Legalize8 MAI 2014. - Ordonnance portant création et organisation d'un intégrateur de services régional
CHAPITRE 1er. - Dispositions générales
Article 1er. La présente ordonnance règle une matière visée à l'article 39 de la Constitution.
Article 2. Pour l'application de la présente ordonnance, on entend par :
1° " intégrateur de services " : une institution qui, par ou en vertu d'un traité, d'un règlement, d'une directive, d'une loi, d'un décret ou d'une ordonnance, est chargée de l'intégration de services à un niveau de pouvoir ou dans un secteur déterminé;
2° " intégration de services " : l'organisation d'échanges mutuels de données électroniques entre les services publics participants entre eux et entre les services publics participants et les intégrateurs de services, ainsi que la mise à disposition intégrée de ces données;
3° " donnée " : information électronique présentée de manière appropriée au traitement au sens de la présente ordonnance;
4° " donnée intégrée " : information électronique issue d'une combinaison de données et traitée par l'intégrateur de services selon une procédure préétablie;
5° " banque de données " : ensemble ordonné de données;
6° " donnée authentique " : donnée récoltée et gérée par un service public participant dans une base de données et qui fait foi comme donnée unique et originale concernant la personne ou le fait de droit concerné, de sorte que d'autres instances ne doivent plus collecter cette même donnée;
7° " source authentique " : banque de données dans laquelle sont conservées des données authentiques.
La source authentique doit notamment être :
- complète;
- utile;
- garantir une qualité de l'information;
- correcte et actualisée (mise à jour);
- accessible gratuitement en ce qui concerne les sources authentiques régionales;
8° " réseau " : l'ensemble des banques de données, sources authentiques, systèmes informatiques et connexions réseau des services publics participants et de l'intégrateur de services régional;
9° " banque de règles " : l'ensemble des règles fixant pour la banque de données ou la source authentique, les conditions de consultation ou de communication des données, créées et gérées par l'intégrateur de services;
10° " service public participant " : tous les services décentralisés personnalisés, les établissements publics, les entreprises publiques, les organes et les personnes morales de droit public, qui ont été créés par ou qui dépendent de la Région de Bruxelles-Capitale, ainsi que les intercommunales de la Région de Bruxelles-Capitale; par défaut et sans préjudice d'une réglementation qui imposerait le recours à un autre intégrateur de services, les centres publics d'action sociale, les hôpitaux publics, la faîtière IRIS et IRIS Achats, ainsi que toute autre institution qui le souhaite, qui mettent une ou plusieurs sources authentiques ou banques de données à disposition de l'intégrateur de services régional ou qui collectent ou consultent des données via celui-ci;
11° " répertoire de références " : inventaire :
indiquant les services publics participants auprès desquels des types déterminés de données sont conservés concernant des personnes physiques ou des entreprises déterminées;
faisant référence à la banque de données où ces données peuvent être consultées;
et qui, par personne physique ou entreprise, indique quels types de données sont mis à disposition d'un service public participant déterminé et pour quelle période, avec mention du but pour lequel le service public participant concerné a besoin de ces données;
12° " personne " : une personne physique, une personne morale ou une association, dotée ou non de la personnalité juridique;
13° " UrbiS " : Brussels UrbIS est la base de données de cartographie numérique de référence à grande échelle du territoire de la Région de Bruxelles-Capitale;
14° " les fonctions dirigeantes " :
- les fonctionnaires dirigeants;
- les secrétaires généraux;
- les directeurs généraux;
- les administrateurs généraux;
- les administrateurs délégués.
Article 3. La présente ordonnance s'applique à tout échange de données issu de source authentiques de données, de banques de données issues de sources authentiques ou de sources authentiques externes et tous autres flux de données, dans les limites des compétences de la Région de Bruxelles-Capitale.
Article 4. Dans l'exercice de leurs compétences, les services publics participants respectent la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel dans ses exigences et ses arrêtés d'exécution, parmi lesquels le principe de nécessité, de finalité, de légitimité, de proportionnalité, de licéité ainsi que le principe de transparence.
