Le texte des dispositions est identique.

Lisibilité et clarté des informations

Le principe de transparence est évoqué à l'article 12 du RGPD. Il s'agit de faire en sorte que l'accès des personnes concernées aux données soit aussi aisé que possible. le responsable du traitement est invité à communiquer les informations qu'il doit fournir d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant.

Afin de permettre une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, les informations à communiquer lors de l'enregistrement initial (article 13 et 14 du RGPD) peuvent être accompagnées d'icônes normalisées qui lorsqu'elles sont présentées par voie électronique, doivent être lisibles par l'ordinateur (article 12.7).

Il doit en outre faciliter l'exercice des droits conférés aux personnes concernées. En cas de doute raisonnable quant à l'identité de la personne concernée, le responsable du traitement peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée mais cette exigence ne peut pas avoir pas constituer un moyen détourné de refuser de donner suite à la demande (12.6 et 12.2, du RGPD).

La personne peut exercer les droits qui lui sont conférés sous toutes formes et s'il utilise la voie électronique, les informations lui sont fournies par voie électronique lorsque cela est possible à moins que la personne concernée ne demande qu'il en soit autrement (article 12.5, in fine, RGPD).

L'exercice du droit est gratuit

A moins que l'exercice du droit ne soit manifestement non fondé et excessif, par exemple en cas de demandes répétées, aucun paiement ne peut être exigé de la personne concernée en cas d'exercice d'un droit reconnu par le RGPD (article 12.5).

Devoir de répondre, mode de communication et délai

L'article 12.3 du RGPD fait obligation au responsable du traitement de fournir à la personne concernée des informations sur les mesures prises suite à une demande qu'il a exercée sur base d'un des droits que lui reconnait le RGPD. Cette réponse doit être fournie dans un délai d'un mois. Pendant ce délai, le responsable du traitement peut avertir la personne concernée du report de sa réponse de maximum deux mois si ce report est justifié par la complexité et le nombre de demandes.

Si le responsable du traitement ne donne pas suite ou s'il refuse de donner suite, il doit informer la personne concernée dans le mois de la demande des motifs de son inaction et du droit pour la personne d'introduire une réclamation auprès de la personne concernée et d'exercer un recours judiciaire.

Le responsable du traitement peut refuser de répondre aux demandes manifestement infondées et excessives mais c'est à lui qu'incombe l'obligation de démontrer le caractère excessif ou infondé (article 12.5, in fine, du RGPD. Ce refus devra en outre être notifié conformément à l'article 12.4, dans le mois de la demande et en précisant les motifs du refus et la possibilité d'exercer un recours judiciaire ou de déposer une réclamation.

Le droit d'interroger le responsable du traitement

La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes:

a) les finalités du traitement;
b) les catégories de données à caractère personnel concernées;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;
f) le droit d'introduire une réclamation auprès d'une autorité de contrôle;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacent e, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Lors que les demandes sont transférées hors Union, la personne concernée a le droit de demander au responsable du traitement de préciser les garanties qu'il a obtenues et qui prévues par l'article 46 du RGPD.

Le mode d'interrogation

Selon l'article 10 de la loi du 8 décembre 1992, la personne concernée adresse une demande datée et signée au responsable du traitement ou à toute autre personne désignée par le Roi. Le RGPD ne précise pas sous quelle forme la personne concernée doit interroger le responsable du traitement qui doit par ailleurs faciliter l'exercice de ce droit d'accès (article 12.2, RGPD). Elle peut donc utiliser n'importe quelle forme de communication, comme une démarche dans les locaux du responsable, un appel téléphonique, un mail... Le responsable du traitement est cependant en droit de s'assurer que la demande émane bien de la personne concernée et demander un justificatif de l'identité. Selon l'article 7, § 1, de l'arrêté royal du 20 novembre 1992, Le consommateur qui souhaite consulter un fichier en application de l'article 70, § 2, de la loi, doit établir son identité au moyen d'une photocopie (de son document d'identité tel que visé à l'article 2, § 2). Cette exigence ne semble toutefois plus compatible avec le texte du RGPD.

