Etaamb.openjustice.be
Arrêté Royal du 06 décembre 2015
publié le 28 décembre 2015

Arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données

source
service public federal interieur et service public federal justice
numac
2015000608
pub.
28/12/2015
prom.
06/12/2015
ELI
eli/arrete/2015/12/06/2015000608/moniteur
moniteur
https://www.ejustice.just.fgov.be/cgi/article_body(...)
liens
Conseil d'État (chrono)
Document Qrcode

6 DECEMBRE 2015. - Arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données


RAPPORT AU ROI Sire, La loi du 18 mars 2014Documents pertinents retrouvés type loi prom. 18/03/2014 pub. 24/11/2014 numac 2014000832 source service public federal interieur Loi relative à la gestion de l'information policière et modifiant la loi du 5 août 1992 sur la fonction de police, la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le Code d'instruction criminelle. - Traduction allemande type loi prom. 18/03/2014 pub. 28/03/2014 numac 2014000253 source service public federal interieur Loi relative à la gestion de l'information policière et modifiant la loi du 5 août 1992 sur la fonction de police, la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le Code d'instruction criminelle fermer relative à la gestion de l'information policière et modifiant la loi sur la fonction de police, la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le Code d'instruction criminelle, porte notamment sur la gestion des données à caractère personnel et des informations par les services de police.

Cette loi modificative vise à améliorer tant l'efficacité de la gestion de l'information policière que la protection de la vie privée des citoyens à l'égard du traitement des informations par les services de police.

Les avancées technologiques offrent de nouvelles perspectives dans le travail quotidien des policiers mais, en même temps, elles créent de nouveaux risques pour la sécurité et pour la vie privée des individus.

Face à ces nouveaux défis, l'Union européenne entame une réforme visant à renforcer le cadre législatif en matière de protection des données. De nouvelles obligations sont dès lors, à prévoir, entre autres, au sein de l'organisation policière. Dans ce cadre, une attention particulière doit être accordée à des mesures structurelles, organisationnelles, physiques et techniques afin de remplir les objectifs de la loi et des travaux européens.

C'est la raison pour laquelle le législateur prévoit la désignation d'un conseiller en sécurité et en protection de la vie privée auprès de chaque zone de police et chaque entité concernée de la police fédérale qui traite des données à caractère personnel et des informations au sens de la loi. Le conseiller en sécurité et en protection de la vie privée assiste et conseille l'autorité compétente que ce soit le chef de corps ou l'autorité désignée pour la police fédérale dans tous les aspects de la sécurité de l'information et de la protection de la vie privée. Cette désignation s'inscrit dans la lignée des exigences de transparence et de prévisibilité du texte de la loi.

CONSIDERATIONS GENERALES Une vision pratique est privilégiée lors de la sélection du conseiller en sécurité et en protection de la vie privée.

D'une part, la mesure de l'implication du conseiller dans les missions qui lui sont attribuées dépend de la nature et du nombre de traitements mis en oeuvre, de la taille de la zone ou de l'entité de la police fédérale dans laquelle il exerce sa fonction de sorte qu'un diplôme universitaire n'est pas forcément requis.

D'autre part, une personne peut être désignée pour plusieurs zones et/ou entités de la police fédérale. L'esprit de la loi étant en faveur de la souplesse, l'avantage principal d'un tel regroupement réside dans le lissage des coûts tout en maintenant un fonctionnement et des responsabilités séparées.

Et enfin, la plate-forme de la sécurité et de la protection des données permettra dans une certaine mesure d'apporter les connaissances adaptées au contexte policier et de favoriser le développement de ces connaissances tant dans le domaine de la sécurité de l'information que dans le domaine de la protection des données, par exemple, par l'échange de bonnes pratiques.

Le conseiller se voit confier des compétences dans le domaine de la sécurité de l'information et de la protection de la vie privée. Ses tâches se concentrent sur le traitement des informations policières en ce compris les données à caractère personnel. Dès lors, sa désignation ne relève pas de la loi du 4 août 1996Documents pertinents retrouvés type loi prom. 04/08/1996 pub. 08/06/2005 numac 2005015073 source service public federal affaires etrangeres, commerce exterieur et cooperation au developpement Loi portant assentiment à la Convention entre le Royaume de Belgique et la République gabonaise tendant à éviter la double imposition et à prévenir l'évasion fiscale en matière d'impôts sur le revenu et sur la fortune, signée à Bruxelles le 14 janvier 1993 type loi prom. 04/08/1996 pub. 24/07/1997 numac 1996015142 source ministere des affaires etrangeres, du commerce exterieur et de la cooperation au developpement Loi portant approbation de la Convention entre le Royaume de Belgique et la République Arabe d'Egypte tendant à éviter les doubles impositions et à prévenir l'évasion fiscale en matière d'impôts sur le revenu, signée au Caire le 3 janvier 1991 type loi prom. 04/08/1996 pub. 21/10/1999 numac 1999015088 source ministere des affaires etrangeres, du commerce exterieur et de la cooperation internationale Loi portant assentiment au Protocole entre le gouvernement du Royaume de Belgique et le gouvernement de la République française relatif aux allocations de naissance, signé à Bruxelles, le 26 avril 1993 fermer relative au bien-être des travailleurs lors de l'exécution de leur travail.

