Etaamb.openjustice.be
Loi du 03 décembre 2017
publié le 10 janvier 2018

Loi portant création de l'Autorité de protection des données

source
service public federal justice
numac
2017031916
pub.
10/01/2018
prom.
03/12/2017
ELI
eli/loi/2017/12/03/2017031916/moniteur
moniteur
https://www.ejustice.just.fgov.be/cgi/article_body(...)
liens
Conseil d'État (chrono)Chambre (doc. parl.)
Document Qrcode

3 DECEMBRE 2017. - Loi portant création de l'Autorité de protection des données


PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

La Chambre des représentants a adopté et Nous sanctionnons ce qui suit : CHAPITRE 1er. - Disposition introductives

Article 1er.La présente loi règle une matière visée à l'article 74 de la Constitution.

Art. 2.Pour l'application de la présente loi, on entend par: 1° "l'Autorité de protection des données": l'Autorité de contrôle des traitements de données à caractère personnel;2° "le Règlement 2016/679": le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE;3° "système informatique": tout système de traitement de données;4° "inspecteur": fonctionnaire statutaire ou contractuel de l'Autorité de protection des données chargé de constater les infractions à la présente loi et aux lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel. CHAPITRE 2. - L'Autorité de protection des données

Art. 3.Il est institué auprès de la Chambre des représentants une "Autorité de protection des données".

Elle succède à la Commission de la protection de la vie privée.

Elle a la personnalité juridique. Son siège est établi dans l'arrondissement administratif de Bruxelles-Capitale.

Art. 4.§ 1er. L'Autorité de protection des données est responsable du contrôle du respect des principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel.

Sans préjudice des compétences des Gouvernements de communauté et de région, des Parlements de communauté et de région, du Collège réuni et de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux Institutions bruxelloises, l'Autorité de protection des données exerce cette mission, indépendamment du droit national applicable au traitement concerné, sur l'ensemble du territoire du Royaume. § 2. Le contrôle organisé par la présente loi ne porte pas sur les traitements effectués par les cours et tribunaux ainsi que le ministère public dans l'exercice de leur fonction juridictionnelle.

Le Roi peut désigner d'autres autorités pour autant qu'elles traitent des données à caractère personnel dans l'exercice de leur fonction juridictionnelle.

A l'égard des services de police au sens de l'article 2,2°, de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux fermer organisant un service de police intégré, structuré à deux niveaux, les compétences, missions et pouvoirs d'autorité de contrôle tels que prévus par le Règlement 2016/679 sont exercés par l'Organe de contrôle de l'information policière visé à l'article 44/6, § 1er, de la loi du 5 août 1992Documents pertinents retrouvés type loi prom. 05/08/1992 pub. 21/10/1999 numac 1999015203 source ministere des affaires etrangeres, du commerce exterieur et de la cooperation internationale Loi portant approbation du Protocole modifiant l'article 81 du Traité instituant l'Union économique Benelux du 3 février 1958, fait à Bruxelles le 16 février 1990 fermer sur la fonction de police. § 3. Toute décision juridiquement contraignante de l'Autorité de protection des données est datée, signée et motivée, et fait référence aux recours qui peuvent être introduits contre la décision.

Art. 5.L'Autorité de protection des données exécute ses missions exclusivement dans l'intérêt général.

Les membres de ses organes et les membres de son personnel n'encourent aucune responsabilité civile en raison de leurs décisions, actes ou comportements dans l'exercice des missions légales de l'Autorité de protection des données sauf dans les cas prévus par la loi.

Art. 6.L'autorité de protection des données a le pouvoir de porter toute infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel, à l'attention des autorités judiciaires et, le cas échéant, d'ester en justice en vue de voir appliquer ces principes fondamentaux.

Art. 7.L'Autorité de protection des données est composée de six organes: 1° un comité de direction;2° un secrétariat général;3° un service de première ligne;4° un centre de connaissances;5° un service d'inspection;6° une chambre contentieuse. L'Autorité de protection des données peut se faire assister par des experts dans l'accomplissement de ses missions.

Art. 8.L'Autorité de protection des données s'adjoint un conseil de réflexion indépendant. Section 1re. - Le comité de direction

Art. 9.Le comité de direction: 1° approuve les comptes annuels et décide le budget annuel, le rapport annuel, le plan stratégique et le plan de management, y compris les priorités annuelles de l'Autorité de protection des données;2° détermine les indicateurs d'évaluation relatifs à l'exécution du rapport annuel, du plan stratégique et du plan de management;3° décide de l'organisation interne et de la composition de l'Autorité de protection des données, y compris la mobilité interne du personnel entre les organes;4° décide du modèle de la carte de légitimation visée à l'article 31, alinéa 2. Le comité de direction demande l'avis du conseil de réflexion sur son plan stratégique et sur les indicateurs d'évaluation mentionnés à l'alinéa 1er, 2°, et le met en même temps à la disposition du public à des fins de consultation pendant au moins deux semaines.

Art. 10.Le comité de direction suit les évolutions dans les domaines technologiques, commerciaux et autres qui ont une incidence sur la protection des données à caractère personnel.

A ces fins le comité de direction peut demander des avis au conseil de réflexion.

Art. 11.Le comité de direction établit le règlement d'ordre intérieur de l'Autorité de protection des données dans les deux mois de son installation.

Ce règlement contient les règles essentielles relatives au fonctionnement des organes ainsi que les délais dans lesquels les informations, avis et approbations visés à l'article 20, § 1er, doivent être fournis.

Le comité de direction soumet le règlement d'ordre intérieur ainsi que les modifications ultérieures au règlement pour approbation à la Chambre des représentants.

Art. 12.Le comité de direction est composé du directeur du secrétariat général, du directeur du centre de connaissances, du directeur du service de première ligne, de l'inspecteur général et du président de la chambre contentieuse.

Les membres du comité de direction exercent leurs fonctions à temps plein.

Ils prêtent le serment suivant dans les mains du président de la Chambre des représentants: "Je jure fidélité au Roi, obéissance à la Constitution et aux lois du peuple belge".

Art. 13.§ 1er. Le comité de direction est présidé par le président de l'Autorité de protection des données.

En cas d'empêchement du président, le comité de direction est présidé par le membre présent le plus âgé du comité de direction, à l'exception du président de la chambre contentieuse. § 2. La fonction de président de l'Autorité de protection des données est assurée alternativement par le directeur du secrétariat général durant les trois premières années d'un mandat et par le directeur du centre de connaissances pour la seconde moitié du mandat. § 3. Le président de l'Autorité de protection des données est assisté dans l'exécution de ses tâches par le secrétariat général.

Art. 14.Le comité de direction se réunit sur demande de l'un de ses membres et au minimum une fois par mois.

Art. 15.Le comité de direction ne peut décider que si la majorité de ses membres sont présents.

Le vote peut avoir lieu par voie électronique.

A défaut de consensus, une décision est prise dès lors qu'une majorité de l'ensemble du comité de direction vote favorablement.

Art. 16.Il est dressé procès-verbal des délibérations du comité de direction. Les procès-verbaux sont signés par le président.

Les décisions du comité de direction prévues à l'article 9, 1° en 4° sont publiées sur le site internet de l'Autorité de protection des données.

