We zijn erg blij om te zien dat u van ons platform houdt! Op hetzelfde moment, hebt u de limiet van gebruik bereikt... Schrijf u nu in om door te gaan.
Commission pour la Protection de la Vie Privée: Avis du 27 février 1997 (Belgique). RG 07/97
- Sectie :
- Rechtspraak
- Bron :
- Justel F-19970227-3
- Rolnummer :
- 07/97
Samenvatting :
Sommaire 1
Advies :
Voeg het document toe aan een map
()
om te beginnen met annoteren.
(La Commission de la protection de la vie privée,
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, en particulier les articles 10, alinéa 1er et 29;
Vu le rapport du Président,
Emet d'initiative, le 27 février 1997, l'avis d'initiative suivant :
I. OBJET DE L'AVIS :
Le présent avis vise à proposer un cadre pour l'exercice du droit d'accès contenu à l'article 10 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (ci-après, Loi relative au Traitement de Données Personnelles ou LTDP) relatives aux "données call" ou données d'appel et, dans la même optique, à faire des suggestions concernant une modification de la loi du 21 mars 1991 relative à la réforme du service de médiation.
II. SITUATION DE LA PROBLEMATIQUE A LA BASE DE L'AVIS :
Depuis fin 1996, Belgacom ne répond plus aux demandes émanant d'abonnés recevant des appels malveillants et visant à remettre à l'abonné lui-même des "listings" des appels entrants, mais ne donne plus suite qu'aux demandes d'un juge d'instruction. Pour motiver son refus, Belgacom invoque l'article 8 de la Convention Européenne des Droits de l'Homme, les articles 111 et 112 de la loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques, l'article 88 bis du Code Pénal et la Loi relative au Traitement de Données Personnelles. Ensuite, elle fait référence au projet de directive relative au traitement de données à caractère personnel dans le secteur des télécommunications, notamment des réseaux digitaux à intégration de services et des réseaux mobiles digitaux publics.
L'attitude de Belgacom oblige les victimes d'appels malveillants à déposer plainte avec constitution de partie civile auprès du juge d'instruction, une procédure entraînant des frais pouvant être pris en charge par l'auteur des appels malveillants, à condition que celui-ci soit condamné à les rembourser. En outre, il faut s'attendre à ce qu'elles renoncent à entreprendre une procédure contre les appelants parce que les victimes d'appels malveillants, en faisant appel au juge d'instruction, ne peuvent plus décider elles-mêmes de faire poursuivre l'appelant en justice.
Confrontés à cette nouvelle attitude de Belgacom, les abonnés ont tenté d'obtenir les données qui leur avaient été refusées en invoquant la LTDP, plus particulièrement le droit d'accès aux données les concernant qui leur est garanti par l'article 10, alinéa 1er de la LTDP. Toutefois, Belgacom continue à soutenir qu'elle ne peut pas répondre à une telle demande sans violer les dispositions susmentionnées garantissant toutes, dans une certaine mesure, le respect de la vie privée, en particulier celle des appelants.
III. SUR LE FOND :
La réponse à la question de savoir si un abonné victime d'un appel malveillant peut invoquer l'article 10 de la LTDP pour obtenir les données d'appel de Belgacom ou d'un autre opérateur de réseau (des données personnelles le concernant dans une base de données), grâce auxquelles l'abonné pourrait identifier l'appelant et pourrait donner aux faits la suite qui lui paraît la meilleure, suppose que deux questions trouvent préalablement une réponse :
1 s'agit-il de données à caractère personnel, lors de données d'appels, et
2 est-il question d'un traitement automatisé au sens de la LTDP ?
Données à caractère personnel
L'article 1er, alinéa 5 de la LTDP est libellé comme suit :
"Sont réputées " à caractère personnel ", les données relatives à une personne physique identifiée ou identifiable".
Les données d'appel concernent des appels téléphoniques et doivent être considérées comme des données à caractère personnel. En ce qui concerne l'appelé, le numéro de téléphone est lié à son identité. Quant aux numéros appelants, il s'agit soit de numéros que l'abonné connaît et dont il pense qu'ils concernent des personnes physiques (des abonnés qui ne sont pas nécessairement les personnes physiques effectuant l'appel), soit de numéros que l'abonné ne connaît pas mais dont il tentera de procéder à l'identification avec les abonnés correspondant.
