La protection de la vie privée passe en grande partie par la protection de nos données à caractère personnel. À l’ère du numérique, ces données sont constamment récoltées, traitées, croisées, parfois sans que nous en soyons pleinement conscients. Comprendre ce que sont ces données et comment la loi les encadre est essentiel pour faire valoir ses droits.
Qu’est-ce qu’une donnée à caractère personnel ?
Une donnée à caractère personnel est toute information qui permet d’identifier une personne, directement ou indirectement, sans que cela implique la mise en œuvre de moyens disproportionnés. Cela inclut par exemple :
-
- un nom ou un prénom,
- une adresse email ou postale,
- un numéro de téléphone,
- une photo (qui est aussi protégée par le droit à l’image),
- une adresse IP, un identifiant de compte, etc.
On parle de traitement de données dès qu’on effectue la moindre opération sur ces informations : collecte, enregistrement, stockage, consultation, modification, partage, voire effacement.
Des traitements omniprésents
Aujourd’hui, nos données sont traitées dans de nombreuses situations du quotidien :
-
- lorsque l’on commande en ligne,
- lorsqu’on se crée un profil sur un réseau social,
- lorsqu’on achète un billet de train,
- ou simplement en naviguant sur un site internet.
Ces traitements sont souvent invisibles, mais bien réels. Ils sont le plus souvent opérés par des algorithmes, des data-brokers, ou des IA, qui analysent nos comportements et en tirent des profils (de consommation) et des profits !
Le traitement de données est-il toujours légal ?
Non, le traitement n’est permis que dans certains cas bien définis par le RGPD. Voici les principales bases légales autorisant un traitement :
-
- Le consentement : la personne concernée accepte clairement, après avoir été informée, que ses données soient utilisées à des fins précises. Vous trouverez ces différents détails dans les pages « Conditions Générales d’utilisation » ou encore « Politique de confidentialité » des sites internet ou application que vous utilisez. Acceptez ces conditions n’est donc pas anodin !
- Une obligation légale : par exemple, un employeur doit transmettre certaines données à l’ONSS.
- La sauvegarde de l’intérêt vital de la personne : par exemple, dans une situation d’urgence médicale pour soigner quelqu’un d’inconscient.
- L’exécution d’un contrat : comme lors d’un prêt bancaire.
- Si le traitement est nécessaire pour exécuter une mission d’intérêt public
- L’intérêt légitime du responsable du traitement : à condition que cela ne porte pas atteinte aux droits et libertés de la personne concernée.
Le consentement n’est donc pas toujours requis, mais une information claire doit toujours être donnée à la personne dont les données sont traitées.
Quelles sont les obligations du responsable du traitement ?
Toute organisation ou personne qui traite des données personnelles doit :
-
- informer les personnes concernées du traitement de leurs données,
- expliquer la finalité (à quoi vont servir ces données),
- permettre aux personnes d’accéder à leurs données, de les corriger si nécessaire, et de s’opposer à certains usages (comme le marketing direct).
Le responsable du traitement ne peut pas utiliser les données pour autre chose que ce qui a été annoncé. Le but poursuivi doit aussi être légitime. Cela signifie que les intérêts du responsable du traitement doivent être en équilibre avec les intérêts de la personne concernée. Il doit ainsi veiller à ce que le traitement soit proportionné et justifié. Par exemple :
-
- un club de fitness ne peut pas revendre la liste de ses membres à une entreprise de cures minceur ;
- envoyer une pub pour une assurance obsèques à toutes les personnes approchant 60 ans, juste en se basant sur leur âge, n’est pas une finalité légitime.
Dans tous les cas donc, celui qui traite des données doit définir l’objectif légitime de ce traitement, il doit informer la personne concernée et il doit se trouver dans un des six cas où le traitement est permis par la loi.
Un contrôle indépendant : l’Autorité de protection des données (APD)
En Belgique, c’est l’Autorité de protection des données (anciennement Commission de la vie privée) qui veille au respect de la législation. Elle peut être saisie par toute personne estimant que ses droits n’ont pas été respectés.
Elle peut proposer une médiation, exiger la cessation d’un traitement illicite, voire infliger des sanctions financières.
Le registre des traitements : une obligation depuis le RGPD
Depuis l’entrée en vigueur du RGPD le 25 mai 2018, toute organisation doit tenir un registre des traitements. Ce document recense tous les traitements de données mis en œuvre, leur finalité, leur durée, les personnes concernées, les destinataires, etc.
Les petites structures (moins de 250 salariés) peuvent être dispensées dans certains cas, mais cette dérogation est difficile à justifier. Il est donc conseillé de toujours documenter ses traitements.
Et les mineurs ?
Les mineurs sont juridiquement considérés comme incapables de consentir seuls à l’utilisation de leurs données. Ce sont leurs parents ou représentants légaux qui doivent donner leur accord.
Depuis mars 2018, l’inscription sur les réseaux sociaux est interdite avant l’âge de 13 ans. Toutefois, en pratique, de nombreux jeunes contournent cette règle en modifiant leur date de naissance. Les plateformes vérifient rarement l’âge réel.
Cela souligne l’importance d’une éducation au numérique : il ne suffit pas de poser des règles, encore faut-il comprendre les enjeux de vie privée derrière.
Quelles sont les exceptions ?
Certaines situations échappent à l’application stricte de la loi sur la vie privée :
-
- Les usages strictement personnels ou domestiques (par exemple, un carnet d’adresses privé ou un agenda personnel).
- Les traitements réalisés dans le cadre de la liberté d’expression, par des journalistes, artistes ou écrivains.
Pour aller plus loin sur ces sujets, voir aussi nos articles :
- Qu’est-ce que la vie privée ?
- Le droit à l’oubli
- Comment s’opposer au traitement de nos données à caractère personnel ?
MAJ 2025