La personne concernée peut-elle donner mandat à un tiers pour consulter les données à caractère personnel la concernant ? Selon l'arrêté royal du 20 novembre 1992, article 7, § 3, Le droit du consommateur à l'accès, à la rectification ou à la suppression des données doit être exercé soit personnellement, soit par un avocat, un officier ministériel ou un mandataire de justice, dans le cadre de l'exécution du contrat de crédit. L'article 23 du RGPD permet au législateur national d'introduire des restrictions aux droits des personnes concernées notamment pour des objectifs importants d'intérêt public général. En l'espèce, l'objectif est d'éviter de contourner les restrictions relatives à la transmission des données personnelles en matière de crédit réglementés. Un courtier de crédit à qui ces données ne peuvent pas être transmises pourrait ainsi faire souscrire un mandat de consultation aux consommateurs qui le consultent. Cette restriction paraît donc compatible avec le texte du RGPD.

La réponse du Responsable du traitement

Lorsqu'il n'existe pas de traitement de données à caractère personnel, le responsable du traitement est tenu d'en informer la personne concernée. Lorsqu'il y a des données personnelles, le responsable du traitement doit fournir gratuitement, une copie des données personnelles qui font l'objet du traitement. Le responsable du trainement peut demander des frais raisonnables pour toute demande de copie supplémentaire. En ce qui concerne les crédits réglementés, selon l'article 10, § 1, de l'arrêté royal du 20 novembre 1992, La consultation par le consommateur des données relatives à un contrat de crédit enregistré à son nom est gratuite pour autant que l'intéressé ne consulte pas ces données plus d'une fois par trimestre et que celles-ci n'aient subi aucune modification pendant cette période.

A moins que la personne ne demande de fournir les renseignements d'une autre manière, le responsable du traitement peut fournir les données sous forme électronique, si la personne s'est adressée à lui par la voie électronique.

Principe

Selon l'article 16 du RGPD, la personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

Pour les crédits réglementés, l'arrêté royal du 20 novembre 1992 contient quelques règles complémentaires. Selon l'article 7, § 2, Toute demande émanant d'un consommateur visant à rectifier ou supprimer des données enregistrées à son nom, doit être en outre accompagnée de tout document justifiant le bien-fondé de la demande. Au besoin, le maître du fichier peut exiger du consommateur qu'il produise une photocopie bien lisible du contrat de crédit, ou de tout autre document permettant d'identifier de manière claire le contrat de crédit. La demande doit être accompagnée des documents justifiant le bien-fondé de la demande. Selon le paragraphe 3 de cette même disposition, le droit doit être exercé soit personnellement, soit par l’intermédiaire d’un avocat, d’un officier ministériel ou d’un mandataire de justice, dans le cadre de l’exécution du contrat de crédit.

Le droit de préciser le motif du défaut de paiement

Les articles VII.122 et VII.147/37 précisent qu'indépendamment d’une contestation, le consommateur peut demander que le motif du défaut de paiement qu’il communique soit indiqué en même temps que le défaut de paiement, comme par exemple la perte d’un emploi ou une séparation conjugale. Cette règle s'impose pour les fichiers internes comme pour les données transmises à des tiers.

La rectification

La demande de rectification est adressée au responsable du traitement. Pour les crédits réglementés, toute donnée erronée doit être rectifiée au plus tard dans les quinze jours (art. 8 de l’arrêté royal du 20 novembre 1992).

Devoir d'informer les autres responsables du traitement

Conformément à l'article 19, le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés.

Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

Principe

L'article 17 du RGPD reconnaît le droit de la personne concernée d'obtenir du responsable du traitement qu'il efface les données dans un certain nombre de cas :

1. les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;
2. la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement ;
3. la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2;
4. les données à caractère personnel ont fait l'objet d'un traitement illicite;
5. les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis;
6. les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1.

Application aux crédits réglementés

Pour les crédits réglementés, l'arrêté royal du 20 novembre 1992 contient quelques règles complémentaires. Selon l'article 7, § 2, Toute demande émanant d'un consommateur visant à rectifier ou supprimer des données enregistrées à son nom, doit être en outre accompagnée de tout document justifiant le bien-fondé de la demande. Au besoin, le maître du fichier peut exiger du consommateur qu'il produise une photocopie bien lisible du contrat de crédit, ou de tout autre document permettant d'identifier de manière claire le contrat de crédit. La demande doit être accompagnée des documents justifiant le bien-fondé de la demande. Selon le paragraphe 3 de cette même disposition, le droit doit être exercé soit personnellement, soit par l’intermédiaire d’un avocat, d’un officier ministériel ou d’un mandataire de justice, dans le cadre de l’exécution du contrat de crédit.

