Etaamb.openjustice.be
Arrêté Royal du 10 décembre 2017
publié le 22 décembre 2017

Arrêté royal portant exécution de l'article 4, alinéa 3, de la loi du 3 août 2012 portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions

source
service public federal finances
numac
2017032133
pub.
22/12/2017
prom.
10/12/2017
ELI
eli/arrete/2017/12/10/2017032133/moniteur
moniteur
https://www.ejustice.just.fgov.be/cgi/article_body(...)
liens
Conseil d'État (chrono)
Document Qrcode

10 DECEMBRE 2017. - Arrêté royal portant exécution de l'article 4, alinéa 3, de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions


PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Vu la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions, l'article 4, alinéa 3 ;

Vu l'arrêté royal du 27 mars 2015 portant exécution de l'article 4, alinéa 1er de la loi 3 août 2012 portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions ;

Vu l'avis du comité sectoriel pour l'autorité fédérale donné le 20 février 2014;

Vu l'avis 62.161/3 du Conseil d'Etat, donné le 17 octobre 2017, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973;

Sur la proposition du Ministre des Finances, chargé de la Lutte contre la fraude fiscale, Nous avons arrêté et arrêtons :

Article 1er.Le règlement du 6 février 2017 adopté par l'instance, comme prévu à l'article 4, alinéa 3 de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions, est approuvé par Nous et est joint en annexe à cet arrêté.

Art. 2.Le ministre qui a les Finances dans ses attributions est chargé de l'exécution du présent arrêté.

Donné à Bruxelles, le 10 décembre 2017.

PHILIPPE Par le Roi : Le Ministre des Finances, chargé de la Lutte contre la fraude fiscale, J. VAN OVERTVELDT

Annexe à l'arrêté royal du 10 décembre 2017 pris en exécution de l'article 4, alinéa 3, de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions : Règlement décrivant d'une part le processus de demande d'accès aux données à caractère personnel détenues par une administration et, ou services du Service public fédéral Finances et d'autre part, la procédure selon laquelle cet échange a lieu. 1. Introduction Dans le cadre de l'exercice de ses différentes missions légales, le Service Public fédéral Finances (SPF Finances) collecte des données à caractère personnel. Le traitement de ces données à caractère personnel tombe sous le champ d'application de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions.

Ce traitement de données à caractère personnel comporte deux aspects : un aspect individuel lorsque l'agent a un accès automatisé aux données en raison de son profil et le traitement de masse via l'échange de fichiers.

Afin d'assurer l'exécution de ses différentes missions, le SPF Finances dispose d'administrations et de services (1) qui doivent pouvoir s'échanger entre eux les données ainsi collectées.

Ces échanges sont visés par l'article 4 de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer qui prévoit que « Les administrations et, ou services du Service public fédéral Finances s'échangent des données à caractère personnel sur autorisation d'une instance interne au Service public fédéral Finances désignée par arrêté royal après avis du Comité sectoriel pour l'Autorité fédérale.

Cette instance décide quels types de données à caractère personnel peuvent faire l'objet d'un échange entre administrations et, ou services du Service public fédéral Finances, de façon systématique ou ponctuelle et pour l'exécution de finalités déterminées, après avoir vérifié leur caractère adéquat, pertinent et non excessif.

Elle adopte un règlement décrivant d'une part le processus de demande d'accès aux données à caractère personnel détenues par une administration et, ou service du Service public fédéral Finances et d'autre part, la procédure selon laquelle cet échange a lieu. Ce règlement est approuvé par le Roi, après avis du Comité sectoriel pour l'Autorité fédérale. » C'est le Président du comité de direction qui est désigné comme l'instance susmentionnée par l'arrêté royal du 27 mars 2015 portant exécution de l'article 4, alinéa 1er de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions.

Ainsi, via ce règlement, le Président du comité de direction fixe le cadre de l'autorisation ainsi que les conditions et procédures devant être respectées lors des opérations d'échanges de données entre les administrations et, ou services du Service public fédéral Finances Ce règlement concerne les échanges automatisés de données à caractère personnel. Les échanges de données concernant des cas individuels, ponctuels ou sur format papier ne sont donc pas concernés. Ceux-ci font l'objet de la décision du Président du comité de direction du 6 février 2017. 2. Principe relatif à l'échange interne de données au sein des administrations et, ou services en application de l'article 4 de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer En application de l'article 4 de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer, toute administration et, ou service du Service public fédéral Finances met à disposition des autres administrations et, ou services toutes les données nécessaires à l'exécution de ses missions légales. Cette mise à disposition, qui constitue un échange de données pour ce règlement, est autorisée par le Président du comité de direction moyennant le respect de trois procédures décrites ci-après : la création d'une matrice d'accès, la demande d'accès exceptionnel et l'accès aux données en vue d'un traitement de gestion de risques.

