Legalize
Legalize / Belgique / Décret

8 JUIN 2018. - Décret contenant l'ajustement des décrets au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (NOTE : confirmé avec effet à la date de son entrée en vigueur par DCFL 2020-07-03/16, art. 2)

Type Décret
Publication 2018-06-26
État Abrogée
Département Autorité flamande
Source Justel
articles 34
Historique des réformes JSON API

CHAPITRE 1. - Disposition préliminaire

Article 1er. Le présent décret règle une matière communautaire et régionale.
Article 2. Ce décret prévoit l'exécution partielle du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

CHAPITRE 2. - Dispositions modificatives

Section 1re. - Modifications de la réglementation du domaine politique de la Chancellerie et de la Gouvernance publique

Sous-section 1re. - Modification du décret du 2 mars 1999 autorisant la participation à une société coopérative à responsabilité limitée chargée de l'exécution des tâches relatives au recrutement et à la sélection des fonctionnaires

Article 3. Un quatrième à neuvième alinéas sont ajoutés à l'article 5ter, § 3, du décret du 2 mars 1999 autorisant la participation à une société coopérative à responsabilité limitée compétente pour l'exécution des tâches relatives au recrutement et à la sélection des fonctionnaires, inséré par le décret du 29 mai 2015, comme suit :

" Conformément à l'article 23, paragraphe 1, e) et h) du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données), Audit Vlaanderen peut décider que les obligations et droits, visés aux articles 12 à 22 du règlement précité ne s'appliquent pas au traitement de données à caractère personnel dans le cadre d'une enquête concernant une personne physique déterminée, si les conditions énoncées aux alinéas 5 à 9 sont remplies.

La possibilité visée au quatrième alinéa ne s'applique que pendant la période au cours de laquelle la personne concernée fait l'objet d'une inspection, d'une enquête ou des activités préparatoires s'y rapportant, dans le cadre des missions légales et réglementaires d'Audit Vlaanderen, et à condition qu'il soit ou puisse être nécessaire pour le bon déroulement de l'enquête que les obligations et les droits visés aux articles 12 à 22 des statuts précités ne soient pas appliqués.

Audit Vlaanderen justifie, le cas échéant, la décision visée au quatrième alinéa à la demande de l'autorité de contrôle compétente dans le domaine de la protection des données.

Une fois l'enquête terminée, les droits énoncés aux articles 13 à 22 du règlement précité sont, le cas échéant, appliqués à nouveau conformément à l'article 12 du règlement précité.

Si un dossier contenant des données personnelles visées au quatrième alinéa a été transmis au ministère public et peut conduire à des activités sous la direction du ministère public ou d'un juge d'instruction, et s'il existe une incertitude quant au secret de l'enquête sous la direction du ministère public ou d'un juge d'instruction, Audit Vlaanderen ne peut répondre à la demande de la personne concernée conformément aux articles 12 à 22 du règlement précité qu'après que le ministère public ou, le cas échéant, le juge d'instruction a confirmé à Audit Vlaanderen qu'une réponse ne met pas en péril ou pourrait mettre en péril l'enquête.

Si, dans le cas visé au quatrième alinéa, la personne concernée soumet une demande sur la base des articles 12 à 22 du règlement susmentionné pendant la période visée au cinquième alinéa, Audit Vlaanderen renvoie la personne concernée à l'autorité de contrôle compétente dans le domaine de la protection des données. L'autorité de contrôle compétente en matière de protection des données informe uniquement la personne concernée que les vérifications nécessaires ont été effectuées. "

Sous-section 2. - Modification du décret-cadre sur la politique administrative du 18 juillet 2003

Article 4. A l'article 34, § 2, du décret-cadre sur la politique administrative du 18 juillet 2003, remplacé par le décret du 5 juillet 2013, un deuxième à septième alinéas sont ajoutés, libellés comme suit :

" Conformément à l'article 23, alinéa premier, e) et h) du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données), Audit Vlaanderen peut décider que les obligations et droits, visés aux articles 12 à 22 du règlement susmentionné, ne s'appliquent pas au traitement de données à caractère personnel dans le cadre d'une enquête concernant une personne physique déterminée, si les conditions énoncées aux alinéas 3 à 7 inclus sont remplies.

