30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Sous-Titre 1.er De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les services de renseignements et de sécurité
Chapitre I.er Définitions
Article 72
§ 1
er
Les définitions visées à l'article 26, 1° à 6°, 9°, 11° à 14°, 16° et 17°, s'appliquent au présent sous-titre.
§ 2
Pour l'application du présent sous-titre, on entend par:
- 1°
- “les services de renseignement et de sécurité”: la Sûreté de l'État et le Service Général du Renseignement et de la Sécurité visés à la loi du 30 novembre 1998 organique des services de renseignement et de sécurité;
- 2°
- “le responsable du traitement”: une personne physique ou morale, une autorité publique, un service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement;
- 3°
- “la loi du 30 novembre 1998”: la loi du 30 novembre 1998 organique des services de renseignement et de sécurité;
- 4°
- “la loi du 18 juillet 1991”: la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace;
- 5°
- “la loi du 11 décembre 1998”: [la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé];
- 6°
- “autorité de contrôle”: une autorité publique indépendante chargée par la loi de surveiller l'application de la présente loi;
- 7°
- “le Comité permanent R”: le Comité permanent de contrôle des services de renseignement visé à la loi du 18 juillet 1991 chargé du contrôle de l'application du présent sous-titre en application de l'article 95.
Chapitre II Champ d'application
Article 73
Le présent sous-titre s'applique à tout traitement de données à caractère personnel par les services de renseignement et de sécurité et leurs sous-traitants effectués dans le cadre des missions desdits services visés aux articles 7 et 11 de la loi du 30 novembre 1998 ainsi que par ou en vertu de lois particulières.
Les titres 1er, 2, 4, 5 et 7 de la présente loi ne s'appliquent pas aux traitements visés à l'alinéa 1er. Dans le titre 6, seuls les articles 226, 227 et 230 s'appliquent.
Chapitre III Conditions générales du traitement
Article 74
Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants:
- 1°
- lorsque la personne concernée a indubitablement donné son consentement;
- 2°
- lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée;
- 3°
- lorsque le traitement est utile au respect d'une obligation à laquelle le service de renseignement et de sécurité concerné est soumis par ou en vertu d'une loi;
- 4°
- lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou une autorité publique à laquelle les données à caractère personnel sont communiquées.
Article 75
Les données à caractère personnel sont:
- 1°
- traitées loyalement et licitement;
- 2°
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, scientifiques ou statistiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par les articles 99 à 104;
- 3°
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement;
- 4°
- exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables sont prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.
Chapitre IV Nature des données à caractère personnel
Article 76
Dans l'intérêt de l'exercice de leurs missions, les services de renseignement et de sécurité traitent des données à caractère personnel de toute nature, en ce comprises celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, celles qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes.
Chapitre V Conservation des données à caractère personnel
Article 77
Les données à caractère personnel sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées et selon les modalités déterminées dans le cadre de l'article 21 de la loi du 30 novembre 1998.
Chapitre VI Droits de la personne concernée
Article 78
Lors du traitement de données à caractère personnel la concernant, toute personne physique a droit à la protection de ses libertés et droits fondamentaux, notamment à la protection de ses données à caractère personnel.
Article 79
La personne concernée a le droit de demander:
- 1°
- la rectification ou la suppression de ses données à caractère personnel inexactes;
- 2°
- la vérification auprès du Comité permanent R du respect des dispositions du présent sous-titre.
Article 80
Les droits visés à l'article 79 s'exercent, sans frais, par l'intermédiaire du Comité permanent R, à l'initiative de la personne concernée justifiant de son identité.
Le Comité permanent R effectue les vérifications et communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.
Les modalités d'exercice de ces droits sont déterminées par la loi.
Article 81
Le Comité permanent R et les services de renseignement et de sécurité tiennent un journal des demandes d'exercice des droits par les personnes concernées.
Article 82
Une décision produisant des effets juridiques à l'égard d'une personne ne peut pas être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
L'interdiction prévue à l'alinéa 1er ne s'applique pas lorsque la décision est fondée sur une disposition prévue par ou en vertu d'une loi ou lorsqu'elle est nécessaire pour la sauvegarde d'un intérêt public important.
Chapitre VII Obligations du responsable du traitement et du sous-traitant
Section 1.re Obligations générales
Article 83
Le responsable du traitement:
- 1°
- fait toute diligence pour tenir les données à caractère personnel à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance du présent sous-titre;
- 2°
- veille à ce que, pour les personnes agissant sous son autorité, l'accès aux données à caractère personnel et les possibilités de traitement soient limités à ce qui est utile à l'exercice de leurs fonctions ou aux besoins du service;
- 3°
- informe les personnes agissant sous son autorité des dispositions du présent sous-titre et de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel.
