Le rapport 2011 de la commission Vie privée

Rapport annuel 2011

2

Table des matières

Première partie : la Commission 6

1 La mission de la Commission 7

Le rôle de la Commission 7

2.1 Réglementation et encadrement normatif 9

2.2 Politique de respect des dispositions légales 9

2.3 Information 9

2 Les domaines d’activité de la Commission 9

2.1 Réglementation et encadrement normatif 9

2.2. Politique de respect des dispositions légales 9

2.3. Information

2.4 Assistance 10

2.5 Traitement des plaintes 10

2.6 Au niveau international 11

3 La composition de la Commission 12

3.1 Membres effectifs 12

3.2 Membres suppléants 12

4 La structure de la Commission 13

4.1 Profil des membres 13

4.2 Mandats des membres 13

4.3 Fonctions des membres 13

4.4 Rôle du président 13

4.5 Comités sectoriels 13

4.6 Secrétariat 14

5 La structure de l’administration 15

6.1 Intégration des comités sectoriels 16

6.2 Contrôle de la vie privée - Évaluation 16

6 Le plan de gestion de la Commission 16

6.3 Information au public 17

6.4 Soutien de la Commission et des Comités sectoriels 17

6.5 Coopération internationale 17


6.7 Déclarations et registre public 18

6.8 Vie privée et recherche scientifique 18

7 Principales activités nationales de la Commission 19

7.1 E-government 19

7.1.1 Avis n° 18/2011 du 7 septembre 2011 19

7.2 Échange électronique de données administratives 20

7.2.1 Avis n° 03/2011 du 9 février 2011 20

7.2.2 Recommandation 05/2011 du 15 juin 2011 21

7.2.3 Recommandation 01/2011 du 9 février 2011 22

7.2.4 Avis 33/2011 du 30 novembre 2011 23

7.3 Secteur financier 23

7.3.1 Avis 06/2011 du 9 février 2011 23

7.3.2 Avis 07/2011 du 9 février 2011 25

7.3.3 Avis 36/2011 du 21 décembre 2011 26

7.4 Technologie de l’information et de la communication 27

7.4.1 Recommandation 07/2011 du 21 décembre 2011 27

7.4.2 Avis 32/2011 du 30 novembre 2011 28

7.4.3 Travaux de normalisation 28

7.4.4 Plate-forme concertation sur la sécurité des informations 29

7.5 Justice et sécurité 29

7.5.1 Renforcement de l’information aux personnes concernées 29

7.5.2 Protocole d’accord du 13 juillet 2011 entre le SPF Justice et la Commission 30

7.5.3 Recommandation 6/2011 du 6 juillet 2011 31

7.5.4 Avis 31/2011 du 30 novembre 2011 32

7.5.5 Avis 23/2011 du 28 septembre 2011 34

7.6 Transport et mobilité 36

7.6.1 Avis 14/2011 du 6 juillet 2011 36

7.6.2 Avis 16/2011 du 6 juillet 2011 37

7.6.3 Avis 02/2011 du 19 janvier 2011 37

7.7 Santé 38

7.7.1 Recommandation 02/2011 du 4 mai 2011 38

7.7.2 Avis 03/2011 du 9 février 2011 39

7.7.3 Avis 09/2011 du 23 mars 2011 40

7.7.4 Avis 25/2011 et 26/2011 du 19 octobre 2011 41

7.7.5 Vade-mecum relatif à la recherche biomédicale 42

7.8 Divers 43

7.8.1 Avis 08/2011 du 2 mars 2011 43

7.8.2 Avis 19/2011 du 28 septembre 2011 44



7.8.5 Avis n° 10/2011 du 25 mai 2011 47

7.8.6 Avis n° 35/2011 du 21 décembre 2011 47

7.8.7 Consultation publique cybersurveillance 48

7.8.8 Avis n° 28/2011 du 9 novembre 2011 49

7.8.9 Recommandation 03/11 du 25 mai 2011 50

7.8.10 Suppression de l’application « Juif ou pas Juif ?” de

l’iTunes App Store belge 51

7.8.11 Médiation de la Commission en matière d’accès aux archives de presse 51

8 Les principales activités internationales de la Commission 52

8.1 Conférences internationales 52

8.1.1. Conférence européenne des Commissaires à la protection des données 52

8.1.2 Conférence internationale des

Commissaires à la protection des données 52

8.1.3 Conférence de l’AFAPDP 54

8.2 Groupe de travail protection des données « Article 29” – Groupe 29 (G29) et

groupes de travail “ groupe 29 ” 58

8.2.1 Groupe 29 58

8.2.2 Technology Subgroup 67

8.2.3 Sous-groupe BCR 67

8.3 IWGDPT (International Working Group on Data Protection

in Telecommunication) 67

8.4 Organes de contrôle communs 68

8.4.1 Schengen 68

8.4.2 Europol 68

Commission de la protection de la vie privée — rapport annuel 2011 3

8.4.3 Groupe de coordination du contrôle d’Eurodac 68

8.5 Le Conseil de l’Europe et la protection des données 69

9.1 Réglementation et normalisation 71


9 Les activités de la Commission en chiffres 71

9.2.1 Tâches de contrôle 72

9.2.2 Notification de l’utilisation d’une caméra mobile par

les services de police 72

9.3 Information 72

9.3.1 Support du front office en matière d’information 72

9.3.2 Déclarations enregistrées dans le registre public 73

9.3.3 Publication d’informations sur le site web

http ://www.privacycommission.be 73

9.3.4 Publication d’informations sur le site web

http ://www.jedecide.be 73

9.4 Dossiers de fond 76

9.5 Dossiers d’évaluation 77

9.6 Tableaux et graphiques 78

9.6.1. Dossiers de décision traités par la Commission en 2011 en chiffres 78

9.6.1.1. Analyse globale des dossiers de décision Commission 2011 78

9.6.1.3 Suite donnée aux dossiers de décision clôturés 81

9.6.2. Dossiers de fond 2011 en chiffres 82

9.6.2.2 Délai de traitement dossiers de fond 84

9.6.2.3 Suite donnée aux dossiers de fond clôturés 85

9.6.2.4 Analyse du contenu des dossiers de fond reçus 86

9.6.2.4.2 Type de données traitées dans les dossiers de fond (top 5) 92

9.6.2.4.3 Législation traitée dans les dossiers de fond (top 5) 93

9.6.2.4.4 Relation responsable du traitement & personne concernée 94

9.6.3 Dossiers Question et Réponse (dossiers Q&A) 2011 en chiffres 95

9.6.3.2 Analyse du contenu des dossiers FO 96

9.6.3.2.1 Domaines et sous-domaines des dossiers FO (top 5) 96

9.6.3.2.2 Législation traitée dans les dossiers FO (top 5) 98

9.6.3.2.3 Relation responsable du traitement & personne concernée 99

9.6.4. Dossiers de déclaration et de notification en chiffres 100

9.6.4.1. Analyse globale des déclarations et traitements 100

9.6.4. 2 Déclarations de nouveaux traitements de données 101

9.6.4.4 Notification de l'utilisation d'une caméra mobile par

les services de police 103

9.6.5 Analyse Comparative : 2010 - 2011 104

9.6.5.1 Ouverture de dossiers 104

9.6.5.2 Clôture de dossiers 105

Deuxième partie : les comités sectoriels 107

1 La composition des comités sectoriels 109

1.1 Comité sectoriel du Registre national 110

1.2 Comité sectoriel de la Sécurité Sociale et de la Santé 110

1.3 Le Comité sectoriel pour l’Autorité Fédérale 112

1.4 Le Comité sectoriel de la Banque-Carrefour des Entreprises 112

1.5 Comité de surveillance sectoriel Phenix 112

1.6 Comité de surveillance statistique 113

2 Les principales activités des comités sectoriels 114

2.1 Commission loco Comité de

surveillance statistique 114

2.2 Comité sectoriel du Registre national 114

2.2.1 Autorisations générales 114

2.2.2 Délibération RN n° 24/2011 du 20 avril 2011v 115

2.2.3 Délibération RN n° 49/2011 du 21 septembre 2011 115

2.2.4 Délibération RN n° 11/2011 du 16 février 2011 116

2.2.5 Délibération RN n° 19/2011 du 16 mars 2011 116

2.2.6 Délibération RN n° 45/2011 du 21 septembre 2011 116

2.2.7 Délibération RN n° 71/2011 du 14 décembre 2011 117

2.2.8 Délibération RN n° 72/2011 du 14 décembre 2011 117

2.3 Comité sectoriel pour l’Autorité Fédérale 118

2.3.1 Délibération AF n° 12/2011 du 9 juin 2011 118

2.3.2 Délibération AF n° 16/2011 du 21 décembre 2011 118

2.3.3 Délibération AF n° 09/2011 du 12 mai 2011 119

2.3.4 Délibération AF n° 15/2011 du 22 décembre 2011 119

2.4 Comité sectoriel de la Sécurité Sociale et de la Santé 121

2.4.1 Section Santé 121

2.4.2 Section Sécurité Sociale 123

3 Les activités des comités sectoriels en chiffres 126

3.1 Le Comité sectoriel de la Sécurité Sociale et de la Santé 126

3.2 Le Comité sectoriel pour

l’Autorité Fédérale 126

3.3 Le Comité sectoriel du Registre national 126

3.4 Le Comité sectoriel de la Banque-Carrefour des Entreprises et le Comité de

surveillance sectoriel Phénix 127

3.5 Tableaux et graphiques 128

3.5.1. Dossiers traités par les comités sectoriels 128

3.5.1.1 Comité sectoriel de la Sécurité sociale et de la Santé 128

3.5.1.1.1 Section Santé 128

3.5.2 Comité sectoriel pour l’Autorité Fédérale : dossiers AF-MA en chiffres 129

3.5.2.2 Délai de traitement dossiers AF-MA 131

4.2.3 Suite donnée aux dossiers d'autorisation clôturés 133

4.2.4 Nombre d'adhésions par autorisation générale 133

3.5.3 Comité de surveillance Statistitique : dossiers STAT-MA en chiffres 134

3.5.3.2 Délai de traitement dossiers STA-MA 136

3.5.3.3 Suite donnée aux dossiers d'autorisation clôturés 136

3.5.4 Comité sectoriel du Registre national : dossiers RN-MA en chiffres 137

3.5.4.1 Analyse globale dossiers RN-MA 2011 137

3.5.4.2 Délai de traitement dossiers RN-MA 139

3.5.4.3 Suite donnée aux dossiers d'autorisation clôturés 141

3.5.4.4 Nombre d'adhésions par autorisation générale 141

4

Préface

« TOUT CE QUI A DE LA VALEUR EST VULNÉRABLE»

La préface d’un rapport annuel est toujours rédigée l’année

suivante. Il est dès lors très tentant d’aborder ce qui est «à

l’ordre du jour » au moment même. Actuellement, il est évi-

demment question de la proposition de la commissaire eu-

ropéenne et vice-présidente de la Commission européenne,

Viviane Reding : un nouveau cadre juridique pour la protec-

tion de la vie privée dans l’Union européenne. Bien qu’à la

fin décembre 2011, un texte ait «filtré » via Statewatch et que

la dernière réunion du Groupe 29 du 29 décembre 2011 ait

bruissé des rumeurs et des communications de sources bien

informées, ce n’est que le 25 janvier 2012 que la proposition

a été publiée dans son intégralité. De quoi donc alimenter le

rapport annuel 2012 (et peut-être encore quelques éditions

ultérieures).

Le plus important dossier que la Commission ait traité

courant 2011 est peut-être celui qui a reçu le nom de code

«cybersurveillance ». Le contrôle des travailleurs par les

employeurs (l’inverse est possible également, mais cela ne

suscite en pratique que peu de problèmes de respect de la vie

privée) est une problématique dont la Commission s’occupe

activement depuis déjà quelques années. Le sujet n’était pas

simple car la question de savoir si la CCT n° 81 constituait

bel et bien un instrument tout à fait légal s’est avérée dif-

ficile à trancher (l’article 22 de la Constitution ne connaît

en effet que la loi, et pas la CCT, comme unique source juri-

dique valable pour restreindre les droits relatifs au respect

de la vie privée …). Pendant un temps, le Secrétariat de la

Commission avait même pour politique d’ignorer com-

plètement l’existence de la CCT n° 81 lors du traitement de

demandes d’informations à ce sujet. Et lorsque la loi relative

aux communications électroniques (LCE) est venue s’ajou-

ter, la confusion est devenue totale, vu que les exceptions de

l’article 125 de la LCE ne semblaient pas prévoir d’exception

«toute faite » en la matière. Par ailleurs, la jurisprudence

ne faisait pas non plus vraiment figure de roc dans la tour-

mente, mais plutôt de sac de nœuds. Il était dès lors grand

temps d’essayer de trouver une voie plus sûre et d’offrir aux

personnes concernées (on parle quand même encore tou-

jours de quelques millions d’habitants dans ce pays) des

directives fiables et des paradigmes valables. Une ligne

de conduite conforme à la loi et à la règle, mais aussi à la

pratique et à la réglementation que les partenaires sociaux

considèrent pour la grande majorité comme une politique

acceptable.

Le 6 juillet 2011, la Commission a adopté un «rapport », une

sorte de livre vert, contenant les éléments d’une recomman-

dation, qui a ensuite fait l’objet d’une consultation publique,

du 15 juillet au 30 novembre. Selon cette recommanda-

tion, le droit général de l’employeur d’exercer une autorité,

tel qu’établi dans la loi relative aux contrats de travail ou

dans des dispositions légales analogues pour la fonction

publique, constitue le fondement pour effectuer certains

contrôles, pour autant que ceux-ci se déroulent conformé-

ment à la gestion habituelle normale de l’entreprise (en tant

qu’employeur raisonnable et prudent) et conformément à

d’autres dispositions pertinentes applicables au niveau lé-

gal. Il s’agit en premier lieu de la loi vie privée mais aussi des

principes de la CCT n° 81. Lors de la consultation publique,

la Commission a reçu des dizaines de réactions et suite à

cela, elle a également organisé une après-midi d’étude dans

la salle du Congrès de la Chambre des Représentants le

16 décembre 2011. Ces réactions ainsi que les idées échan-

gées lors de l’après-midi d’étude ont contribué à élaborer le

texte de la disposition définitive telle qu’elle a été adoptée le

2 mai 2012.

Ceci n’a pas suffi à rétablir totalement l’équilibre précaire

dans le cadre du contrôle dans les relations de travail : l’ap-

parition d’autres techniques et pratiques auxquelles il fau-

dra répondre au cas par cas en est déjà la preuve. Toutefois,

l’expérience et la compétence que la Commission a acquises

dans le dossier susmentionné devraient à présent peut-être

lui faciliter un peu la tâche.


En 2011, certes pendant la période creuse du mois d’août, la

Commission a vu s’étaler à la une du journal ‘De Standaard’

le compte rendu de la guerre imminente entre la Commis-

sion et bpost concernant l’enquête à grande échelle menée

par le département marketing de bpost auprès de millions

d’habitants de ce pays. Il n’a pas fallu en arriver à lancer un

ultimatum. Le fait d’avoir fait les gros titres y a peut-être été

pour beaucoup, mais la Commission et bpost ont rapide-

ment engagé d’intenses pourparlers et ces négociations ont

permis de dégager une méthode de travail acceptable pour

tout le monde.

Pour clôturer ce top 3 des principaux événements relatifs à

la protection de la vie privée, je ne veux pas manquer de men-

tionner que Google a accepté la proposition de conciliation

du parquet fédéral en payant la somme de 150 000 euros.

Le parquet était parvenu à cette proposition après l’enquête

sur l’ «incident du WiFi » dans le dossier Google Street View.

Cette enquête a été menée en collaboration efficace entre la

Commission, la Federal Computer Crime Unit et le parquet,

qui a pris l’affaire au sérieux. Google a donc humblement

reconnu avoir commis une erreur et en a finalement accepté

les conséquences juridiques. Ici encore, une solution raison-

nable a été trouvée pour un problème qui, dans la plupart

des autres pays européens, n’est pas encore ou tout simple-

ment pas réglé.

Trois dossiers concrets dans lesquels la Commission a dé-

montré sa capacité à œuvrer à des solutions en toute équité,

soit par une réaction rapide comme avec bpost, soit par une

recherche à plus long terme d’une politique protectrice à

large spectre dans des secteurs socialement fragiles mais

importants tels que le secteur social, et enfin par le règle-

ment, ici même dans notre pays, d’une data protection breach

(atteinte à la protection des données) mondiale par des

géants tels que Google. Les résultats sont plus importants

que le postulat de la doctrine pure, même si dégager un

compromis requiert plus de travail et d’énergie que de pro-

clamer le caractère absolu du droit au respect de la vie privée.

Même s’il ne faut jamais oublier que le droit au respect de la

vie privée est un droit fondamental, un droit de l’homme qui

ne peut faire l’objet d’aucun marchandage et que l’on ne peut

fouler aux pieds. Et telle est l’exigence de résultat la plus éle-

vée : apporter des solutions équitables conformes aux at-

tentes légitimes des citoyens de ce pays. Préserver la dignité

humaine comme un bien vulnérable et de grande valeur.

Lucebert, un poète hollandais, écrivait déjà : « Tout ce qui

a de la valeur est vulnérable ». C’est pourquoi la vie privée

doit être protégée en permanence et sans faillir. Nous y tra-

vaillons. Et j’ose espérer que le présent rapport annuel vous

convaincra qu’en 2011, la Commission vie privée a fait da-

vantage que traiter les affaires courantes.

Willem Debeuckelaere

Président de la Commission vie privée


Première partie : la Commission


La Commission de la protection de la vie privée, dont la dé-

nomination officielle est parfois abrégée en « Commission

vie privée », est un organe de contrôle indépendant chargé

de veiller à la protection de la vie privée lors du traitement de

données à caractère personnel.

Elle a été créée suite à l’adoption par la Chambre des Repré-

sentants de Belgique de la Loi du 8 décembre 1992 relative à

la protection de la vie privée à l’égard des traitements de données à

caractère personnel (Loi vie privée).

Les compétences de la Commission sont vastes et générales.

Elle est compétente pour toute forme de traitement de don-

nées à caractère personnel, quel que soit le domaine dans

lequel s’opère le traitement et quelle qu’en soit la nature :

secteur privé ou secteur public, traitement automatisé ou

non, etc.

Face aux traitements de données de plus en plus nombreux,

à la demande faite aux services publics d’être de plus en

plus rapides, au développement de l’e-gouvernement et à la

demande de délais d’avis ou d’autorisation de plus en plus

courts, la Commission n’a de cesse d’adapter au mieux son

mode de fonctionnement.

Tout en répondant aux attentes d’un environnement en

mutation rapide et dynamique, la Commission veille aussi

au respect de la nécessité de son indépendance et de son

autorité, des points qui ont d’ailleurs fait l’objet de la Loi du

26 février 2003 (Moniteur belge du 26 juin 2003) qui visait à

accroître son efficacité et ses performances.

Le rôle de la Commission

Sans sa réflexion et ses actes, la Commission de la protec-

tion de la vie privée se veut déterminante dans le main-

tien de l’équilibre du droit fondamental à la protection de

la vie privée. Elle reconnaît la nécessité pour notre société

de la connaissance de collecter et de traiter des données à

caractère personnel en vue de développements tant sociaux

qu’économiques et cherche donc, dans le cadre de ses déci-

sions et de ses activités de surveillance du respect de la vie

privée, à trouver le juste équilibre entre d’une part les besoins

sociaux et économiques, et d’autre part le droit fondamental

au respect de la vie privée des citoyens. La Commission a

parfaitement conscience que tout traitement de données

implique des risques sur le plan de la protection de la vie

privée et souligne donc l’importance de diffuser des infor-

mations de sensibilisation aussi bien aux personnes dont les

données sont traitées qu’aux responsables des traitements

ainsi que de prévoir des garanties, et ceci plus spécialement

sur le plan de la protection de l’information. La Commission

est par ailleurs attentive au fait que le recours aux technolo-

gies de traitement des données à caractère personnel repré-

sente un facteur très important dans notre société actuelle

en termes d’augmentation du bien-être et de la prospérité

des citoyens.

La Commission s’est fixé pour objectif de tout mettre en

œuvre pour que les citoyens aient confiance dans ces tech-

nologies. Elle rappelle à ce propos la responsabilité de cha-

cun d’agir de manière consciente aussi bien avec ses propres

données à caractère personnel qu’avec celles des autres.

1 La mission de la Commission

La Commission est un organe indépendant.

Elle gère le traitement de données à caractère personnel.

Elle s’adapte aux évolutions de son temps.

Ses mots d’ordre sont rapidité et dynamisme.

10

À cet effet, elle poursuit ses actions de sensibilisation à un

comportement conscient et sûr au niveau de la communi-

cation et du traitement des données à caractère personnel.

Elle entend également souligner l’importance de garantir

et de respecter les droits des personnes concernées dans le

cadre du traitement de leurs données à caractère person-

nel et veut se servir de son ascendant pour encourager les

responsables de traitements de données – tant publics que

privés – à prendre toutes les mesures qui doivent l’être sur la

base d’une analyse approfondie des risques afin de garantir

le droit fondamental au respect de la vie privée et familiale.

Dans ce cadre, la Commission vise la reconnaissance de son

rôle de leader tant national qu’international. Elle veut mar-

quer de son sceau la conception et l’élaboration de normes

pertinentes en matière de sécurité de l’information et de

protection de la vie privée et veiller à leur respect et à leur

promotion par le biais de mécanismes de contrôle appro-

priés.

Afin de formuler une réponse adaptée au caractère de plus

en plus international des traitements de données à caractère

personnel, la Commission entend se servir de sa position de

centre de référence national pour collaborer intensivement

dans le cadre de partenariats internationaux, et plus spéci-

fiquement des partenariats européens qui développent des

activités destinées à protéger les données à caractère per-

sonnel. Dans ce cadre, elle veille aussi à l’intégration ad hoc

de l’impact de l’internationalisation sur les traitements de

données nationaux.


traitement ultérieur — article 21 de l’arrêté royal du 13 fé-

vrier 2001 portant exécution de la loi du 8 décembre 1992 relative

à la protection de la vie privée à l’égard des traitements de données à

caractère personnel).

En siégeant dans des groupes de travail nationaux et inter-

nationaux (p. ex. le Groupe de travail Article 29, le Groupe

de Berlin, la Conférence des Commissaires ou d’autres or-

ganes de contrôle en matière de protection de la vie privée,

…) et de par ses contacts avec des organisations similaires à

l’étranger, la Commission marque de son sceau les proces-

sus décisionnels en matière de protection de la vie privée.

2.2 Politique de respect des disposi-tions légales

Ce pilier couvre un large éventail de tâches et n’est pas seu-

lement axé sur les instances publiques compétentes, mais

aussi sur les responsables de traitement. Les compétences

de la Commission en matière d’autorisation consistent à

accorder à une instance d’un secteur déterminé responsable

d’un traitement l’autorisation de procéder à ce traitement

et d’obtenir la communication de données à caractère per-

sonnel. Toujours à l’égard de ces mêmes responsables, la

Commission assume également des tâches de contrôle et

d’inspection, émet des recommandations (article 30, § 2 de

la Loi vie privée) et évalue les mesures de sécurité qui ont été

prises.

2.3 Information

Un troisième pilier d’activité de la Commission est celui de

la mission d’information dont elle est investie, aussi bien

à l’égard des instances publiques que des responsables de

La Commission a pour ambition constante de jouer un rôle

de leader en matière de protection de la vie privée, et ceci

tant à l’échelon national qu’à l’échelon international. Elle se

veut un centre de référence incontournable offrant un maxi-

mum de services aussi efficients que performants.

Pour cette raison, elle participe à l’élaboration de normes

pertinentes en matière de sécurité de l’information et de

protection de la vie privée. Elle est chargée de développer et

de surveiller ces normes et veille à leur bonne application.

Les différentes tâches de la Commission destinées à main-

tenir l’équilibre nécessaire se répartissent en cinq grands

domaines d’activité.

La Commission de la protection de la vie privée émet des

avis sur la législation et la normalisation, mène une poli-

tique d’encadrement normatif, diffuse des informations et

offre un soutien informatif, aide les personnes concernées

à exercer leurs droits et à respecter leurs obligations, traite

les plaintes relatives à des traitements de données qui lui

sont soumises et intervient en tant que médiateur, le cas

échéant, pour contribuer à garantir l’équilibre entre le droit

fondamental à la protection de la vie privée de chacun dans

le cadre du traitement de données à caractère personnel.

2.1 Réglementation et encadrement normatif

Dans ce domaine, les activités sont surtout axées d’une part

sur les autorités et/ou instances compétentes (avis – ar-

ticle 29 Loi vie privée, recommandations — article 30, § 1er

de la Loi vie privée) et, d’autre part, sur les responsabilités

en matière de traitement (recommandations relatives au

2 Les domaines d’activité de la Commission

Se profiler comme un leader reconnu au niveau national et international.

Faire office de centre de référence.

Développer ses cinq domaines d’activité.

12

• la communication des informations demandées par

des particuliers ou des responsables de traitement de

données ;

• l’élaboration d’un rapport annuel destiné au Parlement.

En répondant aux demandes de concertation informelle

préalable qui permet de tenir compte des exigences de la

Loi vie privée dès la phase de développement des projets, la

Commission aide tant les instances publiques que les res-

ponsables de traitement. La Commission aide également

les personnes dont les données sont traitées à exercer leurs

droits, notamment en les informant sur leurs droits et sur la

procédure à suivre.

Dans le cadre des échanges internationaux de données, la

Commission apporte son soutien aux instances qui exercent

des activités transfrontalières, e.a. en collaborant à des

groupes de travail internationaux dans lesquels sont éla-

borées des règles contraignantes relatives à la protection

des données à caractère personnel (p. ex. l’élaboration des

Binding Corporate Rules, …). À ce niveau, comme au niveau

national, la Commission soutient les personnes dont les

données sont traitées et intégrées dans des flux de données

transfrontières.

2.5 Traitement des plaintes

Ce domaine d’activité concerne plus particulièrement les

citoyens dont les données sont traitées. Il englobe le trai-

tement des plaintes et l’éventuelle procédure de médiation

qui peut y être liée. Lorsque les droits d’un citoyen dont les

données font l’objet d’un traitement ne sont pas respectés

par le responsable du traitement, la Commission intervient

à la demande de l’intéressé pour faire respecter ses droits

(droit d’opposition, de rectification, d’accès indirect, …).

Pour cela, la Commission met en œuvre les moyens dont elle

dispose (déclaration au procureur du Roi, action devant le

tribunal civil, …).

traitement ou encore des personnes concernées. On retrouve

dans ce domaine d’activité : le rapport annuel destiné au

Parlement et l’élaboration d’un plan de gestion, la rédaction

de son Règlement d’ordre intérieur, la tenue d’un registre

public et de manière plus générale, une tâche d’information

à l’égard du public (site web, conférences, réponses orien-

tées client, sensibilisation, …).

Il convient encore de souligner qu’au sein de ces différents

domaines d’activité, la Commission ne se limite pas néces-

sairement au territoire national. Ses actions ont aussi sou-

vent une dimension internationale et la Commission joue

un rôle d’information et de sensibilisation important sur la

scène internationale.

2.4 Assistance

Ce quatrième domaine d’activité concerne la mission d’in-

formation de la Commission. Dans ce cadre, elle s’adresse à

tous les groupes cibles :

• les autorités ;

• le secteur privé ;

• le citoyen ;

• le responsable du traitement de données (il peut s’agir

d’une personne physique ou d’une personne morale).

Dans ce domaine, les tâches de la Commission com-

prennent :

• la communication des informations demandées par

toute personne, qu’elle soit concernée par un traite-

ment de données ou responsable d’un/de traitement(s)

de données ;

• l’exercice du droit d’accès et de rectification (accès indi-

rect) ;

• le traitement des déclarations ;

• la tenue à jour du registre public ;

• la dispense d’informations dans le cadre du traitement

des plaintes ;


Lorsqu’il s’agit d’infractions internationales relatives à

la protection des données, la Commission apporte son

concours aux enquêtes internationales destinées à mettre

en place des solutions utiles qui demandent l’engagement

de toutes les instances concernées par la protection des

données.

2.6 Au niveau international

La Commission fait face à une internationalisation

croissante.

Elle siège dans des organismes de contrôle internatio-

naux.

Elle participe à des groupes de travail européens.

Elle fait partie du Groupe de travail Article 29.

Les interventions de la Commission dans les cinq domaines

d’activité précités ont souvent une portée internationale.

C’est ainsi que la Commission, non seulement siège, via

ses représentants, dans divers organes de contrôle inter-

nationaux (Schengen, Europol, etc.) mais participe aussi

activement, aux côtés de ses homologues, à des activités

organisées au sein d’organisations et de groupes de travail

européens et internationaux traitant des aspects politiques

et normatifs de la vie privée, notamment : le Groupe de tra-

vail Article 29, ou Groupe 29, constitué à l’échelle de l’Union

européenne, le Groupe de Berlin, la Conférence des Com-

missaires ou des organes de contrôle en matière de protec-

tion de la vie privée.

Plus l’internationalisation des échanges et des transferts de

données s’intensifie, plus le rôle et le statut de la Commis-

sion seront appelés, eux aussi, à s’internationaliser.

14

3 La composition de la Commission

Les membres de l’actuelle Commission ont débuté leurs activités le 2 décembre 2004, après avoir prêté serment entre les mains

du Président de la Chambre des Représentants, Monsieur Herman De Croo. Depuis, quelques changements sont intervenus

dans la composition de la Commission, notamment suite à la démission de certains des membres initialement désignés.

3.1 Membres effectifs

M. Willem Debeuckelaere (N) Président

M. Stefan Verschuere (F) Vice-président

Mme Mireille Salmon (F) Conseillère à la Cour d’appel de Bruxelles

M. Serge Mertens de Wilmars (F) Enseignant

Mme Anne Vander Donckt (N) Notaire

M. Frank Robben (N) Administrateur général de la Banque-carrefour de la Sécurité sociale

(BCSS) et de la plate-forme eHealth

M. Peter Poma (N) Juge de paix - Canton de Brasschaat

Mme Anne Junion (F) Avocate

3.2 Membres suppléants

Mme Nicole Lepoivre (F) Présidente honoraire du tribunal du travail de Huy

Présidente suppléante

M. Bart De Schutter (N) Professeur ordinaire émérite à la Vrije Universiteit Brussel (VUB)

Vice-président suppléant

M. Jan Remans (N) Rhumatologue

M. Rudy Trogh (N) Chef du personnel de la Banque Nationale de Belgique (BNB)

M. Eric Gheur (F) Administrateur-gérant de la SPRL Galaxia I.S.E. et

consultant en sécurité de l'information

Mme Françoise D'Hautcourt (F) Directrice du Centre des Technologies pour l’Enseignement de l’ULB

M. Frank Schuermans (N) Avocat général près la Cour d'appel de Gand

M. Yves Roger (F) Président du Comité sectoriel de la Sécurité Sociale et de la Santé


4.1 Profil des membres

La Commission compte seize membres :

• un président ;

• un vice-président ;

• six membres effectifs ;

• huit membres suppléants.

Tous peuvent se prévaloir d’une expertise en matière de pro-

tection de la vie privée et de gestion des données à caractère

personnel.

La Commission doit impérativement compter parmi ses

membres : un juriste, un informaticien et deux personnes

pouvant justifier d’une expérience professionnelle dans le

domaine de la gestion des données à caractère personnel,

respectivement dans le secteur public et dans le secteur

privé.

Le mandat de président est réservé à un magistrat.

4.2 Mandats des membres

Les seize membres de la Commission sont tous désignés

pour un mandat de six ans renouvelable.

4.3 Fonctions des membres

Le président et le vice-président sont les seuls à exercer leur

fonction à temps plein ; les autres membres ne sont tenus

que de prendre part aux séances de la Commission qui ont

lieu, en principe, toutes les trois semaines. En 2011, la Com-

mission a tenu 16 séances plénières.

4.4 Rôle du président

Les principales fonctions du président sont :

• il assume la haute direction de la Commission ;

• il définit sa politique ;

• il représente la Commission à l’échelle nationale et

internationale* ;

• il assure sa gestion quotidienne ;

• il préside les réunions de la Commission ;

• il préside de droit les comités sectoriels ;

• il joue à tout le moins un rôle de coordinateur à l’égard

des présidents des différents comités sectoriels.

* Il est à noter que la représentation de la Commission au

sein de groupes de travail et d’organismes de contrôle inter-

nationaux peut également être confiée à d’autres membres.

4.5 Comités sectoriels

Plusieurs comités sectoriels en charge de secteurs spéci-

fiques fonctionnent au sein de la Commission. Ils sont gé-

néralement composés pour moitié de membres de la Com-

mission.

4 La structure de la Commission

La Commission est constituée de seize membres.

Leur mandat est fixé à six ans.

Le Président est un magistrat.

La haute direction s’occupe de la gestion quotidienne de la Commission et de sa représentativité.

La Commission comprend des comités sectoriels.

Elle bénéficie de l’aide d’un Secrétariat.

16

4.6 Secrétariat

Les tâches de la Commission, aussi nombreuses que variées,

requièrent une préparation minutieuse et un important tra-

vail d’analyse préalable. En raison de l’étendue et de la com-

plexité de leurs tâches, la Commission et les comités secto-

riels sont aidés par une administration, baptisée « Secréta-

riat » par la loi belge.


La haute direction de cette administration que représente le

Secrétariat est confiée par la loi au président de la Commis-

sion et sa direction générale est assurée par un administra-

teur. L’administration est divisée en trois sections, chacune

dirigée par un chef de section.

Organisation du Secrétariat

La mission de l’administration par rapport à la politique

générale de la Commission peut se résumer en trois mots :

préparation, soutien et exécution.

Le Secrétariat intervient ainsi dans l’élaboration des dos-

siers, et plus particulièrement dans ceux relatifs aux divers

projets d’avis, de recommandation ou d’autorisation. Ils

sont préparés par un agent, en étroite concertation avec le

commissaire rapporteur chargé de superviser la rédaction

du projet.

Dans un souci de gérer les dossiers individuels des citoyens

de la manière la plus efficace possible, l’administration

opère un tri entre les affaires courantes susceptibles d’être

réglées rapidement dans le cadre d’un traitement de pre-

mière ligne et celles qui nécessitent un examen plus appro-

fondi, donc souvent plus long.

5 La structure de l’administration

Elle prépare, soutient et exécute.

Elle élabore les dossiers.

18

prises (CS BCE) ;

• le Comité de surveillance sectoriel Phenix (CS Phenix) ;

• le Comité de surveillance statistique (CS STAT).

En ce qui concerne le Comité de surveillance statistique, les

candidatures ont été reçues, mais la procédure de désigna-

tion n’a pas abouti.

Pour chacun des comités sectoriels un tableau de bord pour

les réunions a été élaboré, les délibérations sont préparées

par une équipe de juristes experts en la matière et l’unifor-

mité/la consistance des projets de décision est assurée par

un secrétaire-juriste.

En ce qui concerne l’exercice pratique des compétences,

les activités du CS STAT sont assurées par la Commission

elle-même, et ce conformément à l’article 16 de l’arrêté royal

du 7 juin 2007, lequel prévoit que la Commission exerce les

compétences du Comité jusqu’à ce qu’il soit pourvu à sa

composition.

6.2 Contrôle de la vie privée - Évaluation

Ce qu’on appelle le contrôle de la vie privée constitue un élé-

ment important du Règlement d’ordre intérieur. Cela signi-

fie que lors du processus décisionnel et de l’examen du dos-

sier, une attention particulière est accordée au cadre maté-

riel et légal et surtout au contrôle des principes qui régissent

les traitements de données à caractère personnel et à leur

impact sur la vie privée des personnes concernées.

Il est en effet indispensable que la Commission et son admi-

nistration fonctionnent conformément à la vision dévelop-

pée dans le plan de gestion et exprimée dans les objectifs

qui stipulent expressément que la Commission souhaite

La mission de l’administration dans le contexte de la poli-

tique générale de la Commission se résume en trois mots :

préparation, assistance et exécution.

Le Secrétariat élabore les dossiers, plus particulièrement les

projets d’avis, de recommandations et d’autorisations. Ces

documents sont préparés par un fonctionnaire, en étroite

collaboration avec un commissaire-rapporteur chargé de

superviser la rédaction des projets.

Pour traiter les dossiers de citoyens individuels le plus effi-

cacement possible, l’administration répartit ces dossiers en

dossier de première et de deuxième ligne. Le traitement de

première ligne permet un suivi rapide de dossiers courants,

tandis que le traitement de deuxième ligne cible surtout les

dossiers plus complexes.

6.1 Intégration des comités sectoriels

En vertu de l’article 31bis de la Loi vie privée, les organes de

protection spécifiques déjà institués par la loi et les organes

de protection spécifiques que le législateur estime néces-

saires ou a l’intention de créer à l’avenir dans un certain

nombre de domaines, sont désormais intégrés dans la Com-

mission.

Il existe donc actuellement six comités sectoriels, dont un

doit encore être constitué :

• le Comité sectoriel de la Sécurité Sociale et de la Santé

(CS SS & S) ;

• le Comité sectoriel du Registre national (CS RN) ;

• le Comité sectoriel pour l’Autorité Fédérale (CS AF) ;

• le Comité sectoriel de la Banque-Carrefour des Entre-

6 Le plan de gestion de la Commission


En 2011, une attention particulière a en outre été consacrée à

la sensibilisation des jeunes.

À l’occasion de la Journée de la protection des données, le

site Internet http ://www.jedecide.be a été présenté en détail

aux deux ministres de l’Enseignement. Ce site Internet a

été créé afin de sensibiliser les jeunes et fournit des infor-

mations sur la protection des données en s’adressant aux

enfants (public cible 8-12 ans), aux adolescents (13-16 ans),

aux parents et au monde de l’enseignement.

6.4 Soutien de la Commission et des comités sectoriels

Le Secrétariat offre son soutien à la Commission et aux comi-

tés sectoriels sous la forme d’une préparation et d’analyses

préalables. Parmi les points forts de ce soutien, on note la

rapidité et le caractère complet de l’information envoyée aux

commissaires sur les travaux préparatoires. À cette fin, la

Commission utilise une application qui permet de mettre

les dossiers à la disposition de tous les commissaires et de

tous les collaborateurs du Secrétariat, et ce de la création du

dossier à l’envoi de l’avis définitif.

6.5 Coopération internationale

En 2011, la présidence et le secrétariat ont participé aux réu-

nions et aux divers groupes de travail internationaux opé-

rant sur un mode institutionnalisé, tout en se focalisant sur

la préparation de la nouvelle réglementation européenne

qui remplacerait la directive actuelle.

6.6 Politique de respect des dispositions légales

En ce qui concerne la politique de respect des dispositions

légales, les deux lignes d’action définies en 2009 ont été

poursuivies. Les contrôles légaux vis-à-vis du Centre d’in-

formation et d’avis sur les organisations sectaires et nui-

sibles et de la Fédération Européenne pour Enfants Disparus

et Sexuellement Exploités effectués en 2009 ont été clôturés

agir dans une optique sociale et veiller à la défense équitable

de la protection de la vie privée face aux ambitions légitimes

des autorités, des services et des entreprises fonctionnels et

bien organisés.

En 2011, douze initiatives réglementaires au sujet desquelles

la Commission a émis un avis ont fait l’objet d’une évalua-

tion.

Il est ressorti de l’analyse que le législateur a largement

tenu compte des remarques/suggestions de la Commission.

Les modifications apportées ont toutes eu un effet neutre ou

positif en termes d’impact sur la vie privée.

La Commission a aussi émis des recommandations d’ini-

tiative visant à encourager proactivement les modes de trai-

tement et les attitudes positives en termes de protection de

la vie privée (poursuite de l’accompagnement des différents

acteurs de la télébilletique dans les transports en commun,

smart grids et compteurs intelligents, caméras de surveil-

lance dans les lieux de détention, enregistrement des appels

téléphoniques depuis et vers les commissariats de police et

les hôpitaux, copie de la carte d’identité électronique, …).

6.3 Information au public

Un des buts stratégiques énoncés par la Commission dans

son plan de gestion est de contribuer à une meilleure infor-

mation du public (responsable du traitement et personne

concernée), d’une part en répondant aux demandes d’infor-

mations par le biais des services de la section Relations

Externes et, d’autre part, en mettant l’information à la dis-

position du public dans le cadre d’une stratégie de commu-

nication active.

Le site web http ://www.privacycommission.be est un des

canaux utilisés par la Commission pour réaliser cet objectif.

Les informations proposées sur ce site sont régulièrement

enrichies et actualisées.

Les traitements de données des organismes de sécurité so-

ciale ont été publiés dans le Registre public.

20

Grâce à une intervention des divers services de tarification,

les traitements de données effectués par les pharmaciens

ont été déclarés de manière centralisée. Les déclarations

de traitements de données effectués par les institutions de

sécurité sociale ont également été intégrées au site Internet

de la Commission.

6.8 Vie privée et recherche scientifique

En 2008, la Commission s’était penchée sur la protection des

données à caractère personnel dans le cadre de la recherche

scientifique, ce qui avait débouché à l’époque sur une jour-

née d’étude et sur la publication d’un vade-mecum pour le

chercheur. En tant que pays hôte du case handling workshop

(une réunion des représentant des secrétariats des Commis-

sions vie privée européennes) des 18 et 19 mars 2010, la Com-

mission a inscrit ce thème à l’ordre du jour du workshop et y

a fourni une contribution sur ce sujet.

La vie privée et la recherche scientifique ont bénéficié d’une

attention plus soutenue lors du congrès international orga-

nisé par la Commission en 2010 dans le cadre de la prési-

dence belge de l’UE, qui était exclusivement consacré à ce

thème. Le premier jour, les participants ont pu s’informer

en détail grâce aux tutoriels et lors des workshops orga-

nisés le deuxième jour, ils ont pu discuter avec des spé-

cialistes du domaine de la vie privée ainsi que de diverses

disciplines scientifiques. L’objectif principal du congrès

était en effet d’instaurer un dialogue entre les commissions

(européennes) de protection de la vie privée et les chercheurs

scientifiques et d’ainsi rapprocher ces deux mondes.

En 2011, à l’issue de ce congrès scientifique, la Commission

a élaboré deux brochures concernant la recherche scienti-

fique, destinées aux chercheurs. En outre, une collabora-

trice a contribué à la rédaction d’un chapitre spécifique rela-

tif au traitement des données à caractère personnel dans le

cadre de la recherche scientifique repris dans le projet de

règlement européen.

par la communication des conclusions aux responsables

concernés.

L’arrêté royal annoncé dans la Loi vie privée qui vise à éta-

blir les tâches du préposé à la protection des données et la

façon dont celui-ci devra s’acquitter de ses tâches, ainsi que

la manière dont le Centre devra informer la Commission,

n’a cependant toujours pas été adopté.

En 2011, le Secrétariat a pris deux initiatives afin d’améliorer

la qualité des réponses fournies dans la cadre de l’article 13

de la Loi vie privée (l’accès dit aux données traitées par les

services de police et de renseignements). Cette activité sera

décrite plus en détail dans la rubrique 7.5.1 ci-après. La

Commission a en outre protesté auprès du ministre com-

pétent contre la centralisation réduite de la gestion et des

demandes d’information au sein des services de police. Elle

craint que, à cause de l’élimination de cette centralisation,

les délais de traitement des demandes d’information au-

près des services de police décentralisés seront encore plus

longs.

