KSZ-BCSS Loi Traitement de Données à caractère personnel et fonctionnement des comités sectoriels 8 MAI 2006 Banque Carrefour de la sécurité sociale

Droit à la protection de la vie privée Article 22 de la Constitution: «Chacun a droit au respect de sa vie privée […].» principe général précisé davantage dans d’autres lois Loi du 8 décembre 1992 règle l’aspect traitement de données à caractère personnel absence de « Loi vie privée » intégrale Artikel 12 van de Universele Verklaring van de rechten van de mens: «Niemand zal het voorwerp zijn van willekeurige inmengingen in zijn privaat leven […]. Eenieder heeft het recht op de bescherming van de wet tegen dergelijke inmengingen […].» Artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten: «Niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn privéleven […]. Eenieder heeft recht op bescherming door de wet tegen zodanige inmenging […].» Artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden: «Eenieder heeft recht op eerbiediging van zijn privéleven […].» Artikel 22 van de Grondwet: «Ieder heeft recht op eerbiediging van zijn privéleven […].» Het betreft teksten die het recht op de bescherming van de persoonlijke levenssfeer op een algemene/vage wijze erkennen; de wet van 8 december 1992 heeft specifiek/concreet betrekking op de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (deelgebied - zie ook wetgeving over afluisteren van telefoongesprekken,...).

Historique (1/3) Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données De Europese Gemeenschap/Unie steunt op het vrije verkeer van goederen, personen, diensten en kapitaal. Probleem: vrij verkeer van persoonsgegevens binnen de Europese Gemeenschap/Unie versus bescherming van de persoonlijke levenssfeer. Indien gegevens binnen de Europese Gemeenschap/Unie circuleren, moet er een waarborg zijn dat elke lidstaat een zeker beschermingsniveau garandeert (wat heeft het voor zin dat bv. België een streng beleid zou voeren, als de gegevens worden overgemaakt aan een ander Europees land waar geen bescherming wordt geboden?). Richtlijn: elke lidstaat van de Europese Gemeenschap/Unie moet tegen 24 oktober 1998 een bepaald beschermingsniveau bieden op het vlak van de verwerking van persoonsgegevens om aldus het vrije verkeer van die gegevens binnen de Gemeenschap/Unie mogelijk te maken.

Historique (2/3) Loi du 11 décembre 1998 transposant la directive 95/46/CE Arrêté royal du 13 février 2001 (exécution de la loi du 8 décembre 1992) Loi du 26 février 2003 modifiant la loi du 8 décembre 1992 (CPVP) Arrêté royal du 17 décembre 2003 (comités sectoriels de la CPVP) De Richtlijn werd in Belgische wetgeving omgezet door een wet van 11 december 1998 die de nodige wijzigingen heeft aangebracht aan de WVP van 1992. Die wijzigende wet is inmiddels in werking getreden (op 1 september 2001). Het “uitvoeringsbesluit“ is één allesomvattend KB dat de vroegere KB’s (een tiental - deze worden hier niet meer besproken) heeft opgeheven en ook de inwerkintreding van de wet van 11 december 1998 heeft geregeld. De bepalingen van de WVP die betrekking hebben op de samenstelling en het statuut van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer werden grondig gewijzigd bij de wet van 26 februari 2003. Er wordt onder meer voorzien in de oprichting van diverse sectorale comités waarvan de samenstelling en de werking wordt geregeld in het KB van 17 december 2003.

Historique (3/3) quelques lois spécifiques Loi du 8 août 1983 organisant un Registre national des personnes physiques Loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale Loi du 16 janvier 2003 portant création d’une Banque-carrefour des Entreprises, modernisation du registre de commerce, création de guichets-entreprises agréés et portant diverses dispositions

version coordonnée disponible sur KSZ-BCSS Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel version coordonnée disponible sur http://www.privacycommission.be/textes_normatifs.htm 8/5/2006 6 Banque Carrefour de la sécurité sociale

Définitions données à caractère personnel (art. 1er, § 1er) traitement (art. 1er, § 2) fichier (art. 1er, § 3) responsable du traitement (art. 1er, § 4) sous-traitant (art. 1er, § 5) tiers (art. 1er, § 6) destinataire (art. 1er , § 7) consentement de la personne concernée (art. 1er, § 8) De term “persoonlijke levenssfeer” zelf wordt niet gedefinieerd.

Données à caractère personnel toute information concernant une personne physique identifiée ou identifiable information relative à une personne physique identifiée ou identifiable (directement ou indirectement) à l’aide d’un numéro d’identification à l’aide d’autres éléments spécifiques “iedere informatie”: ruim begrip. “natuurlijke persoon”: lijkt evident; géén bescherming van de persoonlijke levenssfeer van rechtspersonen (ondernemingen, VZW’s, feitelijke verenigingen,…). “geïdentificeerd of identificeerbaar”: aan de hand van een identificatienummer (bv. het rijksregisternummer dat door de sociale zekerheid wordt gebruikt als Identificatienummer Sociale Zekerheid: INSZ) of andere elementen die kenmerkend zijn voor de identiteit van de betrokkene (lichamelijke, psychische, economische, sociale, culturele kenmerken).

