Texte 2015000608

6 DECEMBRE 2015. - Arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données

ELI
Justel
Source
Intérieur - Justice
Publication
28-12-2015
Numéro
2015000608
Page
79628
PDF
version originale
Dossier numéro
2015-12-06/16
Entrée en vigueur / Effet
01-03-2016
Texte modifié
belgiquelex

Chapitre 1er.- Définitions

Article 1er. Pour l'exécution du présent arrêté, on entend par :

"loi vie privée" : la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

"sécurité de l'information" : la politique, les règles, les procédures et les moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information;

"protection de la vie privée" : la politique, les règles, les procédures et les moyens en vue d'atteindre les objectifs de la loi vie privée;

"Commission" : la Commission de la protection de la vie privée instituée par l'article 23 de la loi vie privée;

"Organe de contrôle" : l'organe institué par l'article 36ter de la loi vie privée;

"conseiller" : le conseiller en sécurité et en protection de la vie privée tel que mentionné à l'article 44/3 de la loi sur la fonction de police;

"données à caractère personnel" : les données telles que définies à l'article 1er, § 1er, de la loi vie privé;

"traitement" : toute opération telle que visée à l'article, 1er, § 2, de la loi vie privée appliquée aux données à caractère personnel et aux informations au sens de l'article 44/1, § 1er, de la loi sur la fonction de police;

"plate-forme de la sécurité et de la protection des données" : la plate-forme telle que mentionnée à l'article 44/3, § 2, de la loi sur la fonction de police;

10°"autorité compétente" : les autorités visées à l'article 44/4, § 2, alinéa 2, de la loi sur la fonction de police.

Chapitre 2.- Le conseiller en sécurité et en protection de la vie privée

Art. 2.Le conseiller a une mission générale d'avis, de stimulation, de documentation et de contrôle.

Art. 3.Le conseiller doit faire preuve de qualités personnelles et professionnelles et, en particulier, de connaissances dans le domaine de la sécurité des systèmes d'information et de la protection des données.

Le cumul d'autres fonctions n'est possible que pour autant qu'il dispose du temps nécessaire à l'exercice de ses missions.

L'ensemble des missions est assuré par une ou plusieurs personnes.

Art. 4.Le choix du conseiller ne peut donner lieu à un conflit d'intérêts entre sa fonction de conseiller et toute autre fonction qu'il pourrait exercer dans le cadre de l'application des dispositions de la loi sur la fonction de police et de la loi vie privée.

L'autorité compétente ne peut exercer la fonction de conseiller.

Art. 5.L'autorité compétente communique les coordonnées de son conseiller à la Commission et à l'Organe de contrôle dans le mois de sa désignation.

Art. 6.Le conseiller remplit sa mission en toute indépendance. Il ne reçoit pas d'instruction dans l'exercice de ses missions visées aux articles 9 à 15. Il rapporte directement à son autorité compétente. L'autorité garantit que le conseiller puisse exercer sa fonction de façon autonome et efficace en le protégeant contre toutes influences et/ou pressions inappropriées de toute personne et de quelque manière que ce soit, directement ou indirectement, en particulier contre toutes pressions visant à obtenir des informations concernant ou pouvant concerner l'exercice de sa fonction.

L'exercice de ses missions ne peut constituer un obstacle à la carrière du conseiller.

L'employeur ou l'autorité compétente ne peut rompre le contrat du conseiller, mettre fin à l'occupation statutaire du conseiller ou l'écarter de sa fonction que pour des motifs qui sont étrangers à son indépendance ou pour des motifs qui démontrent qu'il est incompétent à exercer ses missions.

Art. 7.Le conseiller ainsi que toute personne qui l'assiste s'engagent à conserver le caractère confidentiel de toutes les informations avec lesquelles ils entrent en contact dans le cadre de leur fonction et sont tenus, même après cessation de leur fonction, de ne pas divulguer les informations ou les documents obtenus dans l'exercice de leur fonction qui, par leur nature, sont couverts par une obligation de confidentialité.

Art. 8.Le conseiller travaille en étroite collaboration avec les personnes et services qui sollicitent son intervention, en particulier, avec le service informatique.

En accord avec l'autorité compétente, il peut faire appel à un ou plusieurs collaborateurs et solliciter l'expertise nécessaire à l'exercice de ses missions tant au sein qu'en dehors de l'organisation.

Les articles 4 et 6 sont applicables à ses éventuels adjoints ou collaborateurs.

Le conseiller obtient de l'autorité compétente toute information nécessaire et adéquate à l'exercice de ses missions. Il reçoit de l'autorité qui l'a désigné les ressources nécessaires à l'exécution de ses missions.

Art. 9.Le conseiller :

1. gère la documentation nécessaire à la sécurité de l'information et à la protection de la vie privée;

2. veille à la sensibilisation des utilisateurs à la protection des données à caractère personnel et, en particulier, coopère avec le personnel chargé des procédures, de la formation et du conseil en matière de sécurité et de traitement des données;

3. promeut des activités d'évaluation des risques;

4. veille à l'application interne des dispositions de la loi sur la fonction de police, de la loi vie privée et de ses arrêtés d'exécution dont l'application de l'article 17 de la loi vie privée et de l'article 44/5 de la loi sur la fonction de police, examine la conformité des traitements des données (en ce compris l'enregistrement) avec les dispositions de la loi vie privée, de ses arrêtés d'exécution et de la politique de sécurité et vérifie les conditions de licéité du traitement;

5. participe à la plate-forme de la sécurité et de la protection des données;

6. est le point de contact pour l'exercice des droits des individus vis-à-vis des autorités de contrôle;

7. répond aux demandes de l'Organe de contrôle et de la Commission et, en particulier, les demandes visées à l'article 13 de la loi vie privée et, dans son domaine de compétence, coopère avec les autorités de contrôle.