La demande est adressée au responsable du traitement. Pour les crédits réglementés, toute donnée erronée doit être rectifiée au plus tard dans les quinze jours (art. 8 de l’arrêté royal du 20 novembre 1992). Le responsable du traitement est tenu de communiquer cette rectification aux personnes qui ont obtenu des renseignements de sa part (art. 9 de l’arrêté royal du 20 novembre 1992).

Devoir d'informer les autres responsables du traitement

Conformément à l'article 19, le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées, toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

L'article 17 prévoit en outre un devoir d'information particulier lorsque les données ont été rendues publiques. Dans ce cas et lorsqu'il est tenu de les effacer, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d'ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

A cet égard, le RGPD élargit le devoir d'information aux responsables du traitement qui traitent ces données (et pas seulement à ceux qui ont obtenus des renseignements de sa part. Il ne s'agit cependant que d'une obligation de moyen puisqu'il s'agit de prendre des mesures raisonnables compte tenu des technologies disponibles et des coûts de mise en œuvre (article 17.2, RGPD).

Exceptions

Le droit à l'effacement des données ne s'applique pas dans la mesure où le traitement est nécessaire:

1. à l'exercice du droit à la liberté d'expression et d'information ;
2. pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ; Pour les crédits réglementés, les délais de conservation des défauts de paiement sont ainsi régispar la loi et le consommateur ne pourrait s'opposer à leur traitement pendant ce délai, aussi longtemps que le retard de paiement n'est pas régularisé et quand bien même, le terme du contrat de crédit serait atteint.
3. pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3;
4. à des fins archivistique s dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
5. à la constatation, à l'exercice ou à la défense de droits en justice.

Principe

La personne concernée a le droit d'obtenir la limitation du traitement dans certains cas. Cette limitation implique que les données à caractère personnel ne peuvent, à l'exception de la conservation, être traitées qu'avec le consentement de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice, ou pour la protection des droits d'une autre personne physique ou morale, ou encore pour des motifs importants d'intérêt public de l'Union ou d'un État membre.

Le droit peut être exercé dans les hypothèses suivantes :

1. l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel;
2. le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation;
3. le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice;
4. la personne concernée s'est opposée au traitement en vertu de l'article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

Le responsable du traitement doit informer la personne concernée préalablement à la levée de la limitation (art.18.2, RGPD).

Devoir d'informer les autres responsables du traitement

Conformément à l'article 19, le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute limitation du traitement à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés.

Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

L'article 20 du RGPD stipule le droit à la portabilité des données c'est à dire le droit pour la personne concernée de recevoir les données sous un format structuré, couramment utilisé et lisible par une machine, pour les transmettre à un autre responsable du traitement. Elle peut même requérir que ce transfert ait lieu de responsable du traitement à un autre responsable du traitement (article 20.2).

Pour les crédits réglementés ce droit se heurte cependant aux articles VII.116 et VII.147/32 : la transmission des données n'est autorisée que dans les conditions cumulatives prévue dans la sous-section. L'accord du consommateur ne peut dispenser du respect de la loi.

Le droit d’opposition

Le RGPD prévoit un droit d'opposition au traitement des données à caractère personnel, lorsque celui-ci est effectué sur l'une des bases suivantes

1. le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique (y compris un profilage fondé sur cette base) (article 21.1, RGPD) ;
2. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement (y compris un profilage fondé sur cette base) (article 21.1, RGPD) ;
3. le traitement à des fins de prospection (article 21.2;RGPD) ;
4. le traitement est effectué à des fins de recherche scientifique ou historique ou à des fins statistiques ou en application de l'article 89,paragraphe 1

Dans les deux premières hypothèses, le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.

Le traitement des données personnelles à des fins de prospection

En cas de traitement de données à des fins de prospection, la personne concernée a le droit de d'opposer à tout moment (21.2, RGPD) et, en cas d'opposition, le responsable du traitement est tenu de ne plus traiter les données personnelles à cette fin (art. 21.3, RGPD).

Le marketing au moyen des données personnelles collectées par le responsable du traitement doit avoir été prévu parmi les données communiquées au prêteur lors de la collecte de l'information. Les finalités doivent être mentionnées de manière claire et précise : ainsi et après avis de la Commission de Protection de la Vie Privée, l'administration a considéré que la référence "marketing et/ou prospection commerciale" est très vague, et peut viser en pratique bon nombre de situations et services internes ou externes tant au sein, qu'en dehors de l'établissement de crédit. Le terme « marketing» doit au moins être lié à des services décrits plus clairement et à un responsable concret interne ou externe. (Par exemple: «marketing» pour octroi de crédit par le dispensateur de crédit).

