Arrêté du Gouvernement flamand relatif aux conseillers en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives | Arrêté du Gouvernement flamand relatif aux conseillers en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives |
---|---|
AUTORITE FLAMANDE | AUTORITE FLAMANDE |
15 MAI 2009. - Arrêté du Gouvernement flamand relatif aux conseillers | 15 MAI 2009. - Arrêté du Gouvernement flamand relatif aux conseillers |
en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif | en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif |
à l'échange électronique de données administratives | à l'échange électronique de données administratives |
Le Gouvernement flamand, | Le Gouvernement flamand, |
Vu le décret du 18 juillet 2008 relatif à l'échange électronique de | Vu le décret du 18 juillet 2008 relatif à l'échange électronique de |
données administratives; | données administratives; |
Vu l'accord du Ministre flamand chargé du budget, donné le 6 mars | Vu l'accord du Ministre flamand chargé du budget, donné le 6 mars |
2009; | 2009; |
Vu l'avis 09/2009 de la Commission de la protection de la vie privée, | Vu l'avis 09/2009 de la Commission de la protection de la vie privée, |
rendu le 8 avril 2009; | rendu le 8 avril 2009; |
Vu l'avis 45 258/1 du Conseil d'Etat, rendu le 7 avril 2009, en | Vu l'avis 45 258/1 du Conseil d'Etat, rendu le 7 avril 2009, en |
application de l'article 84, § 1er, alinéa premier, 1°, des lois | application de l'article 84, § 1er, alinéa premier, 1°, des lois |
coordonnées sur le Conseil d'Etat; | coordonnées sur le Conseil d'Etat; |
Sur la proposition du Ministre flamand des Réformes institutionnelles, | Sur la proposition du Ministre flamand des Réformes institutionnelles, |
des Affaires administratives, de la Politique extérieure, des Médias, | des Affaires administratives, de la Politique extérieure, des Médias, |
du Tourisme, des Ports, de l'Agriculture, de la Pêche en mer et de la | du Tourisme, des Ports, de l'Agriculture, de la Pêche en mer et de la |
Ruralité; | Ruralité; |
Après délibération, | Après délibération, |
Arrête : | Arrête : |
Article 1er.Dans le présent arrêté, on entend par : |
Article 1er.Dans le présent arrêté, on entend par : |
1° le décret du 18 juillet 2008 : le décret du 18 juillet 2008 relatif | 1° le décret du 18 juillet 2008 : le décret du 18 juillet 2008 relatif |
à l'échange électronique de données administratives; | à l'échange électronique de données administratives; |
2° la commission de contrôle : la commission de contrôle flamande pour | 2° la commission de contrôle : la commission de contrôle flamande pour |
l'échange électronique de données administratives, visée à l'article | l'échange électronique de données administratives, visée à l'article |
10 du décret du 18 juillet 2008; | 10 du décret du 18 juillet 2008; |
Art. 2.§ 1er. Toute instance qui gère une source authentique de |
Art. 2.§ 1er. Toute instance qui gère une source authentique de |
données contenant des données à caractère personnel, toute instance | données contenant des données à caractère personnel, toute instance |
qui reçoit ou échange des données à caractère personnel électroniques, | qui reçoit ou échange des données à caractère personnel électroniques, |
et toute entité qui est désignée conformément à l'article 4, § 3 du | et toute entité qui est désignée conformément à l'article 4, § 3 du |
décret du 18 juillet 2008, et traite des données à caractère | décret du 18 juillet 2008, et traite des données à caractère |
personnel, désigne un conseiller en sécurité parmi ses collaborateurs | personnel, désigne un conseiller en sécurité parmi ses collaborateurs |
ou en dehors de son personnel. Le conseiller en sécurité peut se faire | ou en dehors de son personnel. Le conseiller en sécurité peut se faire |
assister par un ou plusieurs adjoints. | assister par un ou plusieurs adjoints. |
§ 2. A moins que la personne concernée n'ait déjà été désignée comme | § 2. A moins que la personne concernée n'ait déjà été désignée comme |
conseiller en sécurité de l'information et en protection de la vie | conseiller en sécurité de l'information et en protection de la vie |
privée conformément aux articles 10 et 16 de la loi du 8 août 1983 | privée conformément aux articles 10 et 16 de la loi du 8 août 1983 |
organisant un registre national des personnes physiques ou | organisant un registre national des personnes physiques ou |
conformément à l'article 4, § 5 ou aux articles 24, 25 et 46 de la loi | conformément à l'article 4, § 5 ou aux articles 24, 25 et 46 de la loi |
du 15 janvier 1990 relative à l'institution et à l'organisation d'une | du 15 janvier 1990 relative à l'institution et à l'organisation d'une |