Traitement toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel à l’aide de procédés automatisés ou non collecte conservation adaptation modification diffusion mise en rapport ... Het dient niet noodzakelijk te gaan om geautomatiseerde verwerkingen. Ook louter “papieren verwerkingen” (bv. fiches en steekkaarten) vallen onder het toepassingsgebied van de WVP - de aldus verwerkte gegevens moeten dan wel bestemd zijn voor een bestand (zie verder), d.w.z. dat ze volgens bepaalde criteria toegankelijk moeten zijn. Elke bewerking of elk geheel van bewerkingen (voor een aantal voorbeelden: zie de wet).

Fichier tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés ensemble structuré de données à caractère personnel classement logique permet la consultation systématique des données accessibles selon certains critères nom numéro de registre national / numéro BCSS ... Bv. uit een steekkaartenbak waarin fiches zijn opgenomen op naam en in alfabetische volgorde (structuur) kan informatie over een bepaalde persoon worden gehaald aan de hand van diens familienaam (criterium). Bv. een adreskaartje wordt achteloos in een lade gegooid; door het ontbreken van structuur (het kaartje maakt geen onderdeel uit van een verzameling kaartjes die op een bepaalde wijze zijn samengevoegd) en toegangscriterium (informatie over de betrokkene kan niet onmiddellijk worden geraadpleegd aan de hand van een bepaald criterium) gaat het niet om een bestand.

Responsable / sous-traitant responsable du traitement: la personne (physique ou non) qui (seule ou conjointement avec d’autres) détermine les finalités et les moyens du traitement de données à caractère personnel sous-traitant: la personne (physique ou non) qui traite des données à caractère personnel pour le compte du responsable du traitement ( la personne qui, placée sous l’autorité directe du responsable du traitement, est habilitée à traiter des données à caractère personnel) Verantwoordelijke voor de verwerking - natuurlijke persoon, rechtspersoon, feitelijke vereniging, openbaar bestuur (m.a.w. elke mogelijke entiteit); - bepaalt het doel en de middelen van de verwerking (het doel is het centrale thema van de WVP - een verwerking bestaat maar omdat ze een bepaald doeleinde dient). Verwerker - “onderaannemer” (bv. de SmalS-MvM verwerkt gegevens voor rekening van een aantal instellingen van sociale zekerheid); - NIET de werknemers van de verantwoordelijke.

Tiers / Destinataire tiers: toute personne (physique ou non), autre que la personne concernée le responsable du traitement le sous-traitant la personne qui, placée sous l’autorité directe du responsable du traitement ou du sous-traitant, est habilitée à traiter les données destinataire: la personne (physique ou non) qui reçoit communication des données notion large peut être un “tiers” ou non De werknemers van de verantwoordelijke voor de verwerking (bijvoorbeeld de Rijksdienst voor Sociale Zekerheid) en de verwerker (bijvoorbeeld de SmalS-MvM) kunnen niet als derden bestempeld worden. Zowel derden als niet-derden kunnen “ontvanger” zijn in de zin van de wet van 8 december 1992.

Principe général (art. 2) lors du traitement de données à caractère personnel […], toute personne physique a droit à la protection de la vie privée […] absence de définition de la notion de « vie privée » fondement juridique résiduaire Zie het in het begin van de uiteenzetting vermelde principe uit een aantal internationale teksten en de Grondwet. Residuaire rechtsgrond: slechts indien men in de WVP geen enkele concrete bepaling vindt waarop men een beroep kan doen (zie hierna: rechten van de betrokkene / plichten van de verantwoordelijke), kan men gebruik maken van artikel 2 (algemeen/vaag).

Champ d’application matériel de la loi (art. 3, § 1er) traitements automatisés de données à caractère personnel traitements non automatisés de données à caractère personnel contenues dans un fichier appelées à figurer dans un fichier Ruim toepassingsgebied: geautomatiseerde én niet-geautomatiseerde verwerkingen (wel: bestandsvoorwaarde => de gegevens moeten gestructureerd zijn en volgens bepaalde criteria toegankelijk zijn). Bijvoorbeeld: steekkaartenbak waarin per betrokkene een kaart met informatie is opgenomen, die via de naam van de betrokkene vlot achterhaald kan worden.

Traitements totalement exclus (art. 3, § 2) traitements effectués par une personne physique pour des finalités exclusivement personnelles ou domestiques seuls les traitements effectués par une personne physique (pas par une entreprise, une association de fait, ...) pour des finalités uniquement personnelles / domestiques (p.ex. correspondance et mise à jour des fichiers d’adresses) donc PAS: des données à caractère personnel qui sont traitées à domicile par un travailleur pour son entreprise (adresses de relations d’affaires ou de clients), résultats d’examens conservés par un professeur,... Voorwaarden - enkel voor verwerkingen door natuurlijke personen (niet voor verwerkingen door rechtspersonen of feitelijke verenigingen) - enkel voor persoonlijke/huishoudelijke doeleinden, dus NIET: persoonsgegevens die door een werknemer thuis worden verwerkt voor zijn bedrijf (adressen van zakenrelaties of klanten), examenresultaten bewaard door een leraar,...

Traitements partiellement exclus (art. 3, §§ 3-6) aux seules fins de journalisme ou d’expression artistique ou littéraire par certaines autorités (Sécurité de l’État, police, …) par le Centre européen pour enfants disparus et sexuellement exploités partiellement exclus sous certaines conditions, certains articles de la LTD ne sont pas d’application à ces traitements Bepaalde verwerkingen zijn onder bepaalde voorwaarden niet onderworpen aan bepaalde artikelen van de WVP (voornamelijk de artikelen met betrekking tot enerzijds de informatieplicht van de verantwoordelijke en anderzijds het recht op mededeling, verbetering, verzet, verwijdering en niet-aanwending van de betrokkene - het recht op mededeling,... kan eventueel wel onrechtstreeks worden uitgeoefend, via de CBPL - zie verder).