Article 84
Lorsque le traitement est confié à un sous-traitant, le responsable du traitement doit:
- 1°
- choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements;
- 2°
- veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles;
- 3°
- fixer dans le contrat la responsabilité du sous-traitant;
- 4°
- convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement et qu'il est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu en application du présent sous-titre;
- 5°
- consigner par écrit ou sur un support électronique les éléments du contrat relatifs à la protection des données à caractère personnel et les exigences relatives aux mesures visées aux 3° et 4°.
Article 85
Le sous-traitant est soumis aux mêmes obligations que celles qui incombent au responsable du traitement.
Le sous-traitant ne peut pas confier le traitement de données à caractère personnel à un autre sous-traitant, sauf autorisation expresse du responsable du traitement.
Article 86
Toute personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf sur la base d'une obligation imposée par ou en vertu d'une loi.
Section 2 Responsables conjoints du traitement
Article 87
Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
Un accord définit les obligations respectives des responsables conjoints de traitement, notamment en ce qui concerne l'exercice des droits de la personne concernée et la communication des données à caractère personnel, sauf si leurs obligations respectives sont définies par ou en vertu d'une loi.
Un seul point de contact pour les personnes concernées est désigné dans l'accord. Les responsables conjoints du traitement incluent ce point de contact dans le registre visé à l'article 90.
Section 3 Sécurité des données à caractère personnel
Article 88
Le responsable du traitement ainsi que le sous-traitant prennent les mesures techniques et organisationnelles appropriées requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.
Ces mesures assurent un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à caractère personnel à protéger et des risques potentiels.
Article 89
§ 1
er
En cas de brèche de sécurité susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement concerné la notifie au Comité permanent R dans les meilleurs délais et si possible, 72 heures après en avoir pris connaissance.
§ 2
Le sous-traitant notifie au responsable du traitement toute brèche de sécurité dans les meilleurs délais.
§ 3
La notification visée aux paragraphes 1
er et 2 décrit ou communique, à tout le moins:
- 1°
- la nature de la brèche de sécurité y compris, si possible, le nombre estimé de personnes et d'enregistrements de données à caractère personnel concernés;
- 2°
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
- 3°
- les conséquences probables de la brèche de sécurité;
- 4°
- les mesures que le responsable du traitement ou le sous-traitant a prises ou propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Section 4 Registres
Article 90
§ 1
er
Le responsable du traitement tient un registre, classifié au sens de la loi du 11 décembre 1998, des banques de données des services de renseignement et de sécurité et de celles mises à leur disposition.
Ce registre comporte les informations suivantes:
- 1°
- pour les banques de données des services de renseignement et de sécurité:
- a)
- les coordonnées du responsable du traitement et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données;
- b)
- les finalités du traitement;
- c)
- les catégories de destinataires auxquels des données à caractère personnel peuvent être communiquées;
- d)
- dans la mesure du possible, les délais prévus pour l'effacement des données à caractère personnel;
- e)
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 88;
- 2°
- pour les banques de données mises à la disposition des services de renseignement et de sécurité:
- a)
- les coordonnées du responsable du traitement et, si possible pour les pays hors de l'Union européenne le service gestionnaire de la banque de données et, le cas échéant, des responsables conjoints du traitement, et du délégué à la protection des données;
- b)
- les finalités du traitement par le service de renseignement et de sécurité.
§ 2
Chaque sous-traitant tient un registre, classifié au sens de la loi du 11 décembre 1998, de toutes les catégories d'activités de traitement effectuées pour le compte d'un responsable du traitement.
Ce registre comprend les éléments suivants:
- 1°
- les coordonnées du sous-traitant et du responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les coordonnées du délégué à la protection des données;
- 2°
- les catégories de traitements effectués pour le compte du responsable du traitement;
- 3°
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 88.
§ 3
Les registres visés aux paragraphes 1er et 2 se présentent sous une forme écrite y compris la forme électronique.
§ 4
Le responsable du traitement met le registre à la disposition du Comité permanent R à sa demande.
Le sous-traitant met le registre à la disposition du responsable du traitement ainsi qu'à la disposition du Comité permanent R à sa demande.
Section 5 Délégué à la protection des données
Article 91
§ 1
er
Le responsable du traitement et, le cas échéant, le sous-traitant désignent un délégué à la protection des données. Cette décision est communiquée au Comité permanent R.
Le délégué à la protection des données est titulaire d'une habilitation de sécurité de niveau “très secret”, au sens de la loi du 11 décembre 1998.
§ 2
Le délégué à la protection des données ne peut pas être sanctionné en raison de l'exercice de ses fonctions. Il ne peut pas être relevé de ses fonctions en raison de l'exercice de ses missions, sauf s'il a commis une faute grave ou s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions.
Le délégué à la protection des données peut s'adresser au Comité permanent R pour contester cette décision.
§ 3
Il est chargé de manière indépendante:
- 1°
- de veiller au respect du présent sous-titre lors de tout traitement de données à caractère personnel;
- 2°
- de conseiller toutes mesures utiles afin d'assurer la sécurité des données enregistrées;
- 3°
- d'informer et conseiller le responsable du traitement, et le cas échéant, le sous-traitant, le dirigeant et le personnel du service concerné procédant au traitement sur les obligations qui leur incombent en vertu du présent sous-titre;
- 4°
- de fournir des avis ou des recommandations au responsable du traitement, et le cas échéant, au sous-traitant, et au dirigeant du service;
- 5°
- d'exécuter d'autres missions qui lui sont confiées par le responsable du traitement, le cas échéant le sous-traitant ou le dirigeant du service.
Le délégué à la protection des données est le point de contact avec le Comité permanent R pour l'application du présent sous-titre.
§ 4
Le responsable du traitement et, le cas échéant le sous-traitant, veillent à ce que leur délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
Le responsable du traitement et, le cas échéant, le sous-traitant, veillent à ce que leur délégué à la protection des données dispose des ressources nécessaires pour exercer ses missions.
Le délégué à la protection des données peut être assisté par un ou plusieurs adjoints.
§ 5
Le cas échéant, les modalités de fonctionnement, de désignation ainsi que les compétences requises peuvent être définies par le Roi.
Chapitre VIII Communication et transfert de données à caractère personnel
Section 1.re Communication de données à caractère personnel au secteur public et au secteur privé
Article 92
Par dérogation aux articles 20, 22, 23, 58 et 59 de la présente loi et aux articles 35 et 36 du Règlement, un protocole, un avis du délégué à la protection des données, une analyse d'impact relative à la protection des données et l'avis résultant de la consultation de l'autorité de contrôle compétente ne peuvent pas être exigés comme condition préalable à la communication de données à caractère personnel entre un service de renseignement et de sécurité et tout organisme public ou privé dans l'intérêt de l'exercice des missions des services de renseignement et de sécurité.
Cette communication se déroule conformément aux articles 14, 16 et 19 de la loi du 30 novembre 1998.
Par dérogation à l'article 20, § 1
er, alinéa 2, lorsque les parties décident de conclure un protocole, celui-ci porte notamment sur:
- 1°
- l'identification du service de renseignement et de sécurité et de l'organisme public ou privé qui échangent les données à caractère personnel;
- 2°
- l'identification des responsables du traitement;
- 3°
- les coordonnées des délégués à la protection des données concernés;
- 4°
- les finalités pour lesquelles les données à caractère personnel sont transférées;
- 5°
- la base légale;
- 6°
- les restrictions aux droits de la personne concernée.
Le protocole visé à l'alinéa 3 porte le marquage “DIFFUSION RESTREINTE” au sens de l'arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998, pour autant qu'une classification au sens de la loi du 11 décembre 1998 ne se justifie pas.
Section 2 Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales
Article 93
Le transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale ne peut avoir lieu que si ce pays ou cette organisation assure un niveau de protection adéquat et moyennant le respect des autres dispositions du présent sous-titre.
Le caractère adéquat du niveau de protection s'apprécie au regard de toutes les circonstances relatives à un transfert de données à caractère personnel ou à une catégorie de transferts de données à caractère personnel. Il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays ou l'organisation en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.
Le niveau de protection adéquat peut être assuré par des clauses de sécurité entre le responsable du traitement et le destinataire des données à caractère personnel.
Article 94
Par dérogation à l'article 93, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale n'assurant pas un niveau de protection adéquat, ne peut être effectué que lorsque:
- 1°
- la personne concernée a indubitablement donné son consentement au transfert envisagé; ou
- 2°
- le transfert est obligatoire dans le cadre des relations internationales; ou
- 3°
- le transfert est nécessaire à la sauvegarde de l'intérêt vital des personnes; ou
- 4°
- le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice.
Chapitre IX Autorité de contrôle
Article 95
Par dérogation à la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, le Comité permanent R, en sa qualité d'autorité publique indépendante, est désigné comme autorité de protection des données chargée du contrôle du traitement des données à caractère personnel par les services de renseignement et de sécurité et par leurs sous-traitants selon les modalités fixées par la loi du 18 juillet 1991.
Le Comité permanent R surveille l'application du présent sous-titre afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard dudit traitement.
Article 96
Le Comité permanent R coopère, le cas échéant, avec les autres autorités de contrôle belges, sans que cela ne porte atteinte à l'intégrité physique d'une personne, ou aux missions des services de renseignement et de sécurité et de la loi du 11 décembre 1998.
Dans le cadre de l'exercice du contrôle visé à l'article 95, le Comité permanent R communique le résultat de celui-ci en termes généraux aux autres autorités de contrôle compétentes. Celles-ci ne transmettent pas ces résultats à la personne concernée.
Article 97
Les services de renseignement et de sécurité et leurs sous-traitants coopèrent avec le Comité permanent R.
Article 98
Dès qu'elle en prend connaissance, une autorité de contrôle informe le Comité permanent R des violations de la règlementation relative aux traitements de données à caractère personnel des services de renseignement et de sécurité.
Toute autorité de contrôle saisie d'un dossier susceptible d'avoir une répercussion sur le traitement de données à caractère personnel par les services de renseignement et de sécurité se concerte avec le Comité permanent R.
Chapitre X Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques
Article 99
Par dérogation au titre 4, la consultation à des fins historiques, scientifiques ou statistiques des données à caractère personnel des services de renseignement et de sécurité et de leur personnel par un responsable du traitement ultérieur est autorisée par le service de renseignement et de sécurité concerné si cela ne porte pas atteinte à ses missions, à ses obligations visées aux articles 13, alinéa 3, et 13/4, alinéa 2, de la loi du 30 novembre 1998, à une information ou instruction judiciaire en cours ou aux relations que la Belgique entretient avec des États étrangers ou des organisations internationales et conformément à la loi du 11 décembre 1998.
Toute demande adressée aux Archives de l'État de traitement ultérieur de données à caractère personnel des services de renseignement et de sécurité et de leur personnel à d'autres fins que celles visées à l'alinéa 1er est refusée à moins que la finalité soit légitime et que le service de renseignement et de sécurité concerné estime que le traitement n'est pas susceptible de porter atteinte aux intérêts visés à l'alinéa 1er.
Article 100
Avant leur consultation visée à l'article 99, les données à caractère personnel sont marquées de la mention “Protection des données à caractère personnel – articles 99 à 104 de la loi du 30 juillet 2018”.
Article 101
Les données à caractère personnel visées à l'article 99 sont rendues anonymes préalablement à leur consultation.
Si un traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le service de renseignement et de sécurité peut autoriser la consultation de données pseudonymisées.
Si l'anonymisation ou la pseudonymisation ne rend pas l'identification des données impossible, le service de renseignement et de sécurité refuse la consultation si cela constitue une atteinte disproportionnée à la vie privée.
Si un traitement ultérieur de données pseudonymisées ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le service de renseignement et de sécurité peut autoriser la consultation de données non pseudonymisées si cela ne constitue pas une atteinte disproportionnée à la vie privée.
Article 102
Par dérogation au titre 4, une communication ou publication des données à caractère personnel visées à l'article 99 non anonymisées ou non pseudonymisées, consultées par le responsable du traitement ultérieur n'est possible qu'avec l'accord du service de renseignement et de sécurité concerné et sous les conditions que celui-ci aura fixées.
Article 103
Le responsable du traitement ultérieur des données à caractère personnel visées à l'article 99 tient un journal de ses activités de traitement ultérieur à des fins historiques, scientifiques ou statistiques.
Ce journal est classifié au sens de la loi du 11 décembre 1998 si le traitement porte sur des données classifiées.
Ce journal comporte les informations suivantes:
- 1°
- les coordonnées du responsable du traitement initial, du responsable du traitement ultérieur et du délégué à la protection des données de ce dernier;
- 2°
- les finalités du traitement ultérieur;
- 3°
- les données faisant l'objet du traitement ultérieur;
- 4°
- les éventuelles conditions du traitement ultérieur fixées par le service de renseignement et de sécurité concerné;
- 5°
- les éventuels destinataires autorisés par le service de renseignement et de sécurité concerné.
Article 104
Toute autorité publique ou toute personne physique ou morale qui traite des données à caractère personnel visées à l'article 99 à des fins historiques, scientifiques ou statistiques est responsable dudit traitement.
Elle n'entreprendra aucune action pour convertir des données anonymes ou pseudonymisées en données non anonymes ou non pseudonymisées.
