← Retour vers "Arrêté du Gouvernement flamand relatif aux conseillers en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives "
| Arrêté du Gouvernement flamand relatif aux conseillers en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives | Arrêté du Gouvernement flamand relatif aux conseillers en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives |
|---|---|
| AUTORITE FLAMANDE | AUTORITE FLAMANDE |
| 15 MAI 2009. - Arrêté du Gouvernement flamand relatif aux conseillers | 15 MAI 2009. - Arrêté du Gouvernement flamand relatif aux conseillers |
| en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif | en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif |
| à l'échange électronique de données administratives | à l'échange électronique de données administratives |
| Le Gouvernement flamand, | Le Gouvernement flamand, |
| Vu le décret du 18 juillet 2008 relatif à l'échange électronique de | Vu le décret du 18 juillet 2008 relatif à l'échange électronique de |
| données administratives; | données administratives; |
| Vu l'accord du Ministre flamand chargé du budget, donné le 6 mars | Vu l'accord du Ministre flamand chargé du budget, donné le 6 mars |
| 2009; | 2009; |
| Vu l'avis 09/2009 de la Commission de la protection de la vie privée, | Vu l'avis 09/2009 de la Commission de la protection de la vie privée, |
| rendu le 8 avril 2009; | rendu le 8 avril 2009; |
| Vu l'avis 45 258/1 du Conseil d'Etat, rendu le 7 avril 2009, en | Vu l'avis 45 258/1 du Conseil d'Etat, rendu le 7 avril 2009, en |
| application de l'article 84, § 1er, alinéa premier, 1°, des lois | application de l'article 84, § 1er, alinéa premier, 1°, des lois |
| coordonnées sur le Conseil d'Etat; | coordonnées sur le Conseil d'Etat; |
| Sur la proposition du Ministre flamand des Réformes institutionnelles, | Sur la proposition du Ministre flamand des Réformes institutionnelles, |
| des Affaires administratives, de la Politique extérieure, des Médias, | des Affaires administratives, de la Politique extérieure, des Médias, |
| du Tourisme, des Ports, de l'Agriculture, de la Pêche en mer et de la | du Tourisme, des Ports, de l'Agriculture, de la Pêche en mer et de la |
| Ruralité; | Ruralité; |
| Après délibération, | Après délibération, |
| Arrête : | Arrête : |
Article 1er.Dans le présent arrêté, on entend par : |
Article 1er.Dans le présent arrêté, on entend par : |
| 1° le décret du 18 juillet 2008 : le décret du 18 juillet 2008 relatif | 1° le décret du 18 juillet 2008 : le décret du 18 juillet 2008 relatif |
| à l'échange électronique de données administratives; | à l'échange électronique de données administratives; |
| 2° la commission de contrôle : la commission de contrôle flamande pour | 2° la commission de contrôle : la commission de contrôle flamande pour |
| l'échange électronique de données administratives, visée à l'article | l'échange électronique de données administratives, visée à l'article |
| 10 du décret du 18 juillet 2008; | 10 du décret du 18 juillet 2008; |
Art. 2.§ 1er. Toute instance qui gère une source authentique de |
Art. 2.§ 1er. Toute instance qui gère une source authentique de |
| données contenant des données à caractère personnel, toute instance | données contenant des données à caractère personnel, toute instance |
| qui reçoit ou échange des données à caractère personnel électroniques, | qui reçoit ou échange des données à caractère personnel électroniques, |
| et toute entité qui est désignée conformément à l'article 4, § 3 du | et toute entité qui est désignée conformément à l'article 4, § 3 du |
| décret du 18 juillet 2008, et traite des données à caractère | décret du 18 juillet 2008, et traite des données à caractère |
| personnel, désigne un conseiller en sécurité parmi ses collaborateurs | personnel, désigne un conseiller en sécurité parmi ses collaborateurs |
