C’est ce qu’a confirmé la Cour constitutionnelle dans son arrêt du 14 janvier 2021 en rejetant le recours en annulation de la Fédération des Entreprises de Belgique (FEB) qui était dirigé contre l’article 221 § 2 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
Cet article stipule en effet l’absence d’amendes administratives aux autorités publiques ainsi qu’à leurs préposés ou mandataires en cas de violation du Règlement Général européen sur la Protection des Données (RGPD), sauf s’il s’agit de personnes morales de droit public qui offrent des biens ou des services sur un marché (à l’instar de celles qui « sont actives sur le marché du transport, de la poste et de la livraison de colis, de la téléphonie, de la communication » selon les travaux parlementaires).
En écho aux critiques formulées à l’époque sur le projet de loi correspondant par le Conseil d’Etat (B.9) et par feu la Commission de la Protection de la Vie Privée (B.10), la FEB y avait vu une différence de traitement inacceptable par rapport aux entreprises et autres personnes de droit privé, laquelle serait notamment contraire au principe d’égalité et de non-discrimination visé aux articles 10 et 11 de la Constitution, puisqu’en ce qui les concerne, des amendes administratives peuvent leur être imposées.
Las, la Cour constitutionnelle a considéré que cette différence de traitement reposait sur un critère objectif et était raisonnablement justifiée (B.25 et suivants). De fait, cela ne vise que les autorités publiques et leurs préposés ou mandataires qui n’assument que des missions de service public et ne doivent servir que l’intérêt général. Les autorités publiques qui sont susceptibles d’entrer en concurrence, d’une manière ou d’une autre, avec les acteurs privés soumis aux obligations du RGPD n’en bénéficient par contre pas. Par ailleurs, la non-application de ces amendes administratives a été motivée, dit la Cour, par la nécessité légitime d’assurer la continuité du service public et de ne pas mettre en péril l’exercice d’une mission d’intérêt général, ce qui aurait pu être le cas si des amendes administratives étaient imposées.
La Cour constitutionnelle a également rappelé que les autorités publiques concernées n’étaient toutefois pas libres d’agir comme elles l’entendent et qu’elles s’exposent toujours à d’autres mesures correctrices, des poursuites civiles et/ou des sanctions pénales en cas de violation du RGPD. Pour la Cour, le législateur belge a pu raisonnablement considérer que ces mesures alternatives étaient suffisamment dissuasives, et ce sans compter que l’article 83 (7) du RGPD lui-même laissait la possibilité à chaque État membre d’établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.
Enfin, cet arrêt nous donne l’occasion de rappeler ce qu’est une « autorité publique » dans le cadre de la réglementation relative aux données à caractère personnel. En effet, l’article 5 de la loi précitée du 30 juillet 2018 la définit comme étant :
- L’état fédéral, les entités fédérées et les autorités locales
- les personnes morales de droit public qui dépendent de l’Etat fédéral, des entités fédérées ou des autorités locales
- les personnes, quelles que soient leur forme et leur nature qui
- ont été créées pour satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial, et
- sont dotées de la personnalité juridique, et
- dont soit l’activité est financée majoritairement par les autorités publiques ou organismes mentionnés au 1° ou 2°, soit la gestion est soumise à un contrôle de ces autorités ou organismes, soit plus de la moitié des membres de l’organe d’administration, de direction ou de surveillance sont désignés par ces autorités ou organismes
- les associations formées par une ou plusieurs autorités publiques visées au 1°, 2° ou 3°.
Cette définition est, en substance, reprise de la loi du 4 mai 2016 relative à la réutilisation des informations du secteur public. Or, comme l’illustrent les travaux parlementaires correspondants, cela peut donc concerner « des personnes morales de droit privé à certaines conditions bien précises », à l’instar par exemple d’une ASBL.
En d’autres termes, il est possible que certaines personnes morales de droit privé ignorent encore aujourd’hui qu’elles constituent des « autorités publiques » en cette matière si elles répondent aux conditions légales précitées. En ce cas, cela peut être une « bonne nouvelle » puisqu’il ne serait alors pas possible de leur imposer des amendes administratives en cas de violation du RGPD, ni même d’ailleurs à leurs préposés ou mandataires. Le « revers de la médaille », c’est qu’il leur importe de supporter certaines obligations associées à ce statut, notamment celle de désigner un Data Protection Officer (DPO), et ce conformément à l’article 37 (1) (a) du RGPD.
Cet arrêt n° 3/2021 de la Cour constitutionnelle est disponible ici :
La loi du 30 juillet 2018 est, quant à elle, disponible ici
https://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=fr&la=F&cn=2018073046&table_name=loi
De même que le RGPD
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=fr