Des règles particulières sont prévues par le RGPD et la loi belge lorsque les données sont utilisées à des fins journalistiques, universitaires, artistiques ou littéraires. De quoi s’agit-il exactement ?
Qui est impacté ?
- Les journalistes professionnels
La loi belge limite en effet les exemptions aux traitements des données à caractère personnel visant à informer le public, par un responsable du traitement qui s’impose des règles de déontologie journalistique. Tous les médias sont par contre visés.
Les exemptions visent à rendre le RGPD conciliable avec le droit à la liberté d’expression et la loi du 7 avril 2005 relative à la protection des sources.
- Les artistes et auteurs
Ni le RGPD ni la loi belge ne définissent malheureusement ces catégories. Nombreux seront sans doute ceux qui revendiqueront une fibre artistique !
- Les universitaires
À nouveau, pas de définition. Cette catégorie est par ailleurs nouvelle en droit belge, puisque la loi antérieure au RGPD se limitait à prévoir des exceptions aux fins de journalisme ou d’expression artistique ou littéraire.
Cette catégorie sera aussi souvent celle qui effectuera de la recherche scientifique ou historique, qui bénéficie aussi d’un traitement particulier déjà examiné. Les deux régimes devront donc être appliqués simultanément.
Pas d’interdiction de traiter les données “sensibles”
Ces trois catégories de responsable de traitements ne sont pas concernées par l’interdiction générale de traiter des données particulières ou des données judiciaires pénales.
Concernant ces dernières, auparavant, ce n’était possible que si le traitement se rapportait à des données rendues manifestement publiques par la personne concernée ou portait sur des données en relation étroite avec le caractère public, la personne concernée ou le fait dans lequel elle était impliquée. Il ne faut donc plus démontrer cela.
Par ailleurs, concernant les données judiciaires civiles, il n’y a plus d’interdiction de principe pour quiconque.
Quelles sont les dispenses par rapport aux droits des personnes concernées ?
Comme auparavant, ces trois catégories de responsables de traitements sont purement et simplement dispensées de porter spontanément à la connaissance des personnes concernées les informations relatives au traitement de données à leur sujet, de leur laisser accéder aux données ou de les rectifier.
En outre, puisque le RGPD a créé de nouveaux droits pour les personnes concernées, ils vont de pair avec de nouvelles exceptions pour les journalistes, universitaires et artistes. Ceux-ci ne devront pas faire droit à une opposition au traitement ni au retrait du consentement (et plus généralement, de devoir apporter la preuve du consentement selon les standards du RGPD, y compris pour les enfants). Ils ne devront pas non plus limiter le traitement ni assurer la portabilité de données.
Toutes ces exceptions aux droits des personnes concernées sont applicables sans devoir démontrer que l’exercice des droits mettrait en péril le droit à la liberté d’information etc.
Par contre, concernant le droit à l’effacement, le RGPD précise qu’il ne peut y être dérogé que si le traitement des données est nécessaire à la liberté d’expression et d’information. C’est somme toute logique puisque ce “droit à l’oubli” est issu d’une jurisprudence qui impose de mettre en balance respecte de la vie privée et du droit à la liberté d’information.
Enfin, de façon assez cohérente, les bénéficiaires de ces exemptions ne devront pas répercuter ce genre de demandes aux destinataires à qui les données ont été transférées.
Quelles sont les limites aux pouvoirs de l’Autorité de protection des données à leur égard ?
Comme auparavant, les pouvoirs de l’autorité de contrôle sont réduits si leur application compromettrait une publication, un projet ou constituerait une mesure de contrôle préalable à la publication d’un article :
- les pouvoirs d’enquête et de sanction de l’Autorité de contrôle ne sont pas applicables,
- il n’y a pas de dispense concernant la tenue d’un registre des traitements, mais il ne doit pas être mis à disposition de l’autorité de contrôle,
- en cas de violation de données, l’incident ne doit pas être notifié à l’Autorité de protection des données. Rien n’est prévu concernant la notification aux personnes concernées, mais les exceptions générales pourront bien sûr être invoquées,
- il n’y a pas de dispense de réaliser une analyse d’impact. Si elle est faite et qu’elle aboutit à constater un risque résiduel, l’autorité de contrôle ne doit toutefois pas être consultée.
Il faut toutefois ici démontrer en quoi l’application du RGPD serait assimilable à de la censure pour bénéficier de ce régime spécifique.
Impact sur les transferts hors UE ?
Si le transfert est nécessaire à la liberté d’expression et d’information, les journalistes, les universitaires, les artistes et les auteurs ne doivent pas non plus s’inquiéter s’ils transfèrent des données hors de l’Union européenne. Ils ne doivent donc pas s’assurer que le destinataire des données présente un niveau de protection adéquat, ni à défaut prendre des mesures contractuelles complémentaires.
Notre conseil :
Les responsables de traitement doivent être attentifs aux contours qui seront donnés par la jurisprudence à ces finalités journalistiques, universitaires, artistiques ou littéraires.
Ils devront aussi veiller à vérifier s’ils ne se trouvent pas également dans le champ de la recherche scientifique ou historique, ce qui engendre des obligations spécifiques.