
				Plus info

30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Titre 3 De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par d'autres autorités que celles visées aux titres 1er et 2

Sous-Titre 1.er De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les services de renseignements et de sécurité

Chapitre I.er Définitions

Article 72

§ 1^er

Les définitions visées à l'article 26, 1° à 6°, 9°, 11° à 14°, 16° et 17°, s'appliquent au présent sous-titre.

§ 2

Pour l'application du présent sous-titre, on entend par:

1°: “les services de renseignement et de sécurité”: la Sûreté de l'État et le Service Général du Renseignement et de la Sécurité visés à la loi du 30 novembre 1998 organique des services de renseignement et de sécurité;
2°: “le responsable du traitement”: une personne physique ou morale, une autorité publique, un service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement;
3°: “la loi du 30 novembre 1998”: la loi du 30 novembre 1998 organique des services de renseignement et de sécurité;
4°: “la loi du 18 juillet 1991”: la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace;
5°: “la loi du 11 décembre 1998”: [la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé];
6°: “autorité de contrôle”: une autorité publique indépendante chargée par la loi de surveiller l'application de la présente loi;
7°: “le Comité permanent R”: le Comité permanent de contrôle des services de renseignement visé à la loi du 18 juillet 1991 chargé du contrôle de l'application du présent sous-titre en application de l'article 95.

Chapitre II Champ d'application

Article 73

Le présent sous-titre s'applique à tout traitement de données à caractère personnel par les services de renseignement et de sécurité et leurs sous-traitants effectués dans le cadre des missions desdits services visés aux articles 7 et 11 de la loi du 30 novembre 1998 ainsi que par ou en vertu de lois particulières.

Les titres 1^er, 2, 4, 5 et 7 de la présente loi ne s'appliquent pas aux traitements visés à l'alinéa 1^er. Dans le titre 6, seuls les articles 226, 227 et 230 s'appliquent.

Chapitre III Conditions générales du traitement

Article 74

Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants:

1°: lorsque la personne concernée a indubitablement donné son consentement;
2°: lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée;
3°: lorsque le traitement est utile au respect d'une obligation à laquelle le service de renseignement et de sécurité concerné est soumis par ou en vertu d'une loi;
4°: lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou une autorité publique à laquelle les données à caractère personnel sont communiquées.

Article 75

Les données à caractère personnel sont:

1°: traitées loyalement et licitement;
2°: collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, scientifiques ou statistiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par les articles 99 à 104;
3°: adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement;
4°: exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables sont prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.

Chapitre IV Nature des données à caractère personnel

Article 76

Dans l'intérêt de l'exercice de leurs missions, les services de renseignement et de sécurité traitent des données à caractère personnel de toute nature, en ce comprises celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, celles qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes.

Chapitre V Conservation des données à caractère personnel

Article 77

Chapitre VI Droits de la personne concernée

Article 78

Lors du traitement de données à caractère personnel la concernant, toute personne physique a droit à la protection de ses libertés et droits fondamentaux, notamment à la protection de ses données à caractère personnel.

Article 79

La personne concernée a le droit de demander:

1°: la rectification ou la suppression de ses données à caractère personnel inexactes;
2°: la vérification auprès du Comité permanent R du respect des dispositions du présent sous-titre.

Article 80

Les droits visés à l'article 79 s'exercent, sans frais, par l'intermédiaire du Comité permanent R, à l'initiative de la personne concernée justifiant de son identité.

Le Comité permanent R effectue les vérifications et communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.

Les modalités d'exercice de ces droits sont déterminées par la loi.

Article 81

Le Comité permanent R et les services de renseignement et de sécurité tiennent un journal des demandes d'exercice des droits par les personnes concernées.

Article 82

Une décision produisant des effets juridiques à l'égard d'une personne ne peut pas être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

L'interdiction prévue à l'alinéa 1^er ne s'applique pas lorsque la décision est fondée sur une disposition prévue par ou en vertu d'une loi ou lorsqu'elle est nécessaire pour la sauvegarde d'un intérêt public important.

Chapitre VII Obligations du responsable du traitement et du sous-traitant

Section 1.re Obligations générales

Article 83

Le responsable du traitement:

1°: fait toute diligence pour tenir les données à caractère personnel à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance du présent sous-titre;
2°: veille à ce que, pour les personnes agissant sous son autorité, l'accès aux données à caractère personnel et les possibilités de traitement soient limités à ce qui est utile à l'exercice de leurs fonctions ou aux besoins du service;
3°: informe les personnes agissant sous son autorité des dispositions du présent sous-titre et de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel.

Article 84

Lorsque le traitement est confié à un sous-traitant, le responsable du traitement doit:

1°: choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements;
2°: veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles;
3°: fixer dans le contrat la responsabilité du sous-traitant;
4°: convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement et qu'il est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu en application du présent sous-titre;
5°: consigner par écrit ou sur un support électronique les éléments du contrat relatifs à la protection des données à caractère personnel et les exigences relatives aux mesures visées aux 3° et 4°.

Article 85

Le sous-traitant est soumis aux mêmes obligations que celles qui incombent au responsable du traitement.

Le sous-traitant ne peut pas confier le traitement de données à caractère personnel à un autre sous-traitant, sauf autorisation expresse du responsable du traitement.

Article 86

Toute personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf sur la base d'une obligation imposée par ou en vertu d'une loi.

Section 2 Responsables conjoints du traitement

Article 87

Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.

Un accord définit les obligations respectives des responsables conjoints de traitement, notamment en ce qui concerne l'exercice des droits de la personne concernée et la communication des données à caractère personnel, sauf si leurs obligations respectives sont définies par ou en vertu d'une loi.

Un seul point de contact pour les personnes concernées est désigné dans l'accord. Les responsables conjoints du traitement incluent ce point de contact dans le registre visé à l'article 90.

Section 3 Sécurité des données à caractère personnel

Article 88

Le responsable du traitement ainsi que le sous-traitant prennent les mesures techniques et organisationnelles appropriées requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.

Ces mesures assurent un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à caractère personnel à protéger et des risques potentiels.

Article 89

§ 1^er

En cas de brèche de sécurité susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement concerné la notifie au Comité permanent R dans les meilleurs délais et si possible, 72 heures après en avoir pris connaissance.

§ 2

Le sous-traitant notifie au responsable du traitement toute brèche de sécurité dans les meilleurs délais.

§ 3

La notification visée aux paragraphes 1^er et 2 décrit ou communique, à tout le moins:

1°: la nature de la brèche de sécurité y compris, si possible, le nombre estimé de personnes et d'enregistrements de données à caractère personnel concernés;
2°: le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
3°: les conséquences probables de la brèche de sécurité;
4°: les mesures que le responsable du traitement ou le sous-traitant a prises ou propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Section 4 Registres

Article 90

§ 1^er

Le responsable du traitement tient un registre, classifié au sens de la loi du 11 décembre 1998, des banques de données des services de renseignement et de sécurité et de celles mises à leur disposition.

Ce registre comporte les informations suivantes:

1°

pour les banques de données des services de renseignement et de sécurité:

a): les coordonnées du responsable du traitement et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données;
b): les finalités du traitement;
c): les catégories de destinataires auxquels des données à caractère personnel peuvent être communiquées;
d): dans la mesure du possible, les délais prévus pour l'effacement des données à caractère personnel;
e): dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 88;

2°

pour les banques de données mises à la disposition des services de renseignement et de sécurité:

a): les coordonnées du responsable du traitement et, si possible pour les pays hors de l'Union européenne le service gestionnaire de la banque de données et, le cas échéant, des responsables conjoints du traitement, et du délégué à la protection des données;
b): les finalités du traitement par le service de renseignement et de sécurité.

§ 2

Chaque sous-traitant tient un registre, classifié au sens de la loi du 11 décembre 1998, de toutes les catégories d'activités de traitement effectuées pour le compte d'un responsable du traitement.

Ce registre comprend les éléments suivants:

1°: les coordonnées du sous-traitant et du responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les coordonnées du délégué à la protection des données;
2°: les catégories de traitements effectués pour le compte du responsable du traitement;
3°: dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 88.

§ 3

Les registres visés aux paragraphes 1^er et 2 se présentent sous une forme écrite y compris la forme électronique.

§ 4

Le responsable du traitement met le registre à la disposition du Comité permanent R à sa demande.

Le sous-traitant met le registre à la disposition du responsable du traitement ainsi qu'à la disposition du Comité permanent R à sa demande.

