Commission pour la Protection de la Vie Privée - Avis du 23 juillet 1999 (Belgique)

Date de publication :
23-07-1999
Langue :
Français Néerlandais
Taille :
9 pages
Section :
Jurisprudence
Source :
Justel 19990723-3
Numéro de rôle :
25/99

Résumé

Sommaire 1

------------------------------
(vide)
------------------------------

---------------------------------------------------
(vide)
---------------------------------------------------

Projet d'arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel

http://jure.juridat.just.fgov.be/view_decision.html?justel=F-19990723-3&idxc_id=8821&lang=FR
---------------------------------------------------


Avis

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, en particulier l'article 29;
Vu la demande d'avis du Ministre de la Justice du 24 juin 1999;
Vu le rapport de Madame V et Messieurs R., VA. et P.,
Emet, le 23 juillet 1999, l'avis suivant:
Remarques préalables
Par lettre du Ministre de la Justice du 24 juin 1999, la Commission a pris connaissance du rapport au Roi du projet d'arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, ainsi que d'une version de ce projet qui, après avoir été adapté sur la base de l'avis n° 008/1999 du 8 mars 1999 de la Commission et approuvé en Conseil des ministres, a été soumis pour avis au Conseil d'Etat. Dans sa lettre, le Ministre demande à la Commission d'émettre un avis complémentaire sur ces textes. La Commission constate de manière générale qu'il a été tenu compte en grande partie des remarques émises dans son avis n° 008/1999 susmentionné et se limite dès lors ci-dessous, d'une part, à rappeler une série de remarques de l'avis de la Commission qui n'ont pas été suivies sans pour autant qu'une justification convaincante n'ait été formulée et, d'autre part, à formuler un certain nombre de remarques relatives au rapport au Roi, d'autre part.
Chapitre I : Définitions
Article 1er
La Commission estime que la nouvelle définition de la notion " d'organisation intermédiaire " n'offre pas encore suffisamment de garanties. Cette notion est introduite pour désigner une instance qui assure la conversion des données non codées en données codées afin que le responsable du traitement de données à des fins historiques, statistiques ou scientifiques ne puisse plus identifier les personnes concernées. Une organisation intermédiaire peut intervenir dans deux cas de figure : d'une part, en vue de coder des données à caractère personnel qui proviennent d'un seul transmetteur de données et d'autre part, en vue de rassembler et de coder des données à caractère personnel qui proviennent de plusieurs transmetteurs de données. Dans son avis n° 008/1999, la Commission avait proposé que l'organisation intermédiaire agisse dans le premier cas de figure en qualité de sous-traitant des données à caractère personnel pour le compte du transmetteur de données de sorte qu'elle ne soit pas considérée comme un responsable d'un traitement de données à caractère personnel distinct et soit soumise au contrôle du transmetteur de données, conformément à l'article 16, modifié par la loi du 11 décembre 1998, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Cette remarque a été rencontrée par la révision de la définition " d'organisation intermédiaire ".
Dans le deuxième cas de figure où les données à caractère personnel provenant de différents transmetteurs de données sont rassemblées avant d'être codées, la Commission continue de croire qu'il existe une menace particulière pour la protection de la vie privée, étant donné que des données à caractère personnel qui ne l'étaient pas avant sont désormais couplées. Dans ce cas, une telle organisation intermédiaire doit offrir un certain nombre de garanties appropriées et il serait préférable qu'elle soit habilitée à effectuer cette tbche par ou en vertu d'une loi et après avis de la Commission. Dans ce cas, cette organisation intermédiaire a une responsabilité propre et ne peut, dès lors, être considérée comme un sous-traitant agissant pour le compte des différents transmetteurs de données. Si elle devait toutefois agir en qualité de sous-traitant, les transmetteurs de données se partageraient d'ailleurs la responsabilité, situation peu transparente pour les personnes dont les données sont traitées.
Chapitre II : Traitement de données à caractère personnel à des fins historiques, statistiques ou scientifiques
Section 1ère : Principes généraux
Article 2
En ce qui concerne le passage du rapport au Roi relatif à cet article, la Commission souhaite tout d'abord faire remarquer que la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ne prévoit pas l'obligation, mais la possibilité de déroger à un certain nombre de principes de cette dernière lorsque des données à caractère personnel sont traitées à des fins historiques, statistiques ou scientifiques. En outre, la Commission insiste sur le fait que la notion de " fins historiques, statistiques ou scientifiques " devra être interprétée, en cas de doute, à la lumière de sens donné à ces notions dans la directive susmentionnée.
