Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel

Anexos

Arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

 

CHAPITRE I.- Définitions.

 

Article 1. Pour l'application du présent arrêté, on entend par :

“la loi” : la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

“la Commission” : la Commission de la protection de la vie privée;

“données à caractère personnel codées” : les données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que par l'intermédiaire d'un code;

“données à caractère personnel non codées” : les données à caractère personnel qui ne sont pas codées;

“données anonymes” : les données qui ne peuvent être mises en relation avec une personne identifiée ou identifiable et qui ne sont donc pas des données à caractère personnel;

“organisation intermédiaire” : la personne physique ou morale, l'association de fait ou l'administration publique, autre que le responsable du traitement des données non codées, qui code les données.

 

CHAPITRE II.- Traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques.

 

Section I.- Principes généraux.

 

Article 2.- Le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques est réputé compatible au sens de l'article 4, § 1er, 2°, deuxième phrase, de la loi lorsqu'il est effectué aux conditions fixées par le présent chapitre.

La conservation des données à caractère personnel à des fins historiques, statistiques ou scientifiques, visée à l'article 4, § 1er, 5°, deuxième phrase, de la loi, est autorisée aux conditions déterminées par le présent chapitre.

 

Article 3. Le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques est effectué à l'aide de données anonymes.

 

Article 4. Si un traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, statistiques ou scientifiques, le responsable du traitement ultérieur à des fins historiques, statistiques ou scientifiques peut traiter des données à caractère personnel codées, conformément aux dispositions de la Section 2 du présent chapitre.

Dans ce cas, il mentionne, dans la déclaration du traitement faite en vertu de l'article 17 de la loi, les motifs pour lesquels le traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, statistiques ou scientifiques.

 

Article 5. Si un traitement ultérieur de données codées ne permet pas d'atteindre les fins historiques, statistiques ou scientifiques, le responsable du traitement ultérieur peut traiter des données à caractère personnel non codées, conformément aux dispositions de la Section 3 du présent chapitre.

Dans ce cas, il mentionne, dans la déclaration du traitement faite en vertu de l'article 17 de la loi, les motifs pour lesquels le traitement ultérieur de données codées ne permet pas d'atteindre les fins historiques, statistiques ou scientifiques.

 

Article 6. Le responsable du traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques n'entreprendra aucune action pour convertir des données anonymes en données à caractère personnel ou des données à caractère personnel codées en données a caractère personnel non codées.

 

Section II.- Traitement de données à caractère personnel codées.

 

Article 7. Les données à caractère personnel sont codées avant tout traitement ultérieur à des fins historiques, statistiques ou scientifiques.

Article 8.- Lorsque le responsable d'un traitement de données à caractère personnel, collectées pour des finalités déterminées, explicites et légitimes, traite ultérieurement ces données à caractère personnel à des fins historiques, statistiques ou scientifiques, ou confie ce traitement ultérieur à un sous-traitant, ces données a caractère personnel sont, préalablement à leur traitement ultérieur, codées soit par le responsable du traitement des données lui-même, soit par le sous-traitant lui-même, soit par une organisation intermédiaire.

Dans ce dernier cas, l'organisation intermédiaire est un sous-traitant au sens de l'article 1er, § 5, de la loi.

 

Article 9. Lorsque le responsable d'un traitement de données à caractère personnel, collectées pour des finalités déterminées, explicites et légitimes, communique ces données à caractère personnel à un tiers, en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques, ces données à caractère personnel sont, préalablement à leur communication, codées par le responsable du traitement ou par une organisation intermédiaire.

Dans ce cas, l'organisation intermédiaire est un sous-traitant au sens de l'article 1er, § 5, de la loi.

 

Article 10.- Lorsque plusieurs responsables de traitements de données à caractère personnel, collectées à des fins déterminées, explicites et légitimes, communiquent, au(x) même(s) tiers, des données à caractère personnel, en vue de leur traitement ultérieur à des fins, historiques, statistiques ou scientifiques, ces données à caractère personnel sont, préalablement à leur communication, codées par une organisation intermédiaire.

Dans ce cas, l'organisation intermédiaire est un responsable du traitement au sens de l'article 1er, § 4, de la loi.

 

Article 11. L'organisation intermédiaire est indépendante du responsable du traitement ultérieur des données à caractère personnel à des fins historiques, statistiques ou scientifiques.

Article 12.- Le responsable du traitement de données à caractère personnel, collectées à des fins déterminées, explicites et légitimes, et l'organisation intermédiaire, qui codent les données en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques, prennent des mesures techniques et organisationnelles adéquates, afin d'empêcher la conversion des données codées en données non codées.