Art. 17.Le président de l'Autorité de protection des données: 1° assure la coopération et la coordination entre les différents organes de l'Autorité de protection des données;2° prépare le budget annuel, les comptes annuels, le rapport annuel, le plan stratégique, le plan de gestion, y compris les priorités annuelles de l'Autorité de protection des données;3° gère l'organisation et la composition internes de l'Autorité de protection des données;4° représente l'Autorité de protection des données. Le plan de management contient des accords relatifs aux objectifs de l'Autorité de protection des données et aux moyens nécessaires pour ce faire.

Art. 18.Le président du comité de direction et, en son absence, le membre présent le plus âgé du comité de direction, à l'exception du président de la chambre contentieuse, représente l'Autorité de protection des données en justice. Section 2. - Le secrétariat général

Art. 19.Le secrétariat général a pour tâches horizontales d'appui de: 1° gérer les questions relatives aux ressources humaines, au budget et à l'informatique de l'Autorité de protection des données;2° gérer toute question juridique relative à la gestion et au fonctionnement de l'Autorité de protection des données;3° gérer la communication interne et externe.

Art. 20.§ 1er. Le secrétariat général a également pour tâches exécutives de: 1° surveiller les développements sociaux, économiques et technologiques qui ont un impact sur la protection des données à caractère personnel;2° établir la liste des traitements qui requièrent une analyse d'impact relative à la protection des données;3° formuler des avis dans le cadre d'une analyse d'impact relative à la protection des données à un responsable du traitement dans le cadre d'une consultation par le responsable du traitement de l'Autorité de protection des données;4° approuver les codes de conduite ;5° promouvoir l'introduction de mécanismes de certification et approuver les critères de certification;6° établir et faire connaître les critères pour l'agrément d'un organe de contrôle des codes de conduite, sur la base de l'article 41 du Règlement 2016/679 et d'un organe de certification sur la base de l'article 43 du Règlement 2016/679;7° veiller à l'agrément d'un organe de contrôle des codes de conduite, sur la base de l'article 41 du Règlement 2016/679;8° approuver les clauses contractuelles types et les règles d'entreprises contraignantes. § 2. Les tâches mentionnées dans le paragraphe 1er, 4° à 8°, sont exécutées conformément à la réglementation européenne et internationale en vigueur.

Art. 21.Le secrétariat général est dirigé par le directeur du secrétariat général. Section 3. - Le service de première ligne

Art. 22.§ 1er. Le service de première ligne: 1° reçoit les plaintes et demandes adressées à l'Autorité de protection des données;2° peut lancer une procédure de médiation;3° promeut la protection des données auprès du public, en accordant une attention spécifique aux mineurs;4° promeut auprès des responsables de traitement et des sous-traitants la prise de conscience de leurs obligations;5° fournit des informations relatives à l'exercice de leurs droits aux personnes concernées. § 2. Le service de première ligne est dirigé par le directeur du service de première ligne. Section 4. - Le centre de connaissances

Art. 23.§ 1er. Le centre de connaissances émet soit d'initiative, soit sur demande du gouvernement, des Chambres législatives, des Gouvernements de communauté ou de région, des Parlements de communauté ou de région, du Collège réuni ou de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloises: 1° des avis sur toute question relative aux traitements de données à caractère personnel;2° des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel. § 2. Dans ses avis et recommandations, le centre de connaissances tient compte des mesures de sécurité techniques et organisationnelles nécessaires.

Art. 24.Le centre de connaissances est composé de six membres et du directeur du centre de connaissances.

A l'initiative de son directeur, le centre de connaissances se réunit en plénière.

Dans l'exercice de ses missions, le centre de connaissances est assisté par un secrétariat.

Art. 25.Le centre de connaissances ne peut statuer que si la majorité de ses membres sont présents.

Le vote peut avoir lieu par voie électronique.

Les décisions sont adoptées à la majorité des voix.

En cas de parité des voix, la voix du directeur est prépondérante.

Art. 26.§ 1er. Toute demande d'avis est introduite auprès de l'Autorité de protection des données par envoi recommandé ou au moyen du formulaire en ligne disponible sur le site internet de l'Autorité de protection des données.

Sauf si la loi en dispose autrement, le centre de connaissances rend son avis dans les soixante jours après communication à l'Autorité de protection des données de toutes les informations nécessaires à cet effet. Si l'avis de l'Autorité de protection des données est requis par ou en vertu d'une loi, d'un décret ou d'une ordonnance, le directeur du centre de connaissances peut réduire le délai de soixante jours à quinze jours dans les cas d'urgence spécialement motivés. § 2. Dans les cas où l'avis de l'Autorité de protection des données est requis par ou en vertu d'une loi, d'un décret ou d'une ordonnance, il peut être passé outre cette exigence lorsque l'avis n'a pas été rendu dans les délais visés au paragraphe 1er, alinéa 2.

Art. 27.§ 1er. Les avis sont écrits et motivés.

Ils sont communiqués à l'autorité concernée.

Le membre du gouvernement ayant la protection de la vie privée dans ses attributions et la Chambre des représentants reçoivent une copie électronique de chaque avis et recommandation. § 2. Dans les cas où l'avis de l'Autorité de protection des données est requis par ou en vertu d'une loi, d'un décret ou d'une ordonnance, l'avis doit être publié au Moniteur belge en même temps que l'acte réglementaire auquel il se rapporte.

Les avis et les recommandations sont publiés sur le site internet de l'Autorité de protection des données. Section 5. - Le service d'inspection

Art. 28.Le service d'inspection est l'organe d'enquête de l'Autorité de protection des données.

Art. 29.Le service d'inspection est dirigé par l'inspecteur général et composé d'inspecteurs.

Dans l'exercice de ses missions le service d'inspection est assisté par un secrétariat.

En cas d'absence ou d'empêchement, l'inspecteur général est remplacé par l'inspecteur le plus ancien ou, en cas de parité d'ancienneté, par le plus âgé.

Art. 30.§ 1er. Les inspecteurs prêtent le serment suivant dans les mains de l'inspecteur général: "Je jure fidélité au Roi, obéissance à la Constitution et aux lois du peuple belge." § 2. Le règlement d'ordre intérieur de l'Autorité de protection des données mentionne les profils de fonction et les compétences requises des inspecteurs.

Art. 31.Dans l'exécution de leurs missions, l'inspecteur général et les inspecteurs doivent être en possession de la carte de légitimation de leur fonction qu'ils doivent immédiatement produire sur demande.

Le comité de direction établit le modèle de cette carte de légitimation. Section 6. - La chambre contentieuse

Art. 32.La chambre contentieuse est l'organe contentieux administratif de l'Autorité de protection des données.

Art. 33.§ 1er. La chambre contentieuse est composée d'un président et de six membres dont: 1° deux membres possédant des connaissances approfondies dans le domaine de la protection des données à caractère personnel;2° deux membres possédant des connaissances approfondies dans le domaine des procédures contentieuses administratives;3° deux membres possédant des connaissances approfondies dans le domaine de la sécurité des informations et des technologies de l'information et de la communication. Le président de la chambre contentieuse possède en tout cas une connaissance approfondie dans le domaine des procédures contentieuses administratives.

Le président ou l'un des membres de la chambre contentieuse tient séance en tant que membre unique à moins que le président de la chambre contentieuse ne décide de siéger avec trois membres conformément aux dispositions du règlement d'ordre intérieur. § 2. Pour le reste, le règlement d'ordre intérieur précise tout ce qui concerne la composition de la chambre contentieuse lors des séances et les méthodes de travail.

