25 DECEMBRE 2023. - Loi modifiant la loi du 3 décembre 2017 portant création de l'Autorité de protection des données

CHAPITRE 1ER. - Disposition générale

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

CHAPITRE 2. - Modifications de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données

Article 2. A l'article 4 de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, modifié par la loi du 30 juillet 2018, les modifications suivantes sont intégrées:

1° dans le paragraphe 1er, l'alinéa 1er est remplacé par ce qui suit:

"L'Autorité de protection des données est responsable du contrôle de l'application du Règlement 2016/679 et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement de leurs données à caractère personnel et de faciliter le libre flux des données à caractère personnel au sein de l'Union.";

2° dans le paragraphe 1er, deux alinéas rédigés comme suit sont insérés entre les alinéas 1er et 2:

"En application de la présente loi, il est tenu compte d'un principe directeur du Règlement 2016/679 qui stipule que le traitement des données à caractère personnel devrait être conçu pour servir l'humanité et que le droit à la protection des données à caractère personnel qui n'est pas un droit absolu doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité.

L'Autorité de protection des données effectue les missions énumérées à l'article 57 du Règlement 2016/679. A cette fin, elle dispose des pouvoirs d'enquête, d'adopter des mesures correctrices, d'autorisation et consultatifs mentionnés à l'article 58 du Règlement 2016/679. L'Autorité de protection des données doit également contribuer à l'application cohérente du Règlement 2016/679.";

3° dans le paragraphe 2, l'alinéa 2 est remplacé par ce qui suit:

"Lorsqu'aucune autorité de contrôle a été désignée, l'Autorité de protection des données est l'autorité de contrôle compétente.".

Article 3. Dans l'article 5, alinéa 2, de la même loi, le mot "internes" est inséré entre les mots "Les membres de ses organes" et les mots "et les membres de son personnel".

Article 4. Dans l'article 6 de la même loi, les mots "au respect du Règlement 2016/679 ainsi qui" sont insérés entre les mots "le pouvoir de porter toute infraction" et les mots "aux principes fondamentaux de la protection des données à caractère personnel".

Article 5. A l'article 7 de la même loi, les modifications suivantes sont apportées:

1° dans l'alinéa 1er, les mots "de six organes" sont remplacés par les mots "au moins des organes internes suivants";

2° dans l'alinéa 1er, 4°, les mots "centre de connaissances" sont remplacés par les mots "service d'autorisation et d'avis";

3° l'alinéa 2 est remplacé par ce qui suit:

"Chaque organe interne de l'Autorité de protection des données visé à l'alinéa 1er, 2° à 6° est dirigé par un membre différent du comité de direction.";

4° l'article est complété par un alinéa rédigé comme suit:

"L'Autorité de protection des données peut, en application des articles 9, § 1er, alinéa 1er, 3° et 11, § 1er, 1° et 2°, décider de créer des organes internes supplémentaires à ceux mentionnés à l'alinéa 1er. La direction d'un organe interne supplémentaire est confiée par le comité de direction à un membre du comité de direction, à l'exception du président de l'Autorité de protection des données.".

Article 6. L'article 8 de la même loi est remplacé par ce qui suit:

" § 1. L'Autorité de protection des données est dirigée par un comité de direction composé de cinq membres, dont l'un fait office de président.

La fonction de président de l'Autorité de protection des données est limitée à la durée d'un seul mandat et ne peut pas être prolongée.

La fonction est assurée alternativement par une personne appartenant au rôle linguistique français et par une personne appartenant au rôle linguistique néerlandais.

Les membres du comité de direction exercent leurs fonctions à temps plein.

§ 2. Les membres du comité de direction prêtent le serment suivant dans les mains du président de la Chambre des représentants: "Je jure fidélité au Roi, obéissance à la Constitution et aux lois du peuple belge".

Article 7. Dans le chapitre 2 de la même loi, la section 1ère est déplacée et insérée après l'article 7 et son intitulé est complété par les mots:

", le président et les experts".