Section 5 Délégué à la protection des données

Article 91

§ 1^er

Le responsable du traitement et, le cas échéant, le sous-traitant désignent un délégué à la protection des données. Cette décision est communiquée au Comité permanent R.

Le délégué à la protection des données est titulaire d'une habilitation de sécurité de niveau “très secret”, au sens de la loi du 11 décembre 1998.

§ 2

Le délégué à la protection des données ne peut pas être sanctionné en raison de l'exercice de ses fonctions. Il ne peut pas être relevé de ses fonctions en raison de l'exercice de ses missions, sauf s'il a commis une faute grave ou s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions.

Le délégué à la protection des données peut s'adresser au Comité permanent R pour contester cette décision.

§ 3

Il est chargé de manière indépendante:

1°: de veiller au respect du présent sous-titre lors de tout traitement de données à caractère personnel;
2°: de conseiller toutes mesures utiles afin d'assurer la sécurité des données enregistrées;
3°: d'informer et conseiller le responsable du traitement, et le cas échéant, le sous-traitant, le dirigeant et le personnel du service concerné procédant au traitement sur les obligations qui leur incombent en vertu du présent sous-titre;
4°: de fournir des avis ou des recommandations au responsable du traitement, et le cas échéant, au sous-traitant, et au dirigeant du service;
5°: d'exécuter d'autres missions qui lui sont confiées par le responsable du traitement, le cas échéant le sous-traitant ou le dirigeant du service.

Le délégué à la protection des données est le point de contact avec le Comité permanent R pour l'application du présent sous-titre.

§ 4

Le responsable du traitement et, le cas échéant le sous-traitant, veillent à ce que leur délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

Le responsable du traitement et, le cas échéant, le sous-traitant, veillent à ce que leur délégué à la protection des données dispose des ressources nécessaires pour exercer ses missions.

Le délégué à la protection des données peut être assisté par un ou plusieurs adjoints.

§ 5

Le cas échéant, les modalités de fonctionnement, de désignation ainsi que les compétences requises peuvent être définies par le Roi.

Chapitre VIII Communication et transfert de données à caractère personnel

Section 1.re Communication de données à caractère personnel au secteur public et au secteur privé

Article 92

Par dérogation aux articles 20, 22, 23, 58 et 59 de la présente loi et aux articles 35 et 36 du Règlement, un protocole, un avis du délégué à la protection des données, une analyse d'impact relative à la protection des données et l'avis résultant de la consultation de l'autorité de contrôle compétente ne peuvent pas être exigés comme condition préalable à la communication de données à caractère personnel entre un service de renseignement et de sécurité et tout organisme public ou privé dans l'intérêt de l'exercice des missions des services de renseignement et de sécurité.

Cette communication se déroule conformément aux articles 14, 16 et 19 de la loi du 30 novembre 1998.

Par dérogation à l'article 20, § 1^er, alinéa 2, lorsque les parties décident de conclure un protocole, celui-ci porte notamment sur:

1°: l'identification du service de renseignement et de sécurité et de l'organisme public ou privé qui échangent les données à caractère personnel;
2°: l'identification des responsables du traitement;
3°: les coordonnées des délégués à la protection des données concernés;
4°: les finalités pour lesquelles les données à caractère personnel sont transférées;
5°: la base légale;
6°: les restrictions aux droits de la personne concernée.

Le protocole visé à l'alinéa 3 porte le marquage “DIFFUSION RESTREINTE” au sens de l'arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998, pour autant qu'une classification au sens de la loi du 11 décembre 1998 ne se justifie pas.

Section 2 Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales

Article 93

Le transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale ne peut avoir lieu que si ce pays ou cette organisation assure un niveau de protection adéquat et moyennant le respect des autres dispositions du présent sous-titre.

Le caractère adéquat du niveau de protection s'apprécie au regard de toutes les circonstances relatives à un transfert de données à caractère personnel ou à une catégorie de transferts de données à caractère personnel. Il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays ou l'organisation en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.

Le niveau de protection adéquat peut être assuré par des clauses de sécurité entre le responsable du traitement et le destinataire des données à caractère personnel.

Article 94

Par dérogation à l'article 93, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale n'assurant pas un niveau de protection adéquat, ne peut être effectué que lorsque:

1°: la personne concernée a indubitablement donné son consentement au transfert envisagé; ou
2°: le transfert est obligatoire dans le cadre des relations internationales; ou
3°: le transfert est nécessaire à la sauvegarde de l'intérêt vital des personnes; ou
4°: le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice.

Chapitre IX Autorité de contrôle

Article 95

Par dérogation à la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, le Comité permanent R, en sa qualité d'autorité publique indépendante, est désigné comme autorité de protection des données chargée du contrôle du traitement des données à caractère personnel par les services de renseignement et de sécurité et par leurs sous-traitants selon les modalités fixées par la loi du 18 juillet 1991.

Le Comité permanent R surveille l'application du présent sous-titre afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard dudit traitement.

Article 96

Le Comité permanent R coopère, le cas échéant, avec les autres autorités de contrôle belges, sans que cela ne porte atteinte à l'intégrité physique d'une personne, ou aux missions des services de renseignement et de sécurité et de la loi du 11 décembre 1998.

Dans le cadre de l'exercice du contrôle visé à l'article 95, le Comité permanent R communique le résultat de celui-ci en termes généraux aux autres autorités de contrôle compétentes. Celles-ci ne transmettent pas ces résultats à la personne concernée.

Article 97

Les services de renseignement et de sécurité et leurs sous-traitants coopèrent avec le Comité permanent R.

Article 98

Dès qu'elle en prend connaissance, une autorité de contrôle informe le Comité permanent R des violations de la règlementation relative aux traitements de données à caractère personnel des services de renseignement et de sécurité.

Toute autorité de contrôle saisie d'un dossier susceptible d'avoir une répercussion sur le traitement de données à caractère personnel par les services de renseignement et de sécurité se concerte avec le Comité permanent R.

Chapitre X Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques

Article 99

Par dérogation au titre 4, la consultation à des fins historiques, scientifiques ou statistiques des données à caractère personnel des services de renseignement et de sécurité et de leur personnel par un responsable du traitement ultérieur est autorisée par le service de renseignement et de sécurité concerné si cela ne porte pas atteinte à ses missions, à ses obligations visées aux articles 13, alinéa 3, et 13/4, alinéa 2, de la loi du 30 novembre 1998, à une information ou instruction judiciaire en cours ou aux relations que la Belgique entretient avec des États étrangers ou des organisations internationales et conformément à la loi du 11 décembre 1998.

Toute demande adressée aux Archives de l'État de traitement ultérieur de données à caractère personnel des services de renseignement et de sécurité et de leur personnel à d'autres fins que celles visées à l'alinéa 1^er est refusée à moins que la finalité soit légitime et que le service de renseignement et de sécurité concerné estime que le traitement n'est pas susceptible de porter atteinte aux intérêts visés à l'alinéa 1^er.

Article 100

Avant leur consultation visée à l'article 99, les données à caractère personnel sont marquées de la mention “Protection des données à caractère personnel – articles 99 à 104 de la loi du 30 juillet 2018”.

Article 101

Les données à caractère personnel visées à l'article 99 sont rendues anonymes préalablement à leur consultation.

Si un traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le service de renseignement et de sécurité peut autoriser la consultation de données pseudonymisées.

Si l'anonymisation ou la pseudonymisation ne rend pas l'identification des données impossible, le service de renseignement et de sécurité refuse la consultation si cela constitue une atteinte disproportionnée à la vie privée.

Si un traitement ultérieur de données pseudonymisées ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le service de renseignement et de sécurité peut autoriser la consultation de données non pseudonymisées si cela ne constitue pas une atteinte disproportionnée à la vie privée.

Article 102

Par dérogation au titre 4, une communication ou publication des données à caractère personnel visées à l'article 99 non anonymisées ou non pseudonymisées, consultées par le responsable du traitement ultérieur n'est possible qu'avec l'accord du service de renseignement et de sécurité concerné et sous les conditions que celui-ci aura fixées.

Article 103

Le responsable du traitement ultérieur des données à caractère personnel visées à l'article 99 tient un journal de ses activités de traitement ultérieur à des fins historiques, scientifiques ou statistiques.

Ce journal est classifié au sens de la loi du 11 décembre 1998 si le traitement porte sur des données classifiées.