Art. 34.Dans l'exercice de ses missions la chambre contentieuse est assistée par un secrétariat, qui assure également le rôle de greffe. Section 7. - Le conseil de réflexion

Art. 35.Le conseil de réflexion émet, d'initiative ou à la demande du comité de direction ou du centre de connaissances, des avis non contraignants à l'intention de l'Autorité de protection des données sur tous sujets relatifs à la protection des données à caractère personnel.

La Chambre des représentants détermine la composition du conseil de réflexion et en désigne les membres.

Les membres du conseil de réflexion ne font pas partie de l'Autorité de protection des données. CHAPITRE 3. - Nomination des membres du comité de direction, des membres du centre de connaissances et des membres de la chambre contentieuse Section 1re. - Conditions générales de nomination

Art. 36.§ 1er. Les membres du comité de direction, les membres du centre de connaissances et les membres de la chambre contentieuse sont nommés sur la base de leur compétence et expérience en matière de protection des données à caractère personnel, de leur indépendance et de leur autorité morale. § 2. Les membres du comité de direction doivent être titulaires d'un diplôme leur donnant accès à une fonction de niveau A. Les membres du comité de direction doivent avoir une connaissance fonctionnelle de la deuxième langue nationale et de l'anglais. Au moins un membre du comité de direction doit aussi posséder une connaissance fonctionnelle de l'allemand. § 3. Le profil de l'ensemble des membres du comité de direction et des membres du centre de connaissances et de la chambre contentieuse doit permettre à l'Autorité de protection des données de répondre aux défis juridiques, économiques, éthiques et technologiques de l'évolution de la société numérique.

Art. 37.Les membres du comité de direction, les membres du centre de connaissances et les membres de la chambre contentieuse sont nommés pour un terme de six ans, renouvelable une fois.

Art. 38.Pour être nommés et rester membre du comité de direction, membre du centre de connaissances ou membre de la chambre contentieuse, les candidats doivent remplir les conditions suivantes: 1° être citoyen d'un Etat membre de l'Union européenne;2° jouir de leurs droits civils et politiques;3° ne pas être membre du Parlement européen ou des Chambres législatives, ni d'un Parlement de Communauté ou de Région;4° ne pas être membre d'un Gouvernement fédéral, d'un Gouvernement de communauté ou de région;5° ne pas exercer une fonction dans une cellule stratégique ministérielle;6° ne pas être mandataire d'une fonction publique. Section 2. - Procédure de nomination

Art. 39.Les membres du comité de direction, les membres du centre de connaissances et les membres de la chambre contentieuse sont nommés par la Chambre des représentants.

Les postes vacants pour les mandats des membres du comité de direction, des membres du centre de connaissances et des membres de la chambre contentieuse sont publiés au Moniteur belge au plus tard six mois avant l'expiration du mandat et, pour la première composition de ces organes, au plus tard un mois après l'entrée en vigueur du présent article. La publication se fait sous la forme d'un appel à candidats précisant le nombre de places vacantes, les conditions de nomination, les missions des organes à composer et les modalités de dépôt de la candidature.

Art. 40.§ 1er. Le comité de direction compte autant de membres francophones que néerlandophones, le président de la chambre contentieuse excepté.

Le directeur du secrétariat général et le directeur du centre de connaissances ne peuvent appartenir au même rôle linguistique.

Il y a autant de membres du centre de connaissances d'expression néerlandophone que d'expression francophone.

Les six membres de la chambre contentieuse sont nommés en nombre égal par rôle linguistique et au moins un membre doit posséder une connaissance fonctionnelle de l'allemand. § 2. Deux tiers au maximum des membres du centre de connaissances sont du même sexe.

Art. 41.En cas de vacance d'un mandat de membre du comité de direction, de membre du centre de connaissances ou de membre de la chambre contentieuse, pour quelque cause que ce soit, il est procédé à son remplacement pour la durée du mandat restant à courir.

Pour le mandat devenu vacant, une toute nouvelle procédure de nomination est instituée conformément à l'article 39, le poste vacant étant toutefois publié au Moniteur belge au plus tard un mois après la vacance du mandat.

Art. 42.A défaut de renouvellement de leur mandat, les membres du comité de direction, les membres du centre de connaissances et les membres de la chambre contentieuse restent en fonction jusqu'à la première réunion respectivement du comité de direction, du centre de connaissances et de la chambre contentieuse dans sa nouvelle composition. CHAPITRE 4. - Indépendance et fonctionnement de l'Autorité de protection de données

Art. 43.Les membres du comité de direction, les membres du centre de connaissances, du service d'inspection ainsi que de la chambre contentieuse ne reçoivent ni demandes dans les limites de leurs attributions, ni instructions de façon directe ou indirecte.

Il leur est interdit d'être présents lors d'une délibération ou décision sur les dossiers pour lesquels ils ont un intérêt personnel ou direct ou pour lesquels leurs parents ou alliés jusqu'au troisième degré ont un intérêt personnel ou direct.

Art. 44.§ 1er. Les membres du comité de direction, les membres du centre de connaissances et les membres de la chambre contentieuse ne peuvent, durant la durée de leur mandat, exercer une autre activité incompatible avec leur mandat, rémunérée ou non.

Une activité incompatible est une activité pouvant bénéficier directement ou indirectement des décisions et prises de positions que peut prendre l'Autorité de protection des données.

La Chambre des représentants peut autoriser un membre du comité de direction à exercer une activité complémentaire pour autant que l'exercice de sa fonction à plein temps ainsi que son indépendance et sa réputation n'en soient pas affectés. § 2. Avant de commencer leur mandat les membres visés au paragraphe 1er complètent et signent une déclaration d'absence de conflits d'intérêts. Ils tiennent à jour cette déclaration durant la durée de leur mandat.

Pendant les deux années qui suivent la fin de leur mandat, les membres du comité de direction ne peuvent pas exercer de fonction qui pourrait directement ou indirectement leur apporter des avantages découlant de l'exercice de leur mandat.

Art. 45.§ 1er. La Chambre des représentants ne peut relever un membre du comité de direction, un membre du centre de connaissances ou un membre de la chambre contentieuse de ses fonctions que s'il a commis une faute grave ou s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions. La décision n'est susceptible d'aucun recours.

Un membre du comité de direction, un membre du centre de connaissances et un membre de la chambre contentieuse ne peut être relevé de ses fonctions pour des opinions qu'il exprime dans l'exercice de ses fonctions. § 2. Le mandat ne peut être levé qu'après audition de l'intéressé quant aux motifs invoqués.

Préalablement à l'audition, la Chambre des représentants établit un dossier reprenant l'ensemble des pièces relatives aux motifs invoqués.

Au moins cinq jours avant l'audition, l'intéressé est convoqué par un envoi recommandé à la poste, mentionnant au moins: 1° les motifs graves invoqués;2° le fait que la levée de son mandat est envisagée;3° le lieu, la date et l'heure de l'audition;4° le droit pour l'intéressé de se faire assister d'une personne de son choix;5° le lieu où il peut consulter le dossier et le délai pour ce faire;6° le droit de faire appeler des témoins. Dès la convocation et jusqu'au jour inclus de l'audition, l'intéressé et la personne qui l'assiste peuvent consulter le dossier.

Il est établi procès-verbal de l'audition.

Art. 46.§ 1er. Le cadre du personnel de l'Autorité de protection des données, le statut et le mode de recrutement du personnel sont fixés par la Chambre des représentants, sur proposition de l'Autorité de protection des données.