La possibilité visée au deuxième alinéa ne s'applique que pendant la période au cours de laquelle la personne concernée fait l'objet d'une inspection, d'une enquête ou des activités préparatoires y afférentes, dans le cadre des missions légales et réglementaires d'Audit Vlaanderen, et à condition qu'il soit ou puisse être nécessaire pour le bon déroulement de l'enquête que les obligations et droits visés aux articles 12 à 22 du règlement précité ne soient pas appliqués.

Audit Vlaanderen justifie, le cas échéant, la décision visée au deuxième alinéa à la demande de l'autorité de contrôle compétente dans le domaine de la protection des données.

Une fois l'enquête terminée, les obligations et droits visés aux articles 13 à 22 du règlement précité sont, le cas échéant, appliqués à nouveau conformément à l'article 12 du règlement précité.

Si un dossier contenant des données personnelles visées au deuxième alinéa a été transmis au ministère public et peut conduire à des activités sous la direction du ministère public ou d'un juge d'instruction, et s'il existe une incertitude quant au secret de l'enquête sous la direction du ministère public ou d'un juge d'instruction, Audit Vlaanderen ne peut répondre à la demande de la personne concernée conformément aux articles 12 à 22 du règlement précité qu'après que le ministère public ou, le cas échéant, le juge d'instruction a confirmé à Audit Vlaanderen qu'une réponse ne met pas en péril ou pourrait mettre en péril l'enquête.

Si, dans le cas visé au deuxième alinéa, la personne concernée soumet une demande sur la base des articles 12 à 22 du règlement susmentionné pendant la période visée au troisième alinéa, Audit Flandre renvoie la personne concernée à l'autorité de contrôle compétente dans le domaine de la protection des données. L'autorité de contrôle compétente en matière de protection des données informe uniquement la personne concernée que les vérifications nécessaires ont été effectuées. "

Sous-section 3. - Modifications du décret du 26 mars 2004 relatif à la publicité de l'administration

Article 5. A l'article 16 du décret du 26 mars 2004 relatif à l'accès du public aux documents officiels, la phrase " si une personne constate qu'un document de gestion contient des informations incorrectes ou incomplètes à son sujet, la personne concernée peut obliger l'autorité compétente à corriger ou à compléter les informations, à condition qu'elle puisse fournir les pièces justificatives nécessaires " est remplacé par la phrase " Si une personne découvre qu'un document de gestion contient des informations inexactes ou incomplètes à son sujet, la personne concernée peut, sans préjudice de l'application des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, demander à l'autorité compétente de rectifier ou de compléter les informations, à condition que la personne concernée puisse fournir les éléments de preuve nécessaires. "
Article 6. A l'article 20, § 3, troisième alinéa du même décret, le membre de phrase " sans préjudice de l'application de l'article 12, alinéa 5, et de l'article 15, alinéa 3 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) " est ajouté.

Sous-section 4. - Modifications apportées au Décret provincial du 9 décembre 2005

Article 7. A l'article 30, § 1, du Décret provincial du 9 décembre, inséré par le décret du 30 avril 2009, le membre de phrase " sans préjudice de l'application de l'article 12, alinéa 5, et de l'article 15, alinéa 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) " est ajouté.
Article 8. A l'article 256 du même décret, modifié par les décrets des 30 avril 2009, 29 juin 2012 et 5 juillet 2013, les modifications suivantes sont apportées :

1° au troisième alinéa, la phrase suivante est ajoutée :

" Conformément à l'article 23, alinéa premier, point i), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données), la personne concernée par le rapport n'a pas accès à ces déclarations, sauf avec le consentement de la personne qui a signalé l'irrégularité. " ;

2° sont ajoutés un quatrième à neuvième alinéas, libellés comme suit :

" Conformément à l'article 23, alinéa premier, points e) et h), du règlement précité, Audit Vlaanderen peut décider de ne pas appliquer les obligations et droits énoncés aux articles 12 à 22 du règlement précité au traitement de données à caractère personnel dans le cadre d'une enquête concernant une personne physique déterminée, si les conditions énoncées aux alinéas 5 à 9 sont remplies.

