9 MAI 2019. - Loi modifiant la loi du 2 octobre 2017Documents pertinents retrouvés type loi prom. 02/10/2017 pub. 31/10/2017 numac 2017031388 source service public federal interieur Loi réglementant la sécurité privée et particulière fermer réglementant la sécurité privée et particulière en ce qui concerne le traitement des données personnelles

PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Les Chambres ont adopté et Nous sanctionnons ce qui suit: Sur la proposition de notre Ministre de la Sécurité et de l'Intérieur et sur l'avis de Nos ministres qui en ont délibéré en Conseil, Vu l'avis 63.762/2 du Conseil d'Etat, donné le 25 juin 2018, en application de l'article 84, § 1er, alinéa 1er, 3°, des lois coordonnées sur le Conseil d'Etat;

Vu l'avis 62/2018 de l'Autorité de protection des données, donné le 25 juillet 2018;

Vu l'avis 65.395/2 du Conseil d'Etat, donné le 12 février 2019, en application de l'article 84, § 1er, alinéa 1er, 3°, des lois coordonnées sur le Conseil d'Etat;

Le Ministre de la Sécurité et de l'Intérieur est chargé de présenter en Notre nom et de déposer à la Chambre des représentants le projet de loi dont la teneur suit : CHAPITRE 1er. - Disposition générale

Article 1er.La présente loi règle une matière visée à l'article 74 de la Constitution. CHAPITRE 2. - Dispositions modificatives

Art. 2.L'article 2 de la loi du 2 octobre 2017Documents pertinents retrouvés type loi prom. 02/10/2017 pub. 31/10/2017 numac 2017031388 source service public federal interieur Loi réglementant la sécurité privée et particulière fermer réglementant la sécurité privée et particulière est complété par les 36° et 37° rédigés comme suit: "36° le Règlement (UE) 2016/679: le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données); 37° la loi Protection des données à caractère personnel: loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel.".

Art. 3.Dans le chapitre 8, section 1re, de la même loi, il est inséré une sous-section 4/1 intitulée: "Sous-section 4/1. Les limitations des droits de la personne concernée lors du traitement de données à caractère personnel.".

Art. 4.Dans la sous-section 4/1, insérée par l'article 3, il est inséré un article 269/1, rédigé comme suit: "

Art. 269/1.§ 1er. Par dérogation aux articles 13, 14, 15, 16, 17 et 18 du Règlement (UE) 2016/679, et pour autant que l'article 14, paragraphe 5, b), c) ou d), du Règlement (UE) 2016/679 ne puisse être invoqué dans le cas d'espèce, les droits visés à ces articles peuvent être retardés, limités ou exclus s'agissant des traitements de données à caractère personnel réalisés par la Direction Générale Sécurité et Prévention du Service public fédéral Intérieur en sa qualité de service public chargé des missions d'intérêt général dans le domaine du contrôle, de l'inspection ou de la réglementation qui sont liées, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés à l'article 23, paragraphe 1er, c), d) et g), du Règlement (UE) 2016/679. Ceci afin d'éviter que la personne concernée soit systématiquement informée du fait qu'il existe un dossier à son propos, ce qui pourrait nuire aux besoins de la procédure administrative, du contrôle, de l'enquête ou des actes préparatoires, ou risque de violer le secret de l'enquête pénale ou à la sécurité des personnes.

Les traitements visés à l'alinéa 1er sont ceux effectués: 1° en vue de l'exercice des missions énumérées aux articles 65 à 75 et/ou du traitement des signalements visés aux articles 49, 54 et 205;2° en vue de l'exercice des missions relatives aux procédures administratives se rapportant à l'octroi, le renouvellement, le refus, la suspension, le retrait des autorisations, droits d'une personne d'exercer les activités telles que visées dans la présente loi, permissions et cartes d'identification, visées aux articles 16 à 41, 76 à 87, 92, 93, 167, 186 à 190;3° en vue de l'exercice des missions énumérées aux articles 208 à 233;4° en vue de l'exercice des missions énumérées aux articles 234 à 255. Dans le cadre des missions visées à l'alinéa 2, la Direction générale Sécurité et Prévention du Service public fédéral Intérieur peut traiter des données visées à l'article 9 du Règlement (UE) 2016/679, qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, et des données visées à l'article 10 du Règlement (UE) n° 679/2016, lorsque ce traitement est strictement nécessaire pour garantir la bonne exécution des missions visées à l'alinéa 2.

