3 DECEMBRE 2017. - Loi portant création de l'Autorité de protection des données(NOTE : Consultation des versions antérieures à partir du 10-01-2018 et mise à jour au 01-03-2024)

CHAPITRE 1er. - Disposition introductives

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

Article 2. Pour l'application de la présente loi, on entend par:

1° "l'Autorité de protection des données": l'Autorité de contrôle des traitements de données à caractère personnel;

2° "le Règlement 2016/679": le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE;

3° "système informatique": tout système de traitement de données;

4° "inspecteur": fonctionnaire statutaire ou contractuel de l'Autorité de protection des données chargé de constater les infractions à la présente loi et aux lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel.

CHAPITRE 2. - L'Autorité de protection des données

Article 3. Il est institué auprès de la Chambre des représentants une "Autorité de protection des données".

Elle succède à la Commission de la protection de la vie privée.

Elle a la personnalité juridique. Son siège est établi dans l'arrondissement administratif de Bruxelles-Capitale.

Article 4. § 1er. L'Autorité de protection des données est responsable du contrôle du respect des principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel.

Sans préjudice des compétences des Gouvernements de communauté et de région, des Parlements de communauté et de région, du Collège réuni et de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux Institutions bruxelloises, l'Autorité de protection des données exerce cette mission, indépendamment du droit national applicable au traitement concerné, sur l'ensemble du territoire du Royaume.

§ 2. Le contrôle organisé par la présente loi ne porte pas sur les traitements effectués par les cours et tribunaux ainsi que le ministère public dans l'exercice de leur fonction juridictionnelle.

[¹ L'Autorité de protection des données est l'autorité de contrôle compétente lorsqu'aucune autre loi n'en dispose autrement.]¹

[¹ Sans préjudice de la présente loi et de la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel du 30 juillet 2018, aucune autre loi ne peut créer une autorité disposant des pouvoirs et des compétences attribués par le Règlement à une autorité de protection des données.]¹

A l'égard des services de police au sens de l'article 2,2°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux, les compétences, missions et pouvoirs d'autorité de contrôle tels que prévus par le Règlement 2016/679 sont exercés par l'Organe de contrôle de l'information policière visé à l'article 44/6, § 1er, de la loi du 5 août 1992 sur la fonction de police.

§ 3. Toute décision juridiquement contraignante de l'Autorité de protection des données est datée, signée et motivée, et fait référence aux recours qui peuvent être introduits contre la décision.

---

(1)2018-07-30/46, art. 276, 004; En vigueur : 05-09-2018>

Article 5. L'Autorité de protection des données exécute ses missions exclusivement dans l'intérêt général.

Les membres de ses organes et les membres de son personnel n'encourent aucune responsabilité civile en raison de leurs décisions, actes ou comportements dans l'exercice des missions légales de l'Autorité de protection des données sauf dans les cas prévus par la loi.

Article 6. L'autorité de protection des données a le pouvoir de porter toute infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel, à l'attention des autorités judiciaires et, le cas échéant, d'ester en justice en vue de voir appliquer ces principes fondamentaux.

Article 7. L'Autorité de protection des données est composée de six organes:

1° un comité de direction;

2° un secrétariat général;

3° un service de première ligne;

4° un centre de connaissances;

5° un service d'inspection;

6° une chambre contentieuse.

L'Autorité de protection des données peut se faire assister par des experts dans l'accomplissement de ses missions.

Article 8. L'Autorité de protection des données s'adjoint un conseil de réflexion indépendant.

Section 1re. - Le comité de direction

Article 9. Le comité de direction:

1° approuve les comptes annuels et décide le budget annuel, le rapport annuel, le plan stratégique et le plan de management, y compris les priorités annuelles de l'Autorité de protection des données;

2° détermine les indicateurs d'évaluation relatifs à l'exécution du rapport annuel, du plan stratégique et du plan de management;

3° décide de l'organisation interne et de la composition de l'Autorité de protection des données, y compris la mobilité interne du personnel entre les organes;

4° décide du modèle de la carte de légitimation visée à l'article 31, alinéa 2.

