SÉNAT Question écrite n° 5-2709 - SENAAT Schriftelijke vraag nr. 5-2709

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2010-2011

Zitting 2010-2011

________

12 juillet 2011

12 juli 2011

________

Question écrite n° 5-2709

Schriftelijke vraag nr. 5-2709

de Guido De Padt (Open Vld)

van Guido De Padt (Open Vld)

au ministre de la Justice

aan de minister van Justitie

________

Protection des données à caractère personnel des personnes morales - Conseil de l'Europe - Convention 108 et directive 95/46/CE - Révision

Bescherming van persoonsgegevens voor rechtspersonen - Raad van Europa - Conventie 108 en richtlijn 95/46/EG - Herziening

________

protection de la vie privée
données personnelles
personne morale
convention européenne
directive (UE)

eerbiediging van het privé-leven
persoonlijke gegevens
rechtspersoon
Europese Conventie
richtlijn (EU)

________

12/7/2011	Verzending vraag
1/12/2011	Antwoord

12/7/2011	Verzending vraag
1/12/2011	Antwoord

________

Question n° 5-2709 du 12 juillet 2011 : (Question posée en néerlandais)

Vraag nr. 5-2709 d.d. 12 juli 2011 : (Vraag gesteld in het Nederlands)

La Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention 108) fête en 2011 son trentième anniversaire. La Convention 108, qui constituait un tournant dans l'histoire de la protection des données à caractère personnel, doit à présent être modernisée si elle ne veut pas rester lettre morte. Le 29 janvier 2011, Journée européenne de la protection de la vie privée et des données, marque le lancement d'une série de consultations publiques sur la révision de la Convention 108.

À l'échelon de l'Union européenne (UE) également, domine le sentiment que la législation relative à la vie privée, directive 95/46/CE relative à la protection des personnes physiques à l'égard des données à caractère personnel et à la libre circulation de ces données mérite d'être actualisée. La Commission européenne n'a pas encore de proposition mais, dans une communication au Parlement européen et au Conseil, elle prône une approche globale la protection des données à caractère personnel qui passe par :

- le renforcement des droits des personnes ;

- le renforcement de la dimension « marché intérieur » ;

- la révision des règles de protection des données dans les domaines de la coopération policière et judiciaire en matière pénale ;

- la clarification et la simplification des règles applicables aux transferts internationaux de données ;

- le renforcement du cadre institutionnel en vue d'un plus grand respect des règles de protection des données.

Dans sa communication en vue d'une approche globale de la protection de données à caractère personnel dans l'Union européenne, la Commission européenne signale que la directive 95/46/CE n'a pas entièrement atteint l'un de ses principaux objectifs, à savoir l'harmonisation des règles nationales relatives à la protection de la vie privée. Ces différences se manifestent dans un grand nombre de secteurs et de situations, par exemple lors du traitement des données à caractère personnel dans le contexte professionnel ou à des fins de santé publique. Il ne faut pas en sous-estimer les conséquences néfastes (par exemple des coûts supplémentaires et des charges administratives pour les personnes concernées, une insécurité juridique pour les responsables du traitement des données et pour la personne concernée elle-même).

C'est pourquoi la Commission étudie actuellement les moyens de pousser plus loin l'harmonisation des règles en matière de protection des données à l'échelon européen afin d'améliorer le fonctionnement du marché intérieur. Dans ce contexte, il me paraît inévitable que l'UE prenne une bonne fois pour toutes position en matière de protection des données à caractère personnel des personnes morales. Sans se prononcer à ce sujet, la directive actuelle laisse toutefois aux États membres la possibilité d'intégrer ou non les personnes morales dans leur législation en matière de protection des données à caractère personnel. Cette base volontaire se retrouve également dans la Convention 108 du Conseil de l'Europe. L'article 3 de la Convention dispose : « Tout État peut, lors de la signature ou du dépôt de son instrument de ratification, d'acceptation, d'approbation ou d'adhésion, ou à tout moment ultérieur, faire connaître par déclaration adressée au Secrétaire général du Conseil de l'Europe qu'il appliquera la présente Convention également à des informations afférentes à des groupements, associations, fondations, sociétés, corporations ou à tout autre organisme regroupant directement ou indirectement des personnes physiques et jouissant ou non de la personnalité juridique. » La plupart des États membres du Conseil de l'Europe, dont la Belgique, n'ont pas fait usage de cette possibilité. En Norvège, en Autriche en Italie et au Danemark (en partie seulement), les personnes morales ont bel et bien droit à la protection de leurs données à caractère personnel. Cette diversité dans la portée des législations nationales a entravé le fonctionnement du marché intérieur. Dans certains pays, les responsables du traitement sont en effet tenus de protéger les données à caractère personnel des personnes morales, ce qui n'est pas le cas dans d'autres pays. Une uniformisation des ces règles me paraît souhaitable.

