Récemment et suite à la nouvelle législation belge en matière de vie privée, la loi instituant le comité de sécurité de l'information a également été publiée au Moniteur belge. Il s’agit de l’étape suivante que la Belgique franchit dans le cadre de la mise en œuvre de la législation en matière de vie privée après la loi instituant l’APD (Autorité de Protection des Données).

1. Qu’apporte la loi belge en matière de vie privée ?

La nouvelle loi en matière de vie privée abolit définitivement la loi de 1992 et exécute certains aspects du RGPD

La loi s’applique au traitement des données à caractère personnel dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant:

  • Sur le territoire belge, que le traitement ait lieu ou non sur le territoire belge (sauf lorsque le responsable du traitement est établi dans un autre Etat membre de l’UE et fait appel à un sous-traitant établi sur le territoire belge, pour autant que le traitement a lieu sur le territoire de cet Etat membre); ou
  • Qui n’est pas établi sur le territoire de l’UE mais s’occupe du traitement de données à caractère personnel de personnes qui se trouvent sur le territoire belge lorsque les activités de traitement sont liées :
    • à l’offre de biens ou de services à ces personnes concernées sur le territoire belge, qu’un paiement soit exigé ou non desdites personnes; ou
    • au suivi du comportement des personnes concernées sur le territoire belge.

La loi règle entre autres les questions suivantes:

  • Un enfant a le droit de donner son consentement pour le traitement de ses données à caractère personnel à partir de l’âge de 13 ans;
  • Une liste des traitements des données à caractère personnel qui sont considérés nécessaires pour des motifs d’intérêts publics importants ;
  • Les mesures supplémentaires à prendre lors du traitement des données génétiques, biométriques ou des données concernant la santé ;
  • La liste des personnes qui ou les situations dans lesquelles le traitement des données relatives aux condamnations pénales et aux infractions pénales et aux mesures de sûreté connexes peut être effectué, ce qui est entre autres autorisé aux avocats ou d’autres conseils juridiques pour autant que la défense de l’intérêt de leur client l’exige ;
  • L’obligation d’adopter un protocole avec toute autre instance avec laquelle le gouvernement fédéral partage des données à caractère personnel.

Le responsable du traitement ou le sous-traitant sont tenus d’établir une liste des catégories de personnes ayant accès au données qui sont considérées comme nécessaires pour des motifs d’intérêts publics importants, des données génétiques, biométriques ou des données concernant la santé et des données relatives aux condamnations pénales et aux infractions pénales et aux mesures de sûreté connexes. Cette liste doit être tenue à la disposition de l’Autorité de Protection des Données (APD). Ils doivent également veiller à ce que ces personnes soient tenues au respect du caractère confidentiel de ces données.

La loi prévoit des sanctions administratives et pénales.

La loi est entrée en vigueur le 5 septembre 2018 sauf pour ce qui concerne l'obligation d’adopter un protocole avec toute autre instance avec laquelle le gouvernement fédéral partage des données à caractère personnel qui entre en vigueur six mois plus tard.

2. Que nous apporte le comité de sécurité de l'information ?

Cet organe a été créé entre autres pour compenser l’abolition des comités sectoriels de l’ancienne commission vie privée.

Le comité de sécurité de l’information est constitué d’une chambre sécurité sociale et d’une chambre autorité fédérale et est composé de 8 membres effectifs avec certaines compétences, désignés par la Chambre des représentants.

Le comité aura entre autres comme tâches de vérifier de façon préventive si les communications de données à caractère personnel au sein du gouvernement fédéral, via la Banque-carrefour de la sécurité sociale ou des données concernant la santé répondent aux principes du RGPD et d’octroyer des délibérations à ce sujet.

Ces délibérations ont une portée générale contraignante entre les parties et envers les tiers et elles ne peuvent pas être contraires aux normes juridiques supérieures.

L’APD peut confronter ces délibérations aux normes juridiques supérieures et peut demander au comité de sécurité de l’information de reconsidérer, uniquement pour le futur, une délibération sur les points qu’elle a indiqués.