Champ d’application territorial (art. 3bis) traitements dans le cadre des activités d’un établissement fixe du responsable du traitement sur le territoire belge en un lieu où la loi belge s’applique traitements par le responsable du traitement qui n’est pas établi de manière permanente dans la CE lorsque ce dernier recourt à des moyens situés sur le territoire belge ( des moyens qui sont exclusivement utilisés à des fins de transit) Band met België - verwerking op Belgisch grondgebied; - verwerking op een plaats waar de Belgische wet van toepassing is; - gebruik van middelen op Belgisch grondgebied.

Principes (art. 4) loyauté et légitimité finalité proportionnalité, notamment une durée de conservation raisonnable exactitude Finaliteit en proportionaliteit: persoonsgegevens mogen slechts worden verwerkt voor duidelijk omschreven en wettige doeleinden en mogen niet worden gebruikt op een wijze die onverenigbaar is met die doeleinden. Zij dienen, uitgaande van die doeleinden, toereikend, ter zake dienend en niet overmatig te zijn. Voorbeelden - een universiteit mag gegevens betreffende (oud-)studenten aanwenden voor het aankondigen van studiedagen, reünies,… maar niet om een professor in staat te stellen verkiezingspropaganda te voeren (onverenigbaar met aanvankelijk doeleinde); - een werkgever mag de gegevens uit de personeelsadministratie aanwenden voor het versturen van uitnodigingen voor een personeelsfeest maar mag ze niet verkopen aan een postorderbedrijf; - een bank die ook verzekeringen verkoopt, mag de gegevens van haar klanten niet gebruiken om hen verzekeringen aan te smeren (in concreto: raadpleging van de overschrijvingen aan de verzekeringsmaatschappijen).

Finalité, proportionnalité et exactitude traitement pour des finalités déterminées, explicites et légitimes tant lors de la collecte des données que lors du traitement ultérieur (compatibilité avec finalité initiale, compte tenu des prévisions raisonnables de l’intéressé et de la législation) proportionnalité les données doivent être adéquates, pertinentes et non excessives les données ne peuvent pas être conservées pour une durée excédant le temps nécessaire à la réalisation de la finalité du traitement exactitude les données doivent être exactes et doivent être mises à jour si nécessaire

Traitement n’est autorisé que (art. 5) (1/2) lorsque la personne concernée a indubitablement donné son consentement lorsqu’il est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles prises à la demande de la personne concernée lorsqu’il est nécessaire au respect d’une obligation légale lorsqu’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend (onder "toestemming van de betrokkene" wordt verstaan elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene of zijn wettelijke vertegenwoordiger aanvaardt dat persoonsgegevens betreffende de betrokkene worden verwerkt) wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen (bv. het registreren van een bestelling die door de betrokkene wordt gedaan) wanneer de verwerking noodzakelijk is om een wettelijke verplichting na te komen (bv. om recht te hebben op bepaalde socialezekerheidsuitkeringen moeten bepaalde gegevens over derden - personen waarmee de betrokkene samenwoont - worden meegedeeld)

Traitement n’est autorisé que (art. 5) (2/2) lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement / tiers, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée (évaluation des intérêts !) wanneer de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene (een belang dat voor het leven van de betrokkene essentieel is) wanneer de verwerking noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verantwoordelijke voor de verwerking of aan de derde aan wie de gegevens worden verstrekt (bv. verwerken van gegevens door socialezekerheidsinstellingen en de fiscus) wanneer de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen (afweging van belangen/rechten) De bepalingen van de artikelen 4 en 5 moeten samen gelezen worden: indien de verwerking mogelijk is volgens artikel 5, moet worden gewaakt over de naleving van de principes uit artikel 4.

Traitements spécifiques: interdiction de principe données sensibles (art. 6) données relatives à la santé (art. 7) données judiciaires (art. 8)

Données sensibles (art. 6) données à caractère personnel relatives à l’origine raciale ou ethnique aux opinions politiques aux convictions religieuses ou philosophiques à l’appartenance syndicale à la vie sexuelle interdiction fondamentale de traitement => exceptions après consentement par écrit de la personne concernée nécessaire dans le cadre d’obligations en matière de droit du travail ou pour l’application de la sécurité sociale permis par une loi, un décret ou une ordonnance pour un motif important d'intérêt public ... Gevoelige gegevens (waaronder voorheen ook het lidmaatschap van een ziekenfonds - zie oud artikel 6) mogen door de socialezekerheidsinstellingen worden verwerkt voor zover natuurlijk de principes uit artikel 4 worden gerespecteerd (voornamelijk finaliteit en proportionaliteit). De bepalingen van de artikelen 4 en 6 moeten dus samen gelezen worden.

