Le RGPD comp­tait déjà plus de 80 pages en 99 articles ; le légis­la­teur belge nous en offre 348 pages en 280 articles dans un pro­jet de loi de 864 pages…

Du grand art, comme le sou­ligne le Conseil d’État dans son avis (p. 404) :

L’examen par la sec­tion de légis­la­tion n’a en outre pas été faci­li­té par le carac­tère for­mel­le­ment inabou­ti de l’avant-projet.
Celui-ci com­porte encore de nom­breuses erreurs, notam­ment quant à la concor­dance entre le texte fran­çais et le texte néer­lan­dais, ain­si que dans les ren­vois internes, qui visi­ble­ment n’ont pas été sys­té­ma­ti­que­ment revus lors de l’élaboration des ver­sions suc­ces­sives de l’avant-projet.
Les règles de légis­tique for­melle sont éga­le­ment sou­vent mécon­nues.
Enfin, le com­men­taire des articles est tout autant défi­cient, cer­taines dis­po­si­tions en étant tota­le­ment dépour­vues.

Un pro­jet tout aus­si tor­pillé par l’an­cienne Commission de la vie pri­vée, deve­nue Autorité de pro­tec­tion des don­nées, mais voté à la hus­sarde par la Chambre des repré­sen­tants avant les vacances.

Spécificités belges 🇧🇪

Au rang des spé­ci­fi­ci­tés belges pour l’ap­pli­ca­tion du RGPD, en très bref :

Majorité numérique

0ans
majo­ri­té numé­rique

Uniquement pour les « ser­vices de l’information », c’est-à-dire la four­ni­ture déma­té­ria­li­sée de ser­vices à dis­tance.

Mesures supplémentaires à prendre pour des types de données sensibles

  • Obligation d’inventorier les caté­go­ries de per­sonnes y ayant accès, avec leur fonc­tion dans le trai­te­ment des don­nées
  • Obligation de tenir cet inven­taire à la dis­po­si­tion de l’Autorité de Protection des don­nées
  • Obligation au res­pect du carac­tère confi­den­tiel des don­nées par ces per­sonnes
  • Obligation d’inventorier les caté­go­ries de per­sonnes y ayant accès, avec leur fonc­tion dans le trai­te­ment des don­nées
  • Obligation de tenir cet inven­taire à la dis­po­si­tion de l’Autorité de Protection des don­nées
  • Obligation au res­pect du carac­tère confi­den­tiel des don­nées par ces per­sonnes
  • Mais avec des déro­ga­tions, notam­ment pour les avo­cats.

Obligation étendue de désigner un DPO (délégué à la protection des données)

Quand le trai­te­ment de don­nées reçues d’une auto­ri­té fédé­rale pré­sente un risque éle­vé pour les per­sonnes concer­nées, le res­pon­sable devra dési­gner un DPO, en plus d’ef­fec­tuer une étude d’im­pact.