Etaamb.openjustice.be
Arrêté Royal du 13 juin 2014
publié le 24 juin 2014

Arrêté royal déterminant d'une part, les mesures réglementaires, administratives, techniques et organisationnelles spécifiques afin d'assurer le respect des prescriptions relatives à la protection des données à caractère personnel ou relatives à des entités individuelles et de secret statistique et d'autre part, fixant les conditions auxquelles l'Institut national de Statistique peut agir en qualité d'organisation intermédiaire en vue d'un traitement ultérieur à des fins statistiques

source
service public federal economie, p.m.e., classes moyennes et energie
numac
2014011398
pub.
24/06/2014
prom.
13/06/2014
ELI
eli/arrete/2014/06/13/2014011398/moniteur
moniteur
https://www.ejustice.just.fgov.be/cgi/article_body(...)
liens
Conseil d'État (chrono)
Document Qrcode

13 JUIN 2014. - Arrêté royal déterminant d'une part, les mesures réglementaires, administratives, techniques et organisationnelles spécifiques afin d'assurer le respect des prescriptions relatives à la protection des données à caractère personnel ou relatives à des entités individuelles et de secret statistique et d'autre part, fixant les conditions auxquelles l'Institut national de Statistique peut agir en qualité d'organisation intermédiaire en vue d'un traitement ultérieur à des fins statistiques


PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Vu la loi du 4 juillet 1962Documents pertinents retrouvés type loi prom. 04/07/1962 pub. 01/02/2007 numac 2006001011 source service public federal interieur Loi relative à la statistique publique Traduction allemande fermer relative à la statistique publique, l'article 17quater, inséré par la loi du 22 mars 2006Documents pertinents retrouvés type loi prom. 22/03/2006 pub. 21/04/2006 numac 2006011161 source service public federal economie, p.m.e., classes moyennes et energie Loi modifiant la loi du 4 juillet 1962 relative à la statistique publique et la loi du 8 août 1983 organisant un Registre national des personnes physiques fermer;

Vu la loi du 22 mars 2006Documents pertinents retrouvés type loi prom. 22/03/2006 pub. 21/04/2006 numac 2006011161 source service public federal economie, p.m.e., classes moyennes et energie Loi modifiant la loi du 4 juillet 1962 relative à la statistique publique et la loi du 8 août 1983 organisant un Registre national des personnes physiques fermer modifiant la loi du 4 juillet 1962Documents pertinents retrouvés type loi prom. 04/07/1962 pub. 01/02/2007 numac 2006001011 source service public federal interieur Loi relative à la statistique publique Traduction allemande fermer relative à la statistique publique et la loi du 8 août 1983 organisant un Registre national des personnes physiques, l'article 42;

Vu l'avis de la Commission de la protection de la vie privée loco le Comité de surveillance statistique, donnée le 18 décembre 2013;

Vu l'avis du Conseil supérieur de Statistique, donné le 24 février 2014;

Vu l'analyse d'impact de la réglementation réalisée conformément aux articles 6 et 7 de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer portant des dispositions diverses en matière de simplification administrative;

Vu l'avis 55.848/1 du Conseil d'Etat, donné le 24 avril 2014, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois coordonnées sur le Conseil d'Etat;

Sur la proposition du Ministre de l'Economie, Nous avons arrêté et arrêtons : CHAPITRE 1er. - Mesures réglementaires, administratives, techniques et organisationnelles de référence applicables à tout traitement de données

Article 1er.Pour assurer la confidentialité des données qui lui sont transmises ou qu'il collecte lui-même, l'Institut national de Statistique rédige une politique de sécurité qui se fonde sur les lignes directrices pour la sécurité de l'information de données à caractère personnel édictées par la Commission de la protection de la vie privée.

Art. 2.Pour sécuriser tous les traitements de données, l'Institut national de Statistique prend des mesures spécifiques: 1° les mesures techniques passent par la classification des données, la gestion des accès aux données classifiées, les mesures particulières pour les données à caractère personnel avec identifiants directs, l'information et la formation du personnel, le codage des données, le contrôle des clés logiques : 1.1. la Classification des données L'information détenue par l'Institut national de Statistique fait l'objet d'une classification.