Banque-carrefour de la sécurité sociale, le conseiller en sécurité et | Banque-carrefour de la sécurité sociale, le conseiller en sécurité et |
ses adjoints ne sont désignés par l'instance ou l'entité respectives | ses adjoints ne sont désignés par l'instance ou l'entité respectives |
qu'après avis favorable de la commission de contrôle. Avant de rendre | qu'après avis favorable de la commission de contrôle. Avant de rendre |
son avis, la commission de contrôle doit vérifier si le candidat : | son avis, la commission de contrôle doit vérifier si le candidat : |
1° est suffisamment qualifié pour exercer sa fonction de conseiller en | 1° est suffisamment qualifié pour exercer sa fonction de conseiller en |
sécurité; | sécurité; |
2° dispose du temps nécessaire pour mettre en oeuvre ses missions de | 2° dispose du temps nécessaire pour mettre en oeuvre ses missions de |
sécurité; | sécurité; |
3° n'exerce pas d'activités qui soient incompatibles avec la fonction | 3° n'exerce pas d'activités qui soient incompatibles avec la fonction |
de conseiller en sécurité. | de conseiller en sécurité. |
L'identité du conseiller en sécurité et de ses adjoints éventuels, y | L'identité du conseiller en sécurité et de ses adjoints éventuels, y |
compris celle des personnes qui ont déjà été désignées comme | compris celle des personnes qui ont déjà été désignées comme |
conseiller en sécurité de l'information et en protection de la vie | conseiller en sécurité de l'information et en protection de la vie |
privée, visé à l'alinéa premier, est communiquée à la commission de | privée, visé à l'alinéa premier, est communiquée à la commission de |
contrôle par l'instance ou l'entité respectives sitôt après leur | contrôle par l'instance ou l'entité respectives sitôt après leur |
désignation. | désignation. |
Art. 3.En vue de la sécurité des données, le conseiller en sécurité |
Art. 3.En vue de la sécurité des données, le conseiller en sécurité |
est chargé de : | est chargé de : |
1° rendre des avis et recommandations accrédités au responsable de la | 1° rendre des avis et recommandations accrédités au responsable de la |
gestion journalière de l'instance ou de l'entité concernées sur tous | gestion journalière de l'instance ou de l'entité concernées sur tous |
les aspects dans le domaine de la sécurité de l'information, sur sa | les aspects dans le domaine de la sécurité de l'information, sur sa |
propre initiative ou à la demande du responsable de la gestion | propre initiative ou à la demande du responsable de la gestion |
journalière. Les avis sont rendus par voie écrite et de façon motivée, | journalière. Les avis sont rendus par voie écrite et de façon motivée, |
à moins que les risques ne soient pas suffisamment graves. Endéans la | à moins que les risques ne soient pas suffisamment graves. Endéans la |
période, requise par les circonstances, d'au maximum trois mois, le | période, requise par les circonstances, d'au maximum trois mois, le |
responsable de la gestion journalière décide de suivre ou non l'avis, | responsable de la gestion journalière décide de suivre ou non l'avis, |
laquelle décision il communique au conseiller en sécurité. Lorsque la | laquelle décision il communique au conseiller en sécurité. Lorsque la |
décision déroge à un avis écrit du conseiller en sécurité, elle est | décision déroge à un avis écrit du conseiller en sécurité, elle est |
communiquée par voie écrite et de façon motivée au conseiller en | communiquée par voie écrite et de façon motivée au conseiller en |
sécurité; | sécurité; |
2° mettre en oeuvre les missions qui lui sont confiées par le | 2° mettre en oeuvre les missions qui lui sont confiées par le |
responsable de la gestion journalière de l'instance ou de l'entité | responsable de la gestion journalière de l'instance ou de l'entité |
concernées. | concernées. |
Art. 4.Le conseiller en sécurité observe toujours de l'objectivité, |
Art. 4.Le conseiller en sécurité observe toujours de l'objectivité, |
de l'impartialité et de l'indépendance nécessaires lors de la | de l'impartialité et de l'indépendance nécessaires lors de la |
formulation d'avis et de recommandations, qu'il remplisse ou non une | formulation d'avis et de recommandations, qu'il remplisse ou non une |
fonction de sécurité dans une ou plusieurs instances ou entités. Les | fonction de sécurité dans une ou plusieurs instances ou entités. Les |
avis et recommandations sont rendus avec l'expertise requise en la | avis et recommandations sont rendus avec l'expertise requise en la |
matière. | matière. |
Art. 5.Le conseiller en sécurité garde toute information qui lui est |
Art. 5.Le conseiller en sécurité garde toute information qui lui est |
