30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Chapitre II Principes de traitement
Article 7
En exécution de l'article 8.1 du Règlement, le traitement des données à caractère personnel relatif aux enfants en ce qui concerne l'offre directe de services de la société de l'information aux enfants, est licite lorsque le consentement a été donné par des enfants âgés de 13 ans ou plus.
Lorsque ce traitement porte sur des données à caractère personnel de l'enfant âgé de moins de 13 ans, il n'est licite que si le consentement est donné par le représentant légal de cet enfant.
Article 8
§ 1
er
En exécution de l'article 9.2.g) du Règlement, les traitements ci-après sont considérés comme traitements nécessaires pour des motifs d'intérêt public important:
- 1°
- le traitement effectué par des associations dotées de la personnalité juridique ou par des fondations qui ont pour objet statutaire principal la défense et la promotion des droits de l'homme et des libertés fondamentales, en vue de la réalisation de cet objet, à condition que ce traitement soit autorisé par le Roi, par arrêté délibéré en Conseil des ministres, après avis de l'autorité de contrôle compétente. Le Roi peut prévoir des modalités de ce traitement;
- 2°
- le traitement géré par la fondation d'utilité publique “Fondation pour Enfants Disparus et Sexuellement Exploités” pour la réception, la transmission à l'autorité judiciaire et le suivi de données concernant des personnes qui sont suspectées, dans un dossier déterminé de disparition ou d'exploitation sexuelle, d'avoir commis un crime ou un délit;
- 3°
- le traitement de données à caractère personnel concernant la vie sexuelle, effectué par une association dotée de la personnalité juridique ou par une fondation, qui a pour objet statutaire principal l'évaluation, la guidance et le traitement des personnes dont le comportement sexuel peut être qualifié d'infraction, et qui est agréée et subventionné par l'autorité compétente en vue de la réalisation de cet objet. Ces traitements, qui doivent être destinés à l'évaluation, la guidance et le traitement des personnes visées dans le présent paragraphe et qui ne peuvent porter que sur des données à caractère personnel qui, pour autant qu'elles soient relatives à la vie sexuelle, concernent les personnes visées dans le présent paragraphe, sont soumis à une autorisation spéciale individuelle accordée par le Roi, dans un arrêté royal délibéré en Conseil des ministres, après avis de l'autorité de contrôle compétente.
L'arrêté visé à l'alinéa 1er, 3°, précise la durée de validité de l'autorisation, les modalités du traitement des données, les modalités de contrôle de l'association ou de la fondation par l'autorité compétente et la façon dont cette autorité informe l'autorité de contrôle compétente sur le traitement de données à caractère personnel effectué dans le cadre de l'autorisation accordée.
Sauf dispositions légales particulières, le traitement de données génétiques et biométriques aux fins d'identifier une personne physique de manière unique par ces associations et fondations est interdit.
§ 2
Le responsable du traitement et, le cas échéant, le sous-traitant établissent une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente.
Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
§ 3
La fondation visée au paragraphe 1er, alinéa 1er, 2°, ne peut tenir un fichier de personnes suspectes d'avoir commis un crime ou un délit ou de personnes condamnées. Elle désigne également un délégué à la protection des données.
Article 9
En exécution de l'article 9.4 du Règlement, le responsable du traitement prend les mesures supplémentaires suivantes lors du traitement de données génétiques, biométriques ou des données concernant la santé:
- 1°
- les catégories de personnes ayant accès aux données à caractère personnel, sont désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées;
- 2°
- la liste des catégories des personnes ainsi désignées est tenue à la disposition de l'autorité de contrôle compétente par le responsable du traitement ou, le cas échéant, par le sous-traitant;
- 3°
- il veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
Article 10
§ 1
er
En exécution de l'article 10 du Règlement, le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions pénales ou aux mesures de sûreté connexes est effectué:
- 1°
- par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l'exige; ou
- 2°
- par des avocats ou d'autres conseils juridiques, pour autant que la défense de leurs clients l'exige; ou
- 3°
- par d'autres personnes lorsque le traitement est nécessaire pour des motifs d'intérêt public important pour l'accomplissement de tâches d'intérêt général confiées par ou en vertu d'une loi, d'un décret, d'une ordonnance ou du droit de l'Union européenne; ou
- 4°
- pour les nécessités de la recherche scientifique, historique ou statistique ou à des fins d'archives; ou
- 5°
- si la personne concernée a autorisé explicitement et par écrit le traitement de ces données à caractère personnel pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités; ou
- 6°
- si le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée, de sa propre initiative, pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités.
§ 2
Le responsable du traitement et, le cas échéant, le sous-traitant établissent une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente.
Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
Article 10/1
§ 1
er
En application de l'article 125, § 1er, 1°, de la loi du 13 juin 2005 relative aux communications électroniques et sans préjudice de l'application du règlement et de cette loi, l'enregistrement d'une communication électronique et des données relatives au trafic qui s'y rapportent réalisé dans les transactions commerciales licites comme preuve d'une transaction commerciale ou d'une autre communication professionnelle, est autorisé à condition que les parties impliquées dans la communication soient informées de l'enregistrement, des objectifs précis de ce dernier et de la durée de stockage de l'enregistrement, avant l'enregistrement.
Les données visées à l'alinéa 1er sont effacées au plus tard à la fin de la période pendant laquelle la transaction peut être contestée en justice.
§ 2
En application de l'article 125, § 1er, 1°, de la loi du 13 juin 2005 relative aux communications électroniques et sans préjudice de l'application du règlement et de cette loi, la prise de connaissance et l'enregistrement de communications électroniques et des données de trafic, qui visent uniquement à contrôler la qualité du service dans les call centers sont autorisés, à condition que les personnes qui travaillent dans le call center soient informées au préalable de la possibilité de prise de connaissance et d'enregistrement, du but précis de cette opération et de la durée de conservation de la communication et des données enregistrées. Ces données peuvent être conservées maximum un mois.
Article 10/2
En application de l'article 125, § 1
er, 1°, de la loi du 13 juin 2005 relative aux communications électroniques et sans préjudice de l'application du règlement et de cette loi, le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées dans les équipements terminaux d'un abonné ou d'un utilisateur est autorisée uniquement à condition que:
- 1°
- l'abonné ou l'utilisateur concerné reçoive, conformément aux conditions fixées dans le règlement et dans cette loi, des informations claires et précises concernant les objectifs du traitement et ses droits sur la base du règlement et de cette loi;
- 2°
- l'abonné ou l'utilisateur final ait donné son consentement après avoir été informé conformément au 1°.
L'alinéa 1er ne s'applique pas à l'enregistrement technique des informations ou de l'accès aux informations stockées dans les équipements terminaux d'un abonné ou d'un utilisateur final ayant pour seul but de réaliser l'envoi d'une communication via un réseau de communications électroniques ou de fournir un service demandé expressément par l'abonné ou l'utilisateur final lorsque cela est strictement nécessaire à cet effet.