CHAPITRE 2. - Les sources authentiques et les banques de données issues de sources authentiques
Article 5. § 1er. Sans préjudice des sources authentiques reconnues à d'autres niveaux de pouvoirs, le Gouvernement de la Région de Bruxelles-Capitale, sur proposition de l'intégrateur de services régional incluant l'avis du service compétent pour la simplification administrative, désigne par arrêté les sources authentiques régionales et les services publics participants chargés de leur collecte, leur mise à jour et leur mise à disposition.
L'arrêté de désignation indique notamment, pour chaque source authentique :
1° l'identité du service public participant gestionnaire de la source authentique chargé de la collecte et du stockage des données authentiques;
2° les modalités selon lesquelles seront tenues à jour et rendues accessibles les données dont l'enregistrement est confié au gestionnaire de la source authentique, outre les obligations auxquelles il est tenu en vertu de la loi;
3° la ou les finalité(s) poursuivie(s) par la source authentique dans la collecte des données qu'elle traite;
4° la liste des données contenues dans la source authentique.
Tout arrêté de désignation d'une source authentique est soumis au préalable, pour avis, à la Commission de contrôle bruxelloise.
§ 2. Les banques de données issues de sources authentiques ne peuvent être établies que par ordonnance.
L'ordonnance indique notamment, pour chaque banque de données issues de sources authentiques :
1° l'identité du service public participant gestionnaire de la banque de données issues de sources authentiques, chargé de la collecte et du stockage des données authentiques;
2° les modalités selon lesquelles seront tenues à jour et rendues accessibles les données dont l'enregistrement est confié au gestionnaire de la source authentique, outre les obligations auxquelles il est tenu en vertu de la loi;
3° la ou les finalité(s) poursuivie(s) par la banque de données issues de sources authentiques dans la collecte des données issues de sources authentiques qu'elle traite;
4° la liste tant des données issues de sources authentiques que des sources authentiques dont elles sont issues ou des liens entre des données issues de sources authentiques.
Toute ordonnance établissant une banque de données issues de sources authentiques est soumise au préalable, pour avis, à la Commission de contrôle bruxelloise.
Les services publics participants feront appel à l'intégrateur de services régional afin que celui-ci approuve les modalités de stockage des données dont ils ont la charge.
L'intégrateur de services régional ne porte en aucun cas préjudice à la compétence d'un service public participant relative à la gestion de la source authentique ou de la banque de données issues de sources authentiques, ni à la propriété des données.
§ 3. Les services publics participants qui sont autorisés à consulter des données authentiques via l'intégrateur de services régional ne peuvent plus réclamer directement ces données à d'autres services publics participants ou à des personnes, organismes ou institutions.
Dès qu'une donnée est accessible par le biais de l'intégrateur de services régional, les services publics participants sont obligés de passer par lui pour une telle utilisation, sauf exception fixée par ou en vertu d'une loi ou d'une ordonnance.
Le Gouvernement de la Région de Bruxelles-Capitale peut suspendre pour des raisons techniques ou organisationnelles, et pour tous ou certains services publics participants uniquement, l'application du présent paragraphe pour une période transitoire qui ne peut excéder cinq ans maximum à dater de la désignation de la source authentique, afin de permettre aux services publics participants de s'y connecter de manière effective.
Article 6. § 1er. Chaque service public participant gestionnaire de source authentique ou de banque de données issues de sources authentiques met en place, outre les obligations découlant de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, avec l'aide de l'intégrateur de services régional, des moyens techniques offrant aux personnes concernées la possibilité, par voie électronique :
1° de consulter les données à caractère personnel les concernant conservées dans cette source authentique, lorsque ces données sont disponibles sous forme électronique;
2° de demander la rectification des données à caractère personnel les concernant qui seraient imprécises, incomplètes ou inexactes;
3° de connaître quels services publics participants, quels organismes ou quelles personnes ont, au cours des six mois écoulés, consulté ou mis à jour les données personnelles les concernant, à l'exception des autorités administratives et judiciaires ou des services chargés de la surveillance ou de la recherche ou des poursuites ou de la répression des délits, de la police fédérale, de la police locale, du Comité permanent de contrôle des services de police et du Comité permanent de contrôle des services de renseignements ainsi que de leur service d'enquêtes respectif, de l'Organe de coordination pour l'analyse de la menace, de l'Inspection générale de la police fédérale et de la police locale, de la Sûreté de l'Etat et du Service Général du Renseignement et de la Sécurité.