Afin de répondre aux préoccupations de la Commission de la vie privée exprimées dans son avis n° 47/2013 du 2 octobre 2013 pointant l'absence de la moindre mission liée à la protection de la vie privée dans l'avant-projet de loi sur la gestion de l'information policière, le présent projet d'arrêté royal s'efforce d'opérer le rééquilibrage nécessaire en attribuant de manière explicite un ensemble de compétences en matière de protection de la vie privée et dépassant ainsi le seul aspect relatif à la sécurité.

Le présent projet d'arrêté royal s'inspire tant des textes nationaux en vigueur que des initiatives au niveau européen. Parmi ceux-ci, on dénombre la loi du 20 décembre 2002Documents pertinents retrouvés type loi prom. 20/12/2002 pub. 20/01/2003 numac 2002013513 source service public federal emploi, travail et concertation sociale 20 DECEMBRE 2002 Loi portant protection des conseillers en prévention type loi prom. 20/12/2002 pub. 20/01/2003 numac 2002013512 source service public federal emploi, travail et concertation sociale Loi modifiant le Code judiciaire en fonction de la loi du 20 décembre 2002 portant protection des conseillers en prévention fermer portant protection des conseillers en prévention, l'arrêté royal du 12 août 1993 organisant la sécurité de l'information dans les institutions de sécurité sociale, l'arrêté royal du 17 mars 2013 relatif aux conseillers en sécurité institués par la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral, the survey on the function of Data Protection Coordinators at the European Commission General Report, la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, la décision du Conseil du 6 avril 2009 portant création de l'Office européen de police (Europol), le règlement (CE) N° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données et enfin, la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).

EXPLICATIONS COMPLEMENTAIRES PAR ARTICLE

Article 1er.Parmi les définitions figurant dans cet article, la définition de traitement au sens du projet d'arrêté royal a une portée plus large que celle énoncée dans la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement des données à caractère personnel ci-après dénommée "loi vie privée". Tout comme le prévoit cette loi, le traitement vise toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. Cependant, le projet d'arrêté royal ne limite pas ces opérations aux données à caractère personnel mais les étend également à l'ensemble des informations intéressant l'exercice de la police administrative et de la police judiciaire.

L'article 2 décrit de manière générale les missions du conseiller en sécurité et en protection de la vie privée. Vu la complexité croissante des règles dans le domaine de la sécurité de l'information et de la protection de la vie privée, il peut se révéler une assistance précieuse auprès de l'autorité compétente. Les missions du conseiller sont liées entre elles. En effet, c'est l'ensemble de ses missions qui lui permet d'assister de manière efficace l'autorité compétente amenée à se conformer à de nombreuses obligations légales.

Ainsi, sa mission de contrôle est nécessaire à la formulation d'avis et de recommandations pertinents. Il peut également vérifier la conformité des traitements à la loi afin de constituer une documentation utile pour l'autorité compétente. En outre, par sa connaissance de la situation de la zone ou de l'entité concernée, il peut pleinement jouer un rôle de stimulateur.

En vertu de l'article 3, la personne désignée doit avoir une connaissance préalable dans la sécurité et la protection des données.

Il est souhaitable qu'elle puisse exercer sa fonction pour une période suffisamment longue afin de pouvoir faire profiter l'organisation de police de son expérience. Afin de mener à bien ses missions, elle doit pouvoir suivre les formations nécessaires.

L'article 4 encadre les conflits d'intérêts. Parmi les diverses missions qu'il exerce, le conseiller effectue une mission de contrôle.

C'est en tenant compte de cette mission que s'apprécie le conflit d'intérêts. Il ne peut à la fois être "le contrôleur et le contrôlé".

Ainsi, sont visées les positions de leaders dans l'organisation dans le domaine de la sécurité et la protection des données ou bien celles qui ont pour objet de mettre en place les mesures de sécurité. Il en résulte par exemple que les fonctions qui ont un pouvoir de décision sur les caractéristiques techniques et les critères de sécurité du système d'information sont incompatibles avec celles du conseiller en sécurité et en protection de la vie privée. Par ailleurs, sans que cela ne soit interdit, il est souhaitable que le conseiller en sécurité et en protection de la vie privée n'exerce aucune fonction opérationnelle dans le traitement des données à caractère personnel ou de l'information policière.

Une des missions du conseiller en sécurité et en protection de la vie privée est de collaborer avec les autorités de contrôle. Conformément à la loi, il est chargé des contacts avec la Commission de la protection de la vie privée. Dans ce cadre, il est amené à répondre aux demandes des autorités de contrôle dont les demandes d'accès indirect introduites par tout particulier conformément à l'article 13 de la loi vie privée. La communication de ses coordonnées prévue à l'article 5, dans le mois de sa désignation, auprès de la Commission de la protection de la vie privée et de l'Organe de contrôle rend cette collaboration effective.

