23 JUIN 2023. - Décret modifiant le décret du 18 juillet 2008 relatif à l'échange électronique de données administratives, le décret du 13 juillet 2012 portant création et organisation d'un intégrateur de services flamand, le Décret de gouvernance du 7 décembre 2018 et le décret du 2 décembre 2022 autorisant la création de l'agence autonomisée externe de droit privé Service public flamand des données (" Vlaams Datanutsbedrijf ") sous forme de société anonyme, afin de renforcer le cadre des échanges numériques de données

CHAPITRE 1er. - Disposition introductive

Article 1er. Le présent décret règle des matières communautaire et régionale.

CHAPITRE 2. - Modifications du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives

Article 2. A l'article 2 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives, les modifications suivantes sont apportées :

1° le point 2°, abrogé par le décret du 7 décembre 2018, est rétabli dans la rédaction suivante :

" 2° source authentique de données : une source authentique de données, telle que visée à l'article 2, 1°, du décret du 13 juillet 2012 portant création et organisation d'un intégrateur de services flamand ; " ;

2° dans le texte néerlandais du point 10°, remplacé par le décret du 7 décembre 2018, la date " 7 december 2018 " est insérée entre le membre de phrase " artikel I.3, 1°, van het Bestuursdecreet van " et le membre de phrase " , een instantie van een lokale overheid ".

Article 3. Dans le même décret, l'intitulé du chapitre II, abrogé par le décret du 7 décembre 2018, est rétabli dans la rédaction suivante :

" Chapitre II. Création de sources de données avec des données de base ".

Article 4. Dans le chapitre II du même décret, rétabli par l'article 3, l'intitulé de la section I, abrogée par le décret du 7 décembre 2018, est rétabli dans la rédaction suivante :

" Section Ire. Champ d'application ".

Article 5. L'article 3 du même décret, abrogé par le décret du 7 décembre 2018, est rétabli dans la rédaction suivante :

" Art. 3. Le présent chapitre s'applique aux instances, à l'exception des institutions investies d'une mission de service public, visées à l'article I.3, 6°, du Décret de gouvernance du 7 décembre 2018.

Par dérogation à l'alinéa 1er, le Gouvernement flamand peut déterminer les institutions investies d'une mission de service public qui relèvent du champ d'application du présent chapitre. En outre, le Gouvernement flamand peut fixer un calendrier par source de données après l'avis de l'organe de pilotage de la Politique flamande de l'Information et des TIC, visé à l'article III.74 du Décret de gouvernance du 7 décembre 2018. ".

Article 6. Dans le chapitre II du même décret, rétabli par l'article 3, l'intitulé de la section II, abrogée par le décret du 13 juillet 2012, est rétabli dans la rédaction suivante :

" Section II. Création d'une source de données avec des données d'associations ".

Article 7. L'article 4 du même décret, abrogé par le décret du 7 décembre 2018, est rétabli dans la rédaction suivante :

" Art. 4. L'entité à désigner par le Gouvernement flamand, chargée de faciliter la numérisation dans les instances, ci-après dénommée l'entité, crée une source de données avec les données des associations qui interagissent avec les instances. Cette source de données est dénommée le registre des associations.

Le Gouvernement flamand peut élargir l'objet du registre des associations, notamment les données des formes de coopération, visées à la partie 3, titre 3, du décret du 22 décembre 2017 sur l'administration locale, de l'association interlocale d'enseignement, visée au décret du 28 novembre 2008 relatif à l'association interlocale d'enseignement (ILOV), des associations d'aide sociale, visées à la partie 3, titre 4, chapitre 2, du décret du 22 décembre 2017 sur l'administration locale, et des établissements de soins autonomes, visés à la partie 3, titre 4, chapitre 3, du décret du 22 décembre 2017 sur l'administration locale, qui interagissent avec les instances.

Pour l'application de la présente section, on entend par :

1° associations : les associations sans but lucratif, les associations internationales sans but lucratif, les fondations, les associations de fait et les sections d'organisations faîtières ;

2° association de fait : une association sans personnalité juridique, telle que visée à l'article 1:2, combiné avec l'article 1:6, § 1er, du Code des sociétés et des associations du 23 mars 2019 ;

3° association sans but lucratif : une association dotée de la personnalité juridique, telle que visée à l'article 1:2, combiné avec l'article 1:6, § 2, premier tiret, combiné avec l'article 9:1 du Code des sociétés et des associations du 23 mars 2019 ;

4° association internationale sans but lucratif : une association dotée de la personnalité juridique, telle que visée à l'article 1:2, combiné avec l'article 1:6, § 2, deuxième tiret, combiné avec l'article 10:1 du Code des sociétés et des associations du 23 mars 2019 ;

5° fondation : une fondation privée ou une fondation d'utilité publique, telle que visée à l'article 1:3, combiné avec l'article 1:7, combiné avec l'article 11:1, du Code des sociétés et des associations du 23 mars 2019 ;

6° organisation faîtière : une organisation ayant la forme juridique d'une association sans but lucratif, d'une association internationale sans but lucratif ou d'une fondation, qui répond à l'une des caractéristiques suivantes :

7° section : une partie d'une organisation faîtière pour des raisons de fonctionnement opérationnel interne ;

8° organe de pilotage : l'organe de pilotage de la Politique flamande de l'Information et des TIC, visé à l'article III.74 du Décret de gouvernance du 7 décembre 2018.

L'entité visée à l'alinéa 1er, en tant que gestionnaire du registre des associations visé à l'alinéa 1er, est responsable de la coordination de la création, de la conservation, de la mise à disposition, de la sécurité, de l'accès et de l'utilisation des données en question.

En ce qui concerne le traitement des données à caractère personnel en exécution de la présente section, l'entité est le responsable du traitement au sens de l'article 4, 7), du règlement général sur la protection des données. ".

Article 8. La section II du chapitre II du même décret, rétabli par l'article 6, est complétée par un article 4/1, rédigé comme suit :

" Art. 4/1. § 1er. Le registre des associations, visé à l'article 4, a pour objectif :

1° de simplifier et d'optimiser les interactions entre les associations, d'une part, et les instances, les autorités externes, les organisations faîtières concernées et les citoyens, d'autre part ;

2° de mettre à disposition dans la sphère publique des informations sur les associations visant à promouvoir la vie associative et à soutenir le développement de la politique.

A cette fin, les données suivantes sur les associations peuvent être traitées dans le registre des associations :

1° les noms et les dénominations ;

2° le statut, à savoir actif ou inactif ;

3° les coordonnées ;

4° la description de l'objectif ;

5° les classifications ;

6° le cas échéant, la relation avec une organisation faîtière ou des sections ;

7° le prénom, le nom, le numéro d'identification du Registre national, les coordonnées et la qualité des personnes physiques agissant en tant que représentants au nom et pour le compte de l'association, ou, si les représentants sont des personnes morales, la dénomination et le numéro d'entreprise ;

8° le cas échéant, le prénom, le nom, le numéro d'identification de la Banque Carrefour de la sécurité sociale, les coordonnées et la qualité des personnes physiques agissant en tant que représentants au nom et pour le compte de l'association si les données se rapportent à une personne physique qui n'est pas inscrite au Registre national ;

9° le cas échéant, l'agrément ;

10° le cas échéant, le numéro de compte bancaire ;

11° un code d'association unique ;

12° le cas échéant, le numéro BCE.

Pour les associations sans but lucratif, les associations internationales sans but lucratif et les fondations, les données visées aux points 1°, 2°, 3°, 7°, 8°, 10° et 12° proviennent de la Banque-Carrefour des Entreprises.

Pour les associations de fait et les sections d'organisations faîtières, les données visées aux points 7° et 8° proviennent du Registre national ou, le cas échéant, des registres Banque-Carrefour visés à l'article 4 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale.

Le Gouvernement flamand peut préciser les données visées à l'alinéa 2 et, après l'avis de l'organe de pilotage, les compléter par d'autres données nécessaires à l'identification des associations ou présentant un intérêt commun pour plusieurs instances.

Par l'enregistrement qualitatif des données visées à l'alinéa 2, le registre des associations attribue une identification unique aux associations.

§ 2. L'entité met les données, visées au paragraphe 1er, alinéa 2, à la disposition des instances, des autorités externes et des organisations faîtières concernées qui peuvent traiter les données de manière légitime dans le respect de la réglementation relative à la protection des personnes physiques lors du traitement de données à caractère personnel pour réaliser l'objectif, visé au paragraphe 1er, alinéa 1er, 1°. Par dérogation à l'article 3, les institutions investies d'une mission de service public qui répondent à la condition visée à l'article I.3, 6°, c), 3), du Décret de gouvernance du 7 décembre 2018 en ce qui concerne la gestion sous la tutelle de l'Autorité flamande mais non sous la tutelle d'une autorité locale ou d'une autre institution investie d'une mission de service public, et qui ne remplissent pas les conditions visées à l'article I.3, 6°, c), 1) ou 2), du Décret de gouvernance du 7 décembre 2018, peuvent consulter les données, visées au paragraphe 1er, pour l'objectif précité, visé au paragraphe 1er, alinéa 1er, dans la mesure où leurs services s'adressent principalement aux associations.

L'entité met à la disposition du public les données des associations actives, visées au paragraphe 1er, alinéa 2, 1° à 6°, 9°, 11° et 12°, afin de réaliser l'objectif visé au paragraphe 1er, alinéa 1er, 2°. A la demande expresse des associations de fait, les données de l'association de fait concernée ne sont pas mises à la disposition du public. ".

Article 9. Dans le même décret, la même section II est complétée par un article 4/2, rédigé comme suit :

" Art. 4/2. § 1er. Les instances et les organisations faîtières transmettent les données qu'elles ont validées, visées à l'article 4/1, à l'entité visée à l'article 4. Par dérogation à l'article 3, les institutions investies d'une mission de service public, visées à l'article 4/1, § 2, peuvent également transmettre les données précitées qu'elles ont validées, à l'entité précitée. Les instances, organisations faîtières et institutions investies d'une mission de service public précitées collaborent à la création et à la mise à jour du registre des associations et veillent en particulier à ce que les données dont elles ont connaissance du fait de leur service ou de leur fonctionnement puissent être reprises avec précision dans le registre des associations par l'entité. Elles utilisent le numéro d'identification du Registre national ou de la Banque Carrefour de la sécurité sociale pour identifier les représentants de manière unique.

Le Gouvernement flamand détermine les données à fournir, les instances qui doivent les fournir, ainsi que la manière de les fournir. Pour ce faire, le Gouvernement flamand peut fixer un calendrier pour chaque instance ou groupe d'instances après l'avis de l'organe de pilotage.

Le Gouvernement flamand détermine les données à fournir, les organisations faîtières qui doivent les fournir, ainsi que la manière de les fournir. Pour ce faire, le Gouvernement flamand peut fixer un calendrier après l'avis de l'organe de pilotage.

Les instances, les organisations faîtières et les institutions investies d'une mission de service public telles que visées à l'article 4/1, § 2, ne sont pas soumises au respect de l'article 8 pour la fourniture des données.

Le Gouvernement flamand peut déterminer les données à fournir, les associations qui doivent les fournir, ainsi que la manière de les fournir à l'entité visée à l'article 4. Pour ce faire, le Gouvernement flamand peut chaque fois fixer un calendrier après l'avis de l'organe de pilotage.

§ 2. Les instances, les organisations faîtières et les institutions investies d'une mission de service public telles que visées à l'article 4/1, § 2, sont considérées comme des initiateurs de données. Par initiateur de données on entend une instance ou un tiers qui a la responsabilité finale exclusive d'enregistrer une ou plusieurs données dans le registre des associations, visé à l'article 4.

L'entité et les initiateurs de données ne peuvent pas se facturer mutuellement des frais pour l'enregistrement ou faire valoir des droits sur les données fournies pour l'exécution de la mission qui leur est confiée dans le présent décret.

§ 3. Sur la proposition de l'organe de pilotage, le Gouvernement flamand peut arrêter des modalités relatives à la manière dont les initiateurs de données exécutent la mission, visée au paragraphe 1er, par rapport à l'entité.

L'entité est responsable des modalités d'exercice du droit à la rectification gratuite des données, comme le prévoit l'article 16 du règlement général sur la protection des données pour la rectification des données à caractère personnel. Les demandes d'ajustement des données inexactes, incomplètes ou incorrectes peuvent être introduites par les canaux d'accès déterminés par l'entité. Selon le cas, l'entité transmet à la Banque-Carrefour des Entreprises et aux initiateurs de données les notifications reçues concernant les données inexactes, incomplètes ou incorrectes. L'entité détermine, après consultation des instances et organisations faîtières concernées, la manière dont les demandes sont examinées, dont le résultat de l'examen est communiqué au demandeur et dont il est donné suite à ce résultat.

§ 4. En ce qui concerne le traitement des données à caractère personnel en exécution de la présente section, les initiateurs de données et l'entité, respectivement, chacun dans la mesure où ce traitement est effectué sous sa propre responsabilité, sont les responsables du traitement tels que visés à l'article 4, 7), du règlement général sur la protection des données. ".

