← Texte en vigueur · Historique

3 AOUT 2012. - Loi portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions (NOTE : Consultation des versions antérieures à partir du 24-08-2012 et mise à jour au 30-12-2025)

Texte en vigueur a fecha 2012-08-24

CHAPITRE 1er. - Dispositions générale

Article 1er. La présente loi règle une matière visée à l'article 78 de la Constitution.

CHAPITRE 2. - Dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions

Section 1re. - Du responsable du traitement

Article 2. Le Service public fédéral Finances est le responsable des traitements de données à caractère personnel visés au présent chapitre.

Section 2. - Finalités des traitements de données à caractère personnel

Article 3. Le Service public fédéral Finances collecte et traite des données à caractère personnel afin d'exécuter ses missions légales.

Les données ne peuvent être utilisées par le Service public fédéral Finances à d'autres fins que l'exécution de ses missions légales.

Le Service public fédéral Finances peut, dans le respect de l'article 4, traiter ultérieurement pour l'exécution d'une autre mission légale toute donnée à caractère personnel collectée légitimement dans le cadre de l'exécution de l'une de ses autres missions.

Section 3. - Echanges internes de données

Article 4. Les administrations et, ou services du Service public fédéral Finances s'échangent des données à caractère personnel sur autorisation d'une instance interne au Service public fédéral Finances désignée par arrêté royal après avis du Comité sectoriel pour l'Autorité fédérale.

Cette instance décide quels types de données à caractère personnel peuvent faire l'objet d'un échange entre administrations et, ou services du Service public fédéral Finances, de façon systématique ou ponctuelle et pour l'exécution de finalités déterminées, après avoir vérifié leur caractère adéquat, pertinent et non excessif.

Elle adopte un règlement décrivant d'une part le processus de demande d'accès aux données à caractère personnel détenues par une administration et, ou service du Service public fédéral Finances et d'autre part, la procédure selon laquelle cet échange a lieu. Ce règlement est approuvé par le Roi, après avis du Comité sectoriel pour l'Autorité fédérale.

Elle peut demander préalablement l'avis du Comité sectoriel pour l'Autorité fédérale sur toute demande de traitement de données qui lui est soumise et pour laquelle le Comité est compétent.

Section 4. - Traitement particulier

Article 5. § 1er. Le Service public fédéral Finances peut procéder également à l'agrégation des données recueillies en application de l'article 3 en vue de la création d'un datawarehouse qui doit permettre à ses services d'une part, de réaliser des contrôles ciblés sur la base d'indicateurs de risque et d'autre part, d'effectuer des analyses sur des données relationnelles provenant des différentes administrations et, ou services du Service public fédéral Finances.

§ 2. Toute catégorie de données communiquée au datawarehouse fait l'objet d'une autorisation du Comité sectoriel pour l'Autorité fédérale.

Celui-ci veille en particulier à ce que le traitement intervienne, lorsque cela est possible, sur des données à caractère personnel codées et à ce que le décodage n'intervienne que lorsqu'il existe un risque de commission d'une infraction à une loi ou à une réglementation dont l'application relève des missions du Service public fédéral Finances.

Un arrêté royal délibéré en Conseil des ministres, pris après avis de la Commission pour la protection de la vie privée, détermine les cas où un échange de données à caractère personnel ne requiert pas d'autorisation du Comité sectoriel pour l'Autorité fédérale.

Section 5. - Echanges externes de données

Article 6. § 1er. Le Service public fédéral Finances ne communique électroniquement à un autre service public ou à une personne morale de droit public des données à caractère personnel qu'après autorisation du Comité sectoriel pour l'Autorité fédérale ou de l'autorité communautaire ou régionale compétente.

§ 2. Le Service public fédéral Finances ne reçoit électroniquement des données à caractère personnel d'un service public ou d'une personne morale de droit public que dans le cadre de l'exécution de ses missions légales et après autorisation du Comité sectoriel ou de l'autorité communautaire ou régionale compétents.

Lorsque ces données externes sont utilisées pour la finalité visée à l'article 5, l'autorisation du comité sectoriel compétent doit prévoir que l'échange est autorisé pour cette finalité.

§ 3. Les agents du Service public fédéral Finances restent dans l'exercice de leurs fonctions au sens de l'article 337 du Code des impôts sur les revenus 1992, de l'article 93bis du Code de la taxe sur la valeur ajoutée, de l'article 236bis du Code des droits d'enregistrement, d'hypothèque et de greffe, de l'article 146bis du Code des droits de succession, de l'article 212 du Code des droits et taxes divers et de l'article 320 de la Loi générale sur les Douanes et Accises lorsqu'ils communiquent des renseignements, en vertu d'une autorisation du comité sectoriel. Les destinataires de ces données sont également tenus au secret professionnel et ne peuvent utiliser les données que dans le cadre de l'exécution de leurs missions légales ou des autorisations des comités sectoriels compétents.