Pour les données collectées à l'occasion d'un crédit réglementé, la transmission des données pour en permettre le traitement à des fins de marketing est exclue. Les articles VII.117 et VII.147/33 précisent qu'En aucun cas, les données personnelles ne peuvent être utilisées à des fins de prospection commerciale. Une disposition identique vise les données communiquées par la Centrale des Crédits aux Particuliers (VII.153, § 2, al.2; CDE).

Pour les fichiers externes, le Code impose une finalité déterminée. L'article VII.117, § 2 énonce en effet que les données devront être pertinentes, appropriées et non excessives pour apprécier la situation financière et la solvabilité du consommateur. Les seules finalités de ces fichiers sont celles qui sont donc expressément autorisées par la loi. L’opération de marketing ne rentre pas dans ces finalités, ni d’ailleurs dans l’économie générale de la loi, ce que confirment les travaux parlementaires (Doc. Parl., Sénat, 1989-1990, n° 916/2, p. 191). Il en va de même de toutes autres finalités que celles liées à l’appréciation de la situation financière et la solvabilité du consommateur. L’usage des données à des fins telles que la création d’une « liste noire » ou d’une liste positive des bons payeurs est donc interdite.

Information particulière de la personne concernée

Le droit d'opposition doit être signalé à la personne concernée au plus tard au moment de la première communication. Il doit être explicitement porté à l'attention de la personne concernée et être présenté clairement et séparément de toute autre information (article 21.4, RGPD).

Principe : interdiction du traitement exclusivement automatisé

Le RGPD consacre le droit de la personne concernée à ne pas faire l'objet d'une décision exclusivement fondée sur un traitement automatiséproduisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

L'article 12 bis de la loi du 8 décembre 1992 sur la protection de la vie privée interdit de soumettre une personne à une décision produisant des effets juridiques à son égard ou l’affectant de manière significative prise sur le seul fondement d’un traitement automatisé de données. Selon l’exposé des motifs, «on respecte donc la disposition lorsque, entre l’obtention du résultat du traitement par ordinateur et la prise de décision, il y a au moins une intervention humaine minimale» (Exposé des motifs, p. 17). Le régime d'interdiction vaut non seulement lorsqu’il n’y a aucune intervention humaine mais également lorsque la décision est transmise par l’intermédiaire d’une personne sur la seule base du résultat du traitement. L’intervention humaine doit donc avoir pour conséquence la prise en compte d’autres éléments que les résultats du traitement. L’alinéa 2 de l’article 12 bis prévoit deux exceptions.

L'article 12bis de la loi du 8 décembre 1992 est remplacé par l'article 22 du RGPD qui reprend l'interdiction de principe (la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques la concernant) tout en élargissant le champ des exceptions.

Exceptions

L'interdiction ne s'applique pas si le traitement automatisé estautorisé par une disposition du droit communautaire ou d'un droit national ou est :

• nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et le responsable du traitement;
• fondée sur le consentement explicite de la personne concernée.

Dans ces deux dernières hypothèses, le responsable du traitement doit mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision (article 22.3, RGPD).

Credit-scoring

La base juridique de la collecte des données à caractère personnel pour les crédits réglementés ressort des articles VII.69 et VII.122 du CDE. La licéité du traitement repose donc sur une base légale (article 5.1. c, du RGPD) et non sur le consentement de la personne concernée (5.1, a du RGPD) ou sur le caractère nécessaire des données pour la conclusion ou l'exécution du contrat (5.1, b du RGPD). Le RGPD ne prévoit pas d'exception à l'interdiction du traitement totalement automatisé lorsque ce traitement repose sur une base légale.

La technique du credit scoring n’est pas suffisante au regard de la réglementation sur les crédits réglementés : l’approche statistique procure certes une analyse du risque et constitue à ce titre, une aide à la décision mais l'obligation de fournir une information adaptée au consommateur et le devoir de conseil imposent dans tous les cas une intervention humaine et une analyse de la situation spécifique du consommateur. Il convient par ailleurs de distinguer l'analyse de risque de l'évaluation de la solvabilité qui impose au prêteur de considérer, non pas son propre risque, mais celui du consommateur.

Voir les commentaire sur la définition de l'évaluation de la solvabilité, sur l'article VII.77, sur l'article VII.133 ou sur le crédit-scoring