Article 6.Bien que la loi énonce le principe d'indépendance qui caractérise le conseiller en sécurité et en protection de la vie privée, la Commission de la protection de la vie privée dans son avis susmentionné, note que ce texte ne prévoit aucune garantie d'indépendance. Le présent projet d'arrêté royal précise la manière dont il exerce sa fonction. Le conseiller en sécurité et en protection de la vie privée et ses collaborateurs éventuels ne peuvent pas être relevés de leur fonction en raison des avis qu'ils émettent ou des actes qu'ils accomplissent dans le cadre de l'exercice normal de leurs fonctions. Cet article s'inspire de l'article 3 de la loi du 20 décembre 2002Documents pertinents retrouvés type loi prom. 20/12/2002 pub. 20/01/2003 numac 2002013513 source service public federal emploi, travail et concertation sociale 20 DECEMBRE 2002 Loi portant protection des conseillers en prévention type loi prom. 20/12/2002 pub. 20/01/2003 numac 2002013512 source service public federal emploi, travail et concertation sociale Loi modifiant le Code judiciaire en fonction de la loi du 20 décembre 2002 portant protection des conseillers en prévention fermer portant protection des conseillers en prévention. Si l'autorité ne peut imposer le contenu d'un avis, en revanche, elle peut définir les délais, une méthodologie ou une manière de fonctionner dans des dossiers ponctuels afin que le conseiller assure un travail plus efficace. Enfin, le conseiller voit son autonomie renforcée par le bénéfice d'une protection analogue à celle de l'article 2, § 3, 1°, a) de l'arrêté royal du 9 octobre 2014 portant exécution de l'article 3, § 2 de la loi du 15 septembre 2013Documents pertinents retrouvés type loi prom. 15/09/2013 pub. 04/10/2013 numac 2013002044 source service public federal personnel et organisation Loi relative à la dénonciation d'une atteinte suspectée à l'intégrité au sein d'une autorité administrative fédérale par un membre de son personnel fermer relative à la dénonciation d'une atteinte suspectée à l'intégrité au sein d'une autorité administrative fédérale par un membre de son personnel.

Afin de préserver son indépendance, le conseiller doit pouvoir être proche du haut management à qui il s'adresse directement.

Il ne peut pas subir de désavantage dans sa carrière en raison de l'accomplissement de ses missions.

Il peut toutefois être déchargé de ses fonctions par l'autorité compétente dès lors qu'il manque gravement aux devoirs de sa mission.

L'article 7 impose une obligation de confidentialité au conseiller en sécurité et en protection de la vie privée et à ses collaborateurs éventuels. De par sa fonction, il entre en contact avec des informations sensibles, notamment avec des informations se trouvant dans les banques de données des services de police. Il s'agit également des renseignements et modalités pratiques relatives aux mesures de sécurité et aux informations relatives au fonctionnement des systèmes d'information. Il est dès lors tenu de traiter ces informations de manière confidentielle. L'arrêté royal du 30 mars 2001 portant la position juridique du personnel des services de police prévoit déjà le secret professionnel pour les membres du personnel de la police. Cette disposition s'inscrit logiquement dans la lignée de l'article 131 de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux type loi prom. 07/12/1998 pub. 19/01/1999 numac 1998003673 source ministere des finances Loi contenant le dixième ajustement du Budget général des dépenses de l'année budgétaire 1998. - Sections 13 - « Ministère de l'Intérieur », 18 - « Ministère des Finances » et 19 - « Ministère de la Fonction publique » fermer et par conséquent, l'article 458 du Code pénal est également d'application. L'obligation de confidentialité de l'article 7 vise à régler la situation particulière des conseillers désignés dans les liens d'un contrat et des personnes externes qui les assistent. Si un contrat est établi, des clauses de confidentialité seront prévues dans tous les cas.

La loi fait peser sur l'autorité compétente de nombreuses obligations légales. En outre, les développements technologiques accroissent la complexité de ces obligations. Le conseiller, par la nature de sa fonction, sera amené à prendre connaissance de certains manquements.

Il pourra offrir ses conseils et, dans la mesure du possible, proposer des solutions à l'autorité compétente. Une relation de confiance est, dès lors, nécessaire à la bonne exécution de ses missions, ce qui implique une certaine réserve du conseiller.

L'article 8 stipule que les ressources nécessaires sont affectées au conseiller en sécurité et en protection de la vie privée pour lui permettre d'exécuter ses missions. Ces ressources consistent par exemple en une aide en personnel par la mise à disposition d'un secrétariat ou en moyens matériels. Le conseiller peut se faire assister par des collaborateurs. C'est le cas lorsque la taille de l'entité ou la complexité des flux de données l'exigent. Tout comme le conseiller, ses adjoints et ses collaborateurs doivent être à l'abri d'un conflit d'intérêts et doivent disposer des garanties d'indépendance. L'obligation de confidentialité déjà prévue à l'article 7 complète son statut.

L'accord de l'autorité compétente peut être général. Si les moyens sollicités entraînent un coût spécifique, l'accord donné conformément à la procédure décisionnelle en matière budgétaire sera spécifique.

L'appel à des firmes externes doit respecter les règles liées aux marchés publics. Dans ce cas, un accord spécifique devra notamment être sollicité.

Enfin, l'article 8 donne la possibilité au conseiller d'accéder aux informations nécessaires à l'exercice de ses missions. Il s'agit notamment des données traitées par la zone ou l'entité concernée de la police fédérale ou des contrats en lien avec la sécurité ou la protection des données.

L'article 9 établit une liste des missions classiques du conseiller.

La gestion de la documentation en fait partie. Il va de soi que cette gestion implique la communication et la mise à jour de cette documentation. Le conseiller veille également à la sensibilisation des utilisateurs à la protection des données à caractère personnel. Cette mission cadre parfaitement avec les travaux en cours portant sur la révision de la convention n° 108 du Conseil de l'Europe et en vertu de laquelle les parties à la convention sont résolues à en faire désormais une priorité.

Le conseiller encourage les activités d'évaluation des risques.

