5 SEPTEMBRE 2018. - Loi instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

CHAPITRE 1er. - Disposition générale

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

CHAPITRE 2. - Institution du comité de sécurité de l'information

Article 2. § 1er. Par dérogation aux dispositions de la loi du 30 juillet 2018 relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, il est institué un comité de sécurité de l'information, composé de membres désignés par la Chambre des représentants.

§ 2. Sans préjudice du règlement de son fonctionnement et de ses compétences, en vertu de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale et de la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral, le comité de sécurité de l'information est constitué d'une chambre sécurité sociale et santé et d'une chambre autorité fédérale et il est composé des huit membres effectifs suivants, dont quatre membres sont néerlandophones et quatre membres francophones:

1° un expert en sécurité de l'information et en protection de la vie privée qui fait partie des deux chambres et qui exerce la présidence des deux chambres;

2° un expert en gestion électronique des identités qui fait partie des deux chambres;

3° un expert en sécurité de l'information et en protection de la vie privée qui fait partie de la chambre autorité fédérale;

4° un expert en matières financières et fiscales qui fait partie de la chambre autorité fédérale;

5° deux membres ayant la qualité de docteur, de licencié ou de master en droit, experts en droit social ou en droit de la santé, qui font partie de la chambre sécurité sociale et santé;

6° deux membres ayant la qualité de médecin, experts en matière de gestion de données à caractère personnel relatives à la santé, qui font partie de la chambre sécurité sociale et santé.

Les membres visés à l'alinéa 1er, 2°, 4°, 5° et 6°, disposent au moins de connaissances de base en matière de sécurité de l'information et de protection de la vie privée.

Si le comité de sécurité de l'information se réunit en chambres réunies, un seul membre visé à l'alinéa 1er, 5°, et un seul membre visé à l'alinéa 1er, 6°, participent à la réunion.

§ 3. Un membre suppléant est désigné pour chaque membre effectif sous les mêmes conditions.

Article 3. Pour être élu membre effectif ou suppléant du comité de sécurité de l'information et le rester, les candidats doivent remplir les conditions suivantes:

1° être Belge ou ressortissant de l'Union européenne;

2° jouir des droits civils et politiques;

3° en ce qui concerne la chambre sécurité sociale et santé, ne pas relever de l'autorité hiérarchique du ministre ayant la sécurité sociale dans ses attributions ou du ministre ayant la santé publique dans ses attributions et être indépendant des institutions de sécurité sociale, de la Banque-carrefour de la sécurité sociale et des organisations représentées au sein du Comité de gestion de la Banque-carrefour de la sécurité sociale, de la Plate-forme eHealth et des organisations représentées au sein du Comité de gestion de la Plate-forme eHealth, du Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement, du Centre fédéral d'expertise des soins de santé et de la fondation visée à l'article 45quinquies de l'arrêté royal n° 78 du 10 novembre 1967 relatif à l'exercice des professions des soins de santé;

4° en ce qui concerne la chambre autorité fédérale, ne pas relever du pouvoir hiérarchique d'un ministre fédéral et être indépendant des Services publics fédéraux;

5° ne pas être membre du Parlement européen, du parlement fédéral ou d'un parlement des communautés et régions;

6° ne pas être membre du gouvernement fédéral, d'un gouvernement de Communauté ou de Région et ne pas exercer de fonction dans une cellule politique d'un ministre;

7° ne pas être membre de l'Autorité pour la protection des données et ne pas faire partie de son personnel.

Article 4. § 1er. Les membres du comité de sécurité de l'information sont nommés pour un terme de six ans renouvelable par la Chambre des représentants et sont présentés par le Conseil des ministres. Ils peuvent être déchargés de leur mission par la Chambre des représentants.

Lorsque le mandat d'un membre effectif ou suppléant prend fin avant son terme, il est pourvu dans les meilleurs délais au remplacement de ce membre. Le nouveau membre achève le mandat de celui qu'il remplace.

§ 2. Avant leur entrée en fonctions, les membres du comité de sécurité de l'information prêtent entre les mains du président de la Chambre des représentants le serment suivant: "Je jure de remplir en toute conscience et impartialité les devoirs de ma charge.".