Pour le reste, le personnel de l'Autorité de protection des données est soumis aux règles légales et statutaires applicables aux membres du personnel de la fonction publique fédérale. § 2. Les membres du personnel de l'Autorité de protection des données nommés à titre définitif bénéficient, en matière de pension de retraite, du régime qui est d'application pour les agents qui sont occupés à titre définitif à l'administration fédérale de l'Etat. Ces pensions sont à charge du Trésor public.

Art. 47.L'Autorité de protection des données a accès, pour l'exercice de ses missions légales, aux données visées à l'article 3, alinéa 1er, 1° à 6°, 9°, 9° /1 et alinéa 2 de la loi du 8 aout 1983 instituant un registre national des personnes physiques. En vue de l'exercice de ses missions légales, elle peut utiliser le numéro de registre national.

Pour l'exercice des missions d'inspection, les inspecteurs de l'Autorité de protection des données ont aussi accès aux données visées à l'article 6bis, § 1er, 1°, de la loi du 19 juillet 1991 relative aux registres de la population, aux cartes d'identité, aux cartes d'étranger et aux documents de séjour et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques.

Art. 48.§ 1er. Sauf exceptions légales, les membres du comité de direction, les membres du centre de connaissances, les membres de la chambre contentieuse ainsi que les membres du personnel de l'Autorité de protection des données sont tenus, durant et après l'exercice de leur mandat et contrat respectifs, de conserver le caractère confidentiel des faits, actes ou renseignements dont ils ont eu connaissances en raison de leurs fonctions. § 2. L'Autorité de protection des données peut conclure des protocoles concernant le devoir de confidentialité avec des instances tiers afin de garantir l'échange des données nécessaires à l'exercice de ses tâches et compétences.

Art. 49.Une dotation est inscrite au budget général des dépenses de l'Etat pour financer le fonctionnement de l'Autorité de protection des données.

L'Autorité de protection des données établit annuellement un projet de budget pour son fonctionnement. Assistée par la Cour des comptes, la Chambre des représentants examine les propositions budgétaires détaillées de l'Autorité de protection des données, elle les approuve et contrôle l'exécution de son budget, elle examine et approuve en outre les comptes détaillés.

L'Autorité de protection des données joint à sa proposition de budget annuel un plan stratégique, accompagné de l'avis du conseil de réflexion et un plan de management.

Pour son budget et ses comptes, l'Autorité de protection des données utilise un schéma budgétaire et des comptes comparable à celui qui est utilisé par la Chambre des représentants.

Art. 50.La Chambre des représentants fixe la rémunération des membres du comité de direction et l'indemnité des membres du centre de connaissances et de la chambre contentieuse.

Art. 51.L'Autorité de protection des données communique chaque année à la Chambre des représentants ainsi qu'au Gouvernement un rapport sur ses activités de l'année précédente, établi notamment sur la base des indicateurs d'évaluation mentionnés à l'article 9, alinéa 1, 2°.

Au rapport il est annexé une liste des avis et recommandations que l'Autorité de protection des données a émis. Il est indiqué quels avis et recommandations ont été émis d'initiative.

Ce rapport est rendu public et communiqué à la Commission européenne et au Comité européen de la protection des données prévu dans le Règlement 2016/679. CHAPITRE 5. - Modalités de collaboration Section 1re. - Collaboration au niveau national

Art. 52.§ 1er. L'Autorité de protection des données accomplit ses missions dans un esprit de dialogue et de concertation avec tous les acteurs publics et privés concernés par la politique de la protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement et du libre flux des données à caractère personnel ainsi que par la politique de la protection des consommateurs.

L'Autorité de protection des données peut être assistée par ou agir à la demande d'autres pouvoirs publics chargés du respect d'autres législations. § 2. L'Autorité de protection des données peut procéder à une enquête ou une consultation publique large ou à une enquête ou consultation plus ciblée des représentants des secteurs concernés.

Art. 53.§ 1er. L'Autorité de protection des données peut créer ou faire partie de comités ou groupes sur des matières qui relèvent de sa compétence. A condition que cela ne porte pas préjudice à son indépendance, l'Autorité de protection des données peut de sa propre initiative ou à la demande créer des comités ou groupes traitant de matières qui relèvent de sa compétence. § 2. Le comité de direction peut déléguer à certains membres des organes ou membres du personnel de l'Autorité de protection des données, le pouvoir de représenter l'Autorité de protection des données pour les matières qui relèvent de sa compétence au sein de comités ou groupes auxquels elle est tenue ou choisit de participer, ainsi que, dans les limites définies par le comité de direction, le pouvoir de participer aux décisions ou aux votes au sein de ces comités ou groupes. Ces délégations peuvent à tout moment être revues ou révoquées par le comité de direction.

Art. 54.Le président de l'Autorité de protection des données, ou le cas échéant un des autres membres du comité de direction peut être entendu par les commissions compétentes de la Chambre des représentants, des Parlements de communauté ou de région, du Collège réuni ou de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloises, à la demande de celles-ci ou de sa propre initiative. Section 2. - Collaboration au niveau international

Art. 55.§ 1er. L'Autorité de protection des données peut collaborer avec toute instance ou autre autorité de protection des données d'un autre Etat en faisant usage des pouvoirs qui lui sont conférés soit en vertu du Règlement 2016/679 soit par la législation nationale. § 2. Cette collaboration peut, inter alia, porter sur: 1° la création de pôles d'expertise;2° l'échange d'informations;3° l'assistance mutuelle dans le cadre de mesures de contrôle;4° le partage de ressources humaines et financières. La collaboration peut se concrétiser, inter alia, par le biais d'accords de coopération.

Art. 56.§ 1er. En vue de l'application de conventions internationales, l'Autorité de protection des données est habilitée à désigner certains membres de ses organes ou des membres de son personnel, en qualité de représentants auprès d'autorités internationales dans la mesure où ces autorités exercent des missions relatives aux matières qui relèvent de la compétence de l'Autorité de protection des données. § 2. Le comité de direction peut déléguer à certains membres des organes ou membres du personnel de l'Autorité de protection des données, le pouvoir de représenter l'Autorité de protection des données au sein de comités ou groupes internationaux auxquels l'Autorité de protection des données est tenue ou choisit de participer, ainsi que, dans les limites définies par le comité de direction, le pouvoir de participer aux décisions ou aux votes au sein de ces comités ou groupes. Ces délégations peuvent à tout moment être revues ou révoquées par le comité de direction. CHAPITRE 6. - Dispositions de procédure

Art. 57.L'Autorité de protection des données emploie la langue dans laquelle la procédure est menée selon les besoins propres à l'affaire. Section 1re. - Saisine et recevabilité d'une plainte ou d'une requête

Art. 58.Toute personne peut déposer une plainte ou une requête écrite, datée et signée auprès de l'Autorité de protection des données.

L'Autorité de protection des données établit un formulaire à ces fins.

Art. 59.Le dépôt d'une plainte et d'une requête est sans frais.

Art. 60.Le service de première ligne examine si la plainte ou la requête est recevable.

Une plainte est recevable lorsqu'elle: - est rédigée dans l'une des langues nationales; - contient un exposé des faits et les indications nécessaires pour identifier le traitement sur lequel elle porte; - relève de la compétence de l'Autorité de protection des données.

Une requête est recevable lorsqu'elle: - est rédigée dans l'une des langues nationales; - relève de la compétence de l'Autorité de protection des données.

Le service de première ligne peut inviter le plaignant ou le demandeur à préciser sa plainte ou sa requête.

Art. 61.La décision portant sur la recevabilité de la plainte ou de la requête est portée à la connaissances du plaignant ou du demandeur.

