Information juridique intelligente
 Belgique | 1-800-335-6202

Extrait de l'arrêt n° 3/2021 du 14 janvier 2021 Numéro du rôle : 7135 En cause : le recours en annulation de l'article 221, § 2

As Enacted (Moniteur belge) Cited authorities 2 Cited in Related
Vincent

Extrait de l'arrêt n° 3/2021 du 14 janvier 2021

Numéro du rôle : 7135

En cause : le recours en annulation de l'article 221, § 2, de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel », introduit par l'ASBL « Fédération des Entreprises de Belgique ».

La Cour constitutionnelle,

composée des présidents F. Daoût et L. Lavrysen, et des juges T. Merckx-Van Goey, R. Leysen, M. Pâques, Y. Kherbache et T. Detienne, assistée du greffier P.-Y. Dutilleux, présidée par le président F. Daoût,

après en avoir délibéré, rend l'arrêt suivant :

  1. Objet du recours et procédure

    Par requête adressée à la Cour par lettre recommandée à la poste le 5 mars 2019 et parvenue au greffe le 6 mars 2019, l'ASBL « Fédération des Entreprises de Belgique », assistée et représentée par Me M. Grégoire, avocat à la Cour de cassation, et Me C. De Jonghe, avocat au barreau de Bruxelles, a introduit un recours en annulation de l'article 221, § 2, de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel » (publiée au Moniteur belge du 5 septembre 2018).

    (...)

  2. En droit

    (...)

    Quant à la disposition attaquée et à son contexte

    B.1. La partie requérante demande l'annulation de l'article 221, § 2, de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel » (ci-après : la loi du 30 juillet 2018).

    B.2. La loi du 30 juillet 2018 s'inscrit dans le cadre de la protection des données personnelles en droit belge, après l'adoption, par l'Union européenne, du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 « relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) » (ci-après : le RGPD).

    En vue de l'exécution du RGPD, le législateur belge a adopté une législation-cadre, constituée notamment de la loi du 3 décembre 2017 « portant création de l'Autorité de protection des données » (ci-après : la loi du 3 décembre 2017) et de la loi du 30 juillet 2018.

    En ce qui concerne le droit de l'Union européenne

    B.3. Le RGPD met en oeuvre un système de sanctions visant à garantir le respect des obligations des responsables de traitement des données à caractère personnel. Il existe plusieurs types de sanctions : outre les mesures correctrices prévues par le RGPD (article 58, paragraphe 2), les Etats membres mettent également en place des amendes administratives (article 83) et des sanctions pénales (article 84).

    B.4. L'article 83 du RGPD, intitulé « Conditions générales pour imposer des amendes administratives », dispose :

    1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

    2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants :

    a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi;

    b) le fait que la violation a été commise délibérément ou par négligence;

    c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

    d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32;

    e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;

    f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs;

    g) les catégories de données à caractère personnel concernées par la violation;

    h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;

    i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;

    j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42; et

    k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

    3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d'opérations de traitement liées, le montant total de l'amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

    4. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu :

    a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des

    articles 8, 11, 25 à 39, 42 et 43;

    b) les obligations incombant à l'organisme de certification en vertu des articles 42 et 43;

    c) les obligations incombant à l'organisme chargé du suivi des codes de conduite en vertu de l'article 41, paragraphe 4.

    5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu :

    a) les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;

    b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22;

    c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;

    d) toutes les obligations découlant du droit des Etats membres adoptées en vertu du chapitre IX;

    e) le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, ou le fait de ne pas accorder l'accès prévu, en violation de l'article 58, paragraphe 1.

    6. Le non-respect d'une injonction émise par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, fait l'objet, conformément au paragraphe 2 du présent article, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

    7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d'adoption de mesures correctrices en vertu de l'article 58, paragraphe 2, chaque Etat membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.

    8. L'exercice, par l'autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l'Union et au droit des Etats membres, y compris un recours juridictionnel effectif et une procédure régulière.

    9. Si le système juridique d'un Etat membre ne prévoit pas d'amendes administratives, le présent article peut être appliqué de telle sorte que l'amende est déterminée par l'autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les Etats membres concernés notifient à la Commission les dispositions légales qu'ils adoptent en vertu du présent paragraphe au plus tard...

Pour continuer la lecture

SOLLICITEZ VOTRE ESSAI

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT