30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Titre 2 De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces
Chapitre I.er Dispositions générales
Article 25
Le présent titre transpose la directive 2016/680/UE du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.
Article 26
Pour l'application du présent titre, on entend par:
- 1°
- “données à caractère personnel”: toute information se rapportant à une personne physique identifiée ou identifiable, ci-après dénommée “personne concernée”; est réputée “identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
- 2°
- “traitement”: toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction des données;
- 3°
- “limitation du traitement”: le marquage de données à caractère personnel conservées en vue de limiter leur traitement futur;
- 4°
- “profilage”: toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
- 5°
- “pseudonymisation”: le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;
- 6°
- “fichier”: tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
- 7°
- “autorités compétentes”:
- a)
- les services de police au sens de l'article 2, 2°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux;
- b)
- les autorités judiciaires, entendues comme les cours et tribunaux du droit commun et le ministère public;
- c)
- le Service d'enquêtes du Comité permanent de contrôle des services de police dans le cadre de ses missions judiciaires telles que prévues à l'article 16, alinéa 3, de la loi organique du 18 juillet 1991 du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace;
- d)
- l'Inspection générale de la police fédérale et de la police locale, visée à l'article 2 de la loi du 15 mai 2007 sur l'Inspection générale et portant des dispositions diverses relatives au statut de certains membres des services de police;
- e)
- l'Administration générale des douanes et accises, dans le cadre de sa mission relative à la recherche, la constatation et la poursuite des infractions déterminée par la loi générale du 18 juillet 1977 sur les douanes et accises et par la loi du 22 avril 2003 octroyant la qualité d'officier de police judiciaire à certains agents de l'Administration des douanes et accises;
- f)
- l'Unité d'information des passagers, visée au chapitre 7 de la loi du 25 décembre 2016 relative au traitement des données des passagers;
- g)
- la Cellule de traitement des informations financières visée à l'article 76 de la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l'utilisation des espèces;
- h)
- le Service d'enquêtes du Comité permanent de contrôle des services de renseignement dans le cadre de ses missions judiciaires telles que prévues à l'article 40, alinéa 3, de la loi organique du 18 juillet 1991 du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace;
- i)
- [l'Office des étrangers lorsqu'il exerce ses compétences répressives en vertu de l'article 81 de la loi du 15 décembre 1980;]
- i)
- [l'administration pénitentiaire au sens de l'article 2, 11°, de la loi de principes du 12 janvier 2005 concernant l'administration pénitentiaire ainsi que le statut juridique des détenus, dans le cadre de ses missions légales par rapport à l'exécution des peines et mesures privatives de liberté;]
- j)
- [les services du Service Public Fédéral justice dans le cadre de leurs missions légales d'appui aux autorités judiciaires pour la gestion de cas individuels dans le cadre de procédures pénales, y compris l'exécution de la peine;]
- 8°
- “responsable du traitement”: l'autorité compétente qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens de ce traitement sont déterminés par la loi, le décret ou l'ordonnance, le responsable du traitement est l'entité désignée comme responsable du traitement par ou en vertu de cette loi, ce décret ou cette ordonnance;
- 9°
- “sous-traitant”: la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ou d'un autre sous-traitant;
- 10°
- “destinataire”: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément à la loi, au décret ou à l'ordonnance, ne sont pas considérées comme des destinataires; le traitement de ces données par ces autorités publiques est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.
- 11°
- “brèche de sécurité”: une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;
- 12°
- “données génétiques”: les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou la santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question;
- 13°
- “données biométriques”: les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;
- 14°
- “données concernant la santé”: les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris les données à caractère personnel concernant la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;
- 15°
- “autorité de contrôle”: l'autorité publique indépendante chargée par la loi de surveiller l'application du présent titre;
- 16°
- “organisation internationale”: une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord;
- 17°
- “accord international”: tout accord international bilatéral ou multilatéral en vigueur entre les États membres de l'Union européenne et des pays tiers dans les domaines de la coopération judiciaire et/ou de la coopération policière.
Article 27
Le présent titre s'applique aux traitements de données à caractère personnel effectués par les autorités compétentes aux fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
Chapitre II Principes de traitement
Article 28
Les données à caractère personnel sont:
- 1°
- traitées de manière licite et loyale;
- 2°
- collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d'une manière incompatible avec ces finalités;
- 3°
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées;
- 4°
- exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables sont prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder;
- 5°
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
- 6°
- traitées de façon à garantir la sécurité des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.
Article 29
§ 1
er
Le traitement ultérieur, par le même ou par un autre responsable du traitement, pour l'une des finalités énoncées à l'article 27, autre que celles pour lesquelles les données ont été collectées, est autorisé aux conditions suivantes:
- 1°
- le responsable du traitement est autorisé à traiter ces données à caractère personnel pour une telle finalité conformément à la loi, au décret ou à l'ordonnance, au droit de l'Union européenne ou à l'accord international; et
- 2°
- le traitement est nécessaire et proportionné conformément, à la loi, au décret ou à l'ordonnance au droit de l'Union européenne ou à l'accord international.
§ 2
Les données à caractère personnel ne peuvent pas être traitées ultérieurement par le même ou un autre responsable du traitement à d'autres fins que celles pour lesquelles les données à caractère personnel ont été collectées, et non comprises dans les finalités énoncées à l'article 27, à moins que cette finalité ne soit permise conformément à la loi, au décret, à l'ordonnance, au droit de l'Union européenne ou à l'accord international.