L'examen de l'application interne des dispositions légales et de la conformité des traitements et de la politique de sécurité est sans conteste la mission la plus vaste du conseiller en sécurité et en protection de la vie privée. Il peut s'agir, notamment, de veiller à la bonne application de l'article 17 de la loi vie privée et à la mise à jour des données telle qu'elle est prévue à l'article 44/5, § 6, de la loi sur la fonction de police. Le conseiller peut également procéder à la vérification des conditions de l'accès direct ou de l'interrogation directe, de la conformité d'un enregistrement dans une des banques de données visées à l'article 44/2 de la loi à l'occasion d'une demande d'accès d'un particulier ainsi que du respect des autres conditions de licéité des traitements des données à caractère personnel régies par le loi vie privée. Ses tâches peuvent également avoir un caractère plus technique. Il en est ainsi des mesures nécessaires à la garantie de l'intégrité, à la fiabilité, à l'archivage et à l'effacement des données. Le conseiller porte également une attention particulière aux risques liés aux traitements des données effectués par des tiers ou des sous-traitants ainsi qu'à la communication des données à des tiers.

Le conseiller coopère avec les autorités de contrôle à leur demande ou de sa propre initiative. Sont visées toutes les autorités de contrôle à laquelle la police intégrée est soumise : l'Organe de contrôle, la Commission pour la protection de la vie privée, le Comité P, etc.

Le conseiller tient l'autorité compétente au courant de ces contacts en particulier lorsque la responsabilité de l'autorité est engagée.

L'article 10 entame les modalités d'exécution des missions du conseiller en sécurité et en protection de la vie privée. Il a un rôle de conseil et de recommandation dans tous les aspects de la sécurité de l'information et de la protection de la vie privée. Lorsqu'il est confronté à des manquements, il est censé proposer des solutions concrètes et anticiper d'autres manquements à venir.

Il assiste l'autorité compétente dans ses rapports avec toutes les parties impliquées telles que des entreprises privées ou un autre service de la police intégrée et ce, en vue de gérer les problèmes de sécurité et de protection des données.

L'article 11 détermine que le conseiller en sécurité et en protection de la vie privée est un acteur central dans l'analyse des risques. Il reçoit l'aide de la hiérarchie et de toute personne adéquate dont les techniciens ICT. Le conseiller ne sera pas forcément le responsable de l'exécution de cette analyse des risques. Il doit certainement être associé de près ou de loin en fournissant, par exemple, une méthodologie et en effectuant le suivi des mesures à prendre.

Lorsque le risque est majeur, l'article 12 prévoit une procédure écrite de manière à mieux appréhender la gestion de ces risques.

Afin de pouvoir assurer le suivi et intégrer les mesures prises dans les futures analyses, la procédure prévoit que le conseiller soit informé de la décision prise par la hiérarchie.

L'article 13 décrit les rôles de la hiérarchie et du conseiller dans la gestion des mesures de prévention et de protection qui s'appliquent à l'organisation. Sa connaissance concrète des systèmes lui permet de proposer une politique pour répondre aux besoins de manière planifiée par la mise en place de priorités.

Conformément à l'article 44/4, il appartient aux ministres de l'Intérieur et de la Justice de déterminer les mesures nécessaires en vue d'assurer la gestion et la sécurité. Cependant, vu que conformément à l'article 44/11/3 certaines autorités compétentes sont désignées comme responsables du traitement des banques de données particulières, il leur appartient de déterminer les mesures spécifiques applicables à leur entité et de ce fait, la politique de sécurité et de la protection de la vie privée spécifique à la zone ou l'entité concernée.

L'article 14 confie au conseiller en sécurité et en protection de la vie privée la mission de rédiger un projet de plan pluriannuel en spécifiant les objectifs et moyens nécessaires à la réalisation de ce plan. Afin de se conformer à l'avis 33/2014 de la Commission pour la protection de la vie privée, la mention "en collaboration avec les personnes concernées" a été ajoutée. Parmi les services concernés sont entre autres visés le service ICT, infrastructure et du personnel.

Etant donné que ce plan a des conséquences budgétaires, il doit être rédigé à temps afin que les conséquences puissent être prises en considération dans le budget. Une révision annuelle du plan est requise.

Article 15.Au moins une fois par an, le conseiller en sécurité et en protection de la vie privée communique le résultat global de ses activités à l'autorité compétente.

Au travers de ce résultat global, la situation de la zone ou de l'entité concernée de la police fédérale en matière de sécurité et de protection des données peut être évaluée.

Les articles 16 à 19 portent sur la composition et les modalités de fonctionnement de la plate-forme de la sécurité et de la protection des données. En créant cette plate-forme, la loi vise à réaliser trois objectifs : -coordonner le travail des conseillers en sécurité et en protection de la vie privée; - apporter une uniformité dans les matières de sécurité et de protection de la vie privée; - promouvoir un partage de compétences relatives à ces matières.

La plate-forme doit donc être un lieu d'échange où tous les conseillers en sécurité et en protection de la vie privée ont leur place et peuvent rencontrer leurs pairs et des experts. Vu le nombre potentiel de conseillers, des structures plus souples tels que des groupes de travail thématiques permanents ou temporaires devront être créés.

De par son existence, la plate-forme crée les conditions de l'échange d'expériences et de la mise en place progressive de bonnes pratiques par ces différents conseillers présents sur l'ensemble du territoire national. Elle favorise l'apport des connaissances en matière de sécurité de l'information et de la protection de vie privée spécifiques à l'organisation police. Elle permet également de donner un contenu plus théorique ou pratique à des méthodologies quant à la mise en place de la fonction, des structures idoines, ou bien de l'analyse des risques, ... Elle tente d'apporter des solutions aux difficultés rencontrées par ces conseillers.

