23 NOVEMBRE 2018. - Arrêté du Gouvernement flamand relatif aux délégués à la protection des données, visés à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives

LE GOUVERNEMENT FLAMAND, Vu le décret du 18 juillet 2008 relatif à l'échange électronique de données administratives, l'article 9, remplacé par le décret du 8 juin 2018 ;

Vu l'arrêté du Gouvernement flamand du 15 mai 2009 relatif aux conseillers en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives ;

Vu l'accord du Ministre flamand ayant le budget dans ses attributions, donné le 2 juillet 2018 ;

Vu l'avis de l'Autorité chargée de la protection des données, rendu le 26 septembre 2018 ;

Vu l'avis 64.461/3, donné le 14 novembre 2018, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973 ;

Sur la proposition de la Ministre flamande de l'Administration intérieure, de l'Insertion civique, du Logement, de l'Egalité des Chances et de la Lutte contre la Pauvreté ;

Après délibération, Arrête :

Article 1er.Conformément à l'article 37, alinéa 5, du règlement général sur la protection des données, l'instance désigne un délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, son expertise dans le domaine de la réglementation et de la pratique en matière de protection des personnes physiques lors du traitement des données à caractère personnel, et sa faculté d'accomplir les tâches visées à l'article 3. Le délégué à la protection des données dispose également d'une connaissance solide de la sécurité de l'information et de l'environnement informatique de l'instance.

Art. 2.Le responsable de la gestion journalière de l'instance communique les coordonnées du délégué à la protection des données à la Commission de contrôle flamande du traitement des données à caractère personnel, visée à l'article 10/1 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives.

Le responsable de la gestion journalière de l'instance publie les coordonnées du délégué à la protection des données, conformément à l'article 37, alinéa 7 du règlement général sur la protection des données. Les coordonnées publiées ne doivent pas contenir le nom du délégué à la protection des données.

Le responsable de la gestion journalière de l'instance communique le nom et les coordonnées du délégué à la protection des données aux membres du personnel de l'instance.

Art. 3.Le délégué à la protection des données accomplit les tâches visées au règlement général sur la protection des données.

Spécifiquement en vue de la sécurité des données personnelles traitées par l'instance, où il remplit la fonction de délégué à la protection des données, et en vue de la protection des droits des personnes auxquelles ces données ont trait, il a la responsabilité : 1° de fournir des avis et recommandations au responsable de la gestion journalière de l'instance, sur tous les aspects dans le domaine de la sécurité de l'information ;2° d'établir, à l'attention du responsable de la gestion journalière de l'instance, un plan de sécurité pour un délai de trois ans, dans lequel sont mentionnés les moyens annuels requis selon lui pour la mise en oeuvre du plan.Ce plan est discuté, et adapté si nécessaire, au moins une fois par an avec le responsable de la gestion journalière de l'instance. Le responsable de la gestion journalière de l'instance décide des moyens à affecter. Le plan de sécurité est considéré comme un avis tel que visé à l'article 39, alinéa 1er, a), du règlement général sur la protection des données ; 3° d'établir annuellement un rapport à l'attention du responsable de la gestion journalière de l'instance.Ce rapport annuel reprend au moins : a) un aperçu général de la situation de sécurité, des développements dans l'année écoulée et des objectifs qui restent à réaliser ;b) une synthèse des avis et recommandations écrits que le délégué à la protection des données a transmis au responsable de la gestion journalière de l'instance, et de la suite qui y a été réservée ;c) un aperçu des tâches, visées à l'article 39 du règlement général sur la protection des données, que le délégué à la protection des données a accomplies ;d) un aperçu des résultats des contrôles effectués par le délégué à la protection des données, avec mention des cas constatés susceptibles d'avoir mis en péril la sécurité de l'information de l'instance ;e) un aperçu des campagnes menées par le délégué à la protection des données dans le but de promouvoir la protection des données auprès du personnel ;f) un aperçu de toutes les formations que le délégué à la protection des données a suivies et va encore suivre ;4° d'effectuer les missions que le responsable de la gestion journalière de l'instance lui a confiées, si celles-ci ne compromettent pas son indépendance et si le contenu et la quantité de ses autres missions lui permettent d'accomplir ses tâches de délégué à la protection des données conformément au règlement général sur la protection des données.

