publié le 13 mai 2019
Arrêté royal fixant les conditions auxquelles les institutions intervenant pour compte des redevables d'information au point de contact central des comptes et contrats financiers doivent satisfaire pour accéder au Registre national des personnes physiques
22 AVRIL 2019. - Arrêté royal fixant les conditions auxquelles les institutions intervenant pour compte des redevables d'information au point de contact central des comptes et contrats financiers doivent satisfaire pour accéder au Registre national des personnes physiques
PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.
Vu la loi du 8 juillet 2018Documents pertinents retrouvés type loi prom. 08/07/2018 pub. 16/07/2018 numac 2018031445 source service public federal finances Loi portant organisation d'un point de contact central des comptes et contrats financiers et portant extension de l'accès au fichier central des avis de saisie, de délégation, de cession, de règlement collectif de dettes et de protêt fermer portant organisation d'un point de contact central des comptes et contrats financiers et portant extension de l'accès du fichier central des avis de saisie, de délégation, de cession, de règlement collectif de dettes et de protêt, telle que modifiée par la loi du 7 novembre 2018, l'article 12, § 1er, alinéa 2 ;
Vu l'arrêté royal du 3 février 2014 autorisant la Banque Nationale de Belgique et les établissements de banque, de change, de crédit et d'épargne visés à l'article 322 du code des impôts sur les revenus (1992) à accéder temporairement au Registre national des personnes physiques ; Vu l'analyse d'impact de la réglementation du 12 septembre 2018, réalisée conformément aux articles 6 et 7 de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer portant des dispositions diverses en matière de simplification administrative ;
Vu l'avis de l'Inspecteur des finances auprès du Service public fédéral Finances, donné le 31 juillet 2018 ;
Vu l'avis de l'Inspecteur des finances auprès du Service public fédéral Intérieur, donné le 4 octobre 2018 ;
Vu l'avis de l'Inspecteur des finances auprès du Service public fédéral Justice, donné le 29 octobre 2018 ;
Vu l'avis n° 123/2018 de l'Autorité de protection des données, donné le 7 novembre 2018 ;
Vu l'accord du Ministre du Budget, donné le 12 décembre 2018 ;
Vu l'avis n° 65.230/2 du Conseil d'Etat, donné le 20 février 2019, en application de l'article 84, § 1er, premier alinéa, 2° des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973 ;
Sur la proposition du Vice-Premier Ministre et Ministre des Finances, du Ministre de l'Intérieur et du Ministre de la Justice, Nous avons arrêté et arrêtons :
Article 1er.Sans préjudice des conditions légalement posées par ailleurs, aucune institution intervenant pour compte d'un redevable d'information ne peut poser les actes visés à l'article 12, § 1er, alinéa 1er, 3° de la loi du 8 juillet 2018Documents pertinents retrouvés type loi prom. 08/07/2018 pub. 16/07/2018 numac 2018031445 source service public federal finances Loi portant organisation d'un point de contact central des comptes et contrats financiers et portant extension de l'accès au fichier central des avis de saisie, de délégation, de cession, de règlement collectif de dettes et de protêt fermer portant organisation d'un point de contact central des comptes et contrats financiers et portant extension de l'accès du fichier central des avis de saisie, de délégation, de cession, de règlement collectif de dettes et de protêt, et communiquer à ce dernier les numéros de registre national qu'elle a recueillis dans ce cadre, si, au moment d'initier cette recherche, elle ne dispose pas de garanties suffisantes : (a) quant au respect des conditions auxquelles doivent satisfaire les conseillers en sécurité de l'information désignés par les redevables d'information.Ces conditions sont au moins les suivantes : (1) le conseiller en sécurité de l'information doit avoir été désigné sur la base de ses qualités professionnelles et de ses connaissances spécialisées, en particulier, en ce qui concerne les bonnes pratiques en matière de protection des données et le droit applicable dans le contexte, de l'environnement informatique du redevable d'information, ainsi qu'en matière de sécurité de l'information.Le conseiller en sécurité de l'information doit en permanence tenir ces connaissances à jour ; (2) Le conseiller en sécurité de l'information fait directement rapport à la direction générale, au comité de direction ou aux personnes chargées de la direction quotidienne du redevable d'information ;(3) Il ne peut pas y avoir de conflit d'intérêts entre la fonction de conseiller en sécurité de l'information et d'autres activités incompatibles avec cette fonction.En particulier, celle-ci ne peut pas être cumulée avec celle de responsable final du service informatique, de personne chargée de la direction quotidienne, ou de membre de la direction générale ou du comité de direction du redevable d'information ; (4) Le redevable d'information doit veiller à ce que le conseiller en sécurité