/reglement_ordre_interieur_cpvp.pdf

33 En vertu de l’article 26 du règlement d’ordre intérieur, l’identité du plaignant est maintenue secrète sauf si l’examen de la plainte requiert sa divulgation et que le plaignant y a consenti.

34 Article 32, §1er, de la loi du 8 décembre 1992.

35 Pour un cas d’utilisation du numéro de Registre national en violation de l’interdiction du Comité sectoriel du Registre national, voy. Degrave, 2012.

36 Articles 38 et 39 de la loi du 8 décembre 1992.

37 Voy. l’article 32, §2, de la loi du 8 décembre 1992.

38 Au sujet de l’action d’intérêt collectif, voy. de Leval, 2005, pp. 21 à 23.

39 European Union Agency for fundamental rights, 2010, p. 23.

40 Selon un rapport de l’Agence des droits fondamentaux de l’Union européenne, seules les autorités de protection des données belge, lituanienne, luxembourgeoise, autrichienne, polonaise, suédoise et anglaise ne disposent pas d’un tel pouvoir (European Union Agency for fundamental rights, 2010, p. 34).

41 Article 31 de la loi du 29 avril 1999 relative à l’organisation du marché de l’électricité, MB, 11 mai 1999.

42 Article 23 de la loi du 8 décembre 1992.

43 Article 28 de la directive 95/46 et article 1.3 du Protocol additionnel à la Convention n° 108.

44 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07. Pour un commentaire de cet arrêt, voy. Aubert, Broussy et Donnat, 2010, pp. 938-939 ; Kranenborg, 2010, pp. 421-423 ; Debaets, 2010 ; European Union Agency for fundamental rights, 2010, p. 19; De Schutter, 2011, pp. 113-114.

45 C.J.U.E., gde ch., 16 octobre 2012, République d’Autriche c. Commission, C-614/10.

46 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07, § 23.

47 Ibidem, § 24.

48 Ibidem, § 25. Dans le même sens, C.J.U.E., gde ch., 16 octobre 2012, République d’Autriche c. Commission, C-614/10, §§ 40 et 41.

49 A ce sujet, voy. Degrave, 2012. Dans la décision commentée, la Cour d’appel de Bruxelles condamne une société privée qui utilise des données à caractère personnel en violant une interdiction d’un comité sectoriel. Le juge considère qu’il s’agit d’une illégalité, source de concurrence déloyale.

50 Debaets, 2010.

51 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07, §30 ; C.J.U.E., gde ch., 16 octobre 2012, République d’Autriche c. Commission, C-614/10, § 41.

52 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07, §36.

53 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07, §36.

54 C.J.U.E., gde ch., 9 mars 2010, République fédérale d’Allemagne c. Commission, C-518/07, §58.

55 C.J.U.E., gde ch., 16 octobre 2012, République d’Autriche c. Commission, C-614/10, § 66.

56 Article 24, §1er, de la loi du 8 décembre 1992.

57 European Union Agency for fundamental rights, 2010, pp. 19-20.

58 SLCE du 28 novembre 1990 sur un projet de loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, Doc. Parl., Ch. Repr., sess. 1990-1991, 1610/1, p. 61.

59 Dans le même sens, voy. Kauff-Gazin, 2010, p. 15. Cette auteure affirme que « la nomination des membres de l’autorité par le gouvernement (…) peut poser problème au regard de l’indépendance effective et concrète des membres. Une fois nommés, il n’est pas sûr que les membres concernés s’affranchissent totalement d’une proximité ou d’une ‘sensibilité’ gouvernementale ».

60 SLCE, avis du 2 février 1998 sur un avant-projet de loi transposant la Directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, Doc. Parl., Ch. Repr., sess. 1997-1998, n° 1566/1, p. 240.

61 European Union Agency for fundamental rights, 2010, pp. 19-20.

62 En ce sens : SLCE du 28 novembre 1990 sur un projet de loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, Doc. Parl., Ch. Repr., sess. 1990-1991, n° 1610/1, p. 61 ; SLCE, avis du 2 février 1998 sur un avant-projet de loi transposant la Directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, Doc. Parl., Ch. Repr., sess. 1997-1998, n° 1566/1, p. 240.