Article 3
En ce qui concerne cet article, la Commission a souligné dans son avis n° 008/1999 qu'il appartient au responsable du traitement de données à des fins historiques, statistiques ou scientifiques d'apporter la preuve aux instances compétentes de l'impossibilité de réaliser les finalités par le biais du traitement de données anonymes et/ou de données codées. La Commission estime en outre que le non respect des dispositions de cet article pourra être considéré comme une violation de l'article 4, § 1er de la loi du 8 décembre 1992 telle que modifiée par la loi du 11 décembre 1998, violation qui peut être sanctionnée pénalement. Il serait utile que le rapport prenne position quant à cette vision.
Section 2 : Traitement de données codées
Article 5
En ce qui concerne les précisions apportées dans le rapport au Roi, la Commission souligne que le codage des données se fera certes la plupart du temps, mais pas nécessairement, de manière automatisée. Le codage de données sur papier est également possible.
Article 6
La Commission constate que l'on peut déduire en réalité de l'article 6 une exemption implicite de l'obligation de déclaration visée à l'article 17 de la loi du 8 décembre 1992 telle que modifiée par la loi du 11 décembre 1998, pour les données à caractère personnel codées ne trouvant pas leur origine dans des données à caractère personnel visées aux articles 6 à 8 inclus de la loi du 8 décembre 1992, telle que modifiée par la loi du 11 décembre 1998. Plus de transparence pourrait peut-être être offerte en reprenant explicitement cette exemption dans la liste des exemptions figurant aux articles 29 à 40 inclus du projet d'arrêté royal.
Section 3 : Traitement de données à caractère personnel non codées
Article 9
Dans son avis n° 008/1999, la Commission avait proposé de supprimer la dérogation concernant l'échantillonnage prévue au point b). La Commission continue de croire que dans ce cas, il n'est pas justifié d'exempter le responsable du traitement de données non codées à des fins historiques, statistiques ou scientifiques, de l'obligation d'informer et d'obtenir le consentement explicite de la personne concernée. Bien entendu, certes cette obligation n'est applicable qu'à l'égard des personnes composant l'échantillon, et non à l'égard de l'ensemble de la population dont est tiré l'échantillon. Aucune donnée non codée relative aux personnes qui font partie de la population, mais qui ne sont pas reprises dans l'échantillon, ne doit en effet être communiquée au responsable du traitement de données à des fins historiques, statistiques ou scientifiques. La Commission estime qu'il serait préférable que l'échantillon soit toujours tiré par le transmetteur des données ou par une organisation intermédiaire conformément aux critères communiqués par le responsable du traitement. La Commission pourrait toutefois marquer son accord sur le fait qu'en cas d'utilisation de données à caractère personnel non codées relatives à un échantillon de personnes, les obligations prévues aux articles 7 et 8 en matière d'information et d'obtention du consentement explicite de la personne concernée ne doivent pas être respectées préalablement au tirage de l'échantillon, mais lors du premier contact entre le destinataire des données et les personnes concernées.
La Commission fait en outre remarquer que cet article n'a pas été adapté en fonction de la renumérotation des articles du projet d'arrêté.
Enfin, dans la version françcaise du point d), il convient de remplacer le mot " exception " par le mot " exemption ".
Article 10
Ici aussi, il convient de remplacer le terme " exception " par " exemption " dans le préambule de la version françcaise.
Chapitre III : Conditions pour le traitement de données à caractère personnel visées aux articles 6 à 8 de la loi
Article 12
La Commission constate que les remarques qu'elle a formulées dans son avis n° 008/1999 ont en grande partie été suivies.
Outre une liste de catégories de personnes désignées qui ont accès aux données à caractère personnel, une liste de personnes appartenant à ces catégories devrait, bien évidemment, être également disponible.
Article 13
La version néerlandaise de cette disposition prévoit à juste titre que le responsable du traitement doit communiquer préalablement à la personne concernée les raisons pour lesquelles ces données sont traitées. Cet aspect fait défaut dans la version françcaise. La Commission insiste pour que le texte françcais soit modifié en ce sens.