Article 5. Dans les limites de leurs attributions, les membres du comité de sécurité de l'information ne reçoivent d'instructions de personne. Ils ne peuvent être relevés de leur charge en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent pour remplir leurs fonctions.

Les membres du comité de sécurité de l'information sont impartiaux et objectifs et ne peuvent faire preuve de partialité, sous quelque forme que ce soit. Ils motivent leurs décisions, tant sur le plan formel que matériel, et respectent très strictement les principes de bonne administration.

Les membres du comité de sécurité de l'information et leurs collaborateurs sont tenus à un devoir de confidentialité pour tout ce dont ils ont pu avoir connaissance en raison de leurs fonctions.

Article 6. § 1er. En cas d'empêchement ou d'absence du président effectif ou au cas où il ne peut prendre part à la prise de décision à cause d'un conflit d'intérêts, sa fonction est exercée par le membre effectif visé à l'article 2, alinéa 1er, 2°. Lorsque le membre effectif visé à l'article 2, alinéa 1er, 2°, n'est pas disponible, les autres membres se répartissent les tâches du président effectif, sous la direction du membre avec le plus d'ancienneté d'entre eux ou, à égalité d'ancienneté, du plus âgé d'entre eux.

§ 2. Les membres suppléants remplacent les membres effectifs en cas d'empêchement ou d'absence ou dans l'attente de leur remplacement visé à l'article 4, § 1er, alinéa 2.

§ 3. Un suppléant d'un membre effectif visé à l'article 2, § 2, alinéa 1er, 5° ou 6°, ne peut participer à une séance de la chambre sécurité sociale et santé du comité de sécurité de l'information que lorsque ce membre effectif ne participe pas à la séance ou lorsque ni l'autre membre effectif ayant la même qualité ni le suppléant de l'autre membre effectif ayant la même qualité ne participent à cette séance.

Article 7. Le membre exerçant la présidence du comité de sécurité de l'information a droit, par séance du comité de sécurité de l'information à laquelle il assiste, à deux fois le montant des jetons de présence visés à l'article 8.

Article 8. Les membres, à l'exception du membre exerçant la présidence, ont droit, par séance du comité de sécurité de l'information à laquelle ils assistent, à des jetons de présence d'un montant de 250 euros (indice 1,67374). Ce montant est lié à l'évolution de l'indice des prix à la consommation.

Les membres, y inclus le membre exerçant la présidence, bénéficient des indemnités pour frais de séjour et de parcours conformément aux dispositions applicables au personnel des services publics fédéraux.

CHAPITRE 3. - Modification de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale

Article 9. Dans l'article 2, alinéa 1er, de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale, les modifications suivantes sont apportées:

"7° "données sociales à caractère personnel relatives à la santé": les données sociales à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;";

"10° "comité de sécurité de l'information": le comité de sécurité de l'information institué en application de la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;";

"11° "Plate-forme eHealth": la Plate-forme eHealth visée à l'article 2 de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions.".

Article 10. A l'article 4 de la même loi, remplacé par la loi du 1er mars 2007, les modifications suivantes sont apportées:

"L'identité du délégué à la protection des données est communiquée à la Banque-carrefour.";

"1° de désigner nominativement les organes ou préposés qui sont autorisés, en vertu de leurs compétences, à obtenir accès aux données d'identification ou à en obtenir la communication, de les informer sur la réglementation pertinente relative à la protection de la vie privée lors du traitement de données à caractère personnel et de dresser une liste de ces organes ou préposés, de la tenir à jour et de l'actualiser en permanence;".

Article 11. L'article 5 de la même loi, remplacé par la loi du 2 août 2002 et modifié par les lois du 26 février 2003 et du 1er mars 2007, est remplacé par ce qui suit:

"Art. 5. § 1er. La Banque-carrefour recueille des données sociales auprès des institutions de sécurité sociale, les enregistre, procède à leur agrégation et les communique à des personnes qui en ont besoin pour la réalisation de recherches pouvant être utiles à la connaissance, à la conception et à la gestion de la protection sociale.