Données relatives à la santé (art. 7) (1/2) absence de définition interdiction fondamentale de traitement => exceptions après consentement par écrit de la personne concernée nécessaire aux fins de médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements soit à la personne concernée, soit à un parent, ou de la gestion de services de santé, moyennant la surveillance par un professionnel des soins de santé nécessaire dans le cadre d’obligations en matière de droit du travail ou pour l’application de la sécurité sociale permis par une loi, un décret ou une ordonnance pour un motif important d'intérêt public … doivent en principe être collectées auprès de la personne concernée Kruispuntbankwet - "sociale gegevens van persoonlijke aard die de gezondheid betreffen": alle sociale gegevens van persoonlijke aard waaruit informatie kan worden afgeleid omtrent de vroegere, huidige of toekomstige fysieke of psychische gezondheidstoestand van de natuurlijke persoon die is of kan worden geïdentificeerd, met uitzondering van de louter administratieve of boekhoudkundige gegevens betreffende de geneeskundige behandelingen of verzorging. Gezondheidsgegevens mogen door de socialezekerheidsinstellingen worden verwerkt voor zover natuurlijk de principes uit artikel 4 worden gerespecteerd (voornamelijk finaliteit en proportionaliteit). De bepalingen van de artikelen 4 en 7 moeten dus samen gelezen worden.

Données relatives à la santé (art. 7) (2/2) ne peuvent être traitées que sous la responsabilité d’un professionnel des soins de santé => exceptions après le consentement par écrit de la personne intéressée lorsque le traitement est nécessaire pour la prévention d’un danger concret ou la répression d’une infraction pénale déterminée droit de communication (art. 10) directe par l’intermédiaire d’un professionnel des soins de santé lorsque la personne concernée ou le responsable du traitement en font la demande Het begrip “beroepsbeoefenaar in de gezondheidszorg” is niet gedefinieerd; dit kan gebeuren bij koninklijk besluit. De term lijkt alvast ruimer dan het vroeger gebruikte “beoefenaar van de geneeskunst” (hiermee wordt enkel bedoeld: artsen, tandartsen, apothekers en vroedvrouwen). Ook hier moet opgemerkt worden dat de principes uit artikel 4 dienen te worden nageleefd: aangezien de beroepsbeoefenaar eveneens gebonden is door de principes van finaliteit en proportionaliteit, lijkt het weinig waarschijnlijk dat bv. een psychiater kennis zal kunnen nemen van gegevens aangaande een zware beenbreuk. Aldus wordt gegarandeerd dat niet om het even welke beroepsbeoefenaar in de gezondheidszorg door de verantwoordelijke voor de verwerking kan worden in dienst genomen voor de verwerking van gezondheidsgegevens.

Données judiciaires (art. 8) données à caractère personnel relatives à des litiges des suspicions des poursuites des condamnations des sanctions administratives des mesures de sécurité interdiction fondamentale de traitement => exceptions lorsque le traitement est nécessaire à la réalisation de finalités fixées par la loi … Het verbod om gerechtelijke persoonsgegevens te verwerken, is niet van toepassing op verwerkingen: a) onder toezicht van een openbare overheid of van een ministeriële ambtenaar in de zin van het Gerechtelijk Wetboek, indien de verwerking noodzakelijk is voor de uitoefening van hun taken; b) door andere personen, indien de verwerking noodzakelijk is voor de verwezenlijking van doeleinden die door of krachtens een wet, een decreet of een ordonnantie zijn vastgesteld; c) door natuurlijke personen of door privaatrechtelijke of publiekrechtelijke rechtspersonen inzoverre dat noodzakelijk is voor het beheer van hun eigen geschillen; d) door advocaten of andere juridische raadgevers inzoverre de verwerking noodzakelijk is voor de verdediging van de belangen van de cliënten; e) die noodzakelijk zijn voor het wetenschappelijk onderzoek en verricht worden onder de voorwaarden vastgesteld door de Koning bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.

Droits de la personne concernée (1/2) droit à la protection de la vie privée (art. 2) constitue un fondement juridique résiduaire droit à l’information lors de la collecte de données auprès de la personne concernée (art. 9, § 1er) lors de l’enregistrement / de la communication de données (art. 9, § 2) droit de prise de connaissance / communication (art. 10) droit de rectification (art. 12, § 1er, alinéa 1er) droit d’opposition (art. 12, § 1er, alinéas 2 et 3)

Droits de la personne concernée (2/2) droit d’effacement / de non-utilisation (art. 12, § 1er, alinéa 5) droit de non-soumission à certaines décisions automatisées (art. 12bis) droit de recours : auprès du juge (art. 14 + dispositions pénales) auprès de la CPVP (art. 31) droit de consultation du registre de la CPVP (art. 18)

Droit à l’information communication d’informations relatives au traitement l’identité du responsable les finalités du traitement l’existence d’un droit d’opposition gratuit lors de marketing direct (voir infra) autres informations supplémentaires imposées par arrêté royal lors de la collecte de données auprès de la personne concernée sauf si la personne concernée en est déjà informée lors de l’enregistrement ou de la communication de données sauf si l’enregistrement / la communication est effectué(e) pour des finalités de recherche et que la notification se révèle impossible ou implique des efforts disproportionnés sauf si l ’enregistrement / la communication est effectué(e) en vue de l’application d’une disposition légale Recht op informatie - voorbeelden. - wedstrijd georganiseerd door een krant of tijdschrift - de betrokkene vermeldt op het deelnemingsformulier bepaalde identiteitsgegevens (naam, adres, leeftijd,…) - hij dient dadelijk geïnformeerd te worden - in de praktijk: clausule in kleine letters op het einde van het formulier “Uw gegevens werden opgenomen in ons bestand…” - inschrijvingsformulier voor een studiedag/lessenreeks - andere formulieren

Droit de prise de connaissance / communication concerne l’existence (ou non) d’un traitement des informations générales sur le traitement (finalités, catégories de données, catégories de destinataires) les données concrètes (sous une forme intelligible) informations sur l’origine des données la logique des décisions automatisées les autres droits précités de l’intéressé demande datée et signée réponse au plus tard dans les 45 jours délai raisonnable pour nouvelle demande règlement spécifique pour données relatives à la santé (voir supra) Redelijke termijn voor een nieuwe aanvraag: de betrokkene kan zich niet onbeperkt tot dezelfde verantwoordelijke wenden met een verzoek tot mededeling van de hem betreffende gegevens; hij moet het recht “in redelijkheid” uitoefenen. Gezondheidsgegevens kunnen rechtstreeks aan de betrokkene worden meegedeeld. Op verzoek van de verantwoordelijke voor de verwerking of van de betrokkene zelf, kan de mededeling echter gebeuren via een beroepsbeoefenaar in de gezondheidszorg die wordt aangeduid door de betrokkene.

Droit de rectification de données inexactes demande datée et signée gratuite réponse dans un délai max. de 1 mois communication des rectifications aux personnes auxquelles les données inexactes ont été communiquées pour autant que le responsable du traitement connaisse encore les destinataires pour autant que la notification à ces destinataires ne paraisse pas impossible ou n’implique pas des efforts disproportionnés

Droit d’opposition pour des raisons sérieuses et légitimes ne s’applique pas aux traitements nécessaires à la conclusion / exécution d’un contrat au respect d’une obligation légale données collectées à des fins de marketing direct opposition est gratuite opposition ne doit pas être motivée demande datée et signée réponse dans un délai max. de 1 mois

Droit d’effacement et de non-utilisation concerne des données incomplètes ou non pertinentes dont l’enregistrement, la communication ou la conservation sont interdits qui sont conservées au-delà de la période autorisée demande datée et signée / gratuite réponse dans un délai max. de 1 mois communication des effacements aux personnes auxquelles les données ont été communiquées pour autant que le responsable du traitement connaisse encore les destinataires pour autant que la notification à ces destinataires ne paraisse pas impossible ou n’implique pas des efforts disproportionnés

Droit de non-soumission à certaines décisions automatisées produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peuvent être prises sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité ne s’applique pas aux décisions prises dans le cadre d’un contrat ou d’une disposition légale (mais prévoir des mesures appropriées) Deze bepaling heeft betrekking op geautomatiseerde beslissingssystemen waarmee scores of andere resultaten worden gegenereerd met een rechtstreekse weerslag op de betrokkene (bv. m.b.t. het toestaan van een krediet). De bepaling wil vermijden dat zonder enige menselijke interventie beslissingen rechtstreeks worden genomen op grond van een resultaat van een geautomatiseerde verwerking - een minimale menselijke tussenkomst is nodig.

Droit de recours auprès du président du tribunal de première instance violation des droits de prise de connaissance/communication, rectification, opposition et effacement/non-utilisation auprès de la Commission de la protection de la vie privée violation de toute disposition de la LTD auprès du juge pénal violation des dispositions pénales (articles 37-43 de la LTD)

Droit de consulter le registre CPVP registre des traitements automatisés de données à caractère personnel contient des informations provenant des déclarations (art. 17) peut être consulté par toute personne

Exercice de certains droits auprès de la CPVP (art. 13) traitements partiellement exclus par certaines autorités (Sécurité de l’État, police, …) par le Centre européen pour enfants disparus et sexuellement exploités exercice des droits de prise de connaissance / de communication, de rectification, d’opposition et d’effacement/de non-utilisation par l’intermédiaire de la CPVP gratuit

Obligations du responsable (1/4) respect des principes (art. 4) fourniture de renseignements (art. 9) lors de la collecte de données auprès de la personne intéressée (art. 9, § 1er ) lors de l’enregistrement / de la communication de données (art. 9, § 2) communication du caractère contesté d’une donnée (art. 15) responsabilité pour le dommage (art. 15bis)

Obligations du responsable (2/4) contrôle du sous-traitant (art. 16, § 1er) choisir un sous-traitant qui apporte des garanties suffisantes par rapport aux mesures de sécurité développées veiller au respect des mesures de sécurité développées fixer dans le contrat du sous-traitant les mesures de sécurité développées la responsabilité du sous-traitant limitation des possibilités de traitement du sous-traitant le sous-traitant n’agit que sur instruction du responsable le sous-traitant est tenu par les mêmes obligations que le responsable

Obligations du responsable (3/4) mise à jour / rectification / effacement des données à caractère personnel (art. 16, § 2, 1°) vis-à-vis des collaborateurs limitation de l’accès et des possibilités de traitement (art. 16, § 2, 2°) fourniture de renseignements sur les dispositions de protection des données (art. 16, § 2, 3°) contrôle en matière de programmes informatiques (art. 16, § 2, 4°) conformité avec la déclaration à la CPVP usage légitime