L'Organe de contrôle ou la Commission de la protection de la vie privée peuvent jouer un rôle certain en tant qu'expert. Ils pourront, par exemple, dispenser des formations dans leur domaine de compétence.

D'autres spécialistes peuvent également enrichir les débats et contribuer ainsi à l'amélioration de la sécurité de l'information dans les zones ou les entités concernées de la police fédérale.

Les membres de la plate-forme désignent en leur sein un ou des points de contact.

Ils s'organisent en vue d'assurer une représentation de cette plate-forme. Ils établissent une proposition de règlement d'ordre intérieur qui définit le fonctionnement et les modalités concrètes de la plate-forme ainsi que des points de contact.

Nous avons l'honneur d'être, Sire, de Votre Majesté les très respectueux et très fidèles serviteurs, Le Vice-Premier Ministre et Ministre de la Sécurité et de l'Intérieur, J. JAMBON Le Ministre de la Justice, K. GEENS

AVIS 58.087/2/V DU 7 SEPTEMBRE 2015 DU CONSEIL D'ETAT, SECTION DE LEGISLATION, SUR UN PROJET D'ARRETE ROYAL `relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données' Le 12 août 2015, le Conseil d'Etat, section de législation, a été invité par le Vice-Premier Ministre et Ministre de la Sécurité et de l'Intérieur à communiquer un avis, dans un délai de trente jours sur un projet d'arrêté royal `relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données'.

Le projet a été examiné par la deuxième chambre des vacations le 7 septembre 2015. La chambre était composée de Pierre VANDERNOOT, président de chambre, Martine BAGUET et Luc DETROUX, conseillers d'Etat, Sébastien VAN DROOGHENBROECK, assesseur, et Bernadette, VIGNERON, greffier.

Le rapport a été présenté par Roger WIMMER, premier auditeur.

La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de Pierre VANDERNOOT. L'avis, dont le texte suit, a été donné le 7 septembre 2015.

Comme la demande d'avis est introduite sur la base de l'article 84, § 1er, alinéa 1er, 2°, des lois coordonnées sur le Conseil d'Etat, la section de législation limite son examen au fondement juridique du projet, à la compétence de l'auteur de l'acte ainsi qu'à l'accomplissement des formalités préalables, conformément à l'article 84, § 3, des lois coordonnées précitées.

Sur ces trois points, le projet appelle les observations suivantes.

Examen du projet Préambule La plupart des dispositions de l'arrêté en projet trouvent leur fondement juridique dans l'article 44/3, § 1er, alinéas 5, 3°, et 8, et § 2, alinéa 2, de la loi `sur la fonction de police', inséré par la loi du 18 mars 2014Documents pertinents retrouvés type loi prom. 18/03/2014 pub. 24/11/2014 numac 2014000832 source service public federal interieur Loi relative à la gestion de l'information policière et modifiant la loi du 5 août 1992 sur la fonction de police, la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le Code d'instruction criminelle. - Traduction allemande type loi prom. 18/03/2014 pub. 28/03/2014 numac 2014000253 source service public federal interieur Loi relative à la gestion de l'information policière et modifiant la loi du 5 août 1992 sur la fonction de police, la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le Code d'instruction criminelle fermer.

L'article 121 de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux type loi prom. 07/12/1998 pub. 19/01/1999 numac 1998003673 source ministere des finances Loi contenant le dixième ajustement du Budget général des dépenses de l'année budgétaire 1998. - Sections 13 - « Ministère de l'Intérieur », 18 - « Ministère des Finances » et 19 - « Ministère de la Fonction publique » fermer `organisant un service de police intégré, structuré à deux niveaux' procure un fondement juridique aux autres dispositions du projet.

Au préambule, il convient donc d'adapter l'alinéa 1er et de remplacer l'alinéa 2 par une référence à cette dernière disposition.

Dispositif ARTICLE 1er A l'article 1er, 1°, du projet, la définition sera omise car il est inutile de figer la référence à la loi `sur la fonction de police' à sa modification par la loi du 18 mars 2014Documents pertinents retrouvés type loi prom. 18/03/2014 pub. 24/11/2014 numac 2014000832 source service public federal interieur Loi relative à la gestion de l'information policière et modifiant la loi du 5 août 1992 sur la fonction de police, la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le Code d'instruction criminelle. - Traduction allemande type loi prom. 18/03/2014 pub. 28/03/2014 numac 2014000253 source service public federal interieur Loi relative à la gestion de l'information policière et modifiant la loi du 5 août 1992 sur la fonction de police, la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le Code d'instruction criminelle fermer. Par ailleurs, l'intitulé abrégé officiel se suffit à lui seul pour se référer à cette loi (1).

ARTICLE 3 1. Selon l'article 3, le conseiller en sécurité et en protection de la vie privée pourrait être un membre du personnel au sens de l'article 116 de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux type loi prom. 07/12/1998 pub. 19/01/1999 numac 1998003673 source ministere des finances Loi contenant le dixième ajustement du Budget général des dépenses de l'année budgétaire 1998. - Sections 13 - « Ministère de l'Intérieur », 18 - « Ministère des Finances » et 19 - « Ministère de la Fonction publique » fermer ou "toute autre personne physique désignée pour l'exercice de cette fonction dans les liens d'un contrat dans lequel sont spécifiées les modalités spécifiques à l'exercice de sa fonction". Aucune disposition légale ne semble habiliter le Roi à permettre la désignation d'un conseiller en sécurité et en protection de la vie privée en dehors des membres du personnel composant soit le cadre opérationnel, soit le cadre administratif et logistique des services de police, prévus par l'article 116 de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux type loi prom. 07/12/1998 pub. 19/01/1999 numac 1998003673 source ministere des finances Loi contenant le dixième ajustement du Budget général des dépenses de l'année budgétaire 1998. - Sections 13 - « Ministère de l'Intérieur », 18 - « Ministère des Finances » et 19 - « Ministère de la Fonction publique » fermer.