Avec la nouvelle ministre, la Commission a entamé des dis-

cussions afin de convenir d’une procédure efficace pour la

personne concernée, oú les services de police assument plei-

nement leur rôle de fournisseur d’informations lors de trai-

tements de données et où la Commission peut s’acquitter de

sa tâche d’autorité de contrôle.

Étant donné que la Commission reçoit de plus en plus de

questions relatives aux données dans des articles de presse,

elle a convenu d’une procédure de consultation avec les

conseils de déontologie du journalisme, tant du côté fla-

mand que du côté wallon.

6.7 Déclarations et registre public

Les caméras ont toujours fait l’objet de nombreuses déclara-

tions en 2011, même si leur nombre était nettement inférieur

à celui de 2010.


7.1 E-government

7.1.1 Avis n° 18/2011 du 7 septembre 2011

• Institution d’un intégrateur de services flamand

• Nécessité d’un encadrement décrétal

• Conflits de compétences

Le 25 juillet 2011, l’avis de la Commission a été sollicité à

propos d’un avant-projet de décret relatif à l’institution et à

l’organisation d’un intégrateur de services flamand.

Depuis 2008 déjà, la Commission insiste sur la nécessité

d’un encadrement décrétal détaillé de l’intégrateur de ser-

vices flamand (voir son avis n° 01/2008). Le Comité sectoriel

pour l’Autorité Fédérale s’est rallié à cette position (voir le

point 13 de la délibération AF n° 15/2009), tout comme le

Comité sectoriel du Registre national (voir le point 44 de la

délibération RN n° 07/2011) et la Commission de contrôle

flamande (voir la délibération CCF n° 02/2010).

Plusieurs articles du projet s’inspiraient de dispositions de

l’avant-projet de loi relative à l’institution et à l’organisation

d’un Intégrateur de Services fédéral — qui date de 2008 et

qui, au grand étonnement de la Commission, n’a pas encore

été introduit au parlement fédéral — de sorte qu’un certain

nombre de remarques formulées à l’époque par la Commis-

sion ont été reprises dans cet avis.

L’avant-projet de décret comportait toutefois 2 points pro-

blématiques importants.

Premièrement, le texte passe sous silence la question de

savoir qui interviendra en tant qu’intégrateur de services

flamand : le SGS eIB, qui fait partie du département Affaires

administratives, ou CORVE qui, sur le plan organisationnel,

fait partie du SGS eIB ? En tenant compte du rôle (missions,

tâches, responsabilités, …) qu’un intégrateur de services

publics remplit, la Commission estime que l’intégrateur de

services flamand doit non seulement disposer d’un statut

juridique clair mais également de l’autonomie nécessaire

pour remplir cette tâche. Un SGS directement géré par le

ministre compétent ne constitue pas l’instrument approprié

à cet effet, alors que l’Autorité flamande dispose pourtant

de plusieurs instruments plus adéquats à cette fin comme

une agence autonomisée interne, une agence autonomisée

externe, …

Deuxièmement, la Commission a toujours plaidé en faveur

d’une délimitation claire du champ d’action d’un intégrateur

de services de sorte qu’un client, en l’occurrence un service

public, n’utilise en principe qu’un seul intégrateur de ser-

vices comme interlocuteur. De cette manière, le client n’est

confronté qu’à un seul système de gestion des utilisateurs

et des accès, un seul ensemble de spécifications techniques,

etc. La délimitation du champ d’action de l’intégrateur de

services flamand ne peut évidemment pas porter préjudice

à la répartition des compétences qui a été fixée dans la loi

spéciale de réformes institutionnelles du 8 août 1980. Vu ce

contexte juridique complexe, il est presque inévitable que

des domaines de compétence d’intégrateurs de services

dans le secteur public se rejoignent sur certains points ou

même se chevauchent. La Commission constate que le pro-

jet de texte ne comporte aucune disposition permettant de

clarifier/de résoudre des problèmes de répartition de com-

pétences entre l’intégrateur de services flamand et les autres

intégrateurs de services.

L’avis rendu par la Commission est dès lors défavorable.

7 Principales activités nationales de la Commission

22

voquer un intérêt se rapportant directement à la légis-

lation sociale ;

• l’extension visée du réseau contribuera à un flux de

données plus sûr entre la Banque-carrefour, les institu-

tions de sécurité sociale et les organismes de pension

et de solidarité, étant donné que de cette manière, de

nombreuses dispositions pénales et de protection des

données, issues de la loi BCSS, seront rendues appli-

cables à ces organismes ;

• les organismes qui, outre la gestion des réserves et des

engagements de pension, accomplissent également

d’autres tâches, doivent dans la pratique prendre des

mesures afin que le service concerné de l’organisme qui

est chargé d’exécuter les tâches visées soit suffisam-

ment indépendant du reste de l’organisation pour s’ac-

quitter en toute autonomie des droits et obligations que

lui confère l’extension du réseau de la sécurité sociale

et afin d’éviter tout conflit de compétences lors de l’exé-

cution de ces tâches. Les assureurs devront par consé-

quent prendre des mesures de sécurité techniques et

organisationnelles adéquates (conformément à l’ar-

ticle 16 de la LVP) afin par exemple de ne pouvoir traiter

le numéro de Registre national que pour l’application

de la réglementation dont il est question dans le projet

et non pour d’autres finalités non autorisées ;

• pour l’accomplissement de leurs tâches dans le cadre

de la réglementation dont il est question dans le pro-

jet, les organismes de pension et de solidarité ont déjà

accès au Registre national des personnes physiques et

peuvent utiliser le numéro d’identification de ce Re-

gistre sur la base de la délibération RN n° 49/2010 du

2 décembre 2010 du Comité sectoriel du Registre natio-

nal. Suite à l’extension, il n’est donc pas question d’uti-

lisation ou d’accès indirect à des données du Registre

national ;

• dans la même délibération, le Comité sectoriel du Re-

gistre national estime recommandé que, dans l’attente

de leur intégration effective dans le réseau de la sécurité

sociale, le Comité sectoriel de la Sécurité Sociale et de

7.2 Échange électronique de données administratives

7.2.1 Avis n° 03/2011 du 9 février 2011

• Extension du réseau de la sécurité sociale aux orga-

nismes de pension et de solidarité

• Fondement légal

• Possibilité pour les organismes de pension et de solida-

rité d’invoquer un intérêt se rapportant directement à la

législation sociale

Projet d’arrêté royal modifiant l’arrêté royal du 15 octobre 2004

relatif à l’extension du réseau de la sécurité sociale aux organismes

de pension et de solidarité chargés d’exécuter la loi du 28 avril 2003

relative aux pensions complémentaires et au régime fiscal de celles-

ci et de certains avantages complémentaires en matière de sécurité

sociale, en application de l’article 18 de la loi du 15 janvier 1990 rela-

tive à l’institution et à l’organisation d’une Banque-Carrefour de la

Sécurité sociale

Le 9 février 2011, la Commission a émis un avis à ce sujet à

la demande du ministre des Affaires sociales et de la Santé

publique.

Afin d’inclure dans le réseau de la sécurité sociale tous les

organismes de pension et de solidarité chargés d’organiser

les pensions complémentaires, y compris les éventuelles

prestations de solidarité, tant en faveur des travailleurs

salariés que des travailleurs indépendants et des agents

du secteur public, il est proposé de modifier l’arrêté royal

du 15 octobre 2004 pour y inscrire ces organismes et y in-

troduire une référence aux missions qu’ils accomplissent

en vertu du Titre XI, Chapitre VII de la loi-programme (I)

du 27 décembre 2006.

La Commission a formulé les remarques suivantes :

• l’extension envisagée dispose d’un fondement légal

(article 18 de la loi BCSS) ;

• les organismes de pension et de solidarité peuvent in-


Le 15 juin 2011, la Commission a émis une recommandation

à ce sujet à la demande de la Direction générale Statistique

et Information économique.

La Direction générale Statistique et Information écono-

mique doit donner exécution à la Generations and Gender Panel

Study suite au protocole d’accord entre l’autorité fédérale et

les autorités régionales flamandes et wallonnes. Le proto-

cole d’accord concerne notamment la diffusion des données

GGPS belges aux commanditaires précités de l’enquête, à la

« Population Activity Unit » de la Commission économique

pour l’Europe des Nations Unies et à des utilisateurs ex-

ternes pour d’autres analyses statistiques ou scientifiques.

La recommandation de la Commission concerne la collecte

des données par la DGSIE, la communication des données

aux commanditaires et à l’ONU, ainsi que la mise à disposi-

tion des données par l’ONU à des chercheurs externes.

En ce qui concerne la collecte de données GGPS de ré-

pondants belges par l’exécutant DGSIE, la Commission

confirme que la DGSIE est légalement compétente pour

effectuer de telles études statistiques pour le compte des

commanditaires précités, et ce sur la base de la loi du 4 juil-

let 1962 relative à la statistique publique.

La Commission part du principe que le fichier que la DGSIE

transmettra aux commanditaires et à l’ONU sur la base du

protocole ne contient pas de données anonymisées mais des

données à caractère personnel codées au sens de l’AR du

13 février 2011.

La Commission considère l’ONU et les commanditaires

comme des destinataires légitimes de la GGPS belge du

protocole d’accord.

La Commission accepte qu’au lieu de suivre la procédure

nationale devant le Comité de surveillance statistique, des

tiers qui souhaitent consulter des données GGPS belges des

fichiers ONU en vue d’autres analyses statistiques ou scien-

tifiques suivent la procédure d’accès internationale au ni-

la Santé se charge de contrôler, pour ces organismes,

l’adéquation de leur politique de sécurité ainsi que la

qualité de leur conseiller en sécurité ;

• l’intégration dans le réseau ne porte pas préjudice à

l’exigence de principe selon laquelle les organismes

de pension et de solidarité communiquent les données

sociales à caractère personnel au sein et en dehors du

réseau de la sécurité sociale uniquement si la section

« Sécurité sociale » du Comité sectoriel de la Sécurité

Sociale et de la Santé a accordé une autorisation, sauf

dans les cas prévus dans la loi BCSS ;

• enfin, le projet accorde de l’attention aux organismes de

pension et de solidarité de petite taille : si les données

des travailleurs peuvent être réclamées tout simple-

ment auprès de l’employeur ou être collectées directe-

ment auprès de l’indépendant concerné ou du chef d’en-

treprise indépendant, c’est possible sans intervention

du réseau en question. C’est également ce qui ressort

du Rapport au Roi qui souligne que le conseiller en sé-

curité peut être celui dont dispose déjà les organismes

de pension et de solidarité concernés dans le cadre des

assurances accidents du travail qu’ils gèrent éventuel-

lement. La Commission estime que c’est une bonne

chose pour les organismes de pension plus petits, non

seulement au niveau du coût, mais aussi au niveau de

l’uniformité en matière de sécurité de l’information.

En outre, la personne concernée aura, le cas échéant,

déjà été acceptée par le Comité sectoriel de la Sécurité

Sociale et de la Santé en tant que conseiller en sécurité.

7.2.2 Recommandation n° 05/2011 du

15 juin 2011

• Communication des données GGPS (Generations and

Gender Panel Study) à l’organisation internationale ONU

dans le cadre d’un protocole d’accord

• Accès contrôlé et organisé par phases aux données

GGPS

24

incluant un contrat fixant notamment la responsabilité du

premier à l’égard du second.

Le couplage précité serait réalisé via l’infrastructure de la

BCSS, sous le contrôle de la DGSIE, les données à caractère

personnel provenant de la DGSIE étant immédiatement dé-

truites après avoir été couplées et codées ou anonymisées.

Les collaborateurs concernés de la BCSS signeraient une

déclaration dans laquelle ils marquent explicitement leur

accord pour respecter le secret statistique.

Tout transfert de données à caractère personnel par la BCSS

dans le cadre de la recherche scientifique ou de l’appui stra-

tégique serait soumis à une autorisation préalable du Comi-

té sectoriel de la Sécurité Sociale et de la Santé, car la majo-

rité des données à caractère personnel en question provient

des institutions de sécurité sociale.

Selon la Commission, la méthode proposée est non seule-

ment recommandée du point de vue de l’optimalisation du

processus, mais aussi du point de vue de la protection des

données, notamment de l’article 4 de la LVP. La Commission

souligne en effet qu’il n’est pas recommandé que des don-

nées à caractère personnel issues de banques de données so-

ciales soient transférées en masse de la BCSS vers la DGSIE

pour y être couplées avec un nombre limité d’autres données

à caractère personnel provenant d’autres sources, alors que

ce flux de données peut tout à fait être évité en laissant la

BCSS réaliser elle-même ce couplage au moyen des variables

limitées fournies par la DGSIE.

La communication d’un nombre limité de données à carac-

tère personnel non codées de la DGSIE à la BCSS dans ce but

n’est d’ailleurs pas contraire à l’article 15 de la loi du 4 juil-

let 1962 relative à la statistique publique, d’autant plus si la BCSS

intervient en tant que sous-traitant de la DGSIE. Une solu-

tion similaire a déjà été recommandée par la Commission

(en lieu et place du Comité de surveillance statistique) dans

la recommandation STAT n° 01/2010 du 19 mai 2010.

veau de l’ONU, laquelle prévoit en effet un accès contrôlé et

organisé par phases aux données GGPS afin de minimaliser

le risque de réutilisation incompatible ou d’abus de données

publiées en ligne.

La Commission attire l’attention des tiers qui s’adressent

à la DGSIE pour obtenir des données GGPS belges en vue

d’autres analyses statistiques ou scientifiques sur la régle-

mentation légale nationale contenue dans les articles 15 et

15bis de la loi du 4 juillet 1962 relative à la statistique publique

(procédure d’autorisation auprès du Comité de surveillance

statistique).


9 février 2011

• Couplage de données à caractère personnel provenant

de banques de données de la DGSIE et de la BCSS à des

fins de recherche scientifique

• Intervention de la BCSS en tant que sous-traitant

• Confirmation de la méthode de travail du Comité Sec-

toriel de la Sécurité sociale

Le 9 février 2011, la Commission a émis une recommanda-

tion à ce sujet à la demande du Comité sectoriel de la Sécu-

rité Sociale et de la Santé.

Dans cette recommandation, la Commission ratifie la mé-

thode adoptée par le Comité sectoriel de la Sécurité Sociale

et de la Santé lorsqu’un nombre limité de données à carac-

tère personnel provenant de la DGSIE doivent être couplées

à un nombre important de données à caractère personnel

provenant des institutions de sécurité sociale à des fins de

recherche scientifique ou d’appui stratégique.

Dans cette situation, la BCSS interviendrait en tant que

sous-traitant de la DGSIE pour le couplage des données à ca-

ractère personnel de la DGSIE avec les données à caractère

personnel provenant des institutions de sécurité sociale,


La Commission a émis un avis favorable à la condition que

les modalités d’exécution pertinentes soient soumises à

l’avis préalable de la Commission.

La Commission souhaitait ainsi obtenir, d’une part, que l’on

détermine de façon suffisamment claire quelles données

d’identification des ouvriers doivent être communiquées au

cocontractant par l’employeur avant le début des travaux.

En ce qui concerne le système électronique, elle souhaite

veiller, d’autre part, à ce que les modalités concrètes d’in-

troduction, de consultation, de communication, de conser-

vation, … de données à caractère personnel soient réglées

de manière suffisamment claire, ceci eu égard au caractère

sensible et crucial de chacun de ces traitements pour la pro-

tection de la vie privée.

7.3 Secteur financier

7.3.1 Avis n° 06/2011 du 9 février 2011

• Accès plus rapide pour la BNB aux informations de cré-

dit concernant les entreprises

• Pour une stabilité financière, la supervision bancaire et

la recherche scientifique

• Désignation d’un fonctionnaire préposé à la protection

des données

Depuis la loi du 22 mars 1993, la Banque Nationale de Bel-

gique est chargée de la gestion de la Centrale des Crédits

aux Entreprises. Tous les établissements de crédit établis

en Belgique et certaines entreprises d’assurances commu-

niquent des informations sur les entreprises et particuliers

qui ont obtenu, auprès du même établissement, des crédits

d’un montant minimum de 25 000 euros dans le cadre de

leur activité professionnelle. La crainte d’une pénurie de

crédit («credit crunch ») après la crise financière et écono-

mique de 2008 s’avère constituer l’impulsion de différentes

mesures destinées à prévenir ou réduire un resserrement de

crédit aux entreprises en Belgique, et à donner plus rapide-

ment accès aux informations de crédit concernant les entre-

La Commission marque également son accord sur le point

de vue suivant : étant donné que le Comité sectoriel de la

Sécurité Sociale et de la Santé est déjà compétent pour la

communication de la plupart des données à caractère per-

sonnel codées, il n’est pas recommandé que le Comité de

surveillance statistique, également institué au sein de la

Commission, doive aussi se prononcer sur la communica-

tion aux chercheurs du nombre limité de données à carac-

tère personnel codées provenant de la DGSIE.

La Commission souligne encore à cet égard que la princi-

pale garantie consiste finalement à ce que les données à

caractère personnel ne soient pas accessibles sans autorisa-

tion de principe d’un de ses comités (à savoir donc le Comité

sectoriel de la Sécurité Sociale et de la Santé) et à ce que l’uti-

lisateur autorisé ne puisse raisonnablement pas retrouver

les personnes concernées via les données obtenues.

7.2.4 Avis n° 33/2011 du 30 novembre 2011

• Enregistrement des personnes présentes sur des chan-

tiers temporaires ou mobiles et paiement du salaire

minimum

• Lutte contre la fraude sociale

Le 30 novembre 2011, la Commission a émis un avis favo-

rable sur les projets d’amendement au projet de loi portant

des dispositions fiscales et diverses, qui vise notamment à

modifier la loi du 4 août 1996 relative au bien-être des travailleurs

lors de l’exécution de leur travail.

Le premier amendement s’inscrivait dans le cadre de la lutte

contre la fraude sociale dans le secteur de la construction,

plus précisément en ce qui concerne le paiement des salaires

minimaux dans ce secteur. L’objectif du deuxième amende-

ment était d’introduire un système électronique pour l’enre-

gistrement des personnes présentes sur des chantiers tem-

poraires ou mobiles.

26

principes exposés au Chapitre II de l’arrêté royal du

13 février 2001 portant exécution de la Loi vie privée. Plus

particulièrement, en ce qui regarde les traitements

portant sur les données relatives au risque de défail-

lance visant à permettre de mesurer et de contrôler le

risque globalement supporté par chaque établissement

financier, la Commission a suggéré de rendre les don-

nées à caractère personnel non identifiables en utili-

sant, si nécessaire, des codes ;

• la nécessité de la suppression du seuil existant de com-

munication de 25 000 euros (volet positif ) n’est pas

motivée dans l’Exposé des motifs de l’avant-projet.

Le fait de pouvoir disposer de plus de données per-

mettra peut-être à la BNB et aux participants de mieux

réaliser les objectifs précités via une analyse de risques

plus précise. Il serait souhaitable néanmoins qu’une

justification figure à tout le moins dans l’Exposé des

motifs. La Commission s’est demandée en outre si une

réduction drastique en lieu et place d’une suppression

pure et simple du seuil de communication ne pourrait

pas suffire ;

• l’introduction de l’obligation de faire enregistrer le

risque de défaut de paiement a priori par les institu-

tions déclarantes est une innovation. Il s’avère toute-

fois que chaque institution gère déjà des informations

de ce type, nécessaires à une bonne évaluation des

risques encourus dans leur activité d’octroi de crédit.

Il ressort de l’Exposé des motifs du projet et des expli-

cations fournies par la Banque nationale que la base

de données (CCE) liée à ce risque vise également à per-

mettre, globalement au niveau de chaque banque, une

supervision des risques supportés (CBFA/BNB). Dans

le cadre de cette dernière finalité, il ressort du projet

d’arrêté royal relatif à la CCE également soumis à l’avis

de la Commission que les données traitées à cette fin

ne sont accessibles ni aux institutions déclarantes

(confidentialité des données et impact négatif pour les

débiteurs), ni aux personnes concernées (confidentia-

lité du savoir-faire). Ce principe de non communication

de telles données existe dans des centrales étrangères

prises. L’avant-projet s’inscrit dans ce cadre et répond à un

double objectif lié : l’ensemble des données collectées (don-

nées périodiques sur les crédits et sur les risques) sert à la

Banque nationale dans le cadre de ses missions relatives à la

stabilité financière, à la supervision bancaire (missions hé-

ritées de la CBFA) et dans le cadre d’études et de recherches

scientifiques et permet aux participants d’affiner la gestion

de leurs propres risques.

L’avant-projet prévoit les nouvelles mesures suivantes :

• selon l’Exposé des motifs (Développements) : l’enregis-

trement de la communication mensuelle à la CCE des

défauts de paiement, des montants des garanties et de

la probabilité de défaut de paiement dans l’année qui

suit ;

• l’extension de la liste des entreprises tenues à déclara-

tion ;

• la suppression du seuil de communication de

25 000 euros ;

• l’habilitation pour la Banque et les déclarants à enre-

gistrer le numéro d’identification du Registre national

des personnes physiques et à l’utiliser dans leurs rela-

tions dans le cadre de la présente loi.

Suite à son analyse, la Commission a notamment estimé

que :

• la BNB est responsable du traitement CCE, à l’exception

des propres responsabilités qui reposent sur les insti-

tutions qui effectuent une déclaration ;

• le législateur doit fixer les éléments essentiels afin d’of-

frir à la personne concernée des garanties très claires

et suffisantes d’un traitement qualitatif et transparent

de ses données, en appliquant également les droits des

personnes morales concernées ;

• le traitement ultérieur des données de la CCE qui serait

exécuté par la Centrale en vue des finalités détermi-

nées ou déterminables est compatible avec le traite-

ment initial. À cet égard, la Commission recommande,

en cas de traitement ultérieur, de tenir compte des


La Commission a estimé que :

• concernant les données des personnes physiques béné-

ficiaires qui sont enregistrées dans la CCE, seules les

données essentielles (nom, prénom, date de naissance)

peuvent être enregistrées, sous peine de redondances.

En cas de nécessité, les données volatiles doivent être

recherchées auprès de la source authentique en la ma-

tière via l’usage d’un «webservice ». Pour ces mêmes

personnes, la Commission recommande qu’il soit fait

référence à l’adresse du siège de l’entreprise par préfé-

rence à celle du domicile ou de la résidence de la per-

sonne physique, sauf en cas d’absolue nécessité ;

• les plus expresses réserves doivent être émises quant

au fait que les données relatives à la probabilité de la

survenance d’un défaut de paiement dans un délai de

1 an ainsi qu’au montant total que l’institution estime

pouvoir récupérer en recourant à toutes les garanties

fournies ne sont pas communiquées dans la réponse

de la Centrale à l’exercice du droit d’accès. En effet, un

arrêté royal ne peut déroger à la loi, en l’occurrence

l’article 10 de la Loi vie privée qui prévoit la commu-

nication, sous une forme intelligible, à la personne

concernée de ses données faisant l’objet d’un traite-

ment. Certes, l’article 3, § 5 de la Loi vie privée énu-

mère limitativement les hypothèses dans lesquelles

les articles 9, 10 § 1er et 12 de la loi ne s’appliquent pas.

On ne se trouve dans aucune de ces hypothèses. Une

dérogation éventuelle devrait être prévue par une loi.

En outre, la Commission a estimé qu’une telle déroga-

tion ne serait admissible que si les données liées à un

risque de défaut de paiement étaient bien enregistrées

de manière codée ainsi que recommandé dans son avis

sur le projet de loi.

La Commission a également recommandé de prévoir une

journalisation (logging) en vue du traçage des accès aux

données permettant, à l’instar de ce qui se fait au Registre

national, à la personne concernée de prendre connaissance

des entités qui, aux cours des 6 mois écoulés, ont consulté

semblables à la CCE. Dans la mesure où ces données ne

sont pas destinées à être communiquées, ni être exploi-

tées par la BNB ou la CBFA de manière à produire un

effet quelconque sur la personne concernée, la Com-

mission a recommandé expressément que les données

d’identification liées au risque de défaut de paiement a

priori soient enregistrées de manière codée. Dans cette

optique et pour cette finalité, le projet de loi doit alors

prévoir une dérogation à l’article 9 de la Loi vie privée ;

• au niveau de la BNB, un fonctionnaire préposé à la pro-

tection des données doit être désigné, dont l’objectif est

de veiller au respect des principes de la Loi vie privée

dans les traitements de la CCE ;

• les arrêtés prévus par l’avant-projet ne soient pas pris

uniquement après avis de la BNB et des institutions te-

nues à déclaration (comme le mentionne l’article 18 de

l’avant-projet), mais aussi après avis de la Commission.

La Commission a émis un avis positif sur cet avant-projet de

loi à condition que ses remarques/recommandations soient

prises en compte.

7.3.2 Avis n° 07/2011 du 9 février 2011

• Exécution de la loi relative à la Centrale des Crédits aux

Entreprises

• Recherche des données volatiles auprès de la source

authentique via un «webservice »

• Réserve en ce qui concerne la probabilité de la surve-

nance d’un défaut de paiement

• Introduction d’un système de journalisation

Ce projet vise à exécuter la loi relative à la CCE (LCCE) dont

le projet a fait l’objet de l’avis n° 06/2011 du 9 février 2011.

La Commission a émis le constat que le projet de texte de

l’arrêté royal n’était pas accompagné d’un rapport au Roi, ce

qui n’en a pas facilité la compréhension, ni l’analyse de la

pertinence du traitement de certaines données.

28

Dans son avis n°36/2011, la Commission a rappelé que seule

la loi pouvait fixer les éléments essentiels du traitement en-

visagé, conformément à l’article 22 de la Constitution et à

l’article 8 de la C.E.D.H. En outre, la Commission a constaté

que l’article 322 du CIR ne déléguait au Roi que le pouvoir

d’organiser le mode de fonctionnement du PCC et qu’aucune

habilitation ne Lui avait été donnée pour définir le type de

données concernées, leur délai de conservation, leurs mo-

dalités de consultation ou encore la récurrence de l’obliga-

tion de notification.

En outre, la Commission a rappelé que l’accès au registre na-

tional devait être autorisé par le Comité sectoriel ad hoc, dès

lors l’autorisation d’utiliser le numéro d’identification du

Registre national n’implique pas automatiquement l’accès

aux données du Registre national, comme le sous-entendait

le projet d’arrêté royal.

En conclusion, la Commission émis un avis positif sous

réserve de modifier l’habilitation au Roi mentionnée dans

l’article 322 du CIR, de régler les éléments essentiels du

traitement dans la loi, et de déterminer l’application de la

loi dans le temps dans une loi et non pas par arrêté royal.

La Commission a également demandé que le chapitre de

l’avant-projet d’arrêté royal relatif à la protection des don-

nées à caractère personnel soit adapté pour être conforme

aux principes de la LVP.

7.4 Technologie de l’information et de la communication

7.4.1 Recommandation n° 07/2011

du 21 décembre 2011

• Enregistrement des appels entrant et sortant du numé-

ro central

• Obligation d’information à la personne qui appelle

• Délai de conservation uniforme de 1 mois

La recommandation vise à déterminer si les commissariats

de police et les hôpitaux peuvent, en tant qu’institution

ou mis à jour ses données. Enfin, la Commission a émis une

remarque à propos de la durée de conservation de maximum

1 an des données enregistrées dans la Centrale après leur

date de référence en vue de leur consultation par les institu-

tions même si ce crédit n’a pas été défaillant.

La Commission a émis un avis favorable sur le projet d’ar-

rêté royal pour autant que celui-ci soit davantage explicite

(à défaut, dans un rapport au Roi) et tienne compte des re-

marques émises.

7.3.3 Avis n° 36/2011 du 21 décembre 2011

• Fonctionnement du point de contact central

• Lutte contre la fraude fiscale

• Obligation de notification des établissements ban-

caires concernant les comptes ouverts en leur sein

Dans le cadre de la problématique de la levée du secret ban-

caire fiscal, la Commission a été saisie d’une demande d’avis

sur un avant-projet de loi complétant l’article 322 du CIR et

un avant-projet d’arrêté royal relatif au fonctionnement du

point de contrôle central (PCC) au sein de la Banque Natio-

nale de Belgique (BNB).

L’avant-projet de loi prévoit d’octroyer aux établissements

bancaires et à la BNB l’autorisation d’utiliser le numéro de

Registre national pour identifier les titulaires de comptes.

La Commission a rappelé ses deux précédents avis n°12/2010

et n°13/2010 du 31 mars 2010 où elle s’était prononcée sur

deux propositions de loi visant à lever le secret bancaire.

En particulier, la Commission avait déjà émis un avis négatif

sur la proposition de loi Gilkinet-Van Hecke, en remettant

en question la clarté de la base légale de cette obligation

ainsi que la proportionnalité et l’efficacité de l’obligation

de notification annuelle. Malgré ces réserves exprimées par

la Commission, l’avant-projet de loi examiné a néanmoins

confirmé une telle obligation de notification et a confié au

Roi le pouvoir d’organiser le fonctionnement du PCC auprès

de la BNB.


dique, le commissariat ou l’hôpital, prend bien part à la

communication puisqu’elle est représentée par le corres-

pondant durant cet appel qui lui est spécialement destiné,

eu égard à ses missions spécifiques d’aide au public.

Dans le cas d’espèce, la Commission a décidé que le traite-

ment de données à caractère personnel (enregistrement de

l’appel) est conforme à la Loi vie privée moyennant le res-

pect de certaines conditions (licéité/proportionnalité/infor-

mation/conservation) (voir la recommandation pour plus de

précision concernant les conditions de licéité et de propor-

tionnalité).

Concernant l’obligation d’information, la Commission rap-

pelle l’obligation, à charge du responsable du traitement,

d’informer préalablement à l’enregistrement la personne

qui appelle le commissariat ou l’hôpital. À cet égard et vu les

circonstances particulières (intervention en urgence), elle

permet au responsable du traitement, dans ce cas particu-

lier, de procéder à cette information préalable par un autre

moyen que la communication utilisée (c’est-à-dire par un

autre moyen que le téléphone), comme par exemple la publi-

cation de manière claire et précise des informations liées à

cet enregistrement via son site Internet ou tout autre sup-

port dont le citoyen peut facilement prendre connaissance.

La Commission attire également l’attention sur le fait que

les agents et les employés des commissariats de police et des

hôpitaux qui répondent aux appels doivent également être

informés du fait que leurs communications pourront être

enregistrées.

Concernant le délai de conservation, la Commission recom-

mande un délai de conservation uniforme de 1 mois eu

égard à la nature spécifique de ces enregistrements, de leurs

finalités mais également des nécessités de traitement qui

peuvent survenir suite à la réception de ces appels.

Toutefois, la Commission recommande la mise en place de

lignes téléphoniques qui ne peuvent pas faire l’objet d’un

fournissant un service d’aide au public — dans le cadre de

leurs missions générales d’assistance et de secours au ci-

toyen — enregistrer les appels téléphoniques tant entrants

que sortants à partir du numéro public de l’institution. Les

numéros d’appels concernés par cette recommandation

sont ceux autres que les numéros d’urgence (100, 101, 112,

etc) pour lesquels l’enregistrement (traitement de données

à caractère personnel) est réglementé par la loi sur les com-

munications électroniques.

Les appels téléphoniques dirigés vers la centrale d’appels d’un

commissariat de police ou d’un hôpital, et qui ne sont pas ef-

fectués via un numéro d’urgence (100, 101, 112, …), n’entrent

en effet pas dans les cas expressément autorisés par la LCE.

Cela ne signifie toutefois pas que leur enregistrement soit par

définition interdit.

L’article 125, § 1, 3° de la loi du 13 juin 2005 relative aux com-

munications électroniques (ci-après LCE) permet expressément

d’enregistrer les appels téléphoniques vers les services de se-

cours et d’urgence (numéros d’urgence) en vue de permettre

l’intervention de ceux-ci en réponse aux demandes d’aide qui

leur sont adressées.

L’article 124 1° et 4° de la LCE interdit à un tiers, c’est-à-dire

celui à qui la communication n’est pas personnellement des-

tinée, de prendre connaissance de l’existence d’une informa-

tion transmise par voie de communication électronique (…)

et même de faire un usage quelconque de ces informations

obtenues de manière intentionnelle ou non. Cet article per-

met donc, à contrario, pour les destinataires du message de

faire un usage légitime de l’information de la communication

qui leur est personnellement destinée.

La Commission estime que lorsqu’une personne appelle un

commissariat de police ou un hôpital, elle destine et dirige

directement son appel à ces derniers. La personne physique,

qui répond à l’appel téléphonique, le fait au nom et pour le

compte de l’institution pour laquelle elle agit. L’entité juri-

30

En ce qui concerne l’usage du GSM, la Commission a dès

lors recommandé à l’employeur de désormais prévoir deux

options pour les travailleurs, à savoir un système de factu-

ration scindée ou un système de déclaration sur l’honneur

dans laquelle le travailleur s’engage à ne pas utiliser le GSM

professionnel à des fins privées. L’adresse privée du tra-

vailleur sera uniquement communiquée à l’opérateur dans

le cas où le travailleur choisit la première option. Dans le

deuxième cas, l’adresse privée ne sera pas transmise mais

l’opérateur pourra transmettre régulièrement à l’employeur

(dans le cadre de la facturation) un relevé de l’ensemble des

communications effectuées par le travailleur.

7.4.3 Travaux de normalisation

Comme chaque année, le Secrétariat de la Commission s’est

impliqué dans les travaux de normalisation en cours au

sein du Bureau de Normalisation belge (NBN) et a participé

aux travaux des Working Groups 1, 3 et 5 du SC27 du JTC 1

(Information Technogy/Security Techniques) concernant la révi-

sion des normes ISO pouvant influer sur le respect de la vie

privée, en veillant notamment à la cohérence de ces normes

avec la loi relative à la protection de la vie privée.

Cette année, ces travaux ont porté notamment sur les pro-

jets suivants :

• ISO 24760 « A framework for identity management ” ;

• ISO 29101 « A privacy reference architecture ” ;

et particulièrement sur le projet :

• ISO 29100 « A privacy framework ” ;

pour lequel des commentaires établis en commun avec les

autres ‘commissions vie privée’ européennes ont été intro-

duits par le Secrétariat de la Commission auprès de l’opéra-

teur sectoriel belge de normalisation.

7.4.4 Plate-forme concertation sur la sécurité

des informations

La Commission, représentée par un commissaire et des

membres de son Secrétariat, a participé aux travaux de la

enregistrement et sur lesquelles les agents de ces entités

peuvent recevoir ou former des appels téléphoniques à des

fins privées, ou même dans un contexte professionnel où

une certaine confidentialité doit être préservée.


• Transmission de données à caractère personnel par

l’employeur à un opérateur de téléphonie mobile dans

le cadre d’un système de facturation scindée

• Déclaration contractuelle obligatoire pour la transmis-

sion de données

• Mise en place de deux systèmes : facturation scindée ou

déclaration sur l’honneur

Un travailleur avait reçu de son employeur un GSM qu’il

pouvait utiliser à des fins professionnelles et privées. Pour

des communications privées, il devait systématiquement

introduire au préalable un code spécifique de manière à ce

que celles-ci puissent lui être facturées directement. Les

conversations professionnelles étaient évidemment factu-

rées à l’employeur. Cette méthode est appelée le «split bil-

ling » (facturation scindée).

Le plaignant avait déclaré avoir été invité par son employeur

d’une part à signer un contrat relatif à l’usage privé de la télé-

phonie mobile, contrat aux termes duquel «l’utilisateur accepte

de transmettre son adresse à l’opérateur » [Traduction libre effec-

tuée par le Secrétariat de la Commission en l’absence de tra-

duction officielle], et d’autre part à souscrire un contrat avec

l’opérateur. Le travailleur a refusé de signer ces contrats en

affirmant qu’il n’utiliserait jamais le GSM à des fins privées.

Bien que la Commission ait estimé que le système de la fac-

turation scindée présente un important avantage sur le plan

de la protection de la vie privée — puisque de cette façon, la

facture pour l’usage privé du GSM (ainsi que les données de

toutes les communications privées effectuées) ne se retrouve

pas sous les yeux de l’employeur -, elle a jugé que le travail-

leur devait pouvoir décider en totale liberté s’il souhaitait ou

non faire usage d’un GSM professionnel à des fins privées.


Ainsi, s’agissant notamment des mesures à prendre dans

le cadre de contrôles d’identité dans la banque de données

nationale générale (BNG-contrôle), la Commission com-

munique à la personne concernée les informations figurant

dans la base de données, dont la communication n’est pas

en mesure de nuire à l’exécution de la mesure prescrite par

l’autorité compétente (une mesure dite «de surveillance dis-

crète » n’est, par exemple, pas communiquée), après avoir

sollicité l’avis du service de police qui a procédé à l’enregis-

trement de cette mesure. Si la personne n’est pas ou plus en-

registrée au niveau de la BNG-contrôle, elle en est informée.

Concernant la BNG-consultation, la Commission confirme

uniquement à la personne concernée que les vérifications

nécessaires ont été effectuées, que la personne figure, ne

figure pas ou plus dans cette base de données policière.

En tout état de cause, la Commission vérifie la légalité, la

régularité et l’adéquate motivation des inscriptions dans les

banques de données policières, et demande la modification

des données qui seraient illégales, irrégulières, excessives,

inadéquates ou dépourvues de pertinence, que l’informa-

tion soit ou non communiquée à la personne concernée.

Procédure d’accès indirect et règles de conservation :

un arrêté royal fait toujours défaut

Dans la gestion des demandes d’accès indirect, la Commis-

sion se heurte à deux principaux problèmes. Le premier est

l’absence d’un interlocuteur officiel désigné au sein de la

police intégrée ayant les ressources suffisantes pour remplir

cette tâche et en mesure de faire valoir sa position à l’égard

de tous les acteurs concernés. Le second est lié à l’absence

d’implémentation dans un arrêté royal des modalités de

traitement des informations et données figurant dans la

BNG en exécution de l’article 44/4 de la loi du 5 août 1992

sur la fonction de police. Seule la directive commune MFO-3

du 14 juin 2002 des Ministres de la Justice et de l’Intérieur

relative à la gestion de l’information de police judiciaire et de police

administrative (M.B., 18 juin 2002) détaille notamment les

conditions d’enregistrement des personnes dans la BNG.

plate-forme de concertation sur la sécurité des informa-

tions.

Cette plate-forme a été instituée par le Conseil des ministres

fin 2005 afin d’aborder les problématiques communes aux

différents organismes qui la composent en matière de sécu-

rité des informations.

Les organismes participant à cette plate-forme sont :

• le Service général de la sécurité et du renseignement

(SGSR) du Ministère de la Défense ;

• l’Institut Belge des Postes et des Télécommunications

(IBPT) ;

• la Commission de la protection de la vie privée ;

• le Centre de crise du SPF Intérieur ;

• la Federal Computer Crime Unit ;

• la Direction Générale de Contrôle et de Médiation du

SPF Économie ;

• le SPF Fedict ;

• la Banque-carrefour de la Sécurité sociale ;

• l’Autorité Nationale de Sécurité (ANS) — les Affaires

étrangères ;

• la Sûreté de l’Etat.

7.5 Justice et sécurité

7.5.1 Renforcement de l’information aux per-

sonnes concernées

La Commission a renforcé, dans les limites légales, l’infor-

mation communiquée aux personnes ayant demandé l’accès

aux données les concernant dans les banques de données

policières. Outre la confirmation que les vérifications né-

cessaires ont été effectuées, la Commission communique

davantage au citoyen concernant les traitements gérés par

des services de police en vue de contrôles d’identité et ce,

conformément à l’article 13, alinéa 4 de la Loi vie privée et à

l’article 46 de l’arrêté royal du 13 février 2001 portant exécu-

tion de la Loi vie privée.

32

contraignantes a été approuvé en séance du 6 juillet 2011. Ce

protocole d’accord définit les éléments à prendre en compte

afin de pouvoir considérer que les règles d’entreprise

contraignantes (Binding corporate rules ou « BCR») offrent

des garanties suffisantes au sens de l’article 22, § 1, 2e ali-

néa de la Loi vie privée pour permettre l’envoi de données à

caractère personnel vers un pays tiers à l’Union européenne

qui n’offre pas de niveau adéquat de protection des données

à caractère personnel. Pour en juger, le protocole reprend les

différents critères élaborés par le Groupe Article 29 sur la

protection des données à caractère personnel, plus particu-

lièrement dans ses documents de travail WP 153, WP 154 et

WP 155.

Par ailleurs, le protocole fixe la procédure de collaboration

entre la Commission et le SPF Justice pour l’exécution de

l’article 22, § 1, 2e alinéa de la Loi vie privée. La Commission

est chargée d’apprécier les garanties offertes par les règles

d’entreprise contraignantes d’une entreprise. Lorsque la

Commission de la protection de la vie privée considère que

les règles d’entreprise contraignantes proposées offrent suf-

fisamment de garanties, elle émet un avis favorable qu’elle

transmet au SPF Justice, avec une copie des règles d’entre-

prise en question, son analyse et un avant-projet d’arrêté

royal, rédigé conformément au modèle annexé au protocole.

Le protocole a été mis en pratique dès la séance du 28 sep-

tembre 2011. Plus précisément, un avis positif a été émis

concernant les règles d’entreprise contraignantes de l’entre-

prise JP Morgan Chase Bank. Plusieurs dossiers similaires

sont en cours.


6 juillet 2011

• Installation et utilisation de caméras de surveillance

dans les lieux de détention et dans d’autres lieux du

commissariat

• Préservation

Rien n’est prévu quant aux délais de conservation et de sup-

pression des données relatives à une personne enregistrée

dans la BNG.

La Direction de l’information policière opérationnelle —

Gestion de l’information opérationnelle (CGO) — assume

jusqu’à présent un rôle centralisateur qui permet à la

Commission de gérer efficacement les demandes d’accès

indirect des personnes concernées. CGO a en effet dans

ses attributions l’appui juridique en matière de gestion de

l’information opérationnelle. Celui-ci consiste à conseiller

les services de police dans le domaine de l’information opé-

rationnelle mais aussi à développer la réglementation en la

matière et à contrôler le respect de la législation relative à la

protection des données. Sa mission s’apparente à cet égard à

celle d’un préposé à la protection des données.

Cette direction ne pourra plus assurer cette fonction d’inter-

médiaire sur le long terme pour différentes raisons organi-

sationnelles.

Le Secrétariat de la Commission a entrepris des contacts

avec la Commission permanente de la police locale et l’Or-

gane de Contrôle de la gestion de l’information policière,

afin de trouver des solutions intermédiaires et complémen-

taires.

La Commission a également pris l’initiative de saisir les Mi-

nistres de la Justice et de l’Intérieur afin qu’un interlocuteur

officiel lui soit désigné au sein de la police intégrée et en vue

d’adopter un arrêté royal ou une circulaire commune pour

encadrer la procédure en matière d’accès indirect aux bases

de données policières (désignation d’un interlocuteur, créa-

tion de règles de procédure, délais de conservation).

7.5.2 Protocole d’accord du 13 juillet 2011 entre

le SPF Justice et la Commission

Au terme d’une période de concertation intense et construc-

tive entre les services du SPF Justice et le Secrétariat de la

Commission, le Protocole relatif aux règles d’entreprise


techniques et organisationnelles nécessaires afin de sécuri-

ser la conservation et l’accès interne aux images.

Ainsi, la Commission recommande, entre autres, que :

• le commissariat soit pourvu d’une signalisation

claire afin d’informer explicitement la personne

retenue dans une de ses cellules de la présence

d’une caméra ;

• l’enregistrement des images de la détention reste

complet (aucun effacement partiel) et soit conservé

durant un délai raisonnable ;

• l’intimité de la personne concernée soit respectée :

la caméra doit être positionnée de sorte que les

personnes mises en cellule bénéficient d’un mini-

mum d’intimité lors de l’utilisation des toilettes ;

• si aucun incident ne s’est produit durant la déten-

tion, les enregistrements vidéo soient conservés

durant un délai de trois mois maximum. Passé ce

délai, les enregistrements doivent être détruits ;

• si un incident s’est produit durant la détention, la

durée de conservation des images soit suffisante

pour permettre à la victime de réagir.


• Réduction de la charge de travail et amélioration de

l’informatisation au sein de la justice

• Flux d’informations électroniques à destination des

banques de données existantes ou à créer

• Création d’une banque de données centrale

Cette proposition de loi vise à instaurer une série de mesures

en vue de réduire la charge de travail au sein du SPF Justice

et d’en améliorer l’informatisation. Les méthodes de travail

obsolètes doivent être supprimées, modernisées ou trans-

formées en des flux d’informations électroniques à destina-

tion des banques de données existantes ou à créer.

Depuis quelques temps, la police fédérale ainsi que diffé-

rentes Zones de Police locales interrogent la Commission

sur l’installation de systèmes de vidéosurveillance dans les

cellules des commissariats, mais également dans d’autres

endroits de ces commissariats (lieux de fouille, lieux d’audi-

tion,…). Les questions concernent tant la légalité d’une telle

installation que les mesures respectueuses de la vie privée à

adopter en pareil cas.

Afin de répondre de la manière la plus exhaustive possible,

la Commission a adressé le 6 juillet 2011 une recommanda-

tion destinée aux services de police.

La Commission reconnait l’intérêt d’une vidéosurveillance

dans différents endroits du commissariat (cellules, lieux de

fouille, lieux d’audition,…). En effet, cette vidéosurveillance

contribue à garantir la protection et à assurer le bien-être

des personnes privées de liberté, tout en améliorant le res-

pect des droits de la défense visés à l’article 6 CEDH.

Toutefois, cette vidéosurveillance ne peut se concevoir que

comme un élément venant s’ajouter à un ensemble de me-

sures, telles qu’un contrôle physique régulier des personnes

détenues, une politique de prévention du suicide, un sys-

tème de déposition efficace pour les victimes d’actes illicites

dans les cellules, la séparation, l’isolement, l’application de

sanctions disciplinaires ou encore la présence d’un avocat

lors de l’audition policière.

Dans son analyse, la Commission distingue :

• la vidéosurveillance dans les cellules de détention

des services de police ;

• la vidéosurveillance lors de fouilles ;

• la vidéosurveillance dans les autres locaux du com-

missariat.

Dans ces trois catégories de vidéosurveillance, la Com-

mission apporte des recommandations claires et précises

concernant le respect des principes de finalité et de propor-

tionnalité. Elle préconise également l’adoption des mesures

34

« Normes minimales de sécurité » d’application à

partir du 1er janvier 2011.

À propos de la création d’un registre central des successions

ouvertes tenu par la Fédération Royale du Notariat belge, la

réflexion suivante a été émise :

L’article 22 de notre Constitution stipule : « Chacun a droit au

respect de sa vie privée et familiale, sauf dans les cas et conditions

fixés par la loi ». La Commission a déjà rappelé dans son avis

« Phénix » (…) que : « On sait que le Conseil d’Etat s’est déjà opposé

à la création de traitements par simple arrêté royal et exige que les

éléments essentiels des traitements du secteur public ( finalité-type

de données traitées) soient fixés par la loi elle-même. De même, la

jurisprudence constante de la Cour d’arbitrage dispose-t-elle, s’agis-

sant de la portée des matières réservées par la Constitution à la loi

comme tel est le cas de l’article 22 que, «bien que l’article 182 de la

Constitution réserve la compétence normative au législateur fédéral,

il n’exclut cependant pas que le législateur attribue un pouvoir limité

d’exécution au Roi. Une délégation conférée au Roi n’est pas contraire

au principe de légalité pour autant que l’habilitation soit définie de

manière suffisamment précise et porte sur l’exécution de mesures dont

les éléments essentiels sont fixés préalablement par le législateur

(C.A. n° 135/2004)».».

La Commission a donc suggéré de préciser davantage dans

la proposition, outre la finalité de ce registre, son contenu et

ses principales modalités de fonctionnement. La Fédération

Royale du Notariat belge doit, en outre, être désignée expli-

citement comme étant le responsable du traitement, selon

l’article 1er, § 4, alinéa 2 de la LVP.

Concernant la banque de données électronique des juge-

ments par défaut, la Commission a mis en garde contre la

multiplication des bases de données (une base de données

tenue par le greffe communiquant le jugement, la base de

données électronique tenue par le Service de gestion et une

base de données tenue par le greffe recevant l’information)

et les risques qui en découlent. La Commission préfère ainsi

qu’une base de données centrale soit créée avec un accès à

réserver aux greffes concernés.

Les lignes de force de la proposition sont les suivantes :

• réduire de la charge de travail relative aux avis

transmis à la Banque-Carrefour des Entreprises ;

• compléter le registre central des contrats de ma-

riage ;

• réduire la charge de travail de l’état civil et procéder

à son informatisation ;

• informatiser les renonciations aux successions ;

• rendre facultative la présence du juge de paix lors

de la séance d’adjudication en matière de vente ;

• réorganiser les greffes des tribunaux de com-

merce ;

• créer un Service de gestion des Informations.

La Commission a émis d’emblée trois observations :

• constatant la mise en relation d’une base de don-

nées mise en œuvre au sein du SPF Justice avec des

traitements à opérer par les greffes des tribunaux

de commerce compétents, et vu les interférences

évidentes entre la législation instituant le système

d’information Phénix (Loi du 10 août 2005) et la

proposition de loi présentée en ce qui concerne

les bases de données , la Commission a vivement

recommandé que le Comité de surveillance secto-

riel « Phenix », institué en son sein, se voie confier

une mission de contrôle dans le cadre l’informa-

tisation projetée en ce qui concerne le respect de

l’application de la LVP ;

• lorsque le Roi est chargé de fixer les mesures d’exé-

cution qui concernent un traitement de données, il

est souhaitable que la loi précise que le projet d’ar-

rêté royal sera soumis à l’avis de la Commission ;

• l’article 16 de la LVP requérant que des mesures de

sécurité soient adoptées par le(s) responsable(s) de

traitement, la Commission a insisté pour qu’une

référence soit faite aux « Mesures de référence en

matière de sécurité applicables à tout traitement

de données à caractère personnel » ainsi qu’aux


que la LVP étant considérée comme la loi-cadre en

la matière, il faut s’y référer et qu’il ne peut y être

dérogé que par une loi dûment motivée ;

• à l’égard de la disposition confiant au Roi le soin

de déterminer les données des banques de données

électroniques qui peuvent être commercialisées eu

égard à leur caractère public , la Commission a rap-

pelé qu’elle s’est déjà exprimée en profondeur sur

ces questions et se réfère donc, mutatis mutandis,

à l’avis n° 36/2006 du 6 septembre 2006 sur le projet

d’arrêté royal relatif à la réutilisation commerciale

de données publiques de la Banque-Carrefour des

Entreprises.

En conclusion, la Commission a émis un avis favorable pour

autant qu’il soit tenu compte de ses observations, sauf en ce

qui concerne le Service de Gestion de l’information, princi-

palement pour les motifs repris ci-dessus.


• Transmission de certaines données de détenus au Co-

mité International de la Croix-Rouge par le SPF Justice

• Visite des personnes détenues dans le cadre de la lutte

contre le terrorisme

• Vérification des conditions de détention des détenus

Le CICR est une organisation humanitaire neutre, indé-

pendante et impartiale existant depuis 1863, dont la Bel-

gique a reconnu la personnalité et la capacité juridique

internationale en vertu de l’article 1er de l’Accord de siège du

19 avril 1999. Aux termes de cet Accord, la Belgique s’est en-

gagée à faciliter au CICR l’accomplissement de ses missions.

L’article 25 de cet Accord stipule que le CICR et ses agents

sont tenus de respecter les lois et les règlements belges.

Fondée sur l’article 5.3 des Statuts du Mouvement Interna-

tional de la Croix-Rouge et du Croissant-rouge, une offre de

services du CICR a été proposée, en mars 2010, à la Belgique

en vue de visiter les personnes détenues dans le cadre de

Enfin, à l’égard du Service de Gestion des informations qui

est chargé de l’enregistrement, de la sauvegarde, de la ges-

tion et de la mise à disposition des données des banques de

données électroniques attribuées au Service public fédéral

Justice, la Commission a émis les observations suivantes :

• les éléments essentiels des traitements du sec-

teur public (finalité-types de données traitées)

doivent être fixés par la loi elle-même et l’habili-

tation confiée au Roi doit être définie de manière

suffisamment précise et porter sur l’exécution de

mesures dont les éléments essentiels sont fixés

préalablement par le législateur. L’article 602/1,

§ 1er à 3 inséré par l’article 50 dans le Code d’ins-

truction criminelle ne cadre pas du tout avec ces

exigences, le Roi ne pouvant remplir la mission du

législateur ;

• l’article 36bis de la LVP dispose que «(…) Sauf dans les

cas fixés par le Roi, toute communication électronique de

données personnelles par un service public fédéral ou par

un organisme public avec personnalité juridique qui relève

de l’autorité fédérale, exige une autorisation de principe de

ce comité sectoriel (ndlr : pour l’Autorité fédérale) à moins

que la communication n’ait déjà fait l’objet d’une autorisa-

tion de principe d’un autre comité sectoriel créé au sein de

la Commission pour la protection de la vie privée. Avant

d’octroyer son autorisation, le comité sectoriel pour l’auto-

rité fédérale vérifie si la communication est conforme aux

dispositions légales et réglementaires.» ;

• la Commission a suggéré qu’une distinction soit

opérée entre l’accès interne, à savoir l’accès des

utilisateurs du SPF Justice à ces bases de données,

et l’accès externe, c’est-à-dire par les autorités,

administrations et services externes au SPF Jus-

tice, accès qui relèverait soit d’une autorisation du

Comité sectoriel pour l’autorité fédérale, soit d’une

habilitation législative précise quant aux finalités

et modalités ;

• à l’égard des droits d’accès et de rectification (ar-

ticles 10 et 12 de la LVP), la Commission estime

36

service public fédéral (…) exige une autorisation de

principe de ce comité sectoriel à moins que la com-

munication n’ait déjà fait l’objet d’une autorisation de

principe d’un autre comité sectoriel crée au sein de la

Commission. Le CICR devra donc, en sus de l’adoption

de l’arrêté royal dont il est question, introduire une de-

mande d’autorisation afin d’obtenir une telle commu-

nication auprès de ce comité. À cette occasion, la pro-

portionnalité et les mesures de sécurité du traitement

des données seront examinées. Aussi, la Commission

a-t-elle suggéré d’insérer en début de cet l’article 2

du projet autorisant le SPF Justice à communiquer au

CICR les données à caractère personnel relatives aux

détenus : « Sans préjudice de la compétence dévolue au Comité

sectoriel pour l’Autorité fédérale par la loi du 8 décembre 1992

(…), » ;

• il convient de préciser «expressis verbis » que le CICR

est le responsable du traitement ;

• à propos de l’article 4 prévoyant que les données à

caractère personnel des détenus ne peuvent être com-

muniquées par le SPF Justice qu’avec le consentement

écrit du détenu : étant donné qu’il s’agit de données

visées à l’article 8 de la Loi vie privée, le consentement

de la personne concernée ne figure pas au rang des

hypothèses levant l’interdiction de principe posée au

§ 1er de cet article de traiter de telles données. Le littera

b) du § 2 du même article de la loi vie privée permet le

traitement lorsque celui-ci est nécessaire à la réalisa-

tion de finalités fixées par ou en vertu d’une loi et peut

donc constituer une base admissible du traitement.

Il en ressort que les données à caractère personnel des

détenus peuvent être communiquées par le SPF Jus-

tice au CICR moyennant le consentement du détenu et

pour autant que cette communication soit nécessaire

à la réalisation des finalités fixées par la loi qui devrait

être adoptée à cet effet. Enfin, même si le consentement

de la personne concernée ne peut constituer la base de

l’admissibilité de la communication de ses données, il

n’en reste pas moins que la subordination de la com-

la lutte contre le terrorisme pour s’entretenir avec elles de

leurs traitements et conditions de détention.

Afin de permettre au CICR le contact avec les détenus entrant

dans le champ d’application de ce projet d’arrêté royal, la

demande d’avis indique que le service compétent en matière

de lutte contre le terrorisme du Service public fédéral Justice

transmettra au CICR les données nécessaires à ces visites.

La Commission a constaté qu’à côté de cette finalité de

contact, le traitement mis en œuvre vise essentiellement la

vérification des conditions de détention des détenus, ce qui

implique la collecte de données (notamment relatives à la

santé) auprès des détenus et la transmission de données au

SPF Justice, voire à leur famille.

Outre ces données de contact communiquées, des données

émanant du détenu lui-même ou de son dossier médical sont

enregistrées et traitées par le CICR (notamment, transmises

au SPF Justice ou, sur demande du détenu, à sa famille). Cet

ensemble d’opérations effectuées ou non à l’aide de procé-

dés automatisés et appliqués à des données à caractère per-

sonnel constitue un traitement au sens de l’article 1er, § 2 de

la Loi vie privée.

La Commission a émis un certain nombre d’observations,

parmi lesquelles :

• ni la loi vie privée, ni l’Accord de siège du 19 avril 1999,

ni la loi du 4 mars 2002 portant assentiment à l’Accord de

siège entre le Royaume de Belgique et le Comité International

de la Croix-Rouge ne constituent une base juridique suffi-

sante pour l’adoption de l’arrêté royal en projet. Aucun

de ces textes ne justifie l’adoption par le Ministre de la

Justice de mesures d’exécution en la matière. La Com-

mission a estimé que le texte présenté doit être coulé

dans un projet de loi ;

• l’article 36bis de la loi vie privée qui a institué le Comité

sectoriel pour l’Autorité fédérale dispose, entre autres,

que, sauf dans les cas visés par le Roi, toute commu-

nication électronique de données personnelles par un


maximum de conservation (par exemple, 10 ans) soit

fixé, à justifier de préférence dans le rapport au Roi ;

• concernant les données traitées des détenus qui ne

peuvent être transmises qu’au SPF Justice afin d’amé-

liorer les conditions de traitement des détenus et à la

famille du détenu, si ce dernier demande au CICR de

bénéficier de son assistance dans le cadre d’un pro-

gramme de maintien ou de rétablissement des liens

familiaux, la Commission a précisé qu’elle ne trou-

vait pas dans le commentaire des articles d’éclaircis-

sements quant aux données transmissibles et à leurs

modalités. Étant donné que le projet d’arrêté royal vise

la communication possible de données relatives à la

santé, celle-ci ne tombe pas dans le champ d’applica-

tion du Chapitre II — Traitement ultérieur de données

à caractère personnel à des fins historiques, statis-

tiques ou scientifiques de l’arrêté royal précité du 13 fé-

vrier 2001. La Commission a recommandé néanmoins

de tenir compte du principe de proportionnalité et de

ne communiquer au SPF Justice que, de préférence, des

données anonymes, à défaut des données codées et à

défaut seulement de données codées, des données à

caractère personnel non codées ;

• enfin, l’article 42, § 2, 3° de la loi du 1er décembre 2006

portant des dispositions diverses en matière de santé prévoit

qu’en vue de protéger la vie privée, la section santé du

Comité sectoriel de la Sécurité Sociale et de la Santé est

compétente pour accorder une autorisation de principe

pour toute communication de données à caractère per-

sonnel relatives à la santé, sauf dans les cas suivants

(…) : si la communication est autorisée par ou en vertu

d’une loi (…), après avis de la Commission de la vie pri-

vée ;

Sous réserve de l’observation relative à l’adoption d’une loi,

la Commission a estimé que les données visées ne peuvent

être transmises au SPF Justice ou à la famille de l’intéressée

que pour autant qu’il soit tenu compte de la recommanda-

tion formulée au point précédent.

munication des données au consentement du détenu

répond à l’exigence de loyauté (transparence) et de

non-excessivité du traitement (cf. article 4 de la loi vie

privée). La Commission a considéré par conséquent que

l’exigence de consentement écrit de l’intéressé doit être

maintenue ;

• quant à la collecte de données médicales d’un détenu

(après accord de ce dernier), seul un médecin peut avoir

accès au dossier médical en présence d’un médecin

traitant de l’établissement pénitentiaire ;

• il est préférable de remplacer les termes «données mé-

dicales » par «données relatives à la santé », conformé-

ment à l’article de la loi vie privée ;

• selon l’article 7 précité, ce consentement destiné à lever

l’interdiction du traitement de ces données doit être

écrit. Il convient donc de le préciser dans le projet de

texte présenté ;

• le commentaire du projet précise que « quoique l’article 7,

§ 2 de la loi ne l’exige pas, seul un médecin du CICR consul-

tera ces données ». La Commission ne voit cependant pas

d’obstacle à la mise en place de cette garantie non léga-

lement exigée par la Loi vie privée. Elle a observé tou-

tefois que l’intervention d’un médecin n’est pas prévue

au-delà de la collecte et n’en comprend pas la raison.

Elle a donc à tout le moins recommandé que le consen-

tement du détenu soit suffisamment éclairé pour com-

prendre cette intervention limitée au recueillement des

données ;

• les flux transfrontières des données collectées ne

peuvent s’effectuer, sauf dérogation, que vers un pays

assurant un niveau de protection adéquat, telle la

Suisse ;

• à propos de la conservation des données par le CICR

postérieurement à la libération du détenu et moyen-

nant le consentement de ce dernier : un délai de conser-

vation de durée indéterminé n’est pas justifié car ces

données ne sont pas limitées à des données d’identifi-

cation, et ce même dans le cadre du consentement de la

personne intéressée ; il est dès lors suggéré qu’un délai

38

d’ « inapte » ;

• l’instauration des garanties procédurales nécessaires,

dont l’introduction d’une obligation de motivation

pour l’appréciation du statut d’honorabilité des per-

sonnes concernées (point 45 et point 46, iv de l’avis

n° 14/2011).

La Commission estimait que l’avant-projet donnait trop

l’impression que, pour chaque transporteur, n’importe

quel fait concernant n’importe quelle infraction/sanction

administrative pourrait être enregistré dans l’eRegistre

(point 44 de l’avis n° 14/2011). À cet égard, elle avait plaidé

pour l’introduction d’un genre de seuils minimaux. Étant

donné que l’application du droit de rectification de données

d’appréciation requiert une approche adaptée, elle avait

également recommandé de «signaler » certaines apprécia-

tions de transporteurs/gestionnaires (points 36-37 de l’avis

n° 14/2011) car on donnait l’impression qu’une entreprise de

transport pouvait être qualifiée d’ «inapte » sur la base de

simples données d’appréciation.

Se référant à la délibération AF n° 03/2010 du 21 janvier 2010

(délibération AF n° 03/2010 du 21 janvier 2010 concernant la

publication de certaines dettes fiscales d’entrepreneurs dans le secteur

de la construction) , la Commission a également recommandé

d’élaborer, par analogie, un système qui permettrait de limi-

ter l’accès aux informations aux seules personnes qui en ont

besoin (…) et dont le contrôle effectif de l’accès serait assuré

par le SPF concerné, plutôt que de prévoir un système acces-

sible de façon générale.

La Commission a émis un avis favorable en la matière et ne

s’est pas prononcée sur les autres textes réglementaires dans

ce contexte, comme l’avant-projet de loi relative au transport

de marchandises, le projet d’AR relatif au transport de mar-

chandises, l’avant-projet de loi relative au transport de voya-

geurs et le projet d’AR relatif au transport de voyageurs.

La Commission a émis un avis favorable sur le texte du pro-

jet présenté à la condition impérative qu’il fasse l’objet d’un

projet de loi et qu’il soit tenu compte de ses remarques.

7.6 Transport et mobilité

7.6.1 Avis n° 14/2011 du 6 juillet 2011

• Introduction d’un système européen de contrôle (ap-

pelé «eRegistre ») des personnes physiques impliquées

dans le transport par route

• Introduction d’un genre de seuils minimaux d’accès

• Signalement de certaines appréciations

Dans son avis n° 14/2011 du 6 juillet 2011, la Commission

s’était prononcée en défaveur de l’avant-projet de loi rela-

tive à l’eRegistre des entreprises de transport par route

(ci-après «l’avant-projet »). Afin de tenir compte des

remarques formulées dans cet avis, le Secrétaire d’État à

la Mobilité (ci-après «le demandeur ») a retravaillé l’avant-

projet et l’a à nouveau soumis pour avis à la Commission le

31 août 2011 (Avis n° 17/2011 du 7 septembre 2011).

L’avant-projet de loi visait notamment à donner suite au

Règlement européen 1071/2009. Cet avant-projet prévoyait

l’introduction d’un système européen de contrôle (appelé

«eRegistre ») des personnes physiques impliquées dans le

transport par route (sociétés de transport par route, ges-

tionnaires de transport et autres personnes pertinentes).

La Commission avait tout d’abord attiré l’attention sur plu-

sieurs problèmes présents dans l’avant-projet. Elle souli-

gnait le fait que l’avant-projet contenait un système d’appré-

ciation des personnes concernées, de sorte que la législation

devait répondre à un certain nombre d’exigences qualita-

tives, parmi lesquelles :

• la transparence à propos des possibilités de recours

(point 35, i de l’avis n° 14/2011) dont dispose un trans-

porteur ou un gestionnaire lorsqu’il est qualifié


Lors de sa séance du 19 janvier 2011, la Commission a ren-

du un avis favorable sur le projet d’arrêté royal modifiant

l’arrêté royal du 16 mai 2003 portant exécution du chapitre XI

de la loi-programme du 8 avril 2003 relatif à la collecte de données

concernant les déplacements des travailleurs entre leur domicile et

leur lieu de travail et a également rendu un avis favorable sur le

projet d’arrêté ministériel modifiant l’arrêté ministériel du

29 octobre 2004 fixant le mode de collecte des informations pour

la banque de données relative aux déplacements entre le domicile et

le lieu du travail.

Ces projets d’arrêté royal et ministériel visent à mettre en

œuvre l’obligation faite aux employeurs qui occupent en

moyenne plus de cent travailleurs d’établir tous les 3 ans un

état donnant des renseignements relatifs aux déplacements

des travailleurs entre leur domicile et leur lieu de travail,

sans que les travailleurs ne puissent être personnellement

identifiés. Cet état doit être établi pour chaque site comptant

en moyenne trente travailleurs au moins et doit être com-

muniqué au SPF Mobilité et Transports, chargé de gérer la

banque de données reprenant et agrégeant tous ces rensei-

gnements.

La finalité du traitement, précisée par le § 1er de l’article 162

de la loi-programme du 8 avril 2003, consiste en la contribu-

tion «à une meilleure gestion de la mobilité ».

Ainsi, le projet d’arrêté royal soumis pour avis stipule en

son article 2 que les employeurs doivent fournir «un tableau

reprenant le nombre de travailleurs et leurs modes de déplacement

principaux selon le code postal du domicile ».

La Commission observe dans un premier temps que du point

de vue de l’employeur, ces données demeurent des données

à caractère personnel qu’il est tenu de récolter directement

auprès de ses employés. La loi vie privée est dès lors appli-

cable en vertu de son article 5, c) et dans le respect de son

article 4.

Dans un second temps, la Commission estime que du

point de vue du SPF Mobilité et Transports, chacune de ces

7.6.2 Avis n° 16/2011 du 6 juillet 2011

• Source authentique pour des données relatives aux per-

mis de conduire

• Désignation des sources authentiques

Le 6 juillet 2011, la Commission a émis un avis favorable sur

un projet d’arrêté d’exécution relatif à la banque-carrefour

des permis de conduire. D’après le Rapport au Roi afférent

au projet, cette banque-carrefour des permis de conduire

est «une banque-carrefour sui generis, qui déroge au principe de

banque-carrefour de la Banque-carrefour de la Sécurité sociale.

La banque-carrefour des permis de conduire tient lieu, d’une part, de

source authentique pour les données relatives aux permis de conduire

qui y sont conservées et, d’autre part, d’intégrateur de services pour

les données relatives aux permis de conduire pour lesquelles il existe

d’autres sources authentiques.»

Le projet visait l’exécution de certaines dispositions du

chapitre « Création de la banque-carrefour des permis de

conduire » de la loi du 14 avril 2011 portant des dispositions di-

verses. Les dispositions légales exécutées par le projet ont été

soumises précédemment à la Commission pour avis (Avis

n° 14/2010 du 31 mars 2010). L’avis émis à l’époque était favo-

rable, moyennant le respect de plusieurs conditions, dont

les principales étaient les suivantes :

• les sources authentiques qui peuvent être consultées

via la banque-carrefour des permis de conduire doivent

être clairement indiquées (points 3-7) ;

• les traitements de données de santé doivent être enca-

drés des garanties nécessaires (points 13-14).

7.6.3 Avis n° 02/2011 du 19 janvier 2011

• Collecte de données concernant les déplacements des

travailleurs entre leur domicile et leur lieu de travail

• Notion de donnée anonyme

40

Les questions principales qui ont été posées à la Commis-

sion dans ce type de dossier sont d’une part la nécessité de

recourir à un organisme intermédiaire (voir l’article 10 de

l’arrêté royal du 13 février 2001 portant exécution de la LVP)

bien que les données sont déjà codées par le logiciel (mis à la

disposition des médecins par le responsable du traitement

ultérieur) et d’autre part, le type d’information à communi-

quer au patient et la nécessité de son consentement.

Les données qui seront utilisées dans le cadre du traitement

ultérieur concernent principalement des données à carac-

tère personnel relatives à la santé, provenant de différents

responsables de traitement (à savoir des médecins), qui

seront codées.

• La Commission a confirmé qu’un logiciel ne peut être

considéré comme une organisation. Les données co-

dées une première fois par le logiciel doivent être obli-

gatoirement envoyées à un organisme intermédiaire.

Il appartient à ce dernier de procéder à un nouveau co-

dage des données avant de les transmettre au respon-

sable du traitement ultérieur des données.

• La Commission recommande que cette organisation

intermédiaire ne conserve aucune donnée à caractère

personnel, en dehors des données identifiantes re-

prises dans le tableau de concordance et permettant le

codage.

• Concernant l’information du patient, la Commission

est d’avis que lorsque le médecin insère les données du

patient dans un logiciel, avant de transmettre ces der-

nières à l’organisation intermédiaire, il est apte à in-

former son patient, au moment de la consultation, que

ses données seront transférées à des fins de recherches

scientifiques ou statistiques. Telle information peut

être portée à la connaissance du patient par exemple

par le biais d’un affichage dans la salle d’attente du

médecin, de la mise à disposition de dépliants dans la

salle d’attente et/ou dans le cabinet médical du méde-

cin mais aussi de manière verbale durant la consulta-

tion médicale. Cette information pourrait également

données (nombre de travailleurs, mode de déplacement et

code postal du domicile) peut être considérée comme étant

anonyme, car s’il est vrai que «combinées ensemble et pour un

nombre parfois très restreint de travailleurs (30), ces données pour-

raient conduire à l’identification de un ou plusieurs travailleurs dans

certains cas particuliers », la Commission considère que « le SPF

Mobilité et Transports qui reçoit les données relatives au nombre

de travailleurs, à leur mode de déplacement, au code postal de leur

domicile et à leur lieu de travail ne peut identifier un travailleur que

s’il agrège ces données avec d’autres données, ce que la finalité du trai-

tement lui interdit formellement ».

La Commission estime dès lors que doivent être considérées

comme anonymes les données reçues par un responsable

de traitement lorsque celui-ci doit «déployer des moyens dérai-

sonnables afin d’identifier [une ou plusieurs personnes concernées] et

lorsque le risque d’identification est à ce point marginal ».

7.7 Santé

7.7.1 Recommandation n° 02/2011 du 4 mai 2011

• Réutilisation des données des patients à des fins de

recherches statistiques ou scientifiques

• Rôle de l’organisme intermédiaire

• Information aux patients concernant les recherches

basées sur des données relatives à la santé provenant

d’un logiciel

La recommandation vise à confirmer et à préciser les condi-

tions à respecter pour la réutilisation de données à caractère

personnel relatives à la santé, récoltées et codées initiale-

ment par des médecins, à des fins ultérieures de recherches

statistiques ou scientifiques.

En vertu de l’article 10 de l’arrêté royal du 13 février 2001,

lorsque plusieurs responsables de traitement commu-

niquent au même tiers des données à caractère personnel

en vue de leur traitement ultérieur, celles-ci doivent préala-

blement à leur communication être codées par l’entremise

d’une organisation intermédiaire.


Gouvernements de Communauté et de Région et les institu-

tions publiques dotées de la personnalité civile qui relèvent

des Communautés et Régions, pour autant que les missions

de ces services et institutions portent sur une matière visée

à l’article 5, § 1, I et II de la loi spéciale de réformes institution-

nelles du 8 août 1980.

Du point de vue de la «protection des données à caractère

personnel », la Commission ne voit pas d’objection à ce pro-

jet d’arrêté royal. Elle estime que, dans son rôle d’organisa-

tion intermédiaire, la plate-forme peut précisément contri-

buer à la protection de la vie privée dans le cadre de la re-

cherche historique, scientifique ou statistique sur la base de

données à caractère personnel relatives à la santé. La Com-

mission constate qu’en pratique, il n’est manifestement pas

toujours évident, pour certaines organisations qui mènent

des recherches historiques, scientifiques ou statistiques, de

trouver une bonne organisation intermédiaire, financière-

ment abordable, qui puisse réaliser un codage ou une ano-

nymisation de qualité des données à caractère personnel

utilisées. Le projet d’arrêté royal peut y contribuer et reçoit

ainsi l’appui de la Commission dans son avis n° 03/2011 du

9 février 2011.

7.7.3 Avis n° 09/2011 du 23 mars 2011

• Surveillance dosimétrique par l’Agence fédérale de

Contrôle Nucléaire

• Création d’un registre d’exposition centralisé

• Établissement et délivrance de passeports radiolo-

giques

Le Ministre de l’Intérieur a demandé à la Commission

d’émettre un avis sur un avant-projet de loi modifiant loi du

15 avril 1994 relative à la protection de la population et de l’envi-

ronnement contre les dangers résultant des rayonnements ionisants

et relative à l’Agence fédérale de Contrôle nucléaire et transférant à

l’Agence fédérale de Contrôle nucléaire certaines missions du Service

public fédéral Emploi, Travail et Concertation sociale.

être donnée par le médecin au moment du renouvel-

lement du dossier médical global pour les personnes

ayant opté pour le système du dossier médical global.

• Concernant le consentement du patient, celui-ci n’est

pas nécessaire quand les données traitées ultérieure-

ment à des fins de recherches statistiques ou scienti-

fiques sont codées. Le patient dispose toutefois d’un

droit d’opposition (article 14 de l’arrêté royal du 13 fé-

vrier 2001).

• La communication entre le responsable du traitement

initial et celui du traitement ultérieur ne pourra avoir

lieu que si elle est autorisée par la section santé du

Comité sectoriel de la Sécurité Sociale et de la Santé

(article 42, § 2, 3°, de la loi du 13 décembre 2006 portant

dispositions diverses en matière de santé).

7.7.2 Avis n° 03/2011 du 9 février 2011

• Élargissement la liste des instances qui peuvent faire

appel à la plate-forme eHealth comme organisation

intermédiaire

• Garantie d’un codage ou d’une anonymisation de qua-

lité des données à caractère personnel utilisées

Le ministre des Affaires sociales et de la Santé publique a

demandé à la Commission d’émettre un avis concernant un

projet d’arrêté royal élargissant la liste des instances qui

peuvent faire appel à la plate-forme eHealth comme organi-

sation intermédiaire.

L’article 5, 8° de la loi relative à l’institution et à l’organisation

de la plate-forme eHealth prévoit que la plate-forme eHealth

peut intervenir en tant qu’organisation intermédiaire, et ce

sur demande d’un certain nombre d’instances énumérées

de façon limitative dans la loi. L’article précité prévoit égale-

ment la possibilité pour le Roi d’élargir la liste des instances

qui peuvent faire appel à la plate-forme eHealth comme

organisation intermédiaire.

Le projet d’arrêté royal procède donc à l’élargissement de la

liste d’instances, plus précisément : les services publics des

42

claire du délai extrêmement long de 50 ans après le

décès de la personne concernée ;

• mentionner dans l’avant-projet de loi que les arrê-

tés d’exécution à prendre par le Roi seront préala-

blement soumis à l’avis de la Commission.

7.7.4 Avis n° 25/2011 et n° 26/2011 du

19 octobre 2011

• Normes de qualité et de sécurité des organes humains

destinés à la transplantation

• Création d’une coordination locale des donneurs

• Normes des centres de transplantation

• Élaboration d’enregistrements pour la caractérisation

des organes et des donneurs

Le directeur général de l’Organisation des Établissements

de soins du SPF Santé publique, Sécurité de la Chaîne ali-

mentaire et Environnement a demandé à la Commission

d’émettre un avis concernant trois projets d’arrêtés royaux,

tous relatifs aux normes de qualité et de sécurité des or-

ganes humains destinés à la transplantation, dont les deux

principaux sont brièvement commentés ci-après.

Un premier projet d’arrêté royal (fixant les normes aux-

quelles une fonction «coordination locale des donneurs »

doit répondre pour être agréée et le rester) contraint tout

hôpital général au sein duquel il est procédé au prélèvement

d’organes chez des donneurs décédés à créer une fonction

de «coordination locale des donneurs », laquelle assure le

support du prélèvement de ces organes. Cette fonction est

notamment chargée de veiller au constat du décès de don-

neurs, de déclarer ces donneurs à un centre de transplan-

tation avec lequel un accord de collaboration a été conclu et

d’assurer le conditionnement du donneur. La fonction enre-

gistre également des données relatives à la caractérisation

du donneur et des organes (collecte d’informations perti-

nentes afin d’évaluer si le donneur et les organes se prêtent à

la transplantation et optimiser l’attribution), à la traçabilité

des organes (via l’identification du donneur) ainsi qu’en ma-

Dans le cadre de la compétence qui est ainsi confiée à

l’AFCN, un registre d’exposition centralisé est créé, lequel

doit permettre de gérer efficacement et de manière centra-

lisée les données en matière de surveillance dosimétrique.

En outre, l’AFCN est également chargée d’établir et de déli-

vrer des passeports radiologiques pour les personnes qui

effectuent des missions comportant un risque d’exposition

à l’étranger.

La finalité de l’enregistrement des données consiste à opti-

miser la protection radiologique des personnes concernées

à travers la récolte et le traitement de données se rapportant

à la surveillance dosimétrique au sens strict ainsi que de cer-

taines données se rapportant à la surveillance sanitaire et à

l’information et la formation de ces personnes.

La Commission est bien consciente que le registre d’exposi-

tion centralisé susmentionné permet d’optimiser la protec-

tion radiologique de chacun tant pendant les missions pré-

sentant un risque d’exposition qu’à plus long terme (suite à

une étude statistique). Afin que l’avant-projet de loi précité

offre des garanties suffisantes en ce qui concerne la protec-

tion des données à caractère personnel, la Commission a

néanmoins estimé, dans son avis n° 09/2011 du 23 mars 2011,

que l’avant-projet de loi devait également intégrer les points

importants suivants :

• décrire clairement la finalité supplémentaire

d’étude statistique et/ou stratégique en matière

de maladies professionnelles, en mentionnant les

données à caractère personnel qui seront traitées

à cet effet ;

• définir la notion de «données anonymes » en réfé-

rence à l’arrêté royal du 13 février 2001 portant exé-

cution de la loi vie privée ;

• supprimer la donnée «nationalité » étant donné son

caractère superflu à l’égard de la finalité définie ;

• soit revoir le délai de conservation maximal pour

les données à caractère personnel enregistrées, soit

reprendre, dans l’avant-projet lui-même ou dans

l’Exposé des motifs, une justification concrète et


à chaque étape de la chaîne du donneur jusqu’au receveur

et inversement), pour la déclaration et la gestion des inci-

dents et réactions indésirables graves et pour le suivi des

donneurs vivants. La plupart de ces informations sont éga-

lement transmises à l’organisation européenne d’échange

d’organes, Eurotransplant.

Bien que le projet accorde clairement une attention à des

mesures de sécurité adaptées en vue de protéger les données

de santé sensibles qui sont traitées, la Commission estime,

dans son avis n° 26/2011 du 19 octobre 2011, que les points

importants suivants doivent également être intégrés dans

le projet d’arrêté royal afin que celui-ci offre des garanties

suffisantes en ce qui concerne la protection des données à

caractère personnel des personnes concernées :

• explication supplémentaire concernant l’organisation

du suivi des donneurs vivants et le(s) traitement(s) de

données à caractère personnel qui en découle(nt) ;

• fixation d’un délai de conservation maximal de 50 ans ;

• désignation d’un responsable du traitement.

7.7.5 Vade-mecum relatif à la recherche biomé-

dicale

Dans le cadre de la Présidence belge de l’Union européenne,

la Commission a organisé le 23 novembre 2010 un congrès

international sur la vie privée et la recherche scientifique

comportant deux volets : la recherche historique et la

recherche clinique-médicale : « Privacy and Research : from

Obstruction to Construction ». Le but de cet événement était de

réfléchir à la manière dont on peut intégrer la protection

de la vie privée dans la recherche scientifique sans qu’elle y

constitue un obstacle.

À l’issue de ce congrès, la Commission a décidé de publier

deux brochures : l’une concerne l’application de la loi vie

privée dans la recherche historique, l’autre porte sur l’appli-

cation de la loi vie privée dans la recherche biomédicale.

Ces vade-mecum informent les chercheurs des règles et

tière de signalement et de gestion d’incidents indésirables

graves. La plupart de ces informations sont également

communiquées au centre de transplantation avec lequel un

accord de collaboration a été conclu.

Étant donné que cette fonction de «coordination locale des

donneurs » semble uniquement enregistrer des données de

personnes décédées, la protection de données à caractère

personnel n’est en principe pas compromise. Néanmoins,

dans son avis n° 25/2011 du 19 octobre 2011, la Commission

souligne que parfois, des données à caractère personnel ne

sont pas des données purement individuelles (par exemple

les affections héréditaires) et qu’il se peut donc que des don-

nées concernant une personne décédée comportent égale-

ment des informations personnelles de parents toujours

vivants. Dans ce cas, la loi vie privée sera bel et bien intégra-

lement applicable. Si cela devait se produire, la Commission

se réfère à son analyse et aux remarques formulées dans son

avis n° 26/2011 du 19 octobre 2011 concernant les normes

auxquelles un centre de transplantation doit satisfaire.

Cet avis est commenté ci-après.

Un deuxième projet d’arrêté royal (modifiant l’arrêté royal du

23 juin 2003 fixant les normes auxquelles un centre de transplanta-

tion doit répondre pour être agréé comme service médical au sens de

l’article 44 de la loi sur les hôpitaux, coordonnée le 7 août 1987 vise

à compléter et à actualiser les normes auxquelles les centres

de transplantation doivent satisfaire suite à un nouveau pro-

jet de loi modifiant la loi du 13 juin 1986 sur le prélèvement et

la transplantation d’organes et à la directive 2010/53/UE relative

aux normes de qualité et de sécurité des organes humains destinés à

la transplantation.

Le projet élabore des enregistrements pour la caractérisa-

tion des organes et des donneurs (collecte d’informations

pertinentes afin d’évaluer si le donneur et les organes se

prêtent à la transplantation et optimiser l’attribution), pour

l’étiquetage pour le transport d’organes, pour la traçabi-

lité des organes (via l’identification du donneur et du rece-

veur — la localisation et l’identification de chaque organe

44

comme prévu à l’article 12, § 1, deuxième alinéa de la

LVP.

• Application du Chapitre II de l’arrêté royal du 13 fé-

vrier 2001 :

La Commission a été confrontée à la question de savoir

si l’obtention du consentement explicite de la personne

concernée, même dans le cas d’une réutilisation des

données, permet aux chercheurs d’échapper à l’applica-

tion du chapitre II de l’arrêté royal de 2001.

Tout traitement qui, au moment de la collecte des don-

nées, répond aux prévisions raisonnables de la per-

sonne concernée (ou est prévu par la loi) est en principe

autorisé. Par conséquent, tout traitement ultérieur qui

ne répond pas à ces prévisions raisonnables (ou n’est

pas prévu par la loi) est interdit. Cette interdiction ne

s’applique pas à un traitement ultérieur qui vise exclusi-

vement des finalités de recherche, moyennant le respect

des dispositions du Chapitre II de l’arrêté royal de 2001.

L’obtention a posteriori du consentement explicite des

personnes concernées ne dispensera pas, dans ce cas,

le chercheur des obligations découlant de l’arrêté royal

susmentionné. L’évaluation des prévisions raison-

nables intervient en effet au moment de la collecte des

données.

7.8 Divers

7.8.1 Avis n° 08/2011 du 2 mars 2011

• Enregistrement personnes physiques lors de l’achat de

vieux métaux

• Lutte contre le vol de métaux

• Enregistrement en présence de la personne concernée

et remise des données enregistrées

Ce projet d’arrêté royal vise à exécuter en ce qui concerne

les vieux métaux l’article 70 de la loi du 29 décembre 2010

portant des dispositions diverses (I).

procédures à suivre lors d’une telle recherche impliquant la

collecte et l’analyse de données à caractère personnel.

Dans le cadre de ces brochures, la Commission a adopté des

décisions de principes.

• Personnes vivantes/personnes décédées :

Dans les brochures, le concept de «donnée à caractère

personnel » est défini comme étant toute donnée ap-

portant des informations sur une personne vivante. On

ajoute que les données relatives à des personnes décé-

dées ne sont en principe pas protégées par la législation

vie privée. Cela n’empêche pas qu’une personne décé-

dée et ses données puissent bénéficier d’une protection

offerte par une autre réglementation (par exemple, la

Convention européenne des droits de l’homme, en par-

ticulier l’article 8 ; la Constitution belge, en particulier

l’article 22 ; la loi du 22 août 2008 relative aux droits du

patient ; l’article 458 du Code pénal (secret profession-

nel) ; l’article 314bis et l’article 259bis du Code pénal

(secret des communications et télécommunications

privées) ; loi du 13 juin 2005 relative aux communications

électroniques, …). Cela n’empêche pas non plus que des

données à caractère personnel d’une personne décé-

dée puissent également contenir des informations

personnelles d’autres personnes (toujours vivantes),

comme des membres de la famille ou des proches.

La LVP s’appliquera à ces données dans la mesure où

elles peuvent être considérées comme des données à

caractère personnel dans le chef de la famille ou des

proches encore en vie.

• Le droit de ne plus collaborer :

Les brochures prévoient qu’une personne qui a accep-

té de participer à une recherche peut décider à tout

moment de retirer son consentement, mais sans effet

rétroactif. La Commission a décidé que les données

collectées avant le retrait du consentement peuvent

continuer à être traitées. Si la personne concernée ne

souhaite pas que ses données soient encore traitées

ultérieurement, elle doit exercer son droit d’opposition


2° soit, en cas d’utilisation d’un lecteur de carte d’identité électro-

nique, en extrayant ces seules données pour les conserver sous format

électronique.»

