22 MAI 2019. - Loi modifiant diverses dispositions en ce qui concerne la gestion de l'information policière

TITRE Ier. - Disposition générale

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

TITRE II. - Dispositions modificatives

CHAPITRE 1ER. - Modifications de la loi sur la fonction de police

Article 2. A l'article 3 de la loi du 5 août 1992 sur la fonction de police, modifié en dernier lieu par la loi du 19 juillet 2018, les modifications suivantes sont apportées:

1° dans le 6°, les mots "article 36ter de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel" sont remplacés par les mots "article 71 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel";

2° l'article est complété par un 10°, rédigé comme suit:

"10° loi relative à la protection des données: la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel.".

Article 3. Dans l'article 25/8 de la même loi, inséré par la loi du 21 mars 2018, l'alinéa 3 est remplacé par ce qui suit:

"Les registres visés aux alinéas 1er et 2 sont mis sur demande à la disposition de l'Organe de contrôle, des autorités de police administrative et judiciaire et du délégué à la protection des données visé à l'article 144 de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux.".

Article 4. A l'article 44/1 de la même loi, inséré par la loi du 18 mars 2014 et modifié par la loi du 21 mars 2018, les modifications suivantes sont apportées:

1° dans le paragraphe 1er, les mots "et conformément aux finalités fixées à l'article 27 de la loi relative à la protection des données" sont insérés entre les mots "section 1re," et "les services";

2° le paragraphe 2 est remplacé par ce qui suit:

" § 2. En vue d'exercer leurs missions, les services de police peuvent traiter les catégories particulières de données à caractère personnel visées à l'article 34 de la loi relative à la protection des données en complément ou en soutien d'autres catégories de données visées à l'article 44/5.

En plus de la condition visée à l'alinéa 1er:

1° les données biométriques sont traitées uniquement dans le but d'assurer l'identification certaine de la personne concernée visée à l'article 44/5, § 1er, 2° à 7° et § 3 1° à 6°. Les données biométriques des personnes visées au § 3, 7° à 9°, et au § 4 de l'article 44/5 sont traitées uniquement sur la base du consentement de la personne concernée ou lorsqu'elles sont manifestement rendues publiques par la personne concernée ou encore pour sauvegarder les intérêts vitaux de la personne concernée ou d'une autre personne physique. Lorsque le traitement des données biométriques en vue de l'identification unique des personnes concernées, en particulier par le recours aux nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement ou son sous-traitant consulte l'Organe de contrôle;

2° les données relatives à la santé sont traitées uniquement dans le but de comprendre le contexte lié à la personne concernée, ainsi que pour assurer la sécurité et protéger la santé de toute personne susceptible d'entrer en contact avec les personnes concernées dans le cadre de l'intervention policière. Lorsque des données relatives à la santé sont traitées, il est mentionné si ces données proviennent ou non de professionnels de soins de la santé. Le traitement de données relatives à la santé visé dans cet article n'a jamais pour conséquence de contraindre les personnes concernées à se soumettre à des examens médicaux;

3° le traitement des données génétiques concerne uniquement la collecte des données génétiques et l'enregistrement des mentions administratives liées au profil génétique, à l'exclusion de la comparaison des profils génétiques ou de l'identification du numéro de code ADN et s'effectue dans le cadre de l'exercice des missions de police judiciaire et de l'application de la législation relative à la protection civile.

Lors des traitements de données à caractère personnel visés dans ce paragraphe, les garanties suivantes en matière de protection des données à caractère personnel sont d'application:

1° les catégories de personnes, ayant accès aux données à caractère personnel, sont désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description de leur fonction par rapport au traitement des données visées;

2° la liste des catégories des personnes ainsi désignées pour traiter les données visées dans ce paragraphe est tenue à la disposition de l'Organe de contrôle par le responsable du traitement ou, le cas échéant, par le sous-traitant;

3° les personnes désignées sont tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées;

4° une distinction claire est opérée entre les catégories de personnes visées à l'article 44/5;

5° des mesures techniques ou organisationnelles appropriées sont adoptées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données;

6° les responsables du traitement indiquent dans leur politique de protection des données les actions à mener pour protéger le traitement de ces catégories de données et pour assurer la qualité des données traitées notamment pour les aspects liés à l'évaluation de leur exactitude, leur exhaustivité, leur fiabilité et leur niveau de mise à jour. Les délégués à la protection des données compétents veillent à assurer le suivi de cette politique.

