Texte 2019012301
Article 1er.Sans préjudice des conditions légalement posées par ailleurs, aucune institution intervenant pour compte d'un redevable d'information ne peut poser les actes visés à l'article 12, § 1er, alinéa 1er, 3° de la loi du 8 juillet 2018 portant organisation d'un point de contact central des comptes et contrats financiers et portant extension de l'accès du fichier central des avis de saisie, de délégation, de cession, de règlement collectif de dettes et de protêt, et communiquer à ce dernier les numéros de registre national qu'elle a recueillis dans ce cadre, si, au moment d'initier cette recherche, elle ne dispose pas de garanties suffisantes :
(a) quant au respect des conditions auxquelles doivent satisfaire les conseillers en sécurité de l'information désignés par les redevables d'information. Ces conditions sont au moins les suivantes :
(1) le conseiller en sécurité de l'information doit avoir été désigné sur la base de ses qualités professionnelles et de ses connaissances spécialisées, en particulier, en ce qui concerne les bonnes pratiques en matière de protection des données et le droit applicable dans le contexte, de l'environnement informatique du redevable d'information, ainsi qu'en matière de sécurité de l'information. Le conseiller en sécurité de l'information doit en permanence tenir ces connaissances à jour ;
(2) Le conseiller en sécurité de l'information fait directement rapport à la direction générale, au comité de direction ou aux personnes chargées de la direction quotidienne du redevable d'information ;
(3) Il ne peut pas y avoir de conflit d'intérêts entre la fonction de conseiller en sécurité de l'information et d'autres activités incompatibles avec cette fonction. En particulier, celle-ci ne peut pas être cumulée avec celle de responsable final du service informatique, de personne chargée de la direction quotidienne, ou de membre de la direction générale ou du comité de direction du redevable d'information ;
(4) Le redevable d'information doit veiller à ce que le conseiller en sécurité de l'information puisse exercer ses missions en toute indépendance et à ne pas lui donner d'instruction sur la manière de s'en acquitter. Le conseiller en sécurité de l'information ne peut en aucun cas être relevé de ses fonctions ou pénalisé du fait de l'exercice de ses missions ;
(5) Si les tâches de conseiller en sécurité de l'information sont réparties entre plusieurs personnes, la responsabilité finale doit en être confiée à une d'entre elles en vue de faire rapport à la direction générale, au comité de direction ou aux personnes chargées de la direction quotidienne du redevable d'information quant aux activités communes et pour assumer le rôle de personne de contact ;
(6) Le redevable d'information doit donner au conseiller en sécurité de l'information les ressources et le temps nécessaires pour exercer ses missions et lui permettre d'entretenir ses connaissances.
(b) quant aux mesures de protection de la sécurité de l'information prises par les redevables d'information. Ces mesures sont au moins les suivantes :
(1) une évaluation préalable des risques encourus par les données à caractère personnel traitées et la définition des besoins en sécurité en découlant ;
(2) la rédaction d'un document de politique de sécurité décrivant les stratégies et les mesures retenues pour sécuriser les données à caractère personnel traitées ;
(3) l'identification de tous les supports d'information susceptibles de contenir les données à caractère personnel traitées ;
(4) l'information du personnel externe et interne impliqué dans le traitement des données à caractère personnel traitées quant à ses devoirs de confidentialité et de sécurité vis-à-vis de ces données tels qu'ils découlent tant des différentes dispositions légales applicables que de la politique de sécurité suivie ;
(5) l'adoption de mesures de sécurisation adéquates en vue d'empêcher tout accès physique non autorisé ou inutile aux supports d'information qui contiennent les données à caractère personnel traitées ;
(6) l'adoption des mesures nécessaires afin de prévenir tout dommage physique susceptible de mettre en péril les données à caractère personnel traitées ;
(7) la protection des différents réseaux auxquels sont connectés les équipements traitant les données à caractère personnel ;
(8) la tenue d'une liste actualisée des différentes personnes habilitées à accéder aux données à caractère personnel dans le cadre du traitement ainsi que de leur niveau d'accès respectif (création, consultation, modification, destruction) ;
(9) la mise en place d'un mécanisme d'autorisation d'accès aux données conçu de manière telle que les données à caractère personnel traitées et les traitements qui s'y rapportent ne soient accessibles qu'aux personnes et applications explicitement habilitées à cette fin ;
(10) la mise en place d'un système d'information permettant en permanence l'enregistrement, le traçage et l'analyse des accès des personnes et entités logiques aux données à caractère personnel traitées ;
(11) la mise en place d'un contrôle de la validité et de l'efficacité dans le temps des mesures techniques ou opérationnelles mises en place ;
(12) la mise en place de procédures de secours en vue de gérer les incidents de sécurité impliquant les données à caractère personnel traitées ;
(13) la constitution et la tenue à jour d'une documentation suffisante se rapportant à l'organisation de la sécurité de l'information dans le cadre du traitement de données à caractère personnel concerné.
Art. 2.L'institution visée à l'article 1er dispose de compétences d'audit en ce qui concerne le respect des mesures et conditions visées à l'article 1er. Ces compétences englobent la possibilité d'effectuer tant des vérifications préalables que des contrôles a posteriori, par exemple par le biais d'audits ponctuels réalisés auprès des redevables d'information.
A cette fin, l'institution visée à l'article 1er enregistre et conserve dans son système informatique, pour chaque recherche d'information effectuée dans les fichiers du Registre national des personnes physiques pour compte du redevable d'information, les données suivantes durant une période de dix ans suivant la date de cette recherche :
(1) le numéro de registre national des personnes physiques sur lesquelles la recherche portait ;
(2) l'identification du redevable d'information et du préposé de ce dernier qui a demandé cette recherche ; et
(3) le motif de cette recherche.
Art. 3.L'arrêté royal du 3 février 2014 autorisant la Banque Nationale de Belgique et les établissements de banque, de change, de crédit et d'épargne visés à l'article 322 du code des impôts sur les revenus 1992 à accéder temporairement au Registre national des personnes physiques, est abrogé.
Art. 4.Les ministres qui ont les Finances, l'Intérieur et la Justice dans leurs attributions sont chargés de l'exécution du présent arrêté, chacun pour ce qui le concerne.