La Commission a constaté que, dans les deux hypothèses

d’enregistrement, le projet de texte tient compte de l’exi-

gence de proportionnalité et de licéité des données prévue

par la Loi vie privée en limitant l’enregistrement aux seules

données visées dans la loi précitée.

À propos du scannage ou de la photocopie du document

d’identité présenté, la Commission a souhaité qu’un

contrôle par la personne concernée des données effec-

tivement enregistrées puisse avoir lieu, par exemple, en

imposant que cette opération soit effectuée en sa présence

physique et qu’une copie des données enregistrées lui soit

remise.

En l’absence d’arrêté royal d’exécution de l’article 6, § 4 de la

loi du 19 juillet 1991 stipulant que tout contrôle automatisé

de la carte par des moyens de lecture optique ou autres doit

faire l’objet d’un arrêté royal pris après avis du Comité secto-

riel du Registre national, la Commission a recommandé que

ce projet d’arrêté royal mette en place des moyens permet-

tant aux titulaires de cartes d’identité de maîtriser les don-

nées qu’ils communiquent lors de la lecture électronique de

leur carte ou, à tout le moins, d’assurer la transparence des

données traitées par le responsable du traitement lors de la

lecture électronique de la carte. La Commission a rappelé

en outre que l’article 16 de la Loi vie privée impose au res-

ponsable du traitement de prendre les mesures techniques

et organisationnelles requises pour protéger les données

contre la perte accidentelle ainsi que contre la modification,

l’accès et tout autre traitement non autorisé de données à

caractère personnel.

La Commission a émis un avis favorable pour autant qu’il

soit tenu compte de ses observations.

L’article 70 dispose ce qui suit :

«§ 1er. Les personnes physiques et morales actives dans la récupération,

le recyclage et le commerce de vieux métaux ou de métaux précieux,

procèdent, lorsqu’elles achètent de tels métaux auprès des personnes

physiques, à l’identification et à l’enregistrement de la personne qui

se présente avec les métaux visés si ces achats sont payés en espèces.

(…)

§ 3. L’identification est réalisée sur la base des nom, prénom et date

de naissance de la personne qui se présente avec les métaux visés.

Le Roi détermine les modalités selon lesquelles l’identification et

l’enregistrement de ces données sont réalisés.»

La Commission avait émis, le 24 novembre 2010, un avis

favorable (avis n° 28/2010) sur le texte du projet de loi (Titre

« Intérieur ») tout en attirant principalement l’attention sur

le fait, d’une part, qu’il ne saurait être question lors de la

détermination par le Roi des modalités d’identification et

d’enregistrement des données du vendeur, de demander à

l’acheteur de prendre une copie de la carte d’identité étant

donné l’usage abusif qui peut s’ensuivre et, d’autre part, que

l’utilisation du numéro d’identification du Registre natio-

nal est subordonnée à l’autorisation du Comité sectoriel du

Registre national.

La Commission a constaté le caractère plus restrictif du

texte de l’article 70 de la loi précitée : tout d’abord, le § 1er

de cet article limite désormais l’identification et l’enregis-

trement à l’hypothèse où le vendeur (personne physique)

se présentant avec les matériaux, les achats sont payés en

espèces ; ensuite, le § 3 de ce même article précise doréna-

vant que l’identification est réalisée sur la base des nom,

prénom et date de naissance.

L’article 2 était rédigé comme suit :

« Le ferrailleur enregistre les données prévues à l’article 70, § 3 de la

loi du 29 décembre 2010 portant de dispositions diverses (I) :

1° soit en scannant ou en prenant une photocopie lisible du document

d’identité présenté, ne laissant apparaître que ces données ;

46

Enfin, la Commission a attiré l’attention sur l’article 16 de

la Loi vie privée qui impose au responsable du traitement

de prendre les mesures techniques et organisationnelles

requises pour protéger les données contre la perte acciden-

telle ainsi que contre la modification, l’accès et tout autre

traitement non autorisé de données à caractère personnel.

La Commission a donc émis un avis favorable sur ce projet

d’arrêté royal.


• Lutte contre le dopage Communauté française

• Transfert de données à ou via le système ADAMS établi

au Canada

Le 5 août 2011, le Vice-Président et Ministre du Budget, des

Finances et des Sports de la Communauté française André

Antoine a demandé à la Commission d’émettre un avis

concernant le projet d’arrêté du Gouvernement de la Com-

munauté française portant exécution du décret relatif à la

lutte contre le dopage. En 2010, la Commission a émis un avis

favorable concernant l’avant-projet de décret relatif à la lutte

contre le dopage. Suite à cet avis, ce décret a été adapté en

tenant compte des remarques de la Commission.

Tout comme le décret relatif à la lutte contre le dopage, son

arrêté d’exécution est basé sur les dispositions du Code

mondial antidopage. La Belgique a ratifié la Convention in-

ternationale contre le dopage dans le sport de l’UNESCO du

19 octobre 2005, le 19 juin 2008. Cette Convention contribue

à l’intégration du Code mondial antidopage en droit inter-

national, en imposant aux états qui la ratifient l’obligation

de prendre les mesures visant à mettre en œuvre les prin-

cipes du Code.

L’arrêté d’exécution du décret envisage trois types de traite-

ments de données :

• Autorisation d’usage à des fins thérapeutiques :

Pour les raisons indiquées dans son avis, la Commis-

sion estime qu’il n’est pas proportionné de recourir à la


• Enregistrement lors de l’achat de métaux précieux

• Collecte restreinte des données d’identification

• Accès pour la personne concernée à sa demande

Les quatre premiers alinéas du commentaire relatif à l’avis

n° 8/2011 valent également pour le présent avis.

L’article 2 du projet était rédigé comme suit :

« Le bijoutier enregistre les données prévues à l’article 70, § 3 de la

loi du 29 décembre 2010 portant des dispositions diverses (I) :

1° soit en les recopiant dans un registre ;

2° soit en scannant ou en prenant une photocopie lisible du document

d’identité présenté, ne laissant apparaître que ces données ;

3° soit, en cas d’utilisation d’un lecteur de carte d’identité électro-

nique, en extrayant ces seules données pour les conserver sous format

électronique.

Le bijoutier informe la personne concernée des données qu’il enre-

gistre et lui remet, si elle le demande, une copie de ces données.»

La Commission a constaté que, dans tous les cas, le projet

de texte tient compte de l’exigence de proportionnalité et de

licéité des données prévue par la Loi vie privée en limitant

l’enregistrement aux seules données visées dans la loi pré-

citée mais a toutefois tenu à préciser qu’en aucune manière,

une copie du verso de la carte d’identité ne pourra être effec-

tuée puisque seuls les nom, prénom et date de naissance de

la personne concernée doivent être récoltés (voir la recom-

mandation d’initiative n° 03/2011 de la Commission relative

à la prise de copie des cartes d’identité ainsi qu’à leur utilisa-

tion et à leur lecture électronique).

La Commission a également constaté qu’un contrôle par la

personne concernée des données effectivement enregistrées

est rendu possible par l’information qui lui est communi-

quée à cet égard et par l’accès, à sa demande, à ses données

via la remise d’une copie des données enregistrées.


pas encore été reconnu par les autorités européennes

n’implique pas qu’aujourd’hui au Québec, aucune pro-

tection adéquate de données à caractère personnel

ne puisse être garantie. La loi relative à la protection

des données du Québec semble très similaire à celle

du Canada, cette dernière ayant été reconnue comme

offrant un niveau de protection adéquat par l’Union

européenne.


• Protocole d’accord entre les Communautés

• Prévention et lutte contre le dopage dans le sport

Le 28 septembre 2011, la Commission a émis un avis sur ce

sujet, à la demande du Ministre flamand des Finances, du

Budget, de l’Emploi, de l’Aménagement du Territoire et des

Sports.

Vu que l’accord de coopération conclu le 13 mai 2011 entre la

Communauté flamande, la Communauté française, la Com-

munauté germanophone et la Commission communautaire

commune en la matière concerne entre autres la collecte et

le traitement de données à caractère personnel dont, le cas

échéant, des données relatives à la santé au sens de l’article 7

de la LVP, le Conseil d’État a considéré qu’il était recomman-

dé de recueillir l’avis de la Commission sur cet accord.

Le 19 septembre 2011, l’administration flamande a commu-

niqué à la Commission une version de l’accord de coopéra-

tion et de l’Exposé des motifs y afférent modifiée par les par-

ties concernées. Ces modifications, qui visaient à rencontrer

les exigences du Conseil d’État concernant entre autres la

protection de la vie privée, ont été bien accueillies par la

Commission :

• les finalités du traitement des données de loca-

lisation (ce qu’on appelle les « whereabouts ») des

sportifs d’élite sont à présent explicitement défi-

nies dans l’accord de coopération ;

possibilité d’envoyer la demande d’autorisation d’usage

à des fins thérapeutiques via la base de données ADAMS

( = Anti-Doping Administration and Management System) et

recommande dès lors qu’une telle demande se fasse

uniquement au moyen d’un courrier (recommandé ou

électronique) transmis directement à la CAUT.

• Informations recueillies lors des contrôles antido-

page :

La Commission regrette que le formulaire de convoca-

tion ainsi que le procès-verbal ne contiennent pas d’in-

formation sur la manière dont les données à caractère

personnel du sportif contrôlé seront traitées.

• Renseignements fournis par les sportifs d’élite relati-

vement à leur localisation :

La Commission estime qu’un tel traitement est propor-

tionné.

• Concernant le délai de conservation des données, le

projet d’arrêté prévoit que les données récoltées seront

conservées pendant huit ans, sauf les données de loca-

lisation qui seront, quant à elles, conservées 18 mois.

La Commission, se ralliant à l’avis du Groupe 29 (deu-

xième avis n° 4/2009 du Groupe 29 du 6 février 2009

sur le standard international pour la protection des

renseignements personnels de l’Agence mondiale anti-

dopage (AMA), sur les dispositions du code de l’AMA

s’y rapportant et sur d’autres questions relatives à la vie

privée dans le cadre de la lutte contre le dopage dans le

sport par l’AMA et les organisations (nationales) anti-

dopage), est d’avis que le délai de conservation des don-

nées de localisation de 18 mois est disproportionné et

demande à ce qu’il soit réduit.

• Le projet d’arrêté prévoit à plusieurs reprises, que des

données seront transférées à ou via le système ADAMS.

Ce système est établi dans un «pays tiers », à savoir au

Canada (à Montréal) et est soumis à la loi québécoise.

Le caractère adéquat du niveau de protection offert par

ce pays est encore actuellement examiné par les auto-

rités européennes. La Commission a fait remarquer

que le fait que le «niveau de protection adéquat » n’ait

48

• elle constate enfin que l’étude européenne visant

à déterminer si le système ADAMS, la plate-forme

d’échanges uniforme de l’AMA, qui est établi dans

ce qu’on appelle un «pays tiers », à savoir au Canada

(Montréal), offre bel et bien des garanties suffi-

santes pour un niveau de protection adéquat, est

encore en cours. Elle n’a encore reçu aucun signal

de l’autorité canadienne compétente selon lequel

le système ADAMS poserait problème au niveau de

la protection des données à caractère personnel.

Il s’agit de toute façon d’une question qui ne relève

pas exclusivement de la compétence de décision

autonome du demandeur de l’avis ou des autres

parties contractantes et qui ne peut donc pas leur

être intégralement imputée.

7.8.5 Avis n° 10/2011 du 25 mai 2011

• Organisation d’un accueil préscolaire d’enfants

• Traitement des données médicales et judiciaires

Le projet de décret qui a été soumis à l’avis de la Commis-

sion a pour but de faire de l’accueil préscolaire d’enfants un

service de base qui concrétise pleinement le droit de chaque

enfant et de chaque famille à un service de qualité.

Le projet consacre peu d’attention au traitement de données

à caractère personnel. Or, de tels traitements interviendront

inévitablement pour pouvoir organiser l’accueil des enfants,

et ce à divers niveaux : Kind & Gezin, les Contrôleurs, le

Guichet local d’Accueil d’enfants, les Organisateurs et les

Responsables des places d’accueil pour enfants. Dans son

avis, la Commission a dès lors plaidé pour que les éléments

essentiels de ces traitements soient ancrés dans le projet.

En outre, il était également question de traiter des données

médicales (données de santé des enfants ; certificat d’apti-

tude médicale des accompagnateurs) et des données judi-

ciaires (extrait du Casier judiciaire Modèle 2 des Respon-

sables et des accompagnateurs dans un milieu d’accueil).

• on retrouve dans l’Exposé une motivation plus sou-

tenue de la proportionnalité du traitement de ces

données de localisation ;

• on souligne la nécessité de confirmer par voie

décrétale que les données à caractère personnel

des sportifs peuvent être traitées en vue de la lutte

contre le dopage, en vue de promouvoir un sport

respectueux de la santé, de l’équité, de l’égalité et

de l’esprit sportif ainsi qu’en vue de planifier des

contrôles antidopage hors compétition ;

• l’accord exige que les données à caractère person-

nel relatives à la santé des sportifs soient traitées

sous la responsabilité d’un professionnel des soins

de santé.

La Commission a néanmoins encore formulé des remarques

supplémentaires :

• la Commission aurait préféré que l’accord de coo-

pération modifié comprenne un renvoi explicite

vers la LVP elle-même, ce qui est actuellement uni-

quement le cas dans l’Exposé de cet accord ;

• malgré la forte orientation sur les prescriptions de

l’Agence mondiale Antidopage (AMA), la LVP doit

toujours rester intégralement d’application, sur-

tout si elle offre davantage de garanties en matière

de respect de la vie privée que les prescriptions de

l’AMA ;

• en cas d’échange électronique de données (don-

nées de santé et données de localisation) entre

les parties contractantes, il conviendra de tenir

compte, outre de la LVP, également de la loi du

13 décembre 2006 portant dispositions diverses en

matière de santé, notamment en ce qui concerne la

compétence de la section Santé du Comité secto-

riel de la Sécurité sociale et de la Santé, ainsi que

du décret du 18 juillet 2008 relatif à l’échange électro-

nique de données administratives, notamment en ce

qui concerne la compétence de la Commission de

contrôle flamande) ;


d’un échange d’e-mails ou d’un rapport au conseil d’admi-

nistration, il ne peut en principe être question que du «don-

neur d’alerte ».

La Commission recommande également que le procès-ver-

bal du conseil d’administration où figure le nom du donneur

d’alerte ne soit plus mis à la disposition du personnel ou de

tiers que sous une forme anonymisée. Il va de soi qu’une

version intégrale du procès-verbal peut être conservée dans

les archives, pour autant que l’accès à ces dernières demeure

limité aux personnes habilitées.

Les recommandations susmentionnées doivent garantir à

l’avenir l’équilibre entre les intérêts du donneur d’alerte et

ceux de l’employeur.

7.8.7 Consultation publique cybersurveillance

Toute personne qui suit la problématique relative à la cyber-

surveillance ou au contrôle de l’employeur de l’utilisation

d’Internet et de la messagerie électronique par les travail-

leurs sait peut-être que la Commission vie privée s’est déjà

prononcée à plusieurs reprises sur ce sujet. Toutefois, il

reste d’actualité, raison pour laquelle la Commission a pris

l’initiative de réexaminer minutieusement la problématique

de la cybersurveillance. Cet examen a abouti à un dossier vo-

lumineux constitué d’un rapport juridique détaillé et d’une

série de recommandations pratiques et juridiques qui, en

2011, ont fait l’objet d’une consultation publique.

Dans ce dossier, il est important de garder à l’esprit que

pour l’organisation et la gestion de leurs activités profes-

sionnelles, les employeurs ont accès au contenu de toutes

les communications professionnelles de leurs travailleurs.

Certaines communications personnelles peuvent également

être contrôlées par l’employeur dans le contexte du travail,

mais uniquement en cas de suspicion d’abus par le travail-

leur. Il importe toutefois que dans les deux cas, les principes

de base de la loi vie privée soient respectés, à savoir un accès

uniquement pour des finalités déterminées, explicites et

Or, le projet ne fournissait pas non plus un cadre suffisant

pour ces traitements.

Enfin, le projet octroyait de très larges compétences de

recherche aux dénommés « Contrôleurs » (instances qui

contrôlent si les initiatives d’accueil d’enfants satisfont aux

règles).

Tous ces éléments ont concouru à ce que la Commission

émette un avis négatif sur le projet.

7.8.6 Avis n° 35/2011 du 21 décembre 2011

• Protection de l’identité de donneurs d’alerte

• Élaboration de directives qui prescrivent la discrétion

lors de toute forme de communication

Un fonctionnaire avait signalé certaines irrégularités à

son employeur mais n’avait pas été suffisamment entendu.

Il s’est donc adressé au médiateur flamand et a demandé le

statut protégé de donneur d’alerte.

Il ressort du procès-verbal de la réunion suivante du conseil

d’administration que le donneur d’alerte y était cité nommé-

ment. Les procès-verbaux du conseil d’administration sont

accessibles en interne par tous les membres du personnel et,

dans le cadre de la publicité de l’administration, ils peuvent

également être réclamés par des tiers.

En outre, le directeur général a adressé un e-mail aux direc-

teurs régionaux dans lequel il insistait pour que les mesures

nécessaires soient prises, en citant à nouveau nommément

le donneur d’alerte. L’ampleur exacte de la diffusion de

l’e-mail précité au sein de l’organisation fait l’objet d’une

contestation entre les parties.

La Commission recommande à l’employeur d’établir des

directives internes qui prescrivent la discrétion lors de toute

forme de communication susceptible de divulguer l’identité

d’un donneur d’alerte, au moins pendant la durée de l’en-

quête par le médiateur flamand et éventuellement pendant

toute la durée de la mise sous protection. Par exemple, lors

50


• Lutte contre l’écart salarial entre hommes et femmes ;

• Élimination de la ségrégation horizontale et verticale.

La proposition de loi s’appuie sur l’étude publiée par le

Steunpunt Werk en Sociale Economie (KUL) dans le WSE-

report n° 7-2010, dernière étude universitaire consacrée à

l’« écart salarial » intitulée « De samenstelling van de loon-

kloof in België, een onderzoek op basis van de Vacature Sa-

larisenquête 2008» qui atteste de la réalité de l’écart salarial

entre les travailleurs, les travailleuses étant sous-payées.

Son objectif est également de s’atteler à éliminer la ségréga-

tion «horizontale » (sous- ou surreprésentation des femmes

dans certains secteurs et dans certaines professions) et la

ségrégation «verticale » (sous-représentation des femmes

dans les professions dirigeantes) sur le marché du travail.

La proposition tient compte de recommandations émises

par l’Institut pour l’égalité des femmes et des hommes.

La question de la proportionnalité de l’ingérence dans

la vie privée se pose.

Après avoir rappelé, d’une part, que le principe de légalité (

à savoir l’article 2 de la Constitution) réserve au législateur

fédéral la possibilité de déterminer les exceptions au droit

du respect de la vie privée et familiale et implique, selon la

Cour d’arbitrage, que «toute ingérence des autorités dans le droit

au respect de la vie privée (…) soit prescrite par une disposition légis-

lative suffisamment précise, qu’elle corresponde à un besoin social

impérieux et qu’elle soit proportionnée à l’objectif légitime poursui-

vi », et, d’autre part, que l’article 8 de la C.E.D.H. commande

une « législation prévisible et proportionnelle », la Commission

a estimé que les « Développements » de la proposition de loi

justifient de façon convaincante l’ingérence proportionnée

dans la vie privée en raison de l’objectif poursuivi dans une

société démocratique, à savoir l’absence d’écart salarial fon-

dé sur le sexe.

légitimes (article 4, § 1, 2° de la LVP), uniquement un accès

adéquat, pertinent et non excessif au regard de ces finalités

(article 4, § 1, 3° de la LVP) et un accès uniquement moyen-

nant une information adéquate (article 9 de la LVP).

Étant donné que dans la pratique, le respect concret de ces

principes de base de protection de la vie privée peut varier

fortement, il était nécessaire de disposer d’un texte norma-

tif qui ferait la clarté, surtout si des données de communi-

cation électroniques personnelles sont en jeu. Ce texte est la

CCT n° 81 relative à la protection de la vie privée des travailleurs à

l’égard du contrôle des données de communication électroniques en

réseau.

À la lumière de tous ces éléments, la Commission a formulé,

à titre d’exemple pour l’employeur, un certain nombre de

règles de conduite sur la manière d’appréhender les règles

en matière de protection de la vie privée lors d’un contrôle

électronique. La principale recommandation est d’éviter le

double emploi du système de messagerie électronique pro-

fessionnel.

Dans ce contexte, le dossier «cybersurveillance » a été pré-

senté aux parties intéressées en toute franchise. En raison

du nombre important de questions que la Commission

reçoit de la part des différentes parties concernant cette

problématique et de la sensibilité du sujet, il lui a semblé

approprié de soumettre les documents à une consultation

publique qui s’est déroulée du 15 juillet 2011 au 30 novembre

2011 inclus.

Cette consultation publique a suscité des dizaines de réac-

tions, qui se sont provisoirement conclues par l’après-midi

d’étude que la Commission a organisé sur la question le

16 décembre 2011, dans l’hémicycle du parlement fédéral.

Début 2012, ces réactions seront également prises en consi-

dération lorsque la Commission promulguera les textes

définitifs en la matière.


impose au chef d’entreprise l’obligation de mentionner dans

le rapport le caractère limité de sa diffusion, c’est-à-dire

uniquement à ses destinataires, et le caractère strictement

confidentiel des données.

Quant à l’insertion d’un article 13/2 dans la loi du 10 mai 2007

tendant à lutter contre la discrimination entre les femmes et les

hommes qui prévoit sous certaines conditions que le chef

d’entreprise de chaque entreprise qui occupe habituelle-

ment en moyenne 50 travailleurs au moins peut désigner un

médiateur parmi les membres du personnel, la Commission

a exprimé le souhait d’être consultée lors de l’adoption des

arrêtés d’exécution.

Enfin, la Commission a demandé qu’il soit mentionné que

des mesures de sécurité doivent être adoptées dans le cadre

de ces traitements par le chef d’entreprise responsable et par

le médiateur et que la durée maximum de conservation des

données soit spécifiée.

La Commission a émis un avis favorable pour autant qu’il

soit tenu compte de ses observations.

7.8.9 Recommandation n° 03/11 du 25 mai 2011

• Prise de copie des cartes d’identité et leur lecture élec-

tronique

• Conscientisation des responsables de traitements

La Commission a émis une recommandation sur l’utilisa-

tion de la carte d’identité électronique afin de conscientiser

au respect de la loi vie privée les responsables de traitement

qui en font usage dans le cadre de leurs traitements de don-

nées.

À cette occasion, la Commission a recommandé que, pour

des raisons de sécurité, le module d’authentification de la

carte d’identité soit préféré au token pour l’authentification

de personnes lors de l’accès à des services en ligne conte-

nant des données à caractère personnel.

La proposition de loi modifiant un certain nombre de textes

de loi tend à une meilleure perception de l’écart salarial

entre les femmes et les hommes et vise à ce que ce thème

devienne permanent dans la concertation sociale. La Com-

mission considère donc que les traitements opérés au regard

de cette finalité nouvelle sont compatibles avec les disposi-

tions légales telles que modifiées (cf. l’article 4, § 1er, 2° de la

LVP) et sont par ailleurs admissibles au sens de l’article 5,

c) de la LVP.

La Commission a néanmoins fait observer de manière géné-

rale que le risque d’identification indirecte des personnes

concernées doit être pris en considération lors de l’analyse

de la pertinence des données traitées. À défaut de ne pouvoir

être évité, il convient dès lors chaque fois que cela s’avère

possible, de le restreindre sans que cela ne nuise de manière

significative à la finalité poursuivie par le traitement.

Ainsi, à propos de l’obligation faite par l’article 4 de la pro-

position de préciser dans le bilan social certaines données

salariales selon le sexe des travailleurs, la Commission a

estimé qu’en raison de la publicité des données ventilées

selon le sexe des travailleurs, toute mesure possible visant

à renforcer la protection contre le risque d’identification

indirecte devrait être recherchée. Elle a dès lors suggéré

que la dispense de remplir certaines rubriques limitée à

l’hypothèse où une seule personne est concernée soit revue

à la hausse et fixée à un seuil plus élevé qui n’aurait pas ou

qui aurait peu d’impact significatif par rapport à la finalité

poursuivie.

L’article 8 de la proposition inscrit dans la mission dévolue

au conseil d’entreprise, à défaut au comité pour la préven-

tion et la protection au travail, de recevoir tous les deux ans

du chef d’entreprise un rapport d’analyse sur la structure de

rémunération des travailleurs. Les informations, à insérer

dans ce rapport, sont ventilées chaque fois en fonction du

sexe des travailleurs. Ne concernant que des entreprises

occupant au moins 50 travailleurs, les risques d’identifica-

tion en dehors des destinataires sont donc réduits. La Com-

mission a cependant proposé que le texte de la proposition

52

usage la carte d’identité (ex. lecture uniquement de la don-

née «commune de résidence » pour l’octroi d’un tarif spéci-

fique octroyé aux habitants d’une commune qui accèdent à

un service particulier).

7.8.10 Suppression de l’application « Juif ou pas

Juif? » de l’iTunes App Store belge

Suite à l’action de la Commission, la SARL de droit luxem-

bourgeois iTunes a procédé à la suppression d’une applica-

tion intitulée « Juif ou pas juif » présente sur son magasin

applicatif «iTunes App Store » belge.

Ce programme informatique répertoriait l’appartenance

ethnique et religieuse de personnalités de plus de 50 pays.

En ce faisant, il exploitait des données à caractère personnel

sensibles dont le traitement est explicitement interdit par

l’article 6 de de la Loi vie privée.

La Commission a interpellé la SARL de droit luxembour-

geois iTunes gestionnaire de la boutique en ligne «iTunes

App Store » belge le 22/09/2011. En date du 18/10/2011, le logi-

ciel litigieux a été retiré de la vente en Belgique.

7.8.11 Médiation de la Commission en matière

d’accès aux archives de presse

La Commission a été saisie fin 2010 d’une plainte contre une

société éditrice d’un journal pour non-respect des disposi-

tions de l’article 4, § 1er, 2° et 3° de la Loi vie privée concer-

nant deux articles de presse relatifs à M. X, publiés dans ce

journal en 2007, et depuis toujours accessibles en ligne dans

les archives du site de l’éditeur.

Après avoir considéré que la plainte pouvait être considé-

rée comme recevable, la Commission a entendu les parties.

En réponse au plaignant, l’éditeur, responsable du traite-

ment, considérait que ce sont les moteurs de recherches

qui doivent prendre leurs responsabilités et désindexer un

article lorsque la demande leur en est adressée.

Ensuite, la Commission a rappelé les règles générales de

protection des données qui s’appliquent aux demandes de

présentation de carte d’identité auxquelles les citoyens sont

fréquemment confrontés. À cet égard, exiger la carte d’iden-

tité d’une personne à titre de caution n’est pas acceptable.

La Commission a également relevé que seule la présentation

de la carte d’identité apparaît nécessaire lors de l’élabora-

tion d’une carte de fidélité et ce uniquement s’il est prévu

que la carte de fidélité du client est d’usage strictement per-

sonnel.

En ce qui concerne la pratique actuelle de certains com-

merçants qui demandent à leurs clients d’utiliser leur

carte d’identité comme carte de fidélité, la Commission a

considéré que cela ne peut se faire que moyennant consen-

tement libre, spécifique et informé du client. De plus, une

alternative doit être proposée aux clients ne souhaitant pas

faire usage de leur carte d’identité à cet effet. En tout état de

cause, la Commission a considéré qu’il ne peut être question

d’utiliser pour cette finalité la photo du titulaire de la carte,

son numéro de carte d’identité, son numéro d’identification

au Registre national, sa nationalité ni son lieu de naissance.

La Commission a précisé à ce sujet qu’un codage (réversible

ou irréversible) du numéro du Registre national constitue

une utilisation de ce numéro.

La problématique de la prise de photocopie de la carte

d’identité a également été abordée au vu du risque de vol

d’identité que cela engendre. Selon la Commission, il ne

peut être pris de copie de la carte en dehors des cas pres-

crits légalement et il est recommandé au législateur de limi-

ter ces cas à ceux qui sont strictement nécessaires pour des

motifs d’intérêt public. Seulement en cas de nécessité, une

photocopie barrée de la carte d’identité peut être utilisée en

dehors des cas prescrits légalement. Sur celle-ci, le titulaire

de la carte mentionnera le nom du destinataire, l’usage qu’il

autorise et il raturera toutes les données non pertinentes.

Enfin la Commission a recommandé que soit encouragée la

mise en place de traitements de données anonymes faisant


Après divers échanges et dans le souci de trouver une solu-

tion dans le cadre de la médiation, la société éditrice a ac-

cepté, à titre tout à fait conservatoire, de poser les balises

qui empêcheraient les moteurs de recherche d’indexer à

nouveau les articles visés par la plainte. Elle a proposé

d’indiquer «noindex » permettant de désindexer les articles

concernés dans l’attente d’une solution structurelle.

Le plaignant ayant accepté cette proposition, la Commis-

sion a constaté l’accord des parties et acté la conciliation dès

lors que les mesures proposées par la société éditrice soient

mises en œuvre dans les trente jours de la notification du

procès-verbal.

54

• les conséquences de la mondialisation et les flux trans-

frontières de données ;

• le développement des technologies, en particulier l’In-

ternet ;

• l’importance d’une protection efficace dans les do-

maines de la police et de la justice ainsi qu’à la lumière

de la tendance à réutiliser systématiquement des don-

nées personnelles du secteur privé afin de respecter la

loi.

La Conférence insiste par ailleurs sur la nécessité d’une ap-

proche qui prenne non seulement en compte le cadre euro-

péen mais également le contexte international et la néces-

sité de normes mondiales de protection des données.

8.1.2 Conférence internationale des

Commissaires à la protection des données

• Mexico, 1-3 novembre 2011

• Adaptation de la réglementation en vigueur aux nou-

velles technologies

La Conférence internationale des Commissaires à la protec-

tion des données et à la vie privée rassemble chaque année

des experts des quatre coins du monde, actifs auprès d’auto-

rités de protection des données (ci-après DPA, de l’anglais

Data Protection Authorities), d’entreprises, d’ONG, d’univer-

sités, de mouvements citoyens, etc. afin de débattre et de

discuter de l’avenir de la vie privée et de la protection des

données au 21ème siècle.

La 33ème conférence internationale s’est tenue à Mexico et a

été organisée par nos collègues du Mexique, l’Institut Fédé-

ral d’Accès à l’Information et de la Protection des Données

8.1 Conférences internationales

8.1.1. Conférence européenne des Commissaires

à la protection des données

• Bruxelles, le 5 avril 2011

• Plaidoyer pour un cadre global (et mondial) de protec-

tion des données personnelles

Lors de leur conférence de printemps à Edimbourg en 2009,

les autorités européennes de protection des données avaient

adopté une déclaration dans laquelle elles faisaient part

de leur intention de promouvoir la nécessité d’établir des

normes élevées en matière de protection des données dans

tous les domaines de la vie quotidienne. Cette déclaration

avait été confirmée lors de la conférence 2010 de Prague.

La Conférence de printemps 2011 qui s’est tenue à Bruxelles

a soutenu fortement le fait que la Commission européenne

ait pris une première mesure concrète vers une approche

globale [soit une approche «transpilier », incluant les

domaines de la police et de la justice] de la protection des

données dans l’Union européenne en adoptant la commu-

nication 2010 (609) le 4 novembre 2010. Le contenu de cette

recommandation avait largement été rapporté dans le rap-

port annuel 2010.

Aux termes d’une « Résolution sur la nécessité d’un cadre

global de protection des données », en gardant à l’esprit

l’intention de la Commission européenne d’adopter, dans le

courant de l’année 2011, une proposition pour un nouveau

cadre légal, la Conférence a rappelé les principaux défis à

relever dans ce nouveau cadre parmi lesquels :

8 Les principales activités internationales de la Commission


technologiques internationaux auxquels sont confron-

tées les autorités de protection des données (dévelop-

pement des réseaux sociaux, etc). La mise en commun

des expériences de chacune des autorités (notamment,

en matière d’enquêtes et de contrôles) sera également

un point important qui pourra permettre à tous un

traitement efficace des affaires mondiales. Le Canada

informera le Comité exécutif du résultat de ses travaux.

Un appel a également été lancé afin d’inciter les auto-

rités de protection des données à devenir membre du

GPEN (Global Privacy Enforcement Network), réseau

de coopération transfrontière. La Commission vie pri-

vée est devenue membre du GPEN en décembre 2011.

• Résolution sur l’usage d’un identifiant unique dans le

déploiement du protocole Internet version 6 (résolu-

tion IPV6) ; sur proposition de la DPA Allemagne et co-

sponsorisée par la Commission vie privée (Belgique).

Le Groupe de Berlin s’est spécialement intéressé en

2011 à la problématique de la protection des données

personnelles dans le cadre du déploiement du proto-

cole IPv6. Le Secrétariat de la Commission, répondant à

l’invitation du Groupe, a proposé un texte développant

le point de vue des autorités de protection des données

à ce sujet, réactualisant ainsi le working paper existant.

À la demande de l’Allemagne, ce texte a ensuite été pro-

posé à la 33e Conférence internationale pour adoption.

• Resolution on Data Protection and Major Natural Di-

sasters, sur proposition de la DPA New Zealand

• Accréditation de nouveaux membres. Les DPA sui-

vantes ont été accréditées pour participer aux séances

à huis clos de la conférence, en qualité de membres

observateurs :

▪ DPA Bosnie-Herzégovine

▪ DPA Maroc

(IFAI) sous le thème « Privacy : The Global Age ». Elle a mis

en évidence la nature mondiale du traitement des données

personnelles ainsi que leur protection et a permis l’adoption

de la « Déclaration de la Ville de Mexico »

La portée mondiale croissante des technologies de l’infor-

mation (telles que l’Internet, la téléphonie mobile) constitue

un défi qui nécessite l’élaboration de normes, de standards

et de méthodologies au niveau international.

Les différentes sessions de la Conférence ont mis à nouveau

en lumière la croissance expansive des ordinateurs, des

moyens de communication, de l’analyse des données, de

la prolifération rapide des données personnelles, des nou-

velles formes de stockage d’informations sous la forme de

bases de données de grande capacité.

On exige des autorités de protection des données et de la

vie privée une protection plus effective du droit fondamen-

tal à la vie privée dans cette nouvelle ère de transformation

rapide et ce, quelles que soient les différences culturelles et

la diversité des acteurs intéressés.

Les séances à huis clos du 1er novembre ont abouti à l’adop-

tion de plusieurs décisions :

• Résolution sur la coordination de l’application des

dispositions en matière de protection de la vie privée

à l’échelle internationale. Sur proposition du Canada

et du Royaume-Uni, cette résolution est axée sur diffé-

rents domaines : la mise à profit des mesures de coo-

pération existantes, la modification des législations

afin de supprimer les obstacles à la coopération inter-

nationale et l’établissement d’un groupe de travail tem-

poraire qui élaborera de nouveaux processus de coor-

dination entre autorités de protection des données.

Ce groupe de travail se réunira au Canada en mai 2012 et

regroupera plusieurs DPA qui se pencheront sur toutes

ces questions fondamentales pour garantir une meil-

leure coordination et une coopération afin de pouvoir

réagir rapidement et efficacement aux développements

56

(la CNIL : http ://www.cnil.fr/la-cnil/nos-defis/francopho-

nie/lafapdp/ ), a pour mission de favoriser la coopération

et les actions de formation entre les pays de la francopho-

nie dans le domaine de la protection des données person-

nelles. Elle vise à offrir aux autorités de protection des

données nouvellement installées une structure d’accueil

et d’échange. Elle constitue également un pôle d’expertise

pour les pays non encore dotés d’une législation en matière

de protection des données.

Ce nouvel organisme de la Francophonie s’est également

donné pour mission de participer au dialogue relatif à la

mise en œuvre de la protection de la vie privée et des don-

nées personnelles avec les organisations internationales

telles que l’ONU, l’Union européenne ou encore l’APEC (As-

sociation pour le développement économique de l’Asie-pa-

cifique). L’AFAPDP a reçu le statut d’observateur aux travaux

du Comité consultatif de la Convention pour la protection

des personnes à l’égard du traitement automatisé des don-

nées à caractère personnel du Conseil de l’Europe (Conven-

tion 108).

Deux événements majeurs ont marqué les travaux de

l’AFAPDP en 2011 :

Le séminaire de Dakar : mobilisation des acteurs de la

protection des données en Afrique francophone

Organisés avec le soutien de l’Organisation internationale

de la Francophonie (OIF) et de la nouvelle Commission de

protection des données du Sénégal (nommée en juin 2011),

les trois jours de réunions tenues à Dakar avaient pour ob-

jectif de poursuivre le programme de formation entamé en

novembre 2010 à Paris et de préparer la Conférence annuelle

et l’Assemblée générale de l’association prévues quelques

semaines plus tard à Mexico. Une cinquantaine de représen-

tants francophones d’autorités de protection des données et

d’États souhaitant se doter d’une loi de protection des don-

nées (tels que la Côte d’Ivoire, la République démocratique

du Congo, le Liban…) a ainsi assisté à deux jours de sémi-

naire répartis en sept ateliers stratégiques (priorités des

• Rapport du Comité Exécutif Intérimaire chargé

des dispositions organisationnelles de la Confé-

rence internationale des commissaires

Ce comité, composé de l’organisateur de la 33e confé-

rence internationale et des organisateurs des trois édi-

tions précédentes, a été chargé de préparer l’avenir de la

conférence et de définir la mission et les objectifs de la

conférence, parmi lesquels la coopération internatio-

nale dans le cadre du contrôle du respect des normes.

Le Comité exécutif intérimaire a élaboré une série de

règles et procédures qui ont été considérées et adoptées

lors de la séance à huis clos de la Conférence. Elles sont

basées sur les pratiques actuelles de la Conférence et

visent à faire en sorte que la Conférence internationale

devienne plus qu’une réunion annuelle des commis-

saires à la protection des données. Par ailleurs, le rap-

port a mis en avant la nécessité pour la Conférence de

disposer de son propre site Internet.

La 34e Conférence internationale aura lieu en 2012 en Uru-

guay.

Le programme de la Conférence, la Déclaration de la Ville

de Mexico, le rapport du Comité exécutif intérimaire ainsi

que les résolutions sont disponibles sur le site officiel de la

33e Conférence : http ://www.privacyconference2011.org/ ou

sur le site de la Commission http ://www.privacycommis-

sion.be (rubrique « À propos de la CPVP/International »).

8.1.3 Conférence de l’AFAPDP

Créée en 2007, l’Association francophone des autorités de

protection des données personnelles (AFAPDP) réunit une

trentaine d’autorités de protection des données (régionales

et nationales) de pays membres de l’Organisation Interna-

tionale de la Francophonie (OIF : http ://democratie.franco-

phonie.org/rubrique.php3?id_rubrique=917), dont la Com-

mission belge de la protection de la vie privée.

Cette jeune association, dont le siège est établi à Paris dans

les locaux de l’autorité française de protection des données


Les sujets suivants ont été abordés et ont fait l’objet d’une

discussion générale :

• La responsabilité sociale des entreprises (RSE) en

matière de protection des données personnelles.

Les entreprises qui travaillent sur le territoire de la fran-

cophonie recueillent des données des citoyens franco-

phones et doivent à cet égard assurer la sécurité de ces

données mais également une sécurisation adéquate et

appropriée lorsqu’elles sont exportées dans une autre

juridiction, un autre Etat. À cette occasion, le président

de l’AFAPDP a rappelé les différents outils de la RSE

qui existent actuellement. Il s’agit principalement de

la protection intégrée de la vie privée dès la conception

(privacy by design), la formation des employés chargés

des ressources humaines pour protéger les données à

caractère personnel des salariés, les procédures d’au-

dits internes et externes pour vérifier ces mesures de

sécurité, les règles d’entreprises contraignantes, la

désignation de délégués à la protection des données.

• Le principe d’ «accountability » dans la législation

fédérale du Canada a été mis en avant avec ses spéci-

ficités relatives à la qualité de l’ «administrateur » à la

protection des données, au principe de transparence et

de gouvernance, aux obligations légales qui incombent

aux entreprises et à leur responsabilité (ex : Google

Wifi, Facebook, Sony).

• Les règles d’entreprises contraignantes (REC) : exemple

de bonne gouvernance (code de bonnes conduites) qui

fixe un cadre d’actions et des responsabilités privées

pour les transferts de données réalisés par des mul-

tinationales. La recherche et la définition d’un réfé-

rentiel de principes commun aux autorités de la Fran-

cophonie s’avère utile et une résolution a été adoptée

dans ce sens lors de l’Assemblé Générale. Un groupe de

travail sera mis en place pour réfléchir à un instrument

francophone (à l’instar de ce qui existe au niveau euro-

péen), pour développer un référentiel commun, pour

réfléchir à des règles générales pour la Francophonie

autorités de contrôle, indépendance et financement, outils

de communication, relations avec le public) et thématiques

(état civil et processus électoraux, transferts de données,

télécommunications) et à une présentation des travaux de

modernisation de certains textes régionaux et internatio-

naux de référence en matière de protection des données per-

sonnelles (Convention 108, Directive européenne, Lignes

directrices de l’OCDE,…). Pour tirer pleinement parti de

ce premier événement organisé en Afrique par l’AFAPDP,

une rencontre régionale s’est également tenue sur le thème

« Pourquoi et comment adopter une loi de protection des

données personnelles ?» et sur l’illustration des grands

principes de ce droit. Ouverte au public, cette rencontre a

réuni 150 représentants d’institutions publiques, d’entre-

prises et d’associations sénégalaises et a atteint son objectif

: sensibiliser la société civile sénégalaise aux enjeux de la

protection des données personnelles.

La 5e Conférence annuelle et Assemblée générale des

Commissaires à la protection des données person-

nelles de la Francophonie (31 octobre 2011)

La 5e Conférence de l’AFAPDP s’est tenue à Mexico le

31 octobre 2011 et a précédé la 33e Conférence internationale

des Commissaires à la protection des données qui a eu lieu

du 1er novembre au 3 novembre 2011. L’objectif de la confé-

rence annuelle est de rapporter l’ensemble des travaux et

réflexions menés sur la responsabilité sociale d’entreprise

(RSE) et sur le développement du droit à la protection des

données en Afrique.

Un des objectifs principaux est également de montrer qu’il

existe au sein de la Francophonie une vision commune et

dynamique de la protection des données ; une vision qu’il

faut porter sur la scène internationale, au sein même de la

conférence internationale des commissaires à la protection

des données.

58

Mexico, de 4 résolutions. Un bref résumé de chacune d’elle

figure ci-dessous.