Dès lors, les données d'appel doivent être considérées comme des données à caractère personnel.
Traitement automatisé
L'article 1er, alinéa 3 de la LTDP est libellé comme suit :
"Est dénommé " traitement automatisé ", tout ensemble d'opérations réalisées en tout ou en partie à l'aide de procédés automatisés et relatif à l'enregistrement et la conservation de données à caractère personnel, ainsi qu'à la modification, l'effacement, la consultation ou la diffusion de ces données."
Ces données dont l'objet d'un traitement. Des traitements automatisés sont pratiqués sur ces numéros et entraînent leur enregistrement dans une base de données.
C'est pourquoi les traitements des données d'appel par un opérateur de réseau concernant un abonné doivent être considérées comme un traitement automatisé.
Applicabilité de l'article 10 de la LTDP.
Belgacom (ou un autre opérateur de réseau) est-elle obligée, conformément à l'article 10, alinéa 1er de la loi, de communiquer à l'abonné toutes les données le concernant enregistrées dans une base de données ?
L'article 10, alinéa 1er de la loi est libellé comme suit :
"Toute personne justifiant de son identité a le droit d'obtenir communication des données qu'un traitement contient à son sujet. Elle est avertie de la faculté d'exercer les recours prévus aux articles 12 et 14 et, éventuellement, de consulter le registre public prévu à l'article 18. A cette fin, l'intéressé adresse une demande datée et signée au maître du fichier ou à toute autre personne désignée par le Roi."
Les données d'appel ne concernent pas seulement (l'appareil de) l'abonné mais également (celui que possède) l'appelant, au moins (celui de) l'abonné dont l'appareil est utilisé, en l'occurrence pour l'appel malveillant. Par conséquent, ils contiennent des données à caractère personnel relatives, d'une part, à l'appelant et, d'autre part, à l'appelé. On pourrait les définir comme des données à caractère personnel mixtes.
Pour cette raison, la Commission estime également que les intérêts de l'appelé et ceux de l'appelant doivent être pondérés, plus précisément le droit d'accès de l'abonné-enregistré d'une part, et le droit au respect de la vie privée de l'appelant d'autre part. Lorsqu'il s'agit d'appels malveillants, l'intérêt de l'appelant, auteur de faits répréhensibles, doit s'effacer devant celui de l'appelé-victime.
D'autre part, il faut veiller à ce que le droit de la personne enregistrée puisé dans l'article 10 de la LTDP ne fasse pas l'objet d'abus. Par exemple, on pensera ici à exercer le contrôle de trafic téléphonique des membres de la famille de la personne enregistrée. En outre, le droit au respect de la vie privée de l'appelant de bonne foi doit être assuré.
L'exercice du droit d'accès par l'appelé doit dès lors s'accompagner de sérieuses garanties pour l'appelant.
La Commission est d'avis qu'une garantie essentielle s'impose : au lieu de faire exercer le droit d'accès par la personne enregistrée elle-même, un tiers en serait responsable. Celui-ci doit offrir toutes les garanties en matière de neutralité, de confidentialité et de respect de la vie privée.
La Commission pense ici au service de médiation.
Conformément à l'article 43, alinéa 3 de la loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques (Loi de Réforme des Entreprises Publiques, ci-après LREP), le service de médiation a les missions suivantes :
"1) examiner toutes les plaintes des usagers ayant trait aux activités de l'entreprise publique;
2) s'entremettre pour faciliter un compromis à l'amiable des différends entre l'entreprise publique et les usagers;
3) émettre un avis à l'entreprise publique au cas où un compromis à l'amiable ne peut être trouvé; une copie de l'avis est adressé au plaignant;
4) se prononcer en tant qu'arbitre dans tout différend que l'entreprise publique et l'usager soumettent à un tel arbitrage par convention conclue après la naissance du différend."