Se pose alors la question de savoir si les personnes morales doivent ou non être exclues du droit à la protection des données à caractère personnel. Cette question a été débattue au Conseil de l'Europe. Il en est ressorti qu'il y avait lieu de songer sérieusement à une protection totale, ou à tout le moins partielle, des données à caractère personnel des personnes morales, l'argument étant que selon la jurisprudence de la Cour européenne des droits de l'homme, les personnes morales peuvent, dans certaines circonstances, invoquer l'article 8 de la Convention européenne de sauvegarde des droits de l'homme (droit à la protection de la vie privée) et que les personnes morales n'utiliseront massivement le « cloud computing » que si leurs données sont suffisamment protégées.

Je souhaiterais obtenir une réponse aux questions suivantes :

1) Le ministre peut-il indiquer à quel stade la modification la directive UE 95/46/CE et de la Convention 108 du Conseil de l'Europe se trouvent à l'heure actuelle ? Quand peut-on espérer qu'un accord interviendra pour les deux ?

2) Est-il favorable à ce que, dans le cadre de l'UE :

a) on instaure des obligations spécifiques à l'égard des responsables du traitement en ce qui concerne le type d'informations qui peuvent être fournies et les conditions auxquelles elles peuvent l'être à l'égard d'enfants ? Dans l'affirmative, à quelles obligations le ministre songe-t-il ?

b) on instaure pour l'ensemble des secteurs (donc pas seulement celui des télécommunications) une obligation de signalement pour l'utilisateur en cas de violation de ses données à caractère personnel ?

c) on rende obligatoire des actions de sensibilisation dans le domaine de la protection des données à caractère personnel ? Dans l'affirmative, relie-t-il cette obligation à un cofinancement par le biais du budget de l'EU ?

d) on étende les catégories de données sensibles, notamment aux données à caractère génétique ?

e) on donne aux autorités de protection des données la compétence de porter une affaire devant le juge national ?

f) on renforce les règles sanctionnelles existantes ? Dans l'affirmative, doit-on donner aux consommateurs la possibilité d'introduire une demande d'indemnisation collective ?

g) on instaure un règlement de certification UE dans le domaine de la protection de la vie privée et des données à caractère personnel ?

h) on élargisse l'application des règles générales en matière de protection des données à la coopération policière et judiciaire en matière pénale ?

3) Les différentes législations nationales en matière de droit à la protection des données à caractère personnel des personnes morales constituent-elles une entrave à la libre circulation des données à caractère personnel dans le marché intérieur ? Dans l'affirmative, la nouvelle directive UE doit-elle protéger les données à caractère personnel des personnes morales ? En l'absence d'un accord à l'échelon européen, est-il ou non favorable à une protection, à l'échelon national, des données à caractère personnel des personnes morales ? Peut-il argumenter sa réponse, compte tenu de la jurisprudence de la Cour européenne des droits de l'homme ?

Het Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Conventie 108) viert in 2011 haar dertigste verjaardag. Conventie 108 vormde een mijlpaal in de geschiedenis van de bescherming van persoonsgegevens, maar is nu aan modernisering toe wil ze geen dode letter worden. Op 29 januari 2011, de European Privacy and Data Protection Day, ging alvast de publieke consultatieronde tot wijziging van Conventie 108 van start.

Ook op het niveau van de Europese Unie (EU) heerst het gevoel dat de privacywetgeving, richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, aan een update toe is. Een voorstel heeft de Europese Commissie nog niet, maar in een mededeling aan het Europese Parlement en de Raad gaf ze aan een integrale aanpak van de bescherming van persoonsgegevens na te streven door:

- de rechten van individuen te versterken;

- de interne markt dimensie verder uit te werken;

- de voorschriften inzake gegevensbescherming in het kader van de politionele en justitiële samenwerking in strafzaken te herzien;

- de regels voor internationale doorgifte van gegevens te verduidelijken en te vereenvoudigen;

- de institutionele regeling voor handhaving van de voorschriften inzake gegevensbescherming te verbeteren.