Si le service de première ligne conclut à l'irrecevabilité de la plainte ou de la requête, le plaignant ou le demandeur en est informé par décision motivée.

Art. 62.§ 1er. Les plaintes recevables sont transmises par le service de première ligne à la chambre contentieuse. § 2. Les requêtes recevables sont traitées par le service de première ligne.

Si par intervention du service de première ligne un accord à l'amiable est trouvé entre les parties, le service de première ligne rédige un rapport dans lequel il expose la solution trouvée ainsi que sa conformité avec les principes légaux en matière de protection des données.

Un accord à l'amiable n'exclut pas la compétence de contrôle de l'Autorité de protection des données.

Si aucun accord à l'amiable ne peut être trouvé, la demande de médiation initiale prend la forme d'une plainte qui peut ensuite être transmise par le service de première ligne à la chambre contentieuse pour traitement de fond, moyennant: 1° accord du demandeur;ou 2° constat, par le service de première ligne, d'indices sérieux de l'existence d'une pratique susceptible de donner lieu à une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel. Section 2. - Procédure devant le service d'inspection

Sous-section 1re. - Saisine du service d'inspection

Art. 63.Le service d'inspection peut être saisi: 1° lorsque le comité de direction constate qu'il existe des indices sérieux de l'existence d'une pratique susceptible de donner lieu aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel;2° lorsque, suite au dépôt d'une plainte, la chambre contentieuse décide qu'une enquête par le service d'inspection est nécessaire;3° par la chambre contentieuse dans le cadre d'une demande d'enquête complémentaire;4° sur demande du comité de direction, pour coopérer avec une autorité de protection des données d'un autre Etat;5° à la demande du comité de direction dans le cas où l'Autorité de protection des données est saisie par une instance judiciaire ou un organe de contrôle administratif;6° de sa propre initiative, lorsqu'il constate qu'il existe des indices sérieux de l'existence d'une pratique susceptible de donner lieu à une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel. Sous-section 2. - Possibilités d'enquête du service d'inspection 1. Dispositions générales Art.64. § 1er. L'inspecteur général et les inspecteurs exercent les compétences visées dans le présent chapitre en vue du contrôle tel que prévu à l'article 4, § 1er, de la présente loi. § 2. Dans l'exercice des compétences visées dans le présent chapitre, l'inspecteur général et les inspecteurs veillent à ce que les moyens qu'ils utilisent soient appropriés et nécessaires. § 3. L'enquête est secrète sauf exception légale, jusqu'au moment du dépôt du rapport de l'inspecteur général auprès de la chambre contentieuse.

Art. 65.L'inspecteur général et les inspecteurs peuvent, par demande motivée, requérir l'assistance de la police dans l'exercice de leurs missions. 2. Compétences du service d'inspection Art.66. § 1er. Pour instruire le dossier, l'inspecteur général et les inspecteurs peuvent, conformément aux modalités déterminées par la présente loi: 1° identifier des personnes;2° auditionner des personnes;3° mener une enquête écrite;4° procéder à des examens sur place;5° consulter des systèmes informatiques et copier les données qu'ils contiennent;6° accéder à des informations par voie électronique;7° saisir ou mettre sous scellés des biens ou des systèmes informatiques;8° requérir l'identification de l'abonné ou de l'utilisateur habituel d'un service de communication électronique ou du moyen de communication électronique utilisé. § 2. Les personnes qui font l'objet d'un contrôle doivent y prêter leur concours.

Art. 67.§ 1er. Les mesures d'enquête peuvent donner lieu à un procès-verbal de constat d'infraction. Ce procès-verbal a force probante jusqu'à preuve du contraire.

Il est établi rapport des mesures d'enquête qui ne donnent pas lieu à un procès-verbal. § 2. Les constatations matérielles contenus dans les procès-verbaux peuvent être utilisées en conservant leur force probante par un autre membre du service d'inspection de l'Autorité de protection des données ou par un autre service d'inspection ou organe administratif chargé du contrôle du respect d'autres législations.

Les renseignements qui relèvent d'une information ou d'une enquête judiciaire en cours ne peuvent être communiqués et utilisés que moyennant autorisation préalable du procureur du Roi ou du juge d'instruction.

Les informations concernant des données médicales de nature personnelle ne peuvent être communiquées et utilisées que dans le respect du secret médical. § 3. Les faits constatés par d'autres services d'inspection ou organes administratifs chargés du contrôle peuvent être utilisés par l'inspecteur général et les inspecteurs dans leurs enquêtes et être mentionnés avec la même valeur probante dans les procès-verbaux dressés par eux dans le cadre de leur mission.

Art. 68.Sans préjudice de l'article 44/1 de la loi du 5 août 1992Documents pertinents retrouvés type loi prom. 05/08/1992 pub. 21/10/1999 numac 1999015203 source ministere des affaires etrangeres, du commerce exterieur et de la cooperation internationale Loi portant approbation du Protocole modifiant l'article 81 du Traité instituant l'Union économique Benelux du 3 février 1958, fait à Bruxelles le 16 février 1990 fermer sur la fonction de police, tous les services de l'Etat, y compris les parquets et les greffes des cours et de tribunaux, des provinces, des communes, des associations dont elles font partie, des institutions publiques qui en dépendent, sont tenus, vis-à-vis de l'inspecteur général et des inspecteurs et à leur demande, de leur fournir tous renseignements que ces derniers estiment utiles au contrôle du respect de la législation dont ils sont chargés, ainsi que de leur produire, pour en prendre connaissances, tous les supports d'information et de leur en fournir des copies sous n'importe quelle forme.

Si ces renseignements relèvent d'une enquête ou d'une information en cours, ils ne peuvent être communiqués que moyennant autorisation préalable du procureur du Roi ou du juge d'instruction.

Art. 69.Dans le cadre de l'article 62 du Règlement 2016/679, le service d'inspection peut mener des opérations conjointes auxquelles participent des membres ou des agents des autorités de protection des données d'autres Etats. 3. Mesures provisoires Art.70. L'inspecteur général et les inspecteurs peuvent ordonner la suspension, la limitation ou le gel temporaire du traitement de données qui font l'objet d'une enquête s'il convient d'éviter une situation susceptible de causer un préjudice grave, immédiat et difficilement réparable.

Les parties concernées peuvent être entendues par l'inspecteur général ou un inspecteur avant qu'une mesure provisoire soit exécutée. Si les parties concernées ne sont pas entendues au préalable, elles peuvent faire connaître leurs griefs, soit verbalement, soit par écrit, dans un délai de cinq jours à partir de l'exécution de la mesure.

La décision du service d'inspection est motivée et fixe la durée de la mesure provisoire qui peut être de trois mois, prorogeable d'une nouvelle durée de trois mois au maximum.

Art. 71.Un recours auprès de la chambre contentieuse est ouvert aux parties concernées contre les mesures visées à l'article 70. Le recours ne suspend pas la mesure.

Le recours est intenté par demande motivée et signée, déposée au secrétariat de la chambre contentieuse à peine de déchéance dans les 30 jours de la notification de la décision par envoi recommandé avec avis de réception. 4. Recueillir des informations Art.72. Sans préjudice des dispositions du présent chapitre, l'inspecteur général et les inspecteurs peuvent procéder à toute enquête, tout contrôle et toute audition, ainsi que recueillir toute information qu'ils estiment utile afin de s'assurer que les principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel, sont effectivement respectées. 5. Identification des personnes Art.73. § 1er. L'inspecteur général et les inspecteurs peuvent contrôler l'identité de toutes les personnes qui se trouvent sur le lieu contrôlé ainsi que de toute personne dont ils estiment l'identification nécessaire pour l'exercice de leur mission.