Le comité de direction demande l'avis du conseil de réflexion sur son plan stratégique et sur les indicateurs d'évaluation mentionnés à l'alinéa 1er, 2°, et le met en même temps à la disposition du public à des fins de consultation pendant au moins deux semaines.

Article 10. Le comité de direction suit les évolutions dans les domaines technologiques, commerciaux et autres qui ont une incidence sur la protection des données à caractère personnel.

A ces fins le comité de direction peut demander des avis au conseil de réflexion.

Article 11. Le comité de direction établit le règlement d'ordre intérieur de l'Autorité de protection des données dans les deux mois de son installation.

Ce règlement contient les règles essentielles relatives au fonctionnement des organes ainsi que les délais dans lesquels les informations, avis et approbations visés à l'article 20, § 1er, doivent être fournis.

Le comité de direction soumet le règlement d'ordre intérieur ainsi que les modifications ultérieures au règlement pour approbation à la Chambre des représentants.

Article 12. Le comité de direction est composé du directeur du secrétariat général, du directeur du centre de connaissances, du directeur du service de première ligne, de l'inspecteur général et du président de la chambre contentieuse.

Les membres du comité de direction exercent leurs fonctions à temps plein.

Ils prêtent le serment suivant dans les mains du président de la Chambre des représentants: "Je jure fidélité au Roi, obéissance à la Constitution et aux lois du peuple belge".

Article 13. § 1er. Le comité de direction est présidé par le président de l'Autorité de protection des données.

En cas d'empêchement du président, le comité de direction est présidé par le membre présent le plus âgé du comité de direction, à l'exception du président de la chambre contentieuse.

§ 2. La fonction de président de l'Autorité de protection des données est assurée alternativement par le directeur du secrétariat général durant les trois premières années d'un mandat et par le directeur du centre de connaissances pour la seconde moitié du mandat.

§ 3. Le président de l'Autorité de protection des données est assisté dans l'exécution de ses tâches par le secrétariat général.

Article 14. Le comité de direction se réunit sur demande de l'un de ses membres et au minimum une fois par mois.

Article 15. Le comité de direction ne peut décider que si la majorité de ses membres sont présents.

Le vote peut avoir lieu par voie électronique.

A défaut de consensus, une décision est prise dès lors qu'une majorité de l'ensemble du comité de direction vote favorablement.

Article 16. Il est dressé procès-verbal des délibérations du comité de direction. Les procès-verbaux sont signés par le président.

Les décisions du comité de direction prévues à l'article 9, 1° en 4° sont publiées sur le site internet de l'Autorité de protection des données.

Article 17. Le président de l'Autorité de protection des données:

1° assure la coopération et la coordination entre les différents organes de l'Autorité de protection des données;

2° prépare le budget annuel, les comptes annuels, le rapport annuel, le plan stratégique, le plan de gestion, y compris les priorités annuelles de l'Autorité de protection des données;

3° gère l'organisation et la composition internes de l'Autorité de protection des données;

4° représente l'Autorité de protection des données.

Le plan de management contient des accords relatifs aux objectifs de l'Autorité de protection des données et aux moyens nécessaires pour ce faire.

Article 18. Le président du comité de direction et, en son absence, le membre présent le plus âgé du comité de direction, à l'exception du président de la chambre contentieuse, représente l'Autorité de protection des données en justice.

[¹ La décision d'agir en droit au nom de l'Autorité de protection des données est prise par le comité de direction.]¹

---

(1)2018-07-30/46, art. 277, 004; En vigueur : 05-09-2018>

Section 2. - Le secrétariat général

Article 19. Le secrétariat général a pour tâches horizontales d'appui de:

1° gérer les questions relatives aux ressources humaines, au budget et à l'informatique de l'Autorité de protection des données;

2° gérer toute question juridique relative à la gestion et au fonctionnement de l'Autorité de protection des données;

3° gérer la communication interne et externe.