§ 3
Lorsque la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international, soumet le traitement à des conditions spécifiques, l'autorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de l'obligation de les respecter.
§ 4
Les autorités compétentes qui transmettent les données aux destinataires dans les autres États membres de l'Union européenne ne peuvent faire appliquer des conditions spécifiques supplémentaires à celles applicables aux transferts de données nationaux.
§ 5
Le responsable du traitement est responsable du respect du présent article et est en mesure de le démontrer.
Article 30
Sauf dans les cas où la durée maximale de conservation des données est déterminée dans le droit de l'Union européenne ou l'accord international qui est à la base de la conservation concernée, la loi, le décret, ou l'ordonnance détermine la durée maximale de conservation. À l'échéance de cette durée, les données sont effacées.
Par dérogation à l'alinéa 1er, la loi, le décret ou l'ordonnance peut prévoir qu'à l'échéance d'un premier délai de conservation, une analyse soit effectuée sur la base de différents critères de nécessité et de proportionnalité afin de déterminer si la conservation des données doit être maintenue et, le cas échéant, le nouveau délai de conservation.
Dans ce cas, la loi, le décret ou l'ordonnance prévoit un délai maximum de conservation.
Article 31
Le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que:
- 1°
- les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale;
- 2°
- les personnes reconnues coupables d'une infraction pénale;
- 3°
- les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale;
- 4°
- les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l'une des personnes visées aux 1° et 2°.
Article 32
§ 1
er
Les données à caractère personnel fondées sur des faits sont dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.
§ 2
Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition.
Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations nécessaires permettant à l'autorité compétente destinataire de juger de l'exactitude, de l'exhaustivité, et de la fiabilité des données à caractère personnel, et de leur niveau de mise à jour.
§ 3
S'il s'avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l'article 39.
Article 33
§ 1
er
Le traitement est licite si:
- 1°
- il est nécessaire à l'exécution d'une mission effectuée par une autorité compétente pour les finalités énoncées à l'article 27; et
- 2°
- s'il est fondé sur une obligation légale ou réglementaire.
§ 2
L'obligation légale ou réglementaire régit au moins les catégories de données à caractère personnel devant faire l'objet d'un traitement et les finalités du traitement.
Article 34
§ 1
er
Le traitement de données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, n'est autorisé qu'en cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement dans l'un des cas suivants:
- 1°
- lorsque le traitement est autorisé par la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international;
- 2°
- lorsque le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne physique;
- 3°
- lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée.
§ 2
Les garanties nécessaires visées au paragraphe 1er prévoient au moins que l'autorité compétente ou le responsable de traitement établisse une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente.
L'autorité compétente veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
Article 35
Toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative, est autorisée si la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d'obtenir une intervention humaine de la part du responsable du traitement.
Tout profilage qui entraîne une discrimination à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel visées à l'article 34 est interdit.
Chapitre III Droits de la personne concernée
Article 36
§ 1
er
Le responsable du traitement prend des mesures appropriées pour fournir toute information visée à l'article 37 ainsi que pour procéder à toute communication au titre des articles 35, 38 à 41 et de l'article 62 d'une façon concise, compréhensible et aisément accessible, en des termes clairs et simples. Les informations sont fournies par tout moyen approprié, y compris par voie électronique. De manière générale, le responsable du traitement fournit les informations sous la même forme que la demande.
§ 2
Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée par les articles 35 et 38 à 41.
§ 3
Le responsable du traitement, ou l'autorité de contrôle dans le cas visé à l'article 41, informe par écrit, dans les meilleurs délais, la personne concernée des suites données à sa demande.
§ 4
Toute personne a le droit d'obtenir sans frais les informations visées à l'article 37 ainsi que toute mesure au titre des articles 35, 38 à 41 et 62. Lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:
- 1°
- exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou
- 2°
- refuser de donner suite à la demande.
Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
§ 5
Lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique présentant la demande visée à l'article 38 ou 39, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée.
Article 37
§ 1
er
Afin de permettre à la personne concernée d'exercer son droit à l'information, le responsable du traitement met à la disposition de la personne concernée les informations suivantes:
- 1°
- l'identité et les coordonnées du responsable du traitement;
- 2°
- le cas échéant, les coordonnées du délégué à la protection des données;
- 3°
- les finalités du traitement;
- 4°
- le droit d'introduire une plainte auprès de l'autorité de contrôle et les coordonnées de ladite autorité;
- 5°
- l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et la limitation du traitement des données à caractère personnel le concernant;
- 6°
- la base juridique du traitement;
- 7°
- la durée de conservation des données à caractère personnel ou, lorsque cela n'est pas possible, les critères utilisés pour déterminer cette durée;
- 8°
- le cas échéant, les catégories de destinataires des données à caractère personnel;
- 9°
- si besoin est, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l'insu de la personne concernée.
§ 2
L'information visée au paragraphe 1
er, peut être retardée, limitée ou exclue par la loi dès lors qu'une telle mesure constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour:
- 1°
- éviter de gêner des enquêtes, des recherches, des procédures pénales ou autres procédures réglementées;
- 2°
- éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales;
- 3°
- protéger la sécurité publique;
- 4°
- protéger la sécurité nationale;
- 5°
- protéger les droits et libertés d'autrui.
§ 3
Sauf dans les cas où le droit de l'Union européenne ou l'accord international le détermine, la loi, le décret ou l'ordonnance peut déterminer quelles catégories de traitements peuvent relever, dans leur intégralité ou en partie, d'un des points énumérés au paragraphe 2.