Il résulte au contraire de l'article 44/3, § 1er, de la loi `sur la fonction de police' que ce conseiller "appartient" soit à la police locale, soit à la police fédérale, ce qui signifie qu'il doit être un membre du personnel des services de police, statutaire ou contractuel, relevant d'un des deux cadres prévus par l'article 116 de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux type loi prom. 07/12/1998 pub. 19/01/1999 numac 1998003673 source ministere des finances Loi contenant le dixième ajustement du Budget général des dépenses de l'année budgétaire 1998. - Sections 13 - « Ministère de l'Intérieur », 18 - « Ministère des Finances » et 19 - « Ministère de la Fonction publique » fermer.

Comme il est inutile de rappeler cette dernière règle et qu'il n'est pas admissible d'envisager la désignation d'une personne extérieure à la police à la fonction de conseiller en sécurité et en protection de la vie privée, la première phrase doit être omise. 2. Compte tenu de l'article 131 de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux type loi prom. 07/12/1998 pub. 19/01/1999 numac 1998003673 source ministere des finances Loi contenant le dixième ajustement du Budget général des dépenses de l'année budgétaire 1998. - Sections 13 - « Ministère de l'Intérieur », 18 - « Ministère des Finances » et 19 - « Ministère de la Fonction publique » fermer (2), la deuxième phrase est inutile et sera omise. Par voie de conséquence, le renvoi fait à cet article 3 par l'article 9, alinéa 3, sera également omis. 3. En conclusion de ces deux observations, l'article 3 doit être distrait du projet. ARTICLE 14 A l'alinéa 2, il y a lieu de remplacer le mot "approuve" par le mot "adopte".

Le greffier, Bernadette VIGNERON Le président, Pierre VANDERNOOT _______ Notes (1) Voir article 53ter de la loi du 5 août 1992Documents pertinents retrouvés type loi prom. 05/08/1992 pub. 21/10/1999 numac 1999015203 source ministere des affaires etrangeres, du commerce exterieur et de la cooperation internationale Loi portant approbation du Protocole modifiant l'article 81 du Traité instituant l'Union économique Benelux du 3 février 1958, fait à Bruxelles le 16 février 1990 fermer, inséré par la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux type loi prom. 07/12/1998 pub. 19/01/1999 numac 1998003673 source ministere des finances Loi contenant le dixième ajustement du Budget général des dépenses de l'année budgétaire 1998. - Sections 13 - « Ministère de l'Intérieur », 18 - « Ministère des Finances » et 19 - « Ministère de la Fonction publique » fermer.(2) "Le statut des fonctionnaires de police garantit le secret professionnel et comprend un devoir de discrétion.Il est interdit aux fonctionnaires de police, même après cessation de l'exercice de leur emploi, de révéler des données relatives à la sûreté nationale, à la protection de l'ordre public, aux intérêts financiers des autorités, à la prévention et à la répression d'infractions pénales, au secret médical, aux droits et libertés du citoyen, et particulièrement au droit au respect de la vie privée. Cette interdiction s'applique également aux données relatives à la préparation de toute décision".

6 DECEMBRE 2015. - Arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Vu la loi sur la fonction de police, l'article 44/3, § 1er, alinéas 5, 3°, et 8, et § 2, alinéa 2, inséré par la loi du 18 mars 2014Documents pertinents retrouvés type loi prom. 18/03/2014 pub. 24/11/2014 numac 2014000832 source service public federal interieur Loi relative à la gestion de l'information policière et modifiant la loi du 5 août 1992 sur la fonction de police, la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le Code d'instruction criminelle. - Traduction allemande type loi prom. 18/03/2014 pub. 28/03/2014 numac 2014000253 source service public federal interieur Loi relative à la gestion de l'information policière et modifiant la loi du 5 août 1992 sur la fonction de police, la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le Code d'instruction criminelle fermer;

Vu l'article 121 de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux type loi prom. 07/12/1998 pub. 19/01/1999 numac 1998003673 source ministere des finances Loi contenant le dixième ajustement du Budget général des dépenses de l'année budgétaire 1998. - Sections 13 - « Ministère de l'Intérieur », 18 - « Ministère des Finances » et 19 - « Ministère de la Fonction publique » fermer `organisant un service de police intégré, structuré à deux niveaux';

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement des données à caractère personnel;

Vu le protocole de négociation n° 342 du comité de négociation pour les services de police, conclu le 26 mars 2014;

Vu l'avis de l'Inspecteur général des Finances, donné le 11 avril 2014;

Vu l'accord du Ministre du Budget donné le 18 juin 2015;

Vu l'accord du Ministre chargé de la Fonction publique, donné le 4 mai 2015;

Vu l'avis du Conseil des bourgmestres, donné le 4 août 2014 ;

Vu l'avis n° 33/2014 de la Commission de la protection de la vie privée, donné le 30 avril 2014 ;

