Le droit à l’oubli dans le RGPD

Droit de la personne et obligation du responsable du traitement

Le droit à l’oubli constitue un droit fondamental du citoyen. Il s’agit d’éviter d’attacher aux personnes des étiquettes définitives qui portent atteinte à leur capacité de changement et à leur liberté. Le droit à l'oubli est repris à l'article 17 du RGPD qui reconnait à la personne le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, des données à caractère personnel et qui établit l'obligation du responsable du traitement d'effacer les données personnelles dans les meilleurs délais dans les circonstances suivantes :

1. Les données ne sont plus nécessaires au regard des finalités.
2. La personne retire son consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement.
3. la personne s'oppose au traitement et il n'existe pas de motif légitime impérieux pour le traitement.
4. Les données personnelles ont fait l'objet d'un traitement illicite.
5. Les données personnelles doivent être effacées pour respecter une obligation légale.
6. Les données personnelles ont été collectées dans le cadre de l'offre de services de la société de l'information quand la personne était un enfant.

Obligation d'information des autres responsables du traitement auxquels les données ont été communiquées

Lorsqu'il a rendu publiques les données à caractère personnel, le responsable du traitement (en l’occurrence le prêteur ou l'intermédiaire) doit prendre des mesures raisonnables (compte tenu des technologies disponibles et du coût de la mise en œuvre), pour informer les autres responsables du traitement qui utilisent les données, que la personne concernée a demandé l'effacement de tout lien vers ces données et de toute copie ou reproduction de celles-ci (17.2, RGPD).

Les exceptions

Le RGPD prévoit une série d'exceptions lorsque le traitement est nécessaire :

1. à l'exercice du droit à la liberté d'expression et d'information;
2. pour respecter une obligation légale ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique;
3. pour des motifs d'intérêt public dans le domaine de la santé publique;
4. à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques dans la mesure où l'effacement est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement;
5. à la constatation, à l'exercice ou à la défense de droits en justice.

Le droit à l'oubli dans les dispositions du CDE sur les crédits réglementés

Le principe

Les dispositions commentées reprennent le principe de l'article 17 du RGPD : Les données doivent être effacées lorsque leur maintien dans le fichier a cessé de se justifier. Les travaux préparatoires de la version initiale de la LCC mettent en évidence la volonté de fixer des délais précis afin d’éviter toute insécurité juridique : « En ce qui concerne le principe spécifique de l’effacement des données, l’article 69, § 5, ne dit pas que les données doivent être effacées dès la fin du contrat, il dit que les données doivent être effacées lorsque le maintien dans le fichier a cessé de se justifier. Cela peut permettre à des prêteurs de ne pas effacer immédiatement les données relatives aux défauts de paiement par exemple, puisque ces données peuvent encore être utiles à l’occasion de l’octroi de nouveaux crédits. Cela étant dit, pour éviter l’incertitude, le projet prévoit que le Roi peut fixer des délais de conservation des données ou catégories de données » (Doc. Parl., Sénat, 1989-1990, n° 916/1, p. 41).

L’arrêté royal du 20 novembre 1992 relatif au traitement des données à caractère personnel en matière de crédit à la consommation, précise les délais de conservations à appliquer pour les fichiers crédit (art. 5), pour les données positives (crédits en cours) et négatives (défauts de paiement).

Pour la Centrale des Crédits aux Particuliers, les délais de conservation sont prévus par l’arrêté royal du 23 mars 2017 réglementant la Centrale des Crédits aux Particuliers (art. 4 pour le volet positif et art. 8 pour le volet négatif).

Les dispositions commentées étendent cette obligation aux responsables du traitement qui ont reçu communication de données à caractère personnel dans le cadre de la conclusion ou la gestion de contrat de crédit.