De Europese Commissie geeft in haar mededeling tot een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie aan dat richtlijn 95/46/EG onvoldoende is geslaagd in een van haar primaire doelstellingen, namelijk de harmonisatie van de nationale privacyregels. Die verschillen doen zich voor in een groot aantal sectoren en situaties, bijvoorbeeld bij de verwerking van persoonsgegevens in de context van arbeidsvoorzieningen of voor gezondheidsdoeleinden. De nefaste gevolgen hiervan zijn niet te overzien (bijvoorbeeld extra kosten en administratieve lasten voor particulieren belanghebbenden, rechtsonzekerheid voor de verantwoordelijken voor gegevensverwerking en voor de betrokken zelf, …).

Om de werking van de interne markt te verbeteren onderzoekt de Commissie daarom momenteel hoe een verdere harmonisatie van de regels inzake gegevensbescherming op EU-niveau kan worden bereikt. In dit licht lijkt het me onoverkomelijk dat de EU nu voor eens en voor altijd een positie inneemt inzake de bescherming van persoonsgegevens voor rechtspersonen. De huidige richtlijn spreekt zich hier niet over uit, maar laat het aan de Lidstaten over om rechtspersonen al dan niet op te nemen in hun privacybeschermende wetgeving. Die vrijwillige basis is ook aanwezig in Conventie 108 van de Raad van Europa. Artikel 3 van het Verdrag stelt: " Elke Staat kan bij de ondertekening of de neerlegging van zijn akte van bekrachtiging, aanvaarding, goedkeuring of toetreding, of op elk later tijdstip, door middel van een verklaring gericht aan de secretaris-generaal van de Raad van Europa kenbaar maken dat hij dit Verdrag eveneens zal toepassen op gegevens betreffende groeperingen, verenigingen, stichtingen, vennootschappen of enig ander lichaam dat direct of indirect uit natuurlijke personen bestaat, ongeacht of het rechtspersoonlijkheid bezit ". Het merendeel van de Lidstaten van de Raad van Europa, waaronder België, hebben van deze mogelijkheid geen gebruik gemaakt. In Noorwegen, Oostenrijk, Italië en Denemarken (enkel gedeeltelijk) hebben rechtspersonen wel recht op bescherming van hun persoonsgegevens. Deze verscheidenheid in de reikwijdte van de nationale wetgevingen heeft geleid tot een stroeve werking van de interne markt. In bepaalde landen moeten de verantwoordelijken voor de verwerking namelijk de persoonsgegevens van rechtspersonen beschermen en in andere landen niet. Een eenduidige regeling lijkt wenselijk.

De vraag komt dan aan de orde of rechtspersonen nu moeten worden uitgesloten of ingesloten van het recht op bescherming van persoonsgegevens. In de Raad van Europa werd hier een discussie over gevoerd. Daaruit bleek dat een gehele of ten minste een gedeeltelijke bescherming van de persoonsgegevens van rechtspersonen sterk moet overwogen worden. Als argumentatie werd aangegeven dat blijkens de jurisprudentie van het Europees Hof van de rechten van de mens rechtspersonen onder bepaalde omstandigheden aanspraak kunnen maken op artikel 8 van het Europees Verdrag van de rechten van de mens (recht op privacy) en dat rechtspersonen pas massaal gebruik zullen maken van " cloud computing " indien hun gegevens voldoende beschermd zijn.

Graag kreeg ik een antwoord op de volgende vragen:

1) Kan de geachte minister aangeven in welk stadium de wijziging van EU-richtlijn 95/46/EG en de wijziging van Conventie 108 van de Raad van Europa zich momenteel bevindt? Wanneer wordt voor beiden een akkoord verwacht?

