Profession relativement méconnue, ils sont plus de 550 Huissiers de Justice à signifier des actes, réaliser des constats, ou encore à procéder à la vente judiciaire ou volontaire des biens mobiliers.  Au quotidien, ces professionnels du droit traitent nombre de données, parfois (très) sensibles et ne sont pas toujours armés face aux défis qu’apportent le traitement et la protection des données à caractère personnel.

Un problème de taille ?

Si les Huissiers de Justice sont relativement peu nombreux par rapport à d’autres professionnels du droit – on dénombrait 548 Huissiers de Justice en 2017 contre plus de 18.000 avocats -, les Huissiers de Justice travaillent moins régulièrement « en solo » que leurs homologues Avocats.  En 2017, on dénombrait 8,44 ETP par étude de Huissiers de Justice contre seulement 2,47 ETP par cabinet d’Avocats.

Néanmoins, il est patent de constater que les Huissiers de Justice travaillent dans des petites structures, près de 46 % d’entre-elles se composent de moins de 5 personnes et plus de 73 % sont composées de moins de 10 personnes.

Lorsque l’on se pose dans une optique de traitement et de protection des données à caractère personnel, c’est un problème majeur puisque la majorité des Études de Huissiers de Justice ne sont pas en mesure de s’assurer correctement de la protection des données à caractère personnel.

Données sensibles…

Pourtant, les Huissiers de Justice jonglent au quotidien avec des données sensibles, voir très sensibles.  S’ils sont bien sûr aux premières loges pour détenir des données relatives aux impayés et aux données d’insolvabilités des débiteurs, ils le sont également pour d’autres données plus sensibles encore.  En effet, les Huissiers de Justice sont quotidiennement requis pour citer des prévenus à comparaitre en matière pénale, ou pour signifier les jugements rendus en la matière.

Faut-il rappeler que le Règlement Général sur la Protection des Données prévoit un article spécifiquement pour ces données :

« Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un ‘État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique. » R.G.P.D. – Article 10

Par ailleurs, de par leur fonction, les Huissiers de Justice ont accès à un grand nombre de bases de données telles que le Registre National, le Fichier Central des Avis de saisie, de délégation, de cession, de règlement collectif de dettes et de protêt, les registres de la DIV, de la Banque Carrefour de la Sécurité Sociale ou encore le Registre des Contrats de Mariage.

Huissiers de Justice et numérisation de la Justice

Depuis la dernière décennie, les Huissiers de Justice sont véritablement au cœur de la numérisation de la Justice.  En 2014 est entrée en application une loi de 2000 mettait en place un fichier central consistant en une centralisation électronique des données.  Il s’agit ni plus ni moins qu’une base de données nationale reprenant les avis de saisies, de délégations, de cessions et de règlements collectifs de dettes.

En 2015, la loi Pot Pourri I a instauré la procédure de recouvrement des dettes d’argent non contestées (art. 1394/20 à 1394/27 du Code Judiciaire) et une nouvelle base de données reprenant l’ensemble des informations relatives à ces procédures à vu le jour.  S’il est question actuellement de dossiers en B2B, gageons que cette procédure soit étendue aux particuliers dans les années à venir.

Enfin, comment évoquer la numérisation de la justice sans énumérer l’arrivée de la signification électronique.  Désormais, tout acte, tant en matière civile qu’en matière pénale, peut être signifié par la voie électronique.  En matière pénale, une plate-forme a été conçue afin de permettre au Ministère Public de réaliser les demandes de signification qui seront automatiquement transférées aux Huissiers de Justice.  Cette faculté de réaliser une signification électronique d’un acte s’accompagne également d’un registre ou seront consignés tous les actes réalisés par les Huissiers de Justice, électroniquement ou physiquement…

Des mesures mises en place pour assister la profession

S’il faut souligner que des mesures ont été mises en place pour assister les Huissiers de Justice (organisation d’une conférence, de formations, équipe de 3 DPO internes à disposition des études (DPO as a Service),  documentation, …), certaines études n’ont, plus de 18 mois après l’entrée en vigueur du RGPD, pas « pris la balle au bond » et n’ont pas adapté leur organisation en vue de se conformer au Règlement.

La Chambre Nationale des Huissiers de Justice compte néanmoins poursuivre le travail déjà entamé.  Dans son rapport annuel de 2017, celle-ci déclarait :

la CNHB a l’intention de rester un des meilleurs étudiants de la classe et d’être la première profession juridique à adopter un « Code de Conduite ».  Ce « Code de conduite » est une sorte de déontologie axée sur la protection des données, dans lequel la profession va réglementer un certain nombre de questions pratiques en vue d’assurer la conformité au RGPD et qui sera approuvé par l’Autorité de protection des données afin d’éviter toute discussions futures sur les sujets traités.  Ce « Code de Conduite » est une sorte de ruling avec une autorité de contrôle.

