← Retour vers "Loi modifiant la loi du 2 octobre 2017 réglementant la sécurité privée et particulière en ce qui concerne le traitement des données personnelles "
| Loi modifiant la loi du 2 octobre 2017 réglementant la sécurité privée et particulière en ce qui concerne le traitement des données personnelles | Loi modifiant la loi du 2 octobre 2017 réglementant la sécurité privée et particulière en ce qui concerne le traitement des données personnelles |
|---|---|
| SERVICE PUBLIC FEDERAL INTERIEUR | SERVICE PUBLIC FEDERAL INTERIEUR |
| 9 MAI 2019. - Loi modifiant la loi du 2 octobre 2017 réglementant la | 9 MAI 2019. - Loi modifiant la loi du 2 octobre 2017 réglementant la |
| sécurité privée et particulière en ce qui concerne le traitement des | sécurité privée et particulière en ce qui concerne le traitement des |
| données personnelles | données personnelles |
| PHILIPPE, Roi des Belges, | PHILIPPE, Roi des Belges, |
| A tous, présents et à venir, Salut. | A tous, présents et à venir, Salut. |
| Les Chambres ont adopté et Nous sanctionnons ce qui suit: | Les Chambres ont adopté et Nous sanctionnons ce qui suit: |
| Sur la proposition de notre Ministre de la Sécurité et de l'Intérieur | Sur la proposition de notre Ministre de la Sécurité et de l'Intérieur |
| et sur l'avis de Nos ministres qui en ont délibéré en Conseil, | et sur l'avis de Nos ministres qui en ont délibéré en Conseil, |
| Vu l'avis 63.762/2 du Conseil d'Etat, donné le 25 juin 2018, en | Vu l'avis 63.762/2 du Conseil d'Etat, donné le 25 juin 2018, en |
| application de l'article 84, § 1er, alinéa 1er, 3°, des lois | application de l'article 84, § 1er, alinéa 1er, 3°, des lois |
| coordonnées sur le Conseil d'Etat; | coordonnées sur le Conseil d'Etat; |
| Vu l'avis 62/2018 de l'Autorité de protection des données, donné le 25 | Vu l'avis 62/2018 de l'Autorité de protection des données, donné le 25 |
| juillet 2018; | juillet 2018; |
| Vu l'avis 65.395/2 du Conseil d'Etat, donné le 12 février 2019, en | Vu l'avis 65.395/2 du Conseil d'Etat, donné le 12 février 2019, en |
| application de l'article 84, § 1er, alinéa 1er, 3°, des lois | application de l'article 84, § 1er, alinéa 1er, 3°, des lois |
| coordonnées sur le Conseil d'Etat; | coordonnées sur le Conseil d'Etat; |
| Le Ministre de la Sécurité et de l'Intérieur est chargé de présenter | Le Ministre de la Sécurité et de l'Intérieur est chargé de présenter |
| en Notre nom et de déposer à la Chambre des représentants le projet de | en Notre nom et de déposer à la Chambre des représentants le projet de |
| loi dont la teneur suit : | loi dont la teneur suit : |
| CHAPITRE 1er. - Disposition générale | CHAPITRE 1er. - Disposition générale |
Article 1er.La présente loi règle une matière visée à l'article 74 de |
Article 1er.La présente loi règle une matière visée à l'article 74 de |
| la Constitution. | la Constitution. |
| CHAPITRE 2. - Dispositions modificatives | CHAPITRE 2. - Dispositions modificatives |
Art. 2.L'article 2 de la loi du 2 octobre 2017 réglementant la |
Art. 2.L'article 2 de la loi du 2 octobre 2017 réglementant la |
| sécurité privée et particulière est complété par les 36° et 37° | sécurité privée et particulière est complété par les 36° et 37° |
| rédigés comme suit: | rédigés comme suit: |
| "36° le Règlement (UE) 2016/679: le Règlement (UE) 2016/679 du | "36° le Règlement (UE) 2016/679: le Règlement (UE) 2016/679 du |
| Parlement européen et du Conseil du 27 avril 2016 relatif à la | Parlement européen et du Conseil du 27 avril 2016 relatif à la |
| protection des personnes physiques à l'égard du traitement des données | protection des personnes physiques à l'égard du traitement des données |
| à caractère personnel et à la libre circulation de ces données, et | à caractère personnel et à la libre circulation de ces données, et |
| abrogeant la directive 95/46/CE (règlement général sur la protection | abrogeant la directive 95/46/CE (règlement général sur la protection |
| des données); | des données); |
| 37° la loi Protection des données à caractère personnel: loi du 30 | 37° la loi Protection des données à caractère personnel: loi du 30 |
| juillet 2018 relative à la protection des personnes physiques à | juillet 2018 relative à la protection des personnes physiques à |
| l'égard des traitements des données à caractère personnel.". | l'égard des traitements des données à caractère personnel.". |
Art. 3.Dans le chapitre 8, section 1re, de la même loi, il est inséré |
Art. 3.Dans le chapitre 8, section 1re, de la même loi, il est inséré |
| une sous-section 4/1 intitulée: | une sous-section 4/1 intitulée: |
| "Sous-section 4/1. Les limitations des droits de la personne concernée | "Sous-section 4/1. Les limitations des droits de la personne concernée |
| lors du traitement de données à caractère personnel.". | lors du traitement de données à caractère personnel.". |
Art. 4.Dans la sous-section 4/1, insérée par l'article 3, il est |
Art. 4.Dans la sous-section 4/1, insérée par l'article 3, il est |
| inséré un article 269/1, rédigé comme suit: | inséré un article 269/1, rédigé comme suit: |
| " Art. 269/1.§ 1er. Par dérogation aux articles 13, 14, 15, 16, 17 et |
" Art. 269/1.§ 1er. Par dérogation aux articles 13, 14, 15, 16, 17 et |
| 18 du Règlement (UE) 2016/679, et pour autant que l'article 14, | 18 du Règlement (UE) 2016/679, et pour autant que l'article 14, |
| paragraphe 5, b), c) ou d), du Règlement (UE) 2016/679 ne puisse être | paragraphe 5, b), c) ou d), du Règlement (UE) 2016/679 ne puisse être |
| invoqué dans le cas d'espèce, les droits visés à ces articles peuvent | invoqué dans le cas d'espèce, les droits visés à ces articles peuvent |
| être retardés, limités ou exclus s'agissant des traitements de données | être retardés, limités ou exclus s'agissant des traitements de données |
| à caractère personnel réalisés par la Direction Générale Sécurité et | à caractère personnel réalisés par la Direction Générale Sécurité et |
| Prévention du Service public fédéral Intérieur en sa qualité de | Prévention du Service public fédéral Intérieur en sa qualité de |
| service public chargé des missions d'intérêt général dans le domaine | service public chargé des missions d'intérêt général dans le domaine |
| du contrôle, de l'inspection ou de la réglementation qui sont liées, | du contrôle, de l'inspection ou de la réglementation qui sont liées, |
| même occasionnellement, à l'exercice de l'autorité publique, dans les | même occasionnellement, à l'exercice de l'autorité publique, dans les |
| cas visés à l'article 23, paragraphe 1er, c), d) et g), du Règlement | cas visés à l'article 23, paragraphe 1er, c), d) et g), du Règlement |
| (UE) 2016/679. Ceci afin d'éviter que la personne concernée soit | (UE) 2016/679. Ceci afin d'éviter que la personne concernée soit |
| systématiquement informée du fait qu'il existe un dossier à son | systématiquement informée du fait qu'il existe un dossier à son |
| propos, ce qui pourrait nuire aux besoins de la procédure | propos, ce qui pourrait nuire aux besoins de la procédure |
| administrative, du contrôle, de l'enquête ou des actes préparatoires, | administrative, du contrôle, de l'enquête ou des actes préparatoires, |
| ou risque de violer le secret de l'enquête pénale ou à la sécurité des | ou risque de violer le secret de l'enquête pénale ou à la sécurité des |
| personnes. | personnes. |
| Les traitements visés à l'alinéa 1er sont ceux effectués: | Les traitements visés à l'alinéa 1er sont ceux effectués: |
| 1° en vue de l'exercice des missions énumérées aux articles 65 à 75 | 1° en vue de l'exercice des missions énumérées aux articles 65 à 75 |
| et/ou du traitement des signalements visés aux articles 49, 54 et 205; | et/ou du traitement des signalements visés aux articles 49, 54 et 205; |
| 2° en vue de l'exercice des missions relatives aux procédures | 2° en vue de l'exercice des missions relatives aux procédures |
| administratives se rapportant à l'octroi, le renouvellement, le refus, | administratives se rapportant à l'octroi, le renouvellement, le refus, |
| la suspension, le retrait des autorisations, droits d'une personne | la suspension, le retrait des autorisations, droits d'une personne |
| d'exercer les activités telles que visées dans la présente loi, | d'exercer les activités telles que visées dans la présente loi, |
| permissions et cartes d'identification, visées aux articles 16 à 41, | permissions et cartes d'identification, visées aux articles 16 à 41, |
| 76 à 87, 92, 93, 167, 186 à 190; | 76 à 87, 92, 93, 167, 186 à 190; |
| 3° en vue de l'exercice des missions énumérées aux articles 208 à 233; | 3° en vue de l'exercice des missions énumérées aux articles 208 à 233; |
| 4° en vue de l'exercice des missions énumérées aux articles 234 à 255. | 4° en vue de l'exercice des missions énumérées aux articles 234 à 255. |
| Dans le cadre des missions visées à l'alinéa 2, la Direction générale | Dans le cadre des missions visées à l'alinéa 2, la Direction générale |
| Sécurité et Prévention du Service public fédéral Intérieur peut | Sécurité et Prévention du Service public fédéral Intérieur peut |
| traiter des données visées à l'article 9 du Règlement (UE) 2016/679, | traiter des données visées à l'article 9 du Règlement (UE) 2016/679, |
| qui révèlent l'origine raciale ou ethnique, les opinions politiques, | qui révèlent l'origine raciale ou ethnique, les opinions politiques, |
| les convictions religieuses ou philosophiques, et des données visées à | les convictions religieuses ou philosophiques, et des données visées à |
| l'article 10 du Règlement (UE) n° 679/2016, lorsque ce traitement est | l'article 10 du Règlement (UE) n° 679/2016, lorsque ce traitement est |
| strictement nécessaire pour garantir la bonne exécution des missions | strictement nécessaire pour garantir la bonne exécution des missions |
| visées à l'alinéa 2. | visées à l'alinéa 2. |
| Les limitations des droits de la personne concernée visées à l'alinéa | Les limitations des droits de la personne concernée visées à l'alinéa |
| 1er concernent tous les types de données traitées dans le cadre des | 1er concernent tous les types de données traitées dans le cadre des |
| missions visées à l'alinéa 2, à l'exception des données pour | missions visées à l'alinéa 2, à l'exception des données pour |
| lesquelles une dérogation est déjà prévue aux articles 11 et 14 de la | lesquelles une dérogation est déjà prévue aux articles 11 et 14 de la |
| loi Protection des données à caractère personnel. La limitation des | loi Protection des données à caractère personnel. La limitation des |
| droits visés aux articles 13, 15 et 16 du Règlement (UE) 2016/679 ne | droits visés aux articles 13, 15 et 16 du Règlement (UE) 2016/679 ne |
| s'applique toutefois pas aux données à caractère personnel qui ont été | s'applique toutefois pas aux données à caractère personnel qui ont été |
| collectées auprès de la personne concernée dans le cadre de l'exercice | collectées auprès de la personne concernée dans le cadre de l'exercice |
| des missions visées à l'alinéa 2. | des missions visées à l'alinéa 2. |
| § 2. La limitation du droit de la personne concernée vaut: | § 2. La limitation du droit de la personne concernée vaut: |
| a) dans le cas visé au paragraphe 1er, alinéa 2, 1° : sans préjudice | a) dans le cas visé au paragraphe 1er, alinéa 2, 1° : sans préjudice |
| de l'article 269/2, de manière illimitée dans le temps; | de l'article 269/2, de manière illimitée dans le temps; |
| b) dans le cas visé au paragraphe 1er, alinéa 2, 2° : exclusivement | b) dans le cas visé au paragraphe 1er, alinéa 2, 2° : exclusivement |
| durant la période précédant une décision définitive dans le cadre des | durant la période précédant une décision définitive dans le cadre des |
