30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Sous-Titre 5 De la protection des personnes physiques à l'égard de certains traitements de données à caractère personnel par l'unité d'information des passagers
Chapitre I.er Définitions
Article 168
§ 1
er
Les définitions visées à l'article 26, 1° à 3°, 8°, 10° et 11°, et à l'article 72, § 2, 6° et 7°, s'appliquent au présent sous-titre.
§ 2
Pour l'application du présent sous-titre, on entend par:
- 1°
- “la loi du 25 décembre 2016”: la loi du 25 décembre 2016 relative au traitement des données des passagers;
- 2°
- “l'UIP”: l'Unité d'information des passagers visée au chapitre 7 de la loi du 25 décembre 2016.
Chapitre II Champ d'application
Article 169
[Le présent sous-titre s'applique à tout traitement de données à caractère personnel par l'UIP effectué dans le cadre des finalités visées à l'article 8 de la loi du 25 décembre 2016 lorsqu'elles relèvent de la compétence des services de renseignement et de sécurité.]
Les titres 1er, 2, 4, 5 et 7 de la présente loi ne s'appliquent pas aux traitements visés à l'alinéa 1er. Dans le titre 6, seuls les articles 226, 227 et 230 s'appliquent.
Chapitre III Conditions générales du traitement
Article 170
Les données à caractère personnel sont:
- 1°
- traitées loyalement et licitement;
- 2°
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des dispositions légales et réglementaires applicables;
- 3°
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement;
- 4°
- exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables sont prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.
Chapitre IV Conservation des données à caractère personnel
Article 171
Les données à caractère personnel sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées et selon les modalités fixées par le chapitre 9 de la loi du 25 décembre 2016.
Chapitre V Droits de la personne concernée
Article 172
Lors du traitement de données à caractère personnel la concernant, toute personne physique a droit à la protection de ses libertés et droits fondamentaux, notamment à la protection de ses données à caractère personnel.
Article 173
La personne concernée a le droit de demander:
- 1°
- la rectification ou la suppression de ses données à caractère personnel inexactes;
- 2°
- la vérification auprès du Comité permanent R du respect des dispositions du présent sous-titre.
Article 174
Les droits visés à l'article 173 s'exercent, sans frais, par l'intermédiaire du Comité permanent R, à l'initiative de la personne concernée justifiant de son identité.
Le Comité permanent R effectue les vérifications et communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.
Les modalités d'exercice de ces droits sont déterminées par la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace.
Article 175
Le Comité permanent R et l'UIP tiennent un journal des demandes d'exercice des droits par les personnes concernées.
Article 176
Une décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
Chapitre VI Obligations du responsable du traitement
Section 1.re Obligations générales
Article 177
Le responsable du traitement:
- 1°
- fait toute diligence pour tenir les données à caractère personnel à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance des dispositions du présent sous-titre;
- 2°
- veille à ce que, pour les personnes agissant sous son autorité, l'accès aux données à caractère personnel et les possibilités de traitement soient limités à ce qui est utile à l'exercice de leurs fonctions ou aux besoins du service;
- 3°
- informe les personnes agissant sous son autorité des dispositions du présent sous-titre et de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel.
Article 178
Toute personne agissant sous l'autorité du responsable du traitement qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf sur la base d'une obligation imposée par ou en vertu d'une loi.
Section 2 Sécurité des données à caractère personnel
Article 179
Le responsable du traitement prend les mesures techniques et organisationnelles appropriées requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.
Ces mesures assurent un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à caractère personnel à protéger et des risques potentiels.
Article 180
§ 1
er
En cas de brèche de sécurité susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement concerné la notifie au Comité permanent R dans les meilleurs délais et si possible, 72 heures après en avoir pris connaissance.
§ 2
La notification visée au paragraphe 1
er décrit ou communique, à tout le moins:
- 1°
- la nature de la brèche de sécurité y compris, si possible, le nombre estimé de personnes et d'enregistrements de données à caractère personnel concernés;
- 2°
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
- 3°
- les conséquences probables de la brèche de sécurité;
- 4°
- les mesures que le responsable du traitement a prises ou propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Section 3 Registre
Article 181
§ 1
er
Le responsable du traitement tient un registre de la banque de données des passagers visée au chapitre 8 de la loi du 25 décembre 2016 d'une part et des banques de données mises à sa disposition d'autre part.
Ce registre comporte les informations suivantes:
- 1°
- pour la banque de données des passagers précitée:
- a)
- les coordonnées du responsable du traitement et du délégué à la protection des données;
- b)
- les finalités du traitement;
- c)
- les catégories de destinataires auxquels des données à caractère personnel peuvent être communiquées;
- d)
- dans la mesure du possible, les délais prévus pour l'effacement des données à caractère personnel;
- e)
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 179;
- 2°
- pour les banques de données mises à la disposition de l'UIP:
- a)
- les coordonnées du responsable du traitement et, si possible pour les pays hors de l'Union européenne le service gestionnaire de la banque de données et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données;
- b)
- les finalités du traitement par l'UIP.
§ 2
Le registre visé au paragraphe 1er se présente sous une forme écrite y compris la forme électronique.
§ 3
Le responsable du traitement met le registre à la disposition du Comité permanent R à sa demande.
Chapitre VII Communication et transfert de données à caractère personnel
Article 182
Le transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale ne peut avoir lieu que si le pays ou l'organisation en question assure un niveau de protection adéquat et moyennant le respect des autres dispositions du présent sous-titre et des dispositions du chapitre 12 de la loi du 25 décembre 2016.
Le caractère adéquat du niveau de protection s'apprécie au regard de toutes les circonstances relatives à un transfert de données à caractère personnel ou à une catégorie de transferts de données à caractère personnel. Il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays ou l'organisation en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.
Le niveau de protection adéquat peut être assuré par des clauses de sécurité entre le responsable du traitement et le destinataire des données à caractère personnel.
Article 183
Par dérogation à l'article 182, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale n'assurant pas un niveau de protection adéquat, ne peut être effectué que lorsque:
- 1°
- la personne concernée a indubitablement donné son consentement au transfert envisagé; ou
- 2°
- le transfert est obligatoire dans le cadre des relations internationales; ou
- 3°
- le transfert est nécessaire à la sauvegarde de l'intérêt vital des personnes; ou
- 4°
- le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice.
Chapitre VIII Autorité de contrôle
Article 184
Les traitements de données à caractère personnel tels que visés dans ce sous-titre sont soumis au contrôle de l'autorité de contrôle visée à l'article 95.