Article 8. L'article 9 de la même loi est remplacé par ce qui suit:

"Art. 9. § 1. Le comité de direction exerce au moins les missions suivantes:

1° il approuve les comptes annuels et décide le budget annuel, le rapport annuel, le plan stratégique et le plan de management, y compris les priorités annuelles de l'Autorité de protection des données;

2° il détermine les indicateurs d'évaluation relatifs à l'exécution du rapport annuel, du plan stratégique et du plan de management et la manière dont le suivi est assuré;

3° il décide de l'organisation interne et de la composition de l'Autorité de protection des données, y compris la mobilité interne du personnel entre les organes internes. Il veille à ce que l'expertise interne de chaque service soit en adéquation avec les nécessités de ce service. Si les nécessités du service le recommandent, le comité de direction peut également décider d'affecter temporairement certains membres du personnel d'un service vers un autre service;

4° il décide du modèle de la carte de légitimation des membres du personnel du service d'inspection;

5° il remplit le cadre du personnel conformément à l'article 46, § 1, et, à cette fin, réaliser annuellement une mesure de la charge de travail;

6° il décide de la désignation et de la récusation des experts mentionnés dans l'article 18/1;

7° il décide des dossiers d'achats stratégiques à partir d'un montant à déterminer par le comité de direction dans le règlement d'ordre intérieur;

8° il décide des orientations globales pour l'exercice de chacune des missions confiées à l'Autorité de protection des données;

9° il fixe les lignes directrices du fonctionnement de chacun des services de l'Autorité de protection des données;

10° il fixe les lignes directrices pour assurer la cohérence des traitements des dossiers gérés par l'Autorité de protection des données;

11° il veille à la bonne coopération entre les services afin que chacun puisse exercer efficacement sa mission dans une vision commune;

12° il exerce les missions non attribuées aux différents services dans un rôle résiduaire, ou détermine à quel organe interne ces tâches doivent être confiées;

13° il peut discuter collégialement d'un dossier traité dans un organe interne visé à l'article 7, alinéa 1er, 2° à 6°, ou, le cas échéant, dans un organe interne visé à l'article 7, alinéa 3, selon les modalités fixées dans le règlement d'ordre intérieur.

Le comité de direction soumet le projet de plan stratégique à une consultation publique pendant au moins deux semaines. Ensuite, le plan stratégique adopté par le comité de direction est transmis à la Chambre des représentants.

Pour les dossiers des organes internes, la compétence du comité de direction se limite à la discussion d'aspects ayant un impact important ou transversal sur l'Autorité de protection des données. Cette compétence ne constitue pas une limitation de l'exercice autonome des tâches des organes internes.

§ 2. Le comité de direction agit en tant qu'organe collégial. Il est présidé par le président de l'Autorité de protection des données.

§ 3. Le comité de direction ne peut valablement délibérer que si tous ses membres sont présents ou, conformément à l'alinéa 2, représentés.

Un membre du comité de direction peut être représenté par un autre membre. Toutefois, les membres du comité de direction qui sont en charge du service d'inspection et la chambre contentieuse ne peuvent pas se représenter mutuellement.

Le comité de direction décide par consensus. Le règlement d'ordre intérieur détermine les procédures et majorités nécessaires en cas d'absence de consensus à l'exception de l'adoption du règlement d'ordre intérieur même. En cas d'absence de consensus, le règlement d'ordre intérieur ou toute modification au règlement d'ordre intérieur est adopté par deux tiers de l'ensemble du comité de direction. Le vote peut avoir lieu par voie électronique.

§ 4. Le comité de direction se réunit sur demande de l'un de ses membres et au minimum deux fois par mois.

§ 5. Il est dressé procès-verbal des délibérations du comité de direction. Les procès-verbaux sont signés par tous les membres présents.

Le comité de direction décide quelles décisions du comité de direction sont publiées sur le site internet de l'Autorité de protection des données.".

Article 9. Dans l'article 10 de la même loi, l'alinéa 2 est abrogé.

Article 10. L'article 11 de la même loi est remplacé par ce qui suit:

" § 1er. L'Autorité de protection des données adopte un règlement d'ordre intérieur couvrant au moins les domaines suivants:

1° sans préjudice des dispositions de la présente loi, l'organisation interne et la composition de l'Autorité de protection des données. Conformément à l'article 7, l'organisation interne et la composition reflètent au moins les missions et les pouvoirs de l'Autorité de protection des données mentionnés aux articles 57 et 58 du Règlement 2016/679;

2° les modalités pratiques du fonctionnement de l'Autorité de protection des données et en particulier les missions attribuées aux organes internes ainsi que les règles à observer quant au déroulement des réunions du comité de direction;