"Le service de médiation peut, dans le cadre d'une plainte dont il est saisi, prendre connaissance, sans déplacement, des livres, de la correspondance, des procès-verbaux et généralement de tous les documents et de toutes les écritures de l'entreprise publique ayant trait directement à l'objet de la plainte. Il peut requérir des administrateurs, des agents et des préposés de l'entreprise publique toutes les explications ou informations et procéder à toutes les vérifications qui sont nécessaires pour son examen. L'information ainsi obtenue est traitée par le service de médiation comme confidentielle, lorsque la divulgation pourrait nuire à l'entreprise sur un plan général" (article 43, alinéa 4 de la LREP).
L'indépendance du service de médiation est garantie par l'article 44 de la LREP.
La Commission est consciente du fait que, bien que les missions et les compétences du service de médiation soient définies avec force détails par la LREP, l'exercice des droits de la personne enregistrée à sa place ne peut avoir lieu dans le cadre légal actuel.
Une extension des compétences du service de médiation doit s'accompagner d'autres garanties qui préviennent autant que possible la violation de la vie privée de l'appelant, à savoir l'appelant de bonne foi. A cet égard, le législateur s'inspirera de l'énumération non-exhaustive qui suit :
- la personne qui invoque son droit d'accès en vue de rechercher l'identité de l'appelant malveillant doit rendre les faits acceptables;
- afin de circonscrire autant que possible les dangers de la violation de la vie privée, l'accès ne peut concerner, pour le passé, que certaines périodes du jour bien déterminées et, pour l'avenir, une courte période renouvelable, quatorze jours par exemple;
- en aucun cas, l'accès ne peut concerner le numéro de téléphone mais uniquement le nom et éventuellement l'adresse de l'abonné de l'appareil appelant, sans qu'il faille établir ici une distinction selon que cet abonné dispose ou non d'un numéro privé.
PAR CES MOTIFS,
La Commission est d'avis que l'exercice du droit d'accès par la victime d'appels malveillants doit aller de pair avec l'introduction de garanties particulières en ce qui concerne la limitation dans le temps et la non-communication de numéros de téléphone;
En outre, la Commission estime que le droit d'accès doit inévitablement être exercé par une instance neutre et indépendante. Elle soumet l'idée de confier cette tâche au service de médiation instauré par l'article 43 de la loi portant réforme de certaines entreprises publiques économiques. Cette extension de compétence du service de médiation suppose une modification législative donnant une base légale à cette compétence.)
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, en particulier les articles 10, alinéa 1er et 29;
Vu le rapport du Président,
Emet d'initiative, le 27 février 1997, l'avis d'initiative suivant :
I. OBJET DE L'AVIS :
Le présent avis vise à proposer un cadre pour l'exercice du droit d'accès contenu à l'article 10 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (ci-après, Loi relative au Traitement de Données Personnelles ou LTDP) relatives aux "données call" ou données d'appel et, dans la même optique, à faire des suggestions concernant une modification de la loi du 21 mars 1991 relative à la réforme du service de médiation.
II. SITUATION DE LA PROBLEMATIQUE A LA BASE DE L'AVIS :
Depuis fin 1996, Belgacom ne répond plus aux demandes émanant d'abonnés recevant des appels malveillants et visant à remettre à l'abonné lui-même des "listings" des appels entrants, mais ne donne plus suite qu'aux demandes d'un juge d'instruction. Pour motiver son refus, Belgacom invoque l'article 8 de la Convention Européenne des Droits de l'Homme, les articles 111 et 112 de la loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques, l'article 88 bis du Code Pénal et la Loi relative au Traitement de Données Personnelles. Ensuite, elle fait référence au projet de directive relative au traitement de données à caractère personnel dans le secteur des télécommunications, notamment des réseaux digitaux à intégration de services et des réseaux mobiles digitaux publics.
L'attitude de Belgacom oblige les victimes d'appels malveillants à déposer plainte avec constitution de partie civile auprès du juge d'instruction, une procédure entraînant des frais pouvant être pris en charge par l'auteur des appels malveillants, à condition que celui-ci soit condamné à les rembourser. En outre, il faut s'attendre à ce qu'elles renoncent à entreprendre une procédure contre les appelants parce que les victimes d'appels malveillants, en faisant appel au juge d'instruction, ne peuvent plus décider elles-mêmes de faire poursuivre l'appelant en justice.