L'effacement ne s'impose que pour les données exclusivement traitées pour le crédit réglementé

En leur qualité de responsables du traitement, les prêteurs détiennent des données à caractère personnel qu'ils peuvent avoir collectées à diverses occasions (à l'ouverture du compte, lors de l'adhésion du client à un service particuliers, dans le cadre de campagne de marketing) qui peuvent également intervenir à l'occasion du crédit. Il est donc essentiel de déterminer la base juridique du traitement. En effet, selon cette base, les droits de la personne concernée diffèrent. Ainsi, si le traitement intervient sur la seule base du consentement, les données à caractère personnel doivent être effacées si ce consentement est retiré (art. 17.1, b), RGPD) mais il est possible que cette même information fasse également l'objet d'un traitement sur une autre base juridique comme par exemple l'exécution d'un contrat auquel la personne concernée est partie (art. 6.1, b), RGPD). Dans cette hypothèse le retrait du consentement n'entraînera pas l'effacement de la donnée dont le traitement reste licite. Il en va des données d'identification dont le traitement devrait disparaître une fois le contrat de crédit remboursé mais dont le traitement peut rester licite si ces données sont traitées pour les besoins de la relation contractuelle qui persiste au-delà de la fin du contrat de crédit.

Pour les données à caractère personnel qui ne sont pas collectées à l'occasion du contrat de crédit réglementé, il n'est pas prévu de délais de conservation déterminés. La règle du RGPD exposée plus haut s'appliquera donc.

Les délais de conservation des données collectées pour les contrats de crédit

Les mesures techniques et organisationnelles pour garantir la confidentialité des données

Les principes énoncés dans le CDE

Les §§ 2 et 3 des articles VII.120 et VII.147/36 traitent des mesures que doivent prendre les responsables du traitement en vue de garantir la confidentialité des données. Il s'agit d'assurer la parfaite conservation des données, leur confidentialité et leur traitement dans le respect des finalités pour lesquelles elles ont été collectées. Le responsable du traitement est également responsable des programmes d'échanges automatisés. Il doit s'assurer que lors de ces échanges, les exigences de la loi sont respectées : confidentialité, accès limité aux tiers autorisés, accès pour des finalités d'octroi de crédit et donc interdiction de la consultation systématique "à l'aveugle"... Une fois en possession des données de la consultation, c'est le tiers autorisé par l'article qui assume la responsabilité pour les données qui lui ont été communiquées.

Les dispositions confient au Roi le pouvoir de fixer les règles suivant lesquelles le responsable du traitement doit exercer sa mission. Le CDE se limite à énoncer des principes. Le GDPR a, depuis, précisé les obligations des responsables du traitement et de leurs sous-traitants.

Les règles du RGPD

Le RGPD contient un ensemble d'obligations qui s'imposent aux responsables du traitement et à leurs sous-traitants. On peut ainsi relever les obligations suivantes :

1. Mettre en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement (24.1, RGPD).
2. Mettre en œuvre des politiques appropriées en matière de protection des données (24.2, RGPD).
3. Utiliser lors de la détermination des moyens du traitement et lors du traitement lui-même, des mesures techniques appropriées telles la pseudonymisation
4. Adhérer à un Codes de conduite (24.3, RGPD) et mettre en place des mécanismes de certification par des tiers indépendants (25.3, RGPD).
5. Définir de manière transparente les obligations de chaque responsable du traitement en cas de traitement conjoint (26, RGPD).
6. Sélectionner des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesure techniques et organisationnelles similaires et leur imposer par voie contractuelle des obligations quant au choix de ses partenaires (sous-traitants du sous-traitant), à l'adhésion à un code de conduite et à la mise en place d'un mécanisme de certification (28, RGPD).
7. Mettre en place un registre des activités de traitement reprenant notamment les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, une description des catégories de destinataires auxquels les données sont ou seront communiquées, les délais de conservation et une description générale des mesures de sécurité techniques et organisationnelles (30 RGPD).
8. Mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (32, RGPD).
9. Notifier les violations de données personnelles sans délai à l'autorité de protection des données (33, RGPD) et les personnes concernées, si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés (34, RGPD).
10. Réaliser une analyse d'impact des opérations de traitement sur la protection des données à caractère personnel (35, RGPD)
11. Désigner un délégué à la protection des données lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (37, RGPD).