2) Is hij voorstander om in EU-verband:

a) specifieke verplichtingen in te voeren voor de verantwoordelijke voor de verwerking met betrekking tot het soort informatie dat mag worden verstrekt en de voorwaarden waaronder die worden verstrekt ten aanzien van kinderen? Zo ja, aan welke verplichtingen denkt de geachte minister?

b) voor alle sectoren (en dus niet enkel voor de telcommunicatiesector) een meldingsplicht in te voeren aan de gebruiker wanneer er een schending van zijn privacy heeft plaatsgevonden?

c) het opzetten van bewustmakingsacties op het gebied van gegevensbescherming te verplichten? Zo ja, koppelt hij die verplichting aan een medefinanciering via de EU-begroting?

d) de categorieën van gevoelige gegevens uit te breiden naar bijvoorbeeld genetische gegevens?

e) de gegevensbeschermingsautoriteiten de bevoegdheid te geven om een zaak aanhangig te maken bij de nationale rechter?

f) de bestaande sanctieregeling aan te scherpen? Zo ja, moet het voor consumenten mogelijk zijn om een collectieve schadeclaim in te dienen?

g) een EU-certificeringregeling in te voeren op het gebied van privacy- en gegevensbescherming?

h) de toepassing van de algemene regels inzake gegevensbescherming uit te breiden tot de politionele en justitiële samenwerking in strafzaken?

3) Vormen de verschillende nationale regelgevingen inzake het recht op bescherming van de persoonsgegevens voor rechtspersonen een belemmering voor het vrij verkeer van persoonsgegevens binnen de interne markt? Zo ja, moet de nieuwe EU-richtlijn de persoonsgegevens van rechtspersonen beschermen? Bij afwezigheid van een akkoord op Europees niveau, is hij voor of tegen een bescherming van de persoonsgegevens voor rechtspersonen op nationaal niveau? Kan hij, rekening houdende met de rechtspraak van het Europees Hof voor de rechten van de mens, zijn antwoord argumenteren?

Réponse reçue le 1 décembre 2011 :

Antwoord ontvangen op 1 december 2011 :

1 Concernant la révision de la directive 95/46/CE, le Conseil Justice et Affaires intérieures (JAI) de l’Union européenne, tenu les 24 et 25 février 2011, a adopté des conclusions relatives à la communication de la Commission au Parlement européen et au Conseil intitulé « une approche globale de la protection des données à caractère personnel dans l’Union européenne ». Monsieur le sénateur trouvera ces conclusions à l’adresse suivante: http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/fr/jha/119462.pdf.

Le point 2 de ces conclusions dispose qu’ « il conviendrait qu’un nouveau cadre juridique fondé sur une approche globale garantisse le respect de normes appropriées de protection des données dans tous les domaines dans lesquels des données à caractère personnel sont traitées ».

Le Conseil attend à présent une proposition de directive de la Commission européenne, qui devrait être déposée d’ici à la fin de l’année 2011.

Concernant la révision de la Convention n°108, le Comité des ministres du Conseil de l’Europe du 10 mars 2010 a encouragé la modernisation de la convention n° 108 afin de tenir compte des nouveaux défis issus des nouvelles technologies et de renforcer le mécanisme de suivi de la Convention. Le 28 janvier 2011, le Conseil de l’Europe a lancé une consultation publique, dont la synthèse est en cours en vue de son examen par le Bureau du Comité consultatif de la Convention n° 108.

2. Pour répondre aux différentes questions de M. le Sénateur, je m’en tiendrai aux conclusions précitées du Conseil JAI des 24 et 25 février, qui sont les conclusions communes des ministres de la Justice des 27 sur ces questions.

a) Au point 7 de ses conclusions, le Conseil demande « qu’une attention particulière soit portée aux mineurs, qui ont souvent accès à toutes sortes d’outils informatiques et peuvent ainsi partager leurs données avec d’autres utilisateurs par différents moyens ». Il estime qu’il est essentiel d’accroitre la sensibilisation dans ce domaine, notamment en ce qui concerne la question du consentement ;

b) Au point 19 de ses conclusions précitées, le Conseil « encourage la Commission à étudier s’il serait opportun d’étendre l’obligation de notifier les violations de données à caractère personnel à des secteurs autres que les télécommunications et à examiner le coût d’une telle extension pour les entreprises ainsi que ses conséquences pour la compétitivité de l’UE. Toutefois la notification ne devrait pas être utilisée systématiquement pour signaler toutes sortes de violation de sécurité de données à caractère personnel. Il conviendrait d’y recourir uniquement lorsque les risques découlant de la violation en question peuvent avoir des conséquences négatives pour la protection de la vie privée de la personne ».

c) Dans sa communication intitulée « une approche globale de la protection des données à caractère personnel dans l’Union européenne », la Commission déclare, au point 2.1.4, qu’elle étudiera la possibilité de cofinancer des actions de sensibilisation à la protection des données, à l’aide du budget de l’Union.