Chaque procédure permet l'examen de la finalité, de la proportionnalité et de la sécurité et garantit ainsi un accès aux données adéquates et pertinentes et non excessives. En effet, l'administration ou le service doit concrètement justifier de l'intérêt fonctionnel qu'a tout ou partie de ses agents et ainsi justifier que les renseignements échangés sont adéquats, pertinents et non excessifs par rapport à l'exercice de leurs missions légales.

Cet examen tient compte des autorisations préalables du Comité sectoriel pour l'autorité fédérale ou toute autre autorité compétente ainsi que des dispositions réglementaires internationales ou européennes.

Nonobstant cette autorisation-cadre, le Président du comité de direction peut demander l'avis du Comité sectoriel pour l'Autorité fédérale sur toute demande d'échange de données.

Le Président du comité de direction peut déléguer sa compétence d'autorisation moyennent avis préalable du Comité de direction.

Il peut, après avis du Comité de direction, adopter une décision d'autorisation générale et par principe qui dispense de l'un des types de formalisation décrits ci-après. 3. Accès via un système de gestion des identités et une matrice d'accès En vertu de l'article 10 de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer précitée, le droit d'accès est octroyé aux utilisateurs individuellement et personnellement sur base d'un profil.L'accès ne peut pas être transféré. Chaque utilisateur du réseau interne du Service public fédéral Finances à qui un compte d'accès personnel est attribué, est personnellement responsable de son utilisation.

Tout accès aux dossiers, données ou applications électroniques fait l'objet d'une vérification par le système de gestion de l'identité de la personne qui sollicite l'accès et de sa correspondance au profil défini.

Chaque accès ou tentative d'accès aux données est loggé et fait l'objet d'un enregistrement automatisé.

Une matrice d'accès est créée pour chaque application selon un processus standard tenant compte tant des aspects business que des aspects techniques. Cette matrice d'accès contient les règles d'accès permettant de répondre à ces questions "qui-où-quand-en quelle qualité", "qui-peut obtenir-quoi", "quoi-où".

Le standard actuel est le système d'Identity & Access management (IAM). Il s'agit d'un outil informatique dans lequel chaque nouvelle application développée au sein du SPF doit s'intégrer. Ce système offre un système d'identification, d'authentification, d'autorisation et de login et d'audit.

Dans le standard IAM, le Président du comité de direction charge le Service de Sécurité de l'information et de Protection de la vie privée (SSIPVP) d'examiner, au moyen du document d'intégration business, en concertation avec ICT, le responsable de l'application et le service de surveillance, la matrice d'accès ainsi que les mesures de login prises afin de vérifier la finalité, la proportionnalité et les mesures de sécurité des accès octroyés. Le SSIPVP rend un avis qui est communiqué au Président du Comité de direction pour octroi ou non.

Celui-ci est tacite par l'absence de remarques endéans les 7 jours de la communication de l'avis.

Chaque responsable d'application (« Business Owner ») est tenu de gérer toute la documentation relative à la création de la matrice d'accès et à ses modifications. Dans ce cadre, l'historique des demandes d'accès exceptionnel prévu au point suivant est également conservé. 4. Procédure de demande d'accès exceptionnel Le processus de demande d'accès exceptionnel concerne un accès qui n'est pas prévu dans la matrice d'accès originale. Cette procédure est utilisée lorsqu'un service constate que pour exécuter ses missions légales, il a besoin d'un accès à des données supplémentaires. Il introduit alors une demande d'accès à l'administration ou au service concernés au moyen d'un formulaire interne.

Ce formulaire, complété, est transmis au SSIPVP à qui le Président du comité de direction confie la tâche d'examiner la finalité, la proportionnalité de la demande d'accès au regard du document d'intégration de l'application. Le SSIPVP rend un avis qui est communiqué au Président du Comité de direction pour autorisation.

Celle-ci est tacite par l'absence de remarques endéans les 7 jours de la communication de l'avis.

L'examen de finalité et de proportionnalité peut être réalisé par l'Administrateur général/Directeur ou son délégué lorsque l'accès est demandé par l'un de ses services et ne concerne que les applications et données élaborées et collectées pour son administration et, ou service ou est la mise en oeuvre d'une décision générale et par principe prévue au point 2. Le résultat de cet examen est alors notifié au SSIPVP. Ces échanges sont documentés afin de permettre un contrôle a posteriori de la demande.