Les limitations des droits de la personne concernée visées à l'alinéa 1er concernent tous les types de données traitées dans le cadre des missions visées à l'alinéa 2, à l'exception des données pour lesquelles une dérogation est déjà prévue aux articles 11 et 14 de la loi Protection des données à caractère personnel. La limitation des droits visés aux articles 13, 15 et 16 du Règlement (UE) 2016/679 ne s'applique toutefois pas aux données à caractère personnel qui ont été collectées auprès de la personne concernée dans le cadre de l'exercice des missions visées à l'alinéa 2. § 2. La limitation du droit de la personne concernée vaut: a) dans le cas visé au paragraphe 1er, alinéa 2, 1° : sans préjudice de l'article 269/2, de manière illimitée dans le temps;b) dans le cas visé au paragraphe 1er, alinéa 2, 2° : exclusivement durant la période précédant une décision définitive dans le cadre des procédures administratives visées;c) dans les cas visés au paragraphe 1er, alinéa 2, 3° et 4° : exclusivement durant la période où la personne concernée fait l'objet directement ou indirectement d'une enquête, d'un contrôle ou d'une inspection en cours, ainsi que durant les actes préparatoires y relatifs.Si le dossier d'enquête est ensuite transmis au fonctionnaire sanctionnant visé à l'article 234, pour se prononcer sur les résultats de l'enquête, les droits ne seront rétablis que lorsqu'une décision définitive aura été prise en la matière.

La durée des actes préparatoires, visés à l'alinéa 1er, c), pendant laquelle les articles 13, 14, 15, 16, 17 et 18 du Règlement (UE) 2016/679 ne sont pas applicables, ne peut excéder trois ans à partir de la réception d'une demande concernant la communication en application de ces articles.

Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de la personne concernée ne sont rétablis qu'après autorisation de l'autorité judiciaire, après que la phase judiciaire soit terminée ou après que le ministère public ait confirmé à l'autorité compétente soit qu'il renonce à toute poursuite pénale, soit qu'il propose une transaction visée à l'article 216bis du Code d'instruction criminelle ou une médiation visée à l'article 216ter du Code d'instruction criminelle. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de celle-ci.

Lorsqu'un dossier est transmis à un autre service public en application de l'article 217 pour statuer sur les conclusions de l'enquête, les droits de la personne concernée ne sont rétablis qu'après que cet autre service public ait statué sur le résultat de l'enquête. § 3. La limitation du droit de la personne concernée vaut dans la mesure où l'application de ce droit nuirait aux besoins de la procédure administrative, du contrôle, de l'enquête ou des actes préparatoires, ou risque de violer le secret de l'enquête pénale ou à la sécurité des personnes.

La limitation du droit de la personne concernée ne vise pas les données qui sont étrangères à l'objet de la procédure administrative, l'enquête ou le contrôle justifiant la limitation du droit. § 4. La limitation des droits de la personne concernée, prévue dans cet article, ne porte pas atteinte aux droits spécifiques qui ont été accordés à la personne concernée par ou en vertu de la présente loi dans le cadre de certaines procédures contentieuses ou administratives. § 5. Dès réception d'une demande relative à l'un des droits visés au paragraphe 1er, alinéa 1er, le délégué à la protection des données de la Direction Générale Sécurité et Prévention du Service public fédéral Intérieur en accuse réception.