Résolution soutenant le projet de définir un référentiel

de principes commun aux autorités francophones

pour encadrer les transferts de données personnelles

entre entreprises

• Un référentiel commun de principes de protection des

données pour les Etats de la francophonie

• Une procédure destinée à évaluer le caractère adéquat

des garanties offertes par les entreprises multinatio-

nales lors de transferts au sein et en dehors de l’espace

francophone

• Vers une reconnaissance mutuelle

L’AFAPDP s’y déclare partisane d’une approche globale et

harmonisée pour l’encadrement des transferts de données

personnelles entre États de l’espace francophone et vers des

États n’assurant pas un niveau de protection adéquat. Dési-

reuse de développer la confiance mutuelle, l’association ins-

titue un groupe de travail chargé, dans un premier temps, de

développer un référentiel commun à l’ensemble des autori-

tés de la francophonie à l’aune duquel il sera permis d’appré-

cier le caractère adéquat de la protection apportée aux trans-

ferts de données entre États de l’espace francophone ou vers

d’autres États n’assurant pas un niveau de protection adé-

quat. Quant aux transferts de données des entreprises éta-

blies dans l’espace francophone en particulier (et s’inspirant

des mécanismes et procédures des clauses contractuelles

types et des règles d’entreprises contraignantes (BCR) au

sein de l’Union européenne), l’association confie également

au groupe de travail la tâche de créer un mécanisme de coo-

pération entre autorités destiné à promouvoir une évalua-

tion coordonnée de la mise en œuvre effective de garanties

en matière de protection des données par les entreprises

exportant des données depuis plusieurs États francophones

vers d’autres relevant du même espace ou hors celui-ci vers

des pays n’assurant pas un niveau de protection adéquat.

et enfin, pour chercher des mécanismes de coopération

renforcée entre autorités de la Francophonie.

• La protection des données à caractère personnel dans

l’espace africain. Ce sujet a permis à nos collègues afri-

cains d’expliquer les difficultés rencontrées pour faire

connaitre la législation «vie privée » à leurs citoyens.

Celles-ci sont liées au manque d’alphabétisation, aux

problèmes linguistiques et au manque de connaissance

des véritables enjeux du traitement des données à carac-

tère personnel. Afin d’y faire face, des solutions inter-

médiaires ont pu être mises en place dont par exemple

la création de clips vidéo sous forme de sketches.

• Les défis pour la Commission marocaine de protection

des données (CNPD) et les enjeux du niveau de protec-

tion adéquat pour le transfert de données.

Les quatre résolutions adoptées par l’Assemblée géné-

rale de l’AFAPDP à Mexico

Dans le prolongement des travaux menés à Dakar, les parti-

cipants ont souhaité que l’association s’exprime davantage

sur les principaux sujets internationaux et propose des solu-

tions concrètes pour renforcer le droit à la protection des

données au niveau national et international. Les autorités

membres ont ainsi proposé de définir un référentiel com-

mun aux autorités de l’espace francophone pour faciliter les

transferts de données par les entreprises et, sur la base de

ce référentiel, d’instituer un mécanisme de coopération qui

permettrait de fluidifier les flux de données tout en assurant

un haut niveau de protection des droits des personnes. Elles

se sont également prononcées sur la nécessité de rappeler les

critères de véritable indépendance des autorités de protec-

tion des données, critères inspirés des lois nationales et de

l’ensemble des textes internationaux ; ou encore sur le rôle

des autorités en matière de sensibilisation du grand public,

en s’engageant à échanger plus d’informations et de maté-

riel de communication. Ces réflexions ont conduit à l’adop-

tion, par l’Assemblée générale de l’AFAPDP au cours de sa

5e assemblée générale qui s’est déroulée le 31 octobre 2011 à


sions par l’autorité et une contribution effective à

l’application de la réglementation de la protection

des données personnelles et de la vie privée ;

▪ Autonomie de gestion du personnel : l’autorité

est habilitée à déterminer les qualités et le niveau

d’expertise nécessaires de son personnel et à orga-

niser ses services en fonction de ses besoins.

Résolution pour une sensibilisation efficace de la

société à la protection des données personnelles

• Communiquer pour se faire connaître et garantir une

meilleure protection

• Échanger pour accroître l’effectivité de la protection

des données

Aux termes de cette résolution, les autorités de protection

des données membres de l’AFAPDP rappellent l’un des

objectifs majeurs poursuivis par l’association, soit la pro-

motion et la protection effective des données personnelles.

Elles font le constat de la connaissance insuffisante des lois

de protection de la vie privée et des données personnelles de

même que des missions qui leur sont confiées et des acti-

vités qu’elles développent. Pour tenter d’y remédier, elles

expriment leur volonté de continuer à informer leurs par-

lements et pouvoirs publics de l’existence et des exigences

des règlementations en matière de protection des données,

de leurs missions, actions, préoccupations et suggestions.

Elles s’engagent également à poursuivre leurs efforts de

vulgarisation par le biais de supports variés, tels brochures,

sites Internet, vidéos et campagnes de communication au

plus près du terrain et ce, afin de les rendre plus accessibles

à tous, en ce compris aux groupes les plus vulnérables tels

les jeunes. Afin de diffuser davantage la culture de la protec-

tion des données personnelles, l’AFAPDP indique souhaiter

encourager la désignation de «délégués » à la protection des

données au sein des entreprises privées et des organismes

publics (le préposé au sens de la Loi vie privée). Enfin, les au-

L’objectif final étant de faciliter la reconnaissance mutuelle

de ces garanties à l’aune du référentiel commun de principes

dégagés dans un premier temps. À suivre en 2012...

Résolution relative à la nécessaire indépendance des

autorités de protection des données personnelles

Aux termes de cette résolution, l’AFAPDP réaffirme le néces-

saire respect et l’indispensable mise en œuvre d’une indé-

pendance effective des autorités de protection des données.

Que signifie cette indépendance ? Comment se traduit-elle ?

Aux yeux des autorités membres de l’AFAPDP — dont la

CPVP —, l’indépendance inclut les caractéristiques sui-

vantes :

• un texte fondateur constitutionnel ou législatif doit

être à l’origine de la création de l’autorité de protection

des données personnelles ;

• l’indépendance s’entend d’une absence totale d’ins-

truction, qu’elle soit directe ou indirecte, de la part du

pouvoir exécutif ou de toute autre entité ;

• l’indépendance existe lorsque plusieurs critères cumu-

latifs sont rencontrés : indépendance des membres,

autonomie budgétaire, moyens financiers suffisants et

autonomie dans la gestion du personnel :

▪ Indépendance des membres : elle impose des mo-

dalités légales de nomination claires et objectives

précisant notamment les fonctions et/ou les in-

térêts incompatibles avec le mandat de membre.

La durée de ce mandat doit être déterminée et

suffisante. Les membres ne peuvent, sauf circon-

stances exceptionnelles, être révoqués au cours de

l’exercice de leur mandat ;

▪ Autonomie budgétaire : elle implique la dotation

de ressources propres et suffisantes pour garantir

le bon exercice de ses missions ;

▪ Moyens financiers suffisants : seul un budget

suffisant permet un exercice adéquat de ses mis-

60

Plus d’infos : http ://www.cnil.fr/la-cnil/nos-defis/franco-

phonie/lafapdp/

8.2 Groupe de travail protection des données « Article 29 » – Groupe 29 (G29) et groupes de travail « groupe 29 »

8.2.1 Groupe 29

• Groupe de travail de l’Union européenne ;

• Autorités européennes de protection des données (les

CPVP européennes) ;

• Application harmonisée de la réglementation UE en

matière de protection des données ;

• Travail aussi en sous-groupes de travail auxquels par-

ticipe la CPVP.

L’article 29 de la Directive européenne 95/46/CE (appelée la

Directive vie privée) prévoit la création d’un organe consul-

tatif indépendant expert en matière de protection de la vie

privée et de protection des données. Ce groupe se compose

des DPA des 27 États membres de l’UE ainsi que du Contrô-

leur européen de la protection des données et de représen-

tants de la Commission européenne.

Le groupe 29 fournit une expertise à la Commission euro-

péenne, tend à une application harmonisée des dispositions

de la Directive vie privée dans les divers États membres,

conseille la Commission en ce qui concerne les mesures

communautaires (en matière de traitement de données à ca-

ractère personnel) qui peuvent avoir un impact sur les droits

et libertés des citoyens et émet des recommandations à l’in-

tention du grand public et des institutions européennes, en

particulier en ce qui concerne la protection de la vie privée et

le traitement de données en Communauté européenne.

La Commission vie privée est un membre actif du Groupe 29

dont les avis sont disponibles en ligne (http ://ec.europa.

eu/justice/policies/privacy/workinggroup/wpdocs/2011_

en.htm). Les principales activités du Groupe 29 en 2011 sont

définies ci-après.

torités se déclarent désireuses d’échanger davantage entre

elles, tant en termes d’expériences pratiques que de docu-

mentation utile.

Résolution sur l’utilisation de la langue française à la

Conférence internationale des commissaires à la pro-

tection des données personnelles et de la vie privée

• L’usage d’une langue commune est vecteur de coopé-

ration ;

• 39 états francophones sont dotés d’une « Loi vie privée »

• Préserver la diversité culturelle et linguistique au sein

des forums internationaux.

Aux termes de cette résolution, l’AFAPDP relève qu’en 2011,

39 Etats de la francophonie étaient dotés d’une législation

de protection des données personnelles. Elle souligne que

l’usage d’une langue (française) commune facilite la coo-

pération entre autorités de protection des données person-

nelles et est de nature à favoriser une meilleure protection

du droit fondamental à la protection des données et son

rayonnement international. Constatant que la langue fran-

çaise est exclue de la Conférence internationale des com-

missaires à la protection des données personnelles et de la

vie privée - laquelle exclut de fait la participation d’un cer-

tain nombre d’États francophones -, l’AFAPDP plaide pour la

préservation d’une diversité culturelle et linguistique dans

les forums internationaux en général et au sein de la Confé-

rence internationale en particulier. Elle demande en ce sens

que tant l’interprétation que la traduction des documents

discutés lors de la session fermée (réservée aux autorités de

protection) soient garanties.

Année après année, l’AFAPDP, en plus de renforcer sa capa-

cité d’action et d’expertise, devient un instrument au service

des autorités francophones de protection des données per-

sonnelles. La forte synergie entre les autorités francophones

de protection des données, réaffirmée à chaque rencontre

organisée par l’association, a fait la réussite des travaux de

Dakar et de Mexico en 2011.


de la personne concernée, en particulier dans l’environne-

ment en ligne, ne constitue pas un consentement valable.

Cette question se pose, notamment, dans le cas de l’utilisa-

tion de paramètres par défaut que la personne concernée est

tenue de modifier pour refuser le traitement. Il peut s’agir,

par exemple, de l’utilisation de cases précochées ou des

paramètres d’un navigateur Internet configurés par défaut

pour autoriser la collecte de données.

Cet avis répond notamment à une demande formulée par

la Commission dans le cadre de la révision en cours de la

directive «protection des données ». Il contient donc des re-

commandations à prendre en compte aux fins de cette révi-

sion. Parmi celles-ci, on retiendra qu’il y a lieu :

• de clarifier le sens de l’expression «consentement indu-

bitable » et d’expliquer que seul un consentement fondé

sur des déclarations ou des actions marquant un accord

peut être considéré comme valable ;

• d’exiger des responsables du traitement qu’ils mettent

en place des mécanismes pour démontrer le consente-

ment (dans le cadre de l’obligation générale de rendre

compte) ;

• d’ajouter une exigence explicite concernant la qualité

et l’accessibilité des informations servant de base au

consentement, ainsi que

• de considérer les propositions formulées concernant

les mineurs et d’autres personnes juridiquement inca-

pables.

Future of Privacy : vers un nouveau cadre réglementaire

de la protection des données

Le rapport annuel 2010 consacrait un partie important du

chapitre relative aux activité internationales de la Commis-

sion de la protection de la vie privée aux travaux en cours

relatifs à la révision du cadre règlementaire de la protection

des données, en particulier à la Communication « A com-

prehensive approach on personal data protection in the EU»

Concepts de base de la protection des données

Comme l’indiquait déjà le rapport annuel 2010, le cadre juri-

dique actuel (qui comprend la Directive 95/46/CE relative à

la protection des données) nécessite d’être revu. Les inno-

vations techniques telles que l’Internet mobile et l’informa-

tique dans les nuages (le cloud computing) associées à la

globalisation sans cesse croissante, ont pour effet de rendre

toujours plus complexe et nécessaire, l’interprétation et

l’application harmonisées des réglementations en matière

de protection de la vie privée et des données à caractère per-

sonnel. En 2010, le Groupe 29 avait très largement contribué

à cette réflexion en adoptant plusieurs avis sur les concepts

de base tels «le droit national applicable », «le principe de

responsabilité (accountability)», le «responsable de traite-

ment » et le «sous-traitant ». Le Groupe 29 a poursuivi dans

cette voie en 2011 en adoptant un important avis sur la no-

tion clé de «consentement ».

Avis n° 15/2011 sur la définition du consentement

• Conditions d’un consentement valable ;

• Base de légitimité du traitement de données person-

nelles.

Cet avis fournit une analyse approfondie du concept de

consentement, tel qu’il est actuellement utilisé dans les di-

rectives «protection des données » et «vie privée et commu-

nications électroniques ». S’appuyant sur l’expérience des

membres du groupe de travail « Article 29», l’avis présente

de nombreux exemples de consentement valable et non va-

lable, en se concentrant sur ses éléments fondamentaux tels

que le sens des termes «manifestation de volonté », «libre »,

«spécifique », «indubitable », «explicite », «informée », etc. Il

précise aussi certains aspects liés à la notion de consente-

ment, comme le moment où celui-ci doit être obtenu, la dif-

férence entre le droit d’opposition et le consentement, etc.

Une des conclusions majeures de cet avis est la suivante : en

principe, un consentement fondé sur l’inaction ou le silence

62

absolument nécessaire que les pouvoirs des autorités

de protection des données soient harmonisés (voir éga-

lement l’advice paper sur la mise en œuvre pratique de

l’article 28(6) de la Directive 95/46/CE). Il faudrait éga-

lement disposer d’un mécanisme garantissant l’appli-

cation harmonisée du cadre légal européen dans des

affaires de contrôle concrètes. Le Groupe de travail 29

devrait lui-même être habilité à garantir la conformité

dans des affaires transfrontalières, par exemple en

adoptant des avis ayant un caractère plus contraignant

(au niveau de l’orientation et de la coordination des ac-

tions des autorités de protection des données). Toute-

fois, pour y parvenir, le Groupe de travail devrait avoir

suffisamment d’autonomie et d’indépendance, ce qui

impliquerait de disposer de son propre budget et de son

propre secrétariat permanent.

• la nécessité d’un cadre réglementaire global : incluant

l’ancien troisième pilier, incluant une structure globale

de contrôle et de coopération efficace entre autorités de

contrôle.

Par ailleurs, à la demande expresse de Madame V. Reding,

vice-présidente de la Commission européenne et commis-

saire en charge de la Justice, des droits fondamentaux et de

la citoyenneté, le Groupe 29 a rendu plusieurs avis l’infor-

mant de sa vision au regard (1) de ce qu’il faut entendre par

«données sensibles » et (2) de l’opportunité de maintenir / de

simplifier l’obligation de déclaration dans le chef du respon-

sable de traitement aux termes du cadre règlementaire révi-

sé de la protection des données dans l’Union européenne.

De même, la coopération entre autorités de protection des

données a fait l’objet d’un avis de la part du Groupe de tra-

vail. Les principales conclusions de ces 3 avis sont décrites

ci-dessous. Elles éclairent le lecteur sur les enjeux de la révi-

sion du cadre règlementaire et sur les orientations suggérées

par les autorités de protection des données basées sur leur

expérience pratique depuis près de 25 ans pour certaines.

(COM(2010) 609 final) du 4 novembre 2010. Appelé à réagir

à cette communication, le Groupe 29 a indiqué qu’il sou-

haitait que les thèmes ci-après soient développés plus avant

dans le cadre réglementaire futur :

• renforcement des droits des personnes concernées :

droit à l’oubli et «mécanismes de recours collectifs » ;

• le droit à l’oubli : sa valeur ajoutée devrait être clarifiée

au-delà des droits existants tels que le droit de sup-

pression de données, le droit de rectification ou le droit

d’opposition ;

• mécanisme de recours collectif : le Groupe de travail

encourage la Commission à poursuivre fermement

son ambition de garantir le recours collectif en éten-

dant aux autorités de protection des données le pouvoir

d’intenter une action en justice, de même qu’aux orga-

nisations de la société civile et aux associations repré-

sentant les intérêts des personnes concernées ;

• attention accrue pour le concept de responsabilité. Voir

à cet égard le rapport annuel 2010 qui renvoyait à l’avis

approuvé par le Groupe 29 sur ce sujet ;

• concept de « Privacy by design » ;

• reconnaissance mutuelle concernant les flux de don-

nées transfrontaliers : pour être capable de dispo-

ser du même niveau de protection dans tous les États

membres de l’UE, il est crucial que toutes les autorités

de protection des données disposent de budgets relati-

vement égaux en proportion du nombre de contrôleurs

de données qu’elles régissent et du nombre de per-

sonnes dont les données sont traitées. Un tel finance-

ment adéquat est d’autant plus nécessaire que le nou-

veau cadre global élargira et étendra les obligations et

missions de contrôle des autorités nationales de pro-

tection des données ;

• renforcement des compétences du Groupe 29 : à l’heure

où les opérations de traitement de données sont de plus

en plus souvent à caractère transfrontalier et où les

autorités nationales de protection des données sont de

plus en plus confrontées à des problématiques de pro-

tection des données similaires dans toute l’UE, il est


Advice paper on the practical implementation of the article

28(6) of the Directive 95/46/EC

• Coopération accrue entre DPA ;

• Responsable du traitement établi dans plusieurs États

membres de l’Union ;

• Rôle du Groupe 29 ;

• Harmonisation des compétences des DPA.

La coopération entre autorités de protection des données

est essentielle. Les traitements de données ne connaissent

pas de frontières étatiques. Qu’il s’agisse d’enquêter et de

sanctionner un responsable de traitement présent dans

plusieurs États membres de l’Union (multinationales), qu’il

s’agisse de traiter d’une plainte au regard de traitements de

données opérés par un responsable de traitement affectant

des citoyens résidant dans plusieurs États membres ou qu’il

s’agisse de rassembler des éléments de preuve de traite-

ments de données pour une autre autorité de protection des

données compétente, une telle coopération est, à ce jour, la

condition essentielle d’une protection effective des données

personnelles. Aux termes de son avis, le Groupe 29 émet

7 conclusions et recommandations :

• Pour garantir une application uniforme des grands

principes de protection des données dans l’UE, le

nouveau cadre devrait réduire les possibilités de diver-

gences nationales à propos des grands principes au mi-

nimum compatible, tout en respectant la culture légale

et les traditions administratives ;

• La Commission devrait envisager d’élaborer des règles

octroyant aux autorités le droit de demander à d’autres

autorités toutes les informations pertinentes ainsi que

la coopération, et chargeant les autorités d’informer,

sur demande et de leur propre initiative, d’autres auto-

rités dans un délai raisonnable de toute information de

contrôle pouvant avoir des répercussions significatives

au niveau européen ou pouvant affecter significative-

ment les autres autorités de protection des données ;

Advice paper on notification

• Déclaration des traitements dits «à risque » ;

• Flexibilité dans la détermination de ces traitements

dits «à risque » ;

• Européanisation de la déclaration (formulaire).

Comment pourrait-on simplifier et harmoniser l’actuel sys-

tème de déclaration afin de limiter la charge administrative

pour les responsables de traitements, tout en continuant à

garantir à la personne concernée une protection efficace ?

Dans son avis, le Groupe de travail reconnaît que les mé-

thodes actuelles concernant la déclaration sont diverses

et que les autorités ont des points de vue divergents sur la

manière dont un futur système devrait fonctionner :

• les autorités de protection des données sont favorables

à une approche sur la base d’une liste positive, où les

responsables de traitements doivent mentionner des

traitements risqués spécifiques. À cet égard, il convient

de préciser davantage ce que l’on entend par les « trai-

tements risqués» ;

• les autorités de protection des données sont favorables

à la flexibilité et au choix en ce qui concerne la manière

dont elles utilisent les informations qui leur sont com-

muniquées pour jouer leur rôle ;

• il faut travailler davantage à l’élaboration d’un for-

mulaire et d’une déclaration en ligne communs pour

réduire la charge. Parmi les options, une plate-forme

européenne ou un site Internet uniques ou l’interopé-

rabilité des systèmes existants ;

• un système de déclaration rationnalisé est dans l’intérêt

des autorités et organismes de protection des données ;

il ne profite pas vraiment aux individus. Dans le futur

cadre légal, il faudrait rechercher d’autres manières de

garantir la transparence pour les individus.

64

Advice paper on sensitive data

• Traitement de données sensibles, de santé et judi-

ciaires ;

• Maintien de l’interdiction sauf exceptions ;

• Actualisation régulière de la liste.

Le Groupe de travail a été invité à fournir à la Commission

européenne des données sur les pratiques habituelles au

niveau national, les problèmes rencontrés dans la mise en

œuvre de la Directive 95/46/CE ainsi que certaines sugges-

tions d’amélioration ou de changements concernant l’ar-

ticle 8 de la Directive concernant les «catégories spécifiques

de données » (à savoir les données sensibles au sens strict,

les données relatives à la santé et les données judiciaires au

sens des articles 6, 7 et 8 de la loi vie privée). Les autorités de

protection des données ont formulé trois options :

• maintenir le concept actuel d’une interdiction générale

de traiter des données sensibles et d’une liste fermée

de catégories de données avec possibilité de modifi-

cations des nouvelles catégories et/ou d’exceptions.

La liste des catégories spécifiques de données devrait

être revue régulièrement (une faible majorité des auto-

rités de protection des données sont favorables à cette

option) ;

• interdiction générale pour une liste de catégories de

données qui, de par leur nature, devraient être consi-

dérées comme des données sensibles ; laisser les États

membres décider quant aux autres catégories de don-

nées et inclure une définition générale des données

sensibles qui prend également en compte le contexte

du traitement ;

• le traitement de données sensibles n’est permis que

moyennant des garanties spécifiques. Quant aux autres

catégories de données, les États membres peuvent déci-

der eux-mêmes.

La CPVP a participé très activement à l’ensemble de ces ré-

flexions. Si ces suggestions devaient être mises en œuvre,

et tel est le souhait de la Commission notamment au regard

• La Commission devrait examiner si le nouveau cadre

de protection des données doit assurer la mise en place

d’un système de traitement des cas que les autorités de

protection des données utiliseront pour échanger des

informations et faciliter la coopération pratique ;

• Il faut clarifier davantage la mesure dans laquelle les

obligations de confidentialité nationales pourraient

limiter le devoir d’échange d’informations et de coopé-

ration pratique ;

• Le nouveau cadre réglementaire pourrait spécifier que

les autorités de protection des données devraient agir

conformément aux avis du Groupe de travail Article 29,

ou expliquer pourquoi ce n’est pas possible ;

• Le Groupe de travail Article 29 devrait assurer la coor-

dination entre les autorités de protection des données

en ce qui concerne les enquêtes transfrontalières

concrètes ;

• Il est essentiel que le nouveau cadre relatif aux données

garantisse l’harmonisation des pouvoirs des autorités

de protection des données. Ces pouvoirs devraient au

moins inclure :

▪ le pouvoir d’avoir accès à toute information perti-

nente, quelle que soit sa forme, et de réclamer la

communication de toute information pertinente

par toute personne ;

▪ le pouvoir d’effectuer des inspections obligatoires

sur le terrain ;

▪ le pouvoir de réclamer la cessation ou l’interdiction

de tout traitement de données ;

▪ le pouvoir d’appliquer des sanctions financières

pour violation de la loi relative à la protection des

données ;

▪ le pouvoir de publier les décisions prises par

l’autorité de protection des données.


ou consultées par des personnes non autorisées. La Com-

mission a ainsi l’intention d’examiner les modalités d’intro-

duction, dans le cadre juridique global, d’une obligation de

notification des violations de données à caractère personnel

couvrant tous les secteurs, qui devrait être cohérente avec

celle prévue par la directive «vie privée et communications

électroniques ». Le Groupe de travail s’en réjouit. Il est

d’avis qu’il serait bénéfique d’instaurer dans tous les Etats

membres un cadre réglementaire harmonisé, lequel devrait

tenir compte de l’expérience déjà acquise par certains états.

À ce jour cependant, seule une minorité d’états a trans-

posé (délai 25 mai 2011) l’obligation de ce que l’on appelle

«la data breach notification » en en confiant la responsabilité,

selon le cas, à l’autorité nationale de la protection des don-

nées (l’équivalent de la CPVP) ou, à l’autorité nationale de

régulation des communications électroniques (IBPT). À

ce jour, le législateur belge n’a pas encore transposé cette

disposition. Au titre des mesures à prendre dans le futur, le

Groupe insiste sur la sensibilisation à ces notifications et à

la coordination des procédures en cas de violations trans-

frontalières des données. Le Groupe de travail s’engage à

créer, à cet effet, un sous-groupe qui fonctionnera comme

une plate-forme d’échanges d’avis et de connaissances. Elle

aura pour but de favoriser le développement de procédures

et de concepts uniformes.

Avis n° 12/2011 sur les compteurs intelligents

• Profilage énergétique du consommateur ;

• Consentement informé : PETS et PIA ;

• Privacy by design ;

• Principe de minimisation.

La Directive européenne 2006/32/CE relative à l’efficacité éner-

gétique dans les utilisations finales et aux services énergétiques

fixe des objectifs à adopter par chaque État membre en

matière d’économie d’énergie. Afin d’atteindre ces objec-

tifs, et sous réserve d’un nombre limité d’exceptions, ladite

Directive oblige les États membres à mettre à la disposi-

de l’urgence de disposer d’outils de coopération européens

pour les plaintes émanant par exemple de citoyens confron-

tés à un même responsable de traitement établi sur le ter-

ritoire de plusieurs états de l’Union, elles pourraient avoir

d’importantes répercussions sur les compétences et activi-

tés des DPA dans les années à venir, dont la CPVP.

Autres thèmes traités par le Groupe 29

Document de travail 01/2011 concernant le cadre juri-

dique relatif aux violations de données à caractère per-

sonnel actuellement en vigueur dans l’UE et présen-

tant des recommandations quant aux actions à entre-

prendre à l’avenir

• Extension de la notification des «data breach » à tous les

responsables de traitements ;

• Harmonisation des conditions de notification auprès

des autorités de contrôle et des personnes concernées ;

• Echange d’information et coordination des procédures

en cas de violations transfrontières.

La révision de la directive 2002/58/CE «vie privée et com-

munications électroniques » avait offert l’occasion au légis-

lateur d’instaurer des règles contraignantes en matière de

violation de données à caractère personnel (data breach).

Eu égard au champ d’application de cette directive, l’obli-

gation de notification des violations de données à caractère

personnel n’est applicable qu’aux fournisseurs de services

de communications électroniques accessibles au public.

Une extension de cette l’obligation de notification à tous

les responsables de traitement devrait intervenir dans le

contexte de la révision de la directive 95/46/CE. Dans sa

communication du 4 novembre 2010 intitulée « Une ap-

proche globale de la protection des données à caractère per-

sonnel de l’Union européenne », la Commission européenne

réaffirme en effet qu’il importe que les particuliers soient

informés lorsque des données les concernant ont été acci-

dentellement ou illégalement détruites, perdues, altérées

66

autres points d’attention du Groupe (durée de conservation,

traitements des données par des tiers, droits d’information

et d’accès), nous relèverons ici l’invitation à tenir compte

du nécessaire respect de la vie privée dès la conception par

des mesures de sécurité adéquates certes, mais aussi par un

paramétrage par défaut favorable au respect de la vie pri-

vée et une réduction au minimum du volume des données

à caractère personnel traitées (principe de minimisation).

Les spécifications techniques devraient, aux yeux du Groupe,

garantir que toutes les données collectées demeurent sur le

réseau domestique sauf nécessité d’une transmission ex-

terne ou consentement du consommateur concerné.

Avis n° 09/2011 sur la proposition révisée des entre-

prises relative au cadre d’évaluation de l’impact sur la

protection des données et de la vie privée des applica-

tions reposant sur l’identification par radiofréquence

(RFID)

• Technologie RFID ;

• Évaluation de l’impact en matière de protection des

données ;

• Information.

Le 12 mai 2009, la Commission européenne émettait une

recommandation sur la mise en œuvre des principes du

respect de la vie privée et de protection des données dans

les applications reposant sur l’identification par radiofré-

quence (RFID). Dans cette recommandation, elle invitait les

États membres à veiller à ce que les entreprises, en collabo-

ration avec les parties intéressées, élaborent un cadre d’éva-

luation de l’impact sur la protection des données et de la vie

privée, cadre qui devrait être soumis pour approbation au

Groupe de travail «article 29» sur la protection des données.

Une fois le cadre d’évaluation de l’impact sur la protection

des données et de la vie privée défini, les États membres

doivent s’assurer que les exploitants d’applications RFID

réalisent effectivement une évaluation des incidences sur

la protection de la vie privée et des données (EIP) des appli-

tion des consommateurs des compteurs «intelligents » qui

mesurent avec précision leur consommation effective et qui

fournissent des informations sur le moment où l’énergie

a été utilisée. Ces compteurs permettent la production, la

transmission et l’analyse de données relatives aux consom-

mateurs, dans une mesure bien supérieure à ce qui est pos-

sible avec un compteur «traditionnel ». Ils permettent à l’ex-

ploitant du réseau, aux fournisseurs d’énergie et à d’autres

parties de rassembler des informations détaillées relatives

à la consommation énergétique et aux modèles d’utilisa-

tion de chaque titulaire, ainsi que de prendre des décisions

concernant les consommateurs individuels sur la base de

profils d’utilisation (profil énergétique). S’il est admis que

ces décisions peuvent souvent être favorables aux consom-

mateurs en termes d’économie d’énergie, il existe égale-

ment des risques d’intrusion dans la vie privée des citoyens

là où des traitements de données à caractère personnel

interviennent. Aux termes de son avis, le Groupe recom-

mande une identification claire du responsable du traite-

ment. Au vu des systèmes actuellement en fonctionnement,

tantôt le fournisseur d’énergie, tantôt l’exploitant du réseau

ou une partie tierce assument ce rôle. Quant aux bases de

légitimité sur lesquelles les traitements de données géné-

rés par les compteurs «intelligents » pourraient se fonder,

le Groupe rappelle qu’en cas de consentement, celui-ci doit

être particulièrement bien informé et doit pouvoir être révo-

qué. Quant à l’article 7 f ) de la Directive, le Groupe est d’avis

que bien que l’impératif de réduction de la consommation

d’énergie puisse constituer un objectif raisonnable en ma-

tière de politique publique, il ne prévaut pas dans toutes les

hypothèses, tout particulièrement, par exemple, en cas de

création de profils détaillés des consommateurs sans réelle

nécessité pour la finalité recherchée. L’inclusion de mesures

telles le recours à des technologies renforçant la protection

de la vie privée (Privacy Enhancing technologies (PET’s)) et des

évaluations d’impact sur la vie privée (Privacy Impact Assess-

ment (PIA)) afin de renforcer la sécurité et la confidentialité

des données traitées par les compteurs intelligents donnera

à un responsable de traitement de meilleures chances de

faire pencher la balances des intérêts en sa faveur. Parmi les


sont incompréhensibles, désuètes ou inadéquates. Cet avis

a pour objectif de clarifier le cadre juridique applicable aux

services de géolocalisation : obligations des différentes par-

ties intéressées, motifs légitimes du traitement de données,

information de la personne concernée, délais de conserva-

tion, etc.

Avis n° 10/2011 sur la proposition de directive du Parle-

ment européen et du Conseil relative à l’utilisation des

données des dossiers passagers pour la prévention et

la détection des infractions terroristes et des formes

graves de criminalité, ainsi que pour les enquêtes et les

poursuites en la matière

• PNR européen ;

• Proportionnalité à défaut d’évaluation des systèmes

existants ?

• Absence de transparence dans la négociation.

Aux termes de cet avis, le groupe de travail estime que la né-

cessité d’un système PNR (Passenger Name Record) propre

à l’Union européenne n’a pas encore été établie et que les

mesures proposées ne sont pas conformes au principe de

proportionnalité, notamment parce que le système envisage

la collecte et la conservation de l’ensemble des données de

tous les voyageurs sur la totalité des vols (passagers aériens

arrivant dans l’Union européenne ou quittant son territoire,

qu’ils soient suspects ou non). Le groupe recommande à cet

égard d’évaluer les méthodes et les systèmes de coopération

existants ainsi que la manière dont ceux-ci s’articulent afin

d’identifier les failles sur le plan de la sécurité. Si de telles

failles sont constatées, l’étape suivante devrait consister

à analyser la meilleure manière d’y remédier, ce qui n’im-

plique pas nécessairement de mettre en place un système

totalement nouveau. Si toutefois la proposition de directive

devait entrer en vigueur, elle devrait prévoir des garanties et

des mesures de protection des données appropriées. Enfin,

le Groupe rappelle l’interdiction de décisions automatisées

et du traitement des données sensibles.

cations RFID avant la mise en œuvre de celles-ci. Les États

membres doivent également veiller à ce que les opérateurs

d’applications RFID mettent les rapports d’évaluation éta-

blis à la disposition de l’autorité compétente.

De manière générale, l’évaluation de l’impact sur la protec-

tion des données et de la vie privée (EIP- donnera lieu à l’éta-

blissement d’un rapport qui devra être soumis à l’autorité

compétente au moins 6 mois avant le déploiement de l’appli-

cation RFID concernée. Cette évaluation devra comporter

une politique d’information adéquate aux citoyens.

Avis n° 13/2011 sur les services de géolocalisation des

dispositifs mobiles intelligents

• Géolocalisation ;

• GPS, WiFi ;

• Principes à respecter.

Les informations géographiques jouent un rôle important

dans notre société. La plupart des activités et décisions

humaines ont une dimension géographique. Ces informa-

tions peuvent être de toutes sortes : financières, sanitaires

ou autres données relatives au comportement du consom-

mateur. Les technologies de géolocalisation qui utilisent les

données de stations de base, les données GPS et les points

d’accès Wi-Fi mappés, permettent à toutes sortes de respon-

sables du traitement de localiser des dispositifs mobiles

intelligents pour des finalités allant de la publicité compor-

tementale à la surveillance des enfants. Étant donné que les

téléphones intelligents et les tablettes électroniques sont

inextricablement liés à leur propriétaire, les schémas de

déplacement des dispositifs donnent une vision détaillée de

l’intimité de la vie privée des propriétaires. L’un des princi-

paux risques est que les propriétaires ignorent qu’ils trans-

mettent leur position et à qui ils la transmettent. Un autre

risque est que l’autorisation donnée à certaines applications

d’utiliser les données de localisation n’est pas valable, car

les informations concernant les éléments clés du traitement

68

quent, les mesures imposées pour empêcher le blan-

chiment d’argent et le financement du terrorisme de-

vraient toujours avoir une base juridique claire ;

• les principes et obligations dans ce domaine devraient

être traités de façon équilibrée en prenant en compte

les différentes opinions, les intérêts et le cadre juri-

dique tant à l’intérieur de l’UE qu’en dehors ;

• les droits et les obligations en matière de protection de

la vie privée et des données devraient, dans ce domaine,

toujours être abordés et développés de façon positive et

non comme un obstacle ;

• le Groupe de travail recommande, afin d’assurer une

protection réelle et efficace ainsi que le respect de la

protection de la vie privée et des données en la matière,

que soient mises en œuvre différentes méthodes d’éva-

luation préalable des lois, des procédures et des pro-

jets en matière de LBC/FT. De telles méthodes incluent

l’évaluation des impacts sur la vie privée, des tech-

niques d’audits, la participation des responsables de la

protection des données.

Enfin, au cours de l’année 2011, le Groupe a suivi de près les

travaux relatifs à la mise en œuvre du « TFTP Agreement »

soit le Terrorist Financing Tracking program (TFTP) conclu avec

les États-Unis dans le prolongement de l’affaire SWIFT et

entamé la rédaction d’avis sur les thèmes du cloud compu-

ting (l’informatique dans les nuages ou infonuagique), du

système de reconnaissance faciale mis en place par Face-

book ou encore du profilage «risky — non risky » des pas-

sagers aériens. Les travaux relatifs à la révision du cadre

réglementaire de la protection des données se poursuivent

également. À suivre en 2012 donc…

8.2.2 Technology Subgroup

• Fait partie du Groupe 29 ;

• Activités ayant trait aux TIC.

Le Technology Subgroup existe depuis plusieurs années déjà et

a pour mission de formuler des recommandations/avis pour

De manière plus générale, le Groupe 29 regrette l’absence

de transparence lors des négociations relatives à la signa-

ture des accords PNR (Passenger Name Records) conclus avec

les États-Unis, le Canada et l’Australie. Le groupe rappelle le

contenu de son avis WP178 et les garanties qu’il voudrait voir

figurer dans ces accords.

Avis n° 14/2011 sur les questions de protection des don-

nées relatives à la prévention du blanchiment de capi-

taux et du financement du terrorisme

• Lutte contre les pratiques de blanchiment et de finance-

ment du terrorisme ;

• Proportionnalité – pondération d’intérêts ;

• Responsabilité.

Dans cet avis, le Groupe de travail répond au besoin de dis-

poser de renseignements pratiques et généraux au niveau de

l’Union européenne tant dans le domaine de la lutte contre

le blanchiment d’argent et le financement du terrorisme que

dans celui de la protection de la vie privée et des données.

Après avoir consulté différents acteurs (Commission euro-

péenne, représentants des entités déclarantes, cellules de

renseignement financier, banques centrales nationales et

le GAFI), il a formulé 44 recommandations visant à fournir

des renseignements pratiques aux législateurs, aux entités

déclarantes, aux autorités de contrôle, aux cellules de ren-

seignement financier, aux autorités de surveillance qui sont

amenés à appliquer des principes et des règlementations

dans ces deux domaines.

Les quatre idées principales formulées dans la recomman-

dation sont :

• la protection de la vie privée et des données est établie

au sein de l’UE comme un droit humain constitutif

d’une société démocratique en vertu de la loi (article 8

de la CEDH), et devrait toujours être appliquée comme

telle plutôt qu’en raison d’un intérêt légitime ou du

consentement de la personne intéressée. Par consé-


• Protection des données à caractère personnel dans les

télécommunications.

Cette année, le Secrétariat de la Commission a participé à

la seconde réunion semestrielle de l’IWGDPT (International

Working Group on Data Protection in Telecommunication) dit aussi

‘Groupe de Berlin’, groupe international de travail traitant

de la protection des données personnelles dans le domaine

des télécommunications et des technologies nouvelles.

Cette année, ces réunions ont permis de finaliser les docu-

ments suivants :

• Working Paper : Event Data Recorders (EDR) on Vehicles / Pri-

vacy and data protection issues for governments and manufac-

turers (Montreal (Canada) 4-5 April 2011)

• Privacy by Design and Smart Metering : Minimize Perso-

nal Information to Maintain Privacy (Berlin (Germany)

12-13 September 2011)

• Working Paper on Privacy and Electronic Micropayment on the

Internet (Berlin (Germany) 12-13 September 2011)

Ces différents documents sont disponibles sur le site de

l’IWGDPT (http ://www.datenschutz-berlin.de/content/

europa-international/international-working-group-on-

data-protection-in-telecommunications-iwgdpt/working-

papers-and-common-positions-adopted-by-the-working-

group).

Parallèlement à cela, le Groupe s’est spécialement intéressé

cette année à la problématique de la protection des données

personnelles dans le cadre du déploiement du protocole

IPv6. Le Secrétariat de la Commission, répondant à l’invi-

tation du Groupe, a proposé un texte développant le point

de vue des autorités de protection des données à ce sujet,

réactualisant ainsi le working paper existant, déjà initié par

le Secrétariat de la Commission (Working paper on the use of

unique identifiers in telecommunication terminal equipments : the

example of Ipv6 (Auckland/New Zealand, 26./27.03 2002).

À la demande de l’Allemagne, ce texte a ensuite été proposé

à la 33e Conférence internationale des commissaires à la

le Groupe 29 en ce qui concerne les nouveaux projets/tech-

nologies/systèmes qui influencent la vie privée.

8.2.3 Sous-groupe BCR

• Fait partie du Groupe 29 ;

• Activités autour des flux transfrontières de données à

caractère personnel dans le secteur privé.

Le sous-groupe BCR existe déjà depuis 2008 et a pour

mission de formuler des recommandations/avis pour le

Groupe 29 sur les flux transfrontières de données à carac-

tère personnel dans le secteur privé. Depuis la création du

sous-groupe, la Commission assume le rôle de co-rappor-

teur, conjointement avec la CNIL.

En 2011, la priorité du sous-groupe a été de transmettre

l’expertise acquise en matière d’analyse des BCR. Le sous-

groupe a répondu à l’invitation de l’autorité polonaise de

protection des données en organisant un séminaire pour les

entreprises intéressées par l’instauration de BCR. Dans le

cadre de ce séminaire, les autorités de protection des don-

nées ont également pu participer à un atelier ayant pour but

d’échanger des expériences sur le contrôle des garanties

offertes par les BCR dans la pratique.

Fin 2011, le sous-groupe s’est vu confier la mission de pré-

parer le terrain pour les BCR pour les sous-traitants, et ce

afin de répondre aux besoins d’entreprises multinationales

qui fournissent des services d’outsourcing. Ainsi, les multi-

nationales pourront non seulement offrir un niveau de pro-

tection adéquat pour leurs propres données à l’aide de BCR,

mais un instrument similaire pourra également servir pour

des données dont le traitement fait l’objet d’une sous-trai-

tance. Le sous-groupe poursuivra ce travail en 2012.

8.3 IWGDPT (International Working Group on Data Protection in Tele-communication)

• « Groupe de Berlin » ;

70

afin de s’assurer que le stockage, le traitement et l’utilisation

des données dont disposent Europol ne portent pas atteinte

aux droits des personnes. Elle contrôle en outre la licéité de

la transmission des données qui ont pour origine Europol.

8.4.3 Groupe de coordination du contrôle

d’Eurodac

• Empreintes digitales des demandeurs d’asile et des

immigrants sur le territoire de l’UE ;

• Application du Règlement de Dublin ;

• Surveillance par le Contrôleur européen de la protec-

tion des données et les autorités nationales de protec-

tion des données.

Eurodac est un système d’information qui contient les

empreintes digitales des demandeurs d’asile et des immi-

grés illégaux se trouvant sur le territoire de l’UE. Ce sys-

tème contribue à l’application efficace de la convention de

Dublin sur le traitement des demandes d’asile. Il permet

aux États membres d’identifier les demandeurs d’asile ainsi

que les personnes ayant été appréhendées dans le contexte

d’un franchissement irrégulier d’une frontière extérieure

de la Communauté. En comparant les empreintes, les États

membres peuvent vérifier si un demandeur d’asile ou un

ressortissant étranger se trouvant illégalement sur son

territoire a déjà formulé une demande dans un autre État

membre ou si un demandeur d’asile est entré irrégulière-

ment sur le territoire de l’Union.

Dans le but d’assurer une approche coordonnée, un groupe

de coordination de contrôle («groupe de contrôle ») com-

posé du contrôleur européen de la protection des don-

nées et des autorités nationales de protection des données

(dont la Commission) se réunit à intervalles réguliers afin

d’examiner les problèmes communs que pose le fonctionne-

ment du système Eurodac et de recommander des solutions

communes.

Le Groupe de contrôle a adopté un programme de travail

pour les prochaines années à venir. Ce programme prévoit :

protection des données et à la vie privée et a servi de base à la

résolution adoptée par la Conférence à ce propos :

• The Use of Unique Identifiers in the Deployment of Internet

Protocol Version 6 (IPv6) (Mexico 1-3 November 2011)

Ce document est disponible à l’adresse suivante : http ://

www.privacyconference2011.org/htmls/adoptedResolu-

tions/2011_Mexico/2011_IWGDPT_RES_001_Intnt_Prot_

ENG.pdf.

8.4 Organes de contrôle communs

8.4.1 Schengen

• Échange d’informations via le SIS ;

• Exécution de la Convention d’application de Schengen.

La Convention Schengen, signée en 1990 et en vigueur de-

puis 1995 (« Convention »), crée un Système d’Information

Schengen (« SIS»). Le SIS permet aux autorités compétentes

des États membres d’échanger des informations aux fins

du contrôle des personnes et des objets aux frontières exté-

rieures ou à l’intérieur du territoire ainsi que pour la déli-

vrance de visas et de permis de séjour. La Convention Schen-

gen crée également une autorité de contrôle commune

(« ACC ») composée des représentants des autorités natio-

nales de contrôle, parmi lesquelles la Commission. Cette

ACC est chargée notamment de la bonne exécution des dis-

positions de la Convention Schengen ainsi que de l’analyse

des difficultés d’application ou d’interprétation pouvant

survenir lors de l’exploitation du SIS.

8.4.2 Europol

• Stockage, traitement et utilisation correcte des don-

nées Europol ;

• Légalité de la transmission des données par Europol.

Une Autorité de contrôle commune (ACC) composée de

représentants des autorités de contrôle nationales (dont la

Commission) est chargée de surveiller l’activité d’Europol


nées, promeuvent son application au-delà des frontières du

CoE et encouragent les États non membres à la ratifier. À ce

jour, seul l’Uruguay a franchi ce pas (2011). D’autres États

tels le Canada, les États-Unis, l’Australie suivent par contre

de près, en leur qualité d’observateur, les travaux du Comité

de surveillance de cette Convention.

Ce Comité, dénommé « Comité consultatif de la

Convention 108 » (ou T-PD), est notamment chargé de veil-

ler à la bonne application de la Convention et de proposer

d’éventuelles modifications destinées à assurer une meil-

leure protection. À cet égard, le Comité a entrepris un vaste

chantier de modernisation tant de la Convention (principes

de base) que des recommandations sectorielles qui la com-

plètent (voir infra). Chaque État partie est représenté au

sein de ce Comité. La Belgique, qui a ratifié la Convention le

28 mai 1993, y est actuellement représentée par le SPF Justice

(département droits de l’homme – protection des données).

En l’absence du SPF Justice à la réunion plénière annuelle du

mois de novembre dernier, la CPVP a été invitée à représen-

ter l’État belge sans toutefois pouvoir prendre de position

formelle au nom de ce dernier. Ci-dessous, les principaux

points traités au cours de cette réunion annuelle de 2011.

Modernisation de la Convention 108

Résultats de la consultation publique

À l’occasion de la 5e journée de la protection des données

(28 janvier 2011), le CoE a lancé une consultation publique

sollicitant les personnes et organisations intéressées à en-

voyer leurs commentaires, réflexions et idées au sujet de la

modernisation de la Convention 108. Une note de consulta-

tion a été publiée sur le site du CoE à cet effet.

Tous les horizons sectoriels sont représentés parmi les ré-

pondants (50 réactions, en ce compris des groupements au

nom de leurs membres, par exemple) : des acteurs issus tant

du secteur public (autorités gouvernementales, autorités

de protection des données, …) que du secteur privé (monde

• un audit complet de la sécurité par les autorités de pro-

tection des données tant au niveau national qu’euro-

péen (tous les 4 ans) ;

• des inspections coordonnées (tous les 2 ans) ;

• des activités spécifiques basées sur les besoins identi-

fiés par le Groupe de supervision (annuellement) ;

• le suivi des développements législatifs et politiques,

des recherches spéciales et des recommandations anté-

rieures (de manière permanente).

Un sous-groupe de travail, auquel un commissaire et un

membre du Secrétariat de la Commission participent, a en-

tamé la préparation d’un audit de sécurité complet.

Le Groupe a également décidé de réaliser une inspection

coordonnée sur la question de la suppression anticipée des

données enregistrées dans le système. À cette fin, un ques-

tionnaire et une méthodologie ont été adoptés.

8.5 Le Conseil de l’Europe et la pro-tection des données

Adoptée le 28 janvier 1981 dans l’enceinte du Conseil de

l’Europe (CoE), la Convention relative à la protection des

personnes à l’égard du traitement automatisé de données

à caractère personnel (STE 108) est le premier instrument

international contraignant en matière de protection des

données et le seul ouvert à la ratification par l’ensemble des

États du monde.

Il est complété par un Protocole additionnel sur les auto-

rités de contrôle et les flux transfrontières de données

(STE n° 181). À l’heure où la nécessité d’un cadre universel

de protection des données se fait de plus en plus pressante

pour garantir une protection adéquate des données de cha-

cun dans un monde globalisé, notamment caractérisé par

l’intensification des flux transfrontières de données, la

Convention 108 apparaît naturellement comme le texte de

référence. Le Conseil de l’Europe, et d’autres instances ré-

gionales ou mondiales, telles les conférences européennes

et internationales des commissaires à la protection des don-

72

Modernisation de la Recommandation Protection des

données dans le contexte du travail

Le Comité a pris note de l’Étude sur la Recommandation

(89)2 sur la protection des données à caractère personnel

utilisées à des fins d’emploi préparée par M. Giovanni But-

tarelli et demandé à son Bureau de finaliser le projet de nou-

velle Recommandation correspondant en 2012 (refonte du

texte).

Modernisation de la Recommandation (87)15 visant à

réglementer l’utilisation de données à caractère per-

sonnel dans le secteur de la police

Le Comité consultatif de la Convention 108 a également

entrepris d’évaluer la recommandation sectorielle relative

aux traitements de données dans le secteur de la police.

À cet effet, un questionnaire sur la prise en compte (ou non)

des principes de la recommandation a été adressé à tous les

représentants. Une première partie de l’analyse comparée,

préparée par les professeurs J. Cannataci et M. Caruana, été

présentée. À la lumière de l’étude, une fois celle-ci achevée,

le Comité consultatif de la Convention 108 évaluera l’oppor-

tunité d’amender la recommandation.

bancaire, des assurances, du commerce électronique, du

marketing, de la diffusion audio-visuelle, de la recherche

socio-économique, …) ainsi que du monde universitaire et

des associations intéressées. Une représentation géogra-

phique s’observe aussi. Les réponses proviennent des diffé-

rentes zones de l’Europe (pays de l’Union européenne mais

également hors-UE tels Albanie et Ukraine). D’autres contri-

butions sont parvenues d’Amérique du Nord (États-Unis et

Canada), d’Afrique (Sénégal, île Maurice) et d’Australie. L’or-

ganisation internationale de la francophonie a également

émis un commentaire.

Les questions posées aux termes de cette consultation re-

flètent tant des questions spécifiques compte tenu du texte

actuel de la Convention 108 que, de manière plus générale,

les préoccupations actuelles en matière de règlementation

de la protection des données. Certaines se posent ainsi dans

des termes similaires dans le cadre de la révision du cadre

réglementaire de l’Union européenne. Le Comité suit atten-

tivement les développements au sein de l’UE. Une compila-

tion des différentes contributions est disponible sur le site

Internet du Comité consultatif de la Convention 108, précé-

dée d’une synthèse des réponses question par question.

Propositions d’amendements de la Convention

S’appuyant sur les résultats de la consultation publique, un

projet de version amendée de la Convention 108 a été dis-

cuté en détail lors de la réunion plénière annuelle du Comité

consultatif. Tous les documents relatifs à ce projet de mo-

dernisation de la Convention sont publics et disponibles sur

le site du Comité : http ://www.coe.int/t/dghl/standardset-

ting/dataprotection/modernisation_FR.asp?.


Cette tâche d’avis repose principalement sur les demandes

d’avis, dont 29 au total ont été reçues par le biais des assem-

blées législatives. La Commission peut toutefois également

émettre des avis ou des recommandations d’initiative :

elle a ainsi ouvert 14 dossiers de recommandation.

Une recommandation est aussi émise dans le cadre des

déclarations de traitement ultérieur de données à carac-

tère personnel lorsque le responsable du traitement est

dans l’impossibilité de satisfaire aux exigences de la Loi vie

privée. Dans ce cas, cette recommandation fixe les condi-

tions à respecter dans le cadre du traitement des données

concernées. En 2011, la Commission a ouvert 14 dossiers de

recommandation de ce type et a émis 10 recommandations

concernant des traitements ultérieurs.

Les textes réglementaires publiés en 2011 et pour lesquels

la Commission a émis un avis sont, comme l’année précé-

dente, soumis à une procédure d’évaluation. Au total 8 dos-

siers ont été ouverts en vue de vérifier dans quelle mesure

l’avis émis par la Commission a été suivi et dans quelle me-

sure la réglementation protège le traitement de données à

caractère personnel.

9.2 Politique de respect des dispositions légales

Les activités déployées dans ce domaine s’adressent non

seulement aux autorités publiques compétentes mais aussi à

tous les responsables de traitements de données à caractère

personnel.

Quand la Commission vie privée accorde une autorisation,

cela veut dire qu’elle autorise une instance active dans un

secteur déterminé à traiter ou à communiquer des données

La Commission vie privée :

• émet des avis sur la réglementation et la normalisa-

tion ;

• mène une politique de respect des dispositions légales ;

• fournit des informations et apporte un soutien en ma-

tière d’information ;

• assiste les personnes concernées dans l’exercice de

leurs droits et obligations ;

• traite les plaintes qui lui sont soumises concernant le

traitement des données et intervient en qualité de mé-

diateur le cas échéant pour contribuer au juste respect

de la protection des droits fondamentaux de chacun en

matière de protection de la vie privée dans le cadre du

traitement des données à caractère personnel.

Émettre des avis sur la réglementation et la normalisation,

mener une politique de respect des dispositions légales, dis-

penser des informations, traiter des plaintes et aider les per-

sonnes concernées à exercer leurs droits et leurs obligations

constituent donc la base des activités de la Commission.

9.1 Réglementation et normalisation

Les avis et recommandations s’adressent principalement

aux autorités et instances compétentes et ont pour objectif

de leur proposer un cadre pour le traitement et la communi-

cation de données à caractère personnel. Ces avis et recom-

mandations sont élaborés par la Commission ou par des

comités sectoriels spécifiques institués au sein de la Com-

mission. Les recommandations relatives aux traitements

ultérieurs sont par contre destinées aux responsables des

traitements.

9 Les activités de la Commission en chiffres

74

toujours un responsable du traitement spécifique. Au total,

123 dossiers de contrôle ont été ouverts.

9.2.2 Notification de l’utilisation d’une caméra

mobile par les services de police

Depuis 2009, lorsqu’un officier de police administrative

décide d’utiliser des caméras mobiles, il doit en informer

la Commission à l’aide d’un formulaire électronique spé-

cifique. En 2011, la Commission a reçu 140 notifications.

Des caméras mobiles ont été utilisées par les services de

police au cours de 78 manifestations sportives, générale-

ment des matches de football, ainsi que lors de 25 manifes-

tations, 24 événements ou festivités.

9.3 Information

La mission d’information de la Commission constitue un

troisième pilier qui s’adresse aussi bien aux instances pu-

bliques qu’aux responsables des traitements ou encore aux

personnes concernées (les personnes dont les données font

l’objet d’un traitement). Les principales tâches d’informa-

tion sont de tenir le registre public et d’informer le public.

Cette mission d’information peut avoir un caractère aussi

bien individuel (réponses orientées client) que collectif

(conférence) ou public (site Internet et registre public).

9.3.1 Support du front office en matière

d’information

En 2011, 3042 dossiers «questions et réponses » ont été

ouverts et traités par le front office, ce qui représente une

moyenne de 250 appels par mois.

En 2011, le front office a reçu 866 questions concernant le

traitement d’images, dont la majorité concernait l’utilisa-

tion de caméras de surveillance (29% des dossiers «ques-

tions et réponses »). Les autres domaines fréquemment

abordés sont : les principes de protection de la vie privée

à caractère personnel. Si un comité sectoriel a été institué

pour le secteur concerné, cette mission est assurée par ce

comité sectoriel. Le droit d’évocation permet cependant

toujours aux comités sectoriels de soumettre une demande

d’autorisation pour avis à la Commission.

Le Comité de surveillance statistique créé en 2007 n’a pas

encore été composé ce qui explique que les demandes d’au-

torisations sont actuellement traitées par la Commission.

Ce Comité surveille la communication de données d’étude

codées à des tiers par la Direction générale Statistique et

Information Économique et l’utilisation de ces données par

ces tiers. En 2011, 32 demandes d’autorisation individuelles

ont été reçues. Ces demandes ont débouché sur 31 autorisa-

tions et sur 2 refus. Le traitement de 1 dossier a été cessé et

2 dossiers sont encore en cours de traitement. Une autorisa-

tion de principe a été accordée à la Direction générale Statis-

tique et Information Économique du SPF Finances.

La Commission est également investie de tâches de contrôle

et d’inspection à l’égard des responsables des traitements

qu’elle exerce en élaborant des recommandations et en éva-

luant les mesures de sécurité prises.

9.2.1 Tâches de contrôle

En 2011, la Commission vie privée a effectué des contrôles

à deux niveaux. Le premier niveau est celui des traitements

effectués dans le cadre, d’une part, des systèmes d’informa-

tion Schengen, Eurodac et Douane et, d’autre part, des acti-

vités d’Europol. Le deuxième niveau concerne les contrôles

effectués d’initiative. Ces contrôles doivent être subdivisés

en trois types : les contrôles permanents auprès de Child

Focus et du Centre d’information et d’avis sur les organisa-

tions sectaires nuisibles, les contrôles thématiques auprès

des services de police et de renseignements, dont font partie

les dossiers relatifs à l’accès indirect (relevant de l’article 13

de la Loi vie privée), et des contrôles ponctuels, qui visent


9.3.3 Publication d’informations sur le site

Internet

http ://www.privacycommission.be

En 2011, le site web de la Commission vie privée a été consul-

té 291 638 fois. Au total, 1 284 617 pages ont été consultées

et le nombre moyen de pages consultées par visite a été de

4,4 pages. La rubrique «législation nationale » et la rubrique

« En pratique – Caméras de surveillance » sont les plus pri-

sées.

Les questions les plus consultées sont :

• Quand dois-je appliquer la loi caméras ? (792 consul-

tations) ;

• L’installation d’une fausse caméra est-elle soumise à la

loi caméras ? (502 consultations) ;

• Ma caméra de surveillance filme également un lieu

de travail. Puis-je filmer cet endroit sans problème ?

(415 consultations)

Dans le lexique, les définitions les plus consultées sont

celles des mots suivants :

• caméras (loi) (1 444 consultations) ;

• lieu fermé non accessible au public (Loi caméras)

(1 125 consultations) ;

• responsable du traitement (999 consultations).

9.3.4 Publication d’informations sur le site

Internet http ://www.jedecide.be

L’initiative « Je décide ” en bref

À l’occasion du Data Protection Day 2010 (28 janvier 2010), la

Commission de la protection de la vie privée avait lancé son

site Internet (2 versions : FR et NL) spécialement conçu pour

les jeunes, leurs parents et leurs enseignants (http ://www.

jedecide.be – http ://www.ikbeslis.be). Suivant l’exemple de

nombreuses autorités étrangères de protection des don-

nées, la CPVP a conçu son site comme un «info-relais ».

(14%), l’économie (7%) (avec surtout des questions sur le

crédit à la consommation), le travail (45,2%) et les autorités

publiques (5%).

9.3.2 Déclarations enregistrées dans le registre

public

Avant qu’un responsable de traitement puisse effectuer un

traitement entièrement ou partiellement automatisé, il doit

le déclarer à la Commission.

En 2011, les responsables de traitements ont introduit

7169 dossiers de déclaration via l’e-guichet, ce qui repré-

sente une augmentation de 92% par rapport au nombre de

dossiers de déclaration introduits en 2010.

En 2011, 6490 nouveaux traitements de données ont été dé-

clarés sur la base des formulaires de déclaration suivants :

• déclaration ordinaire (19 %) ;

• déclaration VIA/DPR (28 %) ;

• déclaration de traitement ultérieur (1 %) ;

• déclaration thématique pour l’installation et l’utilisa-

tion d’une caméra de surveillance (52 %).

Les modifications et la fin des traitements de données

doivent également être déclarées. En 2011, il y a eu 372 dé-

clarations de modifications à des traitements de données

existants et 306 déclarations de fin de traitement.

Les principales finalités visées par les traitements de don-

nées déclarés ont été : 2850 fois «surveillance et contrôle »

et 520 fois «surveillance et contrôle des personnes qui tra-

vaillent sur un lieu de travail surveillé », 542 fois «finalités

générales », 104 fois «soins de santé » et 2043 fois «autres

finalités ».

76

Les questions posées via le site « Je décide ”

• Par qui ?

▪ Enseignants, direction d’école et médiateurs sco-

laires (+/- 60%) ;

▪ Particuliers (parents, grands-parents, jeunes utili-

sateurs) (+/- 25%) ;

▪ Etudiants-chercheurs (+/- 10%) ;

▪ Editeurs (manuels scolaires, sites internet)

(+/- 5%).

• Quelles sont les questions posées ?

▪ Demandes d’animer une séance d’information ;

La grande majorité des demandes formulées sur le site « Je

décide » concerne des demandes adressées par les directions

d’école et des médiateurs scolaires. Il est demandé à la CPVP

d’animer des séances d’information/débat à l’attention des

parents, des élèves ou des enseignants eux-mêmes. Ces de-

mandent visent l’usage des nouvelles technologies en géné-

ral ou, régulièrement, l’utilisation des réseaux sociaux. Plu-

sieurs demandes ont par exemple été formulées à l’occasion

de la sortie en salle du film « The social Network ». D’autres

entités, telle une bibliothèque communale, ont également

sollicité la présence d’un membre de la Commission pour

une séance d’information sur les NTIC et les jeunes. La

Commission a défini sa politique à cet égard : elle indique

que malheureusement, elle ne peut répondre favorablement

à ces demandes individuelles et renvoie au contenu de son

site créé précisément compte tenu du manque de ressources

internes pour animer de telles séances.

▪ Demande de documentation papier/fascicules,

brochures d’information à distribuer ;

À la suite de l’envoi en février 2011 à toutes les écoles

(Communauté française et Communauté flamande) des

affiches et cartes postales destinées à faire connaître le site

Elle y a mis l’accent sur les aspects «vie privée et protection

des données », soit des aspects qui relèvent spécifiquement

de sa compétence alors que nombreux autres sites «d’édu-

cation aux médias » mettent davantage en évidence les

«dangers d’Internet (sites à contenus illicites ou choquants

etc.) », par exemple. Le site a une vocation pédagogique,

explicative et donne des conseils sur divers thèmes. La CPVP

part de l’idée qu’il convient d’outiller l’utilisateur des NTIC

afin qu’il utilise celles-ci en connaissance de cause, soit en

en connaissant les potentialités mais aussi les limites et les

risques et ce, dans le respect de lui-même et d’autrui (« Je dé-

cide »). Vers une utilisation autonome, informée, citoyenne

et responsable …

Quatre publics cibles ont été identifiés :

• les enfants ;

• les jeunes;

• les parents ;

• les enseignants.

Pour chacun de ces publics cibles, différents thèmes ont été

identifiés tels l’utilisation du GSM, d’Internet, des réseaux

sociaux mais aussi le placement de caméras de surveillance,

le droit à l’image, la publicité etc. Le message est adapté en

fonction du public visé. Le Secrétariat de la CPVP alimente

progressivement le site avec de nouvelles rubriques, de nou-

veaux liens vers d’autres sites intéressants au regard des pro-

blématiques abordées.

Des affiches et cartes postales destinées à faire connaître

le site ont été envoyées dans toutes les écoles primaires et

secondaires de la Communauté française et de la Commu-

nauté flamande (mailing) en février 2011. Cette opération a

remporté un franc succès.

Le site offre la possibilité de poser des questions en ligne.

L’équipe « Je décide » du Secrétariat de la CPVP se charge de

répondre rapidement aux questions posées. Un résumé des

différents types de questions figure ci-dessous de même que

quelques statistiques relatives à la fréquentation des sites.


• Questions relatives au droit à l’image : dans quelles

conditions peut-on publier des photos (de tiers) sur In-

ternet ? Quelles sont les obligations lorsqu’on souhaite

réaliser un reportage / des interviews d’élèves ? Peut-on

filmer un entraînement de volley (club de sport) ?

• Quelle autorisation/ou non de filmer, enregistrer un

professeur pendant les heures de cours, mettre les en-

registrements/vidéos sur un site Internet ?

• Quelle est la vision de la CPVP quant au profilage des

mineurs (au départ de données de connexions aux sites

Internet etc.) ?

• Quelle est la vision de la CPVP quant au marketing

visant spécifiquement les mineurs (par e-mail, avec

cadeaux à la clé etc.) ?

• Quid du cyberharcèlement ? Quid des insultes via les

réseaux sociaux ? Que faire face à ce phénomène ? Quel

est le rôle/la responsabilité de l’école compte tenu du

fait que l’utilisation des GSM, des réseaux sociaux etc.

se poursuit une fois à domicile tout en ayant d’impor-

tantes répercussions à l’école …

• Qu’est-ce qu’une copie-cache ? Un tracking cookies ?

• Quelle utilisation a posteriori des échanges d’e-mails ?

• Quelle transmission de données lors d’un changement

d’école ?

• Enfin, de nombreuses questions liées au pouvoir de dé-

cision sur ces questions des NTIC en cas de séparation

des parents sont également posées (qui décide si oui ou

non des photos de voyage scolaire peuvent être mises

sur le site Internet de l’école etc.). La CPVP s’en tient ici

aux aspects de ces questions qui relèvent de sa compé-

tence spécifique.

« Je décide », la Commission a reçu de nombreuses demandes

d’envoi d’affiches et de cartes postales supplémentaires.

Elle a également reçu des demandes de brochures explica-

tives/fascicules sur le thème du bon usage des NTIC, notam-

ment des réseaux sociaux.

Questions concrètes – thèmes abordés

À l’examen de la liste des questions récurrentes posées via

le site et des thèmes abordés, deux tendances se dessinent :

— D’une part, des questions de type « Qu’est-ce que

c’est ?» « Comment ça marche ?» « Est-ce normal ?», « Est-

ce légal ?» se posent : quand peut-on placer une caméra

et filmer des élèves, peut-on publier des photos de tiers,

comment supprimer un compte Hotmail ou un profil

Facebook …

— D’autre part, de nombreuses questions posées ré-

vèlent des difficultés liées à l’utilisation des NTIC dans

le respect d’autrui (GSM, réseaux sociaux, appareils

photos, insultes via Internet.)

• L’utilisation des réseaux sociaux : demandes d’infor-

mations générales et questions techniques plus spé-

cifiques et concernant (le bon) l’usage qui en est fait :

est-ce dangereux ? Quel âge pour aller sur Facebook ?

Comment supprimer son profil sur Facebook ? Com-

ment utiliser les «privacy settings » (paramètres de

confidialité) ? Que faire face à la création d’un faux pro-

fil ? Quid des insultes via les réseaux sociaux ?

• Comment supprimer des données mises sur Internet

(livres d’or, commentaires, réseaux sociaux, suppres-

sion de profil (notamment en cas de création d’un faux

profil par un tiers), suppression de comptes Hotmail,

difficultés de savoir qui contacter, absence de réponse

lors d’envois de mails etc.) ?

• Question connexe : combien de temps les sites Internet

peuvent-ils conserver mes données ?

• L’école peut-elle installer des caméras dans l’enceinte

de l’école (dans quels cas, avec quel consentement /

information des parents etc.) ?

78

Demandes d’informations complémentaires, de docu-

mentation

Plusieurs demandes ont été adressées par des étudiants

pour recevoir davantage d’informations sur la question des

jeunes et des NTIC et rencontrer un membre de la Commis-

sion. Une offre de collaboration par un doctorant, de même

qu’une demande de participation à une table ronde dans le

cadre d’un projet de recherche universitaire ont par exemple

également été adressées à la CPVP.

9.4 Dossiers de fond

Les dossiers de fond comprennent, outre des dossiers de

contrôle, également des dossiers d’information et des dos-

siers de médiation.

En 2011, la Commission vie privée a traité 2866 demandes

d’informations ou de médiation (y compris des dossiers de

contrôle). Ces dossiers peuvent être répartis comme suit :

2447 demandes d’informations émanant tant d’instances

publiques et de responsables de traitements actuels ou fu-

turs que de personnes concernées, 296 demandes de média-

tion et 123 dossiers de contrôle.

Avant toute médiation ou communication d’informations,

la Commission procède toujours à une analyse de receva-

bilité. Pour 153 dossiers, la demande de médiation ou d’in-

formations s’est avérée irrecevable, souvent en raison d’un

manque d’informations de la part de la personne concernée

(148 dossiers).

215 demandes, soit 9%, ont été adressées erronément à la

Commission vie privée, qui s’est toujours efforcée d’orienter

le demandeur vers l’institution compétente. Dans près de

75% des cas, la Commission y est parvenue.

Dans 75% des questions traitées, des informations relatives

à la vie privée ont été communiquées. Dans 3,85% des dos-

siers, la plainte s’est avérée infondée ; par contre dans 5,01%

des dossiers, une infraction à la vie privée a été constatée, où

une correction a été obtenue.

Suggestions de thèmes que pourrait traiter le site :

tracking cookies (exécuté), filmer au moyen d’un gsm

ou d’un iPhone, cyberharcèlement (en projet)

Demandes du monde de l’édition, d’autres sites Inter-

net, des médias etc.

Des responsables de sites Internet ont indiqué avoir renvoyé

au site « Je décide » depuis leur site Internet. Ils ont deman-

dé que la réciproque soit faite par la CPVP. Le magazine «

Lach en Leer » a, via le site « Je décide », demandé la collabo-

ration de la Commission pour l’édition d’un livre destiné

aux enfants de 8 à 10 ans. Le Secrétariat de la Commission

a rédigé l’ensemble des textes de cette publication intitulée

« Media Wijs !? Jong en bewust op internet » (voir ci-dessous).

Une version française devrait être publiée prochainement

(celle-ci n’étant pas encore disponible, la couverture et le

dos de couverture reproduits ci-dessous n’existent encore

qu’en néerlandais). Il a également été demandé à la CPVP si

certains extraits de son site pouvaient être repris dans des

manuels scolaires.


données à caractère personnel. Ce système d’évaluation est

d’application aux avis de type article 29 (de la Loi du 8 dé-

cembre 1992 relative à la protection de la vie privée à l’égard

des traitements de données à caractère personnel), émis à la

demande d’une des instances citées dans cette disposition

sur un projet de loi, d’arrêté royal, de décret, … . Les avis

d’initiative ne sont repris que s’ils concernent une initiative

législative. Cette méthode d’évaluation ne s’applique pas

aux délibérations des comités sectoriels.

Pour que cette évaluation puisse se dérouler de manière uni-

forme, un formulaire standard a été mis au point. Il est di-

visé en deux parties. Dans une première partie, on examine

dans quelle mesure la réglementation a été modifiée suite et

conformément à l’avis de la Commission. Cette évaluation

repose sur les remarques faites dans l’avis et une évalua-

tion de la manière dont ces remarques ont été transposées

dans le processus décisionnel. Dans une deuxième partie,

on examine dans quelle mesure le texte réglementaire a un

impact en termes de protection de la vie privée. Cette éva-

luation se fait sur la base d’une comparaison entre le texte

de loi soumis pour avis et le (nouveau) texte de loi publié.

Après analyse de ces deux parties, on dresse un bilan : quel

est l’impact de la Commission sur la législation et quel est

l’impact de la législation sur la vie privée ? L’évaluation est

effectuée par le juriste qui a traité le dossier concerné en

concertation avec le rapporteur. Le formulaire d’évaluation

est ensuite communiqué aux membres de la Commission à

la séance d’information.

Entre-temps, une action de rattrappage a été clôturée pour

tous les avis émis depuis 2007 dont le texte législatif a été

publié au Moniteur belge. En 2011, 12 dossiers d’évaluation

au total ont été traités.

Les cinq thèmes les plus fréquemment abordés sont :

le traitement d’images (19,57%), avec un intérêt majeur pour

la vidéosurveillance, les principes de protection de la vie

privée (16,29%), «autorités publiques et vie privée » (10,40%)

et les pratiques commerciales (10,61%), où les questions

étaient principalement axées sur les applications marke-

ting.

Environ 90% des dossiers clôturés en 2011 ont été traités

dans un délai de 3 mois. Soixante-trois pourcent des dos-

siers dont le traitement est encore en cours ont été ouverts

dans le courant du dernier trimestre de 2011.

La Commission a principalement reçu des demandes

concernant des traitements de données d’identification

(38,90% des dossiers), de prises de vues et de prises de son

(22,85%), de particularités financières (9,39%), de données

d’identification électroniques (9,08%) et de données judi-

ciaires et secrètes (6,73%).

Pour pouvoir répondre à la question posée, on est toujours

parti d’un cadre législatif. La Loi vie privée a généralement

servi de base pour la réponse et les articles les plus fréquem-

ment utilisés ont été : les articles 9-10-12 sur les droits de

la personne concernée (22,64%), l’article 5 sur les condi-

tions liées à un traitement (17,79%). Outre la Loi vie privée,

la Loi caméras a constitué le cadre légal de référence dans

13,29% des dossiers.

Les questions sont généralement posées dans le cadre d’une

relation profit (20,48%), répression (20,31%) ou de travail

(11,30%) entre le responsable du traitement et la personne

concernée.

9.5 Dossiers d’évaluation

Fin 2008, le Secrétariat a lancé une procédure d’évaluation

des textes législatifs sur lesquels la Commission a émis

un avis afin d’évaluer dans quelle mesure l’avis émis par

la Commission a été suivi et la réglementation concernée

protège effectivement la vie privée en cas de traitement de

80

Trimestre dossiers A IN dossiers A OUT % clôturés dossiers A ouverts

01.2011 - 03.2011 5 4 80,00 1

04.2011 - 06.2011 12 10 83,33 2

07.2011 - 09.2011 15 13 86,67 2

10.2011 - 12.2011 12 6 50,00 6

Total 44 33 75,00 11

Trimestre dossiers AR IN dossiers AR OUT % clôturés dossiers AR ouverts

01.2011 - 03.2011 5 3 60,00 2

04.2011 - 06.2011 4 1 25,00 3

07.2011 - 09.2011 2 0 0,00 2

10.2011 - 12.2011 3 1 33,33 2

Total 14 5 35,71 9

Trimestre dossiers EVAL IN dossiers EVAL OUT % clôturés dossiers EVAL ouverts

01.2011 - 03.2011 4 4 100,00 0

04.2011 - 06.2011 4 4 100,00 0

07.2011 - 09.2011 4 4 100,00 0

10.2011 - 12.2011 3 0 0,00 3

Total 15 12 80,00 3

Trimestre dossiers LV IN dossiers LV OUT % clôturés dossier LV ouverts

01.2011 - 03.2011 2 2 100,00 0

04.2011 - 06.2011 4 4 100,00 0

07.2011 - 09.2011 3 3 100,00 0

10.2011 - 12.2011 5 5 100,00 0

Total 14 14 100,00 0

9.6 Tableaux et graphiques

9.6.1. Dossiers de décision traités par la Commission en 2011 en chiffres

9.6.1.1. Analyse globale des dossiers de décision Commission 2011


Nom

bre

Nom

bre

1.2 Délai de traitement des dossiers de décision avec délais légaux

1.2.1. Dossiers A

Nombre Délai de traitement Dossiers clôturés Dossiers en traitement

<= 2 mois 28 4> 2 mois 0 2

traitement arrêtés / irrecevables

2

Total 30 6

Pourcentage Délai de traitement Dossiers clôturés Dossiers en traitement

<= 2 mois 100,00 66,67> 2 mois 0,00 33,33

Total 100 100

<= 2 mois 94,12> 2 mois 5,88

1.2.2. Dossiers LVNombre Délai de traitement Dossiers clôturés

<= 45 j 14

0

5

10

15

20

25

30

35

40

45

Dossier A Dossier AR Dossier EVAL Dossier LV

44

14 15 14

33

5

1214

119

30

Dossier CO IN Dossier CO OUT Dossier CO ouvert

1. Dossiers de décision traités par la Commission en 2011 en chiffres

1.1. Analyse globale des dossiers de décision Commission 2011

Trimestre dossiers A IN dossiers A OUT % clôturés dossiers A ouverts01.2011 - 03.2011 5 4 80,00 104.2011 - 06.2011 12 10 83,33 207.2011 - 09.2011 15 13 86,67 210.2011 - 12.2011 12 6 50,00 6

Total 44 33 75,00 11

Trimestre dossiers AR IN dossiers AR OUT % clôturés dossiers AR ouverts01.2011 - 03.2011 10.2011 - 12.2011 3 #VALUE! #VALUE!04.2011 - 06.2011 4 1 25,00 307.2011 - 09.2011 2 0 0,00 210.2011 - 12.2011 3 1 33,33 2

Total 14 5 35,71 9

Trimestre dossiers EVAL IN dossiers EVAL OUT % clôturés dossiers EVAL ouverts01.2011 - 03.2011 4 4 100 004.2011 - 06.2011 4 4 100,00 007.2011 - 09.2011 4 4 100,00 010.2011 - 12.2011 3 0 0,00 3

Total 15 12 80,00 3

Trimestre dossiers LV IN dossiers LV OUT % clôturés dossier LV ouverts01.2011 - 03.2011 2 2 100,00 004.2011 - 06.2011 4 4 100,00 007.2011 - 09.2011 3 3 100,00 010.2011 - 12.2011 5 5 100,00 0

Total 14 14 100,00 0

0

5

10

15

01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011

5

12

15

12

0

4

23

4 4 43

2

43

5

Dossiers de décision Commission 2011

dossiers A IN dossiers AR IN dossiers EVAL IN dossiers LV IN




Total 44 33 75,00 11


Total 14 5 35,71 9


Total 15 12 80,00 3


Total 14 14 100,00 0

0

5

10

15

01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011

5

12

15

12

0

4

23

4 4 43

2

43

5






Total 44 33 75,00 11


Total 14 5 35,71 9


Total 15 12 80,00 3


Total 14 14 100,00 0

0

5

10

15

01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011

5

12

15

12

0

4

23

4 4 43

2

43

5



82

9.6.1.2 Délai de traitement des dossiers de décision avec délais légaux

9.6.1.2.1 Dossiers A


< 2 mois 28 4

> 2 mois 0 2

traitement arrêtés / irrecevables

2

Total 30 6


< 2 mois 100,00 66,67

> 2 mois 0,00 33,33

Total 100 100

< 2 mois 94,12

> 2 mois 5,88

1.2.2. Dossiers LV

Nombre Délai de traitement Dossiers clôturés

< 45 j 14

<

<

<

<


9.6.1.3 Suite donnée aux dossiers de décision clôturés

Type de dossier Suite Nombre % / type de dossier

Dossiers A favorable 9 27,27

favorable avec conditions 15 45,45

défavorable 4 12,12

point de vue formulé 1 3,03

irrecevable 1 3,03

traitement arrêté 3 9,09

Dossiers AR point de vue formulé 4 80,00


Dossiers EVAL point de vue formulé 12 100,00

Dossiers LV favorable 14 100,00

84

Nom

bre

9.6.2. Dossiers de fond 2011 en chiffres

9.6.2.1 Analyse globale des dossiers de fond 2011

Trimestre Dossiers DOS IN Dossiers DOS OUT % clôturés Dossiers DOS ouverts

01.2011 - 03.2011 852 803 94,25 49

04.2011 - 06.2011 668 627 93,86 41

07.2011 - 09.2011 573 496 86,56 77

10.2011 - 12.2011 773 487 63,00 286

Total 2 866 2 413 84,19 453

2 Dossiers de fond 2011 en chiffres

2.1 Analyse globale des dossiers de fond 2011

Trimestre Dossiers DOS IN Dossiers DOS OUT % clôturés Dossiers DOS ouverts01.2011 - 03.2011 852 803 94,25 4904.2011 - 06.2011 668 627 93,86 4107.2011 - 09.2011 573 496 86,56 7710.2011 - 12.2011 773 487 63,00 286

Total 2.866 2.413 84,19 453

10.2011 - 12.2011

0

200

400

600

800

1000

01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011

852

668573

773803

627496 487

49 41 77

286

Dossiers de fond 2011

Dossiers DOS IN Dossiers DOS OUT Dossiers DOS ouverts


Trimestre Dossiers DOS IN Dossiers DOS OUT % clôturés Dossiers DOS ouverts

01.2011 - 03.2011 852 803 94,25 49

information 730 701 96,03 29

médiation 88 72 81,82 16

contrôle 34 30 88,24 4

04.2011 - 06.2011 668 627 93,86 113

information 582 560 96,22 22

médiation 61 46 75,41 15

contrôle 25 21 84,00 4

07.2011 - 09.2011 573 496 86,56 154

information 470 435 92,55 35

médiation 65 40 61,54 25

contrôle 38 21 55,26 17

10.2011 - 12.2011 773 487 63,00 207

information 665 462 69,47 149

médiation 82 20 24,39 62

contrôle 26 5 19,23 21

Total 2 866 2 413 84,19 453

information 2 447 2 158 88,19 289

médiation 296 178 60,14 118

contrôle 123 77 62,60 46

Trimestre Dossiers DOS IN Dossiers DOS OUT % clôturés Dossiers DOS ouverts01.2011 - 03.2011 852 803 94,25 49

information 730 701 96,03 29médiation 88 72 81,82 16contrôle 34 30 88,24 4

04.2011 - 06.2011 668 627 93,86 113information 582 560 96,22 22médiation 61 46 75,41 15contrôle 25 21 84,00 4



Total 2.866 2.413 84,19 453information 2.447 2.158 88,19 289médiation 296 178 60,14 118contrôle 123 77 62,60 46

0

500

1.000

1.500

2.000

2.500

information médiation contrôle

2.447

296123

2.158

17877

289118 46

Dossiers DOS IN

Dossiers DOS OUT

Dossiers DOS ouverts

Nom

bre

86

9.6.2.2 Délai de traitement dossiers de fond


< 30 1 767 125

31-60 295 81

61-90 126 80

91-180 167 77

181-270 43 40

271-365 11 45

>365 4 5

Total 2 413 453


< 30 73,23 27,59

31-60 12,23 17,88

61-90 5,22 17,66

91-180 6,92 17,00

181-270 1,78 8,83

271-365 0,46 9,93

>365 0,17 1,10

Total 100 100

< 3 mois 90,68 63,13

> 3 mois 9,32 36,87

< 3 mois 86,32

> 3 mois 13,68

<

<

<

<


9.6.2.3 Suite donnée aux dossiers de fond clôturés

Suite Nombre Pourcentage

information communiquée 1 800 74,60

pas d'infraction à la vie privée 93 3,85

pas d'enregistrement 30 1,24

pas d'infraction à la vie privée 39 1,62

maintien de l'enregistrement 24 0,99

infraction à la vie privée 121 5,01

suppression complète de l'enregistrement 41 1,70

suppression partielle de l'enregistrement 5 0,21

correction de l'enregistrement 4 0,17

accord à l'amiable 71 2,94

dossiers irrecevables 153 6,34

information non exigée 148 6,13

droits non exercés 5 0,21

Commission non compétente 215 8,91

renvoi 165 6,84

pas de renvoi 50 2,07


88

9.6.2.4 Analyse du contenu des dossiers de fond reçus

Nombre %

Langue

Néerlandais 1 663 58,03

Français 1 120 39,08

Anglais 74 2,58

Allemand 7 0,24

Autres 2 0

Types de dossier

médiation 296 10,33

contrôle 123 4,29

information 2 447 85,38

front office 2 329 81,26

back office 537 18,74

Activité

interne 2 373 82,80

externe 414 14,45

non mentionnée 79 2,76

nombre moyen de pièces entrantes et sortantes par dossier

3,21


Domaine - sous-domaine

Nombre % (Total) % (en domaine)

Télécommunications 170 5,93

général 43 1,50 25,29

blogging - résaux sociaux

30 1,05 17,65

cookies 1 0,03 0,59

télévision digitale 2 0,07 1,18

Internet 76 2,65 44,71

nouvelles technologies

10 0,35 5,88

moteurs de recherche

8 0,28 4,71

Autorité publique 298 10,40

général 30 1,05 10,07

registres de population

42 1,47 14,09

DIV 35 1,22 11,74

e-government 5 0,17 1,68

eID 24 0,84 8,05

Eurodac 1 0,03 0,34

fisc 13 0,45 4,36

moyens d'identification

10 0,35 3,36

autorisations 7 0,24 2,35

publicité de l'administration

14 0,49 4,70

élections politiques 1 0,03 0,34

administrations régionales et locales

29 1,01 9,73

Registre national 85 2,97 28,52

visa 2 0,07 0,67

Justice 19 0,66

général 1 0,03 5,26

9.6.2.4.1. Domaines et sous-domaines des dossiers de fond

90



Child focus 1 0,03 5,26

justice 13 0,45 68,42

parquet 3 0,10 15,79

jurisprudence 1 0,03 5,26

Police-renseignements

170 5,93

général 5 0,17 2,94

douane 1 0,03 0,59

criminalité informatique

1 0,03 0,59

services de renseignements

3 0,10 1,76

police 142 4,95 83,53

Schengen, Europol, Eurojust

10 0,35 5,88

casier judiciaire 7 0,24 4,12

blanchiment 1 0,03 0,59

Enseignement 35 1,22

Travail 229 7,99

général 4 0,14 1,75

vidéosurveillance 3 0,10 1,31

e-mail 10 0,35 4,37

données relatives aux travailleurs

126 4,40 55,02

géolocalisation 40 1,40 17,47


10 0,35 4,37

recrutement 4 0,14 1,75

télécommunication 25 0,87 10,92

syndicats 2 0,07 0,87

bien-être au travail 1 0,03 0,44

whistleblowing 4 0,14 1,75

Sécurité sociale 13 0,45




Copropriété 25 0,87

code du logement 1 0,03 4,00

copropriété 9 0,31 36,00

syndic 15 0,52 60,00

Traitement des données relatives à la santé

52 1,81

général 27 0,94 51,92

secret professionnel

1 0,03 1,92

banques de données

2 0,07 3,85

eHealth 3 0,10 5,77

autorisations 1 0,03 1,92

dossiers de patients 18 0,63 34,62

Traitement d'images 561 19,57

général 11 0,38 1,96

vidéosurveillance 378 13,19 67,38

Google Street View 54 1,88 9,63

droit à l'image 116 4,05 20,68

webcasting 2 0,07 0,36

Presse et médias 36 1,26

général 29 1,01 80,56

presse audiovisuelle

1 0,03 2,78

presse électronique 2 0,07 5,56

presse écrite 4 0,14 11,11

Économie 254 8,86

général 4 0,14 1,57

banque/assurances 33 1,15 12,99

protection des consommateurs

9 0,31 3,54

faillites 7 0,24 2,76

finances 9 0,31 3,54

concordat judiciaire 1 0,03 0,39

crédit 60 2,09 23,62

92



crédit volet négatif 113 3,94 44,49

crédit volet positif 11 0,38 4,33

listes négatives 7 0,24 2,76

Pratiques commerciales

304 10,61

général 11 0,38 3,62

marketing direct 146 5,09 48,03

cartes de fidélité 6 0,21 1,97

commerce de données personnelles

8 0,28 2,63


2 0,07 0,66

marketing 60 2,09 19,74

listes de personnes 22 0,77 7,24

phishing 2 0,07 0,66

propagande politique

10 0,35 3,29

spam 37 1,29 12,17

Sécurisation de l'information

16 0,56

Recherche SHS 41 1,43

divers 1 0,03 2,44

généalogie 6 0,21 14,63

statistiques 10 0,35 24,39

recherche scientifique

24 0,84 58,54

Archives 9 0,31

général 4 0,14 44,44

données de défunts 2 0,07 22,22

données des autorités

2 0,07 22,22

archives privées 1 0,03 11,11




Flux internationaux 86 3,00

général 10 0,35 11,63

BCR 11 0,38 12,79

clauses contractuelles

65 2,27 75,58

Protection internationale de données personnelles

7 0,24

Principes de protection de la vie privée

467 16,29

Autres ou non déterminés

63 2,20

statistiques 10 0,35 24,39recherche scientifique 24 0,84 58,54

Archives 9 0,31général 4 0,14 44,44données de défunts 2 0,07 22,22données des autorités 2 0,07 22,22archives privées 1 0,03 11,11