En cas d'autorisation, l'octroi est concrétisé par la modification du système de gestion d'identité et/ou de la matrice d'accès de l'application concernée. 5. Traitement particulier, mise en oeuvre de l'article 5 de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer Lorsque dans le cadre de l'application de l'article 5 de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer, la mise en commun de données de plusieurs administrations et, ou services s'avère nécessaire, elle est alors considérée comme un traitement particulier d'échange interne de données. Ce traitement est effectué pour permettre à ces services d'une part, de réaliser des contrôles ciblés sur la base d'indicateurs de risque et d'autre part, d'effectuer des analyses sur des données relationnelles provenant des différentes administrations et, ou services du Service public fédéral Finances.

Cet accès est strictement réservé aux analystes de données et aux gestionnaires des données et est octroyé uniquement après une demande formalisée dans un document conçu à cet effet : la Fiche Data & Access Management (fiche DAM).

Cette fiche reprend les éléments nécessaires à la vérification de la proportionnalité, des mesures de sécurité et de l'aspect documentaire, à savoir quels sont les objectifs poursuivis et la méthodologie employée.

Elle est remplie par l'équipe de projet responsable de l'analyse et de la mise en oeuvre du projet en collaboration avec les analystes et les gestionnaires de données.

Le Président du Comité de direction confie l'examen de cette fiche à ICT en ce qui concerne les aspects techniques et sécurité et au SSIPVP en ce qui concerne les aspects finalité et proportionnalité. Le SSIPVP rend un avis, qui intègre l'avis ICT, et le communique au Président du Comité de direction pour autorisation. Celle-ci est tacite par l'absence de remarques endéans les 7 jours de la communication de l'avis.

L'examen de la fiche, en ce qui concerne les aspects finalité et proportionnalité, peut être réalisé par l'Administrateur général/Directeur ou son délégué lorsque l'accès est demandé par l'un de ses services et ne concerne que les données de son administration/service d'encadrement ou est la mise en oeuvre d'une décision générale et par principe prévue au point 2. Dans ce cas, l'avis est notifié au SSIPVP qui le communique au Président du comité de direction.

En cas d'autorisation, le traitement est effectué sous le contrôle du Service de surveillance visé à l'article 9 de la loi du 3 août 2013. 6. Contrôle a posteriori des accès individuels Conformément à l'article 10 § 4 de la loi du 3 août 2012Documents pertinents retrouvés type loi prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 source service public federal finances Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions fermer, chaque accès ou tentative d'accès aux données fait l'objet d'un enregistrement automatisé (log).Cet enregistrement est conservé et son accès fait l'objet d'une procédure interne.

Un formulaire spécifique, disponible sur l'intranet, doit être complété par les personnes désignées à savoir le procureur du roi, un juge d'instruction, la police qui fournit une apostille, les services ICT, le Service Desk et toute autorité compétente pour formuler une proposition de peine disciplinaire (Arrêté ministériel du 17 décembre 2012 portant désignation des supérieurs hiérarchiques compétents pour formuler une proposition provisoire de peine disciplinaire).

Le Président du comité de direction charge le SSIPVP de traiter le formulaire complété. Dans le cadre d'une demande ne provenant pas d'un agent du SPF Finances, ce service vérifie l'existence officielle d'une demande et peut aider à déterminer les applications et données concernées avant de transmettre la demande aux services ICT pour exécution. Dans le cadre d'une demande provenant d'un agent du SPF Finances, ce service procède à un examen de la motivation et de la proportionnalité des données demandées (type, durée, nombre d'agents concernés). En cas d'avis favorable, la demande est transférée aux services ICT pour exécution. Le résultat des recherches est communiqué, via le SSIPVP au demandeur pour suite utile.

Bruxelles, le 6 février 2017.

H. D'Hondt Vu pour être annexé à Notre arrêté du 10 décembre 2017.

PHILIPPE Par le Roi : Le Ministres des Finances, J. VAN OVERTVELDT _______ Nota (1) Le SPF Finances est composé de différents services opérationnels et non opérationnels (arrêté royal du 3 décembre 2009 organique des services opérationnels du Service public fédéral Finances et l'arrêté royal du 19 juillet 2013 fixant le règlement organique du Service public fédéral Finances ainsi que les dispositions particulières applicables aux agents statutaires).C'est ainsi que l'on entend par "administrations et, ou services du Service public fédéral Finances", les services opérationnels et les services autres qu'opérationnels prévus par ces arrêtés royaux.

^