Confrontés à cette nouvelle attitude de Belgacom, les abonnés ont tenté d'obtenir les données qui leur avaient été refusées en invoquant la LTDP, plus particulièrement le droit d'accès aux données les concernant qui leur est garanti par l'article 10, alinéa 1er de la LTDP. Toutefois, Belgacom continue à soutenir qu'elle ne peut pas répondre à une telle demande sans violer les dispositions susmentionnées garantissant toutes, dans une certaine mesure, le respect de la vie privée, en particulier celle des appelants.
III. SUR LE FOND :
La réponse à la question de savoir si un abonné victime d'un appel malveillant peut invoquer l'article 10 de la LTDP pour obtenir les données d'appel de Belgacom ou d'un autre opérateur de réseau (des données personnelles le concernant dans une base de données), grâce auxquelles l'abonné pourrait identifier l'appelant et pourrait donner aux faits la suite qui lui paraît la meilleure, suppose que deux questions trouvent préalablement une réponse :
1 s'agit-il de données à caractère personnel, lors de données d'appels, et
2 est-il question d'un traitement automatisé au sens de la LTDP ?
Données à caractère personnel
L'article 1er, alinéa 5 de la LTDP est libellé comme suit :
"Sont réputées " à caractère personnel ", les données relatives à une personne physique identifiée ou identifiable".
Les données d'appel concernent des appels téléphoniques et doivent être considérées comme des données à caractère personnel. En ce qui concerne l'appelé, le numéro de téléphone est lié à son identité. Quant aux numéros appelants, il s'agit soit de numéros que l'abonné connaît et dont il pense qu'ils concernent des personnes physiques (des abonnés qui ne sont pas nécessairement les personnes physiques effectuant l'appel), soit de numéros que l'abonné ne connaît pas mais dont il tentera de procéder à l'identification avec les abonnés correspondant.
Dès lors, les données d'appel doivent être considérées comme des données à caractère personnel.
Traitement automatisé
L'article 1er, alinéa 3 de la LTDP est libellé comme suit :
"Est dénommé " traitement automatisé ", tout ensemble d'opérations réalisées en tout ou en partie à l'aide de procédés automatisés et relatif à l'enregistrement et la conservation de données à caractère personnel, ainsi qu'à la modification, l'effacement, la consultation ou la diffusion de ces données."
Ces données dont l'objet d'un traitement. Des traitements automatisés sont pratiqués sur ces numéros et entraînent leur enregistrement dans une base de données.
C'est pourquoi les traitements des données d'appel par un opérateur de réseau concernant un abonné doivent être considérées comme un traitement automatisé.
Applicabilité de l'article 10 de la LTDP.
Belgacom (ou un autre opérateur de réseau) est-elle obligée, conformément à l'article 10, alinéa 1er de la loi, de communiquer à l'abonné toutes les données le concernant enregistrées dans une base de données ?
L'article 10, alinéa 1er de la loi est libellé comme suit :
"Toute personne justifiant de son identité a le droit d'obtenir communication des données qu'un traitement contient à son sujet. Elle est avertie de la faculté d'exercer les recours prévus aux articles 12 et 14 et, éventuellement, de consulter le registre public prévu à l'article 18. A cette fin, l'intéressé adresse une demande datée et signée au maître du fichier ou à toute autre personne désignée par le Roi."
Les données d'appel ne concernent pas seulement (l'appareil de) l'abonné mais également (celui que possède) l'appelant, au moins (celui de) l'abonné dont l'appareil est utilisé, en l'occurrence pour l'appel malveillant. Par conséquent, ils contiennent des données à caractère personnel relatives, d'une part, à l'appelant et, d'autre part, à l'appelé. On pourrait les définir comme des données à caractère personnel mixtes.
Pour cette raison, la Commission estime également que les intérêts de l'appelé et ceux de l'appelant doivent être pondérés, plus précisément le droit d'accès de l'abonné-enregistré d'une part, et le droit au respect de la vie privée de l'appelant d'autre part. Lorsqu'il s'agit d'appels malveillants, l'intérêt de l'appelant, auteur de faits répréhensibles, doit s'effacer devant celui de l'appelé-victime.