§ 2. La Banque-carrefour utilise les données sociales recueillies en application du paragraphe 1er pour la détermination du groupe-cible de recherches qui sont réalisées sur la base d'une interrogation des personnes de l'échantillon.

Cette interrogation des personnes de l'échantillon est en principe effectuée par la Banque-carrefour pour le compte de l'exécutant de la recherche, sans que des données sociales à caractère personnel relatives aux personnes de l'échantillon ne soient communiquées à l'exécutant de la recherche.

§ 3. Pour l'application du présent article, la Banque-carrefour est considérée comme une organisation intermédiaire au sens d'une organisation autre que le responsable du traitement de données à caractère personnel non pseudonimisées, qui est chargée de leur pseudonimisation.".

Article 12. Dans la même loi, il est inséré un article 5bis rédigé comme suit:

"Art. 5bis. Sans préjudice du traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les institutions de sécurité sociale visées à l'article 2, 2°, les services d'inspection sociale et la direction des amendes administratives de la division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale peuvent, soit pour ce qui les concerne respectivement, soit en commun, en vue de la prévention, de la constatation, de la poursuite et de la répression des infractions sur la réglementation sociale qui relèvent de leurs compétences respectives et en vue de la perception et du recouvrement des montants qui relèvent de leurs compétences respectives, le cas échéant après délibération de la chambre compétente du comité de sécurité de l'information, recueillir toutes les données nécessaires aux fins de l'application de la législation concernant le droit du travail et de la sécurité sociale, les traiter et les agréger dans un datawarehouse leur permettant de procéder à des opérations de datamining et datamatching, en ce compris du profilage au sens de l'article 4, 4) du règlement général sur la protection des données.

Pour l'application de la présente disposition, il y a lieu d'entendre par:

1° "datawarehouse": un système de données contenant une grande quantité de données numériques pouvant faire l'objet d'une analyse;

2° "datamining": la recherche de manière avancée d'informations dans de gros fichiers de données;

3° "datamatching": la comparaison entre plusieurs sets de données rassemblées.

Le responsable du traitement des données visé à l'alinéa 1er est l'institution ou le service visé à l'alinéa 1er qui se charge dudit traitement dans le datawarehouse. Lorsque deux responsables du traitement ou plus déterminent les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.

Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent des traitements dans le datawarehouse ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées y compris les exigences en ce qui concerne l'application de la récidive et la révocation d'un sursis accordé, avec une durée maximale de conservation ne pouvant excéder un an après la prescription de toutes les actions qui relèvent de la compétence du responsable du traitement et, le cas échéant, le paiement intégral de tous les montants y liés.

Le responsable du traitement établit une liste des catégories de personnes ayant accès aux données à caractère personnel dans le datawarehouse, avec une description de leur qualité par rapport au traitement de données visées. Cette liste est tenue à la disposition de l'Autorité de protection des données.

Le responsable du traitement veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.

Lorsque des données à caractère personnel sont communiquées à la Banque-carrefour ou à une institution de sécurité sociale, la délibération doit, le cas échéant, prévoir que ces données peuvent être traitées dans le cadre des finalités du traitement dans le datawarehouse visées à l'alinéa 1er.".

Article 13. Dans la même loi, il est inséré un article 5ter rédigé comme suit:

"Art. 5ter. § 1er. Sans préjudice de traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les institutions de sécurité sociale visées à l'article 2, 2°, les services d'inspection sociale et la direction des amendes administratives de la division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale peuvent, dans le respect de cette loi, et chacun pour ce qui concerne les traitements de données à caractère personnel dont il est le responsable du traitement, traiter ultérieurement toutes les données nécessaires aux fins de l'application de la législation concernant le droit du travail et de la sécurité sociale lorsque et dans la mesure où aussi bien le traitement initial que le traitement ultérieur sont effectués en vue de la prévention, de la constatation, de la poursuite et de la répression des infractions aux lois et règlements sociales qui relèvent de leurs compétences respectives.