Obligations du responsable (4/4) obligation pour les collaborateurs : traitement que sur instruction du responsable (art. 16, § 3) prendre les mesures de sécurité techniques et organisationnelles requises (art. 16, § 4) éviter la destruction, la perte, la modification,... niveau de sécurité adéquat requiert une évaluation de l’état de la technique et des frais qu’entraînent ces mesures de la nature des données et des risques potentiels déclaration à la CPVP (art. 17)

Déclaration à la CPVP (1/2) chaque finalité (ou ensemble de finalités liées) pour lesquelles il est procédé à un ou plusieurs traitements (partiellement ou totalement) automatisés doit faire l’objet d ’une déclaration préalablement au traitement accusé de réception CPVP dans les trois jours ouvrables contenu de la déclaration: voir l’art. 17, §§ 3 et 6 nouvelle déclaration en cas de modification des informations déclarées fin du traitement

Déclaration à la CPVP (2/2) exemptions pour les traitements de données qui ne présentent manifestement pas de risque d’atteinte à la vie privée doivent être déterminées par arrêté royal AR du 13/02/2001 contient des exemptions conditionnelles traitements pour l’administration du personnel et des salaires et la comptabilité traitements pour l’administration d’associés et d’actionnaires traitements pour la gestion de la clientèle et de fournisseurs traitements à des fins de communication et pour l’enregistrement de visiteurs traitements par des associations sans but lucratif traitements par des établissements d’enseignement en vue de la gestion des élèves et des étudiants traitements par des communes pour la gestion des registres traitements par des autorités administratives en cas de réglementations particulières traitements par des institutions de sécurité sociale si exemption accordée, communiquer les informations énumérées à l’art. 17, §§ 3 et 6 à toute personne qui en fait la demande Vrijstelling voor verwerkingen van persoonsgegevens door instellingen van sociale zekerheid die de toepassing van de sociale zekerheid tot doel hebben, op voorwaarde dat deze instellingen van sociale zekerheid voldoen aan de Kruispuntbankwet. De Kruispuntbank moet ingevolge de Kruispuntbankwet een lijst van deze verwerkingen bijhouden en deze lijst ter beschikking houden van de Commissie. De Commissie verricht op grond van deze lijst de bijwerkingen van het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens.

Transmission de données à caractère personnel vers des pays non-membres de l’UE le pays non membre de l’UE doit assurer un niveau de protection adéquat (art. 21) la transmission vers un pays non membre de l’UE n’assurant pas un niveau de protection adéquat est cependant possible dans six cas énumérés (art. 22, alinéa 1er) si autorisée par AR (art. 22, alinéa 2)

CPVP – généralités (1/2) Commission de la protection de la vie privée instituée auprès de la Chambre des représentants (art. 23) composition et désignation (art. 24) 8 membres effectifs, dont le président (= un magistrat) le vice-président (= d’un autre rôle linguistique que le président) 8 membres suppléants nombre égal de membres d’expression française et de membres d’expression néerlandaise nommés pour un terme de 6 ans, renouvelable

CPVP – généralités (2/2) indépendance (art. 24) les membres doivent offrir des garanties leur permettant d’exercer leur mission avec indépendance (§ 4) les membres ne reçoivent d’instructions de personne (§ 6) confidentialité (art. 33) rapport sur les activités (art. 32, § 2) est rédigé chaque année est communiqué à la Chambre des représentants

CPVP – tâches (1/2) avis (art. 29) - recommandations (art. 30) soit d’initiative, soit sur demande des pouvoirs législatifs ou exécutifs sur toute question relative à l’application des principes fondamentaux de la protection de la vie privée dans le cadre de la Loi Traitement des Données à caractère personnel dans le cadre des dispositions légales en matière de protection de la vie privée à l’égard du traitement des données à caractère personnel motivés

CPVP – tâches (2/2) examen des plaintes (art. 31) nature des plaintes relatives aux missions légales de la CPVP signées et datées si la plainte est recevable, la CPVP intervient en tant que médiateur en cas de conciliation, la CPVP dresse un procès-verbal expliquant la solution en l’absence de conciliation, la CPVP émet un avis sur le caractère fondé de la plainte ou une recommandation droit de défense ne porte pas atteinte à la possibilité de recourir au tribunal Ontvankelijkheid: de klacht is van die aard dat de gestelde feiten, mochten ze vaststaan, het gevorderde rechtvaardigen (= de klacht kan behandeld worden) - voorafgaand onderzoek. Gegrond: de in de klacht gestelde feiten staan vast (= de klacht was terecht) - onderzoek ten gronde.

CPVP - compétences compétences (art. 32, § 1er) requérir le concours d’experts procéder à un examen sur place exiger des documents utiles pénétrer en tous lieux où ils ont un motif raisonnable de supposer que s’exerce une activité en rapport avec l’application de la loi rapport avec le pouvoir judiciaire la CPVP dénonce au procureur du Roi les infractions dont elle a connaissance (art. 32, § 2) le président peut soumettre au tribunal de première instance tout litige concernant l’application de la loi et de ses mesures d’exécution (art. 32, § 3)

Comités sectoriels (art. 31bis) (1/3) institués au sein de la CPVP habilités e.a. à autoriser les échanges de données à caractère personnel faisant l’objet de législations particulières comité sectoriel de la sécurité sociale voir la loi organique de la Banque Carrefour du 15 janvier 1990 comité sectoriel du Registre national voir la loi du 8 août 1983 relative au Registre national comité sectoriel pour la Banque Carrefour des Entreprises voir la loi du 16 janvier 2003 relative à la BCE comité sectoriel pour l’autorité fédérale voir l’article 36bis LTD comité sectoriel Phénix …