Ce journal comporte les informations suivantes:

1°: les coordonnées du responsable du traitement initial, du responsable du traitement ultérieur et du délégué à la protection des données de ce dernier;
2°: les finalités du traitement ultérieur;
3°: les données faisant l'objet du traitement ultérieur;
4°: les éventuelles conditions du traitement ultérieur fixées par le service de renseignement et de sécurité concerné;
5°: les éventuels destinataires autorisés par le service de renseignement et de sécurité concerné.

Article 104

Toute autorité publique ou toute personne physique ou morale qui traite des données à caractère personnel visées à l'article 99 à des fins historiques, scientifiques ou statistiques est responsable dudit traitement.

Elle n'entreprendra aucune action pour convertir des données anonymes ou pseudonymisées en données non anonymes ou non pseudonymisées.

Sous-Titre 2 De la protection des personnes physiques concernant le traitement des données à caractère personnel par les forces armées

Article 105

Lors de la mise en œuvre des forces armées et de la mise en condition en vue de la mise en œuvre des forces armées visées à l'article 3 de la loi du 20 mai 1994 relative aux périodes et aux positions des militaires du cadre de réserve, ainsi qu'à la mise en œuvre et à la mise en condition des forces armées dans l'optique de l'exécution de ses tâches constitutionnelles, le régime suivant est d'application:

1°

les forces armées traitent, pour autant que cela soit nécessaire dans l'exercice de leurs missions, des données à caractère personnel de toute nature, en ce comprises celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, celles qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes;

2°

les données à caractère personnel ne peuvent être traitées que lorsque le traitement est utile pour la mise en œuvre des forces armées ou la mise en condition des forces armées et ne sont pas traitées d'une manière incompatible avec ces finalités;

3°

les données à caractère personnel sont traitées de manière licite et loyale;

4°

les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant une période n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;

5°

les données à caractère personnel sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement;

6°

les données à caractère personnel sont exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables sont prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;

7°

les données à caractère personnel peuvent être transmises vers un pays non membre de l'Union Européenne ou vers une organisation internationale dans le cas où ce transfert est nécessaire pour des raisons opérationnelles;

8°

à l'exception des définitions prévues dans l'article 26, 1° à 6°, 8° à 14°, 16° et 17°, et des articles 2, 78 et 83 à 89, les dispositions des autres titres ne sont pas d'application;

9°

concernant le traitement des données à caractère personnel, les droits suivants sont seulement limités lorsqu'il s'agit d'une mesure nécessaire et proportionnelle dans le cadre des limitations du droit international applicable, pour la mise en œuvre des forces armées, ou la mise en condition des forces armées en vue de leur mise en œuvre:

a): le droit de prendre connaissance de l'existence d'un fichier de données automatisé à caractère personnel, de ses principaux objectifs ainsi que de l'identité et de la résidence habituelle ou de l'établissement principal du titulaire du fichier;
b): le droit de faire corriger ou d'effacer ces données si nécessaire, si celles-ci ont été traitées en violation de la loi;
c): le droit de disposer de voies de recours en l'absence de réponse à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d'échange de données à caractère personnel.

10°

dans la mesure où la mise en œuvre et la mise en condition des forces armées n'est pas mise en péril, les traitements des données à caractère personnel sont soumis à l'autorité de contrôle compétente.

Sous-Titre 3 La protection des personnes physiques à l?égard des traitements de données à caractère personnel dans le cadre de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé

Chapitre I.er Définitions

Article 106

§ 1^er

Les définitions visées à l'article 26, 1° à 6°, 9° à 14° et

16° à 17°, s'appliquent au présent sous-titre.

§ 2

Pour l'application du présent sous-titre, on entend par:

1°: “la loi du 11 décembre 1998”: la loi du 11 décembre 1998 relative à la classification [, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé];
2°: “la loi du 11 décembre 1998 portant création d'un organe de recours”: la loi du 11 décembre 1998 portant création d'un organe de recours en matière d'habilitations[...] et d'avis de sécurité;
3°: “l'organe de recours”: l'organe de recours visé à l'article 3 de la loi du 11 décembre 1998 portant création d'un organe de recours;
4°: “le responsable du traitement”: la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles;
5°: “autorité de contrôle”: l'autorité publique indépendante chargée par la loi de surveiller l'application du présent sous-titre;
6°: “Comité permanent R”: le Comité permanent de contrôle des services de renseignement visé à la loi du 18 juillet 1991 chargé du contrôle de l'application du présent sous-titre en application de l'article 95.

Chapitre II Champ d'application

Article 107

Le présent sous-titre s'applique à tout traitement de données à caractère personnel dans le cadre des habilitations de sécurité[...] et avis de sécurité visés à la loi du 11 décembre 1998 par:

1°: l'autorité de sécurité visée à l'article [1^erbis, 14°, a)], de la loi du 11 décembre 1998;
2°: [les autorités visées à l’article 1^erbis, 14°, b) et c), de la loi du 11 décembre 1998];
3°: les autorités visées aux articles [24, 25 et 26] de la loi du 11 décembre 1998;
4°: les officiers de sécurité visés à l'article [1^erbis, 15°, de la loi du 11 décembre 1998 et les gestionnaires des avis de sécurité visés à l'article 1^erbis, 25°, de la loi du 11 décembre 1998] de la loi du 11 décembre 1998;
5°: les sous-traitants des autorités et personnes visées aux 1° à 4°.

Le présent sous-titre s'applique également à chaque traitement de données à caractère personnel par l'organe de recours dans le cadre des recours visés à la loi du 11 décembre 1998 portant création d'un organe de recours.

Les titres 1^er, 2, 4, 5 et 7 de la présente loi ne s'appliquent pas aux traitements visés à l'alinéa 1^er. Dans le titre 6, seuls les articles 226, 227 et 230 s'appliquent.

Chapitre III Conditions générales du traitement

Article 108

Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants:

1°: lorsque la personne concernée a indubitablement donné son consentement;
2°: lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée;
3°: lorsque le traitement est nécessaire au respect d'une obligation à laquelle le responsable du traitement est soumis par ou en vertu d'une loi;
4°: lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou une autorité publique à laquelle les données à caractère personnel sont communiquées.

Article 109

Les données à caractère personnel sont:

1°: traitées d'une manière qui est loyal et légitime à l'égard de la personne concernée;
2°: collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, scientifiques ou statistiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions déterminées par les articles 132 à 137;
3°: adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement;
4°: exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.

Chapitre IV Nature des données à caractère personnel

Article 110

Dans l'intérêt de l'exercice de leurs missions, les autorités, les organes et les personnes visés à l'article 107 traitent des données à caractère personnel de toute nature, en ce compris celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, celles qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes.

Chapitre V Conservation des données à caractère personnel

Article 111

Chapitre VI Droits de la personne concernée

Article 112

Article 113

La personne concernée a le droit de demander:

1°: la rectification ou la suppression de ses données à caractère personnel inexactes;
2°: la vérification auprès de l'autorité de contrôle compétente du respect des dispositions du présent sous-titre.

Article 114

§ 1^er

Afin de garantir la confidentialité et l'efficacité de l'exécution des traitements, l'accès de la personne concernée à ses données à caractère personnel traitées par les autorités, organes et personnes visées à l'article 107, alinéa 1^er, est limité à l'information que la personne concernée leur fournit.

Les droits visés à l'article 113, 1° et 2°, à l'égard des traitements visés à l'article 107, alinéa 1^er, s'exercent, sans frais, par l'intermédiaire du Comité permanent R, à l'initiative de la personne concernée justifiant de son identité. Le Comité R effectue les vérifications et communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.

§ 2

L'accès par la personne concernée à ses données à caractère personnel traitées par l'organe de recours s'effectue conformément à l'article 6 de la loi du 11 décembre 1998 portant création d'un organe de recours.

Pour l'exercice de ses droits visés à l'article 113, 1°, à l'égard des traitements visés à l'article 107, alinéa 2, la personne concernée s'adresse à l'organe de recours conformément aux modalités fixées par ou en vertu de la loi du 11 décembre 1998 portant création d'un organe de recours.

Article 115

Une décision produisant des effets juridiques négatifs à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

L'interdiction déterminée à l'alinéa 1^er ne s'applique pas lorsque la décision est fondée sur une disposition prévue par ou en vertu d'une loi ou lorsqu'elle est nécessaire pour la sauvegarde d'un intérêt public important.