Art. 4.Les missions du délégué à la protection des données ont aussi trait à la garde, au traitement ou à l'échange de données à caractère personnel, effectués par des tiers pour le compte de l'instance.

Art. 5.Le délégué à la protection des données observe toujours l'objectivité, l'impartialité et l'indépendance nécessaires lors de la formulation d'avis et de recommandations, qu'il remplisse ou non la fonction de délégué à la protection des données dans une ou plusieurs instances. Il formule les avis et recommandations avec l'expertise requise en la matière.

Le délégué à la protection des données émet ses avis et recommandations par voie écrite et de façon motivée, à moins que les risques ne soient pas suffisamment graves. Dans la période requise par les circonstances, qui comprend trois mois au maximum, le responsable de la gestion journalière de l'instance décide de suivre ou non l'avis ou la recommandation, et il communique sa décision au délégué à la protection des données. Si la décision dévie d'un avis écrit ou d'une recommandation écrite du délégué à la protection des données, il communique sa décision par écrit et de manière motivée au délégué à la protection des données.

Art. 6.Le délégué à la protection des données traite toutes les informations qui lui sont confiées ou qu'il peut consulter, entendre ou lire dans le cadre de ses tâches ou activités professionnelles, de manière strictement confidentielle. Il s'agit tant des informations relatives à sa mission, que des informations relatives à ou provenant de ses collègues.

Sans préjudice de l'article 39, alinéa 1er, d) et e) du règlement général sur la protection des données, le délégué à la protection des données ne peut déroger à la règle générale de la confidentialité de l'information que dans les deux cas suivants : 1° dans les cas stipulés par ou en vertu d'une disposition légale, décrétale ou réglementaire ;2° après avoir obtenu l'accord écrit du tiers qui sera affecté par la révélation. Le délégué à la protection des données veille à ce que ses collaborateurs et toute personne agissant sous sa responsabilité dans le cadre d'une mission, observent la confidentialité obligatoire, visée aux alinéas 1er et 2.

Art. 7.Conformément à l'article 39, alinéa 1er, b) du règlement général sur la protection des données, le délégué à la protection des données promeut et contrôle, dans le cadre de ses tâches, le respect des prescriptions relatives à la protection des données, imposées par le règlement général sur la protection des données, la réglementation relative à la protection des personnes physiques lors du traitement des données à caractère personnel, et la politique du responsable du traitement concernant la protection des données personnelles.

Le délégué à la protection des données est informé sur des infractions éventuelles ou des problèmes liés à la protection de personnes physiques lors du traitement des données à caractère personnel au sein de l'instance, de sorte qu'il peut formuler, si nécessaire ou souhaitable, un avis ou une recommandation à ce sujet. Toutes les infractions constatées sont communiquées par écrit et exclusivement au responsable de la gestion journalière de l'instance. Les avis nécessaires sont joints afin d'éviter de pareilles infractions à l'avenir.

Art. 8.Conformément à l'article 38, alinéa 3, du règlement général sur la protection des données, le délégué à la protection des données ne peut pas être relevé de sa fonction en raison des opinions qu'il émet ou des actes qu'il accomplit dans le cadre de l'exercice correct de sa fonction.

Art. 9.Le délégué à la protection des données relève de l'autorité directe fonctionnelle du responsable de la gestion journalière de l'instance. Il collabore étroitement avec les autres services de l'instance qui sont co-responsables de la protection des données.

Art. 10.L'arrêté du Gouvernement flamand du 15 mai 2009 relatif aux conseillers en sécurité, visés à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives, est abrogé.

Art. 11.L'article 2, alinéa 1er, entre en vigueur à la date de la publication au Moniteur belge de la composition de la Commission de contrôle flamande du traitement des données à caractère personnel, visée à l'article 10/1 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives.

Le présent arrêté produit ses effets le 25 mai 2018.

Art. 12.Le Ministre flamand ayant le gouvernement en ligne dans ses attributions est chargé de l'exécution du présent arrêté.

Bruxelles, le 23 novembre 2018.

Le Ministre-Président du Gouvernement flamand, G. BOURGEOIS La Ministre flamande de l'Administration intérieure, de l'Insertion civique, du Logement, de l'Egalité des Chances et de la Lutte contre la Pauvreté, L. HOMANS