La possibilité visée au quatrième alinéa ne s'applique que pendant la période au cours de laquelle la personne concernée fait l'objet d'une inspection, d'une enquête ou des activités préparatoires s'y rapportant, dans le cadre des missions légales et réglementaires d'Audit Vlaanderen, et à condition qu'il soit ou puisse être nécessaire pour le bon déroulement de l'enquête que les obligations et droits visés aux articles 12 à 22 des statuts précités ne soient pas appliqués.

Audit Vlaanderen justifie, le cas échéant, la décision visée au paragraphe 4 à la demande de l'autorité de contrôle compétente dans le domaine de la protection des données.

Une fois l'enquête terminée, les droits énoncés aux articles 13 à 22 du règlement précité sont, le cas échéant, appliqués à nouveau conformément à l'article 12 du règlement précité.

Si un dossier contenant des données personnelles visées au quatrième alinéa a été transmis au ministère public et peut conduire à des activités sous la direction du ministère public ou d'un juge d'instruction, et s'il existe une incertitude quant au secret de l'enquête sous la direction du ministère public ou d'un juge d'instruction, Audit Vlaanderen ne peut répondre à la demande de la personne concernée conformément aux articles 12 à 22 du règlement précité qu'après que le ministère public ou, le cas échéant, le juge d'instruction a confirmé à Audit Vlaanderen qu'une réponse ne met pas en péril ou ne pourrait mettre en péril l'enquête.

Si, dans le cas visé au quatrième alinéa, la personne concernée soumet une demande sur la base des articles 12 à 22 du règlement susmentionné pendant la période visée au cinquième alinéa, Audit Vlaanderen renverra la personne concernée à l'autorité de contrôle compétente dans le domaine de la protection des données. L'autorité de contrôle compétente en matière de protection des données informe uniquement la personne concernée que les vérifications nécessaires ont été effectuées. "

Sous-section 5. - Modification du décret du 25 mai 2007 harmonisant l'octroi des droits de préemption

Article 9. Dans l'intitulé du chapitre II du décret du 25 mai 2007 harmonisant les procédures d'octroi des droits de préemption, le terme " AGIV " est remplacé par les termes " l'Agence ".

Sous-section 6. - Modifications du décret KLIP du 14 mars 2008

Article 10. A l'article 16, alinéa premier, du décret KLIP du 14 mars 2008, tel que modifié par la décision du gouvernement flamand du 18 mars 2016, le membre de phrase " responsable du traitement au sens de l'article 1er, § 4, alinéa premier, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement des données à caractère personnel " est remplacé par le membre de phrase " responsable du traitement au sens de l'article 4, 7) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ".

Sous-section 7. - Modifications apportées au décret du 18 juillet 2008 relatif à l'échange électronique de données administratives

Article 11. A l'article 2 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives, modifié par le décret du 13 juillet 2012, les modifications suivantes sont apportées :

1° le point 4° est remplacé par ce qui suit :

" 4° règlement général sur la protection des données : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) " ;

2° le point 5° est abrogé ;

3° au point 6°, le membre de phrase " tout traitement tel que visé à l'article 1, § 2, de la loi sur la vie privée " est remplacé par le membre de phrase " le traitement visé à l'article 4, point 2), du règlement général sur la protection des données " ;

4° au point 7°, le membre de phrase " un ou plusieurs actes tels que visés à l'article 1, § 2, de la loi sur la vie privée " est remplacé par le membre de phrase " une ou plusieurs opérations telles que visées à l'article 4, point 2), du règlement général sur la protection des données " ;

5° le point 8° est abrogé ;

6° au point 14°, le membre de phrase " les données à caractère personnel, visées à l'article 1 de la loi sur la vie privée " est remplacé par le membre de phrase " les données à caractère personnel visées à l'article 4, point 1), du règlement général sur la protection des données ".