§ 4
Les droits visés au présent chapitre, pour ce qui concerne les traitements de données des cours et tribunaux de droit commun et du ministère public, sont exercés exclusivement dans les limites et conformément aux règles et modalités précisées dans le Code judiciaire, le Code d'instruction criminelle, les lois particulières relatives à la procédure pénale et leurs arrêtés d'exécution.
Article 38
§ 1
er
Afin de permettre à la personne concernée d'exercer son droit à demander l'accès à ses données personnelles, le responsable du traitement met à la disposition de la personne concernée, les informations suivantes:
- 1°
- la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées ainsi que l'accès à ces données;
- 2°
- les finalités du traitement ainsi que sa base juridique;
- 3°
- les catégories de données à caractère personnel concernées;
- 4°
- les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées;
- 5°
- la durée de conservation ou, lorsque cela n'est pas possible, les critères utilisés pour déterminer cette durée;
- 6°
- l'existence du droit de demander au responsable du traitement, la rectification ou l'effacement des données à caractère personnel qui la concernent, ou la limitation du traitement des données à caractère personnel qui la concernent;
- 7°
- le droit d'introduire une plainte auprès de l'autorité de contrôle et les coordonnées de cette autorité;
- 8°
- les données à caractère personnel en cours de traitement, ainsi que toute information disponible quant à leur source.
§ 2
La loi, le décret ou l'ordonnance peut limiter entièrement ou partiellement le droit d'accès de la personne concernée, dès lors et aussi longtemps qu'une telle limitation partielle ou totale constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:
- 1°
- éviter de gêner des enquêtes, des recherches, des procédures pénales ou autres procédures réglementées;
- 2°
- éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales;
- 3°
- protéger la sécurité publique;
- 4°
- protéger la sécurité nationale;
- 5°
- protéger les droits et libertés d'autrui.
§ 3
Dans les cas visés au paragraphe 2 le responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, de tout refus éventuel ou de toute limitation d'accès éventuelle, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des objectifs énoncés au paragraphe 2. Le responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'autorité de contrôle compétente ou de former un recours juridictionnel.
§ 4
Le responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'autorité de contrôle compétente.
Article 39
§ 1
er
La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification, et éventuellement la complétion, des données à caractère personnel la concernant qui sont inexactes.
§ 2
Le responsable du traitement efface dans les meilleurs délais les données à caractère personnel lorsque le traitement constitue une violation des dispositions adoptées en vertu des articles 28, 29, 33 ou 34 ou lorsque les données à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable du traitement.
§ 3
Au lieu de procéder à l'effacement, le responsable du traitement peut limiter le traitement lorsque:
- 1°
- l'exactitude des données à caractère personnel est contestée par la personne concernée et qu'il ne peut être déterminé si les données sont exactes ou non; ou
- 2°
- les données à caractère personnel doivent être conservées à des fins probatoires.
Lorsque le traitement est limité sur la base de l'alinéa 1er, 1°, le responsable du traitement informe la personne concernée avant de lever la limitation du traitement.
§ 4
Le responsable du traitement informe la personne concernée par écrit de tout refus éventuel de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement, ainsi que des motifs du refus. Cette information peut être limitée par la loi, le décret, ou l'ordonnance, dès lors qu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour:
- 1°
- éviter de gêner des enquêtes, des recherches, des procédures pénales ou autres procédures réglementées;
- 2°
- éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales;
- 3°
- protéger la sécurité publique;
- 4°
- protéger la sécurité nationale;
- 5°
- protéger les droits et libertés d'autrui.
Le responsable du traitement informe la personne concernée des possibilités d'introduire une plainte auprès de l'autorité de contrôle compétente ou de former un recours juridictionnel.
§ 5
Le responsable du traitement communique la rectification des données à caractère personnel inexactes à l'autorité d'où proviennent les données à caractère personnel inexactes.
§ 6
En cas de rectification, effacement ou de limitation de traitement tel que visés aux paragraphes 1er à 3, le responsable du traitement adresse une notification aux destinataires afin que ceux-ci rectifient ou effacent les données à caractère personnel ou limitent le traitement des données à caractère personnel sous leur responsabilité.
Article 40
Le responsable du traitement qui reçoit une demande d'exercer un droit visé aux articles 36 à 39 délivre dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande un accusé de réception daté à l'auteur de la demande.
Article 41
Dans les cas visés aux articles 37, § 2, 38, § 2, 39, § 4, et 62, § 1er, la loi, le décret ou l'ordonnance, peut prévoir que les droits de la personne concernée sont exercés par l'intermédiaire de l'autorité de contrôle compétente, dans le respect des principes de nécessité et de proportionnalité dans une société démocratique.
Sans préjudice de l'article 44, dans le cas visé à l'alinéa 1er, le responsable du traitement informe la personne concernée qu'elle exerce ses droits par l'intermédiaire de l'autorité de contrôle compétente.
Dans le cas visé à l'alinéa 1er, la personne concernée introduit sa demande auprès de l'autorité de contrôle compétente.
Article 42
La demande d'exercer les droits visés au présent chapitre à l'égard des services de police au sens de l'article 2, 2°, de la loi du 7 décembre 1998 organisant la police intégrée, structurée à deux niveaux ou de l'Inspection générale de la police fédérale et de la police locale, est adressée à l'autorité de contrôle visée à l'article 71.
Dans les cas visés aux articles 37, § 2, 38, § 2, 39, § 4, et 62, § 1er, l'autorité de contrôle visée à l'article 71 communique uniquement à la personne concernée qu'il a été procédé aux vérifications nécessaires.
Nonobstant l'alinéa 2, l'autorité de contrôle visée à l'article 71 peut communiquer à la personne concernée certaines informations contextuelles.
Le Roi détermine, après avis de l'autorité de contrôle visée à l'article 71, les catégories d'informations contextuelles qui peuvent être communiquées à la personne concernée, par cette autorité de contrôle.
Article 43
Pour ce qui concerne les traitements des services de douanes visés à l'article 26, 7°, e), et la Cellule de traitement des informations financières visée à l'article 26, 7°, g), les droits des personnes concernées visés au présent chapitre sont exercés par l'intermédiaire de l'autorité de contrôle compétente.
L'autorité de contrôle compétente communique uniquement à la personne concernée qu'il a été procédé aux vérifications nécessaires.
Par dérogation à l'alinéa 2, l'autorité de contrôle compétente peut communiquer à la personne concernée certaines informations contextuelles.
Le Roi détermine après avis de l'autorité de contrôle compétente les catégories d'informations contextuelles qui peuvent être communiquées à la personne concernée, par l'intermédiaire de l'autorité de contrôle compétente.
Article 44
Lorsque les données à caractère personnel figurent dans une décision judiciaire ou un dossier judiciaire, ou faisant l'objet d'un traitement lors d'une enquête judiciaire et d'une procédure pénale, les droits visés aux articles 37, 38, § 1er, 39 et 41, alinéa 2, sont exercés conformément au Code judiciaire, au Code d'instruction criminelle, aux lois particulières relatives à la procédure pénale ainsi qu'à leurs arrêtés d'exécution.
Article 45
§ 1
er
Les articles 36 à 44 et 62 ne s'appliquent pas aux traitements de données à caractère personnel émanant directement ou indirectement des autorités visées au titre 3 de la présente loi à l'égard des responsables du traitement et des autorités compétentes visées dans le présent titre auxquelles ces données ont été transmises.
§ 2
Le responsable du traitement ou l'autorité compétente visé au présent titre qui est en possession de telles données ne les communique pas à la personne concernée à moins que:
- 1°
- la loi l'y oblige dans le cadre d'une procédure contentieuse; ou que
- 2°
- l'autorité concernée visée au titre 3 l'y autorise.
§ 3
Le responsable du traitement ou l'autorité compétente ne fait aucune mention qu'il ou elle est en possession de données émanant des autorités visées au titre 3.
§ 4
Le responsable du traitement visé au présent titre qui traite les données émanant directement ou indirectement des autorités visées au titre 3 répond au minimum aux conditions suivantes:
- 1°
- il adopte des mesures techniques ou organisationnelles appropriées pour assurer que l'accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l'exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités de l'autorité visée au titre 3;
- 2°
- il adopte des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données.
Les membres du personnel du responsable du traitement qui traitent les données visées à l'alinéa 1er sont tenus au devoir de discrétion.
§ 5
Les limitations visées au paragraphe 1er porte également sur la journalisation des traitements d'une autorité visée dans le titre 3 dans les banques de données des responsables du traitement et des autorités compétentes visés par le présent titre, auxquelles l'autorité visée au titre 3 a directement accès.
§ 6
Lorsque l'autorité de contrôle compétente est saisie d'une requête ou d'une plainte où le responsable du traitement fait état de l'application du présent article, cette autorité de contrôle s'adresse au Comité permanent R pour qu'il fasse les vérifications nécessaires auprès de l'autorité visée au titre 3.
Après réception de la réponse du Comité permanent R, l'autorité de contrôle compétente n'informe la personne concernée que des résultats de la vérification portant sur les données à caractère personnel n'émanant pas des autorités visées au titre 3 qu'elle est légalement tenue de communiquer.
Si la requête ou la plainte ne porte que sur des données à caractère personnel émanant d'une autorité visée au titre 3, l'autorité de contrôle compétente répond, après réception de la réponse du Comité permanent R, que les vérifications nécessaires ont été effectuées.
Article 46
Un responsable du traitement ou une autorité compétente visés dans le présent titre qui communique des données à caractère personnel à une autorité visée aux sous-titres 2 et 4 du titre 3 de la présente loi, n'est pas soumis aux articles 37, § 1er, 8°, et 38, § 1er, 4°, et ne peut pas informer la personne concernée de cette transmission.
Article 47
Lorsqu'une autorité visée aux sous-titres 1
er et 6 du titre 3 de la présente loi dispose d'un accès direct ou d'une interrogation directe à une banque de données du secteur public, le traitement de données à caractère personnel est protégé par des mesures de sécurité techniques, organisationnelles et personnelles de sorte que seuls les acteurs suivants puissent accéder au contenu de ces traitements dans le cadre des finalités visées à l'article 56, § 2:
- 1°
- le délégué à la protection des données du responsable du traitement de la banque de donnée ou la personne qu'il délègue à cet effet;
- 2°
- le délégué à la protection des données de l'autorité visée aux sous-titres 1 et 6 du titre 3;
- 3°
- le responsable du traitement de la banque de données ou la personne qu'il délègue à cet effet;
- 4°
- le responsable du traitement de l'autorité visée aux sous-titres 1 et 6 du titre 3;
- 5°
- toute autre personne précisée dans un protocole entre les responsables du traitement, dont l'accès est nécessaire pour remplir les missions légales de contrôle.
