VII.116 - VII.147/32 : Prohibition de la transmission des données à caractère personnel

 

 

Les dispositions

Le texte des dispositions est identique.

VII.116

Article VII.116

Sauf en cas de cession ou de subrogation intervenant conformément aux articles VII. 102 et VII. 103, les données à caractère personnel du consommateur ou de la personne qui constitue une sûreté traitées dans le cadre de la conclusion ou de l'exécution d'un contrat de crédit par le prêteur ne peuvent être transmises à un tiers en dehors des conditions cumulatives énumérées au sein de la présente sous-section.

VII.147/32

Article VII.147/32

Sauf en cas de cession ou de subrogation intervenant conformément aux articles VII.147/17 et VII.147/18, les données à caractère personnel du consommateur ou de la personne qui constitue une sûreté traitées dans le cadre de la conclusion ou de l'exécution d'un contrat de crédit par le prêteur ne peuvent être transmises à un tiers en dehors des conditions cumulatives énumérées au sein de la présente sous-section.

 

Le principe

Cette disposition traite autant de la finalité du traitement par le prêteur et l’intermédiaire de crédit que le la finalité du traitement autorisée pour le tiers à qui les données seront transmises. La finalité du traitement ressort déjà des articles VII.69 et VII.126. La disposition commentée rappelle donc que cette finalité s'impose également au tiers auquel les données seront transmises. Ce dernier ne pourra donc effectuer de traitement de ces données que pour apprécier la situation financière et d'évaluer la solvabilité du consommateur ou de la personne qui constitue une sûreté ainsi que dans le cadre de l'octroi ou de la gestion de crédits ou de moyens de paiement susceptibles de grever le patrimoine privé d'une personne physique et dont l'exécution peut être poursuivie sur le patrimoine privé de cette personne. Toute autre utilisation doit être considérée comme violant les articles VII.116 (et suivants) ou VII.147/32 (et suivants) du CDE.

L'interdiction vise les données recueillies dans le cadre de la conclusion ou de l'exécution d'un contrat de crédit. L'interdiction s'applique dés que des données sont recueillies en vue de la conclusion du contrat même si le prêteur refuse, après examen de la solvabilité, d'octroyer le crédit.

L'exception

Le Code prévoit explicitement que l'interdiction ne s'applique pas en cas de cession ou de subrogation intervenant conformément aux articles VII. 102 et VII. 103 (VII.147/17 et VII.147/18 pour les crédits hypothécaires. Il s'agit dans ce cas de la cession du contrat de crédit et toutes les données personnelles enregistrées à l'occasion de l'octroi du crédit peuvent être transmises. Voyez le commentaire sur la cession du contrat de crédit.

La transmission vise également la simple consultation

La restriction prévue par le CDE vise autant la communication à un tiers ou que la simple consultation par un tiers. Par ailleurs, l'interdiction n’implique pas que le tiers dispose immédiatement de l’information récoltée par le prêteur dans le cadre d’un contrat de crédit. Une simple possibilité d’accès aux données par un tiers est contraire à la règle.

La transmission des données dans le RGPD

Le RGPD ne contient aucune interdiction de principe quant au transfert de données. Ce transfert doit évidemment être en adéquation avec les finalités du traitement (principe de finalité et intervenir dans le cadre d'un traitement licite). Le RGPD précise un devoir particulier d'information dès l'enregistrement initial surles destinataires ou catégorie de destinataires des données à caractère personnel(13.1, d) et 14.1, d), RGPD).

Les restrictions imposées par le législateur belge en ce qui concerne le transfert de données personnelles sont autorisées par l'article 6.3 du RGPD qui, pour les traitements fondés, sur une loi, autorise le législateur national à prévoir des dispositions spécifiques pour adapter l'application des règles du règlement, soit entre autres:

les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l'objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l'être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d'autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l'Union ou le droit des États membres répond à un objectif d'intérêt public et est proportionné à l'objectif légitime poursuivi.

Quelques dispositions du RGPD traitent en outre du transfert de données à l'extérieur du territoire de l'Union européenne :

  1. L'article 3 précise que le RGPD s'applique au traitement des données effectué par un responsable du traitement établi sur le territoire de l'Union que le traitement ait lieu ou non sur le territoire de l'Union.
  2. Ce même article précise que le RGPD s'applique au responsable du traitement établi en dehors de l'Union, lorsque le traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union si les activités de traitement sont liées: a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.
  3. L'article 27 précise l'obligation pour le responsable du traitement établi en dehors de l'Union de désigner un représentant dans l'Union, dans un des pays où sont établies les personnes physiques dont les données font l'objet d'un traitement

Les articles 44 à 50 du RGPD règlent les conditions dans lesquelles un responsable du traitement soumis au RGPD peut transférer les données vers un pays tiers pour qu'y soit effectué un nouveau traitement. La disposition permet le transfert de données vers un pays tiers qui a fait l'objet d'une décision de la Commission constatant que ce pays assure un niveau de protection adéquat. En l'absence d'une telle décision, un transfert n'est possible en application de l'article 46 du RGPD, que pour autant que le responsable du traitement ait prévu des garanties appropriées (explicitées au point de l'article 46 du RGPD), et que les personnes concernées disposent de droits opposables et de voies de recours effectives. Les articles 13 et 14 prévoient une information spécifique de la personne concernée, dès l'enregistrement initial, lorsqu'un transfert international de données est envisagé par le responsable du traitement (13.1, f) et 14.1, f), RGPD).

Doc. Parl. Sénat, 1989-1990, 916 - 1, p. 7

Reprenant les termes de la distinction proposée dans le projet de législation générale relatif à la protection de la vie privée, on retiendra que:« La notion de fichier doit donc s'entendre au sens le plus classique du terme. Ne constituera donc pas un «fichier» au sens de la loi une succession de dossiers rangés selon un ordre alphabétique ou numérique, que ces derniers soient automatisés ou non. On pourrait objecter à cette distinction que des données sensibles peuvent également se trouver dans des dossiers. Les problèmes posés appartiennent à une problématique plus complexe, de par la variété même des pièces que les dossiers sont amenés à contenir, avis d'une autorité, correspondances diverses, etc..

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE usuellement dénommé le règlement général sur la protection des données (en abrégé, RGPD), directement applicable dans les droits des Etats membres depuis le 25 mai 2018.

Facebook Share Button Twitter Share Button Linkedin Share Button
Remonter