| procédures administratives visées; | procédures administratives visées; |
| c) dans les cas visés au paragraphe 1er, alinéa 2, 3° et 4° : | c) dans les cas visés au paragraphe 1er, alinéa 2, 3° et 4° : |
| exclusivement durant la période où la personne concernée fait l'objet | exclusivement durant la période où la personne concernée fait l'objet |
| directement ou indirectement d'une enquête, d'un contrôle ou d'une | directement ou indirectement d'une enquête, d'un contrôle ou d'une |
| inspection en cours, ainsi que durant les actes préparatoires y | inspection en cours, ainsi que durant les actes préparatoires y |
| relatifs. Si le dossier d'enquête est ensuite transmis au | relatifs. Si le dossier d'enquête est ensuite transmis au |
| fonctionnaire sanctionnant visé à l'article 234, pour se prononcer sur | fonctionnaire sanctionnant visé à l'article 234, pour se prononcer sur |
| les résultats de l'enquête, les droits ne seront rétablis que | les résultats de l'enquête, les droits ne seront rétablis que |
| lorsqu'une décision définitive aura été prise en la matière. | lorsqu'une décision définitive aura été prise en la matière. |
| La durée des actes préparatoires, visés à l'alinéa 1er, c), pendant | La durée des actes préparatoires, visés à l'alinéa 1er, c), pendant |
| laquelle les articles 13, 14, 15, 16, 17 et 18 du Règlement (UE) | laquelle les articles 13, 14, 15, 16, 17 et 18 du Règlement (UE) |
| 2016/679 ne sont pas applicables, ne peut excéder trois ans à partir | 2016/679 ne sont pas applicables, ne peut excéder trois ans à partir |
| de la réception d'une demande concernant la communication en | de la réception d'une demande concernant la communication en |
| application de ces articles. | application de ces articles. |
| Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de | Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de |
| la personne concernée ne sont rétablis qu'après autorisation de | la personne concernée ne sont rétablis qu'après autorisation de |
| l'autorité judiciaire, après que la phase judiciaire soit terminée ou | l'autorité judiciaire, après que la phase judiciaire soit terminée ou |
| après que le ministère public ait confirmé à l'autorité compétente | après que le ministère public ait confirmé à l'autorité compétente |
| soit qu'il renonce à toute poursuite pénale, soit qu'il propose une | soit qu'il renonce à toute poursuite pénale, soit qu'il propose une |
| transaction visée à l'article 216bis du Code d'instruction criminelle | transaction visée à l'article 216bis du Code d'instruction criminelle |
| ou une médiation visée à l'article 216ter du Code d'instruction | ou une médiation visée à l'article 216ter du Code d'instruction |
| criminelle. Toutefois, les renseignements recueillis à l'occasion de | criminelle. Toutefois, les renseignements recueillis à l'occasion de |
| l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent | l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent |
| être communiqués qu'avec l'autorisation expresse de celle-ci. | être communiqués qu'avec l'autorisation expresse de celle-ci. |
| Lorsqu'un dossier est transmis à un autre service public en | Lorsqu'un dossier est transmis à un autre service public en |
| application de l'article 217 pour statuer sur les conclusions de | application de l'article 217 pour statuer sur les conclusions de |
| l'enquête, les droits de la personne concernée ne sont rétablis | l'enquête, les droits de la personne concernée ne sont rétablis |
| qu'après que cet autre service public ait statué sur le résultat de | qu'après que cet autre service public ait statué sur le résultat de |
| l'enquête. | l'enquête. |
| § 3. La limitation du droit de la personne concernée vaut dans la | § 3. La limitation du droit de la personne concernée vaut dans la |
| mesure où l'application de ce droit nuirait aux besoins de la | mesure où l'application de ce droit nuirait aux besoins de la |