Flux internationaux 86 3,00général 10 0,35 11,63BCR 11 0,38 12,79clauses contractuelles 65 2,27 75,58

Protection internationale de données personnelles 7 0,24Principes de protection de la vie privée 467 16,29Autres ou non déterminés 63 2,20

0 100 200 300 400 500 600

254

298

304

467

561

Top 5 des domaines les plus courants

Traitement d'images Principes de protection de la vie privée Pratiques commerciales Autorité publique Économie

94

9.6.2.4.2 Type de données traitées dans les dossiers de fond (top 5)

Type de données Nombre % / # dossiers % / # types

données d'identification 1 115 38,90 33,29

prises de vues et prises de sons 655 22,85 19,56

particularités financières 269 9,39 8,03

données d'identification électroniques 266 9,28 7,94

données judiciaires et secrètes 193 6,73 5,762.4.2 Type de données traitées dans les dossiers de fond (top 5)

Type de données Nombre % / # dossiers % / # typesdonnées d'identification 1.115 38,90 33,29prises de vues et prises de sons 655 22,85 19,56particularités financières 269 9,39 8,03données d'identification électroniques 266 9,28 7,94données judiciaires et secrètes 193 6,73 5,76

1115

655

269

266193

Top 5 des types de données les plus traitées

données d'identification

prises de vues et prises de sons

particularités financières

données d'identification électroniques

données judiciaires et secrètes


9.6.2.4.3 Législation traitée dans les dossiers de fond (top 5)

Législation Nombre % / # dossiers % / # types

LVP articles 9-10-12 (droits de la personne concernée) 649 22,64 18,26

LVP article 5 (conditions de traitement) 510 17,79 14,35

Loi caméras 381 13,29 10,72

LVP article 4 (régularité du traitement) 191 6,66 5,37

Législation en matière de crédit 178 6,21 5,062.4.3 Législation traitée dans les dossiers de fond (top 5)

Législation Nombre % / # dossiers % / # typesLVP articles 9-10-12 (droits de la personne concernée) 649 22,64 18,26LVP article 5 (conditions de traitement) 510 17,79 14,35Loi caméras 381 13,29 10,72LVP article 4 (régularité du traitement) 191 6,66 5,37Législation en matière de crédit 178 6,21 5,06

649

510

381

191

178

Top 5 de la législation la plus souvent traitée

LVP articles 9-10-12 (droits de la personne concernée)

LVP article 5 (conditions de traitement)

Loi caméras

LVP article 4 (régularité du traitement)

Législation en matière de crédit

96

9.6.2.4.4 Relation responsable du traitement & personne concernée

Relation de traitement Nombre %

Relation de travail 324 11,30

Relation répression 582 20,31

Relation informative/d'influence 188 6,56

Relation non-profit 210 7,33

Relation profit 587 20,48

Relation avec l'enseignement 59 2,06

Relation avec l'autorité publique 300 10,47

Relation privée 255 8,90

Relation sociale 139 4,85

Relation scientifique 44 1,54

Autre 83 2,90

Non définie 95 3,31

2.4.4 Relation responsable du traitement & personne concernée

Relation de traitement Nombre %Relation de travail 324 11,30Relation répression 582 20,31Relation informative/d'influence 188 6,56Relation non-profit 210 7,33Relation profit 587 20,48Relation avec l'enseignement 59 2,06Relation avec l'autorité publique 300 10,47Relation privée 255 8,90Relation sociale 139 4,85Relation scientifique 44 1,54Autre 83 2,90Non définie 95 3,31

0 100 200 300 400 500 600

255

300

324

582

587

Relation de traitement : top 5

Relation profit Relation répression Relation de travail Relation avec l'autorité publique Relation privée


Nom

bre

9.6.3 Dossiers Question et Réponse (dossiers Q&A) 2011 en chiffres

9.6.3.1 Analyse globale des dossiers Q&A 2011

Type Nombre

Dossier FO 3 042

Dossier PR 55

Type Trimestre Nombre

Dossiers FO 01.2011 - 03.2011 555

04.2011 - 06.2011 789

07.2011 - 09.2011 750

10.2011 - 12.2011 948

Dossiers PR 01.2011 - 03.2011 25

04.2011 - 06.2011 16

07.2011 - 09.2011 12

10.2011 - 12.2011 2

3 Dossiers Question et Réponse (dossiers Q&A) 2011 en chiffres

3.1 Analyse globale des dossiers Q&A 2011

Type NombreDossier FO 3.042Dossier PR 55

Type Trimestre NombreDossiers FO 01.2011 - 03.2011 555

04.2011 - 06.2011 78907.2011 - 09.2011 75010.2011 - 12.2011 948

Dossiers PR 01.2011 - 03.2011 2504.2011 - 06.2011 1607.2011 - 09.2011 1210.2011 - 12.2011 2

3.2 analyse du contenu des dossiers FO

3.2.1 Domaines et sous-domaines des dossiers FO (top 5)

NombreTraitement d'images 866

général 6vidéosurveillance 594Google Street View 211droit à l'image 55

Principes de protection vie privée 419Économie 214

général 1banque/assurances 12protection consommateurs 1compliance 1finances 1crédit 124crédit volet négatif 70crédit volet positif 3

Domaine - Sous-domaine

0

500

1000

01.2011 -03.2011

04.2011 -06.2011

07.2011 -09.2011

10.2011 -12.2011

555789 750

948

Questions et réponses dossiers 2011

FO-dossier PR-dossier

0 100 200 300 400 500 600 700 800 900

138144

214419

866


Traitement d'images Principes de protection vie privée Économie Autorité publique Travail

98

Domaine - Sous-domaine NombreTraitement d'images 866



général 1banque/assurances 12protection consommateurs 1compliance 1finances 1crédit 124crédit volet négatif 70crédit volet positif 3listes négatives 1

Autorité publique 144général 13registres de population 18DIV 27e-government 1eID 3moyens d'identification 2autorisations 10publicité de l'administration 2élections politiques 2administrations régionales et locales 7Registre national 59

Travail 138général 2vidéosurveillance 2e-mail 8données des travailleurs 69géolocalisation 23moyens d'identification 2recrutement 1télécommunications 19whistleblowing 12

9.6.3.2 Analyse du contenu des dossiers FO

9.6.3.2.1 Domaines et sous-domaines des dossiers FO (top 5)


3 Dossiers Question et Réponse (dossiers Q&A) 2011 en chiffres

3.1 Analyse globale des dossiers Q&A 2011

Type NombreDossier FO 3.042Dossier PR 55

Type Trimestre NombreDossiers FO 01.2011 - 03.2011 555

04.2011 - 06.2011 78907.2011 - 09.2011 75010.2011 - 12.2011 948

Dossiers PR 01.2011 - 03.2011 2504.2011 - 06.2011 1607.2011 - 09.2011 1210.2011 - 12.2011 2

3.2 analyse du contenu des dossiers FO

3.2.1 Domaines et sous-domaines des dossiers FO (top 5)

NombreTraitement d'images 866



général 1banque/assurances 12protection consommateurs 1compliance 1finances 1crédit 124crédit volet négatif 70crédit volet positif 3

Domaine - Sous-domaine

0

500

1000

01.2011 -03.2011

04.2011 -06.2011

07.2011 -09.2011

10.2011 -12.2011

555789 750

948

Questions et réponses dossiers 2011

FO-dossier PR-dossier

0 100 200 300 400 500 600 700 800 900

138144

214419

866


Traitement d'images Principes de protection vie privée Économie Autorité publique Travail

listes négatives 1Autorité publique 144

général 13registres de population 18DIV 27e-government 1eID 3moyens d'identification 2autorisations 10publicité de l'administration 2élections politiques 2administrations régionales et locales 7registre national 59

Travail 138général 2vidéosurveillance 2e-mail 8données des travailleurs 69géolocalisation 23moyens d'identification 2recrutement 1télécommunications 19whistleblowing 12

3.2.2 Législation traitée dans les dossiers FO (top 5)

Nombre % / # dossiers713 23,44591 19,43413 13,58171 5,62104 3,41

LVP article 5 (conditions de traitement)Législation en matière de crédit

Législation

Loi camérasLVP articles 17-18-19-20 (déclaration)

LVP articles 9-10-12 (droits de la personne concernée)

0 100 200 300 400 500 600

6970

184211

594

Top 5 des sous-domaines les plus courants

vidéosurveillance Google Street View crédit crédit volet négatif données des travailleurs

100

9.6.3.2.2 Législation traitée dans les dossiers FO (top 5)

Législation Nombre % / # dossiers

LVP articles 17-18-19-20 (déclaration) 713 23,44

Loi caméras 591 19,43

LVP articles 9-10-12 (droits de la personne concernée) 413 13,58

LVP article 5 (conditions de traitement) 171 5,62

Législation en matière de crédit 104 3,41

3.2.3 Relation responsable du traitement & personne concernée

Nombre %195 6,41820 26,9645 1,48165 5,4220 0,66167 5,4998 3,22

340 11,1857 1,8742 1,38158 5,19935 30,74

Relation de traitementRelation de travailRelation répressionRelation informative/ d'influence

Relation profit

Relation socialeRelation scientifique

Non définieAutre

Relation privée

Relation non-profit

Relation avec l'enseignementRelation avec l'autorité publique

713

591

413

171

104

Top 5 de la législation la plus souvent traitée

LVP articles 17-18-19-20 (déclaration)

Loi caméras

LVP

articles 9-10-12 (droits de la

personne concernée)

LVP article

5

(conditions de traitement)

Législation en matière de crédit


9.6.3.2.3 Relation responsable du traitement & personne concernée

Relation de traitement Nombre %

Relation de travail 195 6,41

Relation répression 820 26,96

Relation informative/ d'influence 45 1,48

Relation non-profit 165 5,42

Relation avec l'enseignement 20 0,66

Relation avec l'autorité publique 167 5,49

Relation privée 98 3,22

Relation profit 340 11,18

Relation sociale 57 1,87

Relation scientifique 42 1,38

Autre 158 5,19

Non définie 935 30,74

0 100 200 300 400 500 600 700 800 900

165

167

195

340

820

Relation de traitement : top 5

Relation répression Relation profit Relation de travail Relation avec l'autorité publique Relation non-profit

102

9.6.4. Dossiers de déclaration et de notification en chiffres

9.6.4.1. Analyse globale des déclarations et traitements

Trimestre Nombre de déclarations

Nouveaux traitements

Modification du traitement

Correction du traitement

Fin du traitement

01 2011 - 03 2011 1 612 1 407 79 80 46

04 2011 - 06 2011 1 602 1 437 53 20 92

07 2011 - 09 2011 1 735 1 552 80 21 81

10 2011 - 12 2011 2 220 2 094 36 3 87

7 169 6 490 248 124 306

5 Dossiers de déclaration et de notification en chiffres

5.1 Analyse globale des déclarations et traitements

Trimestre Nombre de déclarations

Nouveaux traitements

Modification du traitement

Correction du traitement

Fin du traitement

01.2011 - 03.2011 1.612 1.407 79 80 4604.2011 - 06.2011 1.602 1.437 53 20 9207.2011 - 09.2011 1.735 1.552 80 21 8110.2011 - 12.2011 2.220 2.094 36 3 87

7.169 6.490 248 124 306

5. 2 Déclarations de nouveaux traitements de données

Trimestre Nouveaux traitements

Déclaration ordinaire

Déclaration VIA/DPR

Déclaration traitement ultérieur

Déclaration thématique

01.2011 - 03.2011 1.407 350 325 13 71904.2011 - 06.2011 1.437 321 42 8 1.06607.2011 - 09.2011 1.552 288 311 13 94010.2011 - 12.2011 2.094 255 1.125 21 693

0

500

1.000

1.500

2.000

2.500

Nombre de déclarations

1.612 1.602 1.735

2.220

nom

bre

Évolution des déclarations par trimestre

01.2011 - 03.2011

04.2011 - 06.2011

07.2011 - 09.2011

10.2011 - 12.2011


9.6.4. 2 Déclarations de nouveaux traitements de données

Trimestre Nouveaux traitements





01 2011 - 03 2011 1 407 350 325 13 71904 2011 - 06 2011 1 437 321 42 8 1 06607 2011 - 09 2011 1 552 288 311 13 94010 2011 - 12 2011 2 094 255 1 125 21 693

6 490 1 214 1 803 55 3 418

6.490 1.214 1.803 55 3.418

5.3 Traitements par finalité

nombre de déclarations

Finalités générales 542Finalités de l'autorité publique 29Contrôle et surveillance sur le lieu de travail 520Justice et police 58Contrôle et surveillance 2.850Enseignement 14Culture et bien-être 10Soins de santé 5Recherche scientifique primaire ou secondaire 104Organismes bancaires et de crédit, assurances 69Commerce 94Traitement ultérieur 55Autres finalités 2.043

Finalité

19%

28%

1%

52%

Nouveaux traitements de données par type de déclaration





104

9.6.4.3 Traitements par finalité

Finalité nombre de déclarations

Finalités générales 542

Finalités de l'autorité publique 29

Contrôle et surveillance sur le lieu de travail 520

Justice et police 58

Contrôle et surveillance 2 850

Enseignement 14

Culture et bien-être 10

Sécurité sociale 5

Soins de santé 77

Recherche scientifique primaire ou secondaire 104

Organismes bancaires et de crédit, assurances 69

Commerce 94

Traitement ultérieur 55

Autres finalités 2 043

5.4 Notification de l'utilisation d'une caméra mobile par les services de police

Trimestre Total Manifestation sportive

Manifestation Evénement / festivité

Manifestations culturelles

Émeute Autres

01.2011 - 03.2011 38 25 10 0 0 1 204.2011 - 06.2011 31 12 5 8 1 0 507.2011 - 09.2011 44 26 3 11 2 2 010.2011 - 12.2011 27 15 7 5 0 0 0

140 78 25 24 3 3 7

0500

1000 15002000

25003000

104

520

542

2043

2850

Principales finalités des traitements de données

Contrôle et surveillance

Autres finalités

Finalités générales

Contrôle et surveillance sur le lieu de travail

Recherche scientifique primaire ou secondaire


9.6.4.4 Notification de l'utilisation d'une caméra mobile par les services de police

Trimestre Total Mani-festation sportive

Manifes-tation

Evénement / festivité

Manifesta-tions cul-turelles

Émeute Autres

01 2011 - 03 2011 38 25 10 0 0 1 2

04 2011 - 06 2011 31 12 5 8 1 0 5

07 2011 - 09 2011 44 26 3 11 2 2 0

10 2011 - 12 2011 27 15 7 5 0 0 0

140 78 25 24 3 3 7

0

10

20

30

40

50

Total

38

31

44

27

Nom

bre

Notifications caméras mobiles par trimestre

01.2011 - 03.2011

04.2011 - 06.2011

07.2011 - 09.2011

10.2011 - 12.2011

56%

18%

17%

2%2% 5%

Identification rassemblement populaireManifestation sportive

Manifestation



Émeute

Autre

0

10

20

30

40

50

Total

38

31

44

27

Nom

bre

Notifications caméras mobiles par trimestre

01.2011 - 03.2011

04.2011 - 06.2011

07.2011 - 09.2011

10.2011 - 12.2011

56%

18%

17%

2%2% 5%

Identification rassemblement populaireManifestation sportive

Manifestation



Émeute

Autre

106

9.6.5 Analyse Comparative : 2010 - 2011

9.6.5.1 Ouverture de dossiers

2010 2011 r IN - nominal

Dossiers de fond 2 832 2 866 34

Dossiers de décision 532 718 186

SCSZ&G-MA 112 121 9

SCSZ&G-A 32 24 -8

AF-MA 23 18 -5

AF-AD 110 97 -13

AF-ALG 2 0 -2

STAT-MA 47 37 -10

STAT-ALG 1 1 0

RN-MA 64 94 30

RN-AD 80 238 158

RN-ALG 5 1 -4

CO-A 29 44 15

CO-AR 8 14 6

CO-LV 11 14 3CO-EVAL 8 15 7

Dossiers de déclaration RPR 11 982 7 169 -4 813

Notification caméra mobile 145 140 -5

Dossiers PR 73 55 -18

Dossiers FO 3 008 3 042 34


9.6.5.2 Clôture de dossiers

2010 2011 r IN - nominal

Dossiers de fond 2 220 2 413 193

Dossiers de décision

CO-A 25 33 8

CO-AR 1 5 4

CO-LV 10 14 4

CO-EVAL 5 12 7

AF-MA 17 15 -2

AF-AD 61 93 32

AF-ALG 1 0 -1

STAT-MA 37 35 -2

STAT-ALG 1 0 -1

RN-MA 43 55 12

RN-AD 60 230 170

RN-ALG 2 1 -1

SCSZ&G-MA Autorisation “ Sécurité sociale et Santé “

SCSZ&G-A Avis “ Sécurité sociale et Santé “

AF-MA Autorisation “ Autorité Fédérale “

AF-AD Adhésion autorisation générale “ Autorité Fédérale “

AF-MA Autorisation générale “ Autorité Fédérale “

STAT-MA Autorisation “ Comité de surveillance statistique “

STAT-ALG Autorisation générale “ Comité de surveillance statistique “

RN-MA Autorisation “ Registre National “

RN-AD Adhésion autorisation générale “ Registre national “

RN-ALG Autorisation générale “ Registre national “

CO-A Demandes d'avis (article 29 de la LVP) Commission

CO-AR Recommandation Commission

CO-LV Recommandation traitement ultérieur Commission

CO-EVAL Évaluation impact des avis de la Commission

RPR Registre public

PR Presse

FO Front office - aide de première ligne


Deuxième partie : les comités sectoriels


La Commission compte actuellement six comités

sectoriels.

Ces comités sont compétents pour les traitements de

données effectués dans des secteurs spécifiques.

Ils sont généralement composés pour une moitié

des membres de la Commission et pour l’autre moitié

d’experts du secteur.

Des comités sectoriels institués au sein de la Commission

veillent à ce que les traitements de données à caractère per-

sonnel effectués dans divers secteurs spécifiques ne portent

pas atteinte à la vie privée. Ces comités rassemblent des

membres de la Commission et des experts choisis pour leur

connaissance pratique du secteur concerné. Pour l’heure,

six comités sectoriels ont été créés.

Les comités sectoriels ont été institués au sein de la Com-

mission, soit par la Loi du 8 décembre 1992, soit par une loi

relative au secteur spécifique du comité sectoriel.

À quelques exceptions près, les comités sectoriels sont

composés à parts égales de membres de la Commission et

d’experts du secteur concerné.

La Commission désigne elle-même ses représentants au

sein du comité sectoriel, alors que les autres membres de

ce dernier sont nommés par la Chambre des Représentants.

Quoi qu’il en soit, tous sont désignés pour un mandat renou-

velable de six ans et peuvent d’une manière ou d’une autre se

prévaloir d’une expertise en matière de protection de la vie

privée et de gestion des données à caractère personnel.

La présidence des comités sectoriels est en principe assurée

par le Président de la Commission.

Le Président de chaque comité sectoriel doit en tout cas veil-

ler à ce que les décisions prises n’aillent pas à l’encontre des

positions défendues par la Commission. Dans ce cadre, il

est ainsi autorisé à interrompre le traitement d’un dossier

pour le soumettre à l’appréciation de la Commission.

Les comités sectoriels ont pour mission de veiller à ce que

tous les traitements de données à caractère personnel effec-

tués dans le secteur dont ils sont responsables respectent la

vie privée des personnes concernées. Leurs compétences ne

sont pas nécessairement identiques.

Sauf si d’autres arrangements sont prévus, les comités sec-

toriels sont assistés par le Secrétariat de la Commission.

1 La composition des comités sectoriels

112

1.2 Comité sectoriel de la Sécurité Sociale et de la Santé

Autorise la communication de données relatives à la

sécurité sociale et à la santé.

Facilite l’échange d’informations dans le secteur de la

sécurité sociale.

Collabore avec les services publics du secteur de la

santé.

Le Comité sectoriel de la Sécurité Sociale et de la Santé a

été institué au sein de la Commission par la Loi du 15 jan-

vier 1990. Il est chargé de veiller à ce que les traitements de

données à caractère personnel effectués via le réseau de la

sécurité sociale ne mettent pas en péril la vie privée des as-

surés sociaux. Il remplit par ailleurs également une mission

de contrôle portant plus particulièrement sur la communi-

cation des données relatives à la santé.

Compétences

Les compétences du Comité sectoriel de la Sécurité So-

ciale et de la Santé sont définies à l’article 46 de la Loi du

15 janvier 1990 relative à l’institution et à l’organisation d’une

Banque-Carrefour de la Sécurité Sociale.

En plus d’une compétence d’avis, le Comité a notamment le

pouvoir d’autoriser la transmission électronique de données

à caractère personnel au sein du réseau spécialement créé

en vue de faciliter l’échange d’informations dans le secteur

de la sécurité sociale. Il est également habilité à autoriser la

communication de données à caractère personnel relatives à

la santé. Il veille à l’application et au respect de la législation

en vigueur dans ces matières. Il peut aussi, le cas échéant,

traiter les plaintes, contribuer à la résolution des litiges et

effectuer certaines enquêtes.

Dans le prolongement de ce qui est stipulé à l’article 42, § 2,

3° de la Loi du 13 décembre 2006 portant dispositions diverses

en matière de santé et à l’article 46, § 2 de la Loi du 15 jan-

1.1 Comité sectoriel du Registre national

Protège les données contenues dans le Registre

national.

Contrôle l’utilisation du numéro d’identification.

Veille au respect des lois concernant les cartes d’iden-

tité et les registres de la population.

Ce Comité sectoriel a été créé au sein de la Commission par

la Loi du 8 août 1983. Il est chargé de veiller à la sécurité et à

la protection des données enregistrées dans le Registre na-

tional, ainsi que de contrôler l’utilisation du numéro d’iden-

tification dudit Registre.

Compétences

Les compétences du Comité sectoriel du Registre national

sont définies à l’article 16 de la Loi du 8 août 1983 organisant

un Registre national des personnes physiques.

Elles peuvent être résumées comme suit :

• accorder des autorisations permettant :

▪ d’avoir accès aux informations enregistrées dans

le Registre national ;

▪ d’utiliser le numéro de Registre national ;

• veiller à l’application et au respect des lois concernant :

▪ le Registre national ;

▪ les registres de la population ;

▪ les cartes d’identité ;

• traiter des éventuelles plaintes ;

• aider à résoudre les litiges ;

• effectuer certaines enquêtes.


▪ les communications des données à caractère per-

sonnel codées à des fins de recherche statistique

et scientifique destinées à soutenir la politique de

la santé ;

• formuler des avis relatifs à :

▪ la mise en œuvre d’un répertoire des références ;

▪ la désignation d’un conseiller en sécurité de

l’information ;

▪ la désignation du médecin responsable.

Conformément au prescrit de l’article 42, § 2, 2° de la loi du

13 décembre 2006 portant des dispositions diverses en matière de

santé, il relève de la compétence de la section Santé du Co-

mité sectoriel de la Sécurité sociale et de la Santé d’accorder

une autorisation de principe pour :

• un couplage de données à caractère personnel de la

Fondation Registre du cancer à des données externes ;

• la transmission d’une copie codée de données de la

Fondation Registre du cancer au Centre fédéral d’ex-

pertise des soins de santé (KCE), à l’Institut national

d’assurance maladie invalidité (INAMI), à l’Agence

intermutualiste (AIM) et à l’Institut de santé publique

(ISP) ;

• la transmission d’une copie codée de données de la

Fondation Registre du cancer à des tiers à des fins de

recherche.

Conformément au prescrit de l’article 42, § 2, 1° de la loi du

13 décembre 2006 portant des dispositions diverses en matière de

santé, il relève de la compétence de la section Santé du Co-

mité sectoriel de la Sécurité sociale et de la Santé d’accor-

der une autorisation de principe pour la communication à

des tiers de données à caractère personnel, visées à l’article

86 de la loi sur les hôpitaux.

vier 1990 relative à l’institution et à l’organisation d’une Banque-

Carrefour de la Sécurité Sociale, il ressortit à la compétence de

la section Santé du Comité sectoriel de la Sécurité sociale et

de la Santé :

• d’autoriser toute communication de données à carac-

tère personnel relatives à la santé, sauf :

▪ les communications entre les praticiens impliqués

dans le traitement de la personne concernée ;

▪ les communications faites par ou en vertu de la loi

après avis de la Commission ;

▪ les communications pour lesquelles la sec-

tion Sécurité Sociale dispose d’une compétence

d’autorisation ;

▪ les communications exonérées par le Roi après

avis de la Commission ;

• de surveiller le respect de la réglementation relative à la

protection des données relatives à la santé et de formu-

ler des avis en la matière.

Conformément au prescrit de Loi du 21 août 2008 relative

à l’institution et à l’organisation de la plate-forme eHealth (ar-

ticles 5, 9, 10 et 11), il ressortit à la compétence de la sec-

tion Santé du Comité sectoriel de la Sécurité Sociale et de

la Santé :

• d’autoriser toute communication de données à carac-

tère personnel par ou à la plate-forme eHealth sauf :

▪ les communications pour lesquelles la sec-

tion Sécurité sociale dispose d’une compétence

d’autorisation ;

▪ les communications autorisées ou exemptées

d’autorisation par ou en vertu de la loi après avis

de la Commission ;

▪ les communications exemptées d’autorisation par

le Roi après avis de la Commission ;

114

Compétences

Les compétences du Comité sectoriel de la Banque-Carre-

four des Entreprises sont définies aux articles 18 et 27 de la

Loi du 16 janvier 2003 portant création d’une Banque-Carrefour

des Entreprises.

Ce comité est habilité à délivrer des autorisations permet-

tant :

• d’avoir accès aux informations détenues par la Banque-

Carrefour des Entreprises ;

• de communiquer ces informations.

Il veille à l’application et au respect de la législation en vi-

gueur dans cette matière.

1.5 Comité de surveillance sectoriel Phenix

Veiller à la sécurité et la confidentialité des échanges

de données nécessaires au bon fonctionnement de

l’appareil judiciaire belge.

Le Comité de surveillance sectoriel Phenix a été institué au

sein de la Commission en vertu de la Loi du 10 août 2005 ins-

tituant le système d’information Phenix, en vue de veiller à la

sécurité et à la confidentialité des traitements de données

effectués par l’appareil judiciaire belge.

Compétences

Les compétences du Comité de surveillance sectoriel Phenix

sont définies à l’article 24 de la Loi du 10 août 2005 instituant

le système d’information Phenix.

Le Comité de surveillance est compétent pour tout ce qui a

trait aux échanges de données nécessaires au bon fonction-

nement de la Justice belge (avis et contrôle). Il est également

habilité à traiter des plaintes et à contribuer à la résolution

des litiges.

1.3 Le Comité sectoriel pour l’Autorité Fédérale

Surveille la communication électronique de données

personnelles par les autorités fédérales.

Autorise la communication de données par le SPF ou

par un organisme public relevant de l’Autorité Fédérale.

Le Comité sectoriel pour l’Autorité Fédérale a été ins-

titué au sein de la Commission en vertu de la Loi du

8 décembre 1992 relative à la protection de la vie privée à l’égard

des traitements de données à caractère personnel. Il est chargé de

surveiller la communication électronique des données à

caractère personnel par l’administration fédérale.

Compétences

Les compétences du Comité sectoriel pour l’Autorité

Fédérale sont définies à l’article 36bis de la Loi du 8 dé-

cembre 1992 relative à la protection de la vie privée à l’égard des

traitements de données à caractère personnel.

Le Comité autorise la communication électronique de don-

nées à caractère personnel par un SPF ou par un organisme

public doté de la personnalité juridique relevant de l’Auto-

rité Fédérale.

1.4 Le Comité sectoriel de la Banque-Carrefour des Entreprises

Autorise l’accès aux informations détenues par la

Banque-Carrefour des Entreprises et leur communica-

tion.

Ce comité sectoriel a été créé au sein de la Commission par

la Loi du 16 janvier 2003 pour veiller à la sécurité des traite-

ments de données effectués au sein de la Banque-Carrefour

des Entreprises.


1.6 Comité de surveillance statistique

Contrôler la communication des données d’étude co-

dées de la statistique publique et leur utilisation par

des tiers.

Le Comité de surveillance statistique a été institué au sein

de la Commission par la Loi du 4 juillet 1962. Il est chargé

de contrôler la communication de données d’étude codées à

des tiers par la Direction générale Statistique et Information

économique et l’utilisation de ces données par ces tiers.

Compétences

Les compétences du Comité de surveillance statistique sont

principalement définies aux articles 15, 15bis, 24septies et

24octies de la Loi du 4 juillet 1962 relative à la statistique pu-

blique.

Le Comité de surveillance statistique est compétent pour :

• autoriser la communication, par la Direction générale

Statistique et Information économique, de données

d’étude codées à des tiers ;

• approuver le contrat de confidentialité en vertu duquel

ces données sont transmises par la Direction générale

Statistique et Information économique et peuvent être

utilisées par le tiers bénéficiaire ;

• formuler des recommandations ;

• émettre des avis concernant des projets de nouveaux

arrêtés ;

• procéder à certaines enquêtes.

Toute communication doit faire l’objet d’une demande mo-

tivée.

116

d’Information juridique » afin que les huissiers de justice

qui recourent à ses services puissent consulter le Registre

national par son intermédiaire. L’organisation de l’accès

des huissiers de justice via le Centre d’information juridique

équivaut à mettre en œuvre le principe des quatre yeux qui

permet de minimaliser le risque d’un accès abusif à des

banques de données publiques et contribue donc à une pro-

tection accrue de la vie privée des citoyens, dont des données

sont reprises dans ces banques de données.

Dans un certain nombre de dossiers, le Comité a estimé qu’il

ne pouvait pas accorder d’autorisation. Le Comité a ainsi dé-

cidé que la demande d’autorisation de la Société Anonyme

Fidel ID était irrecevable. Aucune tâche d’intérêt général

ne lui avait en effet été confiée par ou en vertu d’une loi.

En outre, la finalité poursuivie – mise en place d’un système

de carte de fidélité unique lié au numéro d’identification du

Registre national – ne pouvait pas être considérée comme

une tâche d’intérêt général (délibération RN n° 11/2011).

Les demandes d’autorisation de Sodexo et Edenred visant à

utiliser le numéro d’identification du Registre national en

vue de la gestion de titres repas électroniques ont également

été déclarées irrecevables. En tant qu’organismes privés

de droit belge, ils ne peuvent en bénéficier qu’en vue d’ac-

complir une tâche d’intérêt général qui leur incomberait.

Le Comité a estimé que les titres-repas électroniques consti-

tuent un produit commercial qui n’est en outre pas distribué

à l’ensemble des travailleurs belges, d’où l’absence d’intérêt

général (délibérations RN n° 19/2011 et 30/2011).

Les principaux documents publiés par les comités sectoriels

en 2011 sont repris ci-dessous par comité.

2.1 Commission loco Comité de surveillance statistique

Étant donné qu’à l’heure actuelle, la Commission remplit les

tâches du Comité de surveillance statistique, de plus amples

informations sont disponibles dans la rubrique « Princi-

pales activités nationales de la Commission ».

2.2 Comité sectoriel du Registre national

2.2.1 Autorisations générales

Par le passé, le Comité a déjà octroyé plusieurs autorisations

«générales ». Les autorisations de ce genre permettent à une

catégorie bien définie d’instances d’accéder à un certain

nombre d’informations du Registre national. Cette pratique

permet de garantir un traitement uniforme des instances

concernées et d’éviter de devoir traiter des dizaines de dos-

siers individuels de demande. Après l’octroi en 2009 d’une

autorisation de ce type aux hôpitaux, une autorisation «gé-

nérale » a été accordée le 20 juillet 2011 :

• aux maisons de repos et de soins agréées (délibération

RN n° 41/2011) ;

• aux maisons de soins psychiatriques et aux initia-

tives d’habitations protégées agréées (délibération RN

n° 40/2011).

Par la délibération RN n° 24/2011, le Comité a accordé un

accès à la fondation « Juridsch Informatiecentrum - Centre

2 Les principales activités des comités sectoriels


Registre national et la fondation privée fournit à cette

fin l’infrastructure qui permet un contrôle efficace ;

• dans l’état actuel de la législation, il n’existe aucune

base légale permettant de considérer la Chambre natio-

nale des Huissiers de justice de Belgique comme unique

canal d’accès au Registre national pour les huissiers de

justice.

2.2.3 Délibération RN n° 49/2011 du

21 septembre 2011

• Banque-carrefour de la Sécurité Sociale

• Remplacement de la carte SIS par la carte d’identité

électronique

• Suite défavorable

La carte SIS, telle qu’introduite par un arrêté royal du

18 décembre 1996, est vouée à disparaître. Le Conseil des

Ministres a en effet marqué son accord le 23 juin 2006 sur le

remplacement à terme de la carte SIS par la carte d’identité

électronique.

C’est dans ce cadre que le Comité sectoriel du Registre natio-

nal s’est prononcé le 21 septembre 2011 sur une demande de

la Banque-carrefour de la Sécurité Sociale visant à obtenir

communication de certaines données du Registre national

des personnes physiques, du Registre des cartes d’identité

et du Registre des cartes d’étranger en vue de réaliser diffé-

rents « stress tests ».

Ces tests doivent permettre la préparation de la suppression

de la carte SIS et l’examen des possibilités de son rempla-

cement par des documents d’identification électroniques

(existants et nouveaux) en ce qui concerne certaines de ses

fonctionnalités.

La demande vise à permettre un échange de données unique

(one shot) entre la Banque-carrefour de la Sécurité Sociale et

le Registre national en vue de pouvoir cibler et quantifier,

sur la base du numéro d’identification, les différentes caté-

gories de personnes physiques disposant d’une carte SIS

2.2.2 Délibération RN n° 24/2011 du

20 avril 2011

• Demande de retrait de l’autorisation de la fondation

privée « Juridisch Informatiecentrum - Centre d’Infor-

mation juridique » émanant de la Chambre des Huis-

siers de justice de Belgique ;

• Accès contrôlé au Registre national par le biais de la

plate-forme de la fondation

La Chambre nationale des Huissiers de justice de Belgique

a introduit une demande de retrait de l’autorisation accor-

dée par la délibération RN n° 24/2011 à la fondation privée

« Juridisch Informatiecentrum - Centre d’Information juri-

dique ». Cette autorisation accordait un accès à cette fonda-

tion afin de permettre aux huissiers habilités de consulter

le Registre national de façon dûment contrôlée, via la plate-

forme mise à disposition par la fondation.

Le Comité a décidé de ne pas donner suite à cette demande

de retrait. Il a estimé que :

• la fondation privée, qui ne poursuit pas de but com-

mercial, remplit une tâche d’intérêt général dans le

sens où son intervention équivaut à la mise en œuvre du

principe des quatre yeux qui permet de minimaliser le

risque d’un accès abusif à des banques de données pu-

bliques et contribue donc à une protection accrue de la

vie privée des citoyens, dont des données sont reprises

dans ces banques de données ;

• en vertu de l’article 5, premier alinéa, f ) de la LVP, le

traitement de données à caractère personnel par la

fondation privée est autorisé parce qu’il est nécessaire à

la réalisation de l’intérêt légitime poursuivi par le responsable

du traitement ou par le tiers auquel les données sont commu-

niquées, (…). Concrètement, la fondation privée trans-

met les données collectées dans le Registre national à

des tiers, à savoir les huissiers de justice qui sont léga-

lement habilités à accéder à ce Registre. Ces derniers

ont donc un intérêt légitime à recevoir les données du

118

du Registre national des clients des commerçants utilisant

le système Freedelity en un code d’identification unique.

Le Comité sectoriel du Registre national a refusé d’octroyer

au demandeur une autorisation d’utiliser le numéro d’iden-

tification du Registre national au motif que celui-ci est une

société anonyme qui poursuit un but commercial et lucratif.

Il ne peut donc être considéré comme faisant partie des ins-

tances pouvant bénéficier d’une autorisation, telles qu’elles

sont énumérées à l’article 5 de la loi du 8 août 1983.

2.2.5 Délibération RN n° 19/2011

du 16 mars 2011

• Sodexo ;

• Utilisation de manière cryptée du numéro d’identifica-

tion du Registre national.

La délibération concerne une demande visant à ce que la

S.A. Sodexo Pass Belgium, dénommée ci-après le deman-

deur, soit autorisée à utiliser de manière cryptée le numéro

d’identification du Registre national pour la création d’un

compte électronique de titres-repas électroniques, ainsi que

comme clé de recherche dans la base de données dédiée à

ces comptes de titres-repas.

Le Comité sectoriel du Registre national a refusé d’octroyer

au demandeur une autorisation d’utiliser le numéro d’iden-

tification du Registre national au motif que celui-ci est une

société anonyme qui poursuit un but commercial et lucratif.

Il ne peut donc être considéré comme faisant partie des ins-

tances pouvant bénéficier d’une autorisation, telles qu’elles

sont énumérées à l’article 5 de la loi du 8 août 1983.

2.2.6 Délibération RN n° 45/2011 du 21 sep-

tembre 2011

• Registre national comme source authentique ;

• Principe de la collecte unique de données.

mais n’étant pas titulaires d’une carte d’identité électro-

nique belge.

Inversement, ces tests permettront également de pouvoir

déterminer le nombre de personnes résidant en Belgique

(belges et étrangères) titulaires d’une carte eID, mais n’étant

pas assujetties ou inscrites à la sécurité sociale belge.

Les données seront conservées aussi longtemps que néces-

saire pour la réalisation de la comparaison de fichiers dé-

crite ci-dessus et au plus tard jusqu’au 31 décembre 2014.

Le Comité souligne que la Banque-carrefour de la Sécurité

Sociale fait partie du réseau de la sécurité sociale. Elle dis-

pose dès lors d’un conseiller en sécurité de l’information,

sur lequel le Comité sectoriel de la Sécurité Sociale et de la

Santé a rendu un avis ainsi que d’une politique de sécurité

de qualité.

Par ces motifs, le Comité a autorisé la Banque-carrefour de

la Sécurité sociale à obtenir communication des données

demandées, en vue de la réalisation de la finalité décrite et

aux conditions requises.


du 16 février 2011

• Freedelity ;

• Conversion irréversible du numéro d’identification du

Registre national en un code d’identification unique.

Le 19 janvier 2011, la S.A. FIDEL ID, dénommée ci-après le

demandeur, introduit une demande auprès du Comité sec-

toriel du Registre national afin d’être autorisée à utiliser le

numéro d’identification du Registre national pour la ges-

tion de son système Freedelity.

Le demandeur a en effet développé un système de fidélisa-

tion de la clientèle (Freedelity) basé sur l’utilisation de la

carte d’identité électronique en lieu et place des tradition-

nelles cartes de fidélité. Le demandeur souhaite pouvoir

convertir de manière irréversible le numéro d’identification


La Croix-Rouge de Belgique souhaite utiliser le numéro

d’identification du Registre national pour identifier de fa-

çon univoque chacun de ses volontaires sans risque d’ho-

monymie. Cette identification précise est importante car la

base de données du demandeur lui permet de mobiliser les

volontaires avec le profil adéquat (formation suivie notam-

ment) sur ses différentes activités (dont l’intervention en cas

de catastrophe).

C’est également grâce au numéro d’identification du Re-

gistre national que le demandeur pourra s’assurer de rem-

plir de manière adéquate la fiche fiscal du volontaire dépas-

sant le plafond annuel des indemnités forfaitaires telles

que prévues par la loi du 3 juillet 2005 relative aux droits des

volontaires.

Après avoir constaté que les principes de finalité, de lé-

galité et de proportionnalité étaient bel et bien respec-

tés, le Comité sectoriel du Registre national a autorisé le

14 décembre 2011 la Croix-Rouge de Belgique à utiliser le nu-

méro d’identification du Registre national pour une durée

indéterminée.

Cette autorisation ne produira néanmoins ses effets qu’une

fois que le Comité aura constaté, sur la base des documents

et informations fournis, qu’un conseiller en sécurité de

l’information offrant toutes les garanties nécessaires aura

été désigné.



• Centre pour l’Égalité des chances et la lutte contre le

racisme ;

• Recherche statistique approfondie sur le suivi longitu-

dinal des demandeurs d’asile en Belgique ;

• Demande de communication de certaines données du

Registre national des personnes physiques et du Re-

gistre d’attente.

Dans ce dossier, le demandeur souhaitait accéder à un cer-

tain nombre de données des membres de son personnel

actifs et pensionnés ainsi que des membres de leur ménage,

ceci en vue de la gestion de l’assurance hospitalisation

contractée dans leur intérêt.

Le demandeur envoyait annuellement un questionnaire

à tous les bénéficiaires de l’assurance hospitalisation en

leur demandant de confirmer certaines données (adresse,

composition du ménage, état civil et cohabitation légale).

Le Comité fait remarquer qu’il s’agit d’une collecte de don-

nées réitérée dont l’autorité dispose déjà. Le Registre natio-

nal constitue par ailleurs la source authentique de ces don-

nées. Cette méthode est contraire au principe de collecte de

données unique, repris au point 12 de la Charte pour une

administration à l’écoute des usagers (adoptée au Conseil

des ministres le 23 juin 2006) : « Tout service public utilisera

de façon optimale les données déjà disponibles auprès d’autres orga-

nismes publics ».

Le Comité estime que, globalement, l’accès demandé au

Registre national est proportionnel. Ce constat ne se limite

pas aux cas où des lettres ne peuvent pas être distribuées ou

restent sans réponse.



• Croix-Rouge de Belgique ;

• Numéro d’identification du Registre national.

Cette délibération concerne une demande émanant de la

Croix-Rouge de Belgique visant à lui permettre d’utiliser

le numéro d’identification du Registre national en vue de

disposer d’un numéro d’identifiant unique pour chaque

volontaire et afin de remplir les fiches fiscales 281.10 des

volontaires qui dépassent le plafond annuel fixé par la loi

du 3 juillet 2005 sur le volontariat en matière d’indemnités for-

faitaires.

120

En vertu de la loi du 15 décembre 1980 sur l’accès au territoire,

le séjour, l’établissement et l’éloignement des étrangers, l’Office des

Etrangers est chargé d’assister le Ministre de la Politique de

Migration et d’Asile. À ce titre, il doit être en mesure d’as-

surer un éloignement efficace et effectif des demandeurs

d’asile dont la qualité de réfugié n’a pas été reconnue ou à qui

la protection subsidiaire n’a pas été accordée par les autori-

tés belges compétentes en la matière. Afin de pouvoir mener

une politique d’éloignement efficace et effective envers les

demandeurs d’asile qui, en fin de procédure, continuent à

séjourner dans une de ces structures, l’Office des étrangers

a demandé au comité sectoriel l’autorisation d’accéder à la

base de données de Fedasil (= l’ Agence fédérale pour l’ac-

cueil des demandeurs d’asile) concernant la localisation des

demandeurs d’asile.