| ou en dehors de son personnel. Le conseiller en sécurité peut se faire | ou en dehors de son personnel. Le conseiller en sécurité peut se faire |
| assister par un ou plusieurs adjoints. | assister par un ou plusieurs adjoints. |
| § 2. A moins que la personne concernée n'ait déjà été désignée comme | § 2. A moins que la personne concernée n'ait déjà été désignée comme |
| conseiller en sécurité de l'information et en protection de la vie | conseiller en sécurité de l'information et en protection de la vie |
| privée conformément aux articles 10 et 16 de la loi du 8 août 1983 | privée conformément aux articles 10 et 16 de la loi du 8 août 1983 |
| organisant un registre national des personnes physiques ou | organisant un registre national des personnes physiques ou |
| conformément à l'article 4, § 5 ou aux articles 24, 25 et 46 de la loi | conformément à l'article 4, § 5 ou aux articles 24, 25 et 46 de la loi |
| du 15 janvier 1990 relative à l'institution et à l'organisation d'une | du 15 janvier 1990 relative à l'institution et à l'organisation d'une |
| Banque-carrefour de la sécurité sociale, le conseiller en sécurité et | Banque-carrefour de la sécurité sociale, le conseiller en sécurité et |
| ses adjoints ne sont désignés par l'instance ou l'entité respectives | ses adjoints ne sont désignés par l'instance ou l'entité respectives |
| qu'après avis favorable de la commission de contrôle. Avant de rendre | qu'après avis favorable de la commission de contrôle. Avant de rendre |
| son avis, la commission de contrôle doit vérifier si le candidat : | son avis, la commission de contrôle doit vérifier si le candidat : |
| 1° est suffisamment qualifié pour exercer sa fonction de conseiller en | 1° est suffisamment qualifié pour exercer sa fonction de conseiller en |
| sécurité; | sécurité; |
| 2° dispose du temps nécessaire pour mettre en oeuvre ses missions de | 2° dispose du temps nécessaire pour mettre en oeuvre ses missions de |
| sécurité; | sécurité; |
| 3° n'exerce pas d'activités qui soient incompatibles avec la fonction | 3° n'exerce pas d'activités qui soient incompatibles avec la fonction |
| de conseiller en sécurité. | de conseiller en sécurité. |
| L'identité du conseiller en sécurité et de ses adjoints éventuels, y | L'identité du conseiller en sécurité et de ses adjoints éventuels, y |
| compris celle des personnes qui ont déjà été désignées comme | compris celle des personnes qui ont déjà été désignées comme |
| conseiller en sécurité de l'information et en protection de la vie | conseiller en sécurité de l'information et en protection de la vie |
| privée, visé à l'alinéa premier, est communiquée à la commission de | privée, visé à l'alinéa premier, est communiquée à la commission de |
| contrôle par l'instance ou l'entité respectives sitôt après leur | contrôle par l'instance ou l'entité respectives sitôt après leur |
| désignation. | désignation. |
Art. 3.En vue de la sécurité des données, le conseiller en sécurité |
Art. 3.En vue de la sécurité des données, le conseiller en sécurité |
| est chargé de : | est chargé de : |
| 1° rendre des avis et recommandations accrédités au responsable de la | 1° rendre des avis et recommandations accrédités au responsable de la |
| gestion journalière de l'instance ou de l'entité concernées sur tous | gestion journalière de l'instance ou de l'entité concernées sur tous |
| les aspects dans le domaine de la sécurité de l'information, sur sa | les aspects dans le domaine de la sécurité de l'information, sur sa |
| propre initiative ou à la demande du responsable de la gestion | propre initiative ou à la demande du responsable de la gestion |
| journalière. Les avis sont rendus par voie écrite et de façon motivée, | journalière. Les avis sont rendus par voie écrite et de façon motivée, |
| à moins que les risques ne soient pas suffisamment graves. Endéans la | à moins que les risques ne soient pas suffisamment graves. Endéans la |