Chapitre VII Obligations du responsable du traitement et du sous-traitant

Section 1.re Obligations générales

Article 116

Le responsable du traitement:

1°: fait toute diligence pour tenir les données à caractère personnel à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance du présent sous-titre;
2°: veille à ce que, pour les personnes agissant sous son autorité, l'accès aux données à caractère personnel et les possibilités de traitement soient limités à ce qui est utile à l'exercice de leurs fonctions ou aux besoins du service;
3°: informe les personnes agissant sous son autorité des dispositions du présent sous-titre et de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel.

Article 117

Lorsque le traitement est confié à un sous-traitant, le responsable du traitement doit:

1°: choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et organisationnelles relatives aux traitements;
2°: veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles;
3°: fixer dans le contrat la responsabilité du sous-traitant;
4°: convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement et que le sous-traitant est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu en application du présent sous-titre.

Article 118

Le sous-traitant est soumis aux mêmes obligations que celles qui incombent au responsable du traitement.

Il ne peut pas confier le traitement de données à caractère personnel à un autre sous-traitant, sauf autorisation expresse du responsable du traitement.

Article 119

Section 2 Responsables conjoints du traitement

Article 120

Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.

Un accord définit les obligations respectives des responsables conjoints du traitement, notamment en ce qui concerne l'exercice des droits de la personne concernée et la communication des données à caractère personnel, sauf si leurs obligations respectives sont définies par ou en vertu d'une loi.

Un seul point de contact pour les personnes concernées est désigné dans l'accord. Les responsables conjoints du traitement incluent ce point de contact dans le registre visé à l'article 123.

Section 3 Sécurité des données à caractère personnel

Article 121

Le responsable du traitement ainsi que le sous-traitant prennent les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.

Article 122

§ 1^er

En cas de brèche de sécurité susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement la notifie au Comité permanent R dans les meilleurs délais et, si possible, au plus tard 72 heures après en avoir pris connaissance.

§ 2

Le sous-traitant notifie au responsable du traitement toute brèche de sécurité dans les meilleurs délais.

§ 3

La notification visée aux paragraphes 1^er et 2, décrit ou communique à tout le moins:

1°: la nature de la brèche de sécurité y compris et, si possible, le nombre estimé de personnes et d'enregistrements de données à caractère personnel concernés;
2°: le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
3°: les conséquences probables de la brèche de sécurité;
4°: les mesures que le responsable du traitement ou le sous-traitant a prises ou propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Section 4 Registres

Article 123

§ 1^er

Le responsable du traitement et, le cas échéant son sous-traitant, tiennent un registre d'activités de traitement des données à caractère personnel.

Ce registre comporte, le cas échéant et si possible, les informations suivantes en ce qui concerne les traitements:

1°: les coordonnées du responsable du traitement et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données;
2°: les finalités du traitement;
3°: les catégories des personnes concernées;
4°: les catégories des données à caractère personnel;
5°: les catégories de destinataires principaux auxquels des données à caractère personnel peuvent être communiquées;
6°: les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris la mention de ce pays tiers ou de cette organisation internationale et, le cas échéant, les documents attestant de l'existence de garanties appropriées;
7°: les délais prévus pour l'effacement des données à caractère personnel;
8°: le recours au profilage;
9°: la base juridique;
10°: une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 121.

§ 2

Le registre visé au paragraphe 1^er se présente sous une forme écrite y compris la forme électronique.

§ 3

Le responsable du traitement met le registre à la disposition de l'autorité de contrôle compétente à sa demande.

Le sous-traitant met le registre à la disposition du responsable du traitement ainsi qu'à la disposition de l'autorité de contrôle compétente à sa demande.

Section 5 Délégué à la protection des données

Article 124

§ 1^er

Le responsable du traitement et, le cas échéant, le sous-traitant désignent un délégué à la protection des données. Cette décision est communiquée à l'autorité de contrôle compétente.

Le délégué à la protection des données est titulaire d'une habilitation de sécurité de niveau “très secret”, au sens de la loi du 11 décembre 1998.

§ 2

Le délégué à la protection des données ne peut pas être sanctionné en raison de l'exercice de ses fonctions. Il ne peut pas non plus être relevé de ses fonctions en raison de l'exercice de ses missions, sauf s'il a commis une faute grave ou s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions.

Le délégué à la protection des données peut s'adresser au Comité permanent R pour contester cette décision.

§ 3

Il est chargé de manière indépendante:

1°: de veiller au respect du présent sous-titre lors de tout traitement de données à caractère personnel;
2°: de conseiller toutes mesures utiles afin d'assurer la sécurité des données enregistrées;
3°: d'informer et de conseiller le responsable du traitement, et le cas échéant le sous-traitant, et leur personnel procédant au traitement des obligations qui leur incombent en vertu du présent sous-titre;
4°: de fournir des avis ou des recommandations au responsable du traitement, et le cas échéant, au sous-traitant;
5°: d'exécuter d'autres missions qui lui sont confiées par le responsable du traitement, et le cas échéant le sous-traitant.

Le délégué à la protection des données est le point de contact avec l'autorité de contrôle compétente pour l'application du présent sous-titre.

§ 4

Le responsable du traitement et, le cas échéant, le sous-traitant, veillent à ce que leur délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

Le responsable du traitement et, le cas échéant, le sous-traitant, veillent à ce que leur délégué à la protection des données dispose des ressources nécessaires pour exercer ses missions.

Le délégué à la protection des données peut être assisté par un ou plusieurs adjoints.

§ 5

Le cas échéant, les modalités de fonctionnement, de désignation ainsi que les compétences requises peuvent être définies par le Roi.

Chapitre VIII Communication et transfert de données à caractère personnel

Section 1.re Communication de données à caractère personnel au secteur public et au secteur privé

Article 125

§ 1^er

Par dérogation aux articles 20, 22, 23, 58 et 59 de la présente loi et aux articles 35 et 36 du Règlement, un protocole, un avis du délégué à la protection des données, une analyse d'impact relative à la protection des données et l'avis résultant de la consultation de l'autorité de contrôle compétente ne peuvent pas être exigés comme condition préalable à la communication de données à caractère personnel entre les autorités, les organes ou les personnes visés à l'article 107 et tout organisme public ou privé.

Cette communication se déroule conformément à la loi du 11 décembre 1998.

§ 2

Par dérogation à l'article 20, § 1^er, alinéa 2, de la présente loi, lorsque les parties décident de conclure un protocole, celui-ci porte notamment sur:

1°: l'identification du service public fédéral ou de l'organisme public fédéral qui transfère les données à caractère personnel;
2°: l'identification des responsables du traitement;
3°: les coordonnées des délégués à la protection des données concernés;
4°: les finalités pour lesquelles les données à caractère personnel sont transférées;
5°: la base légale;
6°: les modalités de communication utilisées;
7°: les restrictions aux droits de la personne concernée;
8°: la périodicité du transfert;
9°: la durée du protocole.

Section 2 Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales

Article 126

Le transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale ne peut avoir lieu que si le pays ou l'organisation en question assure un niveau de protection adéquat et moyennant le respect des autres dispositions du présent sous-titre.

Le niveau de protection adéquat peut être assuré par des clauses de sécurité entre le responsable du traitement et le destinataire des données à caractère personnel.

Article 127

Par dérogation à l'article 126, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale n'assurant pas un niveau de protection adéquat, ne peut être effectué que lorsque:

1°: la personne concernée a indubitablement donné son consentement au transfert envisagé; ou
2°: le transfert est obligatoire dans le cadre des relations internationales; ou
3°: le transfert est nécessaire à la sauvegarde de l'intérêt vital des personnes; ou
4°: le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice.

Chapitre IX Autorité de contrôle

Article 128

§ 1^er

Par dérogation à la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, le Comité permanent R, en sa qualité d'autorité publique indépendante, est désigné comme autorité du contrôle chargée du contrôle du traitement des données à caractère personnel effectué dans le cadre de l'article 107, alinéa 1^er, par les autorités et personnes visées au même alinéa.

Le Comité permanent R surveille l'application du présent sous-titre afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard dudit traitement.

§ 2

En sa qualité d'autorité juridictionnelle, l'organe de recours n'est pas soumis au contrôle d'une autorité de protection des données à caractère personnel.

Article 129

Dans le respect de la loi du 11 décembre 1998, le Comité permanent R coopère, le cas échéant, avec les autres autorités de contrôle belges, sans que cela ne porte atteinte aux intérêts visés à l'article 5 de la loi du 11 décembre 1998 portant création d'un organe de recours.