Comités sectoriels (art. 31bis) (2/3) toute communication de données à caractère personnel par un organisme public fédéral ou par une institution de sécurité sociale requiert une autorisation préalable du comité sectoriel compétent dans l’attente de l’institution d’un comité sectoriel, la CPVP accomplit les missions du comité sectoriel à ce jour, seul le Comité sectoriel de la sécurité sociale a été institué ; le Comité sectoriel Phénix sera institué à brève échéance autres règles : voir l’AR du 17 décembre 2003 et la législation relative à l’institution du comité sectoriel concerné

Comités sectoriels (art. 31bis) (3/3) points d’attention typiques pris en compte par les comités sectoriels avant d’accorder une autorisation pour la communication de données à caractère personnel contrôle des principes de finalité et de proportionnalité les finalités pour lesquelles l’accès a été demandé sont-elles déterminées, explicites et légitimes ? lorsque la communication est demandée par une institution publique, est-ce dans le cadre d’une mission légale ? les données demandées sont-elles pertinentes et non excessives par rapport à ces finalités ? contrôle mesures suffisantes en matière de sécurité de l’information conseiller en sécurité de l’information plan de sécurité de l’information attention particulière pour les dangers liés à la prestation de services électroniques intégrés

KSZ-BCSS Loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale Dispositions spécifiques relatives à la protection de la vie privée --- version coordonnée disponible sur http://www.bcss.fgov.be/fr/Legislation/legislat_1.htm 8/5/2006 53 Banque Carrefour de la sécurité sociale

Généralités (1/2) mesures de protection découlant du concept de la Banque Carrefour pas d’enregistrement centralisé de données autorisation préalable pour l’échange de données à caractère personnel accordée par un comité sectoriel passage obligatoire par la Banque Carrefour pour l’échange de données à caractère personnel contrôle préventif de la légitimité de l’échange garantir le respect des principes de finalité et de proportionnalité

Généralités (2/2) mesures organisationnelles mesures techniques conseiller en sécurité de l’information plan et rapport en matière de sécurité de l’information service de sécurité de l’information spécialisé agréé Comité sectoriel de la sécurité sociale mesures techniques protection physique contrôle d’accès logique procédures de sauvegarde logging des transactions ... sanctions pénales (art. 61-71)

Communication de données sociales à caractère personnel (1/2) obligatoirement à l’intervention de la Banque Carrefour (art. 14), sauf aux intéressés, à leurs représentants légaux et aux personnes autorisées par eux aux personnes, autres que les ISS, qui ont besoin des données pour l’application de la sécurité sociale p.ex. employeurs, secrétariats sociaux, … aux services externes pour la prévention et la protection au travail aux préposés, mandataires, personnes autorisées et sous-traitants des deux catégories précédentes aux institutions étrangères de sécurité sociale dans le cadre de conventions internationales de sécurité sociale cas prévus par arrêté royal => voir AR du 4 février 1997 aux propres sous-traitants entre institutions de sécurité sociale appartenant au même réseau secondaire dans le cadre de l’application de la sécurité sociale entre l’INAMI et le CIN / les mutualités dans le cadre de l’application de la sécurité sociale

Communication de données sociales à caractère personnel (2/2) autorisation préalable du comité sectoriel de la sécurité sociale requise (art. 15) sauf dans le cas d’un échange au sein du réseau pour lequel une exception a été prévue par arrêté royal voir l’AR du 4 février 1997: une autorisation n’est pas requise pour les échanges avec les propres sous-traitants moyennant déclaration au comité sectoriel et à la Banque Carrefour: les échanges de données d’identification de base les échanges entre les ISS du même réseau secondaire dans le cadre de l’application de la sécurité sociale les échanges entre l’INAMI et le CIN / les mutualités dans le cadre de l’application de la sécurité sociale sauf pour la communication de données à caractère personnel codées à certains destinataires conformément à l’art. 5, § 1er

Obligations de la BCSS et des ISS prendre les mesures garantissant la parfaite conservation des données sociales (art. 22) désigner un conseiller en sécurité (art. 24-25) objectifs sécurité des données sociales échangées ou traitées par les ISS protection de la vie privée des intéressés tâches fourniture d’avis, documentation, sensibilisation et audit interne exécuter les missions confiées par l’administration générale autres règles: voir l’AR du 12 août 1993 désigner un médecin responsable du traitement, de l’échange et de la conservation de données relatives à la santé (art. 26)

Obligation de toute personne intervenant dans l’application de la sécurité sociale respect du principe de finalité (art. 23) seules les données nécessaires à l’application de la sécurité sociale usage des données uniquement aux fins prévues par la loi BCSS ou pour l’application des obligations légales conservation des données ne peut excéder le temps nécessaire à l’application de la sécurité sociale devoir d’information concernant la loi BCSS vis-à-vis du personnel (art. 27) garantir le secret professionnel (art. 28 loi BCSS)

Comité sectoriel de la sécurité sociale (1/3) art. 37-52 comité institué au sein de la CPVP composition président (= le président ou un membre de la CPVP) un membre de la CPVP 3 membres externes effectifs (+ 3 suppléants) 1 docteur / licencié en droit (+ 1 suppléant) 1 expert en informatique (+ 1 suppléant) 1 médecin (+ 1 suppléant) nommés par la Chambre pour un terme de 6 ans indépendance des membres les membres ne reçoivent d’instructions de personne