Au point 18 de ses conclusions précitées, le Conseil précise qu’il est « nécessaire de mieux sensibiliser la personne concernée aux conséquences du partage de ses données à caractère personnel » mais ne se prononce pas sur des actions de sensibilisation cofinancées.

d) Au point 8 de ses conclusions précitées, le Conseil « escompte que la protection particulière des données à caractère personnel sensibles demeurera au coeur de la proposition de la Commission et invite cette dernière à évaluer s’il y a lieu d’élargir les catégories de données sensibles compte tenu des nouvelles évolutions technologiques » ;

Dans le point 10 de ses conclusions, le Conseil est d’avis que « le traitement de données génétiques devrait être effectué en conformité avec les principes de nécessité et de proportionnalité et estime qu’il conviendrait d’examiner des dispositions spéciales relatives aux questions de traitement transfrontalier » ;

e) Au point 2. 1. 7 de sa communication intitulée « une approche globale de la protection des données à caractère personnel dans l’Union européenne », la Commission déclare qu’elle va envisager la possibilité d’accorder le pouvoir de saisir les juridictions nationales aux autorités de protection des données.

Au point 23 de ses conclusions précitées, le Conseil « se déclare favorable à une harmonisation accrue du rôle des autorités chargées de la protection des données à caractère personnel (…) ».

Au point 26 de ses conclusions, le Conseil rajoute : « (…) il conviendra également d’harmoniser et de repréciser le rôle des autorités chargées de la protection des données (…). ».

Le Conseil n’envisage ni n’exclut explicitement de donner aux autorités de protection des données le pouvoir de saisir les juridictions nationales.

Il attend les propositions de la Commission sur ce point.

Rappelons que ce pouvoir existe déjà en droit belge.

L’article 32 § 2 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel dispose que « sauf si la loi en dispose autrement, la Commission de la protection de la vie privée dénonce au Procureur du Roi les infractions dont elle a connaissance ».

L’article 32 § 3 de la loi précitée rajoute que : « sans préjudicie de la compétence des cours et tribunaux ordinaires pour l’application des principes généraux en matière de protection de la vie privée, le Président de la Commission peut soumettre au tribunal de Premier instance tout litige concernant l’application de la présente loi et de ses mesures d’exécution. ».

f) Aux points 16 et 17 de ses conclusions, le Conseil « salue les travaux réalisés sur la définition du principe de responsabilité, qui mettent l’accent sur des liens fondamentaux entre différents éléments des dispositions, à savoir des règles claires, l’attribution claire de responsabilité, les conséquences du non-respect des règles (sanctions) et la protection de la personne concernée (…) ».

Afin de mieux faire respecter les dispositions en matière de protection des données, le Conseil invite la Commission à étudier les possibilités de recourir au principe de responsabilité et aux instruments d’autorégulation qui sont susceptibles de mener à un fonctionnement plus harmonieux du marché intérieur.

Au point 25 de ses conclusions, le Conseil « appuie l’objectif de la Commission consistant à responsabiliser davantage le responsable du traitement et encourage la Commission à prévoir, dans son analyse d’impact, une évaluation de la désignation éventuelle de délégués à la protection des données, tout en ne souhaitant pas imposer de charges administratives ou réglementaires superflues ».

g) Au point 11 de ses conclusions, le Conseil se déclare « favorable à l’idée de labels européens de protection de la vie privée (régimes européens de certifications) et d’initiatives en matière d’autoréglementation ; dans ces deux cas, ces mesures prévoiraient une coopération étroite avec les acteurs concernés du secteur, tels que prestataires de services, et pourraient accroître le niveau de protection des données et renforcer la sensibilisation, la Commission étant encouragée à examiner le rôle que pourraient jouer les autorités de protection des données pour garantir le respect des réglementations dans les deux cas de figure ».