§ 2. Le Gouvernement de la Région de Bruxelles-Capitale, sur proposition de l'intégrateur de services régional, détermine les moyens techniques nécessaires à la mise en oeuvre des droits de consultation et de rectification ainsi que le régime auquel est soumise la prise de connaissance, visée au paragraphe 1er.
Article 7. § 1er. Outre les obligations énoncées à l'article 4, le service public participant, gestionnaire de sources authentiques ou de banques de données issues de sources authentiques, est soumis aux obligations suivantes :
1° assurer à tout moment, entre autres, la qualité des données ainsi que leur sécurité, tant au niveau technique qu'organisationnel, nécessaires au respect de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;
2° collaborer avec la Commission de contrôle bruxelloise, en lui fournissant les informations dont elle a besoin pour l'exercice de ses missions et en lui autorisant l'accès aux dossiers et systèmes de traitement d'information dès que la Commission de contrôle le sollicite;
3° tenir un historique des données, pour autant que cela soit nécessaire eu égard aux finalités avancées.
§ 2. Si le destinataire des données constate que les données sont imprécises, incomplètes ou inexactes, il est tenu de le communiquer immédiatement au service public participant gestionnaire de sources authentiques, ou au service public gestionnaire de la banque de données issues de sources authentiques, qui a l'obligation d'y donner suite.
Le Gouvernement détermine les modalités de cette communication et l'obligation de suite à lui réserver.
CHAPITRE 3. - Intégrateur de services régional
Section 1re. - Création de l'intégrateur de services régional
Article 8. Le Centre d'Informatique pour la Région Bruxelloise (ci-après CIRB) est désigné comme intégrateur de services régional.
Son champ d'action comprend :
- tous les services décentralisés personnalisés, les établissements publics, les entreprises publiques, les organes et les personnes morales de droit public, qui ont été créés par ou qui dépendent de la Région de Bruxelles-Capitale, les intercommunales de la Région de Bruxelles-Capitale;
- par défaut, et sans préjudice d'une réglementation qui imposerait le recours à un autre intégrateur de services, les centres publics d'action sociale, les hôpitaux publics, la faîtière IRIS et IRIS Achats;
- et enfin, toute autre institution qui le souhaite.
Section 2. - Missions de l'intégrateur de services régional
Article 9. L'intégrateur de services régional a pour mission l'organisation d'échanges mutuels de données électroniques entre les services publics participants entre eux et entre les services publics participants et les intégrateurs de services, ainsi que la mise à disposition intégrée de ces données. A cet effet, l'intégrateur de services régional :
1° reçoit et donne, s'il y a lieu, suite aux demandes de consultation et de communication des données enregistrées dans une ou plusieurs banque(s) de données ou procède à la communication intégrée de ces données;
2° élabore les modes de contrôle technique et organisationnel des droits d'accès aux banques de données ainsi que la banque de règles;
3° promeut et veille à l'homogénéité des droits d'accès aux banques de données;
4° élabore les modalités techniques visant à développer les canaux d'accès de la manière la plus efficace et la plus sûre possible;
5° élabore, selon les normes, les standards techniques et fonctionnels ainsi que l'architecture de base approuvés par le comité de coordination, les modalités techniques relatives à la communication entre les banques de données ou les sources authentiques;
6° promeut une politique de sécurité coordonnée pour le réseau;
7° promeut et encadre le remodelage de banques de données en sources authentiques;
8° développe pour les services publics participants des applications utiles à l'échange et/ou l'intégration de données conservées dans les banques de données;
9° organise la collaboration avec d'autres intégrateurs de services;
10° conformément à la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, crée et gère un répertoire de références et une banque de règles qui stipule qui a accès, sous quelles conditions, à des données déterminées. L'implémentation du répertoire de références et de la banque de règles ne pourra être réalisée qu'après avis de la Commission de contrôle bruxelloise.