Vu l'avis 58.087/2/V du Conseil d'Etat, donné le 7 septembre 2015, en application de l'article 84, § 1er, alinéa 1er, 2° des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973;

Sur la proposition du Ministre de l'Intérieur et du Ministre de la Justice, Nous avons arrêté et arrêtons : CHAPITRE Ier. - Définitions

Article 1er.Pour l'exécution du présent arrêté, on entend par : 1° "loi vie privée" : la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;2° "sécurité de l'information" : la politique, les règles, les procédures et les moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information;3° "protection de la vie privée" : la politique, les règles, les procédures et les moyens en vue d'atteindre les objectifs de la loi vie privée;4° "Commission" : la Commission de la protection de la vie privée instituée par l'article 23 de la loi vie privée;5° "Organe de contrôle" : l'organe institué par l'article 36ter de la loi vie privée;6° "conseiller" : le conseiller en sécurité et en protection de la vie privée tel que mentionné à l'article 44/3 de la loi sur la fonction de police;7° "données à caractère personnel" : les données telles que définies à l'article 1er, § 1er, de la loi vie privé;8° "traitement" : toute opération telle que visée à l'article, 1er, § 2, de la loi vie privée appliquée aux données à caractère personnel et aux informations au sens de l'article 44/1, § 1er, de la loi sur la fonction de police;9° "plate-forme de la sécurité et de la protection des données" : la plate-forme telle que mentionnée à l'article 44/3, § 2, de la loi sur la fonction de police;10° "autorité compétente" : les autorités visées à l'article 44/4, § 2, alinéa 2, de la loi sur la fonction de police. CHAPITRE II. - Le conseiller en sécurité et en protection de la vie privée

Art. 2.Le conseiller a une mission générale d'avis, de stimulation, de documentation et de contrôle.

Art. 3.Le conseiller doit faire preuve de qualités personnelles et professionnelles et, en particulier, de connaissances dans le domaine de la sécurité des systèmes d'information et de la protection des données.

Le cumul d'autres fonctions n'est possible que pour autant qu'il dispose du temps nécessaire à l'exercice de ses missions.

L'ensemble des missions est assuré par une ou plusieurs personnes.

Art. 4.Le choix du conseiller ne peut donner lieu à un conflit d'intérêts entre sa fonction de conseiller et toute autre fonction qu'il pourrait exercer dans le cadre de l'application des dispositions de la loi sur la fonction de police et de la loi vie privée.

L'autorité compétente ne peut exercer la fonction de conseiller.

Art. 5.L'autorité compétente communique les coordonnées de son conseiller à la Commission et à l'Organe de contrôle dans le mois de sa désignation.

Art. 6.Le conseiller remplit sa mission en toute indépendance. Il ne reçoit pas d'instruction dans l'exercice de ses missions visées aux articles 9 à 15. Il rapporte directement à son autorité compétente.

L'autorité garantit que le conseiller puisse exercer sa fonction de façon autonome et efficace en le protégeant contre toutes influences et/ou pressions inappropriées de toute personne et de quelque manière que ce soit, directement ou indirectement, en particulier contre toutes pressions visant à obtenir des informations concernant ou pouvant concerner l'exercice de sa fonction.

L'exercice de ses missions ne peut constituer un obstacle à la carrière du conseiller.

L'employeur ou l'autorité compétente ne peut rompre le contrat du conseiller, mettre fin à l'occupation statutaire du conseiller ou l'écarter de sa fonction que pour des motifs qui sont étrangers à son indépendance ou pour des motifs qui démontrent qu'il est incompétent à exercer ses missions.

Art. 7.Le conseiller ainsi que toute personne qui l'assiste s'engagent à conserver le caractère confidentiel de toutes les informations avec lesquelles ils entrent en contact dans le cadre de leur fonction et sont tenus, même après cessation de leur fonction, de ne pas divulguer les informations ou les documents obtenus dans l'exercice de leur fonction qui, par leur nature, sont couverts par une obligation de confidentialité.

Art. 8.Le conseiller travaille en étroite collaboration avec les personnes et services qui sollicitent son intervention, en particulier, avec le service informatique.

En accord avec l'autorité compétente, il peut faire appel à un ou plusieurs collaborateurs et solliciter l'expertise nécessaire à l'exercice de ses missions tant au sein qu'en dehors de l'organisation.

Les articles 4 et 6 sont applicables à ses éventuels adjoints ou collaborateurs.

Le conseiller obtient de l'autorité compétente toute information nécessaire et adéquate à l'exercice de ses missions. Il reçoit de l'autorité qui l'a désigné les ressources nécessaires à l'exécution de ses missions.

Art. 9.Le conseiller : 1. gère la documentation nécessaire à la sécurité de l'information et à la protection de la vie privée;2. veille à la sensibilisation des utilisateurs à la protection des données à caractère personnel et, en particulier, coopère avec le personnel chargé des procédures, de la formation et du conseil en matière de sécurité et de traitement des données;3. promeut des activités d'évaluation des risques;4. veille à l'application interne des dispositions de la loi sur la fonction de police, de la loi vie privée et de ses arrêtés d'exécution dont l'application de l'article 17 de la loi vie privée et de l'article 44/5 de la loi sur la fonction de police, examine la conformité des traitements des données (en ce compris l'enregistrement) avec les dispositions de la loi vie privée, de ses arrêtés d'exécution et de la politique de sécurité et vérifie les conditions de licéité du traitement;5. participe à la plate-forme de la sécurité et de la protection des données;6. est le point de contact pour l'exercice des droits des individus vis-à-vis des autorités de contrôle;7. répond aux demandes de l'Organe de contrôle et de la Commission et, en particulier, les demandes visées à l'article 13 de la loi vie privée et, dans son domaine de compétence, coopère avec les autorités de contrôle.

