13 JUILLET 2012. - Décret portant création et organisation d'un intégrateur de services flamand(NOTE : Consultation des versions antérieures à partir du 01-08-2012 et mise à jour au 11-08-2023)

CHAPITRE 1er. - Dispositions générales

Article 1er. Le présent décret règle une matière communautaire et régionale.

Article 2. Dans le présent décret, on entend par :

1° source de données authentique : une source de données authentique telle que visée à [⁵ l'article 4, § 1er et § 2, du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives " est remplacé par le membre de phrase " l'article III.66, § 1er du Décret de gouvernance du 7 décembre 2018]⁵;

2° [⁴ a Commission de contrôle flamande : la Commission de contrôle flamande, instituée par l'article 10/1 du décret du 18 juillet 2008 sur l'échange électronique de données administratives;]⁴

3° intégrateur de services une instance qui par ou en vertu d'une loi, d'un décret ou d'une ordonnance est chargée, au sein d'un niveau déterminé de l'administration ou dans un secteur déterminé, d'une tâche d'intérêt général et, plus précisément, de l'organisation de l'échange électronique de données entre différentes instances et de l'accès intégré aux données;

4° autorité externe : une autorité appartenant au niveau international ou fédéral, une autre communauté ou région, et les institutions ou personnes morales qui en relèvent, ainsi que les personnes morales de droit privé qui sont chargées de tâches ou missions d'intérêt général;

5° l'arrêté du Gouvernement flamand du 15 mai 2009 relatif aux conseillers en sécurité : l'arrêté du Gouvernement flamand du 15 mai 2009 relatif aux conseillers en sécurité, mentionné à l'article 9 du décret du 18 juillet 2008;

6° instances : [⁵ les instances de l'Autorité flamande au sens de l'article I.3, 1° du Décret de gouvernance du 7 décembre 2018, les instances des autorités locales au sens de l'article I.3, 5° du Décret de gouvernance du 7 décembre 2018, les institutions investies d'une mission de service public au sens de l'article I.3, 6° du Décret de gouvernance du 7 décembre 2018 et les instances environnementales au sens de l'article I.3, 7° du Décret de gouvernance du 7 décembre 2018;]⁵

7° [² ]²

8° [² ...]²

9° ISF : l'intégrateur de services flamand.

[¹ 10° organe de pilotage de la Politique flamande d'information et des TIC : l'organe de pilotage de la Politique flamande d'information et des TIC visé à [⁵ l'article III.74 du Décret de gouvernance du 7 décembre 2018]⁵.]¹

[³ 11° règlement général sur la protection des données : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données)]³

(1)2016-12-23/34, art. 32, 004; En vigueur : indéterminée >

(2)2018-06-08/04, art. 38,2°, 005; En vigueur : 25-05-2018>

(3)2018-06-08/04, art. 38,3°, 005; En vigueur : 25-05-2018>

(4)2018-06-08/04, art. 38,1°, 005; En vigueur : 29-03-2019, la date de publication au Moniteur belge de la composition de la Commission de contrôle flamande du traitement des données à caractère personnel, visée à l'article 10/1 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives>

(5)2018-12-07/05, art. IV.224, 006; En vigueur : 01-01-2019>

CHAPITRE 2. - Création de l'ISF

Article 3. § 1er. [¹ [² L'agence autonomisée interne " Digitaal Vlaanderen ", visée à l'article 2 de l'arrêté du Gouvernement flamand du 18 mars 2016 portant création de l'agence autonomisée interne " Digitaal Vlaanderen ", et détermination du fonctionnement, de la gestion et de la comptabilité de l' " Eigen Vermogen Digitaal Vlaanderen "]²]¹, remplit la fonction d'intégrateur de services dans le but de simplifier et d'optimiser les échanges de données mutuels entre les instances, d'une part, et entre les instances et les autres intégrateurs de services et autorités externes, d'autre part.

L'ISF soutient les instances en organisant des prestations de services électroniques mutuelles et des échanges électroniques de données entre les instances entre elles, entre les instances et les autorités externes et entre les instances et les autres intégrateurs de services afin de permettre aux instances d'exécuter les missions pour les utilisateurs des services qu'elles proposent, de manière effective et efficace, moyennant un minimum de charges et de frais administratifs. La collecte unique et un accès coordonné aux données sont centraux dans le fonctionnement de l'ISF.