Le Roi peut prévoir d'autres garanties complémentaires appropriées.".

Article 5. Dans la section 12 du chapitre IV de la même loi, insérée par la loi du 18 mars 2014 et modifiée par la loi du 21 mars 2018, les mots "Sous-section 2 - Le conseiller en sécurité et en protection de la vie privée" sont abrogés.

Article 6. A l'article 44/3 de la même loi, inséré par la loi du 18 mars 2014 et modifié par les lois des 26 mars 2014, 27 avril 2016 et 21 mars 2018, les modifications suivantes sont apportées:

1° dans le paragraphe 1er, alinéa 1er, les mots "la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel" sont remplacés par les mots "la loi relative à la protection des données";

2° dans le paragraphe 1er, les alinéas 3 à 8 sont abrogés;

3° les paragraphes 1er/1 et 2 sont abrogés.

Article 7. L'article 44/4 de la même loi, inséré par la loi du 18 mars 2014 et modifié par les lois des 26 mars 2014, 27 avril 2016 et 21 mars 2018, est remplacé par ce qui suit:

"Art. 44/4 § 1er. En matière de police administrative, le responsable du traitement des données à caractère personnel et des informations visées à l'article 44/1, y compris celles incluses dans les banques de données visées à l'article 44/2, § 1er, alinéa 2, 1° et 2°, est le ministre de l'Intérieur.

En matière de police judiciaire, le responsable du traitement des données à caractère personnel et des informations visées à l'article 44/1, y compris celles incluses dans les banques de données visées à l'article 44/2, § 1er, alinéa 2, 1° et 2°, est le ministre de la Justice.

Pour ce qui concerne les banques de données visées à l'article 44/2, § 1er, alinéa 2, 3°, les chefs de corps, le commissaire général, les directeurs généraux ou les directeurs qui ont fixé les objectifs et les moyens relatifs à ces banques de données particulières sont les responsables du traitement.

§ 2. Les ministres de l'Intérieur et de la Justice, chacun dans le cadre de leurs compétences et sans préjudice des compétences propres des autorités judiciaires, déterminent par directives contraignantes les mesures nécessaires en vue d'assurer la gestion et la sécurité dont notamment les aspects relatifs à la fiabilité, la confidentialité, la disponibilité, la traçabilité et l'intégrité des données à caractère personnel et des informations traitées dans les banques de données visées à l'article 44/2.

Les fichiers de journalisation sont établis dans les banques de données visées à l'article 44/2 au moins pour les traitements suivants: la collecte, la modification, la consultation, la communication, y compris les transferts, l'archivage, l'interconnexion et l'effacement.

Les fichiers de journalisation de consultation et de communication permettent d'établir:

1° le motif, la date et l'heure de ces traitements;

2° les catégories de personnes qui ont consulté les données à caractère personnel, ainsi que l'identification de la personne qui a consulté ces données;

3° les systèmes qui ont communiqué ces données;

4° les catégories de destinataires des données à caractère personnel, et si possible, l'identité des destinataires de ces données.

Le Roi peut déterminer, par arrêté délibéré en Conseil des ministres après avis de l'Organe de contrôle, d'autres types de traitements pour lesquels les fichiers de journalisation sont établis.

Des mesures appropriées sont adoptées pour assurer la sécurité des fichiers de journalisation et, en particulier, pour empêcher tout traitement non autorisé et pour assurer l'intégrité des données traitées.

Les procédures d'accès aux fichiers de journalisation garantissent la nécessité et la proportionnalité de l'accès aux données de journalisation en vue d'atteindre les finalités visées à l'article 56, § 2, de la loi relative à la protection des données.

Ces procédures sont soumises à l'avis de l'Organe de contrôle.

Les chefs de corps pour la police locale et le commissaire général, les directeurs généraux et les directeurs pour la police fédérale sont les garants de la bonne exécution de ces directives en ce qui concerne les banques de données visées à l'article 44/2, §§ 1er, et 3.

Le gestionnaire, désigné en droit ou dans les faits est le garant de la bonne exécution de ces directives en ce qui concerne les banques de données visées à l'article 44/2, § 2.

§ 3. Sans préjudice des compétences des autorités judiciaires, les ministres de l'Intérieur et de la Justice, chacun dans le cadre de leurs compétences, déterminent par directive générale et contraignante, publiée au Moniteur belge, les règles d'accès des membres des services de police aux banques de données visées à l'article 44/2, §§ 1er, et 3.