63 SLCE du 28 novembre 1990 sur un projet de loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, Doc. Parl., Ch. Repr., sess. 1990-1991, n°1610/1, p. 61.

64 Article 16.2 de la loi 2472/1997 on the Protection of the Individuals with regard to the Processing of Personal Data disponible sur le site de l’autorité de protection des données hellénique http://www.dpa.gr

65 Article 104 de la loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

66 Article 31 bis, §2, de la loi du 8 décembre 1992 et article 3 de l’arrêté royal du 17 décembre 2003 précité. La composition du comité sectoriel de la sécurité sociale et de la santé fait exception à cette règle, conformément à l’article 37 de la loi du 15 janvier 1990 précitée.

67 Proposition de loi modifiant la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel et la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-Carrefour de la sécurité sociale en vue d’aménager le statut et d’étendre les compétences de la CPVP, Doc. Parl., Ch. Repr., sess. 2002-2003, n° 50-1940/001, p. 12.

68 A titre d’illustration, prenons le cas de la Banque-Carrefour de la sécurité sociale, qui est la plus grande plateforme d’échanges d’informations existant actuellement. Elle est régulièrement concernée par les avis de la CPVP. En outre, les données qui circulent par son intermédiaire au sein et en dehors du réseau de la sécurité sociale sont soumises aux décisions des comités sectoriels compétents. N’y a-t-il pas lieu d’être surpris en constatant que l’Administrateur général de la Banque-Carrefour de la sécurité sociale est un membre effectif de la CPVP ? N’y a-t-il pas lieu de l’être tout autant en constatant qu’il est aussi membre effectif du comité sectoriel du Registre national, tandis que l’administrateur général adjoint de cette même Banque-Carrefour en est un membre suppléant ? Tous deux sont également membres sans voix délibérative du comité sectoriel de la sécurité sociale et de la santé, tant dans la section sécurité sociale que dans la section santé. En d’autres termes, on peut être enclin à penser que les hauts dirigeants de la Banque-Carrefour de la sécurité sociale ont un pouvoir d’influence lors des délibérations relatives à des avis et des décisions qui les concernent directement.

69 En Suisse, les missions de l’autorité de protection des données sont exercées par le Préposé fédéral à la protection des données et à la transparence. Ce dernier est rattaché administrativement à la Chancellerie fédérale. Il est aidé par un secrétariat permanent ainsi que trois unités regroupant plusieurs personnes. Deux de ces unités sont compétentes pour des questions de protection des données tandis que la troisième se charge de la transparence (articles 26 et suivants de la Loi fédérale sur la protection des données du 19 juin 1992).

70 En Allemagne, le Bundesbeauftragten für den Datenschutz und die Informationsfreiheit est nommé par le Gouvernement fédéral pour une durée de cinq ans renouvelable une fois. Comme le Préposé fédéral à la protection des données et à la transparence en Suisse, le Commissaire à la protection des données allemand est entouré d’une équipe structurée en différents départements en fonction des matières traitées (Bundesdatenschutzgesetz, §22 ; http://www.bfdi.bund.de/EN/FederalDataProtectionCommissioner/StructureAndTasks/organisation_node.html).

71 Le Commissariat à la protection de la vie privée du Canada est également organisé de cette manière. Il est composé d’une Commissaire, qui a la qualité de haute fonctionnaire du Parlement. Elle est entourée d’une Commissaire adjointe et d’un Comité consultatif externe composé d’une vingtaine de personnes spécialisées dans la protection de la vie privée et issues de différents milieux (universités, entreprises privées, administrations, magistrature, etc.). (Sur la Commissaire à la protection de la vie privée du Canada, voy. http://www.priv.gc.ca/au-ans/bio_f.asp; Sur la Commissaire adjointe à la protection de la vie privée du Canada, voy. http://www.priv.gc.ca/au-ans/bio_cb_f.asp).

72 Loi du 26 février 2003 modifiant la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel et la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale en vue d’aménager le statut et d’étendre les compétences de la CPVP, M.B., 26 juin 2003.