Art. 10.Le conseiller conseille l'autorité compétente, à la demande de celle-ci ou de sa propre initiative, au sujet de tous les aspects de la sécurité de l'information et de la protection de la vie privée et fait les recommandations nécessaires.

Il communique par écrit tous les manquements constatés à l'autorité compétente concernée, assortis des avis nécessaires pour prévenir de tels manquements à venir.

Le conseiller assiste l'autorité compétente concernée dans le dialogue qu'elle mène avec toutes les parties impliquées en vue de gérer les problèmes de sécurité et de protection des données.

Art. 11.L'autorité compétente et toute personne qui de par sa fonction est impliquée dans le traitement de l'information collaborent avec le conseiller à l'analyse de risques de sécurité et de protection de la vie privée actuels et émergents et, en particulier, ceux qui pourraient avoir une incidence sur la résistance aux pannes des réseaux et des systèmes et sur leur disponibilité ainsi que sur l'authenticité, l'intégrité et la confidentialité des informations accessibles et transmises par leur intermédiaire. Il encourage des solutions interopérables de gestion des risques.

Art. 12.Lorsque les risques sont suffisamment importants, les avis s'expriment par écrit et sont motivés. Dans le délai requis par les circonstances, mais au maximum dans le mois, l'autorité compétente communique sa décision au conseiller. Si la décision s'écarte d'un avis écrit, elle doit être motivée et communiquée par écrit.

Art. 13.Le conseiller collabore aux solutions en matière de gestion des mesures de prévention et de protection au sein de l'organisation et établit une proposition de politique de sécurité et de la protection de la vie privée conforme aux dispositions de la loi vie privée et visée à l'article 44/3 de la loi sur la fonction de police.

Il communique ses propositions à l'autorité compétente qui adopte la politique de sécurité et de la protection de la vie privée spécifique à la zone ou à l'entité de la police fédérale concernée.

Art. 14.En collaboration avec les personnes concernées, le conseiller établit un projet de plan pluriannuel qui s'aligne sur le plan national ou le plan zonal de sécurité en spécifiant les objectifs et les moyens nécessaires à sa réalisation. Ce projet est révisé au moins annuellement et adapté si nécessaire. Le projet de plan de sécurité est considéré comme un avis au sens de l'article 12.

Il adresse le projet de plan pluriannuel à l'autorité compétente concernée.

Art. 15.Le conseiller établit, au minimum une fois par an, un relevé global de ses activités reprenant :

- les demandes qui lui sont adressées sur base de l'article 9;

- les avis, les conseils et recommandations, les contrôles et les analyses visés aux articles 10 à 12.

Il adresse ce relevé à l'autorité compétente concernée.

Chapitre 3.- La plate-forme de la sécurité et de la protection des données

Art. 16.Les conseillers sont membres de la plate-forme de la sécurité et de la protection des données visée à l'article 44/3, § 2, de la loi sur la fonction de police.

Art. 17.La plate-forme peut créer des groupes de travail afin de traiter des matières spécifiques et de favoriser le développement de connaissances utiles aux missions du conseiller.

Elle prend les initiatives nécessaires en vue d'uniformiser l'approche et l'appréhension de la sécurité et de la protection de la vie privée et de promouvoir le partage des compétences et des connaissances dans ces domaines.

Pour ce faire, elle peut faire appel à tout expert spécialisé dans le domaine de la sécurité de l'information et de la protection de la vie privée.

Art. 18.Les membres de la plate-forme s'organisent pour assurer un ou des points de contact.

Les membres de la plate-forme désignent en leur sein un ou des représentants chargés d'assurer leur représentation auprès du comité de coordination de la police intégrée visé à l'article 8ter de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux.

La plate-forme se réunit en fonction des besoins et au minimum une fois par an.

Art. 19.La plate-forme de la sécurité et de la protection des données élabore, au plus tard un an après sa création, un règlement d'ordre intérieur qui est soumis à l'approbation du ministre de l'Intérieur et du ministre de la Justice.

Le règlement d'ordre intérieur définit, notamment, les tâches et les modalités du fonctionnement du point de contact et d'un ou des représentants visés à l'article 18, les modalités d'échange entre la plate-forme et le comité de coordination de la police intégrée, ainsi que les autres modalités de fonctionnement de la plate-forme.

Chapitre 4.- Dispositions finales

Art. 20.Le présent arrêté entre en vigueur le premier jour du troisième mois qui suit celui de sa publication au Moniteur belge.

Art. 21.Le ministre qui a l'Intérieur dans ses attributions et le ministre qui a la Justice dans ses attributions sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.

Lex Iterata est un site web qui propose les textes législatifs consolidés du Moniteur Belge sous une nouvelle forme. Lex Iterata fait partie de Refli, qui vise à simplifier le calcul de salaire. Ces deux projets sont conçus par la société namuroise de développement informatique Hypered.