| période, requise par les circonstances, d'au maximum trois mois, le | période, requise par les circonstances, d'au maximum trois mois, le |
| responsable de la gestion journalière décide de suivre ou non l'avis, | responsable de la gestion journalière décide de suivre ou non l'avis, |
| laquelle décision il communique au conseiller en sécurité. Lorsque la | laquelle décision il communique au conseiller en sécurité. Lorsque la |
| décision déroge à un avis écrit du conseiller en sécurité, elle est | décision déroge à un avis écrit du conseiller en sécurité, elle est |
| communiquée par voie écrite et de façon motivée au conseiller en | communiquée par voie écrite et de façon motivée au conseiller en |
| sécurité; | sécurité; |
| 2° mettre en oeuvre les missions qui lui sont confiées par le | 2° mettre en oeuvre les missions qui lui sont confiées par le |
| responsable de la gestion journalière de l'instance ou de l'entité | responsable de la gestion journalière de l'instance ou de l'entité |
| concernées. | concernées. |
Art. 4.Le conseiller en sécurité observe toujours de l'objectivité, |
Art. 4.Le conseiller en sécurité observe toujours de l'objectivité, |
| de l'impartialité et de l'indépendance nécessaires lors de la | de l'impartialité et de l'indépendance nécessaires lors de la |
| formulation d'avis et de recommandations, qu'il remplisse ou non une | formulation d'avis et de recommandations, qu'il remplisse ou non une |
| fonction de sécurité dans une ou plusieurs instances ou entités. Les | fonction de sécurité dans une ou plusieurs instances ou entités. Les |
| avis et recommandations sont rendus avec l'expertise requise en la | avis et recommandations sont rendus avec l'expertise requise en la |
| matière. | matière. |
Art. 5.Le conseiller en sécurité garde toute information qui lui est |
Art. 5.Le conseiller en sécurité garde toute information qui lui est |
| confiée ou qu'il peut consulter, entendre ou lire dans le cadre de ses | confiée ou qu'il peut consulter, entendre ou lire dans le cadre de ses |
| missions ou de ses activités professionnelles strictement | missions ou de ses activités professionnelles strictement |
| confidentielle, tant l'information afférente à sa mission que celle | confidentielle, tant l'information afférente à sa mission que celle |
| afférente à ses collègues. Le conseiller en sécurité ne peut déroger à | afférente à ses collègues. Le conseiller en sécurité ne peut déroger à |
| cette règle générale de confidentialité de l'information que dans les | cette règle générale de confidentialité de l'information que dans les |
| deux cas suivants : | deux cas suivants : |
| 1° dans les cas stipulés par ou en vertu d'une disposition légale, | 1° dans les cas stipulés par ou en vertu d'une disposition légale, |
| décrétale ou réglementaire; | décrétale ou réglementaire; |
| 2° après avoir obtenu l'accord écrit du tiers qui sera affecté par la | 2° après avoir obtenu l'accord écrit du tiers qui sera affecté par la |
| révélation. | révélation. |
| Le consultant en sécurité veille à ce que la confidentialité | Le consultant en sécurité veille à ce que la confidentialité |
| obligatoire, visée à l'alinéa premier, soit observée par ses | obligatoire, visée à l'alinéa premier, soit observée par ses |
| collaborateurs et par chaque personne agissant sous sa responsabilité | collaborateurs et par chaque personne agissant sous sa responsabilité |
| dans le cadre d'une mission. | dans le cadre d'une mission. |
| Toute infraction contre la confidentialité obligatoire est punie | Toute infraction contre la confidentialité obligatoire est punie |
| conformément à l'article 458 du Code pénal. | conformément à l'article 458 du Code pénal. |
Art. 6.Le conseiller en sécurité encourage et veille au respect des |