Article 20. § 1er. Le secrétariat général a également pour tâches exécutives de:

1° surveiller les développements sociaux, économiques et technologiques qui ont un impact sur la protection des données à caractère personnel;

2° établir la liste des traitements qui requièrent une analyse d'impact relative à la protection des données;

3° formuler des avis dans le cadre d'une analyse d'impact relative à la protection des données à un responsable du traitement dans le cadre d'une consultation par le responsable du traitement de l'Autorité de protection des données;

4° approuver les codes de conduite ;

5° promouvoir l'introduction de mécanismes de certification et approuver les critères de certification;

6° établir et faire connaître les critères pour l'agrément d'un organe de contrôle des codes de conduite, sur la base de l'article 41 du Règlement 2016/679 et d'un organe de certification sur la base de l'article 43 du Règlement 2016/679;

7° veiller à l'agrément d'un organe de contrôle des codes de conduite, sur la base de l'article 41 du Règlement 2016/679;

8° approuver les clauses contractuelles types et les règles d'entreprises contraignantes.

§ 2. Les tâches mentionnées dans le paragraphe 1er, 4° à 8°, sont exécutées conformément à la réglementation européenne et internationale en vigueur.

Article 21. Le secrétariat général est dirigé par le directeur du secrétariat général.

Section 3. - Le service de première ligne

Article 22. § 1er. Le service de première ligne:

1° reçoit les plaintes et demandes adressées à l'Autorité de protection des données;

2° peut lancer une procédure de médiation;

3° promeut la protection des données auprès du public, en accordant une attention spécifique aux mineurs;

4° promeut auprès des responsables de traitement et des sous-traitants la prise de conscience de leurs obligations;

5° fournit des informations relatives à l'exercice de leurs droits aux personnes concernées.

§ 2. Le service de première ligne est dirigé par le directeur du service de première ligne.

Section 4. - Le centre de connaissances

Article 23. § 1er. Le centre de connaissances émet soit d'initiative, soit sur demande du gouvernement, des Chambres législatives, des Gouvernements de communauté ou de région, des Parlements de communauté ou de région, du Collège réuni ou de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloises:

1° des avis sur toute question relative aux traitements de données à caractère personnel;

2° des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel.

§ 2. Dans ses avis et recommandations, le centre de connaissances tient compte des mesures de sécurité techniques et organisationnelles nécessaires.

Article 24. Le centre de connaissances est composé de six membres et du directeur du centre de connaissances.

A l'initiative de son directeur, le centre de connaissances se réunit en plénière.

Dans l'exercice de ses missions, le centre de connaissances est assisté par un secrétariat.

Article 25. Le centre de connaissances ne peut statuer que si la majorité de ses membres sont présents.

Le vote peut avoir lieu par voie électronique.

Les décisions sont adoptées à la majorité des voix.

En cas de parité des voix, la voix du directeur est prépondérante.

Article 26. § 1er. Toute demande d'avis est introduite auprès de l'Autorité de protection des données par envoi recommandé ou au moyen du formulaire en ligne disponible sur le site internet de l'Autorité de protection des données.

Sauf si la loi en dispose autrement, le centre de connaissances rend son avis dans les soixante jours après communication à l'Autorité de protection des données de toutes les informations nécessaires à cet effet. Si l'avis de l'Autorité de protection des données est requis par ou en vertu d'une loi, d'un décret ou d'une ordonnance, le directeur du centre de connaissances peut réduire le délai de soixante jours à quinze jours dans les cas d'urgence spécialement motivés.

§ 2. Dans les cas où l'avis de l'Autorité de protection des données est requis par ou en vertu d'une loi, d'un décret ou d'une ordonnance, il peut être passé outre cette exigence lorsque l'avis n'a pas été rendu dans les délais visés au paragraphe 1er, alinéa 2.

Article 27. § 1er. Les avis sont écrits et motivés.

Ils sont communiqués à l'autorité concernée.

Le membre du gouvernement ayant la protection de la vie privée dans ses attributions et la Chambre des représentants reçoivent une copie électronique de chaque avis et recommandation.

§ 2. Dans les cas où l'avis de l'Autorité de protection des données est requis par ou en vertu d'une loi, d'un décret ou d'une ordonnance, l'avis doit être publié au Moniteur belge en même temps que l'acte réglementaire auquel il se rapporte.