Comité sectoriel de la sécurité sociale (2/3) relation avec la CPVP le président du comité sectoriel et l’autre membre de la CPVP sont chargés de la coordination des travaux entre les deux organismes le président peut ajourner l’examen d’un dossier et le soumettre préalablement à la CPVP pour avis missions veiller à la sécurité de l’information formuler des avis et des recommandations examen de plaintes autoriser les échanges de données tenir à jour une liste publique des autorisations rédiger un rapport d’activités annuel

Comité sectoriel de la sécurité sociale (3/3) compétences recours à des experts effectuer des enquêtes sur place exiger la communication de documents utiles pénétrer en tous lieux où ils supposent que s’exercent des activités en rapport avec l’application de la sécurité sociale

version coordonnée disponible sur KSZ-BCSS Loi du 8 août 1983 organisant un Registre national des personnes physiques version coordonnée disponible sur http://www.rijksregister.fgov.be/rrn_fr/wetgeving/fr_basiswetten.pdf 8/5/2006 63 Banque Carrefour de la sécurité sociale

Objectifs du Registre national (art. 1er, §2) faciliter l’échange d’informations entre les administrations faciliter les mises à jour automatiques des informations générales sur les citoyens dans les fichiers, dans la mesure où c’est légalement permis rationaliser la gestion communale des registres de la population simplifier certaines formalités administratives exigées des citoyens

Champ d’application (art. 2) et organisation du Registre national personnes physiques inscrites aux registres de population et aux registres des étrangers tenus dans les communes aux registres tenus dans les missions diplomatiques et les postes consulaires belges à l’étranger au registre d’attente des candidats réfugiés politiques base de données centrale auprès du SPF Intérieur

Contenu du Registre national (art. 3) numéro d’identification unique données d’identification de base et leur historique nom et prénoms date et lieu de naissance sexe nationalité résidence principale date et lieu de décès état civil profession composition du ménage enregistrement dans registre d’attente et situation administrative dans registre d’attente cohabitation légale bientôt : filiation l’existence d’un certificat d’authentification et de signature pour les titulaires d’une carte d’identité électronique

Accès au Registre national (art. 5) (1/2) requiert une autorisation du Comité sectoriel du Registre national l’autorisation peut être accordée aux autorités publiques belges aux organismes publics ou privés de droit belge chargés de tâches d’intérêt général aux sous-traitants des catégories précitées aux notaires aux huissiers de justice à l’Ordre des pharmaciens à l’Ordre des avocats

Accès au Registre national (art. 5) (2/2) accès au registre d’attente uniquement accordé aux instances désignées par arrêté royal dans le passé : autorisation par arrêté royal était nécessaire – autorisations existantes accordées par arrêté royal restent maintenues

Utilisation du numéro de registre national requiert une autorisation du Comité sectoriel du Registre national autorisation peut être accordée aux mêmes instances qui peuvent obtenir accès au Registre national utilisation uniquement possible pour des finalités mentionnées dans l’autorisation

Droit de consultation / rectification à l’aide de la carte d’identité électronique ou auprès de la commune également droit de prise de connaissance des instances qui ont consulté ou actualisé les données au cours des six derniers mois https://mondossier.rrn.fgov.be

Registres BCSS Banque Carrefour gère les registres BCSS registres BCSS sont complémentaires et subsidiaires au Registre national registres BCSS contiennent des données d’identificaiton de base concernant les personnes non inscrites au Registre national les personnes dont les données d’identification ne sont plus actualisées dans le Registre national mêmes types de données d’identification de base que dans le Registre national, à l’exception de la profession, de la composition du ménage, de la cohabitation légale et de la filiation accès requiert autorisation du Comité sectoriel de la sécurité sociale utilisation du numéro BCSS est libre

version coordonnée disponible sur KSZ-BCSS Loi du 16 janvier 2003 portant création d’une Banque-carrefour des Entreprises (BCE) version coordonnée disponible sur http://mineco.fgov.be/enterprises/crossroads_bank/bce_kbo_fr_009.htm 8/5/2006 72 Banque Carrefour de la sécurité sociale

Objectif et organisation de la BCE objectif : simplifier les obligations administratives imposées aux entreprises et rendre le fonctionnement des services publics plus efficace grâce à la mise en œuvre du principe de la collecte unique de données base de données auprès du SPF Economie, PME, Classes moyennes et Energie

Contenu de la BCE (1/2) numéro d’identification unique par entreprise et par établissement données d’identification de base établies par type d’entité et leur historique nom ou dénomination de la société adresse du siège et des unités d’établissement forme juridique situation juridique autres données d’identification de base à caractère public à fournir lors de l’inscription en tant que commerçant

Contenu de la BCE (2/2) liens entre entités entreprise – établissement(s) entreprise / établissement(s) – unité technique d’exploitation entreprise – personne(s) physique(s) responsables(s) référence aux sources authentiques où sont conservées d’autres données que les données d’identification de base

Accès à la BCE accès aux données publiques est libre utilisation du numéro d’entreprise est libre accès aux données non publiques requiert une autorisation du Comité sectoriel BCE

Plus d’informations ?

Banque Carrefour de la sécurité sociale Tél. 02-741 83 66 E-mail study@bcss.fgov.be