Art. 10.Le conseiller conseille l'autorité compétente, à la demande de celle-ci ou de sa propre initiative, au sujet de tous les aspects de la sécurité de l'information et de la protection de la vie privée et fait les recommandations nécessaires.

Il communique par écrit tous les manquements constatés à l'autorité compétente concernée, assortis des avis nécessaires pour prévenir de tels manquements à venir.

Le conseiller assiste l'autorité compétente concernée dans le dialogue qu'elle mène avec toutes les parties impliquées en vue de gérer les problèmes de sécurité et de protection des données.

Art. 11.L'autorité compétente et toute personne qui de par sa fonction est impliquée dans le traitement de l'information collaborent avec le conseiller à l'analyse de risques de sécurité et de protection de la vie privée actuels et émergents et, en particulier, ceux qui pourraient avoir une incidence sur la résistance aux pannes des réseaux et des systèmes et sur leur disponibilité ainsi que sur l'authenticité, l'intégrité et la confidentialité des informations accessibles et transmises par leur intermédiaire. Il encourage des solutions interopérables de gestion des risques.

Art. 12.Lorsque les risques sont suffisamment importants, les avis s'expriment par écrit et sont motivés. Dans le délai requis par les circonstances, mais au maximum dans le mois, l'autorité compétente communique sa décision au conseiller. Si la décision s'écarte d'un avis écrit, elle doit être motivée et communiquée par écrit.

Art. 13.Le conseiller collabore aux solutions en matière de gestion des mesures de prévention et de protection au sein de l'organisation et établit une proposition de politique de sécurité et de la protection de la vie privée conforme aux dispositions de la loi vie privée et visée à l'article 44/3 de la loi sur la fonction de police.

Il communique ses propositions à l'autorité compétente qui adopte la politique de sécurité et de la protection de la vie privée spécifique à la zone ou à l'entité de la police fédérale concernée.

Art. 14.En collaboration avec les personnes concernées, le conseiller établit un projet de plan pluriannuel qui s'aligne sur le plan national ou le plan zonal de sécurité en spécifiant les objectifs et les moyens nécessaires à sa réalisation. Ce projet est révisé au moins annuellement et adapté si nécessaire. Le projet de plan de sécurité est considéré comme un avis au sens de l'article 12.

Il adresse le projet de plan pluriannuel à l'autorité compétente concernée.

Art. 15.Le conseiller établit, au minimum une fois par an, un relevé global de ses activités reprenant : - les demandes qui lui sont adressées sur base de l'article 9; - les avis, les conseils et recommandations, les contrôles et les analyses visés aux articles 10 à 12.

Il adresse ce relevé à l'autorité compétente concernée. CHAPITRE III. - La plate-forme de la sécurité et de la protection des données

Art. 16.Les conseillers sont membres de la plate-forme de la sécurité et de la protection des données visée à l'article 44/3, § 2, de la loi sur la fonction de police.

Art. 17.La plate-forme peut créer des groupes de travail afin de traiter des matières spécifiques et de favoriser le développement de connaissances utiles aux missions du conseiller.

Elle prend les initiatives nécessaires en vue d'uniformiser l'approche et l'appréhension de la sécurité et de la protection de la vie privée et de promouvoir le partage des compétences et des connaissances dans ces domaines.

Pour ce faire, elle peut faire appel à tout expert spécialisé dans le domaine de la sécurité de l'information et de la protection de la vie privée.

Art. 18.Les membres de la plate-forme s'organisent pour assurer un ou des points de contact.

Les membres de la plate-forme désignent en leur sein un ou des représentants chargés d'assurer leur représentation auprès du comité de coordination de la police intégrée visé à l'article 8ter de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux type loi prom. 07/12/1998 pub. 19/01/1999 numac 1998003673 source ministere des finances Loi contenant le dixième ajustement du Budget général des dépenses de l'année budgétaire 1998. - Sections 13 - « Ministère de l'Intérieur », 18 - « Ministère des Finances » et 19 - « Ministère de la Fonction publique » fermer organisant un service de police intégré, structuré à deux niveaux.

La plate-forme se réunit en fonction des besoins et au minimum une fois par an.

Art. 19.La plate-forme de la sécurité et de la protection des données élabore, au plus tard un an après sa création, un règlement d'ordre intérieur qui est soumis à l'approbation du ministre de l'Intérieur et du ministre de la Justice.

Le règlement d'ordre intérieur définit, notamment, les tâches et les modalités du fonctionnement du point de contact et d'un ou des représentants visés à l'article 18, les modalités d'échange entre la plate-forme et le comité de coordination de la police intégrée, ainsi que les autres modalités de fonctionnement de la plate-forme. CHAPITRE IV. - Dispositions finales

Art. 20.Le présent arrêté entre en vigueur le premier jour du troisième mois qui suit celui de sa publication au Moniteur belge.

Art. 21.Le ministre qui a l'Intérieur dans ses attributions et le ministre qui a la Justice dans ses attributions sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.

Bruxelles, le 6 décembre 2015.

PHILIPPE Par le Roi : Le Vice-Premier Ministre et Ministre de la Sécurité et de l'Intérieur, J. JAMBON Le Ministre de la Justice, K. GEENS

^