Ils peuvent demander à ces personnes la présentation de documents d'identité officiels.

Ils peuvent en outre identifier ces personnes à l'aide de documents non officiels que ces personnes leur présentent volontairement lorsqu'elles ne peuvent pas présenter de documents d'identification officiels ou lorsque les inspecteurs ont un doute quant à l'identité de ces personnes. § 2. L'inspecteur général peut, par une décision motivée et écrite, procéder sur la base de toute donnée en sa possession à l'identification de l'abonné ou de l'utilisateur habituel d'un service de communication électronique ou du moyen de communication électronique utilisé.

Si l'inspecteur général ne peut pas identifier la personne visée à l'alinéa 1er sur la base de toute donnée en sa possession, il peut requérir la collaboration de: - l'opérateur d'un réseau de communication électronique; et - toute personne qui, sur le territoire belge, de quelque manière que ce soit, propose ou met à disposition un service, qui consiste en le relai de signaux par le biais de réseaux de communication électronique ou qui consiste à permettre à des utilisateurs d'obtenir, recevoir ou diffuser des informations par le biais d'un réseau de communication électronique. En cela, on inclut également le prestataire d'un service de communication électronique.

La motivation reflète la proportionnalité eu égard au respect de la vie privée et la subsidiarité à tout autre devoir d'enquête. 6. Audition Art.74. L'inspecteur général et les inspecteurs peuvent, éventuellement en présence de témoins, d'experts ou de services de police, interroger toute personne dont ils estiment l'audition nécessaire, sur tout fait utile pour l'exercice de leurs missions.

L'audition est conforme à l'article 31 de la loi du 15 juin 1935Documents pertinents retrouvés type loi prom. 15/06/1935 pub. 11/10/2011 numac 2011000619 source service public federal interieur Loi concernant l'emploi des langues en matière judiciaire. - Coordination officieuse en langue allemande fermer concernant l'emploi des langues en matière judicaire.

Lors de l'audition de personnes, quelle que soit leur qualité, les règles visées à l'article 75 au minimum devront être respectées.

Art. 75.§ 1er. Au début de l'audition, la personne interrogée est informée que: 1° ses déclarations peuvent être utilisées comme preuve en justice;2° elle peut être assistée d'un conseil;3° elle peut demander que toutes les questions qui lui sont posées et les réponses qu'elle donne soient actées dans les termes utilisés;4° elle peut demander qu'il soit procédé à des actes d'enquête;5° elle peut obtenir gratuitement copie du texte de l'audition, qui lui sera remise immédiatement après l'audition ou lui sera envoyée dans le mois. § 2. Toute personne interrogée peut utiliser les documents en sa possession et exiger que ces documents soient joints au procès-verbal d'audition.

Le procès-verbal mentionne le moment auquel l'audition prend cours, est éventuellement interrompue, reprend, et prend fin. Il mentionne l'identité des personnes qui interviennent dans l'audition ou une partie de celle-ci. § 3. A la fin de l'audition le procès-verbal est donné en lecture à la personne interrogée. Il lui est demandé si ces déclarations doivent être corrigées ou complétées. 7. Enquête écrite Art.76. L'inspecteur général et les inspecteurs peuvent demander par écrit toutes informations utiles aux personnes qu'ils estiment nécessaire.

L'inspecteur général et les inspecteurs déterminent le délai dans lequel la réponse à sa demande d'information doit être fournie et peuvent à tout moment demander des informations complémentaires.

Art. 77.La personne interrogée a le droit de préciser sa réponse en y incluant des explications et des informations. 8. Examen sur place Art.78. Lorsque l'inspecteur général et les inspecteurs ont des raisons de penser qu'une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel est commise, ils peuvent pénétrer à tout moment dans l'entreprise, le service, ou tout autre endroit pour procéder à un examen sur place afin d'y faire des constatations matérielles.

Sauf accord écrit de la personne concernée ou autorisation du juge d'instruction, l'inspecteur général et les inspecteurs ne peuvent, sans la présence d'un représentant de l'ordre professionnel, pénétrer dans les locaux d'un professionnel qui est soumis au secret professionnel et pour qui une règlementation légale est prévue concernant des examens sur place et l'accès à leurs locaux professionnels.

Art. 79.§ 1er. Lorsque l'inspecteur général et les inspecteurs ont des raisons de penser qu'une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel est commise, ils peuvent pénétrer dans des espaces habités, moyennant l'accord de l'occupant ou, à défaut, une autorisation préalable du juge d'instruction. § 2. Pour obtenir cette autorisation, l'inspecteur général adresse une demande motivée au juge d'instruction du ressort de la personne contrôlée. Cette demande comporte au moins les données suivantes: 1° l'identification des espaces habités qui font l'objet d'une visite;2° le nom de l'inspecteur qui dirige la visite des espaces habités;3° la législation qui fait l'objet du contrôle et pour laquelle les inspecteurs estiment nécessaire d'obtenir une autorisation de visite;4° les infractions présumées qui sont l'objet du contrôle;5° tous les documents et renseignements prouvant que l'emploi de ce moyen est nécessaire;6° la proportionnalité à l'égard de tout autre devoir d'enquête. § 3. Le juge d'instruction décide dans un délai de maximum quarante-huit heures après réception de la demande. Cette décision n'est susceptible d'aucun recours. § 4. Les visites des locaux habités sans l'accord de l'occupant sont effectuées entre cinq heures et vingt-et-une heures par au moins deux inspecteurs agissant conjointement.

Art. 80.La personne contrôlée est informée du but de l'examen et de la législation applicable.

A l'exception des pièces permettant de connaître l'identité du plaignant, toutes les pièces motivant la demande d'autorisation de visite doivent être jointes au rapport visé à l'article 91, § 1er.

La personne contrôlée peut rédiger une déclaration qui est jointe au procès-verbal. 9. Consultation du système informatique et copie des données sur le système informatique Art.81. § 1er. Lorsque l'inspecteur général et les inspecteurs ont des raisons de penser qu'une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel est commise, ils peuvent consulter tous les systèmes d'information et les données qu'ils contiennent, moyennant l'accord de la personne contrôlée ou, à défaut, une autorisation préalable du juge d'instruction. § 2. L'inspecteur général et les inspecteurs peuvent se faire produire sur place le système informatique et les données qu'ils contiennent dont ils ont besoin pour leurs examens et constatations, et en prendre ou en demander gratuitement des extraits, des duplicatas ou des copies, sous une forme lisible et intelligible qu'ils ont demandée.

S'il n'est pas possible de prendre des copies sur place, l'inspecteur général et les inspecteurs peuvent saisir, contre récépissé contenant un inventaire, le système informatique et les données qu'ils contiennent, aux conditions visées à l'article 89. § 3. La personne contrôlée doit garantir un accès par voie électronique au système informatique et à ces données à l'inspecteur général et aux inspecteurs.

L'inspecteur général et les inspecteurs peuvent prendre ou demander gratuitement des extraits, des duplicatas ou des copies du système informatique et des données qu'ils contiennent, sous une forme lisible et intelligible qu'ils ont demandée.

Art. 82.La remise du système informatique se fait contre remise d'un inventaire des systèmes informatiques concernés.