Le délégué à la protection des données visé à l'alinéa 1er informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation du droit invoqué par la personne concernée, ainsi que des motifs du refus ou de la limitation.

Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités des traitements énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le délégué à la protection des données informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.

Le délégué à la protection des données informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.

Le délégué à la protection des données consigne les motifs de fait ou de droit sur lesquels se fonde sa décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.

Le délégué à la protection des données informe la personne concernée sans délai de la suppression de la limitation des informations à fournir.".

Art. 5.Dans la même sous-section 4/1, il est inséré un article 269/2, rédigé comme suit: "

Art. 269/2.Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du Règlement (UE) 2016/679, les données à caractère personnel visées ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées.

Sauf disposition légale explicite contraire en matière de conservation des données à caractère personnel qui proviennent d'une autorité compétente, visée au titre 2 de la loi Protection des données à caractère personnel, ou d'un service de renseignements et de sécurité visé au titre 3 de la même loi, le délai de conservation pour les données à caractère personnel traitées par la Direction générale Sécurité et Prévention du Service public fédéral Intérieur dans le cadre de ses missions légales en matière d'application de la surveillance et du contrôle du respect de la présente loi, s'élève à maximum 10 ans à compter de la date du dernier traitement de nouvelles informations concernant la personne concernée.

A l'expiration de ce délai, les dossiers sont - selon les règles en vigueur en matière d'archivage dans l'intérêt général - transférés aux Archives du Royaume ou détruits définitivement.".

Art. 6.Dans la même sous-section 4/1, il est inséré un article 269/3, rédigé comme suit: "

Art. 269/3.§ 1er. Dans le cadre de l'application des articles 269/1 et 269/2, la Direction Générale Sécurité et Prévention du Service public fédéral Intérieur tient compte des risques pour les droits et libertés des personnes concernées et prend les mesures nécessaires destinées à garantir la prévention des abus ainsi que de l'accès et du transfert illicites des données à caractère personnel. § 2. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre des mesures techniques et organisationnelles appropriées.

Le responsable du traitement doit être en mesure de démontrer que le traitement est effectué conformément à la loi.

Ces mesures comprennent en tout cas la mise en oeuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

Ces mesures sont évaluées et, si nécessaire, actualisées. § 3. Compte tenu de l'état des connaissances, des coûts de la mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, les mesures techniques et organisationnelles visées au paragraphe 2, sont destinées à mettre en oeuvre les principes relatifs à la protection des données de façon effective et à assortir le traitement des garanties nécessaires afin de protéger les droits de la personne concernée, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même.

Les mesures techniques et organisationnelles appropriées visées au paragraphe 2 garantissent qu'en principe, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. § 4. Le responsable du traitement prend en particulier les dispositions suivantes: 1° il adopte des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données telles que: - des mesures techniques de sécurisation des serveurs, réseaux et postes clients où les données sont consultées et - la journalisation des accès et des inspections régulières dans le but de détecter des anomalies;2° il désigne un délégué à la protection des données;3° il établit une liste des catégories de personnes ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées.Cette liste est tenue à la disposition de l'autorité de contrôle compétente; 4° il désigne un responsable pour autoriser les accès et procéder à la différentiation des rôles;5° il veille à ce que les personnes visées au 3° soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données concernées; 6° il veille à la formation et sensibilisation du personnel ayant accès aux données en ce qui concerne la sécurité de l'information, les bonnes pratiques et les risques inhérents.".

Promulguons la présente loi, ordonnons qu'elle soit revêtue du sceau de l'Etat et publiée par le Moniteur belge.

Donné à Bruxelles, le 9 mai 2019.

PHILIPPE Par le Roi : Le ministre de la Sécurité et de l'Intérieur, P. DE CREM Scellé du sceau de l'Etat : Le Ministre de la Justice, K. GEENS _______ Note (1) Chambre des représentants (www.lachambre.be) Documents : 54K3639 Rapport intégré : 25.04.2019