 

Article 13. Le responsable du traitement de données à caractère personnel, collectées à des fins déterminées, explicites et légitimes, et l'organisation intermédiaire ne peuvent communiquer des données codées, en vue de leur traitement ultérieur à des fins historiques, statistiques ou scientifiques, que sur présentation, par le responsable du traitement ultérieur, de l'accusé de réception d'une déclaration complète, délivré par la Commission, conformément à l'article 17, § 2, de la loi.

Article 14.- Le responsable du traitement de données à caractère personnel, collectées à des fins déterminées, explicites et légitimes, ou l'organisation intermédiaire doit, préalablement au codage de données visées aux articles 6 à 8 de la loi, communiquer, à la personne concernée, les informations suivantes :

– l'identité du responsable du traitement;

– les catégories de données à caractère personnel qui sont traitées;

– l'origine des données;

– une description précise des fins historiques, statistiques ou scientifiques du traitement;

– les destinataires ou les catégories de destinataires des données à caractère personnel;

– l'existence d'un droit d'accès aux données à caractère personnel qui la concernent et d'un droit de rectification de ces données;

– l'existence d'un droit d'opposition de la personne concernée.

 

Article 15. Le responsable du traitement de données à caractère personnel, collectées pour des fins déterminées, explicites et légitimes, et l'organisation intermédiaire ne doivent pas satisfaire a l'obligation instituée par l'article 14 du présent arrêté lorsque cette obligation se révèle impossible ou implique des efforts disproportionnés et qu'ils se sont conformés à la procédure déterminée à l'article 16 du présent arrêté.

Le responsable du traitement de données à caractère personnel, collectées pour des fins déterminées, explicites et légitimes, et l'organisation intermédiaire ne doivent pas satisfaire à l'obligation instituée à l'article 14 du présent arrêté lorsque l'organisation intermédiaire est une autorité administrative chargée, explicitement par ou en vertu de la loi, de rassembler et de coder des données à caractère personnel et soumise, à cet égard, à des mesures spécifiques visant à protéger la vie privée, instituées par ou en vertu de la loi.

 

Article 16. Le responsable du traitement de données à caractère personnel, collectées pour des fins déterminées, explicites et légitimes, ou l'organisation intermédiaire, qui souhaite coder les données visées aux articles 6 à 8 de la loi, sans informer, au préalable, la personne concernée, complètent la déclaration requise par l'article 17 de la loi par les informations suivantes :

1° une description précise des fins historiques, statistiques ou scientifiques du traitement;

2° les motifs justifiant le traitement de données visées aux articles 6 à 8 de la loi;

3° les motifs justifiant l'impossibilité de communiquer, à la personne concernée, les informations mentionnées à l'article 14 ou le caractère disproportionné des efforts nécessaires pour communiquer ces informations;

4° les catégories de personnes à propos desquelles des données à caractère personnel, visées à l'article 6 à 8 de la loi, sont traitées;

5° les personnes ou les catégories de personnes qui ont accès aux données à caractère personnel;

6° l'origine des données.

Endéans une période de quarante-cinq jours ouvrables à dater de la réception de la déclaration, la Commission communique, au responsable du traitement ou à l'organisation intermédiaire, une recommandation, éventuellement accompagnée de conditions supplémentaires à respecter lors du traitement ultérieur des données a caractère personnel codées visées à l'article 6 à 8 de la loi, à des fins historiques, statistiques ou scientifiques.

Le délai, prévu à l'alinéa deux, peut être prolongé une fois pour une durée de quarante-cinq jours ouvrables. La Commission informe le responsable du traitement, avant l'expiration du premier délai, de ce qu'elle prolonge le premier délai.

Si la Commission n'a pas communiqué sa recommandation à l'expiration des délais prévus dans cet article, la requête est considérée acceptée.

La Commission publie sa recommandation dans le registre visé à l'article 18 de la loi.

 

Article 17.- Toute modification aux informations, communiquées en vertu de l'article 16 du présent arrêté par le responsable du traitement a la Commission, doit être communiquée par ce dernier à la Commission.

 

Section III.- Traitement de données à caractère personnel non codées.

 

Article 18.- Préalablement au traitement ultérieur de données à caractère personnel non codées à des fins historiques, statistiques ou scientifiques, le responsable du traitement ultérieur communique les informations suivantes à la personne concernée :

1° l'identité du responsable du traitement;

2° les catégories de données à caractère personnel qui sont traitées;

3° l'origine des données;

4° une description précise des fins historiques, statistiques ou scientifiques du traitement;

5° les destinataires ou les catégories de destinataires des données à caractère personnel;

6° l'existence d'un droit d'accès aux données a caractère personnel qui la concernent et d'un droit de rectification de ces données;

7° l'existence de l'obligation d'obtenir le consentement préalable de la personne concernée au traitement de données à caractère personnel non codées à des fins historiques, statistiques ou scientifiques.

 

Article 19. La personne concernée doit, préalablement au traitement ultérieur de données à caractère personnel non codées qui la concernent à des fins historiques, statistiques ou scientifiques, consentir expressément a ce traitement.

Article 20. Le responsable du traitement ultérieur de données à caractère personnel non codées à des fins historiques, statistiques ou scientifiques ne doit pas satisfaire aux obligations imposées par les articles 18 et 19 du présent arrêté :

1° lorsque le traitement ultérieur à des fins historiques, statistiques ou scientifiques se limite à des données à caractère personnel non codées, rendues manifestement publiques par la personne concernée ou à des données qui sont en relation étroite avec le caractère public de la personne concernée ou des faits dans lesquels celle-ci est ou a été impliquée, ou;

2° lorsque ces obligations se révèlent impossibles ou requièrent des efforts disproportionnés et qu'il s'est conformé à la procédure déterminée à l'article 21 du présent arrêté.

 

Article 21. Le responsable du traitement ultérieur de données a caractère personnel non codées à des fins historiques, statistiques ou scientifiques, qui souhaite traiter ces données, sans information préalable de la personne concernée et sans le consentement de celle-ci, complète la déclaration requise par l'article 17 de la loi par les informations suivantes :

1° une description précise des fins historiques, statistiques ou scientifiques du traitement;

2° les raisons qui nécessitent le traitement de données à caractère personnel non codées;

3° les motifs justifiant l'impossibilité d'obtenir le consentement informée de la personne concernée ou le caractère disproportionné des efforts nécessaires pour obtenir ce consentement;

4° les catégories de personnes à propos desquelles des données a caractère personnel non codées sont traitées;

5° les personnes ou les catégories de personnes qui ont accès aux données à caractère personnel non codées;

6° l'origine des données.Endéans les quarante-cinq jours ouvrables à dater de la réception de la déclaration, la Commission adresse, au responsable du traitement ultérieur, une recommandation, éventuellement accompagnée de conditions supplémentaires à respecter lors du traitement ultérieur des données à caractère personnel non codées à des fins historiques, statistiques ou scientifiques.

Le délai, prévu à l'alinéa deux, peut être prolongé une fois pour une durée de quarante-cinq jours ouvrables. La Commission informe le responsable du traitement ultérieur, avant l'expiration du premier délai, de ce qu'elle prolonge le premier délai.

Si la Commission n'a pas communiqué sa recommandation à l'expiration des délais prévus dans cet article, la requête est considérée acceptée.

La Commission publie sa recommandation dans le registre visé à l'article 18 de la loi.

 

Article 22.- Toute modification aux informations, communiquées en vertu de l'article 21 du présent arrêté par le responsable du traitement à la Commission, doit être préalablement communiquée par ce dernier à la Commission.

 

Section IV.- Publication des résultats du traitement.

 

Article 23.- Les résultats du traitement à des fins historiques, statistiques ou scientifiques ne peuvent être rendus publics sous une forme qui permet l'identification de la personne concernée, sauf si :

1° la personne concernée a donné son consentement et qu'il ne soit porté atteinte à la vie privée de tiers, ou;

2° la publication de données à caractère personnel non codées est limitée à des données manifestement rendues publiques par la personne concernée elle-même ou ayant une relation étroite avec le caractère public de la personne concernée ou des faits dans lesquelles celle-ci est ou a été impliquée.

 

Section V.- Exception.

 

Article 24. Le Chapitre II du présent arrêté n'est pas applicable aux services et autorités visées à l'article 3, § 4, de la loi qui effectuent un traitement ultérieur à des fins historiques, statistiques ou scientifiques.

CHAPITRE III.- Conditions pour le traitement de données à caractère personnel visées aux articles 6 à 8 de la loi.

 

Article 25. Lors du traitement de données à caractère personnel visées aux articles 6 à 8 de la loi, le responsable du traitement doit prendre les mesures supplémentaires suivantes :

1° les catégories de personnes, ayant accès aux données à caractère personnel, doivent être désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées;

2° la liste des catégories des personnes ainsi désignées doit être tenue à la disposition de la Commission par le responsable du traitement ou, le cas échéant, par le sous-traitant;

3° il doit veiller à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées;

4° lorsque l'information, due en vertu de l'article 9 de la loi, est communiquée à la personne concernée ou lors de la déclaration visée a l'article 17, § 1er, de la loi, le responsable du traitement doit mentionner la base légale ou réglementaire autorisant le traitement de données à caractère personnel visées aux articles 6 à 8 de la loi.

 

Article 26. Lorsque le traitement de données à caractère personnel, visées à l'article 6 et 7 de la loi, est exclusivement autorisé par le consentement, par écrit, de la personne concernée, le responsable du traitement doit préalablement communiquer, à la personne concernée, en sus des informations dues en vertu de l'article 9 de la loi, les motifs pour lesquelles ces données sont traitées, ainsi que la liste des catégories de personnes ayant accès aux données à caractère personnel.

Article 27. Lorsque le traitement de données à caractère personnel, visées aux articles 6 et 7 de la loi, est exclusivement autorisé par le consentement écrit de la personne concernée, ce traitement est, néanmoins, interdit lorsque le responsable du traitement est l'employeur présent ou potentiel de la personne concernée ou lorsque la personne concernée se trouve dans une situation de dépendance vis-à-vis du responsable du traitement qui l'empêche de refuser librement son consentement.

Cette interdiction est levée lorsque le traitement vise l'octroi d'un avantage à la personne concernée.

 

CHAPITRE IV.- Conditions pour l'exemption de l'obligation d'information visée à l'article 9, § 2, de la loi.

 

Article 28. Le responsable du traitement ultérieur à des fins historiques, statistiques ou scientifiques, qui traite exclusivement des données codées, est exempté de l'obligation d'information, instituée à l'article 9, § 2, de la loi, sous condition du respect des dispositions du Chapitre II, Section II du présent arrêté.

Article 29. Une autorité administrative, chargée explicitement, par ou en vertu de la loi, de rassembler et de coder les données à caractère personnel et soumise, à cet égard, à des mesures spécifiques visant à protéger la vie privée, instituées par ou en vertu de la loi, est exemptée de l'obligation d'information, instituée par l'article 9, § 2, de la loi, lorsqu'elle agit en tant qu'organisation intermédiaire.

 

Article 30. Le responsable du traitement, qui, en dehors des cas visés aux articles 28 et 29 du présent arrêté, se prévaut d'une exemption à l'obligation d'information, à l'article 9, § 2, de la loi, au motif que cette information se révèle impossible ou implique des efforts disproportionnés, communique cette information, à la première prise de contact, avec la personne concernée.

Lorsque le responsable du traitement, visé à l'alinéa 1er, communique les données à caractère personnel à un tiers, l'information, visée à l'article 9, § 2, est communiquée, par ce tiers, lors la première prise de contact entre ce tiers et la personne concernée.

 

Article 31. Le responsable du traitement, qui ne peut pas informer la personne concernée, au motif que cette information se révèle impossible ou demande des efforts disproportionnés, justifie cette impossibilité, dans la déclaration faite à la Commission, sur la base de l'article 17 de la loi.

La Commission publie la liste des responsables du traitement dans le registre public visé à l'article 18 de la loi, avec la mention des motifs justifiant la dispense.

 

CHAPITRE V.- Exercice des droits visés aux articles 10 et 12 de la loi.

 

Article 32.- Toute personne, justifiant de son identité, a le droit d'obtenir, dans les conditions prévues par la loi, communication de l'information visée à l'article 10 de la loi, en adressant une demande signée et datée qu'elle remet sur place ou qu'elle envoie par la poste, ou par tout moyen de télécommunication :

– soit au responsable du traitement ou à son représentant en Belgique, ou à l'un de ses mandataires ou préposés;

– soit au sous-traitant du traitement des données à caractère personnel qui la communique, le cas échéant, à une des personnes mentionnées ci-dessus.

En cas de remise de la demande sur place, la personne, qui la reçoit, délivre immédiatement un accusé de réception daté et signé à l'auteur de la demande.

 

Article 33. Les demandes de rectification, de suppression ou d'interdiction des données à caractère personnel, ou la communication d'une opposition, fondée sur l'article 12 de la loi, sont introduites selon la même procédure et auprès des mêmes personnes que celles mentionnées à l'article 32 du présent arrêté.

Article 34. Lorsque des données à caractère personnel sont collectées, par écrit, auprès de la personne concernée, le responsable du traitement demande, à celle-ci, sur le document grâce auquel il collecte ses données, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi.

Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, autrement que par écrit, le responsable du traitement demande, à celle-ci, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi, soit sur un document qu'il lui communique à cette fin au plus tard deux mois après la collecte des données à caractère personnel, soit par tout moyen technique qui permet de conserver la preuve que la personne concernée a eu la possibilité d'exercer son droit.

 

Article 35. Lorsque les données à caractère personnel ne sont pas obtenues auprès de la personne concernée, le responsable du traitement, soumis à l'article 9, § 2, c), de la loi, lui demande, par écrit, si elle souhaite exercer le droit d'opposition, institué à l'article 12, § 1er, alinéa 3, de la loi.

CHAPITRE VI.- Exercice du droit visé à l'article 13 de la loi.

 

Article 36. Le présent chapitre détermine la procédure relative aux demandes introduites en vertu de l'article 13 de la loi.

 

Article 37. La demande est introduite par la personne concernée auprès de la Commission par courrier daté et signé. La demande contient : le nom, le prénom, la date de naissance, la nationalité de la personne concernée, ainsi qu'une photocopie de la carte d'identité, du passeport ou du document qui en tient lieu.

La demande contient, en outre et dans la mesure où le demandeur dispose de ces informations :

– la désignation de l'autorité ou du service concerné;

– tous les éléments pertinents concernant les données contestées, tels que leur nature, les circonstances ou l'origine de la prise de connaissance des données contestées, ainsi que les rectifications éventuellement souhaitées.

 

Article 38.- La Commission peut demander, à la personne concernée, tous renseignements complémentaires qu'elle estime utile.

 

Article 39.- A défaut des éléments mentionnés aux articles 37 et 38 du présent arrêté, la demande pourra être considérée comme irrecevable.

 

Article 40. La demande est irrecevable si elle est introduite dans un délai inférieur à un an à compter de la date d'envoi de la précédente réponse de la Commission concernant les même données et les mêmes services.

Il peut être dérogé à ce délai, à charge pour la personne intéressée d'exposer, dans sa demande, les motifs justifiant cette dérogation.

 

Article 41. Lorsque la demande est considérée comme irrecevable, la personne concernée en est avisée par courrier.

Le courrier mentionne que si la personne concernée le souhaite, elle est entendue, éventuellement assistée de son conseil.

 

Article 42.- Le contrôle, exercé auprès du service concerné, est effectué par le président de la Commission ou par un ou plusieurs membres désignés par lui.

Le contrôle des traitements de données à caractère personnel, visés à l'article 3, § 5, 1°, de la loi, est effectué par des magistrats désignés par la Commission en son sein.

Le président et les membres, qui effectuent le contrôle, peuvent se faire assister ou représenter par un ou plusieurs membres du secrétariat de la Commission.

 

Article 43. A l'occasion du contrôle exercé auprès du service concerné, la Commission effectue ou ordonne toute vérification qu'elle estime utile.

A l'occasion du contrôle exercé auprès du service concerné, visé à l'article 3, § 5, de la loi, elle peut faire rectifier ou effacer des données, ainsi que insérer des données divergentes par rapport aux données traitées par le service concerné. Elle peut interdire la communication des données.

A l'occasion du contrôle exercé auprès du service concerné, visé à l'article 3, § 4, de la loi, elle recommande les mesures qu'elle estime nécessaire. Elle motive ses recommandations.

 

Article 44. A l'issue de ces vérifications, le service concerné notifie, par écrit, à la Commission, les suites qui y ont été réservées.

 

Article 45. La Commission répond, par courrier, à la demande de la personne concernée dans un délai de trois mois à compter de la notification prévue à l'article 44 du présent arrêté.

 

Article 46. Lorsque la demande de la personne concernée se rapporte à un traitement de données à caractère personnel, géré par un service de police, en vue d'un contrôle d'identité, la Commission communique à la personne concernée que les vérifications nécessaires ont été effectuées.

Le cas échéant, la Commission fournit, à la personne concerne, après avis du service concerné, toute autre information qu'elle estime appropriée.

 

CHAPITRE VII.- Déclaration des traitements automatisés de données à caractère personnel.

 

Section première.- Contributions à verser, à la Commission, lors de la déclaration.

 

Article 47. Lorsque la déclaration, visée à l'article 17 de la loi, est présentée sur le formulaire en papier, mis à disposition à cette fin par la Commission, le montant de la contribution à verser par le responsable du traitement à la Commission est fixé à 125 euros ou 5042 francs pour la déclaration de toutes les informations déclarées à la Commission, à la même occasion, par le même responsable du traitement.

Article 48. Lorsque la déclaration est présentée sur le support magnétique, mis à disposition par la Commission, le montant à verser par le responsable du traitement à la Commission est fixé a 25 euros ou 1008 francs pour la déclaration de toutes les informations déclarées à la Commission, à la même occasion, par le même responsable du traitement.

 

Article 49.- Le montant de la contribution à verser à la Commission en cas de déclaration par le même responsable, à la même occasion d'une ou plusieurs modifications aux mentions de sa déclaration originale, est fixé à 20 euros ou 807 francs.

Article 50.- Le responsable du traitement effectue le paiement des contributions, visées à cette section, au moyen de documents mis à disposition par la Commission.

 

Section II.- Catégories de traitements exemptées de l'obligation de déclaration.

 

Article 51. A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui se rapportent exclusivement à des données à caractère personnel nécessaires à l'administration des salaires des personnes au service du ou travaillant pour le responsable du traitement, pour autant que lesdites données soient utilisées exclusivement pour l'administration des salaires visée, qu'elles soient uniquement communiquées aux destinataires qui en ont droit et qu'elles ne soient pas conservées au-delà du temps nécessaire aux finalités du traitement.

 

Article 52. A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui visent exclusivement l'administration du personnel au service du ou travaillant pour le responsable du traitement.

Le traitement ne peut se rapporter ni à des données relatives à la santé de la personne concernée, ni à des données sensibles ou judiciaires au sens des articles 6 et 8 de la loi, ni à des données destinées à une évaluation de la personne concernée.

Les données à caractère personnel traitées ne peuvent être conservées au-delà du temps nécessaire à l'administration du personnel et ne peuvent être communiquées à des tiers, sauf dans le cadre de l'application d'une disposition légale ou réglementaire, ou pour autant qu'elles soient indispensables à la réalisation des objectifs du traitement.

 

Article 53. A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui se rapportent exclusivement à la comptabilité du responsable du traitement, pour autant que lesdites données soient utilisées exclusivement pour cette comptabilité, que le traitement concerne uniquement des personnes dont les données sont nécessaires à la comptabilité et que les données à caractère personnel ne soient pas conservées audelà du temps nécessaire à la finalité du traitement.

Les données à caractère personnel traitées ne peuvent être communiquées à des tiers, sauf dans le cadre de l'application d'une disposition réglementaire ou légale, ou pour autant que la communication soit indispensable pour la comptabilité.

 

Article 54. A l'exception des §§ 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui visent exclusivement l'administration d'actionnaires et d'associés, pour autant que le traitement porte uniquement sur les données nécessaires à cette administration, que ces données portent uniquement sur des personnes dont les données sont nécessaires à cette administration, que lesdites données ne soient pas communiquées à des tiers, sauf dans le cadre de l'application d'une disposition légale ou réglementaire, et que les données à caractère personnel ne soient pas conservées au-delà de la période durant laquelle elles sont nécessaire pour les finalités du traitement.

Article 55. A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui visent exclusivement la gestion de la clientèle ou des fournisseurs du responsable du traitement.

Le traitement peut uniquement porter sur des clients ou des fournisseurs potentiels, existants ou anciens du responsable du traitement.

Le traitement ne peut se rapporter ni à des données relatives à la santé de la personne concernée, ni à des données sensibles ou judiciaires au sens des articles 6 et 8 de la loi.

Dans le cadre de l'administration de la clientèle, aucune personne ne peut être enregistrée dans un traitement de données sur la base d'informations obtenues de tiers.

Les données ne peuvent être conservées plus longtemps que nécessaire à la gestion normale de l'entreprise du responsable du traitement et ne peuvent être communiquées à des tiers, sauf dans le cadre de l'application d'une disposition légale ou réglementaire, ou encore aux fins de la gestion normale d'entreprise.

 

Article 56. A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui sont effectués par une fondation, une association ou tout autre organisme sans but lucratif dans le cadre de leurs activités ordinaires.

Le traitement doit se rapporter exclusivement à l'administration des membres propres, des personnes avec qui le responsable du traitement entretient des contacts réguliers ou des bienfaiteurs de la fondation, de l'association ou de l'organisme.

Dans le cadre du traitement, aucune personne ne peut être enregistrée sur la base d'informations obtenues de tiers. Les données à caractère personnel traitées ne peuvent être conservées au-delà du temps nécessaire à l'administration des membres, des personnes de contact et des bienfaiteurs et ne peuvent être communiquées à des tiers, sauf dans le cadre de l'application d'une disposition légale ou réglementaire.

 

Article 57.- A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données d'identification indispensables à la communication, effectués dans le seul but d'entrer en contact avec l'intéressé, pour autant que ces données ne soient pas communiquées a des tiers et qu'elles ne soient pas conservées au-delà du temps nécessaire à la finalité du traitement.

L'alinéa 1er du présent article s'applique uniquement aux traitements de données à caractère personnel non encore vises par une des autres dispositions du présent arrêté.

 

Article 58. A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel portant exclusivement sur l'enregistrement de visiteurs, effectué dans le cadre d'un contrôle d'accès, dans la mesure où les données traitées se limitent aux seuls nom, adresse professionnelle du visiteur, identification de son employeur, identification de son véhicule, nom, section et fonction de la personne visitée, ainsi qu'au jour et à l'heure de la visite.

Les données à caractère personnel traitées ne peuvent être utilisées exclusivement que pour le contrôle d'accès et ne peuvent être conservées que le temps nécessaire a cet effet.

 

Article 59. A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel qui sont effectués, par les établissements d'enseignement, en vue de gérer leurs relations avec leurs élèves ou étudiants.

Le traitement se rapporte exclusivement a des données à caractère personnel relatives à des élèves ou étudiants potentiels, actuels ou anciens de l'établissement d'enseignement concerne.

Dans le cadre du traitement, aucune personne ne peut être enregistrée sur la base d'informations collectées auprès de tiers. Les données à caractère personnel traitées ne peuvent être communiquées à des tiers, sauf dans le cadre de l'application d'une disposition légale ou réglementaire, et ne peuvent être conservées que le temps nécessaire à la gestion de la relation avec l'élève ou l'étudiant.

 

Article 60.- A l'exception des paragraphes 4 et 8 de la loi, l'article 17 n'est pas applicable aux traitements effectués par les communes, conformément à la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d'identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques, conformément à la législation électorale, ainsi qu'aux dispositions légales relatives aux registres de l'état civil.

 

Article 61.- A l'exception des paragraphes 4 et 8, l'article 17 de la loi n'est pas applicable aux traitements de données à caractère personnel, effectués par des autorités administratives, si le traitement est soumis à des réglementations particulières adoptées par ou en vertu de la loi et réglementant l'accès aux données traitées, ainsi que leur utilisation et leur obtention.

 

Article 62.- Les dispositions de l'article 17 de la loi, à l'exception des §§ 4 et 8, ne sont pas applicables aux traitements de données à caractère personnel, gérés par les institutions de sécurité sociale visées aux articles 1er et 2, premier alinéa, 2°, de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-Carrefour de la sécurité sociale et visant à appliquer la sécurité sociale, à condition que, pour ce qui concerne ces traitements, ces institutions satisfassent aux dispositions de la loi précitée et à ces arrêtés d'exécution.

La liste, visée à l'article 46, premier alinéa, 6°bis, de la loi du 15 janvier 1990 relative à l'institution et l'organisation d'une Banque-Carrefour de la sécurité sociale, est tenue à disposition de la Commission de la protection de la vie privée, conformément aux modalités, déterminées de commun accord, par ces deux instances.

Sur base cette liste, la Commission de la protection de la vie privée met à jour le registre public des traitements de données automatisés de données à caractère personnel visé à l'article 18 de la loi.

 

CHAPITRE VIII.- Registre public des traitements automatisés de données à caractère personnel.

 

Article 63.- Le registre public des traitements automatisés de données à caractère personnel, visé à l'article 18 de la loi, ci-après appelé ” le registre public “, est accessible au public selon les modalités suivantes :

a) consultation directe à distance par le biais de moyens de télécommunication;

b) consultation directe sur place dans des locaux désignés à cette fin par la Commission;

c) consultation indirecte par une demande d'extrait adressée à la Commission.

 

Article 64. Pour la consultation directe à distance, une copie du registre public est mise à disposition, par la Commission, sur un serveur accessible via internet.

Outre la forme d'accès définie à l'alinéa premier, la Commission peut proposer d'autres possibilités de consultation.

 

Article 65.- Pour la consultation directe sur place, la Commission met, pendant les heures d'ouverture normales des bureaux, l'espace nécessaire et un équipement informatique, muni d'un logiciel adéquat, à la disposition de toute personne qui se présente en vue de consulter le registre.

 

Article 66.- Toute personne peut se présenter à la Commission ou lui adresser une requête écrite, en vue d'obtenir un extrait du registre public.

La requête, orale ou écrite, en vue d'obtenir un extrait, doit contenir, au moins, un des renseignements suivants :

1° le numéro d'identification ou la dénomination du traitement ou des traitements sur lequel/lesquels porte l'extrait;

2° le nom complet ou en abrégé du ou des responsables des traitements à mentionner dans l'extrait demandé;

3° en cas de requête écrite, envoyée par la voie postale, l'adresse à laquelle l'extrait doit être expédié.