| procédure administrative, du contrôle, de l'enquête ou des actes | procédure administrative, du contrôle, de l'enquête ou des actes |
| préparatoires, ou risque de violer le secret de l'enquête pénale ou à | préparatoires, ou risque de violer le secret de l'enquête pénale ou à |
| la sécurité des personnes. | la sécurité des personnes. |
| La limitation du droit de la personne concernée ne vise pas les | La limitation du droit de la personne concernée ne vise pas les |
| données qui sont étrangères à l'objet de la procédure administrative, | données qui sont étrangères à l'objet de la procédure administrative, |
| l'enquête ou le contrôle justifiant la limitation du droit. | l'enquête ou le contrôle justifiant la limitation du droit. |
| § 4. La limitation des droits de la personne concernée, prévue dans | § 4. La limitation des droits de la personne concernée, prévue dans |
| cet article, ne porte pas atteinte aux droits spécifiques qui ont été | cet article, ne porte pas atteinte aux droits spécifiques qui ont été |
| accordés à la personne concernée par ou en vertu de la présente loi | accordés à la personne concernée par ou en vertu de la présente loi |
| dans le cadre de certaines procédures contentieuses ou | dans le cadre de certaines procédures contentieuses ou |
| administratives. | administratives. |
| § 5. Dès réception d'une demande relative à l'un des droits visés au | § 5. Dès réception d'une demande relative à l'un des droits visés au |
| paragraphe 1er, alinéa 1er, le délégué à la protection des données de | paragraphe 1er, alinéa 1er, le délégué à la protection des données de |
| la Direction Générale Sécurité et Prévention du Service public fédéral | la Direction Générale Sécurité et Prévention du Service public fédéral |
| Intérieur en accuse réception. | Intérieur en accuse réception. |
| Le délégué à la protection des données visé à l'alinéa 1er informe la | Le délégué à la protection des données visé à l'alinéa 1er informe la |
| personne concernée par écrit, dans les meilleurs délais, et en tout | personne concernée par écrit, dans les meilleurs délais, et en tout |
| état de cause dans un délai d'un mois à compter de la réception de la | état de cause dans un délai d'un mois à compter de la réception de la |
| demande, de tout refus ou de toute limitation du droit invoqué par la | demande, de tout refus ou de toute limitation du droit invoqué par la |
| personne concernée, ainsi que des motifs du refus ou de la limitation. | personne concernée, ainsi que des motifs du refus ou de la limitation. |
| Ces informations concernant le refus ou la limitation peuvent ne pas | Ces informations concernant le refus ou la limitation peuvent ne pas |
| être fournies lorsque leur communication risque de compromettre l'une | être fournies lorsque leur communication risque de compromettre l'une |
| des finalités des traitements énoncées au paragraphe 1er, alinéa 2. Au | des finalités des traitements énoncées au paragraphe 1er, alinéa 2. Au |
| besoin, ce délai peut être prolongé de deux mois, compte tenu de la | besoin, ce délai peut être prolongé de deux mois, compte tenu de la |
| complexité et du nombre de demandes. Le délégué à la protection des | complexité et du nombre de demandes. Le délégué à la protection des |
| données informe la personne concernée de cette prolongation et des | données informe la personne concernée de cette prolongation et des |
| motifs du report dans un délai d'un mois à compter de la réception de | motifs du report dans un délai d'un mois à compter de la réception de |
| la demande. | la demande. |
| Le délégué à la protection des données informe la personne concernée | Le délégué à la protection des données informe la personne concernée |
| des possibilités d'introduire une réclamation auprès de l'Autorité de | des possibilités d'introduire une réclamation auprès de l'Autorité de |
| protection des données et de former un recours juridictionnel. | protection des données et de former un recours juridictionnel. |