Dans le cadre de l'exercice du contrôle visé à l'article 128, le Comité permanent R communique le résultat de celui-ci en termes généraux aux autres autorités de contrôle compétentes.

Article 130

Les autorités et personnes visées à l'article 107, alinéa 1^er, coopèrent avec le Comité permanent R.

Article 131

Toute autorité de contrôle saisie d'un dossier susceptible d'avoir une répercussion sur le traitement de données à caractère personnel dans le cadre de l'article 107 se concerte avec le Comité Permanent R.

Chapitre X Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques

Article 132

Par dérogation au titre 4, la consultation à des fins historiques, scientifiques ou statistiques des données à caractère personnel des autorités, l'organe de recours ou les personnes visés à l'article 107 et de leur personnel par un responsable du traitement ultérieur est autorisée si cela ne porte pas atteinte aux intérêts visés par l'article 12, alinéa 1^er, de la loi du 11 décembre 1998.

Article 133

Avant leur consultation visée à l'article 132, les données à caractère personnel sont marquées de la mention “Protection des données à caractère personnel – articles 132 à 137 de la loi du 30 juillet 2018”.

Article 134

Les données à caractère personnel visées à l'article 132 sont rendues anonymes préalablement à leur consultation.

Si un traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le responsable du traitement, dans le cadre de l'article 107, peut autoriser la consultation de données pseudonymisées.

Si l'anonymisation ou la pseudonymisation ne rend pas l'identification des données impossible, le responsable du traitement, dans le cadre de l'article 107, refuse la consultation si cela constitue une atteinte disproportionnée à la vie privée.

Si un traitement ultérieur de données pseudonymisées ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le responsable du traitement, dans le cadre de l'article 107, peut autoriser la consultation de données non pseudonymisées si cela ne porte pas une atteinte disproportionnée à la vie privée.

Article 135

Par dérogation au titre 4, une communication ou publication des données à caractère personnel visées à l'article 132 non anonymisées ou non pseudonymisées, consultées par le responsable du traitement ultérieur n'est possible qu'avec l'accord du responsable du traitement dans le cadre de l'article 107 et sous les conditions que celui-ci aura fixées.

Article 136

Le responsable du traitement ultérieur des données à caractère personnel visées à l'article 132 tient un journal de ses activités de traitement ultérieur à des fins historiques, scientifiques ou statistiques.

Ce journal est classifié au sens de la loi du 11 décembre 1998 si le traitement porte sur des données classifiées.

Ce journal comporte les informations suivantes:

1°: les coordonnées du responsable du traitement initial, du responsable du traitement ultérieur et du délégué à la protection des données de ce dernier;
2°: les finalités du traitement ultérieur;
3°: les éventuelles conditions du traitement ultérieur fixées par le responsable du traitement dans le cadre de l'article 107;
4°: les éventuels destinataires autorisés par le responsable du traitement dans le cadre de l'article 107.

Article 137

Toute autorité publique ou toute personne physique ou morale qui traite des données à caractère personnel visées à l'article 132 à des fins historiques, scientifiques ou statistiques est responsable dudit traitement.

Elle n'entreprendra aucune action pour convertir des données anonymes ou pseudonymisées en données non anonymes ou non pseudonymisées.

Sous-Titre 4 De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par l'organe de coordination pour l'analyse de la menace et dans la banque de données commune ?Terrorisme, Extrémisme, processus de Radicalisation?

Chapitre I.er Définitions

Article 138

§ 1^er

Les définitions visées à l'article 26, 1° à 6°, 9°, 11° à 14° et 16° à 17°, s'appliquent au présent sous-titre.

§ 2

Pour l'application du présent sous-titre, on entend par:

1°: “l'OCAM”: l'Organe de coordination pour l'analyse de la menace visé par la loi du 10 juillet 2006 relative à l'analyse de la menace;
2°: “le responsable du traitement”: une personne physique ou morale, une autorité publique, un service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel;
3°: “la loi du 18 juillet 1991”: la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace;
4°: “la loi du 11 décembre 1998”: [la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé];
5°: “autorité de contrôle”: une autorité publique indépendante chargée par la loi de surveiller l'application de la présente loi;
6°: “la loi du 10 juillet 2006”: la loi du 10 juillet 2006 relative à l'analyse de la menace;
7°: “le système d'informations de l'OCAM”: le système d'informations visé à l'article 9 de la loi du 10 juillet 2006;
8°: [“la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”)”: la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”) et modifiant la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, la loi du 30 juillet 2018 portant création de cellules de sécurité intégrale locales en matière de radicalisme, d'extrémisme et de terrorisme et la loi du 5 août 1992 sur la fonction de police;]
9°: [“la banque de données commune T.E.R.: la banque de données visées à l'article 3 de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”);]
10°: [“les responsables conjoints du traitement de la banque de données commune T.E.R.”: les responsables du traitement visés à l'article 5, alinéa 1^er, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”).]

Chapitre II Champ d'application

Article 139

Le présent sous-titre s'applique à tout traitement de données à caractère personnel par l'OCAM et ses sous-traitants effectué dans le cadre des missions visées par la loi du 16 juillet 2006, ainsi que par ou en vertu de lois particulières [et à tout traitement de données à caractère personnel dans la banque de données commune T.E.R.].

Les titres 1^er, 2, 4, 5, et 7 de la présente loi ne s'appliquent pas aux traitements visés à l'alinéa 1^er. Dans le titre 6, seuls les articles 226, 227 et 230 s'appliquent.

Chapitre III Conditions générales du traitement

Article 140

Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants:

1°: lorsque la personne concernée a indubitablement donné son consentement;
2°: lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée;
3°: lorsque le traitement est utile au respect d'une obligation à laquelle l'OCAM est soumis par ou en vertu d'une loi;
4°: lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou une autorité publique à laquelle les données à caractère personnel sont communiquées;
5°: [lorsque le traitement est utile dans le cadre des finalités prévues à l'article 5, alinéa 2, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”).]

Article 141

Les données à caractère personnel sont:

1°: traitées loyalement et licitement;
2°: collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, scientifiques ou statistiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par les articles 162 à 167;
3°: adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement;
4°: exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables sont prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.

Chapitre IV Nature des données à caractère personnel

Article 142

Dans la mesure nécessaire à l'intérêt de l'exercice de ses missions, l'OCAM traite des données à caractère personnel de toute nature, en ce compris celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, les données qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes.

Chapitre V Conservation des données à caractère personnel

Article 143

Les données à caractère personnel sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées et selon les modalités fixées dans l'article 9 de la loi du 16 juillet 2006 en ce qui concerne le système d'informations de l'OCAM et [l’article 7 de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”) en ce qui concerne la banque de données commune T.E.R.]

Chapitre VI Droits de la personne concernée

Article 144

Article 145

La personne concernée a le droit de demander:

1°: la rectification ou la suppression de ses données à caractère personnel inexactes;
2°: la vérification auprès de l'autorité de contrôle compétente du respect des dispositions du présent sous-titre.

Article 146

Les droits visés à l'article 145 s'exercent, sans frais, par l'intermédiaire de l'autorité de contrôle compétente, à l'initiative de la personne concernée justifiant de son identité.

L'autorité de contrôle compétente effectue les vérifications et communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.

Les modalités d'exercice de ces droits sont déterminées par la loi.

Article 147

Les autorités de contrôle visées à l'article 161 [, les responsables conjoints du traitement de la banque de données commune T.E.R.] et l'OCAM tiennent un journal des demandes d'exercice des droits par les personnes concernées.

Article 148

Une décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

L'interdiction prévue à l'alinéa 1^er ne s'applique pas lorsque la décision est fondée sur une disposition prévue par ou en vertu d'une loi ou lorsque la décision est nécessaire pour la sauvegarde d'un intérêt public important.

Chapitre VII Obligations du responsable du traitement et du sous-traitant

Section 1.re Obligations générales

Article 149

Le responsable du traitement:

1°: fait toute diligence pour tenir les données à caractère personnel à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance des dispositions du présent sous-titre;
2°: veille à ce que, pour les personnes agissant sous son autorité, l'accès aux données à caractère personnel et les possibilités de traitement soient limités à ce qui est utile à l'exercice de leurs fonctions ou aux besoins de l'OCAM [ou dans le cadre des finalités de la banque de données commune T.E.R. visées à l’article 5, alinéa 2, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”)];
3°: informe les personnes agissant sous son autorité des dispositions du présent sous-titre et de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel.