Art. 83.La compétence visée à l'article 81, § 1er, s'applique aussi lorsque le lieu de conservation de ces données est situé dans un autre Etat et que ces données sont accessibles publiquement en Belgique par voie électronique ou moyennant le consentement des personnes légalement autorisées à utiliser le système informatique en examen.

Art. 84.§ 1er. La personne contrôlée qui recourt à un système informatique pour traiter des données à caractère personnel, communique sans déplacement, les données d'analyse, de programmation, de gestion et de l'exploitation du système utilisé. § 2. L'inspecteur général et les inspecteurs peuvent demander la traduction dans une des langues nationales, des données qui doivent être tenues à jour en vertu d'une obligation réglementaire et qui sont dans une langue étrangère. § 3. L'inspecteur général et les inspecteurs peuvent vérifier, au moyen du système informatique et avec l'assistance de la personne contrôlée, la fiabilité des données et traitements informatiques, en exigeant la communication de documents spécialement établis en vue de présenter les données enregistrées sur les systèmes informatiques sous une forme lisible et intelligible.

Art. 85.L'inspecteur général et les inspecteurs prennent les mesures appropriées pour garantir l'intégrité des données récoltées et du matériel auquel ils ont accès.

Art. 86.L'inspecteur général et les inspecteurs peuvent accéder à et copier toute information qui sont électroniquement accessibles au public, gratuitement ou contre paiement. Pour ce faire, ils ne peuvent pas prendre une identité fictive crédible, ni utiliser des documents fictifs, ni interagir personnellement avec une personne.

Art. 87.L'inspecteur général et les inspecteurs peuvent tester des mesures de sécurité de systèmes d'information ou le faire faire par des experts moyennant le consentement préalable de la personne contrôlée, ou à défaut de celui-ci, moyennant l'autorisation préalable du juge d'instruction.

Art. 88.Les mesures d'enquête prises en exécution de la présente loi ne peuvent donner lieu à l'application de l'article 550bis du Code pénal. 10. Saisie et mise sous scellé Art.89. § 1er. L'inspecteur général et les inspecteurs peuvent mettre des objets, des documents ou des systèmes informatiques sous scellés ou les saisir pour la durée de leur mission et sans que cela ne puisse excéder septante-deux heures.

Ils disposent de ces compétences lorsqu'elles sont nécessaires à l'information, à l'enquête ou à la fourniture d'une preuve des infractions ou lorsqu'il existe un risque que ces systèmes informatiques servent à continuer les infractions ou à en commettre de nouvelles.

Ces mesures sont constatées par procès-verbal, dont copie est remise à la personne qui a fait l'objet de ces mesures. § 2. Au-delà de septante-deux heures, l'inspecteur général et les inspecteurs peuvent, moyennant l'autorisation préalable du juge d'instruction, mettre sous scellés ou saisir des objets, des documents ou des systèmes informatiques qui soit constituent l'objet de l'infraction soit ont servi à commettre l'infraction.

Ces mesures sont constatées par procès-verbal, dont copie est remise immédiatement à la personne qui a fait l'objet de ces mesures. § 3. Les objets, documents ou systèmes informatiques mis sous scellés ou saisis sont mentionnés dans un registre spécial tenu à cet effet.

Art. 90.Un recours auprès de la chambre contentieuse est ouvert aux parties concernées contre les mesures visées à l'article 89.

Le recours est intenté par demande motivée et signée, déposée au secrétariat de la chambre contentieuse à peine de déchéance dans les trente jours de la remise du procès-verbal par envoi recommandé avec avis de réception.

Sous-section 3. - Clôture de l'enquête

Art. 91.§ 1er. Lorsqu'ils estiment leur enquête terminée, l'inspecteur général et les inspecteurs rédigent leur rapport et le joignent au dossier. § 2. L'inspecteur général peut: - transmettre le dossier au président de la chambre contentieuse; - transmettre le dossier au procureur du Roi lorsque les faits peuvent constituer une infraction pénale; - classer le dossier sans suite; - transmettre le dossier à une autorité de protection des données d'un autre Etat. § 3. Lorsque l'inspecteur général a transmis le dossier au procureur du roi et que le ministère public renonce à engager des poursuites pénales, à proposer une résolution à l'amiable ou une médiation pénale au sens de l'article 216ter du Code d'instruction criminelle, ou lorsque le ministère public n'a pas pris de décision pendant un délai de six mois à compter du jour de réception du dossier, l'Autorité de protection des données détermine si la procédure administrative doit être reprise. Section 3. - Procédure devant la chambre contentieuse

Sous-section 1re. - Saisine de la chambre contentieuse

Art. 92.La chambre contentieuse peut être saisie par: 1° le service de première ligne, conformément à l'article 62, § 1er, pour le traitement d'une plainte;2° une partie concernée qui introduit un recours contre des mesures du service d'inspection, conformément aux articles 71 et 90;3° le service d'inspection, après clôture d'une enquête conformément à l'article 91 § 2.

Art. 93.La procédure devant la chambre contentieuse est en principe écrite. Toutefois la chambre contentieuse peut entendre les parties concernées.

Sous-section 2. - Procédure préalable à la décision de fond

Art. 94.Une fois saisie, la chambre contentieuse peut: 1° demander une enquête au service d'inspection conformément à l'article 63, 2° ;2° demander au service d'inspection d'effectuer une enquête complémentaire lorsque la chambre contentieuse est saisie conformément à l'article 92, 3° ;3° traiter la plainte sans avoir saisi le service d'inspection d'initiative.

Art. 95.§ 1er. La chambre contentieuse décide du suivi qu'elle donne au dossier et a le pouvoir de: 1° décider que le dossier peut être traité sur le fond;2° proposer une transaction;3° classer la plainte sans suite;4° formuler des avertissements;5° d'ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits;6° d'ordonner que l'intéressé soit informé du problème de sécurité;7° de transmettre le dossier au parquet du procureur du Roi de Bruxelles, qui l'informe des suites données au dossier;8° de décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données. § 2. Dans les cas mentionnés au § 1er, 4° à 6°, elle informe sans délai les parties concernées par envoi recommandé: 1° du fait qu'un dossier est pendant;2° du contenu de la plainte, le cas échéant à l'exception des pièces permettant de connaître l'identité du plaignant;3° que le dossier peut être consulté et copié au secrétariat de la chambre contentieuse, le cas échéant à l'exception des pièces permettant de connaître l'identité du plaignant, ainsi que des jours et heures de consultation. § 3. Lorsqu'après application du § 1er, 7°, le ministère public renonce à engager des poursuites pénales, à proposer une résolution à l'amiable ou une médiation pénale au sens de l'article 216ter du Code d'instruction criminelle, ou lorsque le ministère public n'a pas pris de décision pendant un délai de six mois à compter du jour de réception du dossier, l'Autorité de protection des données détermine si la procédure administrative doit être reprise.

Art. 96.§ 1er. La demande de la chambre contentieuse, conformément à l'article 94, 1°, de procéder à une enquête doit être adressée à l'inspecteur général du service d'inspection dans les trente jours après que la chambre contentieuse a été saisie de la plainte par le service de première ligne. § 2. La demande de la chambre contentieuse, conformément à l'article 94, 2°, de procéder à une enquête complémentaire doit être adressée à l'inspecteur général du service d'inspection dans les trente jours après que la chambre contentieuse a été saisie du dossier par le service d'inspection.

Art. 97.Si le rapport de l'inspecteur général fait mention de constatations d'infractions à une autre législation que celle qui porte sur la protection des données à caractère personnel, la chambre contentieuse doit transmettre copie de ces constatations au procureur du Roi.