§ 4. Les ministres de l'Intérieur et de la Justice, chacun dans le cadre de leurs compétences, déterminent par directive générale et contraignante publiée au Moniteur belge, les modalités relatives à l'interconnexion des banques de données visées à l'article 44/2 entre elles ou avec d'autres banques de données auxquelles les services de police ont accès par ou en vertu de la loi ou de traités internationaux liant la Belgique.

Ces directives déterminent au moins, sur la base du caractère pertinent, adéquat et non excessif, les catégories de banques de données qui peuvent être connectées entre elles, les modalités relatives à l'interconnexion et les règles d'accès des membres des services de police relatives à l'existence d'une information pertinente au sein de ces banques de données interconnectées ou, le cas échéant, aux données elles-mêmes ainsi qu'aux traitements qui en résultent.

§ 5. Les profils et les modalités d'accès visés aux §§ 3 et 4 sont déterminés notamment sur la base:

1° du besoin d'en connaître, en ce compris de la nécessité de croiser ou coordonner les données traitées;

2° des finalités légales de chaque banque de données;

3° des différentes catégories de personnes visées à l'article 44/5;

4° de l'évaluation des données;

5° de l'état de validation des données traitées.

Les accès visés aux §§ 3 et 4 doivent être conçus à la base ou par défaut de telle sorte que les données évaluées et validées apparaissent de manière claire et puissent être exploitées prioritairement.

Les profils d'accès et l'identification des personnes ayant accès sont tenus à la disposition de l'Organe de contrôle.

§ 6. Les ministres de l'Intérieur et de la Justice, chacun dans le cadre de leurs compétences, déterminent par directive générale et contraignante publiée au Moniteur belge les mesures adéquates, pertinentes et non excessives relatives à l'interconnexion ou la corrélation des banques de données techniques visées à l'article 44/2, § 3, avec les banques de données visées à l'article 44/2, §§ 1er et 2, ou avec d'autres banques de données auxquelles les services de police ont accès par ou en vertu de la loi ou de traités internationaux liant la Belgique.

Cette directive tient compte des critères de temps, d'espace et de fréquence des interconnexions et corrélations. Elles déterminent au moins l'autorité qui permet ce genre de mesures, ainsi que les banques de données qui peuvent être connectées entre elles.".

Article 8. A l'article 44/5 de la même loi, inséré par la loi du 18 mars 2014 et modifié par la loi du 27 avril 2016, les modifications suivantes sont apportées:

1° dans le paragraphe 1er, l'alinéa 1er est complété par le 7° rédigé comme suit:

"7° les données relatives aux personnes faisant l'objet d'une mesure administrative prise par une autorité administrative compétente et que les services de police sont chargés de suivre par ou en vertu de la loi, du décret ou de l'ordonnance.";

2° dans le paragraphe 3, le 8° est remplacé par ce qui suit:

"8° les données relatives aux personnes visées aux articles 47novies/1, § 1er, 47decies, § 1er, et 102, 1° à 3°, du Code d'instruction criminelle;";

3° dans le paragraphe 6, les mots "ne sont plus exactes ou" sont insérés entre les mots "les données" et "ne remplissent plus";

4° l'article est complété par le paragraphe 7, rédigé comme suit:

" § 7. Dans des circonstances spécifiques, les données visées au § 4 peuvent en outre être traitées dans la B.N.G.".

Article 9. Dans la section 12 du chapitre IV de la même loi, inséré par la loi du 18 mars 2014 et modifié par la loi du 21 mars 2018, la sous-section 4, comportant l'article 44/6, est abrogée.

Article 10. A l'article 44/9 de la même loi, inséré par la loi du 18 mars 2014 et modifié par la loi du 31 octobre 2017, les modifications suivantes sont apportées:

1° dans le paragraphe 1er, alinéa 1er, 1°, les mots "l'article 44/5, § 1er, 1° " sont remplacés par les mots "l'article 44/5, § 1er, 1° et 7° ";

2° dans le paragraphe 1er, alinéa 2, les mots "2° à 6° " sont remplacés par les mots "2° à 7° ";

3° dans le paragraphe 2, alinéa 1er, la phrase liminaire du littera a), est complété par les mots "et § 4, 2° ";

4° dans le paragraphe 2, alinéa 1er, d), les mots "et § 4, 1° " sont insérés entre les mots "9° " et ", dix ans";

5° l'article est complété par un paragraphe 3 rédigé comme suit:

" § 3. Tous les traitements réalisés dans la B.N.G. font l'objet d'une journalisation qui est conservée pendant trente ans à partir du traitement réalisé dans la B.N.G.".