| Le délégué à la protection des données consigne les motifs de fait ou | Le délégué à la protection des données consigne les motifs de fait ou |
| de droit sur lesquels se fonde sa décision. Ces informations sont | de droit sur lesquels se fonde sa décision. Ces informations sont |
| mises à la disposition de l'Autorité de protection des données. | mises à la disposition de l'Autorité de protection des données. |
| Le délégué à la protection des données informe la personne concernée | Le délégué à la protection des données informe la personne concernée |
| sans délai de la suppression de la limitation des informations à | sans délai de la suppression de la limitation des informations à |
| fournir.". | fournir.". |
Art. 5.Dans la même sous-section 4/1, il est inséré un article 269/2, |
Art. 5.Dans la même sous-section 4/1, il est inséré un article 269/2, |
| rédigé comme suit: | rédigé comme suit: |
| " Art. 269/2.Sans préjudice de la conservation nécessaire pour le |
" Art. 269/2.Sans préjudice de la conservation nécessaire pour le |
| traitement à des fins archivistiques dans l'intérêt public, à des fins | traitement à des fins archivistiques dans l'intérêt public, à des fins |
| de recherche scientifique ou historique ou à des fins statistiques | de recherche scientifique ou historique ou à des fins statistiques |
| visé à l'article 89 du Règlement (UE) 2016/679, les données à | visé à l'article 89 du Règlement (UE) 2016/679, les données à |
| caractère personnel visées ne sont pas conservées plus longtemps que | caractère personnel visées ne sont pas conservées plus longtemps que |
| nécessaire au regard des finalités pour lesquelles elles sont | nécessaire au regard des finalités pour lesquelles elles sont |
| traitées. | traitées. |
| Sauf disposition légale explicite contraire en matière de conservation | Sauf disposition légale explicite contraire en matière de conservation |
| des données à caractère personnel qui proviennent d'une autorité | des données à caractère personnel qui proviennent d'une autorité |
| compétente, visée au titre 2 de la loi Protection des données à | compétente, visée au titre 2 de la loi Protection des données à |
| caractère personnel, ou d'un service de renseignements et de sécurité | caractère personnel, ou d'un service de renseignements et de sécurité |
| visé au titre 3 de la même loi, le délai de conservation pour les | visé au titre 3 de la même loi, le délai de conservation pour les |
| données à caractère personnel traitées par la Direction générale | données à caractère personnel traitées par la Direction générale |
| Sécurité et Prévention du Service public fédéral Intérieur dans le | Sécurité et Prévention du Service public fédéral Intérieur dans le |
| cadre de ses missions légales en matière d'application de la | cadre de ses missions légales en matière d'application de la |
| surveillance et du contrôle du respect de la présente loi, s'élève à | surveillance et du contrôle du respect de la présente loi, s'élève à |
| maximum 10 ans à compter de la date du dernier traitement de nouvelles | maximum 10 ans à compter de la date du dernier traitement de nouvelles |
| informations concernant la personne concernée. | informations concernant la personne concernée. |
| A l'expiration de ce délai, les dossiers sont - selon les règles en | A l'expiration de ce délai, les dossiers sont - selon les règles en |
| vigueur en matière d'archivage dans l'intérêt général - transférés aux | vigueur en matière d'archivage dans l'intérêt général - transférés aux |
| Archives du Royaume ou détruits définitivement.". | Archives du Royaume ou détruits définitivement.". |
Art. 6.Dans la même sous-section 4/1, il est inséré un article 269/3, |
Art. 6.Dans la même sous-section 4/1, il est inséré un article 269/3, |
| rédigé comme suit: | rédigé comme suit: |
| " Art. 269/3.§ 1er. Dans le cadre de l'application des articles 269/1 |