confiée ou qu'il peut consulter, entendre ou lire dans le cadre de ses | confiée ou qu'il peut consulter, entendre ou lire dans le cadre de ses |
missions ou de ses activités professionnelles strictement | missions ou de ses activités professionnelles strictement |
confidentielle, tant l'information afférente à sa mission que celle | confidentielle, tant l'information afférente à sa mission que celle |
afférente à ses collègues. Le conseiller en sécurité ne peut déroger à | afférente à ses collègues. Le conseiller en sécurité ne peut déroger à |
cette règle générale de confidentialité de l'information que dans les | cette règle générale de confidentialité de l'information que dans les |
deux cas suivants : | deux cas suivants : |
1° dans les cas stipulés par ou en vertu d'une disposition légale, | 1° dans les cas stipulés par ou en vertu d'une disposition légale, |
décrétale ou réglementaire; | décrétale ou réglementaire; |
2° après avoir obtenu l'accord écrit du tiers qui sera affecté par la | 2° après avoir obtenu l'accord écrit du tiers qui sera affecté par la |
révélation. | révélation. |
Le consultant en sécurité veille à ce que la confidentialité | Le consultant en sécurité veille à ce que la confidentialité |
obligatoire, visée à l'alinéa premier, soit observée par ses | obligatoire, visée à l'alinéa premier, soit observée par ses |
collaborateurs et par chaque personne agissant sous sa responsabilité | collaborateurs et par chaque personne agissant sous sa responsabilité |
dans le cadre d'une mission. | dans le cadre d'une mission. |
Toute infraction contre la confidentialité obligatoire est punie | Toute infraction contre la confidentialité obligatoire est punie |
conformément à l'article 458 du Code pénal. | conformément à l'article 458 du Code pénal. |
Art. 6.Le conseiller en sécurité encourage et veille au respect des |
Art. 6.Le conseiller en sécurité encourage et veille au respect des |
prescriptions de sécurité, imposées par ou en vertu d'une disposition | prescriptions de sécurité, imposées par ou en vertu d'une disposition |
légale, décrétale ou réglementaire et vérifie si les personnes qui | légale, décrétale ou réglementaire et vérifie si les personnes qui |
traitent des données à caractère personnel au sein de l'instance ou de | traitent des données à caractère personnel au sein de l'instance ou de |
l'entité, font preuve d'un comportement favorisant la sécurité. | l'entité, font preuve d'un comportement favorisant la sécurité. |
Le conseiller en sécurité réunit la documentation nécessaire sur la | Le conseiller en sécurité réunit la documentation nécessaire sur la |
sécurité de l'information. Toutes les infractions constatées sont | sécurité de l'information. Toutes les infractions constatées sont |
communiquées par écrit au responsable de la gestion journalière de | communiquées par écrit au responsable de la gestion journalière de |
l'instance ou de l'entité exclusivement, assorties des avis | l'instance ou de l'entité exclusivement, assorties des avis |
nécessaires pour prévenir de telles infractions à l'avenir. | nécessaires pour prévenir de telles infractions à l'avenir. |
Art. 7.Le conseiller en sécurité et ses adjoints éventuels ne peuvent |
Art. 7.Le conseiller en sécurité et ses adjoints éventuels ne peuvent |
être relevés de leur fonction en raison des opinions qu'ils émettent | être relevés de leur fonction en raison des opinions qu'ils émettent |
ou des actes qu'ils accomplissent dans le cadre de l'exercice correct | ou des actes qu'ils accomplissent dans le cadre de l'exercice correct |
de leur fonction. | de leur fonction. |
Art. 8.Le conseiller en sécurité relève de l'autorité directe |
Art. 8.Le conseiller en sécurité relève de l'autorité directe |
fonctionnelle du responsable de la gestion journalière de l'instance | fonctionnelle du responsable de la gestion journalière de l'instance |
ou de l'entité concernées. Il collabore étroitement avec les services | ou de l'entité concernées. Il collabore étroitement avec les services |
où son intervention est ou peut être exigée, notamment avec le service | où son intervention est ou peut être exigée, notamment avec le service |
d'informatique et le conseiller en prévention de l'instance ou de | d'informatique et le conseiller en prévention de l'instance ou de |
l'entité concernées. | l'entité concernées. |
Art. 9.Le conseiller en prévention a une connaissances solide de |
Art. 9.Le conseiller en prévention a une connaissances solide de |
l'environnement informatique de l'instance ou de l'entité concernées | l'environnement informatique de l'instance ou de l'entité concernées |
et de la sécurité de l'information. Il ne cesse d'entretenir cette | et de la sécurité de l'information. Il ne cesse d'entretenir cette |
connaissance. | connaissance. |
