Utilisation des cookies

Ce site internet utilise des cookies fonctionnels, d’analyses, et de réseaux sociaux dans le but de vous offrir une meilleure personnalisation et des fonctionnalités avancées lors de son utilisation. Cela nous permet aussi d'effectuer des statistiques d’utilisation pour optimiser votre expérience utilisateur. Pour poursuivre et faciliter votre navigation, vous pouvez directement accepter l’utilisation de cookies. Sinon, vous pouvez personnaliser l’utilisation ou refuser tous les cookies (hors cookies de fonctionnalité).

Politique de cookies

Personnalisation des cookies

Cookies d'analyses
Cookies fonctionnels
Cookies des Réseaux sociaux
Activé
Désactivé
Activé

Cookies d'analyses

Ces cookies nous permettent de déterminer le nombre de visites et les sources du trafic, afin de mesurer et d’améliorer les performances de notre site internet. 

Activé
Désactivé
Activé

Cookies fonctionnels

Ces cookies permettent d’améliorer et de personnaliser les fonctionnalités du site internet. Ils ne peuvent pas être désactivés, sinon une partie ou la totalité des services risqueraient de ne pas fonctionner correctement.

Activé
Désactivé
Activé

Cookies des Réseaux sociaux

Les Cookies « Réseaux sociaux » permettent de partager des contenues de notre site internet avec d’autres personnes ou de faire connaître à ces autres personnes votre consultation ou votre opinion concernant un contenu. 

06/11/2017
Chronique Juridique
Tomorrowland. Flicage des festivaliers

Où s’arrête la licéité du traitement ?

Tomorrowland, c’est 400000 festivaliers, plus de 200 pays représentés, de la musique, et la fête pendant deux week-end. Mais cette année, c’est également des dizaines de déçus, des festivaliers ayant reçu le remboursement de leur billet, un contrôle proactif ayant été effectué par la police fédérale.

Une absence de base légale

38 personnes se sont vu refuser l’accès au festival Tomorrowland en Belgique. Suite à leur achat, elles ont reçu un message leur indiquant que, pour des raisons de sécurité, leur inscription à l’évènement n’avait pas été validée par les services compétents. En effet, la police fédérale a « screené » l’ensemble des festivaliers enregistrés.

Cela est quelque peu étonnant, le site marchand ne mentionnait pas qu’un contrôle de sécurité sur la base des données personnelles des acheteurs était effectué.

Or, tout comme la législation française, les citoyens belges disposent de droits sur leurs données personnelles à raison de la préservation de leur vie privée. La loi du 8 décembre 1992 (Voir art. 9 la Loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (« loi vie privée ») vise à protéger le citoyen contre toute utilisation abusive de ses données à caractère personnel. Cette loi transposer la directive européenne 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) consacre des droits aux personnes concernées telles que :

  • droit à l’information quant au sort de ces données ;

  • droit d’interroger le responsable du traitement ;

  • droit d’accès aux données ;

  • droit de rectification ;

  • droit d’opposition ;

  • droit à l’oubli au-delà du délai nécessaire à la finalité annoncée.

Ainsi, leur droit d’information n’a pas été respecté. Les acquéreurs auraient dû être informés de la mise en place d’un contrôle basé sur l’utilisation de leurs données à caractère personnel.

Les festivaliers « refoulés » se sont alors tournés vers la Commission vie privée afin d’obtenir des explications sur ce contrôle.

Problème : la Commission vie privée, qui aurait dû être consultée, n’était pas au courant de ce contrôle général préventif.

Le motif avancé par le porte-parole de la police fédérale, Peter de Waele, est le suivant : il s’agirait d’une décision des bourgmestres (maires) de Rumst et de Boom « de faire procéder de manière proactive à un contrôle de chaque festivalier par la police fédérale. Toute personne qui est enregistrée dans la Banque de données nationale Générale de la police et qui se voit attribuer un avis négatif sur la base de sa personne se voit refuser l’accès au festival et est remboursée du ticket déjà acheté » (https://www.privacycommission.be/fr/la-police-reconsidère-les-refus-d’accès-à-tomorrowland).

Cependant, ce contrôle suscite de nombreuses interrogations, notamment relatives à la base légale de la décision. Selon les maires concernés, la base trouverait sa source dans une interprétation de la législation actuelle sur les contrôles d’identité. Or, il est improbable qu’une simple inscription à un festival de musique puisse suffire à réaliser un contrôle en masse.

La raison donnée en off est la suivante : en raison du nombre important de participants, les autorités ont effectué un contrôle de manière anticipée car il était impossible en pratique d’effectuer un contrôle d’identité sur place.

Une simple difficulté pratique ne saurait être assimilée à une base légale. Ce contrôle secret, qui n’a pas été autorisé par l’organe protégeant la vie privée et que les autorités peinent à légitimiser, donne la sensation que la liberté de la société est entravée.

Il est inquiétant qu’une personne se voit refuser l’accès à une manifestation culturelle sur le simple résultat d’un traitement automatisé émettant un avis négatif sur sa personne. Au-delà de vouloir assurer la sécurité, cet acte parait discriminatoire.

Trois personnes ont décidé de faire appel au juge des référés qui leur a octroyé le droit d’accéder au second week-end de l’évènement (https://www.rtbf.be/info/medias/detail_screening-a-tomorrowland-la-justice-donne-gain-de-cause-a-3-festivaliers-refuses?id=9669925).

Il a précisé que la police devait décider au cas par cas qui était autorisé à intégrer le festival. En revanche, elle a eu pour obligation de signifier les raisons du refus. Le juge a considéré qu’il était disproportionné que les trois personnes se soient vues refuser l'entrée sans en connaître les raisons.

La solution d’aujourd’hui ne pourra plus être la même demain avec l’entrée en vigueur du GDPR.

Le 25 mai 2018 s’appliquera le Règlement général relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données (RGPD) (Règlement européen n° 2016/679 du 27 avril 2016) qui réaffirme les principes dégagés par la Loi Informatique et Libertés (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) en renforçant les droits des personnes et responsabilise les entreprises dans le traitement des données.

Parmi les changements apportés au traitement des données, le fondement juridique de la licéité des traitements de données s’en trouve quelque peu modifiée concernant les traitements effectués par les autorités publiques. Même si cinq hypothèses sur les six déjà existantes depuis la directive 95/46 (Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données) ont été reprises, les autorités publiques ne pourront désormais plus se fonder sur l’intérêt légitime pour effectuer un traitement de données personnelles.

Dès lors qu’il appartient au législateur de prévoir par la loi la base juridique pour de tels traitements, les autorités publiques ne peuvent invoquer un simple intérêt légitime pour justifier ceux-ci (Considérant 47).

Ainsi, le RGPD, entrant en vigueur le 25 mai 2018, affirme de nouveau le principe de légalité. Si le traitement poursuivi par une autorité publique a pour base le nécessaire respect d’une obligation légale ou l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, ces causes devront se fonder sur une base légale relevant du droit de l’Union ou du droit de l’Etat membre.

Les finalités du traitement devront obligatoirement être définies par la législation.

Le principe est simple : « Sans base légale, pas de traitement ».