Art. 6.Le conseiller en sécurité encourage et veille au respect des |
| prescriptions de sécurité, imposées par ou en vertu d'une disposition | prescriptions de sécurité, imposées par ou en vertu d'une disposition |
| légale, décrétale ou réglementaire et vérifie si les personnes qui | légale, décrétale ou réglementaire et vérifie si les personnes qui |
| traitent des données à caractère personnel au sein de l'instance ou de | traitent des données à caractère personnel au sein de l'instance ou de |
| l'entité, font preuve d'un comportement favorisant la sécurité. | l'entité, font preuve d'un comportement favorisant la sécurité. |
| Le conseiller en sécurité réunit la documentation nécessaire sur la | Le conseiller en sécurité réunit la documentation nécessaire sur la |
| sécurité de l'information. Toutes les infractions constatées sont | sécurité de l'information. Toutes les infractions constatées sont |
| communiquées par écrit au responsable de la gestion journalière de | communiquées par écrit au responsable de la gestion journalière de |
| l'instance ou de l'entité exclusivement, assorties des avis | l'instance ou de l'entité exclusivement, assorties des avis |
| nécessaires pour prévenir de telles infractions à l'avenir. | nécessaires pour prévenir de telles infractions à l'avenir. |
Art. 7.Le conseiller en sécurité et ses adjoints éventuels ne peuvent |
Art. 7.Le conseiller en sécurité et ses adjoints éventuels ne peuvent |
| être relevés de leur fonction en raison des opinions qu'ils émettent | être relevés de leur fonction en raison des opinions qu'ils émettent |
| ou des actes qu'ils accomplissent dans le cadre de l'exercice correct | ou des actes qu'ils accomplissent dans le cadre de l'exercice correct |
| de leur fonction. | de leur fonction. |
Art. 8.Le conseiller en sécurité relève de l'autorité directe |
Art. 8.Le conseiller en sécurité relève de l'autorité directe |
| fonctionnelle du responsable de la gestion journalière de l'instance | fonctionnelle du responsable de la gestion journalière de l'instance |
| ou de l'entité concernées. Il collabore étroitement avec les services | ou de l'entité concernées. Il collabore étroitement avec les services |
| où son intervention est ou peut être exigée, notamment avec le service | où son intervention est ou peut être exigée, notamment avec le service |
| d'informatique et le conseiller en prévention de l'instance ou de | d'informatique et le conseiller en prévention de l'instance ou de |
| l'entité concernées. | l'entité concernées. |
Art. 9.Le conseiller en prévention a une connaissances solide de |
Art. 9.Le conseiller en prévention a une connaissances solide de |
| l'environnement informatique de l'instance ou de l'entité concernées | l'environnement informatique de l'instance ou de l'entité concernées |
| et de la sécurité de l'information. Il ne cesse d'entretenir cette | et de la sécurité de l'information. Il ne cesse d'entretenir cette |
| connaissance. | connaissance. |
Art. 10.Le conseiller en sécurité établit un projet de plan de |
Art. 10.Le conseiller en sécurité établit un projet de plan de |
| sécurité pour un délai de trois ans, dans lequel sont mentionnés les | sécurité pour un délai de trois ans, dans lequel sont mentionnés les |
| moyens annuels requis pour la mise en oeuvre du plan et le soumet au | moyens annuels requis pour la mise en oeuvre du plan et le soumet au |
| responsable de la gestion journalière. Ce plan est révisé au moins une | responsable de la gestion journalière. Ce plan est révisé au moins une |
| fois par an et ajusté si nécessaire. Le projet de plan de sécurité est | fois par an et ajusté si nécessaire. Le projet de plan de sécurité est |
| considéré comme un avis tel que visé à l'article 3, 1°. | considéré comme un avis tel que visé à l'article 3, 1°. |
Art. 11.Le conseiller en sécurité établit un rapport annuel à |
Art. 11.Le conseiller en sécurité établit un rapport annuel à |
| l'attention du responsable de la gestion journalière de l'instance ou | l'attention du responsable de la gestion journalière de l'instance ou |
| de l'entité concernées. Ce rapport annuel reprend au moins : | de l'entité concernées. Ce rapport annuel reprend au moins : |
| 1° un aperçu général de la situation de sécurité, des développements | 1° un aperçu général de la situation de sécurité, des développements |
| dans l'année écoulée et des objectifs qui restent à réaliser; | dans l'année écoulée et des objectifs qui restent à réaliser; |
| 2° une synthèse des avis écrits qui ont été remis au responsable de la | 2° une synthèse des avis écrits qui ont été remis au responsable de la |
| gestion journalière et de la suite qui y a été réservée; | gestion journalière et de la suite qui y a été réservée; |
| 3° un aperçu des activités effectuées par le conseiller en sécurité; | 3° un aperçu des activités effectuées par le conseiller en sécurité; |
| 4° un aperçu des résultats des contrôles effectués par le conseiller | 4° un aperçu des résultats des contrôles effectués par le conseiller |
| en sécurité, détaillant tous les cas constatés susceptibles d'avoir | en sécurité, détaillant tous les cas constatés susceptibles d'avoir |
| mis en péril la sécurité de l'information de l'instance ou de l'entité | mis en péril la sécurité de l'information de l'instance ou de l'entité |
| concernées; | concernées; |
| 5° un aperçu des campagnes qui ont été menées à la promotion de la | 5° un aperçu des campagnes qui ont été menées à la promotion de la |
| sécurité; | sécurité; |
| 6° un aperçu de toutes les formations suivies et des formations | 6° un aperçu de toutes les formations suivies et des formations |
| planifiées. | planifiées. |
Art. 12.Les missions du conseiller en sécurité ont aussi trait à la |
Art. 12.Les missions du conseiller en sécurité ont aussi trait à la |
| garde, au traitement ou à l'échange de données à caractère personnel, | garde, au traitement ou à l'échange de données à caractère personnel, |
| effectués par des tiers pour le compte de l'instance ou de l'entité | effectués par des tiers pour le compte de l'instance ou de l'entité |
| concernées. | concernées. |
Art. 13.Le présent arrêté entre en vigueur à la date d'entrée en |
Art. 13.Le présent arrêté entre en vigueur à la date d'entrée en |
| vigueur du décret du 18 juillet 2008. | vigueur du décret du 18 juillet 2008. |
Art. 14.Le Ministre flamand chargé de la gestion de la |
Art. 14.Le Ministre flamand chargé de la gestion de la |
| réglementation, de la simplification administrative et du | réglementation, de la simplification administrative et du |
| e-gouvernement et le Ministre flamand chargé des affaires intérieures | e-gouvernement et le Ministre flamand chargé des affaires intérieures |
| sont chargés, chacun en ce qui le concerne, de l'exécution du présent | sont chargés, chacun en ce qui le concerne, de l'exécution du présent |
| arrêté. | arrêté. |
| Bruxelles, le 15 mai 2009. | Bruxelles, le 15 mai 2009. |
| Le Ministre-Président du Gouvernement flamand, Ministre flamand des | Le Ministre-Président du Gouvernement flamand, Ministre flamand des |
| Réformes institutionnelles, des Affaires administratives, de la | Réformes institutionnelles, des Affaires administratives, de la |
| Politique extérieure, des Médias, du Tourisme, des Ports, de | Politique extérieure, des Médias, du Tourisme, des Ports, de |
| l'Agriculture, de la Pêche en mer et de la Ruralité, | l'Agriculture, de la Pêche en mer et de la Ruralité, |
| K. PEETERS | K. PEETERS |
| Le Ministre flamand des Affaires intérieures, de la Politique des | Le Ministre flamand des Affaires intérieures, de la Politique des |
| Villes, du Logement et de l'Intégration civique, | Villes, du Logement et de l'Intégration civique, |
| M. KEULEN | M. KEULEN |