Section 6. - Institution de gestion compétente

Article 7. Dans les échanges de données visés à l'article 5 et à l'article 6, § 1er, le Service public fédéral Technologie de l'Information et de la Communication rend l'avis juridique et technique visé aux articles 31bis, § 3, et 36bis de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel après consultation du Service public fédéral Finances.

L'institution de gestion du comité sectoriel compétent pour l'instance qui fournit la donnée rend l'avis juridique et technique dans les cas visés à l'article 6, § 2.

Section 7. - Service de Sécurité de l'Information et de Protection de la vie privée

Article 8. § 1er. Il est créé, au sein du Service public fédéral Finances, un Service de Sécurité de l'Information et de Protection de la vie privée qui est placé sous l'autorité directe du président du comité de direction du Service public fédéral Finances.

Ce service est chargé :

d'assurer l'application de la réglementation relative à la protection de la vie privée, de la présente loi ainsi que de ses mesures d'exécution;

de vérifier, préalablement à la décision du responsable du traitement, que les conditions d'application de l'exception visée à l'article 3, § 7, de la loi du 8 décembre 1992, relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, sont remplies;

rendre les avis juridiques lorsque le Service public fédéral Finances est consulté conformément à l'article 7.

Ce service a également une fonction de conseil, de stimulation, de documentation et d'audit interne au niveau de la protection de la vie privée.

Il peut également porter plainte directement auprès du Comité sectoriel pour l'Autorité fédérale lorsqu'il existe un risque de commission d'une infraction à une loi ou à une règlementation dont l'application relève des missions du Service public fédéral Finances.

§ 2. Le Roi détermine par arrêté délibéré en Conseil des Ministres, après avis de la Commission de la protection de la vie privée, la composition et le mode de fonctionnement de ce service ainsi que le statut des membres qui le compose.

Section 8. - Service de surveillance

Article 9. § 1er. Il est créé, au sein du Service public fédéral Finances, un service chargé de réaliser techniquement les échanges de données à caractère personnel. Ce service veille également à la conformité au niveau technique de ces échanges de données à caractère personnel à la présente loi, la réglementation, les autorisations des autorités compétentes et les décisions du responsable de traitement. Ce service est placé sous l'autorité directe du président du comité de direction du Service public fédéral Finances.

§ 2. Le Roi détermine par arrêté délibéré en Conseil des Ministres, après avis de la Commission de la protection de la vie privée, la composition et le mode de fonctionnement de ce service.

Section 9. - Autorisation d'accès aux données

Article 10. § 1er. Les agents du Service public fédéral Finances et les membres du personnel des tiers dûment habilités n'accèdent aux dossiers, aux données et aux applications électroniques que dans la mesure où cet accès est adéquat, pertinent et non excessif au regard de l'exécution des tâches qui leur sont confiées dans le cadre des missions telles que définies aux articles 3 et 5.

§ 2. Le droit d'accès est octroyé individuellement et personnellement sur base d'un profil. Il ne peut pas être transféré. Chaque utilisateur du réseau interne du Service public fédéral Finances à qui un compte d'accès personnel est attribué, est personnellement responsable de son utilisation.

§ 3. Tout accès aux dossiers, données ou applications électroniques fait l'objet d'une vérification par le système de gestion de l'identité de la personne qui sollicite l'accès et de sa correspondance au profil défini.

§ 4. Chaque accès ou tentative d'accès aux dossiers, données ou applications fait l'objet d'un enregistrement automatisé dont le contenu et la durée de conservation sont fixés par un règlement interne soumis pour avis au Comité sectoriel pour l'Autorité fédérale.

Le service visé à l'article 8 contrôle périodiquement les accès et tentatives d'accès dans le but de détecter les incidents de sécurité.

Section 10. - Droit d'information, d'accès et de correction

Article 11. Il est inséré dans l'article 3, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, remplacé par la loi du 11 décembre 1998 et modifié en dernier lieu par la loi du 10 juillet 2006, un § 7 rédigé comme suit :

" 7. Les articles 9, § 2, 10 et 12 ne sont pas applicables aux traitements de données à caractère personnel gérés par le Service public fédéral Finances durant la période dans laquelle la personne concernée est l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par le Service public fédéral Finances dans le cadre de l'exécution de ses missions légales.

Lorsque le Service public fédéral Finances a fait usage de l'exception telle que déterminée à l'alinéa premier, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête. Le Service de Sécurité de l'Information et Protection de la Vie Privée en informe le contribuable concerné sans délai. ".

(NOTE: par son arrêt n° 51/2014 du 27 mars 2014 (M.B. 28-05-2014,p.41594), la Cour Constitionnelle a annulé cet article)

Section 11. - Entrée en vigueur

Article 12. La présente loi entre en vigueur le 1er janvier 2013.

Le Roi peut fixer une date d'entrée en vigueur antérieure à celle mentionnée à l'alinéa 1er.