3° sans préjudice des dispositions de la présente loi, des règles de procédure complémentaires dans le cadre de l'exercice des missions et des pouvoirs en application des articles 57 et 58 du Règlement 2016/679. Le règlement d'ordre intérieur peut comprendre, entre autres, des règles concernant la recevabilité d'une plainte, d'un signalement ou d'une demande, une procédure de médiation, le classement sans suite et les considérations d'opportunité, la position du plaignant dans la procédure, les moyens de défense, l'audition, la représentation des parties, les délais de la procédure, les règles concernant l'emploi des langues et le respect des mesures imposées par l'Autorité de protection des données;

4° sans préjudice de l'article 18/1, les modalités d'établissement de la réserve d'experts, les profils des experts qui doivent en faire partie, les catégories de missions pour lesquelles ils peuvent être désignés ponctuellement ainsi que les modalités de collaboration avec et la rémunération de ces experts;

5° les règles concernant la délégation des pouvoirs des membres du comité de direction;

6° les canaux et les procédures pour le signalement interne et pour le suivi mentionnés à l'article 46, § 3;

7° les procédures internes d'accès au Registre national, comme mentionné à l'article 47.

§ 2. Le règlement d'ordre intérieur prévoit que le service d'inspection et la chambre contentieuse agissent de manière strictement séparée les uns des autres.

§ 3. Le comité de direction transmet le règlement d'ordre intérieur ainsi que toute modification ultérieure du règlement à la Chambre des représentants.

Le règlement d'ordre intérieur ainsi que toute modification ultérieure est publié dans le Moniteur belge.".

Article 11. Les articles 12 à 16 de la même loi sont abrogés.

Article 12. L'article 17 de la même loi est remplacé par ce qui suit:

"Art. 17. Le président de l'Autorité de protection des données:

1° assure la coopération et la coordination au sein du comité de direction et entre les différents organes internes de l'Autorité de protection des données;

2° prépare le budget annuel, les comptes annuels, le rapport annuel, le plan stratégique, le plan de management, y compris les priorités annuelles de l'Autorité de protection des données;

3° gère l'organisation et la composition internes de l'Autorité de protection des données.

Le plan de management contient des accords relatifs aux objectifs de l'Autorité de protection des données et aux moyens nécessaires pour ce faire.".

Article 13. L'article 18 de la même loi, modifié par la loi du 30 juillet 2018, est remplacé par ce qui suit:

"Art. 18. L'Autorité de protection des données est représentée par le président ou par un autre membre du comité de direction selon les règles définies dans le règlement d'ordre intérieur. Le comité de direction définit un mandat clair lorsque l'Autorité de protection des données est représentée.

La décision d'agir en droit au nom de l'Autorité de protection des données dont la décision de signer des engagements avec des tiers, est prise par le comité de direction conformément aux règles de vote visées à l'article 9, § 3.".

Article 14. Dans le chapitre 2, section 1ère, de la même loi, un nouvel article 18/1 est inséré rédigé comme suit:

"Art. 18/1. § 1er. Nonobstant le fait que l'Autorité de protection des données s'appuiera de préférence sur l'expertise interne pour accomplir ses tâches et exercer ses pouvoirs, elle peut faire appel à des experts. Elle établit une réserve d'experts à cette fin qui peuvent être déployés pour des missions ponctuelles.

Les experts agissent à titre personnel, ne font pas partie de l'Autorité de protection des données et ne peuvent ni la représenter ni la lier lors de l'exécution de leurs missions.

§ 2. La désignation d'experts doit permettre à l'Autorité de protection des données, entre autres de:

1° suivre de près et inclure dans ses activités les développements sociaux, éthiques, économiques et technologiques affectant la protection des données à caractère personnel, et

2° faire appel à une expertise technique et non purement juridique, complémentaire à sa propre expertise interne, en appui de l'exercice de ses missions légales.

§ 3. La réserve d'experts visée au paragraphe 1er comprend une liste de vingt experts au maximum qui est soumise à l'approbation de la Chambre des représentants sur proposition du comité de direction. Cette réserve est valable pour deux ans et peut être prolongée, sur proposition du comité de direction.

Deux tiers au maximum des personnes composant la réserve d'experts sont du même sexe.

La réserve d'experts est rendue publique sur le site web de l'Autorité de protection des données et comprend pour chaque expert ses domaines d'expertise.

En plus de cette réserve d'experts, l'Autorité de protection des données peut désigner des experts supplémentaires pour des missions ponctuelles dans la mesure où:

• il y a une nécessité qui est dûment justifiée et;

• l'expertise n'est pas disponible au sein de l'Autorité de protection des données ou dans la réserve d'experts.