Article 11. L'article 44/10, § 1er, de la même loi, inséré par la loi du 18 mars 2014, est complété par un alinéa rédigé comme suit:

"Tous les traitements réalisés dans les archives de la B.N.G. font l'objet d'une journalisation qui est conservée pendant trente ans à partir du traitement réalisé dans les archives de la B.N.G.".

Article 12. A l'article 44/11, § 2, de la même loi, inséré par la loi du 18 mars 2014, les mots "l'Organe de contrôle visé à l'article 44/6" sont remplacés par les mots "l'Organe de contrôle".

Article 13. A l'article 44/11/2 de la même loi, inséré par la loi du 18 mars 2014 et modifié par la loi du 26 mars 2014, les modifications suivantes sont apportées:

1° dans le paragraphe 1er, alinéa 2, les mots "et gérées" sont insérés entre le mot "développées" et le mot "par";

2° le paragraphe 2 est remplacé par ce qui suit:

" § 2. Les données relatives aux missions de police administrative sont accessibles durant cinq ans à partir du jour de leur enregistrement.

Les données relatives aux missions de police judiciaire sont accessibles durant quinze ans à partir du jour de leur enregistrement.";

3° dans les paragraphes 3, 4 et 5, les mots "au § 2, alinéa 3" sont chaque fois remplacés par les mots "au § 2, alinéa 2";

4° l'article est complété par un paragraphe 8, rédigé comme suit:

" § 8. Tous les traitements réalisés dans les banques de données de base font l'objet d'une journalisation qui est conservée pendant quinze ans à partir du traitement réalisé dans les banques de données de base. Le responsable du traitement peut, si nécessaire, prolonger ce délai de maximum quinze ans.".

Article 14. A l'article 44/11/3 de la même loi, inséré par la loi du 18 mars 2014 et modifié par les lois du 26 mars 2014 et du 27 avril 2016, les modifications suivantes sont apportées:

1° le paragraphe 1er est remplacé par ce qui suit:

" § 1er. Dans des circonstances spécifiques, les chefs de corps, le commissaire général, les directeurs généraux et les directeurs peuvent créer, pour des besoins particuliers, des banques de données particulières dont ils sont responsables du traitement, dans le but de traiter les données qu'elles contiennent dans le cadre de l'exercice de leurs missions et finalités de police administrative et judiciaire.

Les catégories de données visées à l'article 44/5 peuvent également être traitées dans des banques de données particulières pour autant que ce traitement soit adéquat, pertinent et non excessif.";

2° le paragraphe 3 est remplacé par ce qui suit:

" § 3. Le responsable du traitement rend compte des missions et finalités qui justifient la création d'une banque de données particulière.

L'Organe de contrôle est averti activement, via le registre unique des activités de traitement des services de police visé à l'article 145 de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux, de la création ou de modifications dans ce registre relatives à une banque de données particulière.";

3° le paragraphe 4 est remplacé par ce qui suit:

" § 4. Sans préjudice de l'enregistrement ou de l'archivage des données conformément aux articles 44/2, § 1er, alinéa 2, 1°, et 44/10, ces données et les banques de données particulières sont supprimées dès que les besoins particuliers visés au § 1er disparaissent.

La journalisation des traitements est conservée pendant au minimum dix ans. Le responsable du traitement peut, si nécessaire, après évaluation et de manière motivée, prolonger ce délai de maximum vingt ans.";

4° le paragraphe 5 est abrogé.

Article 15. A l'article 44/11/3bis de la même loi, inséré par la loi du 27 avril 2016, les modifications suivantes sont apportées:

1° dans le paragraphe 3, les mots "Organe visés à l'article 44/6, alinéa 2" sont remplacés par les mots "l'Organe de contrôle visés à l'article 44/11/3quinquies/2";

2° dans le paragraphe 4, alinéa 2, et dans le paragraphe 8, les mots "de la Commission de la protection de la vie privée" sont chaque fois remplacés par les mots "du Comité et de l'Organe de contrôle visés à l'article 44/11/3quinquies/2";

3° dans le paragraphe 9, alinéa 2, cinquième tiret, les mots "du conseiller en sécurité et en protection de la vie privée" sont remplacés par les mots "du délégué à la protection des données visé à l'article 44/11/3quinquies/1".