Chapitre 1er.- Définitions
Article 1er. Pour l'application du présent arrêté, il faut entendre par :
1°" la loi " : la loi du 25 décembre 2016 relative au traitement des données des passagers;
2°" la loi du 11 décembre 1998 " : la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité;
3°" le Comité permanent R " : le Comité permanent de contrôle des services de renseignement, visé dans la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignements et de l'Organe de coordination pour l'analyse de la menace;
4°" multiples correspondances positives " : plusieurs correspondances positives, telles que visées à l'article 24, § 2, 1° et 2° de la loi, sur un même PNR, et auprès de plusieurs services compétents;
5°" correspondance positive commune " : une correspondance positive, telle que visée à l'article 24, § 2, 1° et 2° de la loi, résultant d'une corrélation avec l'une des banques de données communes visées à l'article 44/2, § 2 de la loi du 5 août 1992 sur la fonction de police, ou avec des critères d'évaluation, tels que visés à l'article 25 de la loi, communs à plusieurs services compétents;
6°" la loi du 10 juillet 2006 " : la loi du 10 juillet 2006 relatif à l'analyse de la menace.
Chapitre 2.- L'Unité d'information des passagers
Section 1ère.- Modalités de composition et d'organisation de l'UIP
Art. 2.L'UIP relève de la Direction Générale du Centre de Crise du Service Public Fédéral Intérieur.
Art. 3.Le fonctionnaire dirigeant de l'UIP a la responsabilité finale pour les tâches et les missions que la loi confie à l'UIP, et prend à cet effet les décisions nécessaires.
Art. 4.Le fonctionnaire dirigeant de l'UIP peut désigner une ou plusieurs personnes au sein du service d'appui, qui sont au moins titulaires d'une fonction de la classe A1, qui exercent toutes ou certaines de ses missions en son absence ou en cas d'empêchement.
La ou les personnes visées à l'alinéa 1er doivent être titulaires d'une habilitation de sécurité nationale et UE de niveau " TRES SECRET ", telle que visée par la loi du 11 décembre 1998.
Art. 5.§ 1er. La banque de données des passagers n'est accessible qu'au sein de l'UIP, et exclusivement par le délégué à la protection des données et par les membres de l'UIP, lorsqu'ils agissent dans le cadre de leurs missions.
§ 2. Si nécessaire au niveau opérationnel, le fonctionnaire dirigeant de l'UIP peut accorder l'accès à la banque de données des passagers à d'autres personnes que celles visées au paragraphe 1er. Le fonctionnaire dirigeant de l'UIP en informe sans délai le délégué à la protection des données, qui en informe à son tour la Commission de la protection de la vie privée.
Les personnes visées à l'alinéa 1er doivent faire partie d'un des services compétents et être titulaires d'une habilitation de sécurité nationale et UE de niveau au moins " SECRET ", telle que visée par la loi du 11 décembre 1998.
Art. 6.Les services compétents détachent un nombre suffisant de membres auprès de l'UIP pour pouvoir respecter les obligations qui leur sont imposées en vertu des chapitres 7, 10 et 12 de la loi et de l'article 8 du présent arrêté.
Art. 7.Les services compétents attribuent un code d'identification à leurs membres détachés et aux personnes visées à l'article 5, § 2, alinéa 1er. Ils transmettent la liste reprenant ces codes d'identification au délégué à la protection des données, qui la tient à la disposition de la Commission de la protection de la vie privée, de l'Organe visé à l'article 36ter de la loi relative à la protection de la vie privée, et du Comité permanent R, chacun pour les services pour lesquels ils sont respectivement compétents.
Les services compétents communiquent toute modification à la liste visée à l'alinéa 1er au délégué à la protection des données. Cette liste est mise à jour au moins une fois par an par chaque service compétent.
Art. 8.§ 1er. En cas de multiples correspondances positives ou de correspondance positive commune, les membres détachés des services compétents à l'origine de la ou des correspondances positives s'assurent qu'il y ait une coordination entre les services compétents concernés de la suite utile visée à l'article 24, § 5 de la loi, et assurent, pour cela, les contacts avec leur service compétent.
Les membres détachés des services compétents concernés sont immédiatement et automatiquement mis au courant, en cas de multiples correspondances positives, de l'existence de correspondances positives auprès d'autres services compétents.