h) Au point 3 et 4 de ses conclusions le Conseil :

souligne « qu’il y aurait lieu d’envisager d’inclure dans le nouveau cadre des dispositions relatives à la protection des données dans le domaine de la coopération policière et judiciaire en matière pénale, en tenant dûment compte de la spécificité de ces domaines et de l’évaluation de la mise en œuvre de la décision-cadre 2008/977/JAI du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale » ;
« partage le point de vue exprimé dans la communication de la Commission selon lequel la notion d’approche globale en matière de protection des données n’exclut pas nécessairement l’adoption, à l’intérieur de ce régime de protection global, de règles spécifiques pour la coopération policière et judiciaire en matière pénale » et
« encourage la Commission à proposer un nouveau cadre juridique qui tienne compte des spécificités de ce domaine. Dans ce contexte, il faut fixer, de façon harmonieuse et équilibrée, certaines limites aux droits de la personne concernée, lorsque cela se révèle nécessaire et proportionné et compte tenu des objectifs légitimes des autorités répressives en matière de lutte contre la criminalité et de maintien de la sécurité publique. »

3. Sur la question de savoir si les différentes législations nationales relatives à la protection des données des personnes morales constituent un obstacle à la libre circulation des données à caractère personnel dans le marché intérieur, la communication de la Commission intitulé « une approche globale de la protection des données à caractère personnel dans l’Union européenne » ne se prononce pas.

La Commission indique seulement que « les divergences entre les législations nationales transposant la directive vont à l’encontre de l’un de ses objectifs principaux, à savoir la libre circulation des données à caractère personnel dans le marché intérieur » et que « la Commission étudiera les moyens de pousser plus loin l’harmonisation des règles de protection des données ».

La question de la protection des donnés des personnes morales a été débattue en Belgique en 1991, au moment de l’adoption de la loi du 8 décembre 1992. Les travaux parlementaires de l’époque (Doc. Parl., Ch., 1610/1-90/91, p. 6) soulignent que la loi « limite la protection des données aux personnes physiques. La protection des données relatives aux personnes morales pose, en effet, des problèmes plus complexes et se situe dans un autre cadre que celui définit par l’article 8 de la Convention européenne des droits de l’Homme. Il va de soi toutefois que si des données relatives à des personnes morales contiennent des informations relatives à des personnes physiques (par exemple les noms des administrateurs d’une société ou des membres d’une association sans but lucratif) ces dernières bénéficieront, à l’égard des données qui les concernent, de la totalité de la protection accordée par la loi. ».

1. Met betrekking tot de herziening van de richtlijn 95/46/EG heeft de Raad Justitie en Binnenlandse Zaken (JBZ) van de Europese Unie, gehouden op 24 en 25 februari 2011, conclusies goedgekeurd inzake de mededeling van de Commissie aan het Europees Parlement en de Raad met als titel "Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie".

Mijneer de senator kan deze conclusies op het volgende adres te vinden: http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/fr/jha/119462.pdf

Punt 2 van de conclusies bepaalt dat een nieuw, op een integrale aanpak gebaseerd juridisch kader de inachtneming van gepaste normen voor de bescherming van de gegevens moet waarborgen op alle vlakken waarop de persoonsgegevens worden verwerkt.

De Raad wacht thans op een voorstel voor een richtlijn van de Europese Commissie dat voor eind 2011 zou moeten worden ingediend.

Met betrekking tot de herziening van het Verdrag 108 heeft het Ministercomité van de Raad van Europa van 10 maart 2010 de modernisering van het Verdrag 108 aangemoedigd teneinde rekening te houden met de nieuwe uitdagingen die volgen uit de nieuwe technologieën en het mechanisme van follow-up van het Verdrag te versterken. Op 28 januari 2011 is de Raad van Europa een openbare raadpleging gestart, waarvan de synthese nog loopt gelet op het onderzoek ervan door het Bureau van de Adviescommissie van het Verdrag 108.

2; Om op de verschillende vragen van de senator te antwoorden zal ik mij houden aan de bovenvermelde conclusies van de JBZ-raad van 24 en 25 februari, die de gemeenschappelijke conclusies over deze vragen van de ministers van Justitie van de 27 lidstaten zijn.

a) In punt 7 van zijn conclusies vraagt de Raad dat bijzondere aandacht wordt geschonken aan de minderjarigen die vaak toegang hebben tot allerharde soorten informaticatools en zo hun gegevens via verschillende middelen met andere gebruikers kunnen delen. De Raad oordeelt dat het van wezenlijk belang is om de bewustmaking op dit vlak te doen groeien, inzonderheid wat de vraag van de toestemming betreft.