L'ISF organise les prestations de services électroniques et l'échange électronique de données avec des garanties sur le plan de la sécurité de l'information et de la protection de la vie privée et ce, en étroite concertation avec les instances, autorités externes et les autres intégrateurs de services.

§ 2. En dérogation au paragraphe 1, l'ISF ne soutient pas les prestations de services électroniques et l'échange électronique de données qui sont assurés par un autre intégrateur de services par ou en vertu de la loi, d'un décret ou d'une ordonnance.

L'ISF canalise, en accord avec d'autres intégrateurs de services, l'échange de données tel que visé au paragraphe 1.

§ 3. A défaut de dispositions décrétales ou réglementaires autres, l'ISF n'accorde aucunement, à des personnes ou instances, des droits complémentaires de consultation, de communication ou de tout autre traitement de données en plus des dispositions décrétales et réglementaires applicables.

(1)2016-03-18/17, art. 17, 003; En vigueur : 01-01-2016>

(2)2021-04-02/35, art. 25, 007; En vigueur : 10-05-2021>

CHAPITRE 3. - Missions et fonctionnement de l'ISF

Article 4. Pour l'exécution de son but, l'ISF est chargé des missions suivantes :

1° développer une vision et une stratégie en vue de prestations de services électroniques et d'un échange électronique de données effectifs, efficaces et dûment protégés, tels que visés à l'article 3, et en surveiller le respect;

2° promouvoir et surveiller l'homogénéité et la cohérence de la politique à l'aide de la stratégie, visée au point 1° ;

3° concevoir, développer et gérer une plateforme centrale d'échange de données, qui se compose de services et d'une infrastructure ICT génériques et qui permet, de manière générique, l'échange de données entre les différentes sources de données. Cette plateforme est gérée par des instances ou autorités externes;

4° concevoir, développer et mettre à disposition des services de base utiles afin de soutenir l'échange électronique de données, par exemple un système pour l'organisation et le logging des échanges électroniques de données, un système d'accès électronique aux données, un système pour utilisateurs et gestion de l'accès, un système de datage électronique et un système de codage et d'anonymisation des informations;

5° établir des accords clairs, sur la base d'une répartition des tâches, entre les parties concernées concernant les points suivants :

6° conformément [¹ au règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel]¹, gérer un répertoire de références indiquant les instances auprès desquelles des types déterminés de données sont conservés concernant des personnes, entreprises ou institutions déterminés ou qui fait référence à la source de données où ces données peuvent être consultées ou qui, par personne physique ou entreprise, indique quels types de données sont mis à disposition d'instances ou d'autorités externes déterminées et pour quelle période, avec mention du but pour lequel l'instance ou l'autorité externe a besoin de ces données et gérer un répertoire d'autorisations qui stipule qui a accès, sous quelles conditions, à des données déterminées. L'implémentation du répertoire de références et d'autorisations ne pourra être réalisée qu'après avis de la commission de contrôle flamande;

7° encadrer les instances lors de la mise en oeuvre de la stratégie visée au point 1° ;

8° développer et introduire des normes, standard, spécifications TIC fonctionnels et techniques ainsi qu'une architecture de base qui ont été approuvés par le comité de coordination, visé à l'article 20, afin d'utiliser la TIC de manière efficace à l'appui de la vision et de la stratégie, visées au point 1°, et en vue d'en surveiller le respect;

9° gérer et coordonner les aspects TIC organisationnels, fonctionnels et techniques de l'échange de données;

10° élaborer des programmes, projets et services qui regroupent potentiellement les instances et qui soutiennent la stratégie commune, visée au point 1° ;

11° gérer la Banque-Carrefour enrichie des entreprises, abrégée en BCEE. La BCEE est une source de données où sont enregistrées des données d'identification d'entreprises provenant de la Banque-Carrefour des Entreprises et enrichie de données d'entreprises provenant de différentes sources de données gérées par d'autres instances et autorités externes. Les données enregistrées dans la BCEE sont mises à disposition des instances et autorités externes afin d'exécuter les missions qui leur ont été attribuées par ou en vertu d'une loi, d'un décret ou d'une ordonnance ou pour remplir les tâches d'intérêt général qui leur ont été confiées par ou en vertu d'une loi, d'un décret ou d'une ordonnance. La BCEE est complémentaire à la Banque-Carrefour des Entreprises. La BCEE fournit systématiquement à la Banque-Carrefour des Entreprises et aux sources de données respectives toutes les notifications reçues concernant des données imprécises, incomplètes ou erronées;

12° rassembler et enregistrer électroniquement, au besoin, des données alphanumériques, les gérer et les traiter afin de mettre à la disposition des instances et autorités externes qui ont besoin des données en vue d'exécuter des examens et missions qui leur ont été attribués par ou en vertu d'une loi, d'un décret ou d'une ordonnance ou pour remplir les tâches d'intérêt général qui leur ont été confiées par ou en vertu d'une loi, d'un décret ou d'une ordonnance.

13° organiser la collaboration avec d'autres intégrateurs de services;

14° en tant qu'organisme intermédiaire tel que visé à l'Arrêté Royal du 13 février 2001, portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, recueillir, agréger, coder ou anonymiser et mettre à disposition des données; L'ISF ne pourra conserver les données à caractère personnel traitées dans le cadre de cette mission que pour la durée nécessaire à leur codification ou anonymisation; L'ISF peut cependant conserver le lien entre le numéro d'identification réel d'une personne concernée et le numéro d'identification codé qui lui a été attribué si le destinataire des données à caractère personnel codées en fait la demande d'une façon motivée, [¹ en application de la réglementation sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel applicable à la communication des données à caractère personnel, telle qu'elle est ou sera précisée au niveau fédéral ou flamand, selon le cas]¹;

15° promouvoir le respect de la vision, de la stratégie, des normes, standard et spécifications fonctionnels et techniques, de l'architecture de base ainsi que l'utilisation de la plateforme d'échange de données pour l'échange électronique de données sécurisé et des services de base et la réalisation des programmes et projets par un maximum d'instances.

(1)2018-06-08/04, art. 39, 005; En vigueur : 25-05-2018>

Article 5. L'ISF a, en accord permanent avec les instances et autres intégrateurs de services, comme mission particulière de réaliser l'intégration de processus de traitement de données et, dans ce cadre, l'accès intégré aux données. Pour ce faire, l'ISF est chargé :

1° de recevoir les demandes de consultation des données, enregistrées dans une ou plusieurs sources de données, et les demandes de communication de données, enregistrées dans une ou plusieurs sources de données et d'y donner suite ou de communiquer ces données de manière intégrée;

2° d'élaborer les modes de contrôle technique et organisationnel, par l'ISF, des droits d'accès aux sources de données;

3° de promouvoir et de surveiller l'homogénéité des droits d'accès aux sources de données;

4° d'élaborer et d'introduire les conditions techniques, approuvées par le comité de coordination, mentionné à l'article 20, afin d'ainsi développer les canaux d'accès de la manière la plus efficace et la plus sûre possible;

5° d'élaborer et d'introduire les conditions techniques, approuvées par le comité de coordination, visé à l'article 20, pour la communication entre les sources de données ou entre les sources de données authentiques et les instances;

6° de promouvoir la coordination de la politique de sécurité;

7° d'informer les instances, autorités externes et autres intégrateurs de services des services de l'ISF;

8° de favoriser et d'accompagner la transformation de sources de données en sources de données authentiques.

Article 6. § 1er. Pour le traitement des données en application du présent décret et de ses arrêtés d'exécution, seuls les moyens d'identification suivants seront utilisés :

1° le numéro d'identification du Registre national lorsque les données ont trait à une personne physique reprise dans le Registre national;

2° le numéro d'identification de la Banque-Carrefour de la Sécurité sociale lorsque les données ont trait à une personne physique qui n'est pas reprise dans le Registre national;

3° le numéro d'entreprise lorsque les données ont trait à une entreprise enregistrée à la Banque-Carrefour des Entreprises;

4° l'identificateur, visé à l'article 2, 9°, du décret du 8 mai 2009 relatif au Fichier central d'Adresses de Référence lorsque les données ont trait à des adresses mentionnées à l'article 6 du décret du 8 mai 2009 concernant le Fichier central d'Adresses de Référence;

5° le numéro cadastral de parcelle lorsque les données ont trait à des parcelles;

6° les identificateurs des objets géographiques du " Grootschalig Referentie Bestand (Base de données des références à grande échelle), mentionné au point 4.3 de l'annexe à l'arrêté ministériel du 11 mars 2005 portant approbation des spécifications GRB en exécution du décret du 16 avril 2004 relatif au " Grootschalig Referentie Bestand " lorsque les données ont trait ou font référence à des exemplaires du GRB.

§ 2. Pour les données qui ne relèvent pas de l'application du paragraphe 1, le Gouvernement flamand peut imposer l'utilisation d'autres moyens d'identification.

Article 7. § 1er. Les instances communiquent à l'ISD, par voie électronique, toutes les données électroniquement disponibles dont il a besoin pour exécuter sa mission en qualité d'intégrateur de services.

§ 2. L'ISF communique aux instances, aux autorités externes et aux autres intégrateurs de services, par voie électronique, toutes les données électroniquement disponibles dont ceux-ci ont besoin pour exécuter leurs missions.

§ 3. [¹ Toute communication électronique de données personnelles par ou à la VDI sera effectuée en application de la réglementation sur la protection des personnes physiques à l'égard du traitement des données personnelles qui s'applique à la communication de données personnelles, telle qu'elle est ou sera précisée au niveau fédéral ou flamand, le cas échéant.]¹

§ 4. [¹ Une communication électronique de données personnelles a lieu en application de la réglementation sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel applicable en ce qui concerne la communication de données à caractère personnel, telle qu'elle est ou sera spécifiée au niveau fédéral ou flamand, le cas échéant]¹

(1)2018-06-08/04, art. 40, 005; En vigueur : 25-05-2018>

Article 8. L'ISF examine, pour chaque requête de consultation ou de communication de données, si le demandeur et la requête concernée satisfont aux règles spécifiques relatives aux conditions d'application à la consultation ou à la communication de données déterminées pour la source de données concernée ou pour la source de données authentique comme fixées par la source de données concernée ou la source de données authentique.

Article 9. Le recours à l'ISF ne confère en aucune manière à un demandeur le droit de consulter ou de se voir communiquer des données qu'il ne pourrait pas obtenir en consultant directement les sources de données distinctes ou des sources de données authentiques, compte tenu des dispositions légales, décrétales et réglementaires applicables aux données en question.

Article 10. En accord permanent avec les instances, l'ISF peut pourvoir à des fonctions qui débouchent sur l'intégration de services proposés par une ou plusieurs sources de données ou sources de données authentiques.

Article 11. § 1er. Les fonctions qui débouchent sur l'intégration de services proposés par une ou plusieurs sources de données ou sources de données authentiques ne peuvent en aucune manière avoir pour effet que le demandeur reçoit des informations qu'il n'est pas en droit d'obtenir compte tenu des dispositions légales, décrétales et réglementaires.

§ 2. Les fonctions qui débouchent sur l'intégration de services peuvent utiliser des données que le demandeur en soi ne peut pas consulter ou qui ne peuvent pas lui être communiquées si :

1° les règles spécifiques relatives aux conditions de consultation ou de communication de certaines données pour la source de données concernée ou la source de données authentique le permettent expressément;

2° le résultat d'intégration ne permet pas d'obtenir, explicitement ou implicitement, des données ou informations que le demandeur n'est pas en droit d'obtenir conformément au paragraphe 1 ou de les déduire;

3° l'utilisation de telles données est nécessaire pour arriver au résultat d'intégration.

Article 12. L'ISF prévoit des moyens appropriés permettant à un demandeur de pouvoir consulter ses données ou de se voir communiquer des données par le biais de l'ISF, en son nom propre ou pour le compte d'une autre personne.