" Art. 269/3.§ 1er. Dans le cadre de l'application des articles 269/1 |
| et 269/2, la Direction Générale Sécurité et Prévention du Service | et 269/2, la Direction Générale Sécurité et Prévention du Service |
| public fédéral Intérieur tient compte des risques pour les droits et | public fédéral Intérieur tient compte des risques pour les droits et |
| libertés des personnes concernées et prend les mesures nécessaires | libertés des personnes concernées et prend les mesures nécessaires |
| destinées à garantir la prévention des abus ainsi que de l'accès et du | destinées à garantir la prévention des abus ainsi que de l'accès et du |
| transfert illicites des données à caractère personnel. | transfert illicites des données à caractère personnel. |
| § 2. Compte tenu de la nature, de la portée, du contexte et des | § 2. Compte tenu de la nature, de la portée, du contexte et des |
| finalités du traitement ainsi que des risques, dont le degré de | finalités du traitement ainsi que des risques, dont le degré de |
| probabilité et de gravité varie, pour les droits et libertés des | probabilité et de gravité varie, pour les droits et libertés des |
| personnes physiques, le responsable du traitement met en oeuvre des | personnes physiques, le responsable du traitement met en oeuvre des |
| mesures techniques et organisationnelles appropriées. | mesures techniques et organisationnelles appropriées. |
| Le responsable du traitement doit être en mesure de démontrer que le | Le responsable du traitement doit être en mesure de démontrer que le |
| traitement est effectué conformément à la loi. | traitement est effectué conformément à la loi. |
| Ces mesures comprennent en tout cas la mise en oeuvre de politiques | Ces mesures comprennent en tout cas la mise en oeuvre de politiques |
| appropriées en matière de protection des données par le responsable du | appropriées en matière de protection des données par le responsable du |
| traitement. | traitement. |
| Ces mesures sont évaluées et, si nécessaire, actualisées. | Ces mesures sont évaluées et, si nécessaire, actualisées. |
| § 3. Compte tenu de l'état des connaissances, des coûts de la mise en | § 3. Compte tenu de l'état des connaissances, des coûts de la mise en |
| oeuvre et de la nature, de la portée, du contexte et des finalités du | oeuvre et de la nature, de la portée, du contexte et des finalités du |
| traitement, ainsi que des risques, dont le degré de probabilité et de | traitement, ainsi que des risques, dont le degré de probabilité et de |
| gravité varie, que présente le traitement pour les droits et libertés | gravité varie, que présente le traitement pour les droits et libertés |
| des personnes physiques, les mesures techniques et organisationnelles | des personnes physiques, les mesures techniques et organisationnelles |
| visées au paragraphe 2, sont destinées à mettre en oeuvre les | visées au paragraphe 2, sont destinées à mettre en oeuvre les |
| principes relatifs à la protection des données de façon effective et à | principes relatifs à la protection des données de façon effective et à |
| assortir le traitement des garanties nécessaires afin de protéger les | assortir le traitement des garanties nécessaires afin de protéger les |
| droits de la personne concernée, tant au moment de la détermination | droits de la personne concernée, tant au moment de la détermination |
| des moyens du traitement qu'au moment du traitement lui-même. | des moyens du traitement qu'au moment du traitement lui-même. |
| Les mesures techniques et organisationnelles appropriées visées au | Les mesures techniques et organisationnelles appropriées visées au |
| paragraphe 2 garantissent qu'en principe, seules les données à | paragraphe 2 garantissent qu'en principe, seules les données à |
| caractère personnel qui sont nécessaires au regard de chaque finalité | caractère personnel qui sont nécessaires au regard de chaque finalité |