b) In punt 19 van zijn bovenvermelde conclusies moedigt de Raad de Commissie aan om te bestuderen of het wenselijk is de verplichting om de schendingen van persoonsgegevens te melden, uit te breiden naar andere sectoren dan de telecommunicatie en om te onderzoeken welke kost een dergelijke uitbreiding voor de ondernemingen zal hebben en welke de gevolgen ervan zijn voor het concurrentievermogen van de EU. De melding mag evenwel niet systematisch worden gebruikt om alle vormen van schending van de veiligheid van persoonsgegevens aan te geven. Er mag enkel naar gegrepen worden wanneer de risico's die uit de schending voortvloeien negatieve gevolgen kunnen hebben voor de bescherming van de persoonlijke levenssfeer van de persoon.

c) In punt 2.1.4. van de mededeling van de Commissie met als titel "Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie" is gesteld dat de Commissie zal nagaan of de medefinanciering van bewustmakingsacties op het gebied van gegevensbescherming via de EU-begroting mogelijk is.

In punt 18 van zijn bovenvermelde conclusies verduidelijkt de Raad dat het nodig is om de betrokken persoon meer bewust te maken van de gevolgen van het delen van zijn persoonsgegevens, maar spreekt hij zich niet uit over medegefinancierde bewustmakingsacties.

d) In punt 8 van zijn bovenvermelde conclusies hoopt de Raad dat de bijzondere bescherming van gevoelige persoonsgegevens de kern van het voorstel van de Commissie blijft en nodigt hij deze laatste uit om te evalueren of de categorieën van gevoelige gegevens moeten worden uitgebreid, rekening houdend met de nieuwe technologische evoluties.

In punt 10 van zijn conclusies is de Raad van mening dat de verwerking van genetische gegevens zou moeten gebeuren in overeenstemming met de beginselen van noodzakelijkheid en evenredigheid en oordeelt dat bijzondere bepalingen inzake de aangelegenheden van grensoverschrijdende verwerking moeten worden onderzocht.

e) In punt 2. 1. 7 van haar mededeling met als titel "Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie" stelt de Commissie dat zij de mogelijkheid zal overwegen om de bevoegdheid om de zaken aanhangig te maken bij de nationale rechtscolleges toe te kennen aan de autoriteiten voor de gegevensbescherming.

In punt 23 van zijn bovenvermelde conclusies “verklaart de Raad voorstander te zijn van een verhoogde harmonisatie van de rol van de autoriteiten belast met de bescherming van de persoonsgegevens (…).”

In punt 26 van zijn conclusies voegt de Raad toe: “(…) het past ook de rol van de met de gegevensbescherming belaste autoriteiten te harmoniseren en verder uit te werken (…)”.

De Raad overweegt niet expliciet om aan de autoriteiten voor gegevensbescherming de bevoegdheid te geven om de zaak aanhangig te maken bij de nationale rechtscolleges, maar sluit dit ook niet uit.

Hij wacht op de voorstellen van de Commissie hierover.

Ter herinnering: die bevoegdheid bestaat al in het Belgische recht.

Artikel 32, § 2, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens bepaalt dat "tenzij de wet anders bepaalt, (...) de Commissie bij de procureur des Konings aangifte doet van de misdrijven waarvan zij kennis heeft."

Artikel 32, § 3, van de bovenvermelde wet voegt daaraan toe dat: "onverminderd de bevoegdheid van de gewone hoven en rechtbanken met het oog op de toepassing van de algemene beginselen inzake bescherming van de persoonlijke levenssfeer, (...) de voorzitter van de Commissie ieder geschil aangaande de toepassing van deze wet en haar uitvoeringsmaatregelen aan de rechtbank van eerste aanleg [kan] voorleggen."

f) In de punten 16 en 17 van zijn conclusies erkent de Raad de verwezenlijkte werkzaamheden inzake de definitie van het verantwoordelijkheidsbeginsel, die de nadruk leggen op de fundamentele banden tussen de verschillende elementen van de bepalingen; te weten duidelijke regels, de duidelijke toekenning van verantwoordelijkheid, de gevolgen van de niet-naleving van de regels (sancties) en de bescherming van de betrokken persoon.