Article 14
Dans son avis n° 008/1999, la Commission faisait remarquer que l'article 14 du premier projet d'arrêté ne tenait pas suffisamment compte, à son estime, du droit à l'autodétermination des personnes. L'article 14 a été maintenu dans le second projet d'arrêté. La Commission réitère dès lors sa remarque selon laquelle l'interdiction absolue de traiter des données relatives à l'origine raciale, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale ainsi que des données à caractère personnel relatives à la vie sexuelle, semble être excessive et propose en conséquence de supprimer l'article 14 du projet d'arrêté.
En outre, il n'apparaît toujours pas clairement pourquoi une disposition équivalente en ce qui concerne les données relatives à la santé n'a pas été reprise dans le projet d'arrêté (cf. avis n° 008/1999).
Chapitre IV : Conditions pour l'exemption de l'obligation d'information visée à l'article 9, § 2 de la loi.
Article 15
Dans la mesure où la proposition faite par la Commission de considérer une organisation intermédiaire qui rassemble et code des données obtenues de plusieurs transmetteurs de données comme un responsable de traitement distinct (cfr . supra remarques relatives à l'article 1er) serait suivie, la Commission réitère sa proposition d'étendre l'exemption de l'obligation d'information dans le cas de figure prévu dans cet article aux organisations intermédiaires qui traitent des données à caractère personnel dans le seul but de les coder. Si ce n'était pas le cas, le danger est grand que peu d'instances soient disposées à agir en qualité d'organisation intermédiaire, le régime prévu pour le traitement de données codées à des fins historiques, statistiques ou scientifiques risque dès lors d'être vidé de sa substance.
Article 16
L'article 16 dispose que le responsable du traitement qui, hormis le cas de l'article 15 de l'arrêté, invoque l'exemption de l'obligation d'information visée à l'article 9, § 2 de la loi, parce que cette information se révèle impossible ou implique des efforts disproportionnés, communique l'information visée à l'article 9, § 2 de la loi lors de la première prise de contact avec la personne concernée.
Cette disposition ne peut s'appliquer qu'au cas où des données à caractère personnel non codées sont traitées à des fins statistiques ou de recherche historique ou scientifique, ou de dépistage, et lorsque l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés.
Les exemples cités dans le rapport au Roi en ce qui concerne le marketing direct n'entrent pas dans le contexte des exemptions prévues sur la base de l'article 9, § 2, alinéa 2 de la loi et donnent l'impression que le Roi entend donner une portée plus générale à l'article 16, ce qui ne peut, bien entendu, être le cas. En ce qui concerne le marketing direct ou le courtage d'adresses, aucune exemption à l'obligation d'information ne peut être réglée par arrêté royal.
Le deuxième alinéa de l'article 16 dispose que lorsque le responsable du traitement visé à l'alinéa 1er communique les données à caractère personnel à un tiers, l'information visée à l'article 9, § 2 de la loi est communiquée par ce tiers lors de la première prise de contact avec la personne concernée. L'article 9, § 2 de la loi n'offre aucune base
légale à cette disposition. Le tiers doit donc en principe informer la personne concernée au moment de l'enregistrement des données, à moins qu'il ne puisse invoquer lui-même l'exemption prévue à l'article 9, § 2 de la loi.
Article 17
L'article 17 dispose que le responsable du traitement qui ne peut informer la personne concernée parce que cette information se révèle impossible ou implique des efforts disproportionnés est tenu d'en faire une déclaration auprès de la Commission.
Le rapport au Roi précise que cette disposition vise le responsable de l'enregistrement de données à caractère personnel et qui ne peut jamais en informer la personne concernée. La Commission souligne que le libellé de l'article 17 ne semble pas se limiter à ce cas particulier où la personne concernée ne peut jamais être informée. Cette disposition semble plutôt avoir une portée générale et paraît donc également viser le cas de figure de l'article 16, à savoir lorsqu'il n'est procédé à l'information que lors de la première prise de contact entre le responsable du traitement et la personne concernée.
Articles 18-21
La Commission n'a aucune remarque à formuler quant à ces dispositions.