Les différents niveaux de la classification sont : - données globales et anonymes - données globales non anonymes - données d'étude codées d'entreprises - données d'étude codées à caractère personnel - données d'entreprises avec identifiants directs - données à caractère personnel avec identifiant directs - données sensibles La classification des informations définit le niveau de protection des données; 1.2. gestion des accès aux données classifiées A l'exception des données globales et anonymes, toutes les données font l'objet d'un contrôle d'accès. Les accès sont gérés « au plus près ». Cela implique : - que les accès ne sont accordés qu'aux personnes « ayant le besoin d'en connaître » ; toute demande d'accès aux données individuelles est validée par le supérieur hiérarchique direct et le délégué à la protection des données - que sont supprimées les permissions d'accès des utilisateurs dès qu'ils ne sont plus autorisés à accéder à une ressource (suite à un changement de service, départ à la pension,...).

L'Institut national de Statistique veille à limiter au maximum l'accès aux données à caractère personnel, avec identifiants directs ; 1.3. mesures particulières pour les données à caractère personnel avec identifiants directs Les accès aux données à caractère personnel avec identifiants directs font l'objet de mesures de protection particulières: tous les accès à ces banques de données sont journalisés. L'Institut national de Statistique doit donc être en mesure d'enregistrer de façon permanente l'identité des personnes ayant accédé à ces données.

La journalisation des accès des utilisateurs inclut leur identifiant, la date et l'heure de leur connexion, la date et l'heure de leur déconnexion et l'ensemble des requêtes (queries) exécutées sur ces données entre le début et la fin de la connexion. Les utilisateurs seront informés de l'existence du système de journalisation.

Le délégué à la protection des données doit informer les personnes concernées et le fonctionnaire dirigeant des accès frauduleux dont il aura pu prendre connaissance; 1.4. information et Formation du personnel L'Institut national de Statistique veille à ce que son personnel soit correctement informé de ses devoirs en matière de confidentialité.

L'Institut national de Statistique met à disposition de son personnel une charte informatique qui définit les conditions d'utilisation et d'accès aux ressources informatiques.

Les bénéficiaires d'un accès aux données individuelles sont amenés à suivre des séances de formation et de sensibilisation à la sécurité de l'information; 1.5. codage des données Les données sensibles sont codées dès leur réception. Les données à caractère personnel sont codées dès la fin des opérations de collecte, de contrôle ou d'appariement. Les données d'entreprise peuvent être codées plus tardivement, si cela se justifie; 1.6. contrôle des clés logiques Le délégué à la protection des données veille, d'une manière indépendante, au contrôle de l'utilisation des clés logiques permettant la réidentification des données, pour éviter tout risque d'utilisation à des fins autres que statistiques.

Par mesure de sécurité, les clés logiques sont chiffrées avant d'être archivées. Le chiffrement/déchiffrement des clés logiques est contrôlé par le délégué à la protection des données; 1.7. codage des données communiquées dans le cadre de l'article 15 de la loi du 4 juillet 1962Documents pertinents retrouvés type loi prom. 04/07/1962 pub. 01/02/2007 numac 2006001011 source service public federal interieur Loi relative à la statistique publique Traduction allemande fermer relative à la statistique publique Une clé secrète distincte est utilisée pour chaque communication. Une même unité statistique se verra donc attribuer des codes arbitraires différents, d'une communication à l'autre. Cette règle générale admettra toutefois quelques exceptions, notamment lorsque le suivi des unités au cours du temps est requis (enquête par panel et études longitudinales); 2° les mesures organisationnelles : l'Institut national de Statistique possède un centre de collecte, chargé de la collecte primaire et secondaire des données et des directions thématiques, responsable des traitements des données à des fins statistiques. Le centre de collecte est habilité à travailler avec toutes les classes de données individuelles. Les directions thématiques sont habilitées à travailler avec des données d'étude codées et avec toutes les classes de données d'entreprises.