| spécifique du traitement sont traitées. | spécifique du traitement sont traitées. |
| § 4. Le responsable du traitement prend en particulier les | § 4. Le responsable du traitement prend en particulier les |
| dispositions suivantes: | dispositions suivantes: |
| 1° il adopte des mesures techniques ou organisationnelles appropriées | 1° il adopte des mesures techniques ou organisationnelles appropriées |
| pour protéger les données à caractère personnel contre la destruction | pour protéger les données à caractère personnel contre la destruction |
| accidentelle ou non autorisée, contre la perte accidentelle ainsi que | accidentelle ou non autorisée, contre la perte accidentelle ainsi que |
| contre la modification ou tout autre traitement non autorisé de ces | contre la modification ou tout autre traitement non autorisé de ces |
| données telles que: | données telles que: |
| - des mesures techniques de sécurisation des serveurs, réseaux et | - des mesures techniques de sécurisation des serveurs, réseaux et |
| postes clients où les données sont consultées et | postes clients où les données sont consultées et |
| - la journalisation des accès et des inspections régulières dans le | - la journalisation des accès et des inspections régulières dans le |
| but de détecter des anomalies; | but de détecter des anomalies; |
| 2° il désigne un délégué à la protection des données; | 2° il désigne un délégué à la protection des données; |
| 3° il établit une liste des catégories de personnes ayant accès aux | 3° il établit une liste des catégories de personnes ayant accès aux |
| données à caractère personnel avec une description de leur fonction | données à caractère personnel avec une description de leur fonction |
| par rapport au traitement des données visées. Cette liste est tenue à | par rapport au traitement des données visées. Cette liste est tenue à |
| la disposition de l'autorité de contrôle compétente; | la disposition de l'autorité de contrôle compétente; |
| 4° il désigne un responsable pour autoriser les accès et procéder à la | 4° il désigne un responsable pour autoriser les accès et procéder à la |
| différentiation des rôles; | différentiation des rôles; |
| 5° il veille à ce que les personnes visées au 3° soient tenues, par | 5° il veille à ce que les personnes visées au 3° soient tenues, par |
| une obligation légale ou statutaire, ou par une disposition | une obligation légale ou statutaire, ou par une disposition |
| contractuelle équivalente, au respect du caractère confidentiel des | contractuelle équivalente, au respect du caractère confidentiel des |
| données concernées; | données concernées; |
| 6° il veille à la formation et sensibilisation du personnel ayant | 6° il veille à la formation et sensibilisation du personnel ayant |
| accès aux données en ce qui concerne la sécurité de l'information, les | accès aux données en ce qui concerne la sécurité de l'information, les |
| bonnes pratiques et les risques inhérents.". | bonnes pratiques et les risques inhérents.". |
| Promulguons la présente loi, ordonnons qu'elle soit revêtue du sceau | Promulguons la présente loi, ordonnons qu'elle soit revêtue du sceau |
| de l'Etat et publiée par le Moniteur belge. | de l'Etat et publiée par le Moniteur belge. |
| Donné à Bruxelles, le 9 mai 2019. | Donné à Bruxelles, le 9 mai 2019. |
| PHILIPPE | PHILIPPE |
| Par le Roi : | Par le Roi : |
| Le ministre de la Sécurité et de l'Intérieur, | Le ministre de la Sécurité et de l'Intérieur, |
| P. DE CREM | P. DE CREM |
| Scellé du sceau de l'Etat : | Scellé du sceau de l'Etat : |
| Le Ministre de la Justice, | Le Ministre de la Justice, |
| K. GEENS | K. GEENS |
| _______ | _______ |
| Note | Note |
| (1) Chambre des représentants | (1) Chambre des représentants |
| (www.lachambre.be) | (www.lachambre.be) |
| Documents : 54K3639 | Documents : 54K3639 |
| Rapport intégré : 25.04.2019 | Rapport intégré : 25.04.2019 |