Article 22
L'article 22 dispose que la procédure relative aux demandes introduites en vertu de l'article 13 de la loi est déterminée par la Commission dans un règlement d'ordre intérieur qui doit être approuvé par le Ministre et publié au Moniteur belge.
Etant donné que la Commission doit exercer ses tbches de manière indépendante, il semble que le Ministre ne soit pas l'instance adéquate pour approuver le règlement d'ordre intérieur.
Cependant, il serait sans doute souhaitable de reprendre les éléments essentiels de la procédure dans l'arrêté royal, tels le fait que la personne concernée peut s'adresser par écrit à la Commission en vue d'exercer le droit visé à l'article 13 de la loi ; le fait que la demande doit contenir tous les éléments pertinents dont dispose la personne concernée ; le fait que la demande de la personne concernée n'est recevable que si elle est introduite à l'expiration d'un délai de six mois à compter de la date d'envoi de la précédente réponse de la Commission concernant les mêmes données et le même service ; le fait que la personne concernée peut demander à être entendue par la Commission et le fait que le contrôle est effectué par le Président de la Commission ou par un ou plusieurs membres que celui-ci désigne.
Article 23
La Commission n'a aucune remarque à formuler quant à cette disposition.
Article 24
Dans la version modifiée du projet, les mots " ou incorrectement " ont été insérés à l'article 24, 3°.
Toutefois, cet ajout ne résout en rien le problème soulevé par la Commission dans son avis n° 08/1999. Il arrive régulièrement que le service de police concerné accepte de supprimer une donnée bien précise sans pour autant que cette donnée ait été traitée à tort ou incorrectement. Il peut par exemple s'agir de la donnée " mesures à prendre " qui est enregistrée et qui va de pair avec le traitement de données à caractère personnel.
La Commission réitère par conséquent sa proposition de se contenter de stipuler à l'article 24 que les informations que la Commission, en concertation avec le service concerné, détermine comme pouvant être communiquées, sont transmises à la personne concernée.
Chapitre VII : Déclaration de traitements automatisés de données à caractère personnel
Section 1ère : Contributions à verser à la Commission lors de la déclaration.
Articles 25-28
Les articles 25-28 (32-34 du premier projet) remplacent l'arrêté royal n° 12 du 7 mars 1995, tel que modifié par l'arrêté royal n° 12bis du 12 mars 1996. La Commission a formulé dans son premier avis une série de remarques d'ordre technique quant aux dispositions proposées : imprécision dans les termes et dénominations. Le nouveau texte tient compte de ces remarques.
Section 2 : Catégories de traitements exemptées de l'obligation de déclaration
Articles 29-40
Les articles 29-40 (35-46 dans la première version) remplacent l'arrêté royal n° 13 du 12 mars 1996. Cet arrêté royal exemptait de l'obligation de déclaration un certain nombre de catégories de traitements, en anticipant en grande partie la transposition de la directive européenne 95/46/CE. Dans son premier avis, la Commission a montré à l'aide d'un tableau récapitulatif qu'il n'était pas satisfait à tous les critères exigés par la directive pour l'octroi de ces exemptions. L'article 17, § 8 prévoit l'exemption de l'obligation de déclaration pour les traitements qui ne présentent manifestement aucun risque d'atteinte aux droits et libertés des personnes concernées, avec précision des éléments suivants :
A) les finalités du traitement ;
B) les catégories de données traitées ;
C) les catégories de personnes concernées ;
D) les catégories de destinataires ;
E) la durée de conservation des données.
Nous reprenons le tableau qui figurait dans le premier avis; les précisions apportées pour les différentes exemptions de l'obligation de déclaration figurent en italique:

Cet aperçcu montre que les auteurs du projet ont à présent pris la peine de compléter presque toutes les cellules. Le nombre de " précisions " qui ne présentent en réalité aucune plus-value par rapport aux dispositions générales de la loi s'est fortement accru. Le rapport au Roi fait remarquer à ce propos que la rédaction de telles précisions
" exigerait plusieurs mois d'étude et que l'on peut se poser la question de savoir si, en l'occurrence, un tel investissement serait justifié ". La Commission estime que cela vaudrait réellement la peine de consacrer quelques mois d'étude à cette matière et d'attendre la fin de ce travail d'étude pour cette partie de l'arrêté d'exécution.
Chapitre VIII : Registre public des traitements automatisés de données à caractère personnel
Articles 41-48
Les articles 41 à 48 (47 à 55 dans le premier projet) règlent la consultation du registre public constitué par la Commission sur la base des déclarations de traitements, en exécution de l'article 18 de la loi.
Dans son premier avis, la Commission avait formulé une série de remarques qui s'inspiraient principalement de considérations d'ordre pratique. Il a été tenu compte de toutes les remarques à l'exception de deux d'entre elles. Dans la version françcaise de l'article 44 (ancien article 51), figure encore le terme peu usité " d'écran d'explication ", peut-être s'agit-il d'un oubli, et l'article 45 dispose toujours qu'en cas de requête écrite envoyée par la voie postale, l'adresse à laquelle l'extrait doit être expédié doit être mentionnée. L'auteur du projet n'a probablement pas saisi la portée de la proposition de supprimer cette disposition. Cette proposition de suppression n'était en aucun cas une marque de bravade de la Commission sous entendant qu'elle s'estimait à même d'envoyer ces extraits sans disposer d'adresse. Cette proposition soulignait plutôt le fait que le bon sens veut qu'une personne sollicitant l'envoi d'un document communique son adresse et qu'il n'est pas nécessaire d'en faire une obligation légale certainement pas dans sa forme actuelle, à savoir un des trois éléments d'information dont un au moins doit figurer dans la demande. Ceci pourrait placer la Commission dans une situation absurde, dans le cas de demandes valables auxquelles elle est donc tenue de satisfaire, et ce, sans disposer des données lui permettant de le faire.
Chapitre IX : Transfert de données à caractère personnel vers des pays non membres de la Communauté européenne
Pour comprendre la portée des dispositions du projet d'arrêté royal dont la teneur a été profondément modifiée par rapport au texte précédemment soumis à la Commission, cette dernière disposait du tableau comparatif intitulé: Avis de la Commission/adaptation du projet d'arrêté. Ce tableau tente à démontrer que les rédacteurs ont largement tenté de suivre l'avis de la Commission.
La Commission tient cependant à rappeler quelques observations et soulève quelques interrogations relatives au nouveau texte.
Ainsi, à propos du choix du système des fixations des "garanties contractuelles dites suffisantes" exigées par l'article 22, § 2 de la loi, la Commission notait que la fixation par arrêté royal de ces garanties était uniforme et ne faisait aucune distinction en fonction de la nature du flux ou des données exportées.
Article 49
Le projet d'arrêt royal introduit en son article 49 une exception à propos des données à caractère personnel visées aux articles 6 à 8 de la loi.
Le libellé de cette exception est peu clair.
"Le respect des dispositions du présent chapitre ne peut cependant pas légitimer l'exportation des données à caractère personnel visées aux articles 6 à 8 de la loi". S'agit-il d'interdire de manière absolue tout transfert de données sensibles ou s'agit-il d'interdire pour l'exportation de telles données, le recours à l'utilisation
du système des "garanties contractuelles dites suffisantes"?
En toute hypothèse, la Commission souligne la nécessité de prévoir des interdictions ou restrictions à l'utilisation des systèmes des "garanties contractuelles dites suffisantes" à propos d'autres hypothèses que celles des données dites sensibles. Tels, sans être exhaustif, le cas des transferts massifs de données relatifs à des catégories de population, ainsi la question de l'utilisation de données à des fins d'exploitation commerciale ou dans le cadre de données relatives à des employés.
Bref, il n'est pas évident, selon la Commission, que le système d'arrêté royal fixant uniformément le niveau de garanties contractuelles soit le système à retenir.
Sous réserve de l'article 51, alinéa 4, la Commission souhaiterait que le niveau des garanties contractuelles puisse être adapté en fonction des spécificités de certains secteurs, de certaines données ou de certaines finalités.
Article 50
ce qui concerne le contenu minimal des clauses, comme le réclamait la Commission. Si la Commission approuve ces ajouts et certaines précisions, elle tient cependant à souligner que rien n'est prévu quant aux sanctions en cas de non respect de clauses et au droit de la personne concernée de s'en prévaloir.
Tout manque est d'autant plus grave que le nouveau texte supprime toute responsabilité de l'exportateur (cf. infra) et que dès lors, en cas de violation de ses droits, la personne concernée risque de se trouver dépourvue de la possibilité d'exercer un quelconque recours.