Sous-section 1. [¹ - Le droit d'information lors de la collecte de données à caractère personnel et de communication des données à caractère personnel]¹

(1)2018-09-05/01, art. 78, 003; En vigueur : 10-09-2018>

Sous-section 2. [¹ - Le droit d'accès aux données à caractère personnel]¹

(1)2018-09-05/01, art. 80, 003; En vigueur : 10-09-2018>

Article 11/1.. 11/1. [¹ § 1er. Par dérogation à l'article 15 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), le droit d'accès aux données à caractère personnel la concernant peut être retardé, limité entièrement ou partiellement s'agissant des traitements de données à caractère personnel dont le Service public fédéral Finances est le responsable du traitement afin de garantir les objectifs d'intérêt public dans le domaine budgétaire, monétaire et fiscal.

Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services compétents du Service public fédéral Finances, en ce compris les procédures visant à l'application éventuelle d'une amende administrative ou sanction administrative.

Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent de la dérogation visée à l'alinéa 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec une durée maximale de conservation ne pouvant excéder un an après la cessation définitive des procédures et recours juridictionnels, administratives et extrajudiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er.

§ 2. Ces dérogations valent durant la période pendant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par les services précités dans le cadre de l'exécution de ses missions légales ainsi que durant la période durant laquelle sont traités les documents provenant de ces services en vue d'exercer les poursuites en la matière.

Ces dérogations valent dans la mesure où l' application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale ou la sécurité des personnes physiques.

La durée des actes préparatoires, visés au paragraphe 2, alinéa 2, pendant laquelle l' article 15 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception de la demande introduite en application de l' article 15.

La restriction visée au paragraphe 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou la limitation d'accès.

§ 3. Dès réception d'une demande d'accès, le délégué à la protection des données du responsable du traitement en accuse réception.

Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit d'accès aux données la concernant ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.

Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.

Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.

Lorsque le Service public fédéral Finances a fait usage de l'exception telle que déterminée au paragraphe 1er, alinéa 1er, et à l'exception des situations visées aux alinéas 6 et 7 du paragraphe 3, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.

Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de la personne concernée ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de celle-ci.

Lorsqu'un dossier est transmis à un autre service du Service public fédéral Finances ou à l'institution compétente pour statuer sur les conclusions de l'enquête, les droits ne sont rétablis qu'après que ce service ou l'institution compétente ait statué sur le résultat de l'enquête.]¹

(1)2018-09-05/01, art. 81, 003; En vigueur : 10-09-2018>

Sous-section 3. [¹ - Le droit de rectification]¹

(1)2018-09-05/01, art. 82, 003; En vigueur : 10-09-2018>

Article 11/2.. 11/2. [¹ § 1er. Par dérogation à l'article 16 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), le droit de rectification peut être retardé, limité ou exclu s'agissant des traitements de données à caractère personnel dont le Service public fédéral Finances est le responsable du traitement afin de garantir les objectifs d'intérêt public dans le domaine budgétaire, monétaire et fiscal.

§ 2. Cette dérogation vaut durant la période pendant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par les services précités dans le cadre de l'exécution de ses missions légales ainsi que pendant la période durant laquelle sont traités les documents provenant de ces services en vue d'exercer les poursuites en la matière.

Cette dérogation vaut dans la mesure où l'application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale ou la sécurité des personnes.

La durée des actes préparatoires, visés au paragraphe 2, alinéa 2, pendant laquelle l'article 16 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception de la demande introduite en application de cet article 16.

La restriction visée au paragraphe 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou la limitation de rectification.

§ 3. Dès réception d'une demande de rectification, le délégué à la protection des données du responsable du traitement en accuse réception.

Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit de rectification, ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.

Le délégué à la protection des données du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.

Le délégué à la protection des données du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.

(1)2018-09-05/01, art. 83, 003; En vigueur : 10-09-2018>

Sous-section 4. [¹ - Le droit à la limitation du traitement]¹

(1)2018-09-05/01, art. 84, 003; En vigueur : 10-09-2018>

Article 11/3.. 11/3. [¹ § 1er. Par dérogation à l'article 18 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), le droit à la limitation du traitement peut être retardé, limité ou exclus s'agissant des traitements de données à caractère personnel dont le Service public fédéral Finances est le responsable du traitement afin de garantir les objectifs d'intérêt public dans le domaine budgétaire, monétaire et fiscal.

Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services du Service public fédéral Finances, en ce compris les procédures visant à l'application éventuelle d'une amende administrative ou sanction administrative.

§ 2. Cette dérogation vaut durant la période dans laquelle la personne concernée est l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par les services précités dans le cadre de l'exécution de ses missions légales ainsi que pendant la période durant laquelle sont traités les documents provenant de ces services en vue d'exercer les poursuites en la matière.

Cette dérogation vaut dans la mesure où l' application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale ou la sécurité des personnes.

La durée des actes préparatoires, visés au paragraphe 2, alinéa 2, pendant laquelle l'article 18 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception de la demande introduite en application de cet article 18.

La restriction visée au paragraphe 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus d'accès à ces données.

§ 3. Dès réception d'une demande de limitation de traitement le délégué à la protection des données du responsable du traitement en accuse réception.

Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit de limitation du traitement des données à caractère personnel la concernant ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2.

(1)2018-09-05/01, art. 85, 003; En vigueur : 10-09-2018>