Les mesures de sécurité visées à l'alinéa 1er visent à respecter les obligations légales portant sur la protection des sources, la protection de l'identité des agents ou au secret des enquêtes des autorités visées au titre 3, sous-titres 1er et 6.
Les traitements visés à l'alinéa 1er ne peuvent être accessibles pour d'autres finalités que celles liées au contrôle que si ces finalités sont consignées dans un protocole d'accord par les responsables du traitement concernés parmi des finalités déterminées par ou en vertu d'une loi.
Le protocole d'accord visé à l'alinéa 3 désigne la ou les personnes dont l'accès aux journaux est nécessaire pour remplir chaque finalité autorisée à l'alinéa 3.
Les journaux et les mesures de sécurité techniques, organisationnelles et personnelles y afférentes sont mis à la disposition du Comité permanent R.
L'autorité visée aux sous-titres 1 et 6 du titre 3 concernée peut déroger à l'alinéa 1er lorsque l'accès à ses traitements dans une banque de données et à leur journalisation n'est pas susceptible de porter atteinte aux intérêts visés à l'alinéa 2.
Article 48
Un responsable du traitement visé au présent titre qui communique des données à caractère personnel à une banque de données conjointe ne peut informer la personne concernée de cette transmission.
Par “banque de données conjointe”, on entend l'exercice commun des missions effectuées dans le cadre des titres 2 et 3 par plusieurs autorités, structuré à l'aide de procédés automatisés et appliqués aux données à caractère personnel.
Article 49
Les articles 36 à 44 et 62 ne s'appliquent pas aux traitements de données à caractère personnel par l'Unité d'information des passagers.
Le responsable du traitement ne communique pas les données visées à l'alinéa 1er à la personne concernée à moins que la loi l'y oblige dans le cadre d'une procédure contentieuse.
Le responsable du traitement ne fait aucune mention à la personne concernée qu'il est en possession de données la concernant.
Les limitations visées à l'alinéa 1er portent également sur la journalisation des traitements effectués par l'Unité d'information des passagers dans les banques de données des responsables du traitement visés par le présent titre.
Lorsque l'autorité de contrôle compétente est saisie d'une requête ou d'une plainte où le responsable du traitement fait état de l'application du présent article, celle-ci répond uniquement que les vérifications nécessaires ont été effectuées.
Chapitre IV Responsable du traitement et sous-traitant
Section 1.re Mesures organisationnelles et techniques
Article 50
Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées. Lorsque cela est proportionné au regard des activités de traitement, ces mesures comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
Le responsable du traitement est en mesure de démontrer que le traitement est effectué conformément à la loi.
Ces mesures sont réexaminées et actualisées si nécessaire.
Article 51
§ 1
er
Compte tenu de l'état des connaissances, des coûts de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, les mesures techniques et organisationnelles visées à l'article 50, sont destinées à mettre en œuvre les principes relatifs à la protection des données de façon effective et à assortir le traitement des garanties nécessaires afin de protéger les droits de la personne concernée, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même.
§ 2
Les mesures techniques et organisationnelles appropriées visées à l'article 50 garantissent que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans une intervention humaine.
Section 2 Responsables conjoints du traitement
Article 52
Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
Un accord définit de manière transparente les obligations respectives des responsables conjoints de traitement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et la communication des informations visées aux articles 37 et 38, sauf si, leurs obligations respectives sont définies par la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international.
Un seul point de contact pour les personnes concernées peut être désigné dans l'accord.
Section 3 Sous-traitant
Article 53
§ 1
er
Lorsque le traitement est confié à un sous-traitant, le responsable du traitement choisit un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements.
§ 2
Le sous-traitant recrute un autre sous-traitant avec l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.
§ 3
Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique qui lie le sous-traitant à l'égard du responsable du traitement, et définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.
Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:
- 1°
- n'agit que sur instruction du responsable du traitement;
- 2°
- veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
- 3°
- aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions relatives aux droits de la personne concernée;
- 4°
- supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation des services de traitement des données, et détruit les copies existantes, à moins que la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international n'exige la conservation des données à caractère personnel;
- 5°
- met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect du présent article;
- 6°
- respecte les conditions visées aux paragraphes 2 et 3 pour recruter un autre sous-traitant.
§ 4
Le contrat ou l'autre acte juridique visé au paragraphe 3 revêt la forme écrite, y compris la forme électronique.
§ 5
Si, en violation du présent titre, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme le responsable du traitement pour ce qui concerne ce traitement.
Article 54
Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut traiter ces données, que sur instruction du responsable du traitement, ou en vertu de la loi, du décret, de l'ordonnance, du droit de l'Union européenne ou de l'accord international.
Section 4 Obligations
Article 55
§ 1
er
Chaque responsable du traitement et sous-traitant tient un registre des catégories d'activités de traitement effectuées sous sa responsabilité. Ce registre contient les éléments suivants:
- 1°
- le nom et les coordonnées du responsable du traitement ou sous-traitant, de son délégué ou représentant
- 2°
- le nom et les coordonnées du délégué à la protection des données;
- 3°
- les finalités du traitement;
- 4°
- les catégories de personnes concernées;
- 5°
- les catégories de données à caractère personnel;
- 6°
- les catégories de destinataires;
- 7°
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, le cas échéant, les documents attestant de l'existence de garanties appropriées;
- 8°
- les délais prévus pour l'effacement des différentes catégories de données;
- 9°
- une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 50;
- 10°
- le recours au profilage;
- 11°
- la base juridique;
- 12°
- la catégorie de sources externes;
- 13°
- le protocole visé à l'article 20 ainsi que l'avis du délégué à la protection des données et la motivation visé
§ 2
Le délégué à la protection des données est associé à l'élaboration et au maintien du registre.