Art. 10.Le conseiller en sécurité établit un projet de plan de |
Art. 10.Le conseiller en sécurité établit un projet de plan de |
sécurité pour un délai de trois ans, dans lequel sont mentionnés les | sécurité pour un délai de trois ans, dans lequel sont mentionnés les |
moyens annuels requis pour la mise en oeuvre du plan et le soumet au | moyens annuels requis pour la mise en oeuvre du plan et le soumet au |
responsable de la gestion journalière. Ce plan est révisé au moins une | responsable de la gestion journalière. Ce plan est révisé au moins une |
fois par an et ajusté si nécessaire. Le projet de plan de sécurité est | fois par an et ajusté si nécessaire. Le projet de plan de sécurité est |
considéré comme un avis tel que visé à l'article 3, 1°. | considéré comme un avis tel que visé à l'article 3, 1°. |
Art. 11.Le conseiller en sécurité établit un rapport annuel à |
Art. 11.Le conseiller en sécurité établit un rapport annuel à |
l'attention du responsable de la gestion journalière de l'instance ou | l'attention du responsable de la gestion journalière de l'instance ou |
de l'entité concernées. Ce rapport annuel reprend au moins : | de l'entité concernées. Ce rapport annuel reprend au moins : |
1° un aperçu général de la situation de sécurité, des développements | 1° un aperçu général de la situation de sécurité, des développements |
dans l'année écoulée et des objectifs qui restent à réaliser; | dans l'année écoulée et des objectifs qui restent à réaliser; |
2° une synthèse des avis écrits qui ont été remis au responsable de la | 2° une synthèse des avis écrits qui ont été remis au responsable de la |
gestion journalière et de la suite qui y a été réservée; | gestion journalière et de la suite qui y a été réservée; |
3° un aperçu des activités effectuées par le conseiller en sécurité; | 3° un aperçu des activités effectuées par le conseiller en sécurité; |
4° un aperçu des résultats des contrôles effectués par le conseiller | 4° un aperçu des résultats des contrôles effectués par le conseiller |
en sécurité, détaillant tous les cas constatés susceptibles d'avoir | en sécurité, détaillant tous les cas constatés susceptibles d'avoir |
mis en péril la sécurité de l'information de l'instance ou de l'entité | mis en péril la sécurité de l'information de l'instance ou de l'entité |
concernées; | concernées; |
5° un aperçu des campagnes qui ont été menées à la promotion de la | 5° un aperçu des campagnes qui ont été menées à la promotion de la |
sécurité; | sécurité; |
6° un aperçu de toutes les formations suivies et des formations | 6° un aperçu de toutes les formations suivies et des formations |
planifiées. | planifiées. |
Art. 12.Les missions du conseiller en sécurité ont aussi trait à la |
Art. 12.Les missions du conseiller en sécurité ont aussi trait à la |
garde, au traitement ou à l'échange de données à caractère personnel, | garde, au traitement ou à l'échange de données à caractère personnel, |
effectués par des tiers pour le compte de l'instance ou de l'entité | effectués par des tiers pour le compte de l'instance ou de l'entité |
concernées. | concernées. |
Art. 13.Le présent arrêté entre en vigueur à la date d'entrée en |
Art. 13.Le présent arrêté entre en vigueur à la date d'entrée en |
vigueur du décret du 18 juillet 2008. | vigueur du décret du 18 juillet 2008. |
Art. 14.Le Ministre flamand chargé de la gestion de la |
Art. 14.Le Ministre flamand chargé de la gestion de la |
réglementation, de la simplification administrative et du | réglementation, de la simplification administrative et du |
e-gouvernement et le Ministre flamand chargé des affaires intérieures | e-gouvernement et le Ministre flamand chargé des affaires intérieures |
sont chargés, chacun en ce qui le concerne, de l'exécution du présent | sont chargés, chacun en ce qui le concerne, de l'exécution du présent |
arrêté. | arrêté. |
Bruxelles, le 15 mai 2009. | Bruxelles, le 15 mai 2009. |
Le Ministre-Président du Gouvernement flamand, Ministre flamand des | Le Ministre-Président du Gouvernement flamand, Ministre flamand des |
Réformes institutionnelles, des Affaires administratives, de la | Réformes institutionnelles, des Affaires administratives, de la |
Politique extérieure, des Médias, du Tourisme, des Ports, de | Politique extérieure, des Médias, du Tourisme, des Ports, de |
l'Agriculture, de la Pêche en mer et de la Ruralité, | l'Agriculture, de la Pêche en mer et de la Ruralité, |
K. PEETERS | K. PEETERS |
Le Ministre flamand des Affaires intérieures, de la Politique des | Le Ministre flamand des Affaires intérieures, de la Politique des |
Villes, du Logement et de l'Intégration civique, | Villes, du Logement et de l'Intégration civique, |
M. KEULEN | M. KEULEN |