Article 10. Dans le même décret, la même section II est complétée par un article 4/3, rédigé comme suit :

" Art. 4/3. Les instances qui sont initiateurs de données consultent d'abord les données, visées à l'article 4/1 du présent décret, dont elles ont besoin pour l'exécution des missions d'intérêt général dont elles sont chargées ou pour l'accomplissement des obligations qui leur incombent, et qui sont disponibles auprès d'elles dans une source de données dont la gestion des données leur a été confiée conformément à l'article 6/1 du décret du 13 juillet 2012 portant création et organisation d'un intégrateur de services flamand. Si les données précitées ne sont pas disponibles auprès de l'instance concernée, celle-ci, par l'intermédiaire de l'intégrateur de services flamand visé à l'article 3, § 1er, du décret du 13 juillet 2012 portant création et organisation d'un intégrateur de services flamand, demande les données au registre des associations visé à l'article 4 du présent décret. Pour ce faire, le Gouvernement flamand fixe un calendrier pour chaque donnée et pour chaque instance ou groupe d'instances après l'avis de l'organe de pilotage.

Les instances qui ne sont pas d'initiateur de données demandent les données au registre des associations, par l'intermédiaire de l'intégrateur de services flamand précité. Pour ce faire, le Gouvernement flamand fixe un calendrier pour chaque donnée et pour chaque instance ou groupe d'instances après l'avis de l'organe de pilotage.

Si seules les données visées à l'article 4/1, § 1er, alinéa 3, doivent être consultées, les instances peuvent demander ces données à la Banque-Carrefour des Entreprises. ".

Article 11. Dans le même décret, la même section II est complétée par un article 4/4, rédigé comme suit :

" Art. 4/4. Les données à caractère personnel sont conservées conformément aux conditions visées à l'article III.87, § 1er, du Décret de gouvernance du 7 décembre 2018, ou jusqu'à ce que la personne concernée demande la suppression des données à caractère personnel conformément aux conditions visées à l'article 17 du règlement général sur la protection des données, ou jusqu'au décès de la personne concernée. ".

Article 12. Dans le chapitre II du même décret, rétabli par l'article 3, l'intitulé de la section III, abrogée par le décret du 7 décembre 2018, est rétabli dans la rédaction suivante :

" Section III. Création d'une source de données avec des numéros de compte ".

Article 13. L'article 5 du même décret, abrogé par le décret du 13 juillet 2012, est rétabli dans la rédaction suivante :

" Art. 5. L'entité à désigner par le Gouvernement flamand, chargée de faciliter la numérisation dans les instances, ci-après dénommée l'entité, crée une source de données avec les numéros de compte utilisés par les personnes physiques, ni en qualité d'entrepreneur, ni en qualité de membre du personnel ou de collaborateur d'une instance, dans le cadre de la prestation de services par les instances.

En ce qui concerne le traitement des données à caractère personnel en exécution de la présente section, l'entité est le responsable du traitement au sens de l'article 4, 7), du règlement général sur la protection des données. ".

Article 14. La section III du chapitre II du même décret, rétabli par l'article 12, est complétée par un article 5/1, rédigé comme suit :

" Art. 5/1. L'objectif de cette source de données est de traiter les numéros de compte des citoyens qui interagissent avec les instances afin que ces dernières puissent les utiliser pour verser aux citoyens des interventions sous quelque forme que ce soit, accordées par une instance.

La source de données n'est accessible qu'aux instances et uniquement pour l'objectif visé à l'alinéa 1er. ".

Article 15. Dans le même décret, la même section III est complétée par un article 5/2, rédigé comme suit :

" Art. 5/2. Le traitement du numéro de compte par l'entité est fondé sur le consentement du citoyen, conformément à l'article 4, 11) et à l'article 7 du règlement général sur la protection des données.

Le citoyen donne son consentement soit par la communication volontaire, visée à l'article 5/4, 1°, soit par le consentement demandé à cet effet, visé à l'article 5/4, 2°. ".

Article 16. Dans le même décret, la même section III est complétée par un article 5/3, rédigé comme suit :

" Art. 5/3. Pour que les numéros de compte soient associés à la personne correcte, les moyens d'identification nécessaires sont traités, à savoir les prénoms, le nom, le numéro d'identification du Registre national et le numéro d'identification des registres Banque-Carrefour. ".

Article 17. Dans le même décret, la même section III est complétée par un article 5/4, rédigé comme suit :

" Art. 5/4. Le numéro de compte est communiqué à l'entité de la manière suivante :