§ 3
Le registre est mis à la disposition de l'autorité de contrôle compétente.
Article 56
§ 1
er
Les fichiers de journalisation sont établis dans des systèmes de traitement automatisé au moins pour les traitements suivants: la collecte, la modification, la consultation, la communication, y compris les transferts, l'interconnexion et l'effacement.
Les fichiers de journalisation de consultation et de communication permettent d'établir:
- 1°
- le motif, la date et l'heure de ces traitements;
- 2°
- les catégories de personnes qui ont consulté les données à caractère personnel, et si possible, l'identification de la personne qui a consulté ces données;
- 3°
- les systèmes qui ont communiqué ces données;
- 4°
- et les catégories de destinataires des données à caractère personnel, et si possible, l'identité des destinataires de ces données.
Le Roi peut déterminer, par arrêté délibéré en Conseil des ministres après avis de l'autorité de contrôle compétente, d'autres types de traitements pour lesquels les fichiers de journalisation sont établis.
§ 2
Les fichiers de journalisation sont utilisés uniquement à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données à caractère personnel et à des fins visées à l'article 27.
§ 3
Le responsable du traitement et le sous-traitant mettent les journaux à la disposition de l'autorité de contrôle compétente, sur demande.
Article 57
Le responsable du traitement et le sous-traitant coopèrent avec l'autorité de contrôle compétente, à la demande de celle-ci, dans l'exécution de ses missions.
Article 58
Lorsqu'un type de traitement, en particulier par le recours aux nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, le responsable du traitement effectue préalablement au traitement une analyse d'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
L'analyse visée à l'alinéa 1er contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent titre, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes intéressées.
Article 59
§ 1
er
Le responsable du traitement ou son sous-traitant consulte l'autorité de contrôle compétente du responsable du traitement préalablement au traitement des données à caractère personnel qui fera partie d'un nouveau fichier à créer:
- 1°
- lorsqu'une analyse d'impact relative à la protection des données, telle qu'elle est prévue à l'article 58, indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque; ou
- 2°
- lorsque le type de traitement, en particulier, en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.
L'autorité de contrôle compétente est consultée dans le cadre de l'élaboration d'une loi, d'un décret ou d'une ordonnance, ou d'une mesure réglementaire fondée sur une telle loi, un tel décret ou une telle ordonnance, qui se rapporte au traitement.
§ 2
L'autorité de contrôle compétente peut établir une liste des opérations de traitement devant faire l'objet d'une consultation préalable conformément au paragraphe 1er.
§ 3
Le responsable du traitement fournit à l'autorité de contrôle compétente l'analyse d'impact relative à la protection des données en vertu de l'article 58 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle compétente d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.
§ 4
Lorsque l'autorité de contrôle compétente est d'avis que le traitement prévu, visé au paragraphe 1er, constituerait une violation des dispositions adoptées en vertu du présent titre, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'autorité de contrôle compétente fournit par écrit, dans un délai maximum de six semaines à compter de la réception de la demande de consultation, un avis écrit non contraignant au responsable du traitement, et le cas échéant au sous-traitant, et elle peut faire usage des pouvoirs qui lui sont conférés par la loi. Ce délai peut être prolongé d'un mois, en fonction de la complexité du traitement prévu. L'autorité de contrôle compétente informe le responsable du traitement et, le cas échéant, le sous-traitant de toute prolongation dans un délai d'un mois à compter de la réception de la demande de consultation, ainsi que des motifs du retard.
Article 60
§ 1
er
Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des données à caractère personnel, visées à l'article 34 de la présente loi, et compte tenu de l'état des connaissances, des coûts de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, afin de garantir un niveau de sécurité adapté au risque.
§ 2
En ce qui concerne le traitement automatisé, le responsable du traitement ou le sous-traitant met en œuvre, à la suite d'une évaluation des risques, des mesures destinées à:
- 1°
- empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement;
- 2°
- empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée;
- 3°
- empêcher l'introduction non autorisée de données à caractère personnel dans le fichier, ainsi que la consultation, la modification ou l'effacement non autorisé de données à caractère personnel enregistrées;
- 4°
- empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données;
- 5°
- garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu'aux données à caractère personnel sur lesquelles porte leur autorisation;
- 6°
- garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données;
- 7°
- garantir qu'il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé, et à quel moment et par quelle personne elles y ont été introduites;
- 8°
- empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée;
- 9°
- garantir que les systèmes installés puissent être rétablis en cas d'interruption;
- 10°
- garantir que les fonctions du système opèrent, que les erreurs de fonctionnement éventuelles soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système.
Article 61
§ 1
er
Le responsable du traitement notifie la brèche de sécurité, à l'autorité de contrôle compétente dans les meilleurs délais et, si possible, au plus tard dans un délai de 72 heures après en avoir pris connaissance. Cette obligation de notification n'est pas applicable lorsqu'il est raisonnable de croire que la brèche de sécurité en question n'engendre pas de risque pour les droits et les libertés d'une personne physique.
Lorsque la notification à l'autorité de contrôle compétente n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
§ 2
Le sous-traitant notifie au responsable du traitement toute brèche de sécurité dans les meilleurs délais et au plus tard dans les 72 heures après en avoir pris connaissance.
§ 3
La notification visée au paragraphe 1
er contient notamment:
- 1°
- la description de la nature de la brèche de sécurité y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
- 2°
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
- 3°
- la description des conséquences probables de la brèche de sécurité;
- 4°
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
§ 4
Si et dans la mesure où il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
§ 5
Lorsque la brèche de sécurité porte sur des données à caractère personnel qui ont été transmises par le responsable du traitement d'un autre État membre de l'Union européenne ou à celui-ci, les informations visées au paragraphe 3 sont communiquées au responsable du traitement de cet État membre dans les meilleurs délais.
§ 6
Le responsable du traitement documente toute brèche de sécurité visée au paragraphe 1er, en indiquant les faits, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle compétente de vérifier le respect du présent article.
Article 62
§ 1
er
Lorsqu'une brèche de sécurité est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la brèche de sécurité à caractère personnel à la personne concernée dans les meilleurs délais.
§ 2
La communication à la personne concernée visée au paragraphe 1er décrit, la nature de la brèche de sécurité et contient au moins les informations et mesures visées à l'article 61, § 3, 2° à 4°.
§ 3
La communication à la personne concernée visée au paragraphe 1
er n'est pas nécessaire si l'une des conditions suivantes est remplie:
- 1°
- le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;
- 2°
- le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1er n'est plus susceptible de se matérialiser;
- 3°
- elle exigerait des efforts disproportionnés.
Dans le cas visé à l'alinéa 1er, 3°, il est procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.
§ 4
Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la brèche de sécurité la concernant, l'autorité de contrôle compétente peut, après avoir examiné si cette brèche de sécurité est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.
§ 5
La communication à la personne concernée visée au paragraphe 1er peut être retardée, limitée ou omise, sous réserve des conditions et pour les motifs visés à l'article 37, § 2.
Section 5 Délégué à la protection des données
Article 63
Le responsable du traitement désigne un ou plusieurs délégués à la protection des données.
Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à exercer les missions visées à l'article 65.
Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes ou responsables du traitement, compte tenu de leur structure organisationnelle et de leur taille.
Le responsable du traitement publie les coordonnées du délégué à la protection des données et les communique à l'autorité de contrôle compétente.
Les modalités de fonctionnement, de désignation ainsi que les compétences requises sont définies par le Roi.
Article 64
Le responsable du traitement veille à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
Le responsable du traitement fournit au délégué à la protection des données les ressources nécessaires pour exercer ses missions ainsi que l'accès aux données à caractère personnel et aux traitements, et lui permet d'entretenir ses connaissances spécialisées.
Le responsable du traitement veille à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement.
Sauf application des articles 41 et 44, les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits qui leur sont conférés.
Le délégué à la protection des données est soumis au secret ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions.
Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement veille à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.
Article 65
Les missions du délégué à la protection des données sont notamment les suivantes:
- 1°
- informer et conseiller le responsable du traitement et les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de protection des données à caractère personnel;
- 2°
- contrôler le respect de la réglementation et des règles internes du responsable du traitement en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant à des opérations de traitement, et les audits s'y rapportant;
- 3°
- dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 58;
- 4°
- coopérer avec l'autorité de contrôle compétente;
- 5°
- faire office de point de contact pour l'autorité de contrôle compétente sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 59, et mener des consultations, le cas échéant, sur tout autre sujet.
Chapitre V Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales
Article 66
§ 1
er
Sans préjudice des dispositions du présent titre, un transfert, par des autorités compétentes, de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale, y compris des transferts ultérieurs vers un autre pays non membre à l'Union européenne ou à une autre organisation internationale, n'a lieu, que lorsque les conditions ci-après sont respectées:
- 1°
- le transfert est nécessaire aux fins énoncées à l'article 27;
- 2°
- les données à caractère personnel sont transférées à un responsable du traitement dans un pays non membre de l'Union européenne ou à une organisation internationale qui est une autorité compétente aux fins visées à l'article 27;
- 3°
- en cas de transfert ou de mise à disposition de données à caractère personnel provenant d'un autre État membre de l'Union européenne, celui-ci a préalablement autorisé ce transfert conformément à son droit national;
- 4°
- la Commission européenne a adopté une décision d'adéquation visée à l'article 67, ou, en l'absence d'une telle décision, des garanties appropriées ont été prévues ou existent en application de l'article 68 ou, des dérogations pour des situations particulières s'appliquent en vertu de l'article 69;
- 5°
- en cas de transfert ultérieur vers un autre pays non membre de l'Union européenne ou à une autre organisation internationale, le responsable du traitement qui a reçu les données autorise le transfert ultérieur, après avoir dûment pris en considération l'ensemble des facteurs pertinents, y compris la gravité de l'infraction pénale, la finalité pour laquelle les données à caractère personnel ont été transférées initialement et le niveau de protection des données à caractère personnel dans le pays tiers ou au sein de l'organisation internationale vers lequel ou laquelle les données à caractère personnel sont transférées ultérieurement.
§ 2
Les transferts effectués sans l'autorisation préalable d'un autre État membre de l'Union européenne prévue au paragraphe 1er, 3°, sont autorisés uniquement lorsque le transfert de données à caractère personnel est nécessaire aux fins de la prévention d'une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers ou pour les intérêts essentiels d'un État membre de l'Union européenne et si l'autorisation préalable ne peut pas être obtenue en temps utile. L'autorité à laquelle il revient d'accorder l'autorisation préalable est informée sans retard.
Article 67
Un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale peut avoir lieu lorsque la Commission européenne a constaté par voie de décision d'adéquation que le pays, un territoire ou un ou plusieurs secteurs déterminés dans ce pays, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.
Article 68
§ 1
er
En l'absence de décision d'adéquation, visée à l'article 67, ou lorsque celle-ci est abrogée, modifiée ou suspendue, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale peut avoir lieu lorsque:
- 1°
- des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant; ou
- 2°
- le responsable du traitement a évalué toutes les circonstances du transfert de données à caractère personnel et estime qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel.
§ 2
Le responsable du traitement informe l'autorité de contrôle compétente des catégories de transferts relevant du paragraphe 1er, 2°.
§ 3
Le transfert effectué en vertu du paragraphe 1
er, 2°, est documenté et, comporte:
- 1°
- la date et l'heure du transfert;
- 2°
- des informations sur l'autorité compétente destinataire;
- 3°
- la justification du transfert et les données à caractère personnel transférées.
La documentation est mise à la disposition de l'autorité de contrôle compétente sur demande.
Article 69
§ 1
er
En l'absence de décision d'adéquation visée à l'article 67 ou de garanties appropriées visées à l'article 68, un transfert ou une catégorie de transferts de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale ne peut avoir lieu qu'à condition que le transfert soit nécessaire:
- 1°
- à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne;
- 2°
- à la sauvegarde des intérêts légitimes de la personne concernée lorsque la loi le prévoit;
- 3°
- pour prévenir une menace grave et immédiate pour la sécurité publique;
- 4°
- dans des cas particuliers, aux fins énoncées à l'article 27;
- 5°
- dans des cas particuliers, à la constatation, à l'exercice ou à la défense de droits en justice en rapport avec les fins énoncées à l'article 27.
§ 2
Les données à caractère personnel ne sont pas transférées si l'autorité compétente qui transfère les données estime que les libertés et droits fondamentaux de la personne concernée l'emportent sur l'intérêt public dans le cadre du transfert visé au paragraphe 1er, 4° et 5°.
§ 3
Le transfert visé au paragraphe 1
er, 2°, est documenté et comprend:
- 1°
- la date et l'heure du transfert;
- 2°
- les informations sur l'autorité compétente destinataire;
- 3°
- la justification du transfert et les données à caractère personnel transférées.
La documentation est mise à la disposition de l'autorité de contrôle compétente, sur demande.
Article 70
§ 1
er
Par dérogation à l'article 66, § 1
er, 2°, et sans préjudice de tout accord international et des dispositions du présent titre, les autorités compétentes peuvent, dans certains cas particuliers, transférer des données à caractère personnel directement aux destinataires qui ne sont pas des autorités compétentes pour les finalités visées à l'article 27, établis dans des pays non membre de l'Union européenne, uniquement lorsque toutes les conditions ci-après sont remplies:
- 1°
- le transfert est strictement nécessaire à l'exécution de la mission de l'autorité compétente qui transfère les données;
- 2°
- l'autorité compétente qui transfère les données établit qu'il n'existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l'intérêt public nécessitant le transfert dans le cas en question;
- 3°
- l'autorité compétente qui transfère les données estime que le transfert à une autorité compétente, dans le pays concerné est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun;
- 4°
- l'autorité compétente dans le pays concerné est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié;
- 5°
- l'autorité compétente qui transfère les données informe le destinataire de la finalité ou des finalités déterminées pour lesquelles les données à caractère personnel ne doivent faire l'objet d'un traitement que par cette dernière, à condition qu'un tel traitement soit nécessaire.
§ 2
L'autorité compétente qui transfère les données informe l'autorité de contrôle des transferts relevant du présent article.
§ 3
Lorsqu'un transfert est effectué sur la base du paragraphe 1er, ce transfert est documenté.
Chapitre VI Autorités de contrôle indépendantes
Article 71
§ 1
er
Il est créé auprès de la Chambre des représentants une autorité de contrôle indépendante de l'information policière, dénommé Organe de contrôle de l'information policière.
Elle succède à l'Organe de contrôle de l'information policière institué par l'article 36ter, § 1er, alinéa 1er, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
Elle est, vis-à-vis des autorités compétentes visées à l'article 26, § 1
er, 7°, a), d) et f), chargée de:
- 1°
- surveiller l'application du présent titre, comme prévu à l'article 26, 15°;
- 2°
- contrôler le traitement des informations et des données à caractère personnel visées aux articles 44/1 à 44/11/13 de la loi du 5 août 1992 sur la fonction de police y compris celles incluses dans les banques de données visées à l'article 44/2 de la même loi;
- 3°
- toute autre mission organisée par ou en vertu d'autres lois.
[Elle est également, vis-à-vis de l'autorité compétente visée à l' article 26, § 1er, 7°, e), chargée de surveiller l'application de l' article 281, § 4, de la loi générale sur les douanes et accises du 18 juillet 1977.]
§ 2
Le siège de l'Organe de contrôle de l'information policière est établi dans l'arrondissement administratif de Bruxelles-Capitale.
Dans l'exercice de ses missions et des pouvoirs dont elle est investie conformément à la présente loi et d'autres lois, l'Organe de contrôle de l'information policière agit en toute indépendance.