73 Pour de plus amples détails à ce sujet, voy. Déom, 1990, p. 227 ; Delgrange, Detroux et Dumont, 1999, p. 76 ; Pâques, 2011, p. 415 ; Degrave, 2014, pp. 585 et suivantes.

74 Avis L. 33.865/4 du 13 novembre 2002 sur un avant-projet de décret sur la radiodiffusion, Doc. CCF, sess. 2002-2003, n° 357/1, cité par Andersen, Nihoul, Joassart, 2004, p. 86. Voy. également les nombreuses études consacrées à cette question, not. Andersen, 2008, p. 28 ; Delvax, 2008, pp. 112 et suivantes ; Slautsky, 2012, pp. 108 et 109.

75 C.C., arrêt n° 130/2010 du 18 novembre 2010 relatif à la question préjudicielle concernant la loi du 29 avril 1999 relative à l’organisation du marché de l’électricité, en particulier ses articles 23, §2, alinéa 2, 15°, et 31, posée par le Conseil d’Etat. Au sujet de cet arrêt, voy. Renson, 2011, pp. 348-350 ; Pâques, 2011, pp. 411 à 424 ; Degrave, 2014, pp. 596 et suivantes.

76 Ibidem, B. 7.

77 Pâques, 2011, p. 423. Dans le même sens, Renson, 2011, p. 350.

78 Pâques, 2011, p. 423.

79 Dans le même sens, Office parlementaire d’évaluation de la législation (France), 2005-2006.

80 § 43 de l’arrêt du 9 mars 2010.

81 Voy. §§ 43 à 46.

82 Conseil d’Etat (France), 2001, p. 372.

83 CPVP, Rapport annuel 2011, p. 78.

84 Ce tableau ne mentionne malheureusement pas la traduction des termes « dossier A » « dossier AR », « dossier EVAL », « dossier LV ».

85 Voy. l’article 23, §3, la loi du 29 avril 1999 relative à l’organisation du marché de l’électricité.

86 Voy. l’article 32, §2, de la loi du 8 décembre 1992.

87 Cette solution est mise en place au Québec. Voy. l’article 119 de la loi d’accès à l’information et la protection des renseignements personnels.

88 Tel serait le cas, par exemple, d’un commissaire faisant preuve d’un manque manifeste d’indépendance.

89 Article 24, §2bis et §2ter, de la loi du 29 avril 1999 relative à l’organisation du marché de l’électricité.

90 C.C., arrêt n° 130/2010 précité, B.5.

91 Voy. Degrave, 2014, pp. 600 et suivantes.

92 Voy. Degrave, 2014, pp. 680 et suivantes.

93 Vautrot-Schwarz, 2009, pp. 432 et 433. Voy. égal. De Roy, 2013, pp. 88 et suivantes.

94 Vautrot-Schwarz, 2009,p. 435.

95 C.C., arrêt n° 31/96 du 15 mai 1996, B.2.1.

96 Maron, 1999, p. 328.

97 Rigaux, 2008,p. 39.

Haut de page

Pour citer cet article

Référence papier

Elise Degrave, « LA COMMISSION DE LA PROTECTION DE LA VIE PRIVÉE : L’AUTORITÉ DE RÉGULATION DU SECTEUR DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL », Pyramides, 26/27 | 2016, 37-70.

Référence électronique

Elise Degrave, « LA COMMISSION DE LA PROTECTION DE LA VIE PRIVÉE : L’AUTORITÉ DE RÉGULATION DU SECTEUR DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL », Pyramides [En ligne], 26/27 | 2016, mis en ligne le 01 juin 2016, consulté le 17 septembre 2022. URL : http://journals.openedition.org/pyramides/990

Haut de page

Auteur

Elise Degrave

Chargée de cours à la Faculté de droit de l’Université de Namur ; chercheuse à la Chaire E-gouvernement de l’Université de Namur et au Centre de recherches Information Droit et Société (C.R.I.D.S) Courriel :

Articles du même auteur

Haut de page

Qui assure la protection des données personnelles en Belgique ?

Quelles autorités assurent la protection des données personnelles en Belgique pix ?

Comment s'appelle la protection des données personnelles en Belgique ?

Quelles autorité à sur la protection des données personnelles dans ces différents pays ?