de l'information puisse exercer ses missions en toute indépendance et à ne pas lui donner d'instruction sur la manière de s'en acquitter.Le conseiller en sécurité de l'information ne peut en aucun cas être relevé de ses fonctions ou pénalisé du fait de l'exercice de ses missions ; (5) Si les tâches de conseiller en sécurité de l'information sont réparties entre plusieurs personnes, la responsabilité finale doit en être confiée à une d'entre elles en vue de faire rapport à la direction générale, au comité de direction ou aux personnes chargées de la direction quotidienne du redevable d'information quant aux activités communes et pour assumer le rôle de personne de contact ;(6) Le redevable d'information doit donner au conseiller en sécurité de l'information les ressources et le temps nécessaires pour exercer ses missions et lui permettre d'entretenir ses connaissances.(b) quant aux mesures de protection de la sécurité de l'information prises par les redevables d'information.Ces mesures sont au moins les suivantes : (1) une évaluation préalable des risques encourus par les données à caractère personnel traitées et la définition des besoins en sécurité en découlant ;(2) la rédaction d'un document de politique de sécurité décrivant les stratégies et les mesures retenues pour sécuriser les données à caractère personnel traitées ;(3) l'identification de tous les supports d'information susceptibles de contenir les données à caractère personnel traitées ;(4) l'information du personnel externe et interne impliqué dans le traitement des données à caractère personnel traitées quant à ses devoirs de confidentialité et de sécurité vis-à-vis de ces données tels qu'ils découlent tant des différentes dispositions légales applicables que de la politique de sécurité suivie ;(5) l'adoption de mesures de sécurisation adéquates en vue d'empêcher tout accès physique non autorisé ou inutile aux supports d'information qui contiennent les données à caractère personnel traitées ;(6) l'adoption des mesures nécessaires afin de prévenir tout dommage physique susceptible de mettre en péril les données à caractère personnel traitées ;(7) la protection des différents réseaux auxquels sont connectés les équipements traitant les données à caractère personnel ;(8) la tenue d'une liste actualisée des différentes personnes habilitées à accéder aux données à caractère personnel dans le cadre du traitement ainsi que de leur niveau d'accès respectif (création, consultation, modification, destruction) ;(9) la mise en place d'un mécanisme d'autorisation d'accès aux données conçu de manière telle que les données à caractère personnel traitées et les traitements qui s'y rapportent ne soient accessibles qu'aux personnes et applications explicitement habilitées à cette fin ;(10) la mise en place d'un système d'information permettant en permanence l'enregistrement, le traçage et l'analyse des accès des personnes et entités logiques aux données à caractère personnel traitées ;(11) la mise en place d'un contrôle de la validité et de l'efficacité dans le temps des mesures techniques ou opérationnelles mises en place ;(12) la mise en place de procédures de secours en vue de gérer les incidents de sécurité impliquant les données à caractère personnel traitées ;(13) la constitution et la tenue à jour d'une documentation suffisante se rapportant à l'organisation de la sécurité de l'information dans le cadre du traitement de données à caractère personnel concerné.
Art. 2.L'institution visée à l'article 1er dispose de compétences d'audit en ce qui concerne le respect des mesures et conditions visées à l'article 1er. Ces compétences englobent la possibilité d'effectuer tant des vérifications préalables que des contrôles a posteriori, par exemple par le biais d'audits ponctuels réalisés auprès des redevables d'information.
A cette fin, l'institution visée à l'article 1er enregistre et conserve dans son système informatique, pour chaque recherche d'information effectuée dans les fichiers du Registre national des personnes physiques pour compte du redevable d'information, les données suivantes durant une période de dix ans suivant la date de cette recherche : (1) le numéro de registre national des personnes physiques sur lesquelles la recherche portait ;(2) l'identification du redevable d'information et du préposé de ce dernier qui a demandé cette recherche ;et (3) le motif de cette recherche.
Art. 3.L'arrêté royal du 3 février 2014 autorisant la Banque Nationale de Belgique et les établissements de banque, de change, de crédit et d'épargne visés à l'article 322 du code des impôts sur les revenus 1992 à accéder temporairement au Registre national des personnes physiques, est abrogé.
Art. 4.Les ministres qui ont les Finances, l'Intérieur et la Justice dans leurs attributions sont chargés de l'exécution du présent arrêté, chacun pour ce qui le concerne.
Donné à Bruxelles, le 22 avril 2019.
PHILIPPE Par le Roi : Le Vice-Premier Ministre et Ministre des Finances, A. DE CROO Le Ministre de l'Intérieur, P. DE CREM Le Ministre de la Justice, K. GEENS