Le délégué à la protection des données veille, d'une manière indépendante, au contrôle de l'utilisation des clés logiques permettant la réidentification des données, pour éviter tout risque d'utilisation à des fins autres que statistiques.

Le couplage de données se fait sous le contrôle du délégué à la protection des données.

Le délégué à la protection des données, placé sous l'autorité directe du fonctionnaire dirigeant de l'Institut national de Statistique, est indépendant du centre de collecte et des directions thématiques.

Le délégué à la protection des données fait un rapport annuel au ministre qui a l'Institut national de Statistique dans ses attributions et au Comité de surveillance statistique. Le rapport du délégué présente l'état de la situation en matière de protection des données ainsi qu'un descriptif des travaux réalisés en cours d'année afin d'améliorer cette situation; 3° les mesures juridiques : outre le fait que tous les membres de l'Institut national de Statistique sont soumis au secret statistique, chaque agent signe un engagement de confidentialité concernant les données. CHAPITRE 2. - Conditions auxquelles l'Institut national de Statistique peut agir en qualité d'organisation intermédiaire en vue d'un traitement ultérieur à des fins statistiques

Art. 3.Lorsque la recherche scientifique et/ou statistique nécessite des données qui sont le résultat du couplage de données issues de différentes banques de données, l'Institut national de Statistique agit en sa qualité d'organisation intermédiaire pour générer des données d'étude codées pour ses propres besoins ou pour les besoins de tiers.

L'Institut national de Statistique a la faculté de coupler ses propres données avec les données provenant d'autres sources.

En sa qualité d'organisation intermédiaire, l'Institut national de Statistique peut intervenir dans trois cas de figure : soit pour coupler plusieurs bases de données externes, soit pour coupler des bases de données externes avec ses propres bases de données, soit coupler ses propres bases de données.

Le codage des données à caractère personnel se fait au sein d'un service placé sous l'autorité du délégué à la protection des données.

Art. 4.Le délégué à la protection des données contrôle l'utilisation de toutes les clés logiques.

Art. 5.L'Institut national de Statistique ne peut pas utiliser les données qu'elle a traitées dans le cadre de sa fonction d'organisation intermédiaire pour d'autres finalités que les finalités spécifiques qui lui ont été confiées par la loi du 4 juillet 1962Documents pertinents retrouvés type loi prom. 04/07/1962 pub. 01/02/2007 numac 2006001011 source service public federal interieur Loi relative à la statistique publique Traduction allemande fermer relative à la statistique publique ou par l'autorisation du Comité de surveillance statistique.

Art. 6.Les traitements effectués par l'Institut national de Statistique se déroulent de manière transparente.

L'Institut national de Statistique tient à la disposition de la Commission de la protection de la vie privé un registre détaillant tous les couplages réalisées pour les tiers. CHAPITRE 3. - Dispositions finales

Art. 7.Entrent en vigueur le jour de la publication du présent arrêté au Moniteur belge : 1° les articles 10, 11, 12, 16, 19 à 25, 29, 30, 39 2°, 3°, 4° et 40 de la loi du 22 mars 2006Documents pertinents retrouvés type loi prom. 22/03/2006 pub. 21/04/2006 numac 2006011161 source service public federal economie, p.m.e., classes moyennes et energie Loi modifiant la loi du 4 juillet 1962 relative à la statistique publique et la loi du 8 août 1983 organisant un Registre national des personnes physiques fermer modifiant la loi du 4 juillet 1962Documents pertinents retrouvés type loi prom. 04/07/1962 pub. 01/02/2007 numac 2006001011 source service public federal interieur Loi relative à la statistique publique Traduction allemande fermer relative à la statistique publique et la loi du 8 août 1983 organisant un Registre national des personnes physiques;2° le présent arrêté.

Art. 8.Le ministre ayant l'Economie dans ses attributions est chargé de l'exécution du présent arrêté.

Donné à Bruxelles, 13 juin 2014.

PHILIPPE Par le Roi : Le Ministre de l'Economie, J. VANDE LANOTTE

^