Article 51
Le nouvel article 51 introduit le devoir du responsable du traitement d'informer (préalablement à l'exportation des données) la personne concernée de certaines caractéristiques du traitement.
Cette information supplémentaire trouve sa base légale dans l'article 9, §1er et 2, e).
A propos de ces informations, on note qu'il aurait été utile de communiquer une information non seulement quant au destinataire mais également quant à son adresse géographique possible.
A propos du second point, on suppose que l'information de la personne concernée porte sur les catégories de données et non sur les données.
Quant à l'exemption prévue à l'article 51, alinéa 2 pour les responsables déjà dispensés par l'article 9, § 2, alinéa 2 de la loi, elle est logique mais crée des problèmes d'interprétation à propos des larges exceptions prévues par l'article 9, § 2 de la loi. Suffit-il que l'enregistrement ou la communication par l'institution qui exporte soient effectués en vue de l'application d'une disposition prévue par ou en vertu d'une loi, d'un décret ou d'une ordonnance pour que l'exportation soit possible sans information de la personne concernée ?
Ainsi, si une entreprise enregistre des données relatives à ses travailleurs en vertu d'une disposition légale, peut-elle la communiquer pour autant à l'étranger par exemple au siège central d'une multinationale, gérant les données de l'ensemble du personnel ?
L'article 51, alinéa 3 oblige le responsable à communiquer à la Commission l'information visée à l'alinéa 4 c'est-à-dire l'information communiquée aux personnes concernées, et ce, sur un formulaire établi par la Commission. Ce devoir de communication à la Commission ne porte pas sur les clauses contractuelles, objet de l'article 50. Cette restriction étonne la Commission d'autant que l'ancien article 56 dernier alinéa le prévoyait. C'est en effet au vu des clauses contractuelles et pas uniquement au vu des informations données aux personnes concernées que la Commission pourra analyser l'adéquation de la protection envisagée.
L'alinéa 4 confère précisément à la Commission le droit de s'opposer au transfert envisagé ou de le soumettre à des conditions supplémentaires. La disposition a de quoi surprendre. La Commission ne peut se prononcer qu'au vu des informations communiquées dont on a rappelé qu'elles étaient totalement fragmentaires.
Ensuite, la disposition remet en cause la philosophie du projet d'arrêté royal sans que les auteurs du projet ne s'en expliquent.
La Commission souhaite dès lors que les auteurs du projet clarifient le système mis en place par le Chapitre IX.
L'arrêté royal fixe un certain nombre de conditions. La portée de ce régime est peu claire. Faut-il considérer que le respect de ces conditions crée automatiquement un droit du responsable à exporter les données ou faut-il considérer, comme pourrait le laisser croire la nouvelle formulation de l'article 50 alinéa 1er, ( "Les données ne peuvent être communiquées qu'à ") que le respect des conditions n'exclut pas un examen au cas par cas par la Commission? Cette dernière pourrait procéder à un examen du caractère adéquat de ces conditions, au vu des particularités du transfert et aurait la possibilité, nonobstant la présence des clauses minimales et de l'information qui doit être fournie à la personne concernée, de bloquer le transfert ou de le soumettre à des conditions supplémentaires.
Enfin, les auteurs du projet ont supprimé l'ancien article 57 à la suite de l'avis de la Commission. Cette interprétation de l'avis de la Commission peut surprendre. Si la Commission s'opposait à la mise en place d'un système de responsabilité objective de l'exportateur pour tout acte dommageable survenu à la suite de cette exportation, c'est le caractère absolu et sans nuances de la disposition que la Commission critiquait. Elle ne peut cependant, au nom des intérêts qu'elle défend admettre que l'exportateur ne puisse être automatiquement responsable s'il exporte des données au mépris du respect des conditions posées par l'arrêté royal ou si à la suite de l'exportation, ayant constaté ou du constater le non respect des clauses contractuelles, il n'a pas mis en uvre les sanctions prévues ou mieux bloqué les flux.
Si la première hypothèse apparaît couverte par le système de responsabilité mis en place par l'article 25 de la loi, il n'est pas évident que la seconde hypothèse le soit également.
La Commission souhaite dès lors que les auteurs du projet clarifient ce point.