La motivation pour la désignation d'un expert supplémentaire en dehors de la réserve est transmise à la Chambre des représentants.

§ 4. Tous les experts doivent remplir les conditions énoncées à l'article 38, 1° à 6°.

§ 5. Les experts donnent leur avis par écrit, sur la base d'une mission d'avis bien définie, et peuvent être entendus par l'Autorité de protection des données si nécessaire. Ils ne participent pas aux délibérations de l'Autorité de protection des données ni aux discussions sur les projets d'avis et recommandations.

Les personnes dont l'activité pourrait bénéficier directement ou indirectement des décisions ou prises de positions que peut prendre l'Autorité de protection des données ou ayant un intérêt direct ou indirect dans certains dossiers, ou dans lesquels leurs parents ou alliés jusqu'au troisième degré ont un intérêt personnel ou direct, ne peuvent pas être nommées en tant qu'experts en ce qui concerne ces dossiers.

Les experts présentent, avant d'accepter la mission ponctuelle, une déclaration sur l'honneur indiquant qu'ils ne sont soumis à aucun conflit d'intérêts et qu'ils remplissent les conditions visées à l'article 38, 1° à 6°. Les déclarations sont conservées par le secrétariat de l'Autorité de protection des données et elles sont placées en ligne. En cas de conflit d'intérêts, l'Autorité de protection des données constate qu'un expert ne peut pas être consulté.

Si des circonstances nouvelles susceptibles de générer un conflit d'intérêt ou d'impliquer le non-respect d'une ou plusieurs conditions visées à l'article 38, 1° à 6°, les experts sont tenus d'en informer la Chambre sans délai.

§ 6. Sans préjudice des paragraphe 1er et 3, l'Autorité de protection des données peut solliciter l'analyse de tout organisme public ou privé. Ces analyses sont rendues au nom de l'institution sollicitée et ne sont pas contraignantes.".

Article 15. L'article 21 de la même loi est remplacé par ce qui suit:

"Art. 21. Le secrétariat général est dirigé par le président de l'Autorité de protection des données.".

Article 16. A l'article 22 de la même loi, les modifications suivantes sont apportées:

1° dans le paragraphe 1er 1°, les mots "et procède à un examen de recevabilité des plaintes" sont rajoutés après les mots "Autorité de protection des données";

2° le paragraphe 1er, 2° est remplacé par ce qui suit:

"lance une procédure de médiation dès qu'elle le juge pertinent;";

3° l'article est complété par un paragraphe 4 rédigé comme suit:

" § 4. Le service d'autorisation et d'avis est dirigé par le directeur du service d'autorisation et d'avis.".

Article 17. L'intitulé du chapitre 2, section 4, de la même loi est remplacé par ce qui suit:

"Section 4. Le service d'autorisation et d'avis".

Article 18. A l'article 23 de la même loi, les modifications suivantes sont apportées:

1° dans le paragraphe 1er, les mots "Le centre de connaissances" sont remplacés par le mot "Le service d'autorisation et d'avis";

2° dans le paragraphe 1er, 2°, le mot "éthiques" est inséré entre le mot "sociaux," et le mot "économiques";

3° dans le paragraphe 2, dont le texte actuel formera le paragraphe 1er alinea 2, les mots "centre de connaissances" sont remplacés par les mots "service d'autorisation et d'avis";

4° l'article est complété par deux paragraphes rédigés comme suit:

" § 2. Sans préjudice des compétences attribuées au secrétariat général conformément à l'article 20, § 1, le service d'autorisation et d'avis exerce les autres pouvoirs d'avis et d'autorisation visés à l'article 58, § 3, du Règlement 2016/679, à l'exception du pouvoir visé à l'article 58, § 3, e) du Règlement 2016/679.

§ 3. Dans le cadre de l'application de la loi du 13 juin 2005 relative aux communications électroniques et de lois particulières et sans préjudice des pouvoirs des autorités de contrôle visées aux titres 2 et 3 de la loi du 31 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et de ceux de la commission administrative chargée de la surveillance des méthodes spécifiques et exceptionnelles de recueil de données par les services de renseignement et de sécurité créée par l'article 43/1 de la loi organique du 30 novembre 1998 des services de renseignement et de sécurité, le service d'autorisation et d'avis émet des autorisations d'accès aux métadonnées de communication relatives au trafic ou à la localisation pour les institutions compétentes, pour les finalités qui ne relèvent pas: