15 MAI 2009. - Arrêté du Gouvernement flamand relatif aux conseillers en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives

Le Gouvernement flamand, Vu le décret du 18 juillet 2008 relatif à l'échange électronique de données administratives;

Vu l'accord du Ministre flamand chargé du budget, donné le 6 mars 2009;

Vu l'avis 09/2009 de la Commission de la protection de la vie privée, rendu le 8 avril 2009;

Vu l'avis 45 258/1 du Conseil d'Etat, rendu le 7 avril 2009, en application de l'article 84, § 1er, alinéa premier, 1°, des lois coordonnées sur le Conseil d'Etat;

Sur la proposition du Ministre flamand des Réformes institutionnelles, des Affaires administratives, de la Politique extérieure, des Médias, du Tourisme, des Ports, de l'Agriculture, de la Pêche en mer et de la Ruralité;

Après délibération, Arrête :

Article 1er.Dans le présent arrêté, on entend par : 1° le décret du 18 juillet 2008 : le décret du 18 juillet 2008 relatif à l'échange électronique de données administratives;2° la commission de contrôle : la commission de contrôle flamande pour l'échange électronique de données administratives, visée à l'article 10 du décret du 18 juillet 2008;

Art. 2.§ 1er. Toute instance qui gère une source authentique de données contenant des données à caractère personnel, toute instance qui reçoit ou échange des données à caractère personnel électroniques, et toute entité qui est désignée conformément à l'article 4, § 3 du décret du 18 juillet 2008, et traite des données à caractère personnel, désigne un conseiller en sécurité parmi ses collaborateurs ou en dehors de son personnel. Le conseiller en sécurité peut se faire assister par un ou plusieurs adjoints. § 2. A moins que la personne concernée n'ait déjà été désignée comme conseiller en sécurité de l'information et en protection de la vie privée conformément aux articles 10 et 16 de la loi du 8 août 1983 organisant un registre national des personnes physiques ou conformément à l'article 4, § 5 ou aux articles 24, 25 et 46 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale, le conseiller en sécurité et ses adjoints ne sont désignés par l'instance ou l'entité respectives qu'après avis favorable de la commission de contrôle. Avant de rendre son avis, la commission de contrôle doit vérifier si le candidat : 1° est suffisamment qualifié pour exercer sa fonction de conseiller en sécurité;2° dispose du temps nécessaire pour mettre en oeuvre ses missions de sécurité;3° n'exerce pas d'activités qui soient incompatibles avec la fonction de conseiller en sécurité. L'identité du conseiller en sécurité et de ses adjoints éventuels, y compris celle des personnes qui ont déjà été désignées comme conseiller en sécurité de l'information et en protection de la vie privée, visé à l'alinéa premier, est communiquée à la commission de contrôle par l'instance ou l'entité respectives sitôt après leur désignation.

Art. 3.En vue de la sécurité des données, le conseiller en sécurité est chargé de : 1° rendre des avis et recommandations accrédités au responsable de la gestion journalière de l'instance ou de l'entité concernées sur tous les aspects dans le domaine de la sécurité de l'information, sur sa propre initiative ou à la demande du responsable de la gestion journalière.Les avis sont rendus par voie écrite et de façon motivée, à moins que les risques ne soient pas suffisamment graves. Endéans la période, requise par les circonstances, d'au maximum trois mois, le responsable de la gestion journalière décide de suivre ou non l'avis, laquelle décision il communique au conseiller en sécurité. Lorsque la décision déroge à un avis écrit du conseiller en sécurité, elle est communiquée par voie écrite et de façon motivée au conseiller en sécurité; 2° mettre en oeuvre les missions qui lui sont confiées par le responsable de la gestion journalière de l'instance ou de l'entité concernées.

Art. 4.Le conseiller en sécurité observe toujours de l'objectivité, de l'impartialité et de l'indépendance nécessaires lors de la formulation d'avis et de recommandations, qu'il remplisse ou non une fonction de sécurité dans une ou plusieurs instances ou entités. Les avis et recommandations sont rendus avec l'expertise requise en la matière.

Art. 5.Le conseiller en sécurité garde toute information qui lui est confiée ou qu'il peut consulter, entendre ou lire dans le cadre de ses missions ou de ses activités professionnelles strictement confidentielle, tant l'information afférente à sa mission que celle afférente à ses collègues. Le conseiller en sécurité ne peut déroger à cette règle générale de confidentialité de l'information que dans les deux cas suivants : 1° dans les cas stipulés par ou en vertu d'une disposition légale, décrétale ou réglementaire;2° après avoir obtenu l'accord écrit du tiers qui sera affecté par la révélation. Le consultant en sécurité veille à ce que la confidentialité obligatoire, visée à l'alinéa premier, soit observée par ses collaborateurs et par chaque personne agissant sous sa responsabilité dans le cadre d'une mission.

Toute infraction contre la confidentialité obligatoire est punie conformément à l'article 458 du Code pénal.

Art. 6.Le conseiller en sécurité encourage et veille au respect des prescriptions de sécurité, imposées par ou en vertu d'une disposition légale, décrétale ou réglementaire et vérifie si les personnes qui traitent des données à caractère personnel au sein de l'instance ou de l'entité, font preuve d'un comportement favorisant la sécurité.

Le conseiller en sécurité réunit la documentation nécessaire sur la sécurité de l'information. Toutes les infractions constatées sont communiquées par écrit au responsable de la gestion journalière de l'instance ou de l'entité exclusivement, assorties des avis nécessaires pour prévenir de telles infractions à l'avenir.

Art. 7.Le conseiller en sécurité et ses adjoints éventuels ne peuvent être relevés de leur fonction en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent dans le cadre de l'exercice correct de leur fonction.

Art. 8.Le conseiller en sécurité relève de l'autorité directe fonctionnelle du responsable de la gestion journalière de l'instance ou de l'entité concernées. Il collabore étroitement avec les services où son intervention est ou peut être exigée, notamment avec le service d'informatique et le conseiller en prévention de l'instance ou de l'entité concernées.

Art. 9.Le conseiller en prévention a une connaissances solide de l'environnement informatique de l'instance ou de l'entité concernées et de la sécurité de l'information. Il ne cesse d'entretenir cette connaissance.

Art. 10.Le conseiller en sécurité établit un projet de plan de sécurité pour un délai de trois ans, dans lequel sont mentionnés les moyens annuels requis pour la mise en oeuvre du plan et le soumet au responsable de la gestion journalière. Ce plan est révisé au moins une fois par an et ajusté si nécessaire. Le projet de plan de sécurité est considéré comme un avis tel que visé à l'article 3, 1°.

Art. 11.Le conseiller en sécurité établit un rapport annuel à l'attention du responsable de la gestion journalière de l'instance ou de l'entité concernées. Ce rapport annuel reprend au moins : 1° un aperçu général de la situation de sécurité, des développements dans l'année écoulée et des objectifs qui restent à réaliser;2° une synthèse des avis écrits qui ont été remis au responsable de la gestion journalière et de la suite qui y a été réservée;3° un aperçu des activités effectuées par le conseiller en sécurité;4° un aperçu des résultats des contrôles effectués par le conseiller en sécurité, détaillant tous les cas constatés susceptibles d'avoir mis en péril la sécurité de l'information de l'instance ou de l'entité concernées;5° un aperçu des campagnes qui ont été menées à la promotion de la sécurité;6° un aperçu de toutes les formations suivies et des formations planifiées.

Art. 12.Les missions du conseiller en sécurité ont aussi trait à la garde, au traitement ou à l'échange de données à caractère personnel, effectués par des tiers pour le compte de l'instance ou de l'entité concernées.

Art. 13.Le présent arrêté entre en vigueur à la date d'entrée en vigueur du décret du 18 juillet 2008.

Art. 14.Le Ministre flamand chargé de la gestion de la réglementation, de la simplification administrative et du e-gouvernement et le Ministre flamand chargé des affaires intérieures sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.

Bruxelles, le 15 mai 2009.

Le Ministre-Président du Gouvernement flamand, Ministre flamand des Réformes institutionnelles, des Affaires administratives, de la Politique extérieure, des Médias, du Tourisme, des Ports, de l'Agriculture, de la Pêche en mer et de la Ruralité, K. PEETERS Le Ministre flamand des Affaires intérieures, de la Politique des Villes, du Logement et de l'Intégration civique, M. KEULEN