 

Article 67.- Si l'extrait du registre public, qui fait l'objet de la requête, concerne plus de dix traitements et plusieurs responsables ou plus de cent traitements d'un seul responsable, la Commission peut délivrer un extrait simplifié mentionnant les données suivantes : numéro d'identification, dénomination et objet de chaque traitement, numéro d'identification, nom, commune avec code postal de chaque responsable du traitement.

Dans le cas visé à l'alinéa 1er, la Commission informe le requérant de son droit de consulter directement le registre public et des modalités selon lesquelles ce droit peut être exercé.

 

Article 68. La consultation du registre public est gratuite.

Article 69. Nul ne peut être obligé de communiquer, à la Commission, les motifs de la consultation, que ce soit lors d'une consultation directe ou indirecte du registre public.

CHAPITRE IX. – Dispositions finales.

 

Article 70. Toutes les dispositions de la loi du 11 décembre 1998 entrent en application le premier jour du sixième mois suivant celui durant lequel cet arrêté est publié au Moniteur belge.

A partir du même jour, les responsables du traitement doivent se conformer aux dispositions de la loi du 11 décembre 1998, pour tous les traitements existants et futurs de données à caractère personnel.

 

Article 71. Les déclarations, visées à l'article 17, § 7, de la loi, effectuées avant la date d'entrée en vigueur du présent arrêté, sont supposées être conformes aux dispositions de la loi et du présent arrêté.

Le responsable du traitement, qui procède à une déclaration, au sens de l'article 17, § 7, de la loi, lorsqu'une information relative à la déclaration visée à l'alinéa premier a changé, effectue cette déclaration conformément aux dispositions de la loi et du présent arrêté.

 

Article 72.- Les arrêtés royaux suivants sont abrogés :

1° l'arrêté royal nº 1 du 28 février 1993 fixant la date d'entrée en vigueur des dispositions de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

2° l'arrêté royal nº 2 du 28 février 1993 fixant les délais dans lesquels le maître du ficher doit se conformer aux dispositions de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, pour les traitements existants au moment de l'entrée en vigueur de ces dispositions;

3° l'arrêté royal du 12 août 1993 portant exécution de l'article 11, 4°, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

4° l'arrêté royal nº 3 du 7 septembre 1993 désignant les personnes auprès desquelles doit être introduite la demande de communication des données à caractère personnel, fondée sur l'article 10 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

5° l'arrêté royal nº 4 du 7 septembre 1993 fixant le montant, les conditions et les modalités du paiement de la redevance préalable, au maître du fichier, lors de l'exercice du droit de communication des données à caractère personnel, fondé sur l'article 10 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

6° l'arrêté royal nº 5 du 7 septembre 1993 désignant les personnes auprès desquelles doit être introduite la demande de rectification, de suppression ou d'interdiction d'utilisation d'une donnée à caractère personnel, fondée sur l'article 12 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

7° l'arrêté royal nº 8 du 7 février 1995 déterminant les fins, les critères et les conditions des traitements autorisés de données visées à l'article 8 de la loi du 8 décembre 1992 relative à la protection de la vie privée a l'égard des traitements de données à caractère personnel, modifie par l'arrêté royal nº 17 du 21 novembre 1996;

8° l'arrêté royal nº 9 du 7 février 1995 accordant des dispenses de déclaration de l'article 9 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et établissant une procédure d'information collective des personnes concernées par certains traitements, modifié par l'arrêté royal nº 15 du 12 mars 1996;

9° l'arrêté royal nº 12 du 7 mars 1995 relatif à la contribution à verser lors de la déclaration des traitements de données à caractère personnel à la Commission de la protection de la vie privée, modifié par l'arrêté royal nº 12bis du 12 mars 1996;

10° l'arrêté royal nº 13 du 12 mars 1996 portant exemption conditionnelle de l'obligation de déclaration pour certaines catégories de traitements automatisés de données à caractère personnel qui ne présentent manifestement pas de risque d'atteinte à la vie privée, modifié par l'arrêté royal du 18 avril 1996;

11° l'arrêté royal nº 14 du 22 mai 1996 déterminant les fins, les critères et les conditions des traitements autorisés de données visées à l'article 6 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

 

Article 73. Le présent arrêté entre en vigueur le premier jour du sixième mois qui suit celui au cours duquel il aura été publié au Moniteur belge.

Article 74.- Notre Ministre de la Justice est chargé de l'exécution du présent arrêté.

 

Twittear
Compartir
Compartir
0 Compartir

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.