Lorsqu'une correspondance positive commune est validée par un membre détaché d'un des services compétents concernés, elle est considérée comme validée par les autres services compétents concernés.
§ 2. Lorsqu'une correspondance positive commune résulte d'une corrélation avec la banque de données visée à l'article 2 de l'arrêté royal du 21 juillet 2016 relatif à la banque de données commune Foreign Terrorist Fighters et portant exécution de certaines dispositions de la section 1erbis "de la gestion des informations" du chapitre IV de la loi sur la fonction de police, les services compétents sont chargés, en application de l'article 6 de la loi du 10 juillet 2006, d'avertir l'Organe de coordination pour l'analyse de la menace visé à l'article 5 de la loi du 10 juillet 2006, de la correspondance positive validée.
Section 2.- Le statut du fonctionnaire dirigeant de l'UIP et des membres du service d'appui
Art. 9.Les dispositions qui sont applicables aux agents de l'Etat sont applicables au fonctionnaire dirigeant de l'UIP et aux membres du service d'appui.
Les dispositions qui sont applicables au personnel engagé par contrat de travail de la fonction publique administrative fédérale, au sens de l'article 1er de la loi du 22 juillet 1993 portant certaines mesures en matière de fonction publique, sont aussi applicables aux membres du service d'appui qui sont ou ont été engagés par contrat de travail.
Art. 10.En dérogation de l'arrêté royal du 7 août 1939 organisant l'évaluation et la carrière des agents de l'Etat, la fonction de fonctionnaire dirigeant de l'UIP est rangée dans la classe A3.
Art. 11.Dès son entrée en fonction, le fonctionnaire dirigeant de l'UIP doit être titulaire d'une habilitation de sécurité nationale et UE de niveau " TRES SECRET ", telle que visée par la loi du 11 décembre 1998.
Dès leur entrée en fonction, les membres du service d'appui doivent être titulaires d'une habilitation de sécurité nationale et UE de niveau au moins " SECRET ", telle que visée par la loi du 11 décembre 1998.
Section 3.- Les membres détachés
Art. 12.Les services compétents lancent au sein de leur propre service, un appel aux candidats, sur la base d'un profil de fonction approuvé au préalable par le fonctionnaire dirigeant de l'UIP.
Après que les services compétents aient sélectionné les candidats les plus aptes sur la base du profil de fonction susmentionné et sur la base d'une connaissance approfondie du fonctionnement de leur service d'origine, les candidats sélectionnés sont soumis à un entretien devant une commission de trois personnes, présidée par le fonctionnaire dirigeant de l'UIP. Cette commission établit, à l'issue de l'entretien, un classement motivé des candidats, sur la base duquel les membres détachés sont désignés.
Art. 13.Au moment de sa désignation, le membre détaché doit remplir les conditions suivantes :
1°être Belge;
2°jouir des droits civils et politiques;
3°[1 posséder, au regard des missions de l'UIP, une expérience utile d'au moins un an ou avoir accompli le stage dans le service d'origine et se montrer prêt à s'investir dans l'analyse des données des passagers ainsi que dans la coopération avec les autres services compétents.]1
----------
(1AR 2024-05-18/25, art. 1, 002; En vigueur : 18-07-2024)
Art. 14.Dès son détachement, le membre détaché doit être titulaire d'une habilitation de sécurité nationale et UE de niveau au moins " SECRET " telle que visée par la loi du 11 décembre 1998.
Art. 15.[1 Le détachement est effectué pour une durée de cinq ans. Il peut être prolongé, sur décision conjointe du membre détaché, du fonctionnaire dirigeant de l'UIP et du service d'origine, par période de maximum cinq ans.]1
----------
(1AR 2024-05-18/25, art. 2, 002; En vigueur : 18-07-2024)
Art. 16.La période de détachement est assimilée à une période d'activité de service.
Art. 17.Durant la période de détachement, le service compétent continue à prendre en charge le coût salarial global du membre détaché, y compris la rémunération, les allocations, les indemnités, les primes et les avantages de toute nature, ainsi que les cotisations patronales de sécurité sociale.
Art. 18.Le fonctionnaire dirigeant de l'UIP envoie au service compétent concerné un rapport relatif à tout fait commis lors du détachement susceptible de donner lieu à l'ouverture d'une procédure disciplinaire.
Art. 19.Le fonctionnaire dirigeant de l'UIP transmet, pour chaque membre détaché, les données d'évaluation demandées par le service compétent concerné.