Le Comité a constaté que le demandeur dispose déjà d’un

accès, via le Registre national, aux données dont l’accès est

sollicité (nom, prénom(s), date et lieu de naissance, natio-

nalité, adresse du demandeur d’asile et données concernant

sa composition de ménage). Le Comité a rappelé le principe,

souvent souligné dans la jurisprudence de la Commission

de la protection de la vie privée, selon lequel les données

doivent en principe toujours être réclamées auprès de la

source authentique. En l’espèce, la source authentique est le

registre d’attente.

Le fait que Fedasil ne mettent pas à jour le Registre national

n’est pas une raison suffisante selon le comité pour justifier

le contournement de la source authentique par le deman-

deur. Le Comité n’a donc pas autorisé l’Office des Étrangers

et Fedasil à mettre en œuvre le traitement envisagé dans la

demande.

2.3.2 Délibération AF n° 16/2011


• Accès d’un doctorant aux données de l’Office des Étran-

gers et du SPF Justice ;

• Recherche dans le cadre d’un doctorat.

Cette délibération concerne une demande émanant du

Centre pour l’Égalité des chances et la lutte contre le racisme

visant à obtenir communication de certaines données du

Registre national des personnes physiques et du Registre

d’attente.

Le Centre pour l’Égalité des chances et la lutte contre le

racisme a pour mission « de veiller au respect des droits fonda-

mentaux des étrangers, d’éclairer les pouvoirs publics sur la nature

et l’ampleur des flux migratoires et de développer la concertation et

le dialogue avec tous les acteurs publics et privés concernés par les

politiques d’accueil et d’intégration des immigrés ».

La finalité pour laquelle le demandeur souhaite obtenir

communication de certaines données du Registre national

des personnes physiques et du Registre d’attente est d’effec-

tuer une recherche statistique approfondie sur le suivi lon-

gitudinal des demandeurs d’asile en Belgique dans le cadre

de la mise en œuvre de sa mission légale consistant à éclai-

rer les pouvoirs publics sur la nature et l’ampleur des flux

migratoires.

Après avoir constaté que les principes de finalité, de légalité,

de proportionnalité et de sécurité étaient bel et bien respec-

tés, le Comité sectoriel du Registre national a autorisé le

14 décembre 2011 le Centre pour l’égalité des chances et la

lutte contre le racisme à obtenir communication des don-

nées du Registre d’attente et du Registre national deman-

dées, et ce pour une durée indéterminée.

2.3 Comité sectoriel pour l’Autorité Fédérale

2.3.1 Délibération AF n° 12/2011 du 9 juin 2011

• Office des Étrangers ;

• Accès à la base de données de Fedasil ;

• Localisation des demandeurs d’asile pour un éloigne-

ment efficace du territoire.


2.3.3 Délibération AF n° 09/2011 du 12 mai 2011

• Fédération Royale du Notariat Belge ;

• Accès à certaines données de l’administration du ca-

dastre.

Dans le cadre de l’e-government et de la simplification ad-

ministrative, un protocole de collaboration a été signé le

12 juin 2006 entre la Fédération Royale du Notariat Belge

(FRNB) et le SPF Finances (Administration Générale de la

Documentation Patrimoniale) dans lequel un des points,

faisant à ce jour l’objet de développements techniques, est

l’accès électronique à l’information cadastrale.

C’est dans ce cadre que la Fédération royale du Notariat

Belge (FRNB) a demandé au Comité sectoriel pour l’Auto-

rité Fédérale l’autorisation d’accéder, via une interface web,

à certaines données de l’administration du cadastre afin

d’exercer les missions relevant de leur compétence de ma-

nière plus diligente, célère et efficiente.

Après avoir constaté que les principes de finalité, de légalité,

de proportionnalité et de sécurité étaient bel et bien respec-

tés, le Comité sectoriel pour l’Autorité Fédérale a autorisé le

12 mai 2011 les notaires à recevoir les données cadastrales

demandées et ce, pour une durée indéterminée.

2.3.4 Délibération AF n° 15/2011 du 22 dé-

cembre 2011

• Institut Bruxellois pour la Gestion de l’Environnement

(IBGE) ;

• Accès aux données à caractère personnel de la Direc-

tion des Calamités du SPF Intérieur ;

• Établissement des cartes des zones inondables et des

zones à risque d’inondation.

L’IBGE est chargé de l’évaluation préliminaire des risques

d’inondation et de l’établissement des cartes des zones

inondables et des zones à risque d’inondation. Dans le cadre

de ces travaux, la localisation des inondations passées (no-

Un doctorant a demandé à obtenir un accès à des banques

de données gérées par l’Office des étrangers du SPF Inté-

rieur et par le SPF Justice, et ce dans le cadre d’une recherche

doctorale intitulée « A Highway to Prison? Een analyse van de

maatschappelijke en justitiële trajecten van gedetineerden zonder

recht op verblijf.” (« Une autoroute vers la prison? Analyse

des parcours sociaux et judiciaires de détenus sans droit de

séjour »).

Le Comité a constaté que l’accès demandé impliquait un

traitement ultérieur de données à caractère personnel com-

patible et ce en appliquant le chapitre II de l’arrêté d’exécu-

tion de la loi vie privée. Les finalités poursuivies par le trai-

tement étaient également légitimes et explicites.

Le Comité a également réalisé que le traitement envisagé

impliquerait un risque important en matière de sécurité, vu

le caractère sensible des informations réclamées. Outre les

mesures habituelles (Mesures de référence), le Comité a dès

lors imposé au demandeur des mesures techniques et orga-

nisationnelles plus strictes, à savoir :

• le support des données doit être doublement sécurisé :

sécurisation de l’accès et cryptage ;

• une fois que les données se trouveront sur le PC dans le

bureau du demandeur, ce PC ne peut pas être raccordé

à un réseau ;

• un contrat devrait être conclu entre les sources et le

demandeur, fixant des obligations en matière de confi-

dentialité et de sécurité ;

• une fois que le demandeur a achevé son travail, les don-

nées doivent être immédiatement détruites et le Comité

doit en être informé ;

• au plus tard six mois après l’entrée en vigueur de l’auto-

risation, le conseiller en sécurité compétent doit trans-

mettre au Comité un rapport dans lequel il indique si

toutes les mesures de sécurité ont effectivement été

correctement suivies.

122

ractère désastreux. Pour l’IBGE, les finalités ont été décrites

ci-avant.

Le Comité a estimé que les missions des deux services publics

concernés comportent des éléments qui indiquent que les finalités des

traitements de données envisagés par l’IBGE ne sont pas incompa-

tibles avec les finalités pour lesquelles les données ont été initiale-

ment collectées. En effet, la collecte et le traitement des don-

nées et leur communication par le SPF Intérieur (Direction

des Calamités) en vue de l’accomplissement des missions

décrites ci-dessus attribuées à l’IBGE permettent in fine à

ce dernier de limiter les conséquences négatives engendrées

par les inondations en Région de Bruxelles-Capitale sur la

santé humaine, l’environnement, le patrimoine culturel et le

développement économique. Il s’agit, compte tenu du risque

potentiel déterminé en matière d’inondation, de mettre en

œuvre en amont des procédures de prévention pour que ces

risques et dommages avérés, à défaut de ne pouvoir être

évités, soient à tout le moins réduits. Le traitement dans un

tel contexte des données issues de la base de données de la

Direction des Calamités, dont la finalité est la réparation

des dommages subis par les sinistrés, n’est assurément pas

incompatible avec les principes de bonne gestion et d’intérêt

public qui prévalent en l’occurrence. Le citoyen est en droit

d’attendre de la part des autorités que celles-ci utilisent au

mieux de ses intérêts et de l’intérêt public en général les

données le concernant dont elles disposent. Le Comité a consi-

déré, par conséquent, que la communication à l’IBGE des données

dont question rentre dans les prévisions raisonnables des intéressés.

En outre, il a considéré les données demandées comme

étant proportionnées à la réalisation des finalités décrites.

Le Comité a accepté d’accorder son autorisation pour une

durée de 10 années , tel que souhaité par le demandeur.

Malgré la dispense de l’obligation d’information au sens de

l’article 9, § 2 de la LVP au profit des personnes dont les don-

nées ont été collectées par la Direction des Calamités, le Co-

tamment des inondations et fortes pluies reconnues comme

calamités) est une donnée source fondamentale. C’est la

raison pour laquelle le demandeur souhaite disposer des

données issues de la base de données de la Direction des Ca-

lamités. Ces données serviront à localiser précisément les

adresses de la Région bruxelloise où des dossiers pour des

inondations / fortes pluies reconnues comme calamités ont

été déposés et ainsi permettre de cartographier certaines

inondations passées importantes. Ces données permettront

également de valider les cartes des zones inondables et des

zones à risque d’inondation

Les données d’adresse ne seront pas liées aux personnes

propriétaires ou aux occupants. Eu égard à la définition de

la donnée à caractère personnel par l’article 1, § 1er de la LVP

(« toute information concernant une personne physique identifiée ou

identifiable »), la Commission a considéré toutefois que l’adresse d’un

immeuble doit être qualifiée comme une donnée à caractère person-

nel dès lors que l’on pourrait relativement aisément en identifier les

propriétaires et/ou occupants, personnes physiques. S’agissant de

la communication de données personnelles par une autorité

fédérale, une autorisation du Comité sectoriel pour l’Auto-

rité Fédérale est donc requise, conformément à l’article 36bis

de la LVP.

Après avoir constaté que les traitements de données envi-

sagés par l’IBGE seront réalisés pour des finalités déter-

minées, explicites et légitimes, le Comité a dû également

vérifier si les finalités des traitements envisagées par l’IBGE

sont compatibles avec les finalités pour lesquelles les don-

nées ont été initialement traitées par la Direction des Cala-

mités du SPF Intérieur en tenant compte de tous les facteurs

pertinents, dont les prévisions raisonnables de l’intéressé et

les dispositions légales et réglementaires applicables.

Pour la Direction des Calamités, il s’agit, en bref, de traiter

les demandes d’indemnisation des sinistrés de calamités

publiques, au rang desquelles figurent les inondations à ca-


charge de l’identification (vérification de l’identité de la per-

sonne qui y accède) et de l’authentification (vérification de la

qualité de la personne : médecin, infirmier, etc.), mais non

de l’autorisation (existence d’un mandat ou d’une relation

thérapeutique avec la personne concernée par les données).

Il semble donc important de veiller à ce que cette vérification

d’autorisation ait lieu par ailleurs. eHealth semble équipée

pour y procéder, dans la mesure où la mise en place d’un

répertoire des références a été prévue par la Loi eHealth du

21 août 2008. L’installation de ce répertoire des références

exige cependant le consentement des personnes concernées

(article 5, 4°, b) de la Loi eHealth).

Décisions de la section Santé

• Dans sa délibération n° 11/015 du 15 février 2011 por-

tant sur l’échange de données à caractère personnel

relatives à la santé entre les hôpitaux, les organismes

assureurs, le collège des médecin-directeurs de l’Insti-

tut national d’assurance maladie-invalidité, le collège

intermutualiste national et les banques de données

E-care QERMID@endoprothèses à l’intervention de la

plate-forme eHealth, le Comité sectoriel n’a pas jugé

nécessaire que le patient autorise par écrit son médecin

spécialiste d’une part à introduire ses données dans le

système, et d’autre part à ce que ses données soient sau-

vegardées dans l’application E-Care QERMID@endo-

prothèses et compulsées dans un cadre thérapeutique

et d’évaluation pour le remboursement de la prothèse.

En effet, conformément à l’article 7, § 2, c) et j) de la loi

du 8 décembre 1992 relative à la protection de la vie privée

à l’égard des traitements de données à caractère personnel, les

échanges précités sont autorisés par la loi. Par ailleurs,

les données sont traitées sous la surveillance d’un pro-

fessionnel des soins de santé. Par conséquent, le Comité

sectoriel estime que le consentement du patient à four-

nir ses données en vue de recevoir un remboursement

n’est pas requis et que les droits du patient découlant de

la protection de sa vie privée ne sont pas déforcés par

mité a recommandé de prévoir à l’avenir une certaine trans-

parence du côté du SPF Intérieur, Direction des Calamités,

responsable de la base des données dont il est question.

Cela pourrait se faire, par exemple, en mentionnant soit sur

le formulaire de demande d’intervention du Fonds, l’usage

qui peut être fait des données collectées tel que la communi-

cation demandée, soit sur son site Internet, que les données

en question pourraient être transmises à des destinataires

(tel l’IBGE) et pour quelles finalités, cette communication

peut avoir lieu.

L’autorisation de communication a été accordée.

2.4 Comité sectoriel de la Sécurité Sociale et de la Santé

2.4.1 Section Santé

En vertu de l’arrêté royal du 7 octobre 2009 fixant la date

et les modalités d’entrée en vigueur de l’article 70, 3°, de la loi du

1er mars 2007 portant des dispositions diverses (III), cet article 70,

3° est entré en vigueur le 8 novembre 2009. Cela implique

qu’à partir de cette date, la section Santé du Comité sectoriel

de la Sécurité sociale et de la Santé doit accorder une autori-

sation de principe pour toute communication de données à

caractère personnel qui concernent la santé.

eHealth

Toutes les recommandations/délibérations de la section

Santé du Comité sectoriel de la Sécurité Sociale et de la Santé

émises au cours de l’année écoulée dans le cadre de la Loi du

21 août 2008 relative à l’institution et à l’organisation de la plate-

forme eHealth (articles 5, 9, 10 et 11), peuvent être consultées

sur le site web de la plate-forme eHealth à l’adresse (https ://

w w w.eHealth.fgov.be/nl/page/website/home/eHealth.

html).

On peut constater que chaque fois que la plate-forme eHealth

assure les accès à une base de données médicales, elle se

124

sant que la communication envisagée de données à ca-

ractère personnel codées ne donnera raisonnablement

pas lieu à la réidentification des personnes concernées.

• Il était également indiqué que : «les institutions concer-

nées sont tenues, à l’occasion de toute demande d’autorisation

qu’elles introduisent en vue de la communication de données à

caractère personnel codées, de montrer, de manière explicite, la

façon dont l’analyse quant au risque de small cells a été ou sera

exécutée et de préciser les restrictions en matière de small cells

qui seront imposées afin de minimaliser raisonnablement la

réidentification des personnes concernées. À cet effet, elles sont

tenues d’organiser un contrôle croisé, conformément aux moda-

lités telles que décrites dans la présente délibération.»

• En ce qui concerne l’obligation de la communication

d’informations à laquelle une organisation inter-

médiaire est tenue, le Comité sectoriel a rappelé que

lorsque l’organisation intermédiaire est une autorité

administrative chargée explicitement, par ou en ver-

tu de la loi, de rassembler et de coder des données à

caractère personnel et est soumise, à cet égard, à des

mesures spécifiques prévues par ou en vertu de la loi

visant à protéger la vie privée, elle ne doit pas satisfaire

à cette obligation (Délibération n° 11/082 du 18 oc-

tobre 2011 relative à la communication de données à ca-

ractère personnel codées relatives à la santé par l’AIM

et Vaccinnet aux groupes de recherche universitaires de

l’université de Hasselt et de l’université d’Anvers en vue

de l’exécution d’une étude scientifique dans le cadre de

la pharmacovigilance à la demande de l’AFMPS).

cette absence (notamment grâce à la surveillance par

un professionnel des soins de santé et au contrôle des

utilisateurs et des accès par la plate-forme eHealth).

Un tel raisonnement doit également être appliqué

stricto sensu aux autres applications déjà autorisées par

le Comité sectoriel et répondant aux mêmes conditions

et notamment aux applications QERMID visées dans la

délibération précitée n° 09/073 du 15 décembre 2009.

• Dans sa recommandation n° 11/01 du 19 avril 2011 rela-

tive au droit d’accès du patient aux destinataires de son

dossier médical, le Comité sectoriel a estimé qu’un

hôpital universitaire, et par analogie tout hôpital, peut

accéder à la demande d’un patient de prendre connais-

sance de l’identité des personnes qui ont accédé à son

dossier conservé sous forme électronique ainsi que de

la date à laquelle cet accès a eu lieu, et ce en vue de la

transparence et de rassurer le patient quant à son droit

de savoir ce qu’il advient exactement de ses données.

• Le Comité sectoriel souligne qu’une telle pratique

constitue, par ailleurs, un moyen efficace supplémen-

taire de vérifier la légalité de l’utilisation des données

contenues dans les dossiers médicaux électroniques.

S’il est évident qu’un dossier médical conservé sous

forme électronique offre de grandes possibilités pour

le traitement médical, ce système peut également pré-

senter un risque d’abus en cas d’accès non autorisé.

L’hôpital doit donc veiller à mettre en place des méca-

nismes de sécurité efficaces.

• Dans sa recommandation n° 11/03 du 19 juillet 2011 re-

lative à une note du Centre fédéral d’expertise des soins

de santé portant sur l’analyse small cell de données

à caractère personnel codées provenant de l’Agence

intermutualiste, le Comité sectoriel a estimé que tout

demandeur d’une communication de données à carac-

tère personnel codées relatives à la santé à des fins his-

toriques, statistiques ou scientifiques devait soumettre

au Comité sectoriel les garanties nécessaires qu’une

analyse small cell est effectuée et que, le cas échéant,

des restrictions small cell seront imposées, garantis-


personnel relatives à la santé, la note décrit également

différentes preuves électroniques d’une relation thé-

rapeutique et établit une durée de validité de chaque

preuve.

2.4.2 Section Sécurité Sociale

En 2011, la section Sécurité sociale du Comité sectoriel de la

Sécurité Sociale et de la Santé a, comme à l’habitude, consa-

cré une attention particulière à la sécurisation des commu-

nications de données à caractère personnel à propos des-

quelles elle a dû se prononcer. Depuis toujours, les acteurs

du réseau de la sécurité sociale sont tenus, par arrêté royal,

de respecter certaines normes minimales de sécurité (défi-

nies par le Comité Général de Coordination de la Banque-

Carrefour de la sécurité sociale et approuvées par le Comité

sectoriel de la Sécurité Sociale et de la Santé) et de rendre

des comptes à ce sujet au Comité sectoriel afin que celui-ci

puisse exécuter pleinement sa mission de contrôle. Dans ses

récentes délibérations, la section Sécurité Sociale impose

aussi de plus en plus le respect des normes minimales de

sécurité à des instances qui n’appartiennent pas au réseau

de la sécurité sociale mais qui souhaitent néanmoins obte-

nir des données à caractère personnel provenant du réseau

de la sécurité sociale (le respect des normes minimales de

sécurité a alors valeur de condition essentielle pour l’entrée

en vigueur de l’autorisation accordée à ces instances). Ainsi,

la section Sécurité sociale a notamment imposé le respect

des normes minimales de sécurité à la section Inspection de

l’Économie de l’Agence flamande de l’Entrepreneuriat (déli-

bération n° 11/01 du 11 janvier 2011) ainsi qu’à la direction de

l’Emploi et des Permis de travail du Gouvernement wallon

(délibération n° 11/57 du 6 septembre 2011).

En 2011, le caractère complémentaire et subsidiaire des

registres de la Banque-Carrefour par rapport au Registre

national des personnes physiques a également été mis en

évidence. Plusieurs instances qui disposaient déjà d’une

autorisation du Comité sectoriel du Registre national

pour l’accès au Registre national des personnes physiques

Mentionnons enfin d’importantes délibérations rela-

tives à des projets de développements réalisés par la

plate-forme eHealth. Il s’agit plus particulièrement

des délibérations suivantes :

• délibération n° 11/046 du 17 mai 2011 relative à la note

concernant le consentement éclairé dans le projet des

hubs et du metahub.

En collaboration avec les réseaux d’échange régionaux,

la plate-forme eHealth développe le projet des hubs et

du metahub, qui vise à instaurer un système d’échange

de données électronique sécurisé entre les prestataires

de soins dans le cadre des soins au patient. Grâce à

ce système, un prestataire de soins peut retrouver et

consulter l’ensemble des documents électroniques

contenant des données de santé qui sont disponibles au

sujet d’un patient, et ce indépendamment, d’une part,

du lieu effectif de stockage des documents et, d’autre

part, du point d’entrée du prestataire dans le système.

Le règlement pour le fonctionnement général du sys-

tème des hubs et du metahub a également été approuvé

par le Comité sectoriel (délibération n° 11/089 du 22 no-

vembre 2011). Ce règlement décrit les règles générales

pour l’organisation du traitement de données à carac-

tère personnel dans ce système. On y fait remarquer

que toute modification éventuelle de ce règlement sera

à nouveau soumise à l’approbation du Comité sectoriel.

• Délibération n° 11/088 du 18 octobre 2011 relative à la

note relative aux preuves électroniques d’une relation

thérapeutique et d’une relation de soins.

Concrètement, la note de la plate-forme eHealth décrit

comment – lors de l’échange électronique de don-

nées à caractère personnel relatives à la santé – une

relation thérapeutique peut être définie et la manière

dont cette relation thérapeutique peut être établie et

prouvée. Outre une description de la notion de ‘rela-

tion thérapeutique’ et plusieurs principes généraux

relatifs à l’échange électronique de données à caractère

126

les organismes de pension et les organismes de solidarité

à communiquer des données à caractère personnel à l’as-

sociation sans but lucratif Sigedis afin que celle-ci puisse

compléter la banque de données « Constitution de pension

complémentaire ». Cette banque de données contient des in-

formations sur tous les avantages (belges et étrangers) pour

travailleurs, indépendants et fonctionnaires constituant un

complément à la pension légale.

Outre à la banque de données susmentionnée « Constitution

de pension complémentaire », qui concerne spécifiquement

la constitution de droits à une pension complémentaire, une

attention a également été consacrée en 2011 à la banque de

données à caractère personnel qui contient des informa-

tions sur les paiements effectués dans le «premier pilier »

(les pensions légales) et le «deuxième pilier » (les pensions

complémentaires), à savoir le Cadastre des pensions, géré

conjointement par l’Institut national d’Assurance Maladie

et Invalidité et l’Office des Pensions. Par la délibération

n° 11/33 du 3 mai 2011, les instances qui paient des avan-

tages en matière de pensions ont été autorisées par la sec-

tion Sécurité sociale à communiquer de façon électronique

des données à caractère personnel dont elles disposent au

Cadastre des Pensions, en vue de tenir celui-ci à jour (projet

«ePK»).

En 2004, divers services d’inspection avaient été autori-

sés par le Comité sectoriel à accéder à certaines banques

de données à caractère personnel du réseau de la sécurité

sociale (DMFA, DIMONA, répertoire des employeurs, …).

Le Comité sectoriel a fixé à cet égard des règles spécifiques

destinées à garantir la sécurité des données à caractère

personnel consultées — et donc également l’intégrité de

la vie privée des personnes auxquelles ces données se rap-

portent —, notamment une procédure de rapport impo-

sant aux services d’inspection concernés de faire rapport

eux-mêmes de leurs consultations au Comité sectoriel.

En 2011, les mesures de sécurité ont été actualisées et le

Comité sectoriel a également décidé, pour les demandes

émanant d’autres services d’inspection, de désormais soit

ont également reçu, en 2011, une autorisation de la sec-

tion Sécurité sociale d’accéder aux registres de la Banque-

Carrefour régis par la Banque-Carrefour de la Sécurité

sociale : l’Institut scientifique de Santé publique (délibé-

ration n° 11/02 du 11 janvier 2011 et délibération n° 11/12 du

1er février 2011), la Vlaams Subsidieagentschap voor Werk en

Sociale Economie (Agence flamande de subventionnement

de l’emploi et de l’économie sociale) (délibération n° 11/17 du

1er mars 2011), la Vlaams Agentschap voor Kwaliteitszorg in

Onderwijs en Vorming (Agence flamande pour la gestion de

la Qualité dans l’Enseignement et la Formatoin) (délibéra-

tion n° 11/27 du 5 avril 2011), la Fédération royale du Nota-

riat belge (délibération n° 11/28 du 5 avril 2011), certaines

polycliniques (délibération n° 11/56 du 6 septembre 2011), le

Vlaams Departement Bestuurszaken (le Département fla-

mand des Affaires administratives) (délibération n° 11/59 du

6 septembre 2011), l’association sans but lucratif Recip-

e (délibération n° 11/72 du 4 octobre 2011), les maisons de

soins psychiatriques et les initiatives d’habitations proté-

gées (délibération n° 11/83 du 8 novembre 2011) et les mai-

sons de repos et de soins agréées (délibération n° 11/84 du

8 novembre 2011).

Par ailleurs, la section Sécurité sociale a continué d’assurer

l’octroi d’autorisations à des instances actives sur le plan

sectoriel dans ce que l’on appelle le «deuxième pilier » (les

pensions complémentaires). Ainsi, les organisateurs, les

organismes de pension et/ou les organismes de solidarité

des secteurs sociaux suivants, notamment, ont été autorisés

à obtenir la communication de certaines données à carac-

tère personnel du réseau de la sécurité sociale en vue d’ac-

complir leurs missions respectives : l’industrie chimique

(délibérations n° 11/18 et n° 11/19 du 1er mars 2011), le sec-

teur de la gestion immobilière et des agences immobilières

(délibération n° 11/32 du 5 avril 2011), les carrières de pierres

de taille et de pierres calcaires du Hainaut (délibération

n° 11/36 du 3 mai 2011) ainsi que le secteur du transport et

de la logistique (délibération n° 11/85 du 8 novembre 2011).

Par la délibération n° 11/03 du 11 janvier 2011, la section

Sécurité sociale a d’ailleurs autorisé tous les organisateurs,


déclarer clairement applicables les mesures de sécurité de

la délibération (modifiée) n° 04/32 du 5 octobre 2004, soit

de promulguer des mesures de sécurité particulières ins-

pirées des mesures de sécurité issues de la délibération

n° 04/32 du 5 octobre 2004. À cet égard, voir par exemple la

délibération n° 11/09 du 11 janvier 2011 (Direction Inspection

sociale du département Inspection de la Direction générale

opérationnelle de l’Économie, de l’Emploi et de la Recherche

du Service public de Wallonie) et la délibération n° 11/87 du

8 novembre 2011 (inspecteurs et personnel administratif de

la direction générale Contrôle du bien-être au travail du ser-

vice public fédéral Emploi, Travail et Concertation sociale).

Enfin, on peut renvoyer ici à la délibération n° 11/01 du

1er février 2011 de la section Sécurité sociale. Celle-ci a

octroyé une autorisation générale aux syndicats, leur per-

mettant une consultation électronique de données à carac-

tère personnel dans le réseau de la sécurité sociale en vue

de défendre les intérêts de leurs membres. Le Comité sec-

toriel a reconnu l’intérêt de l’accès au réseau de la sécurité

sociale pour les syndicats — qui peuvent ainsi assister leurs

membres en contrôlant si la réglementation est bien respec-

tée, vérifier si le dossier administratif est complet et, le cas

échéant, entamer une procédure de recours — mais en pré-

cisant toutefois que tout flux de données à caractère person-

nel qui sera développé en faveur des syndicats devra lui être

soumis pour autorisation préalablement à sa mise en œuvre.

128

tions individuelles, 97 demandes d’adhésion à une autorisa-

tion unique ont été reçues.

Les 15 dossiers d’autorisation individuelle traités ont débou-

ché sur 12 autorisations, deux demandes ont été refusées.

Le traitement du dossier restant a été arrêté.

3.3 Le Comité sectoriel du Registre national

L’octroi d’autorisations pour la communication de données

du Registre national et l’utilisation du numéro d’identifi-

cation du Registre national relèvent de la compétence du

Comité sectoriel du Registre national.

En 2011, il y a eu 94 demandes d’autorisation. Il convient

de faire une distinction entre les demandes d’autorisation

individuelles et les demandes d’autorisation générales.

Lorsque le comité sectoriel accorde une autorisation indi-

viduelle, son (ses) bénéficiaire(s) spécifique(s)s est (sont)

mentionné(s) dans la délibération. En ce qui concerne les

autorisations générales, un système d’adhésion a été mis au

point.

En 2011 le comité a ouvert 1 dossier d’autorisation générale

qui a donné lieu à 1 autorisation générale supplémentaire.

Toutes les autorisations générales ont donné lieu à

238 demandes d’adhésion. 235 bénéficiaires ont reçu une

évaluation positive qui leur a valu un accès au Registre

national des personnes physique et l’autorisation d’utiliser

le numéro d’identification de ce Registre, sur la base des

conditions prévues dans l’autorisation générale, 5 dossiers

ont été arrêtés.

Des comités sectoriels ont été institués au sein de la Com-

mission. Ces comités veillent au respect de la législation

relative à la vie privée dans certains secteurs. Six comités

sectoriels ont été créés parmi lesquels 5 ont été constitués :

le Comité sectoriel du Registre national, le Comité sectoriel

de la Sécurité Sociale et de la Santé, le Comité sectoriel pour

l’Autorité Fédérale, le Comité sectoriel de la Banque-Carre-

four des Entreprises et le Comité de surveillance sectoriel

Phenix. Étant donné que le Comité de surveillance statis-

tique n’a pas encore été constitué, c’est la Commission qui

exerce ses compétences pour le moment.

3.1 Le Comité sectoriel de la Sécurité Sociale et de la Santé

Le Comité sectoriel de la Sécurité Sociale et de la Santé est

divisé en deux sections. La section Sécurité sociale traite les

demandes relatives à la communication électronique des

données à caractère personnel au sein du réseau d’échange

de données de la sécurité sociale et a délivré des autorisa-

tions et émis des avis en 2011. La section Santé surveille la

communication des données relatives à la santé et a délivré

des autorisations en 2011.

3.2 Le Comité sectoriel pour l’Autorité Fédérale

Le Comité sectoriel pour l’Autorité Fédérale surveille la

communication électronique de données à caractère per-

sonnel au sein de l’Autorité fédérale et accorde les autorisa-

tions de communication électronique de données à carac-

tère personnel par les SPF ou les organismes publics dotés

de la personnalité juridique relevant de l’Autorité fédérale.

En 2011, le Comité a reçu 18 demandes. Outre des autorisa-

3 Les activités des comités sectoriels en chiffres


Sur les 64 demandes d’autorisation individuelles, 43 ont été

traitées en 2011 : 32 demandeurs ont été autorisés à accéder

au Registre national des personnes physiques et à en utili-

ser le numéro d’identification ; pour 4 de ces demandeurs,

cette autorisation a toutefois été accordée sous conditions

résolutoires, pour 8 de ces demandeurs, cette autorisation

a été accordée sous conditions et pour deux demandes, une

autorisation a été accordée pour une durée limitée . Trois de-

mandes d’autorisation ont été refusées, 5 demandes étaient

irrecevables et dans 4 dossiers, le traitement a été arrêté.

3.4 Le Comité sectoriel de la Banque-Carrefour des Entreprises et le Comité de surveillance sectoriel Phénix

Ni le Comité sectoriel de la Banque-Carrefour des Entre-

prises — qui veille à la sécurité du traitement des données au

sein de la Banque-Carrefour — ni le Comité de surveillance

sectoriel Phenix — qui veille à la sécurité et à la confiden-

tialité des traitements de données effectués par l’appareil

judiciaire belge — n’ont reçu de demandes d’autorisation

recevables au cours de l’année écoulée.

130

3.5 Tableaux et graphiques

3.5.1. Dossiers traités par les comités sectoriels

3.5.1.1 Comité sectoriel de la Sécurité sociale et de la Santé

3.5.1.1.1 Section Santé

— avis : .................................................... 1

— délibérations : ...................................... 34

3.5.1.1.2 Section Sécurité sociale

— avis : .................................................. 23

— délibérations : ..................................... 87


Trimestre Dossiers AF-MA IN

Dossiers AF-MA OUT

% clôturés Dossiers AF-MA ouverts

01.2011 - 03.2011 59 58 98,31 1

04.2011 - 06.2011 41 40 97,56 1

07.2011 - 09.2011 9 6 66,67 3

10.2011 - 12.2011 6 4 66,67 2

Total 115 108 93,91 7

3.5.2 Comité sectoriel pour l’Autorité Fédérale : dossiers AF-MA en chiffres

3.5.2.1 Analyse globale des dossiers AF-MA 2011

Nom

bre

Trimestre Dossiers AF-MA IN Dossiers AF-MA OUT % clôturés Dossiers AF-MA ouverts01.2011 - 03.2011 59 58 98,31 1

adhésion Secrétariat 49 48 97,96 1autorisation individuelle 10 10 100,00 0

04.2011 - 06.2011 41 40 97,56 1adhésion Secrétariat 37 36 97,30 1autorisation individuelle 4 4 100,00 0



Total 115 108 93,91 7adhésion Secrétariat 97 93 95,88 4autorisation individuelle 18 15 83,33 3

0

20

40

60

01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011

59

41

9 6

58

40

6 41 1 3 2

dossiers AF-MA 2011

Dossiers AF-MA IN Dossiers AF-MA OUT Dossiers AF-MA ouverts

132

TrimestreDossiers AF-

MA INDossiers AF-

MA OUT% clôturés

Dossiers AF-MA ouverts

01.2011 - 03.2011 59 58 98,31 1

adhésion Secrétariat 49 48 97,96 1

autorisation individuelle 10 10 100,00 0

04.2011 - 06.2011 41 40 97,56 1



07.2011 - 09.2011 9 6 66,67 3



10.2011 - 12.2011 6 4 66,67 2



Total 115 108 93,91 7



Nom

bre

4.2.2 Délai de traitement dossiers AF-MA

Adhésion Secrétariat

Nombre Délai de traitement Dossiers clôturés** Dossiers en traitement<= 45 j 80 1> 45 j 0 0

on hold * 3total 80 4

Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement<= 45 j 100,00 100,00> 45 j 0,00 0,00total 100 100

0

20

40

60

80

100

adhésion Secrétariat autorisation individuelle

97

18

93

15

4 3

Dossiers AF-MA IN

Dossiers AF-MA OUT

Dossiers AF-MA ouverts


3.5.2.2 Délai de traitement dossiers AF-MA


Nombre Délai de traitement Dossiers clôturés** Dossiers en traitement

< 45 j 80 1

> 45 j 0 0

on hold * 3

total 80 4

Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement

< 45 j 100,00 100,00

> 45 j 0,00 0,00

total 100 100

< 45 j 100,00

> 45 j 0,00

* dossier non complet, le demandeur n'a pas encore répondu pour l'instant aux questions transmises, d'où la mise "on hold “ du dossier.

** pour les dossiers clôturés, les dossiers qui sont irrecevables ou dont le traitement a été arrêté ne sont pas repris dans le calcul du délai de traitement.

<

<

<

134

Autorisation individuelle

Nombre Délai de traitement Dossiers clôturés** Dossiers en traitement

< 45 j 7 1

> 45 j 7 2

on hold * ou traitement arrêté

1

total 15 3


< 45 j 50,00 33,33

> 45 j 50,00 66,67

total 100 100

< 45 j 47,06

> 45 j 64,29

Délai légal de taitement : 30 jours après réception de l'avis technique et juridique avec un maximum de 45 jours une fois le dossier complet.

Par rapport au règlement SLA en vigueur (séance +2), tous les dossiers ont été clôturés dans le délai imparti.

<

<

<


3.5.2.3 Suite donnée aux dossiers d'autorisation clôturés

Type de dossiers Suite Nombre % /types de dossier

adhésion Secrétariat autorisations 80 86,02


irrecevable 1 1,08

autorisation individuelle autorisation 10 66,67

autorisation avec condition suspensive

1 6,67

autorisation à durée déterminée

1 6,67

refus 2 13,33

irrecevable 1 6,67

3.5.2.4 Nombre d'adhésions par autorisation générale

autorisation générale Nombre

AF n° 12/2009 (01/10/2009) 63

AF n° 17/2010 (21/10/2010) 34

136

3.5.3 Comité de surveillance Statistitique : dossiers STAT-MA en chiffres

3.5.3.1 Analyse globale dossiers STAT-MA 2011

Trimestre Dossiers STAT-MA IN

Dossiers STAT-MA OUT

% clôturés Dossiers STAT-MA ouverts

01 2011 - 03 2011 6 6 100,00 0

04 2011 - 06 2011 11 11 100,00 0

07 2011 - 09 2011 11 10 90,91 1

10 2011 - 12 2011 10 8 80,00 2

Total 38 35 92,11 3

Nom

bre

Trimestre Dossiers STAT-MA IN Dossiers STAT-MA OUT % clôturés Dossiers STAT-MA ouverts01.2011- 03.2011 6 6 100,00 0

autorisation générale 0 0 *** ***autorisation individuelle 6 6 100,00 0

04.2011 - 06.2011 11 11 100,00 0autorisation générale 0 0 *** ***autorisation individuelle 11 11 100,00 0

07.2011 - 09.2011 10 10 100,00 0autorisation générale 0 0 *** ***autorisation individuelle 10 10 100,00 0

10.2011 - 12.2011 11 8 72,73 3autorisation générale 1 0 0,00 1autorisation individuelle 10 8 80,00 2

Total 38 35 92,11 3autorisation générale 1 0 0,00 1autorisation individuelle 37 35 94,59 2

0

2

4

6

8

10

12

01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011

6

11 1110

6

1110

8

0 01

2

Dossiers STAT-MA 2011

Dossiers STAT-MA IN Dossiers STAT-MA OUT Dossiers STAT-MA ouverts

Dossiers STAT-MA 2011


Trimestre Dossiers STAT-MA IN


% clôturés Dossiers STAT-MA ouverts

01.2011- 03.2011 6 6 100,00 0

autorisation générale 0 0 *** ***


04.2011 - 06.2011 11 11 100,00 0



07.2011 - 09.2011 10 10 100,00 0



10.2011 - 12.2011 11 8 72,73 3

autorisation générale 1 0 0,00 1


Total 38 35 92,11 3



4.3.2 Délai de traitement dossiers STA-MA


Nombre Délai de traitement Dossiers clôturés Dossiers en traitement<= 45 j 18 2> 45 j 16 0


1 0

Total 35 2

Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement<= 45 j 52,94 100,00

0

5

10

15

20

25

30

35

40

autorisation générale autorisation individuelle

1

37

0

35

1 2

Dossiers STAT-MA IN


Dossiers STAT-MA ouverts

Nom

bre

138


Type de dossiers Suite Nombre % type de dossier

autorisation générale autorisation 30 85,71


2 5,71

refus 2 5,71


3.5.3.2 Délai de traitement dossiers STA-MA



< 45 j 18 2

> 45 j 16 0


1 0

Total 35 2


< 45 j 52,94 100,00

> 45 j 47,06 0,00

Total 100 100

< 45 j 55,56

> 45 j 44,44

Délai légal de taitement : 30 jours après réception de l’avis technique et juridiqueavec un maximum de 45 jours une fois le dossier complet.

Par rapport au règlement SLA en vigueur (séance +2), tous les dossiers ont été clôturés dans le délai imparti.

<

<

<


3.5.4 Comité sectoriel du Registre national : dossiers RN-MA en chiffres

3.5.4.1 Analyse globale dossiers RN-MA 2011

Trimestre Dossiers RN-MA IN

Dossiers RN-MA OUT

% clôturés Dossiers RN-MA ouverts

01.2011 - 03.2011 94 88 93,62 6

04.2011 - 06.2011 106 104 98,11 2

07.2011 - 09.2011 71 67 94,37 4

10.2011 - 12.2011 62 27 43,55 35

Total 333 286 85,89 47

Trimestre RN-MA dossier IN RN-MA dossier OUT % clôturés RN-MA dossiers ouverts01.2011 - 03.2011 94 88 93,62 6,00

adhésion Secrétariat 71 70 98,59 1autorisation générale 0 0 *** ***autorisation individuelle 23 18 78,26 5

04.2011 - 06.2011 106 104 98,11 2,00adhésion Secrétariat 93 92 98,92 1autorisation générale 1 1 100,00 0autorisation individuelle 12 11 91,67 1

07.2011 - 09.2011 71 67 94,37 4,00adhésion Secrétariat 48 48 100,00 0autorisation générale 0 0 *** ***autorisation individuelle 23 19 82,61 4

10.2011 - 12.2011 62 27 43,55 35,00adhésion Secrétariat 26 20 76,92 6autorisation générale 0 0 *** ***autorisation individuelle 36 7 19,44 29Total 333 286 85,89 47adhésion Secrétariat 238 230 96,64 8

0

20

40

60

80

100

120

01.2011 - 03.2011 04.2011 - 06.2011 07.2011 - 09.2011 10.2011 - 12.2011

94106

7162

88104

67

27

6 2 4

35

Dossiers RN-MA IN Dossiers RN-MA OUT Dossiers RN-MA ouverts

Dossiers RN-MA 2011

Nom

bre

140

Trimestre RN-MA dossier IN

RN-MA dossier OUT

% clôturés RN-MA dossiers ouverts

01.2011 - 03.2011 94 88 93,62 6,00




04.2011 - 06.2011 106 104 98,11 2,00




07.2011 - 09.2011 71 67 94,37 4,00




10.2011 - 12.2011 62 28 45,16 34,00




Total 333 286 85,89 47




autorisation générale 1 1 100,00 0autorisation individuelle 94 55 58,51 39

4.4.2 Délai de traitement dossiers RN-MA


Nombre Délai de traitement Dossiers clôturés Dossiers en traitement<= 45 j 224 3> 45 j 1 0

on hold *ou traitement arrêté

5 5

Total 230 8

Pourcentages Délai de traitement Dossiers clôturés Dossiers en traitement<= 45 j 99,56 100,00> 45 j 0,44 0,00

0

50

100

150

200

250

RN-MA dossier IN RN-MA dossier OUT RN-MA dossiers ouverts

238 230

81 1 0

94

5539

adhésion Secrétariat

autorisation générale

autorisation individuelleNom

bre


3.5.4.2 Délai de traitement dossiers RN-MA



< 45 j 224 3

> 45 j 1 0

on hold *ou traitement arrêté

5 5

total 230 8


< 45 j 99,56 100,00

> 45 j 0,44 0,00

total 100 100

< 45 j 99,56

> 45 j 0,44

<

<

<

142


Nombre Délai de traitement Dossiers clôturés ** Dossiers en traitement

< 45 j 20 16

> 45 j 27 9


8 14

total 55 39


< 45 j 42,55 64,00

> 45 j 57,45 36,00

total 100 100

< 45 j 50,00

> 45 j 50,00

Délai légal de traitement : 30 jours après réception de l'avis technique et juridique avec un maximum de 45 jours une fois le dossier complet.

Par rapport au règlement SLA en vigueur (séance +2), 91 % des dossiers ont été clôturés dans le délai imparti.

<

<

<



Type de dossiers Suite Nombre % / type de dossier

adhésion Secrétariat

autorisation 225 97,83


autorisation 32 58,18


autorisation avec condition résolutoire

4 7,27


8 14,55

autorisation à durée déterminée

2 3,64


irrecevable 5 9,09

3.5.4.4 Nombre d'adhésions par autorisation générale

Autorisation générale Nombre

RN n° 02/2011 (26/01/2011) 37

RN n° 35/2010 (06/10/2010) 11

RN n° 15/2010 (14/04/2010) 14

RN n° 74/2009 (23/12/2009) 15

RN n° 38/2009 (17/06/2009) 3

RN n° 21/2009 (25/03/2009) 15

RN n° 22/2009 (25/03/2009) 6

RN n° 15/2009 (18/02/2009) 1

RN n° 08/2006 (22/03/2006) 136

Le rapport 2011 de la commission Vie privée

Documents

Transcript of Le rapport 2011 de la commission Vie privée