Dans ce cadre, et après approbation du comité de coordination, l'intégrateur de services régional arrête :
qui effectue quels authentifications, vérifications et contrôles, à l'aide de quels moyens, et en assume la responsabilité;
la manière dont les résultats des authentifications, les vérifications et les contrôles exécutés font l'objet d'un échange et d'une conservation électroniques sécurisés entre les parties concernées;
qui tient à jour des fichiers journaux déterminés.
L'intégrateur de services veille, dans le cadre d'un examen, à l'initiative d'une personne ou d'un organe de contrôle concerné ou à la suite d'une plainte, à ce qu'une reconstitution complète puisse avoir lieu concernant quelle personne physique a utilisé une donnée déterminée concernant une personne physique ou une entreprise déterminées et quand, par le biais de quel canal et à quelles fins.
L'intégrateur de services déterminera, après avis de la Commission de contrôle bruxelloise, le délai de conservation (fixé à un minimum de dix ans) de toutes ces informations, ainsi que les moyens dont disposeront les ayants droit pour y accéder.
Article 10. § 1er. Pour le traitement des données en application de la présente ordonnance et de ses arrêtés d'exécution, seront uniquement utilisés, les moyens d'identification suivants :
1° le numéro d'identification du Registre national lorsque les données ont trait à une personne physique reprise dans le Registre national;
2° le numéro d'identification de la Banque Carrefour de la Sécurité sociale lorsque les données ont trait à une personne physique qui n'est pas reprise dans le Registre national;
3° le numéro d'entreprise lorsque les données ont trait à une entreprise enregistrée à la Banque-Carrefour des Entreprises;
4° le numéro d'identification des parcelles cadastrales;
5° les identifiants repris dans les bases de données UrbiS concernant toutes les données à caractère géographique relatives au territoire bruxellois.
§ 2. Pour les données qui ne relèvent pas de l'application du paragraphe 1er, le Gouvernement de la Région de Bruxelles-Capitale peut imposer l'utilisation d'autres moyens d'identification.
Article 11. L'intégrateur de services régional est le relais obligatoire entre les services publics participants entre eux et entre les services publics participants et les autres intégrateurs de services.
Article 12. Toute communication électronique de données à caractère personnel par l'intégrateur de services régional ou à l'intégrateur de services régional requiert une autorisation préalable de la Commission de contrôle bruxelloise ou du comité sectoriel compétent au sein de la Commission de la protection de la vie privée, à moins que cette communication électronique ne soit autorisée ou soit exemptée d'autorisation par ou en vertu d'une disposition légale.
Article 13. L'intégrateur de services régional peut agir en tant que sous-traitant, au sens de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, des services publics participants concernés dans le cadre de la mutualisation des services régionaux, notamment, en matière de vidéosurveillance et ce, sans préjudice des compétences de la Commission de la protection de la vie privée en la matière.
CHAPITRE 4. - Fonctionnement de l'intégrateur de services régional
Article 14. § 1er. Les services publics participants et les intégrateurs de services communiquent par voie électronique à l'intégrateur de services régional toute donnée électronique disponible dont celui-ci a besoin pour l'exécution de sa mission d'intégration de services.
§ 2. L'intégrateur de services régional communique par voie électronique aux services publics participants et aux autres intégrateurs de services toute donnée électronique disponible dont ils ont besoin pour l'exécution de leurs missions, pour autant qu'ils disposent à cette fin des autorisations nécessaires.
La consultation de ce document ne se substitue pas à la lecture du Moniteur belge correspondant. Nous déclinons toute responsabilité pour d'éventuelles inexactitudes résultant de la transcription de l'original dans ce format.