Art. 20.§ 1er. Le détachement prend en tous les cas fin :
1°au terme de la période de [1 cinq]1 ans, sauf prolongation;
2°sur décision motivée du fonctionnaire dirigeant de l'UIP;
3°lorsque l'intéressé n'est plus détenteur de l'habilitation de sécurité exigée à l'article 14;
4°lorsqu'une des conditions visées à l'article 13 n'est plus remplie;
5°sur décision motivée du service d'origine, moyennant un préavis de trois mois; ce délai peut être réduit de commun accord avec le fonctionnaire dirigeant de l'UIP;
6°sur demande du membre détaché, moyennant un préavis de trois mois; ce délai peut être réduit de commun accord avec le fonctionnaire dirigeant de l'UIP et avec le service d'origine. Le service compétent concerné, visé à l'article 14, § 1er, 2° de la loi, assure le remplacement du membre détaché afin de garantir le respect de l'article 6.
§ 2. Tout manquement aux articles 48 et 49 de la loi, aux missions confiées à l'UIP, aux exigences en matière d'habilitation de sécurité ou tout acte ou comportement, même en dehors de l'exercice de la fonction, qui constitue un manquement aux obligations professionnelles ou qui est de nature à mettre en péril la dignité de la fonction, est dûment établi par le fonctionnaire dirigeant de l'UIP, et permet de mettre fin au détachement par le service compétent concerné.
----------
(1AR 2024-05-18/25, art. 3, 002; En vigueur : 18-07-2024)
Art. 21.A la fin du détachement, le membre détaché réintègre son service compétent d'origine.
Chapitre 3.- Le délégué à la protection des données
Section 1ère.- La fonction du délégué à la protection des données
Art. 22.Le délégué à la protection des données a une mission générale d'avis, de contrôle, de formation et de coopération.
Art. 23.§ 1er. Le délégué à la protection des données doit faire preuve des qualités personnelles et professionnelles nécessaires à l'accomplissement des missions visées à l'article 44 de la loi et à l'article 27 du présent arrêté.
Il doit, en particulier, posséder des connaissances du droit et des pratiques en matière de protection des données, ainsi que dans le domaine de la sécurité des systèmes d'information.
§ 2. Le délégué à la protection des données doit, dès sa désignation, être titulaire d'une habilitation de sécurité nationale et UE de niveau " TRES SECRET " telle que visée par la loi du 11 décembre 1998.
Art. 24.Le fonctionnaire dirigeant de l'UIP veille à ce qu'il n'y ait pas de conflit d'intérêts lors de la désignation du délégué à la protection des données visée à l'article 44, § 1er de la loi.
Dans le cadre de l'exécution de ses missions, le délégué à la protection des données indique au fonctionnaire dirigeant de l'UIP qu'un conflit d'intérêts est susceptible de survenir.
Art. 25.§ 1er. Le délégué à la protection des données est protégé contre toutes influences et/ou pressions inappropriées de toute personne et de quelque manière que ce soit, directement ou indirectement, en particulier contre toutes pressions visant à obtenir des informations concernant ou pouvant concerner l'exercice de sa fonction.
L'exercice de ses missions ne peut constituer un obstacle à la carrière du délégué à la protection des données.
§ 2. L'employeur ne peut ni rompre le contrat du délégué à la protection des données, ni mettre fin à son occupation statutaire, ni l'écarter de sa fonction pour des motifs liés à l'exercice de sa fonction, à moins qu'il n'y ait des raisons desquelles il ressort qu'il n'est plus compétent pour exercer ses missions correctement.
§ 3. Le délégué à la protection des données ne reçoit pas d'instructions dans le cadre de ses missions de contrôle.
Art. 26.Le délégué à la protection des données obtient du Service Public Fédéral Intérieur les ressources nécessaires à l'exécution de ses missions. Il reçoit du fonctionnaire dirigeant de l'UIP et des services compétents toute information nécessaire à l'exercice de ses missions.
Section 2.- Les autres missions relatives à la protection de la vie privée et à la sécurisation
Art. 27.Les missions supplémentaires du délégué à la protection des données visées à l'article 44, § 2, 7° de la loi sont les suivantes :
1. gérer la documentation nécessaire à la protection des données à caractère personnel;
2. veiller au respect des obligations nationales et européennes en matière de protection des données à caractère personnel;
3. veiller à la sensibilisation des membres de l'UIP à la protection des données à caractère personnel et, en particulier, coopérer avec le personnel chargé des procédures, de la formation et du conseil en matière de sécurité et de traitement des données;
4. veiller à la rédaction des modalités de coopération avec les délégués à la protection des données des unités d'information des passagers des autres Etats membres et des Etats tiers, afin d'établir un cadre normatif commun permettant l'échange d'informations et de données de manière sécurisée;
5. organiser et préparer des évaluations des risques internes et externes pour la sécurité des données à caractère personnel et pour l'exercice des droits des personnes concernées;
6. organiser, préparer et exécuter des audits internes;
7. répondre aux demandes de la Commission de la protection de la vie privée et, en particulier, les demandes visées à l'article 13 de la loi relative à la protection de la vie privée, ainsi qu'aux demandes de l'Organe visé à l'article 36ter de la loi relative à la protection de la vie privée, et du Comité permanent R;
8. coopérer, dans son domaine de compétence, avec la Commission de la protection de la vie privée ainsi qu'avec l'Organe visé à l'article 36ter de la loi relative à la protection de la vie privée, et avec le Comité permanent R.
Section 3.- Les modalités d'exécution de ses missions
Art. 28.Le délégué à la protection des données rédige, en exécution de l'article 44, § 2, 5° de la loi, un plan de sécurisation et de protection de la vie privée pour une durée de trois ans, en cohérence avec le plan de sécurité visé à l'article 7 de l'arrêté royal du 17 mars 2013 relatif aux conseillers en sécurité institués par la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral. Ce plan spécifie sur base annuelle les moyens nécessaires à sa mise en oeuvre. Le délégué à la protection des données adresse ce plan au fonctionnaire dirigeant de l'UIP.
Le plan visé à l'alinéa 1er est revu au moins annuellement et est adapté si nécessaire.
Art. 29.Les données d'identification et les coordonnées du délégué à la protection des données, ainsi que les modifications ultérieures de ces données sont communiquées à la Commission de la protection de la vie privée, dans le mois de sa désignation par l'UIP en vertu de l'article 44, § 1er, de la loi.
Les coordonnées professionnelles du délégué à la protection des données, comprenant au moins une adresse postale et une adresse électronique, sont publiées de manière à être accessibles, au moins de manière électronique, aux passagers dont les données sont traitées conformément à la loi.
Art. 30.§ 1er. Le délégué à la protection des données conseille le fonctionnaire dirigeant de l'UIP, à la demande de celui-ci ou de sa propre initiative, au sujet de tous les aspects de la protection et la sécurisation des données à caractère personnel et de la protection de la vie privée, et fait les recommandations nécessaires.
Il communique par écrit tous les manquements constatés en matière de protection et sécurisation des données à caractère personnel et de protection de la vie privée au fonctionnaire dirigeant de l'UIP, assortis des avis nécessaires pour prévenir à l'avenir de tels manquements.
§ 2. Lorsque les risques visés à l'article 27, 5°, sont suffisamment importants, les avis s'expriment par écrit et sont motivés. Dans le délai requis par les circonstances, mais au maximum dans le mois, le fonctionnaire dirigeant de l'UIP communique sa décision au délégué à la protection des données. Si sa décision s'écarte d'un avis écrit, elle doit être motivée et communiquée par écrit.
Art. 31.Le délégué à la protection des données rédige annuellement le rapport visé à l'article 44, § 3 de la loi, à l'attention du fonctionnaire dirigeant de l'UIP et, via sa voie hiérarchique, du ministre de l'Intérieur. Ce rapport comprend au moins :
1°un aperçu général de la situation en matière de protection et de sécurité des données à caractère personnel, de l'évolution au cours de l'année écoulée et des objectifs qui doivent encore être atteints;
2°un résumé des avis écrits, transmis au fonctionnaire dirigeant de l'UIP, et de la suite qui y a été réservée.
Art. 32.Les avis, plans et recommandations du délégué à la protection des données sont tenus à la disposition de la Commission de la protection de la vie privée.
Chapitre 4.- Dispositions finales
Art. 33.Le ministre qui a l'Intérieur dans ses attributions, le ministre qui a la Justice dans ses attributions, le ministre qui a les Finances dans ses attributions, le ministre qui a la Défense dans ses attributions et le ministre qui a la Fonction publique dans ses attributions sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.