D'autre part, il faut veiller à ce que le droit de la personne enregistrée puisé dans l'article 10 de la LTDP ne fasse pas l'objet d'abus. Par exemple, on pensera ici à exercer le contrôle de trafic téléphonique des membres de la famille de la personne enregistrée. En outre, le droit au respect de la vie privée de l'appelant de bonne foi doit être assuré.
L'exercice du droit d'accès par l'appelé doit dès lors s'accompagner de sérieuses garanties pour l'appelant.
La Commission est d'avis qu'une garantie essentielle s'impose : au lieu de faire exercer le droit d'accès par la personne enregistrée elle-même, un tiers en serait responsable. Celui-ci doit offrir toutes les garanties en matière de neutralité, de confidentialité et de respect de la vie privée.
La Commission pense ici au service de médiation.
Conformément à l'article 43, alinéa 3 de la loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques (Loi de Réforme des Entreprises Publiques, ci-après LREP), le service de médiation a les missions suivantes :
"1) examiner toutes les plaintes des usagers ayant trait aux activités de l'entreprise publique;
2) s'entremettre pour faciliter un compromis à l'amiable des différends entre l'entreprise publique et les usagers;
3) émettre un avis à l'entreprise publique au cas où un compromis à l'amiable ne peut être trouvé; une copie de l'avis est adressé au plaignant;
4) se prononcer en tant qu'arbitre dans tout différend que l'entreprise publique et l'usager soumettent à un tel arbitrage par convention conclue après la naissance du différend."
"Le service de médiation peut, dans le cadre d'une plainte dont il est saisi, prendre connaissance, sans déplacement, des livres, de la correspondance, des procès-verbaux et généralement de tous les documents et de toutes les écritures de l'entreprise publique ayant trait directement à l'objet de la plainte. Il peut requérir des administrateurs, des agents et des préposés de l'entreprise publique toutes les explications ou informations et procéder à toutes les vérifications qui sont nécessaires pour son examen. L'information ainsi obtenue est traitée par le service de médiation comme confidentielle, lorsque la divulgation pourrait nuire à l'entreprise sur un plan général" (article 43, alinéa 4 de la LREP).
L'indépendance du service de médiation est garantie par l'article 44 de la LREP.
La Commission est consciente du fait que, bien que les missions et les compétences du service de médiation soient définies avec force détails par la LREP, l'exercice des droits de la personne enregistrée à sa place ne peut avoir lieu dans le cadre légal actuel.
Une extension des compétences du service de médiation doit s'accompagner d'autres garanties qui préviennent autant que possible la violation de la vie privée de l'appelant, à savoir l'appelant de bonne foi. A cet égard, le législateur s'inspirera de l'énumération non-exhaustive qui suit :
- la personne qui invoque son droit d'accès en vue de rechercher l'identité de l'appelant malveillant doit rendre les faits acceptables;
- afin de circonscrire autant que possible les dangers de la violation de la vie privée, l'accès ne peut concerner, pour le passé, que certaines périodes du jour bien déterminées et, pour l'avenir, une courte période renouvelable, quatorze jours par exemple;
- en aucun cas, l'accès ne peut concerner le numéro de téléphone mais uniquement le nom et éventuellement l'adresse de l'abonné de l'appareil appelant, sans qu'il faille établir ici une distinction selon que cet abonné dispose ou non d'un numéro privé.
PAR CES MOTIFS,
La Commission est d'avis que l'exercice du droit d'accès par la victime d'appels malveillants doit aller de pair avec l'introduction de garanties particulières en ce qui concerne la limitation dans le temps et la non-communication de numéros de téléphone;
En outre, la Commission estime que le droit d'accès doit inévitablement être exercé par une instance neutre et indépendante. Elle soumet l'idée de confier cette tâche au service de médiation instauré par l'article 43 de la loi portant réforme de certaines entreprises publiques économiques. Cette extension de compétence du service de médiation suppose une modification législative donnant une base légale à cette compétence.)