Teneinde de bepalingen inzake de gegevensbescherming beter te doen naleven, nodigt de Raad de Commissie uit de mogelijkheden te bestuderen om een beroep te doen op het verantwoordelijkheidsbeginsel en op de instrumenten voor zelfregulering die kunnen leiden tot een harmonieuzere werking van de interne markt.

In punt 25 van zijn conclusies ondersteunt de Raad de doelstelling van de Commissie die eruit bestaat om de verantwoordelijke voor de verwerking meer verantwoordelijkheid te geven en moedigt de Raad de Commissie aan om in haar impactanalyse te voorzien in een evaluatie van de mogelijke aanwijzing van afgevaardigden voor de gegevensbescherming, zonder overbodige administratieve of reglementaire lasten te willen opleggen.

g) In punt 11 van zijn conclusies verklaart de Raad een voorstander te zijn van het idee van Europese labels voor bescherming van de persoonlijke levenssfeer (Europese stelsels van certificering) en van initiatieven inzake zelfregulering; in die twee gevallen zouden die maatregelen voorzien in een nauwe samenwerking met de betrokken actoren van de sector, zoals dienstverleners, en zouden zij het niveau van gegevensbescherming kunnen doen toenemen en de bewustmaking kunnen worden versterkt. De Commissie wordt aangemoedigd om te onderzoeken welke rol de autoriteiten voor de gegevensbescherming zouden kunnen spelen om de naleving van de regelgevingen in de twee scenario's te waarborgen.

h) In het punt 3 en 4 van zijn conclusies onderstreept de Raad:

dat moet worden overwogen om in het nieuwe kader bepalingen op te nemen inzake de gegevensbescherming op het gebied van de politiële en justitiële samenwerking in strafzaken waarbij uitdrukkelijk rekening wordt gehouden met het specifieke karakter van die gebieden en met de evaluatie van de tenuitvoerlegging van het kaderbesluit 2008/977/JBZ van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken;
dat de Raad het in de mededeling van de Commissie uitgedrukte standpunt deelt waarin het idee van integrale aanpak inzake gegevensbescherming niet noodzakelijk de goedkeuring van regels specifiek voor de politiële en justitiële samenwerking in strafzaken uitsluit binnen dit stelsel van integrale bescherming en
dat de Raad de Commissie aanmoedigt om een nieuw juridisch kader voor te stellen dat rekening houdt met het specifieke karakter van dit gebied. In deze context moeten bepaalde grenzen van de rechten van de betrokken persoon worden vastgelegd op harmonieuze en evenwichtige wijze, wanneer blijkt dat dit noodzakelijk en evenredig is en rekening houdt met de wettelijke doelstellingen van de wetshandhavingsautoriteiten inzake de strijd tegen de criminaliteit en het behoud van de openbare veiligheid.

3. Over de vraag of de verschillende nationale wetgevingen inzake de gegevensbescherming van de rechtspersonen een hindernis zijn voor het vrije verkeer van persoonsgegevens op de interne markt spreekt de mededeling van de Commissie met als titel "Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie" zich niet uit.

De Commissie geeft alleen aan dat "de verschillen tussen de nationale wettelijke regelingen tot omzetting van de richtlijn (...) in strijd [zijn] met een van de hoofddoelstellingen ervan, namelijk het verzekeren van het vrije verkeer van persoonsgegevens binnen de interne markt" en dat "de Commissie zal onderzoeken hoe een verdere harmonisatie van de regels inzake gegevensbescherming kan worden bereikt".

De vraag van de gegevensbescherming van rechtspersonen werd in België in 1991 besproken, op het tijdstip van de goedkeuring van de wet van 8 december 1992. De toenmalige parlementaire werkzaamheden (Gedr. St., Kamer 1610/1-90/91, blz. 6) onderstrepen dat de wet de gegevensbescherming tot de natuurlijke personen beperkt.

De bescherming van de gegevens met betrekking tot de rechtspersonen levert immer complexere moeilijkheden op en bevindt zich in een ander kader dan dat omschreven door artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Het spreekt vanzelf dat indien gegevens inzake rechtspersonen informatie bevatten met betrekking tot natuurlijke personen (bijvoorbeeld de namen van de bestuurders van een vennootschap of van de leden van een vereniging zonder winstoogmerk) zij, met betrekking tot de gegevens die over hen gaan, de volledige door de wet toegekende bescherming genieten.