Les avis et les recommandations sont publiés sur le site internet de l'Autorité de protection des données.

Section 5. - Le service d'inspection

Article 28. Le service d'inspection est l'organe d'enquête de l'Autorité de protection des données.

Article 29. Le service d'inspection est dirigé par l'inspecteur général et composé d'inspecteurs.

Dans l'exercice de ses missions le service d'inspection est assisté par un secrétariat.

En cas d'absence ou d'empêchement, l'inspecteur général est remplacé par l'inspecteur le plus ancien ou, en cas de parité d'ancienneté, par le plus âgé.

Article 30. § 1er. Les inspecteurs prêtent le serment suivant dans les mains de l'inspecteur général: "Je jure fidélité au Roi, obéissance à la Constitution et aux lois du peuple belge."

§ 2. Le règlement d'ordre intérieur de l'Autorité de protection des données mentionne les profils de fonction et les compétences requises des inspecteurs.

Article 31. Dans l'exécution de leurs missions, l'inspecteur général et les inspecteurs doivent être en possession de la carte de légitimation de leur fonction qu'ils doivent immédiatement produire sur demande.

Le comité de direction établit le modèle de cette carte de légitimation.

Section 6. - La chambre contentieuse

Article 32. La chambre contentieuse est l'organe contentieux administratif de l'Autorité de protection des données.

Article 33. § 1er. La chambre contentieuse est composée d'un président et de six membres dont:

1° deux membres possédant des connaissances approfondies dans le domaine de la protection des données à caractère personnel;

2° deux membres possédant des connaissances approfondies dans le domaine des procédures contentieuses administratives;

3° deux membres possédant des connaissances approfondies dans le domaine de la sécurité des informations et des technologies de l'information et de la communication.

Le président de la chambre contentieuse possède en tout cas une connaissance approfondie dans le domaine des procédures contentieuses administratives.

Le président ou l'un des membres de la chambre contentieuse tient séance en tant que membre unique à moins que le président de la chambre contentieuse ne décide de siéger avec trois membres conformément aux dispositions du règlement d'ordre intérieur.

§ 2. Pour le reste, le règlement d'ordre intérieur précise tout ce qui concerne la composition de la chambre contentieuse lors des séances et les méthodes de travail.

Article 34. Dans l'exercice de ses missions la chambre contentieuse est assistée par un secrétariat, qui assure également le rôle de greffe.

Section 7. - Le conseil de réflexion

Article 35. Le conseil de réflexion émet, d'initiative ou à la demande du comité de direction ou du centre de connaissances, des avis non contraignants à l'intention de l'Autorité de protection des données sur tous sujets relatifs à la protection des données à caractère personnel.

La Chambre des représentants détermine la composition du conseil de réflexion et en désigne les membres.

Les membres du conseil de réflexion ne font pas partie de l'Autorité de protection des données.

CHAPITRE 3. - Nomination des membres du comité de direction, des membres du centre de connaissances et des membres de la chambre contentieuse

Section 1re. - Conditions générales de nomination

Article 36. § 1er. Les membres du comité de direction, les membres du centre de connaissances et les membres de la chambre contentieuse sont nommés sur la base de leur compétence et expérience en matière de protection des données à caractère personnel, de leur indépendance et de leur autorité morale.

§ 2. Les membres du comité de direction doivent être titulaires d'un diplôme leur donnant accès à une fonction de niveau A.

Les membres du comité de direction doivent avoir une connaissance fonctionnelle de la deuxième langue nationale et de l'anglais. Au moins un membre du comité de direction doit aussi posséder une connaissance fonctionnelle de l'allemand.

§ 3. Le profil de l'ensemble des membres du comité de direction et des membres du centre de connaissances et de la chambre contentieuse doit permettre à l'Autorité de protection des données de répondre aux défis juridiques, économiques, éthiques et technologiques de l'évolution de la société numérique.

Article 37. Les membres du comité de direction, les membres du centre de connaissances et les membres de la chambre contentieuse sont nommés pour un terme de six ans, renouvelable une fois.