Article 12. A l'article 4 du même décret, modifié par le décret du 23 décembre 2016, le paragraphe 3 est abrogé.
Article 13. A l'article 6, § 1er, du même décret, les modifications suivantes sont apportées :

1° au point 1° et au point 2°, les mots " loi sur la vie privée " sont remplacés par les mots " règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel " ;

2° les points 4° et 5° sont abrogés.

Article 14. Dans le même décret, l'intitulé du chapitre 3 est remplacé par ce qui suit :

" Chapitre 3. La protection des personnes physiques à l'égard du traitement des données à caractère personnel et la Commission de contrôle flamande du traitement des données à caractère personnel ".

Article 15. Au chapitre 3 du même décret, l'intitulé de la section 1ère est remplacé par ce qui suit :

" Section 1ère. La protection des personnes physiques à l'égard du traitement des données à caractère personnel ".

Article 16. L'article 8 du même décret est remplacé par ce qui suit :

" Art. 8. § 1. Toute communication électronique de données à caractère personnel par une autorité à une autre autorité ou à une autorité extérieure nécessite un protocole conclu entre les autorités concernées.

En tout état de cause, ce protocole prévoit ce qui suit :

1° l'identification des responsables du traitement ;

2° les finalités pour lesquelles les données personnelles sont communiquées ;

3° les catégories et l'étendue des données personnelles communiquées conformément au principe de proportionnalité ;

4° les catégories de destinataires et de tiers qui peuvent également obtenir les données ;

5° la base juridique de la communication et de la collecte des données ;

6° les mesures de sécurité de la communication, en tenant compte de l'état de la technique, des coûts de mise en oeuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement, et des différents risques pour les droits et libertés des individus en termes de probabilité et de gravité ;

7° la périodicité de la communication ;

8° la durée de la communication ;

9° les sanctions en cas de non-respect du protocole ;

10° la description des finalités exactes pour lesquelles les données ont été collectées à l'origine par l'organisme qui gère les données demandées ;

11° en cas de traitement ultérieur des données collectées, indication de l'analyse de compatibilité des finalités de ce traitement avec la finalité pour laquelle les données ont été initialement collectées conformément à l'article 6, quatrième alinéa du Règlement général sur la protection des données ;

12° les accords concernant la garantie de la qualité des données et, le cas échéant, le respect du cadre juridique régissant l'accès à la source authentique des données ;

13° des mesures spécifiques encadrant la communication des données telles que le choix du format de communication, l'enregistrement des accès afin qu'il soit possible de vérifier qui a eu accès à quelles données et quand et pourquoi et l'instauration d'un registre de référence en cas de communication automatique des changements apportés aux données.

Le protocole est conclu par les responsables du traitement concernés après avoir obtenu l'avis du délégué à la protection des données de toutes les autorités compétentes et est ensuite immédiatement publié sur le site internet de toutes les autorités compétentes.

Avant la conclusion d'un protocole, l'avis de la Commission de contrôle flamande visée à l'article 10 ou 10/1 peut être sollicité à la demande d'une partie concernée. La Commission de contrôle flamande rend son avis dans un délai de trente jours après que toutes les informations nécessaires à cet effet lui ont été communiquées. Dans les cas urgents pour lesquels des raisons particulières ont été données, le délai peut être ramené à 15 jours. Les avis de la Commission de contrôle flamande sont écrits et motivés. Ils sont communiqués à l'organisme concerné et publiés sur le site internet de la Commission de contrôle flamande.

La consultation de ce document ne se substitue pas à la lecture du Moniteur belge correspondant. Nous déclinons toute responsabilité pour d'éventuelles inexactitudes résultant de la transcription de l'original dans ce format.