Il n’en demeure pas moins – compte-tenu des spécificités de la profession et de tous les éléments mis en avant dans cet article – que l’ensemble des acteurs, Huissiers de Justice, candidats, stagiaires et employés (soit plus de 2.400 personnes en Belgique) soient conscientisés et formés sur la protection des données à caractère personnel, et que les quelques 285 études belges se mettent, ou continue à se mettre en conformité.

La question de l’obligation de nomination d’un DPO au sein des études de Huissiers de Justice

Les Huissiers de Justice sont-ils dans l’obligation de nommer un Délégué à la Protection des Données ?

Ce qu’en dit le R.G.P.D.

Article 37 – Désignation du délégué à la protection des données

1.   Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

[…]

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

[…]

Comme souvent, pour répondre à la question de l’obligation de nomination d’un DPO, il faut pouvoir répondre aux questions suivantes:

  • Que signifie « les activités de base » du responsable du traitement ou du sous-traitant ?
  • Qu’est-ce qu’un suivi régulier et systématique « à grande échelle » des personnes concernées ?

Afin de répondre à ces questions, il est intéressant de consulter les « Lignes directrices concernant les délégués à la protection des données (DPD) » édictée par le Groupe de Travail « Article 29 » sur la protection des données (WP 243 rev.01).

Activités de base

Le Groupe de Travail « Article 29 » déclare que les « activités de base » peuvent être considérées comme les opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant.

Grande échelle

Le Groupe de Travail « Article 29 » met en avant le considérant 91 du RGPD qui donne certaines orientations par rapport à la notion de « grande échelle ».

Considérant 91

« Cela devrait s’appliquer en particulier aux opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l’état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu’à d’autres opérations de traitement qui engendrent un risque élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces opérations, il est plus difficile pour ces personnes d’exercer leurs droits. Une analyse d’impact relative à la protection des données devrait également être effectuée lorsque des données à caractère personnel sont traitées en vue de prendre des décisions relatives à des personnes physiques spécifiques à la suite d’une évaluation systématique et approfondie d’aspects personnels propres à des personnes physiques sur la base du profilage desdites données ou à la suite du traitement de catégories particulières de données à caractère personnel, de données biométriques ou de données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes. Une analyse d’impact relative à la protection des données est de même requise aux fins de la surveillance à grande échelle de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques sont utilisés, ou pour toute autre opération pour laquelle l’autorité de contrôle compétente considère que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, en particulier parce qu’elles empêchent ces personnes d’exercer un droit ou de bénéficier d’un service ou d’un contrat, ou parce qu’elles sont effectuées systématiquement à grande échelle. Le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel. Dans de tels cas, une analyse d’impact relative à la protection des données ne devrait pas être obligatoire. »

Le Groupe de Travail « Article 29 » recommande les facteurs suivants, en particulier, pour considérer si le traitement est mis en œuvre « à grande échelle » :

  • Le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée;
  • Le volume de données et/ou le spectre des données traitées;
  • La durée, ou la permanence, des activités de traitement des données;
  • L’étendue géographique de l’activité de traitement

Sur la base de ces recommandations, l’Autorité de Protection des Données belge a défini des exemples de traitement à grande échelle, mais aussi et surtout des traitements qui ne sont pas considérés comme « un traitement à grande échelle » :

Exemples d’un traitement qui n’est pas considéré comme un traitement à grande échelle :

  • le traitement de données de patients par un médecin individuel ;
  • le traitement de données à caractère personnel relatives à des condamnations et infractions par un avocat individuel.

Qu’en conclure ?

Si l’étude de Huissiers de Justice traite des affaires en matière pénale, compte-tenu de la définition obtenue d’une « activité de base », on peut considérer que dans tous les cas, elle doit nommer un Délégué à la Protection des Données.  L’étude doit en effet appliquer l’Article 37, §1 point c) du RGPD détaillé plus avant.

Pour le cas d’une étude qui ne traite pas des affaires en matière pénale, il faut déterminer si elle effectue des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées.

Compte-tenu de l’exemple fourni par l’Autorité de Protection des Données, on peut considérer qu’un Huissier de Justice individuel, par analogie à l’exemple de l’Avocat individuel, ne réalise pas un suivi régulier et systématique à grande échelle et n’est dès lors pas obligé de nommer un DPO.  À contrario, une Association de Huissiers de Justice (de minimum 2 Huissiers de Justice), à priori, doit nécessairement nommer un DPO.

Mais attention : Faut-il rappeler que les Huissiers de Justice traitent un grand nombre de données, parfois (très) sensibles !?  Si textuellement, la nomination d’un DPO n’est pas requise pour un Huissier de Justice individuel qui ne traite pas d’affaires en matière pénale, il peut néanmoins être utile, voir indispensable, si pas de nommer un Délégué à la Protection des Données, de se faire accompagner pour s’assurer malgré tout de respecter le RGPD et de protéger les données à caractère personnel.