Sous-section 3. - Délibération et décision de fond

Art. 98.Lorsque la chambre contentieuse décide que le dossier peut être examiné sur le fond, elle informe sans délai les parties concernées par envoi recommandé des dispositions telles qu'énoncées à l'article 95, § 2, et de la possibilité: 1° d'accepter toutes communications relatives à l'affaire par voie électronique;2° de transmettre leurs conclusions et de demander à être entendues;3° d'ajouter au dossier toutes les pièces qu'elles estiment utiles.

Art. 99.La chambre contentieuse invite les parties à transmettre leurs conclusions.

Art. 100.§ 1er. La chambre contentieuse a le pouvoir de: 1° classer la plainte sans suite;2° ordonner le non-lieu;3° prononcer la suspension du prononcé;4° proposer une transaction;5° formuler des avertissements et des réprimandes;6° ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits;7° ordonner que l'intéressé soit informé du problème de sécurité;8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement;9° ordonner une mise en conformité du traitement;10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données;11° ordonner le retrait de l'agréation des organismes de certification;12° donner des astreintes;13° donner des amendes administratives;14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international;15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier;16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données. § 2. Lorsqu'après application du § 1er, 15°, le ministère public renonce à engager des poursuites pénales, à proposer une résolution à l'amiable ou une médiation pénale au sens de l'article 216ter du Code d'instruction criminelle, ou lorsque le ministère public n'a pas pris de décision pendant un délai de six mois à compter du jour de réception du dossier, l'Autorité de protection des données détermine si la procédure administrative doit être reprise.

Art. 101.La chambre contentieuse peut décider d'infliger une amende administrative aux parties poursuivies selon les principes généraux visés à l'article 83 du Règlement 2016/679.

Art. 102.La décision d'imposition de l'amende administrative est motivée et fixe le montant de l'amende.

Le paiement du montant de l'amende administrative doit être effectué dans les trente jours à compter de la date de l'envoi recommandé avec accusé de réception notifiant la décision d'imposition de l'amende administrative.

Art. 103.En cas de concours d'infractions, les montants des amendes administratives visées à l'article 83 du Règlement 2016/679 sont cumulés sans que le montant total puisse excéder le double du montant d'amende le plus élevé applicable aux infractions commises.

Si un contrevenant a commis plusieurs infractions par le même acte, seule la plus lourde amende administrative des différentes infractions est d'application.

Art. 104.Il ne peut être tenu compte d'une décision infligeant une amende administrative ou déclarant la culpabilité adoptée trois ans ou plus avant les faits.

Ce délai de trois ans commence à courir au moment où la décision est devenue exécutoire ou lorsque la décision judiciaire statuant sur le recours est coulée en force de chose jugée.

Art. 105.Les faits sont prescrits cinq ans après leur commission.

La prescription n'est interrompue que par des actes d'enquête ou de poursuite.

Ces actes font courir un nouveau délai d'égale durée, même à l'égard des personnes qui n'y sont pas impliquées.

Art. 106.Les amendes administratives sont prescrites 5 ans à compter de la date à laquelle elles doivent être payées.

Le délai de prescription est suspendu en cas d'un recours contre la décision de la chambre contentieuse d'imposition d'une amende administrative.

Art. 107.Les astreintes, amendes et transactions imposées en application de la présente loi sont versées ou recouvrées au profit du Trésor par l'administration générale de la Perception et du Recouvrement.

Sous-section 4. - Notification et procédure de recours

Art. 108.§ 1er. La chambre contentieuse informe les parties de sa décision et de la possibilité de recours dans un délai de trente jours, à compter de la notification à la Cour des marchés.

Sauf les exceptions prévues par la loi ou sauf si la chambre contentieuse en décide autrement par décision spécialement motivée, la décision est exécutoire par provision, nonobstant recours.

La décision d'effacement des données conformément à l'article 100, § 1er, 10°, n'est pas exécutoire par provision. § 2 Un recours peut être introduit contre les décisions de la chambre contentieuse en vertu des articles 71 et 90 devant la Cour des marchés qui traite l'affaire selon les formes du référé conformément aux articles 1035 à 1038, 1040 et 1041 du Code judiciaire. CHAPITRE VII. - Dispositions abrogatoires, transitoires et finales

Art. 109.Les chapitres VII et VIIbis de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel sont supprimés.

Art. 110.La présente loi entre en vigueur le 25 mai 2018, à l'exception du chapitre III, qui entre en vigueur le jour de sa publication au Moniteur belge.

Le Roi peut fixer une date d'entrée en vigueur antérieure à celle mentionnée à l'alinéa 1er pour chacune de ses dispositions, à l'exception des dispositions du chapitre III.

Art. 111.Sans préjudice des pouvoirs de contrôle de l'Autorité de protection des données, les autorisations accordées par les comités sectoriels de la Commission de la protection de la vie privée avant l'entrée en vigueur de cette loi gardent leur validité juridique.

Après l'entrée en vigueur de la présente loi, l'adhésion à une autorisation générale octroyée par délibération d'un comité sectoriel n'est possible que si le requérant envoie un engagement écrit et signé à l'Autorité de protection des données, dans lequel il confirme adhérer aux conditions de la délibération en question, sans préjudice des pouvoirs de contrôle que peut exercer l'Autorité de protection des données après réception de cet engagement.

Sauf dispositions légales autres, les demandes d'autorisation en cours introduites avant l'entrée en vigueur de la loi sont traitées par le fonctionnaire de la protection des données des institutions concernées par l'échange des données.

Art. 112.Le chapitre VI ne s'applique pas aux plaintes ou demandes encore pendantes auprès de l'Autorité de protection des données au moment de l'entrée en vigueur de la présente loi.

Les plaintes ou demandes visées à l'alinéa 1er sont traitées par l'Autorité de protection des données, en tant que successeur juridique de la Commission de la protection de la vie privée, selon la procédure applicable avant l'entrée en vigueur de la présente loi.

Art. 113.Les membres du personnel statutaire et contractuel engagés par la Commission de la protection de la vie privée sont transférés à l'Autorité de protection des données à la date d'entrée en vigueur de l'article 109, avec maintien de leurs qualité et droits, de leur ancienneté, de leur salaire, de leurs indemnités et suppléments et autres avantages qui leur ont été accordés conformément à la réglementation ou au contrat de travail.

Art. 114.Le mandat des membres de la Commission de la protection de la vie privée et des membres externes des comités sectoriels du Registre national, de l'autorité fédérale, de la Banque-Carrefour des Entreprises, du Comité de Surveillance statistique et du comité sectoriel de la sécurité sociale et de la santé publique prend fin le 24 mai 2018.

Promulguons la présente loi, ordonnons qu'elle soi revêtue du sceau de l'Etat et publiée par le Moniteur belge.

Donné à Bruxelles, le 3 décembre 2017.

PHILIPPE Par le Roi : La Ministre des Affaires sociales et de la Santé publique, M. DE BLOCK Le Ministre de la Justice, K. GEENS Le secrétaire d'Etat à la Lutte contre la Fraude sociale, à la Protection de la Vie privée et à la Mer du Nord, adjoint à la Ministre des Affaires sociales et de la Santé publique, Ph. DE BACKER Scellé du sceau de l'Etat : Le Ministre de la Justice, K. GEENS _______ Note Chambre des représentants (www.lachambre.be) Documents : 54 2648.

Compte rendu intégral : 9 novembre 2017.

^