Article 150

Lorsque le traitement est confié à un sous-traitant, le responsable du traitement doit:

1°: choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements;
2°: veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles;
3°: fixer dans le contrat la responsabilité du sous-traitant;
4°: convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement et qu'il est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu en application du présent sous-titre;
5°: consigner par écrit ou sur un support électronique les éléments du contrat relatifs à la protection des données à caractère personnel et les exigences relatives aux mesures visées aux 3° et 4°.

Article 151

Le sous-traitant est soumis aux mêmes obligations que celles qui incombent au responsable du traitement.

Il ne peut pas confier le traitement de données à caractère personnel à un autre sous-traitant, sauf autorisation expresse du responsable du traitement.

Article 152

Toute personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf en cas d'une obligation imposée par ou en vertu d'une loi.

Section 2 Responsables conjoints du traitement

Article 153

Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.

Un seul point de contact pour les personnes concernées peut être désigné dans l'accord. Les responsables conjoints du traitement incluent ce point de contact dans le registre visé à l'article 156.

Section 3 Sécurité des données à caractère personnel

Article 154

Article 155

§ 1^er [

Sous réserve de l'article 13 de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”), en cas de brèche de sécurité susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement concerné la notifie à l'autorité de contrôle compétente dans les meilleurs délais et si possible, septante-deux heures après en avoir pris connaissance.

]

§ 2

Le sous-traitant notifie au responsable du traitement toute brèche de sécurité dans les meilleurs délais.

§ 3

La notification visée aux paragraphes 1^er et 2 décrit ou communique, à tout le moins:

1°: la nature de la brèche de sécurité y compris, si possible, le nombre estimé de personnes et d'enregistrements de données à caractère personnel concernés;
2°: le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
3°: les conséquences probables de la brèche de sécurité;
4°: les mesures que le responsable du traitement ou le sous-traitant a prises ou propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Section 4 Registres

Article 156

§ 1^er

Le responsable du traitement tient un registre, classifié au sens de la loi du 11 décembre 1998, [de la banque de données commune T.E.R.,] des banques de données de l'OCAM et de celles mises à sa disposition.

Ce registre comporte les informations suivantes:

1°

[pour la banque de données commune T.E.R. et les banques de données de l’OCAM:]

a): les coordonnées du responsable du traitement et, le cas échéant, des responsables conjoints du traitement, et du délégué à la protection des données;
b): les finalités du traitement;
c): les catégories de destinataires auxquels des données à caractère personnel peuvent être communiquées;
d): dans la mesure du possible, les délais prévus pour l'effacement des données à caractère personnel;
e): dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 154;

2°

pour les banques de données mises à la disposition de l'OCAM:

a): les coordonnées du responsable du traitement et, si possible pour les pays hors de l'Union européenne le service gestionnaire de la banque de données et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données;
b): les finalités du traitement par l'OCAM.

§ 2

Ce registre comprend les éléments suivants:

1°: les coordonnées du sous-traitant et du responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les coordonnées du délégué à la protection des données;
2°: les catégories de traitements effectués pour le compte du responsable du traitement;
3°: dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 154.

§ 3

Les registres visés aux paragraphes 1^er et 2 se présentent sous une forme écrite y compris la forme électronique.

§ 4

Le responsable du traitement met le registre à la disposition de l'autorité de contrôle compétente à sa demande.

Le sous-traitant met le registre à la disposition du responsable du traitement ainsi qu'à la disposition de l'autorité de contrôle compétente à sa demande.

Section 5 Délégué à la protection des données

Article 157

§ 1^er

Le responsable du traitement et, le cas échéant, le sous-traitant désignent un délégué à la protection des données. Cette décision est communiquée à l'autorité de contrôle compétente.

Le délégué à la protection des données est titulaire d'une habilitation de sécurité de niveau “très secret”, au sens de la loi du 11 décembre 1998.

§ 2

Le délégué à la protection des données peut s'adresser au Comité permanent R pour contester cette décision.

§ 3

Il est chargé de manière indépendante:

1°: de veiller au respect du présent sous-titre lors de tout traitement de données à caractère personnel;
2°: de conseiller toutes mesures utiles afin d'assurer la sécurité des données enregistrées;
3°: d'informer et conseiller le responsable du traitement, et le cas échéant, le sous-traitant, le dirigeant et le personnel du service concerné procédant au traitement sur les obligations qui leur incombent sur la base du présent sous-titre;
4°: de fournir des avis ou des recommandations au responsable du traitement, et le cas échéant au sous-traitant, et au dirigeant de l'OCAM;
5°: d'exécuter d'autres missions qui lui sont confiées par le responsable du traitement, le cas échéant le sous-traitant ou le dirigeant de l'OCAM.

Le délégué à la protection des données est le point de contact avec l'autorité de contrôle compétente en ce qui concerne l'application du présent sous-titre.

§ 4

Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que leur délégué à la protection des données dispose des ressources nécessaires pour exercer ses missions.

Le délégué à la protection des données peut être assisté par un ou plusieurs adjoints.

§ 5

Le cas échéant, les modalités de fonctionnement, de désignation ainsi que les compétences requises peuvent être définies par le Roi.

Article 157/1

§ 1^er

Les responsables conjoints du traitement de la banque de données commune T.E.R. et, le cas échéant, le sous-traitant désignent un délégué à la protection des données. Cette décision est communiquée aux autorités de contrôle compétentes.

Le délégué à la protection des données est titulaire d'une habilitation de sécurité de niveau “secret”, au sens de la loi du 11 décembre 1998.

§ 2

Le délégué à la protection des données peut s'adresser à l'Organe de contrôle de l'information policière ou au Comité permanent R pour contester cette décision.

§ 3

Il est chargé de manière indépendante:

1°: de veiller au respect du présent sous-titre lors de tout traitement de données à caractère personnel dans le cadre de la banque de données commune T.E.R.;
2°: de conseiller toutes mesures utiles afin d'assurer la sécurité des données enregistrées dans la banque de données commune T.E.R.;
3°: d'informer et conseiller les responsables conjoints du traitement de la banque de données commune T.E.R., et, le cas échéant, le gestionnaire, le responsable opérationnel, le sous-traitant, le dirigeant et le personnel du service concerné procédant au traitement sur les obligations qui leur incombent sur la base du présent sous-titre et de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”);
4°: de fournir des avis ou des recommandations aux responsables conjoints du traitement de la banque de données commune T.E.R. et, le cas échéant, au gestionnaire, au responsable opérationnel et au sous-traitant;
5°: d'exécuter d'autres missions qui lui sont confiées par les responsables conjoints du traitement de la banque de données commune T.E.R., et le cas échéant, le responsable opérationnel.

§ 4

Le délégué à la protection des données:

1°: veille à la sensibilisation des utilisateurs dans les matières de protection des données à caractère personnel et de sécurité;
2°: coopère avec le gestionnaire dans le cadre de l'élaboration des procédures;
3°: coopère, si nécessaire avec les délégués à la protection des données des services qui traitent des données de la banque de données commune T.E.R.;
4°: est le point de contact avec les autorités de contrôle sur les questions relatives aux traitements réalisés dans la banque de données commune T.E.R.

§ 5

Le délégué à la protection des données exerce ses fonctions en toute indépendance et dans le respect des compétences et missions respectives des services de base et des services partenaires.

Les responsables conjoints du traitement de la banque de données commune T.E.R., le gestionnaire et le responsable opérationnel veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

Les responsables conjoints du traitement de la banque de données commune T.E.R. veillent à ce que le délégué à la protection des données dispose des ressources nécessaires pour exercer ses missions.

Le délégué à la protection des données peut être assisté par un ou plusieurs adjoints.

Il rend compte directement aux responsables conjoints du traitement de la banque de données commune T.E.R. qui en informent le responsable opérationnel.

§ 6

Le cas échéant, les modalités de fonctionnement, de désignation ainsi que les compétences requises du délégué à la protection des données peuvent être définies par le Roi.

Chapitre VIII Communication et transfert de données à caractère personnel

Section 1.re Communication de données à caractère personnel au secteur public et au secteur privé

Article 158

Par dérogation aux articles 20, 22, 23, 58 et 59 de la présente loi et aux articles 35 et 36 du règlement, un protocole, un avis du délégué à la protection des données, une analyse d'impact relative à la protection des données et l'avis résultant de la consultation de l'autorité de contrôle compétente ne peuvent pas être exigés comme condition préalable à la communication de données à caractère personnel issues de la banque de données commune “T.E.R.” à tout organisme public ou privé dans l'intérêt de l'exercice des missions de prévention et de suivi du terrorisme et de l'extrémisme, lorsqu'il peut mener au terrorisme, visées à l'article 3, alinéa 1^er, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”).

La communication visée à l'alinéa 1^er se déroule conformément aux articles 8 à 12 de la loi du 10 juillet 2006 relative à l'analyse de la menace.

La communication visée à l'alinéa 2 se déroule conformément aux articles 20 à 28 de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”).

Par dérogation à l'article 20, § 1^er, alinéa 2, lorsque les parties décident de conclure un protocole, celui-ci comprend:

1°: l'identification de l'organisme public ou privé qui échangent les données à caractère personnel et, le cas échéant, l'identification de l'OCAM;
2°: l'identification des responsables du traitement;
3°: les coordonnées des délégués à la protection des données concernés;
4°: les finalités pour lesquelles les données à caractère personnel sont transférées;
5°: la base légale;
6°: les restrictions aux droits de la personne concernée.

Le protocole visé à l'alinéa 5 porte le marquage “DIFFUSION RESTREINTE” au sens de l'arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité, pour autant qu'une classification au sens de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé ne se justifie pas.

Section 2 Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales

Article 159

Le transfert de données à caractère personnel vers un pays non membres de l'Union européenne ou à une organisation internationale ne peut avoir lieu que si le pays ou l'organisation en question assure un niveau de protection adéquat et moyennant le respect des autres dispositions du présent sous-titre.

Le niveau de protection adéquat peut être assuré par des clauses de sécurité entre le responsable du traitement et le destinataire des données à caractère personnel.

Article 160

Par dérogation à l'article 159, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale n'assurant pas un niveau de protection adéquat, ne peut être effectué que lorsque:

1°: la personne concernée a indubitablement donné son consentement au transfert envisagé; ou
2°: le transfert est obligatoire dans le cadre des relations internationales; ou
3°: le transfert est nécessaire à la sauvegarde de l'intérêt vital des personnes; ou
4°: le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice.

Chapitre IX Autorité de contrôle

Article 161

Le Comité permanent R, en sa qualité d'autorité publique indépendante, et le Comité permanent de Contrôle des Services de police, sont désignés comme autorités de protection des données chargée du contrôle du traitement des données à caractère personnel par l'OCAM et par ses sous-traitants selon les modalités fixées par la loi du 18 juillet 1991.

[Les autorités de contrôle visées à l'article 2, 22°, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”) sont désignées conjointement comme autorités de protection des données chargées du contrôle du traitement des données à caractère personnel dans la banque de données commune T.E.R.]

Chapitre X Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques

Article 162

Par dérogation au titre 4, la consultation à des fins historiques, scientifiques ou statistiques des données à caractère personnel de l'OCAM et de son personnel par un responsable du traitement ultérieur est autorisée par l'OCAM si cela ne porte pas atteinte à ses missions visées dans la loi du 10 juillet 2006, à une information ou instruction judiciaire en cours ou aux relations que la Belgique entretient avec des États étrangers ou des organisations internationales et conformément à la loi du 10 juillet 2006.

Toute demande adressée aux Archives de l'État de traitement ultérieur de données à caractère personnel de l'OCAM et de son personnel à d'autres fins que celles visées à l'alinéa 1^er est refusée à moins que la finalité soit légitime et que l'OCAM estime que le traitement n'est pas susceptible de porter atteinte aux intérêts visés à l'alinéa 1^er.

[Par dérogation à l'alinéa 1^er, la consultation à des fins historiques, scientifiques ou statistiques des données à caractère personnel relatives aux entités enregistrées dans la banque de données commune T.E.R. par un responsable du traitement ultérieur est autorisée par le responsable opérationnel de la banque de données commune T.E.R. après concertation avec les services de base visés à l'article 2, 2°, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”). Lorsqu'elle peut compromettre la sécurité d'une personne, l'exercice de l'action publique, l'exercice d'une enquête de renseignement ou la relation avec un service répressif d'un État étranger ou avec un service de renseignement et de sécurité d'un État étranger, la consultation est d'office refusée.

Toute demande adressée aux Archives de l'État de traitement ultérieur de données à caractère personnel enregistrées dans la banque de données commune T.E.R. à d'autres fins que celles visées à l'alinéa 3 est refusée à moins que la finalité soit légitime, qu'il n'y ait pas une atteinte disproportionnée à la vie privée et après avis du responsable opérationnel.]

Article 163

Avant leur consultation visée à l'article 162, les données à caractère personnel sont marquées de la mention “Protection des données à caractère personnel – chapitre X, sous-titre 4 du titre 3 de la loi du 30 juillet 2018”.

Article 164

Les données à caractère personnel visées à l'article 162 sont rendues anonymes préalablement à leur consultation.

Si un traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, l'OCAM [ou le responsable opérationnel de la banque de données commune T.E.R. après concertation avec les services de base visés à l’article 2, 2°, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”) pour ce qui concerne la banque de données commune T.E.R.] peut autoriser la consultation de données pseudonymisées.

Si l'anonymisation ou la pseudonymisation ne rend pas l'identification des données impossible, l'OCAM [ou le responsable opérationnel de la banque de données commune T.E.R. après concertation avec les services de base visés à l’article 2, 2°, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”) pour ce qui concerne la banque de données commune T.E.R.] refuse la consultation si cela constitue une atteinte disproportionnée à la vie privée.

Si un traitement ultérieur de données pseudonymisées ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, l'OCAM [ou le responsable opérationnel de la banque de données commune T.E.R. après concertation avec les services de base visés à l’article 2, 2°, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”) pour ce qui concerne la banque de données commune T.E.R.] peut autoriser la consultation de données non pseudonymisées si cela ne porte pas une atteinte disproportionnée à la vie privée.

Article 165

Par dérogation au titre 4, une communication ou publication des données à caractère personnel visées à l'article 162 non anonymisées ou non pseudonymisées, consultées par le responsable du traitement ultérieur n'est possible qu'avec l'accord de l'OCAM [ou le responsable opérationnel de la banque de données commune T.E.R. après concertation avec les services de base visés à l’article 2, 2°, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”) pour ce qui concerne la banque de données commune T.E.R.] et sous les conditions que celui-ci aura fixées.

Article 166

Le responsable du traitement ultérieur des données à caractère personnel visées à l'article 162 tient un journal de ses activités de traitement ultérieur à des fins historiques, scientifiques ou statistiques.

Ce journal est classifié au sens de la loi du 11 décembre 1998 si le traitement porte sur des données classifiées.

Ce journal comporte les informations suivantes:

1°: les coordonnées du responsable du traitement initial, du responsable du traitement ultérieur et du délégué à la protection des données de ce dernier;
2°: les finalités du traitement ultérieur;
3°: les données faisant l'objet du traitement ultérieur;
4°: les éventuelles conditions du traitement ultérieur fixées par l'OCAM [ou par le responsable opérationnel de la banque de données commune T.E.R. après concertation avec les services de base visés à l’article 2, 2°, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”) pour ce qui concerne la banque de données commune T.E.R.];
5°: les éventuels destinataires autorisés par l'OCAM [ou par le responsable opérationnel de la banque de données commune T.E.R. après concertation avec les services de base visés à l’article 2, 2°, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”) pour ce qui concerne la banque de données commune T.E.R.].

Article 167

Toute autorité publique ou toute personne physique ou morale qui traite des données à caractère personnel visées à l'article 162 à des fins historiques, scientifiques ou statistiques est responsable dudit traitement.

Elle n'entreprendra aucune action pour convertir des données anonymes ou pseudonymisées en données non anonymes ou non pseudonymisées.

Sous-Titre 5 De la protection des personnes physiques à l'égard de certains traitements de données à caractère personnel par l'unité d'information des passagers

Chapitre I.er Définitions

Article 168

§ 1^er

Les définitions visées à l'article 26, 1° à 3°, 8°, 10° et 11°, et à l'article 72, § 2, 6° et 7°, s'appliquent au présent sous-titre.

§ 2

Pour l'application du présent sous-titre, on entend par:

1°: “la loi du 25 décembre 2016”: la loi du 25 décembre 2016 relative au traitement des données des passagers;
2°: “l'UIP”: l'Unité d'information des passagers visée au chapitre 7 de la loi du 25 décembre 2016.

Chapitre II Champ d'application

Article 169

[Le présent sous-titre s'applique à tout traitement de données à caractère personnel par l'UIP effectué dans le cadre des finalités visées à l'article 8 de la loi du 25 décembre 2016 lorsqu'elles relèvent de la compétence des services de renseignement et de sécurité.]

Les titres 1^er, 2, 4, 5 et 7 de la présente loi ne s'appliquent pas aux traitements visés à l'alinéa 1^er. Dans le titre 6, seuls les articles 226, 227 et 230 s'appliquent.

Chapitre III Conditions générales du traitement

Article 170

Les données à caractère personnel sont:

1°: traitées loyalement et licitement;
2°: collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des dispositions légales et réglementaires applicables;
3°: adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement;
4°: exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables sont prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.

Chapitre IV Conservation des données à caractère personnel

Article 171

Chapitre V Droits de la personne concernée

Article 172

Article 173

La personne concernée a le droit de demander:

1°: la rectification ou la suppression de ses données à caractère personnel inexactes;
2°: la vérification auprès du Comité permanent R du respect des dispositions du présent sous-titre.

Article 174

Les droits visés à l'article 173 s'exercent, sans frais, par l'intermédiaire du Comité permanent R, à l'initiative de la personne concernée justifiant de son identité.

Le Comité permanent R effectue les vérifications et communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.

Les modalités d'exercice de ces droits sont déterminées par la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace.

Article 175

Le Comité permanent R et l'UIP tiennent un journal des demandes d'exercice des droits par les personnes concernées.

Article 176

Chapitre VI Obligations du responsable du traitement

Section 1.re Obligations générales

Article 177

Le responsable du traitement:

1°: fait toute diligence pour tenir les données à caractère personnel à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance des dispositions du présent sous-titre;
2°: veille à ce que, pour les personnes agissant sous son autorité, l'accès aux données à caractère personnel et les possibilités de traitement soient limités à ce qui est utile à l'exercice de leurs fonctions ou aux besoins du service;
3°: informe les personnes agissant sous son autorité des dispositions du présent sous-titre et de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel.

Article 178

Toute personne agissant sous l'autorité du responsable du traitement qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf sur la base d'une obligation imposée par ou en vertu d'une loi.

Section 2 Sécurité des données à caractère personnel

Article 179

Le responsable du traitement prend les mesures techniques et organisationnelles appropriées requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.

Article 180

§ 1^er

§ 2

La notification visée au paragraphe 1^er décrit ou communique, à tout le moins:

1°: la nature de la brèche de sécurité y compris, si possible, le nombre estimé de personnes et d'enregistrements de données à caractère personnel concernés;
2°: le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
3°: les conséquences probables de la brèche de sécurité;
4°: les mesures que le responsable du traitement a prises ou propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Section 3 Registre

Article 181

§ 1^er

Le responsable du traitement tient un registre de la banque de données des passagers visée au chapitre 8 de la loi du 25 décembre 2016 d'une part et des banques de données mises à sa disposition d'autre part.

Ce registre comporte les informations suivantes:

1°

pour la banque de données des passagers précitée:

a): les coordonnées du responsable du traitement et du délégué à la protection des données;
b): les finalités du traitement;
c): les catégories de destinataires auxquels des données à caractère personnel peuvent être communiquées;
d): dans la mesure du possible, les délais prévus pour l'effacement des données à caractère personnel;
e): dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 179;

2°

pour les banques de données mises à la disposition de l'UIP:

a): les coordonnées du responsable du traitement et, si possible pour les pays hors de l'Union européenne le service gestionnaire de la banque de données et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données;
b): les finalités du traitement par l'UIP.

§ 2

Le registre visé au paragraphe 1^er se présente sous une forme écrite y compris la forme électronique.

§ 3

Le responsable du traitement met le registre à la disposition du Comité permanent R à sa demande.

Chapitre VII Communication et transfert de données à caractère personnel

Article 182

Le niveau de protection adéquat peut être assuré par des clauses de sécurité entre le responsable du traitement et le destinataire des données à caractère personnel.

Article 183

Par dérogation à l'article 182, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale n'assurant pas un niveau de protection adéquat, ne peut être effectué que lorsque:

1°: la personne concernée a indubitablement donné son consentement au transfert envisagé; ou
2°: le transfert est obligatoire dans le cadre des relations internationales; ou
3°: le transfert est nécessaire à la sauvegarde de l'intérêt vital des personnes; ou
4°: le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice.

Chapitre VIII Autorité de contrôle

Article 184

Les traitements de données à caractère personnel tels que visés dans ce sous-titre sont soumis au contrôle de l'autorité de contrôle visée à l'article 95.

Sous-Titre 6 Dispositions particulières

Article 185

§ 1^er

Dans la mesure nécessaire à l'exercice de leurs missions, les autorités publiques suivantes traitent des données à caractère personnel de toute nature, en ce compris celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, celles qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes:

1°: la commission administrative chargée de la surveillance des méthodes spécifiques et exceptionnelles de recueil de données des services de renseignement et de sécurité dans le cadre de ses missions visées à la loi du 30 novembre 1998 organique des services de renseignement et de sécurité;
2°: le Comité permanent R dans le cadre de ses missions visées à la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace, à la loi du 30 novembre 1998 organique des services de renseignement et de sécurité, et aux lois particulières;
3°: le Comité permanent P dans le cadre de ses missions visées dans la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace et dans des lois particulières;
4°: l'Organe de contrôle de l'information policière dans le cadre de ses missions visées dans l'article 71, § 1^er.

§ 2

Afin de garantir la confidentialité et l'efficacité de l'exécution des missions visées au paragraphe 1^er, l'accès par la personne concernée à ses données à caractère personnel est limité à celui qui est prévu dans les lois particulières.

§ 3

La personne concernée a le droit de demander la rectification ou la suppression de ses données à caractère personnel inexactes traitées par les autorités visées au paragraphe 1^er.

§ 4

À l'exception de la commission administrative visée au paragraphe 1^er, 1°, qui tombe sous la compétence du Comité permanent R, le traitement de données à caractère personnel par les autorités visées au premier paragraphe dans le cadre de leurs missions d'autorité de contrôle n'est pas soumis au contrôle de l'Autorité de protection des données visée dans la loi du 3 décembre 2017 portant création de l'Autorité de protection des données.

30/07/18 Loi RGPDLoi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Titre 3 De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par d'autres autorités que celles visées aux titres 1er et 2

Sous-Titre 1.er De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les services de renseignements et de sécurité

Chapitre I.er Définitions

Article 72

Chapitre II Champ d'application

Article 73

Chapitre III Conditions générales du traitement

Article 74

Article 75

Chapitre IV Nature des données à caractère personnel

Article 76

Chapitre V Conservation des données à caractère personnel

Article 77

Chapitre VI Droits de la personne concernée

Article 78

Article 79

Article 80

Article 81

Article 82

Chapitre VII Obligations du responsable du traitement et du sous-traitant

Section 1.re Obligations générales

Article 83

Article 84

Article 85

Article 86

Section 2 Responsables conjoints du traitement

Article 87

Section 3 Sécurité des données à caractère personnel

Article 88

Article 89

Section 4 Registres

Article 90

Section 5 Délégué à la protection des données

Article 91

Chapitre VIII Communication et transfert de données à caractère personnel

Section 1.re Communication de données à caractère personnel au secteur public et au secteur privé

Article 92

Section 2 Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales

Article 93

Article 94

Chapitre IX Autorité de contrôle

Article 95

Article 96

Article 97

Article 98

Chapitre X Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques

Article 99

Article 100

Article 101

Article 102

Article 103

Article 104

Sous-Titre 2 De la protection des personnes physiques concernant le traitement des données à caractère personnel par les forces armées

Article 105

Sous-Titre 3 La protection des personnes physiques à l?égard des traitements de données à caractère personnel dans le cadre de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé

Chapitre I.er Définitions

Article 106

Chapitre II Champ d'application

Article 107

Chapitre III Conditions générales du traitement

Article 108

Article 109

Chapitre IV Nature des données à caractère personnel

Article 110

Chapitre V Conservation des données à caractère personnel

Article 111

Chapitre VI Droits de la personne concernée

Article 112

Article 113

Article 114

Article 115

Chapitre VII Obligations du responsable du traitement et du sous-traitant

Section 1.re Obligations générales

Article 116

Article 117

Article 118

Article 119

Section 2 Responsables conjoints du traitement

Article 120

30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel