2. Table des matières
7.3.2 Avis 07/2011 du 9 février 2011 25
7.3.3 Avis 36/2011 du 21 décembre 2011 26
7.4 Technologie de l’information et de la communication 27
7.4.1 Recommandation 07/2011 du 21 décembre 2011 27
Première partie : la Commission 6 7.4.2 Avis 32/2011 du 30 novembre 2011 28
1 La mission de la Commission 7 7.4.3 Travaux de normalisation 28
Le rôle de la Commission 7 7.4.4 Plate-forme concertation sur la sécurité des informations 29
2.1 Réglementation et encadrement normatif 9 7.5 Justice et sécurité 29
2.2 Politique de respect des dispositions légales 9 7.5.1 Renforcement de l’information aux personnes concernées 29
2.3 Information 9 7.5.2 Protocole d’accord du 13 juillet 2011 entre le SPF Justice et la Commission 0
3
7.5.3 Recommandation 6/2011 du 6 juillet 2011 31
2 Les domaines d’activité de la Commission 9 7.5.4 Avis 31/2011 du 30 novembre 2011 32
2.1 Réglementation et encadrement normatif 9 7.5.5 Avis 23/2011 du 28 septembre 2011 34
2.2. Politique de respect des dispositions légales 9 7.6 Transport et mobilité 36
2.3. Information 7.6.1 Avis 14/2011 du 6 juillet 2011 36
2.4 Assistance 10 7.6.2 Avis 16/2011 du 6 juillet 2011 37
2.5 Traitement des plaintes 10 7.6.3 Avis 02/2011 du 19 janvier 2011 37
2.6 Au niveau international 11 7.7 Santé 38
7.7.1 Recommandation 02/2011 du 4 mai 2011 38
3 La composition de la Commission 12 7.7.2 Avis 03/2011 du 9 février 2011 39
3.1 Membres effectifs 12 7.7.3 Avis 09/2011 du 23 mars 2011 40
3.2 Membres suppléants 12 7.7.4 Avis 25/2011 et 26/2011 du 19 octobre 2011 41
7.7.5 Vade-mecum relatif à la recherche biomédicale 42
4 La structure de la Commission 13 7.8 Divers 43
4.1 Profil des membres 13 7.8.1 Avis 08/2011 du 2 mars 2011 43
4.2 Mandats des membres 13 7.8.2 Avis 19/2011 du 28 septembre 2011 44
4.3 Fonctions des membres 13 7.8.3 Avis n° 22/2011 du 18 septembre 2011 45
4.4 Rôle du président 13 7.8.4 Avis n° 21/2011 du 28 septembre 2011 46
4.5 Comités sectoriels 13 7.8.5 Avis n° 10/2011 du 25 mai 2011 47
4.6 Secrétariat 14 7.8.6 Avis n° 35/2011 du 21 décembre 2011 47
7.8.7 Consultation publique cybersurveillance 48
5 La structure de l’administration 15 7.8.8 Avis n° 28/2011 du 9 novembre 2011 49
6.1 Intégration des comités sectoriels 16 7.8.9 Recommandation 03/11 du 25 mai 2011 50
6.2 Contrôle de la vie privée - Évaluation 16 7.8.10 Suppression de l’application « Juif ou pas Juif ?” de
l’iTunes App Store belge 51
6 Le plan de gestion de la Commission 16 7.8.11 Médiation de la Commission en matière d’accès aux archives de presse 51
6.3 Information au public 17
6.4 Soutien de la Commission et des Comités sectoriels 17 8 Les principales activités internationales de la Commission 52
6.5 Coopération internationale 17 8.1 Conférences internationales 52
6.6 Politique de respect des dispositions légales 17 8.1.1. Conférence européenne des Commissaires à la protection des données 52
6.7 Déclarations et registre public 18 8.1.2 Conférence internationale des
6.8 Vie privée et recherche scientifique 18 Commissaires à la protection des données 52
8.1.3 Conférence de l’AFAPDP 54
7 Principales activités nationales de la Commission 19 8.2 Groupe de travail protection des données « Article 29” – Groupe 29 (G29) et
7.1 E-government 19 groupes de travail “ groupe 29 ” 58
7.1.1 Avis n° 18/2011 du 7 septembre 2011 19 8.2.1 Groupe 29 58
7.2 Échange électronique de données administratives 20 8.2.2 Technology Subgroup 67
7.2.1 Avis n° 03/2011 du 9 février 2011 20 8.2.3 Sous-groupe BCR 67
7.2.2 Recommandation 05/2011 du 15 juin 2011 21 8.3 IWGDPT (International Working Group on Data Protection
7.2.3 Recommandation 01/2011 du 9 février 2011 22 in Telecommunication) 67
7.2.4 Avis 33/2011 du 30 novembre 2011 23 8.4 Organes de contrôle communs 68
7.3 Secteur financier 23 8.4.1 Schengen 68
7.3.1 Avis 06/2011 du 9 février 2011 23 8.4.2 Europol 68
2
3. 8.4.3 Groupe de coordination du contrôle d’Eurodac 68 2 Les principales activités des comités sectoriels 114
8.5 Le Conseil de l’Europe et la protection des données 69 2.1 Commission loco Comité de
9.1 Réglementation et normalisation 71 surveillance statistique 114
9.2 Politique de respect des dispositions légales 71 2.2 Comité sectoriel du Registre national 114
2.2.1 Autorisations générales 114
9 Les activités de la Commission en chiffres 71 2.2.2 Délibération RN n° 24/2011 du 20 avril 2011v 115
9.2.1 Tâches de contrôle 72 2.2.3 Délibération RN n° 49/2011 du 21 septembre 2011 115
9.2.2 Notification de l’utilisation d’une caméra mobile par 2.2.4 Délibération RN n° 11/2011 du 16 février 2011 116
les services de police 72 2.2.5 Délibération RN n° 19/2011 du 16 mars 2011 116
9.3 Information 72 2.2.6 Délibération RN n° 45/2011 du 21 septembre 2011 116
9.3.1 Support du front office en matière d’information 72 2.2.7 Délibération RN n° 71/2011 du 14 décembre 2011 117
9.3.2 Déclarations enregistrées dans le registre public 73 2.2.8 Délibération RN n° 72/2011 du 14 décembre 2011 117
9.3.3 Publication d’informations sur le site web 2.3 Comité sectoriel pour l’Autorité Fédérale 118
2.3.1 Délibération AF n° 12/2011 du 9 juin 2011 118
http ://www.privacycommission.be 73
2.3.2 Délibération AF n° 16/2011 du 21 décembre 2011 118
9.3.4 Publication d’informations sur le site web
2.3.3 Délibération AF n° 09/2011 du 12 mai 2011 119
http ://www.jedecide.be 73
2.3.4 Délibération AF n° 15/2011 du 22 décembre 2011 119
9.4 Dossiers de fond 76
2.4 Comité sectoriel de la Sécurité Sociale et de la Santé 121
9.5 Dossiers d’évaluation 77
2.4.1 Section Santé 121
9.6 Tableaux et graphiques 78
2.4.2 Section Sécurité Sociale 123
9.6.1. Dossiers de décision traités par la Commission en 2011 en chiffres 78
9.6.1.1. Analyse globale des dossiers de décision Commission 2011 78
3 Les activités des comités sectoriels en chiffres 126
9.6.1.3 Suite donnée aux dossiers de décision clôturés 81
3.1 Le Comité sectoriel de la Sécurité Sociale et de la Santé 126
9.6.2. Dossiers de fond 2011 en chiffres 82
3.2 Le Comité sectoriel pour
9.6.2.2 Délai de traitement dossiers de fond 84
l’Autorité Fédérale 126
9.6.2.3 Suite donnée aux dossiers de fond clôturés 85
3.3 Le Comité sectoriel du Registre national 126
9.6.2.4 Analyse du contenu des dossiers de fond reçus 86
3.4 Le Comité sectoriel de la Banque-Carrefour des Entreprises et le Comité de
9.6.2.4.2 Type de données traitées dans les dossiers de fond (top 5) 92
surveillance sectoriel Phénix 127
9.6.2.4.3 Législation traitée dans les dossiers de fond (top 5) 93
3.5 Tableaux et graphiques 128
9.6.2.4.4 Relation responsable du traitement & personne concernée 94
3.5.1. Dossiers traités par les comités sectoriels 128
9.6.3 Dossiers Question et Réponse (dossiers Q&A) 2011 en chiffres 95
3.5.1.1 Comité sectoriel de la Sécurité sociale et de la Santé 128
9.6.3.2 Analyse du contenu des dossiers FO 96
3.5.1.1.1 Section Santé 128
9.6.3.2.1 Domaines et sous-domaines des dossiers FO (top 5) 96
3.5.2 Comité sectoriel pour l’Autorité Fédérale : dossiers AF-MA en chiffres 129
9.6.3.2.2 Législation traitée dans les dossiers FO (top 5) 98
3.5.2.2 Délai de traitement dossiers AF-MA 131
9.6.3.2.3 Relation responsable du traitement & personne concernée 99
4.2.3 Suite donnée aux dossiers d'autorisation clôturés 133
9.6.4. Dossiers de déclaration et de notification en chiffres 100
4.2.4 Nombre d'adhésions par autorisation générale 133
9.6.4.1. Analyse globale des déclarations et traitements 100
3.5.3 Comité de surveillance Statistitique : dossiers STAT-MA en chiffres 134
9.6.4. 2 Déclarations de nouveaux traitements de données 101
3.5.3.2 Délai de traitement dossiers STA-MA 136
9.6.4.4 Notification de l'utilisation d'une caméra mobile par
3.5.3.3 Suite donnée aux dossiers d'autorisation clôturés 136
les services de police 103
3.5.4 Comité sectoriel du Registre national : dossiers RN-MA en chiffres 137
9.6.5 Analyse Comparative : 2010 - 2011 104
3.5.4.1 Analyse globale dossiers RN-MA 2011 137
9.6.5.1 Ouverture de dossiers 104
3.5.4.2 Délai de traitement dossiers RN-MA 139
9.6.5.2 Clôture de dossiers 105
3.5.4.3 Suite donnée aux dossiers d'autorisation clôturés 141
3.5.4.4 Nombre d'adhésions par autorisation générale 141
Deuxième partie : les comités sectoriels 107
1 La composition des comités sectoriels 109
1.1 Comité sectoriel du Registre national 110
1.2 Comité sectoriel de la Sécurité Sociale et de la Santé 110
1.3 Le Comité sectoriel pour l’Autorité Fédérale 112
1.4 Le Comité sectoriel de la Banque-Carrefour des Entreprises 112
1.5 Comité de surveillance sectoriel Phenix 112
1.6 Comité de surveillance statistique 113
Commission de la protection de la vie privée — rapport annuel 2011 3
4. Préface
« TOUT CE QUI A DE LA VALEUR EST mente, mais plutôt de sac de nœuds. Il était dès lors grand
VULNÉRABLE» temps d’essayer de trouver une voie plus sûre et d’offrir aux
personnes concernées (on parle quand même encore tou-
La préface d’un rapport annuel est toujours rédigée l’année jours de quelques millions d’habitants dans ce pays) des
suivante. Il est dès lors très tentant d’aborder ce qui est «à directives fiables et des paradigmes valables. Une ligne
l’ordre du jour » au moment même. Actuellement, il est évi- de conduite conforme à la loi et à la règle, mais aussi à la
demment question de la proposition de la commissaire eu- pratique et à la réglementation que les partenaires sociaux
ropéenne et vice‑présidente de la Commission européenne, considèrent pour la grande majorité comme une politique
Viviane Reding : un nouveau cadre juridique pour la protec- acceptable.
tion de la vie privée dans l’Union européenne. Bien qu’à la
Le 6 juillet 2011, la Commission a adopté un «rapport », une
fin décembre 2011, un texte ait «filtré » via Statewatch et que
sorte de livre vert, contenant les éléments d’une recomman-
la dernière réunion du Groupe 29 du 29 décembre 2011 ait
dation, qui a ensuite fait l’objet d’une consultation publique,
bruissé des rumeurs et des communications de sources bien
du 15 juillet au 30 novembre. Selon cette recommanda-
informées, ce n’est que le 25 janvier 2012 que la proposition
tion, le droit général de l’employeur d’exercer une autorité,
a été publiée dans son intégralité. De quoi donc alimenter le
tel qu’établi dans la loi relative aux contrats de travail ou
rapport annuel 2012 (et peut-être encore quelques éditions
dans des dispositions légales analogues pour la fonction
ultérieures).
publique, constitue le fondement pour effectuer certains
Le plus important dossier que la Commission ait traité contrôles, pour autant que ceux-ci se déroulent conformé-
courant 2011 est peut-être celui qui a reçu le nom de code ment à la gestion habituelle normale de l’entreprise (en tant
«cybersurveillance ». Le contrôle des travailleurs par les qu’employeur raisonnable et prudent) et conformément à
employeurs (l’inverse est possible également, mais cela ne d’autres dispositions pertinentes applicables au niveau lé-
suscite en pratique que peu de problèmes de respect de la vie gal. Il s’agit en premier lieu de la loi vie privée mais aussi des
privée) est une problématique dont la Commission s’occupe principes de la CCT n° 81. Lors de la consultation publique,
activement depuis déjà quelques années. Le sujet n’était pas la Commission a reçu des dizaines de réactions et suite à
simple car la question de savoir si la CCT n° 81 constituait cela, elle a également organisé une après-midi d’étude dans
bel et bien un instrument tout à fait légal s’est avérée dif- la salle du Congrès de la Chambre des Représentants le
ficile à trancher (l’article 22 de la Constitution ne connaît 16 décembre 2011. Ces réactions ainsi que les idées échan-
en effet que la loi, et pas la CCT, comme unique source juri- gées lors de l’après-midi d’étude ont contribué à élaborer le
dique valable pour restreindre les droits relatifs au respect texte de la disposition définitive telle qu’elle a été adoptée le
de la vie privée …). Pendant un temps, le Secrétariat de la 2 mai 2012.
Commission avait même pour politique d’ignorer com-
Ceci n’a pas suffi à rétablir totalement l’équilibre précaire
plètement l’existence de la CCT n° 81 lors du traitement de
dans le cadre du contrôle dans les relations de travail : l’ap-
demandes d’informations à ce sujet. Et lorsque la loi relative
parition d’autres techniques et pratiques auxquelles il fau-
aux communications électroniques (LCE) est venue s’ajou-
dra répondre au cas par cas en est déjà la preuve. Toutefois,
ter, la confusion est devenue totale, vu que les exceptions de
l’expérience et la compétence que la Commission a acquises
l’article 125 de la LCE ne semblaient pas prévoir d’exception
dans le dossier susmentionné devraient à présent peut-être
«toute faite » en la matière. Par ailleurs, la jurisprudence
lui faciliter un peu la tâche.
ne faisait pas non plus vraiment figure de roc dans la tour-
4
5. En 2011, certes pendant la période creuse du mois d’août, la Trois dossiers concrets dans lesquels la Commission a dé-
Commission a vu s’étaler à la une du journal ‘De Standaard’ montré sa capacité à œuvrer à des solutions en toute équité,
le compte rendu de la guerre imminente entre la Commis- soit par une réaction rapide comme avec bpost, soit par une
sion et bpost concernant l’enquête à grande échelle menée recherche à plus long terme d’une politique protectrice à
par le département marketing de bpost auprès de millions large spectre dans des secteurs socialement fragiles mais
d’habitants de ce pays. Il n’a pas fallu en arriver à lancer un importants tels que le secteur social, et enfin par le règle-
ultimatum. Le fait d’avoir fait les gros titres y a peut-être été ment, ici même dans notre pays, d’une data protection breach
pour beaucoup, mais la Commission et bpost ont rapide- (atteinte à la protection des données) mondiale par des
ment engagé d’intenses pourparlers et ces négociations ont géants tels que Google. Les résultats sont plus importants
permis de dégager une méthode de travail acceptable pour que le postulat de la doctrine pure, même si dégager un
tout le monde. compromis requiert plus de travail et d’énergie que de pro-
clamer le caractère absolu du droit au respect de la vie privée.
Pour clôturer ce top 3 des principaux événements relatifs à
Même s’il ne faut jamais oublier que le droit au respect de la
la protection de la vie privée, je ne veux pas manquer de men-
vie privée est un droit fondamental, un droit de l’homme qui
tionner que Google a accepté la proposition de conciliation
ne peut faire l’objet d’aucun marchandage et que l’on ne peut
du parquet fédéral en payant la somme de 150 000 euros.
fouler aux pieds. Et telle est l’exigence de résultat la plus éle-
Le parquet était parvenu à cette proposition après l’enquête
vée : apporter des solutions équitables conformes aux at-
sur l’ «incident du WiFi » dans le dossier Google Street View.
tentes légitimes des citoyens de ce pays. Préserver la dignité
Cette enquête a été menée en collaboration efficace entre la
humaine comme un bien vulnérable et de grande valeur.
Commission, la Federal Computer Crime Unit et le parquet,
qui a pris l’affaire au sérieux. Google a donc humblement Lucebert, un poète hollandais, écrivait déjà : « Tout ce qui
reconnu avoir commis une erreur et en a finalement accepté a de la valeur est vulnérable ». C’est pourquoi la vie privée
les conséquences juridiques. Ici encore, une solution raison- doit être protégée en permanence et sans faillir. Nous y tra-
nable a été trouvée pour un problème qui, dans la plupart vaillons. Et j’ose espérer que le présent rapport annuel vous
des autres pays européens, n’est pas encore ou tout simple- convaincra qu’en 2011, la Commission vie privée a fait da-
ment pas réglé. vantage que traiter les affaires courantes.
Willem Debeuckelaere
Président de la Commission vie privée
Commission de la protection de la vie privée — rapport annuel 2011 5
6.
7. Première partie : la Commission
Commission de la protection de la vie privée — rapport annuel 2011 7
8.
9. 1 La mission de la Commission
La Commission est un organe indépendant.
Elle gère le traitement de données à caractère personnel.
Elle s’adapte aux évolutions de son temps.
Ses mots d’ordre sont rapidité et dynamisme.
La Commission de la protection de la vie privée, dont la dé- Le rôle de la Commission
nomination officielle est parfois abrégée en « Commission
vie privée », est un organe de contrôle indépendant chargé Sans sa réflexion et ses actes, la Commission de la protec-
de veiller à la protection de la vie privée lors du traitement de tion de la vie privée se veut déterminante dans le main-
données à caractère personnel. tien de l’équilibre du droit fondamental à la protection de
la vie privée. Elle reconnaît la nécessité pour notre société
Elle a été créée suite à l’adoption par la Chambre des Repré-
de la connaissance de collecter et de traiter des données à
sentants de Belgique de la Loi du 8 décembre 1992 relative à
caractère personnel en vue de développements tant sociaux
la protection de la vie privée à l’égard des traitements de données à
qu’économiques et cherche donc, dans le cadre de ses déci-
caractère personnel (Loi vie privée).
sions et de ses activités de surveillance du respect de la vie
Les compétences de la Commission sont vastes et générales. privée, à trouver le juste équilibre entre d’une part les besoins
Elle est compétente pour toute forme de traitement de don- sociaux et économiques, et d’autre part le droit fondamental
nées à caractère personnel, quel que soit le domaine dans au respect de la vie privée des citoyens. La Commission a
lequel s’opère le traitement et quelle qu’en soit la nature : parfaitement conscience que tout traitement de données
secteur privé ou secteur public, traitement automatisé ou implique des risques sur le plan de la protection de la vie
non, etc. privée et souligne donc l’importance de diffuser des infor-
mations de sensibilisation aussi bien aux personnes dont les
Face aux traitements de données de plus en plus nombreux, données sont traitées qu’aux responsables des traitements
à la demande faite aux services publics d’être de plus en ainsi que de prévoir des garanties, et ceci plus spécialement
plus rapides, au développement de l’e-gouvernement et à la sur le plan de la protection de l’information. La Commission
demande de délais d’avis ou d’autorisation de plus en plus est par ailleurs attentive au fait que le recours aux technolo-
courts, la Commission n’a de cesse d’adapter au mieux son gies de traitement des données à caractère personnel repré-
mode de fonctionnement. sente un facteur très important dans notre société actuelle
en termes d’augmentation du bien-être et de la prospérité
Tout en répondant aux attentes d’un environnement en
des citoyens.
mutation rapide et dynamique, la Commission veille aussi
au respect de la nécessité de son indépendance et de son La Commission s’est fixé pour objectif de tout mettre en
autorité, des points qui ont d’ailleurs fait l’objet de la Loi du œuvre pour que les citoyens aient confiance dans ces tech-
26 février 2003 (Moniteur belge du 26 juin 2003) qui visait à nologies. Elle rappelle à ce propos la responsabilité de cha-
accroître son efficacité et ses performances. cun d’agir de manière consciente aussi bien avec ses propres
données à caractère personnel qu’avec celles des autres.
Commission de la protection de la vie privée — rapport annuel 2011 9
10. À cet effet, elle poursuit ses actions de sensibilisation à un
comportement conscient et sûr au niveau de la communi-
cation et du traitement des données à caractère personnel.
Elle entend également souligner l’importance de garantir
et de respecter les droits des personnes concernées dans le
cadre du traitement de leurs données à caractère person-
nel et veut se servir de son ascendant pour encourager les
responsables de traitements de données – tant publics que
privés – à prendre toutes les mesures qui doivent l’être sur la
base d’une analyse approfondie des risques afin de garantir
le droit fondamental au respect de la vie privée et familiale.
Dans ce cadre, la Commission vise la reconnaissance de son
rôle de leader tant national qu’international. Elle veut mar-
quer de son sceau la conception et l’élaboration de normes
pertinentes en matière de sécurité de l’information et de
protection de la vie privée et veiller à leur respect et à leur
promotion par le biais de mécanismes de contrôle appro-
priés.
Afin de formuler une réponse adaptée au caractère de plus
en plus international des traitements de données à caractère
personnel, la Commission entend se servir de sa position de
centre de référence national pour collaborer intensivement
dans le cadre de partenariats internationaux, et plus spéci-
fiquement des partenariats européens qui développent des
activités destinées à protéger les données à caractère per-
sonnel. Dans ce cadre, elle veille aussi à l’intégration ad hoc
de l’impact de l’internationalisation sur les traitements de
données nationaux.
10
11. 2 Les domaines d’activité de la Commission
Se profiler comme un leader reconnu au niveau national et international.
Faire office de centre de référence.
Développer ses cinq domaines d’activité.
La Commission a pour ambition constante de jouer un rôle traitement ultérieur — article 21 de l’arrêté royal du 13 fé-
de leader en matière de protection de la vie privée, et ceci vrier 2001 portant exécution de la loi du 8 décembre 1992 relative
tant à l’échelon national qu’à l’échelon international. Elle se à la protection de la vie privée à l’égard des traitements de données à
veut un centre de référence incontournable offrant un maxi- caractère personnel).
mum de services aussi efficients que performants.
En siégeant dans des groupes de travail nationaux et inter-
Pour cette raison, elle participe à l’élaboration de normes nationaux (p. ex. le Groupe de travail Article 29, le Groupe
pertinentes en matière de sécurité de l’information et de de Berlin, la Conférence des Commissaires ou d’autres or-
protection de la vie privée. Elle est chargée de développer et ganes de contrôle en matière de protection de la vie privée,
de surveiller ces normes et veille à leur bonne application. …) et de par ses contacts avec des organisations similaires à
l’étranger, la Commission marque de son sceau les proces-
Les différentes tâches de la Commission destinées à main-
sus décisionnels en matière de protection de la vie privée.
tenir l’équilibre nécessaire se répartissent en cinq grands
domaines d’activité. 2.2 Politique de respect des disposi-
tions légales
La Commission de la protection de la vie privée émet des
avis sur la législation et la normalisation, mène une poli- Ce pilier couvre un large éventail de tâches et n’est pas seu-
tique d’encadrement normatif, diffuse des informations et lement axé sur les instances publiques compétentes, mais
offre un soutien informatif, aide les personnes concernées aussi sur les responsables de traitement. Les compétences
à exercer leurs droits et à respecter leurs obligations, traite de la Commission en matière d’autorisation consistent à
les plaintes relatives à des traitements de données qui lui accorder à une instance d’un secteur déterminé responsable
sont soumises et intervient en tant que médiateur, le cas d’un traitement l’autorisation de procéder à ce traitement
échéant, pour contribuer à garantir l’équilibre entre le droit et d’obtenir la communication de données à caractère per-
fondamental à la protection de la vie privée de chacun dans sonnel. Toujours à l’égard de ces mêmes responsables, la
le cadre du traitement de données à caractère personnel. Commission assume également des tâches de contrôle et
d’inspection, émet des recommandations (article 30, § 2 de
2.1 Réglementation et encadrement
la Loi vie privée) et évalue les mesures de sécurité qui ont été
normatif
prises.
Dans ce domaine, les activités sont surtout axées d’une part
2.3 Information
sur les autorités et/ou instances compétentes (avis – ar-
ticle 29 Loi vie privée, recommandations — article 30, § 1er Un troisième pilier d’activité de la Commission est celui de
de la Loi vie privée) et, d’autre part, sur les responsabilités la mission d’information dont elle est investie, aussi bien
en matière de traitement (recommandations relatives au à l’égard des instances publiques que des responsables de
Commission de la protection de la vie privée — rapport annuel 2011 11
12. traitement ou encore des personnes concernées. On retrouve • la communication des informations demandées par
dans ce domaine d’activité : le rapport annuel destiné au des particuliers ou des responsables de traitement de
Parlement et l’élaboration d’un plan de gestion, la rédaction données ;
de son Règlement d’ordre intérieur, la tenue d’un registre • l’élaboration d’un rapport annuel destiné au Parlement.
public et de manière plus générale, une tâche d’information
En répondant aux demandes de concertation informelle
à l’égard du public (site web, conférences, réponses orien-
préalable qui permet de tenir compte des exigences de la
tées client, sensibilisation, …).
Loi vie privée dès la phase de développement des projets, la
Il convient encore de souligner qu’au sein de ces différents Commission aide tant les instances publiques que les res-
domaines d’activité, la Commission ne se limite pas néces- ponsables de traitement. La Commission aide également
sairement au territoire national. Ses actions ont aussi sou- les personnes dont les données sont traitées à exercer leurs
vent une dimension internationale et la Commission joue droits, notamment en les informant sur leurs droits et sur la
un rôle d’information et de sensibilisation important sur la procédure à suivre.
scène internationale.
Dans le cadre des échanges internationaux de données, la
2.4 Assistance Commission apporte son soutien aux instances qui exercent
des activités transfrontalières, e.a. en collaborant à des
Ce quatrième domaine d’activité concerne la mission d’in- groupes de travail internationaux dans lesquels sont éla-
formation de la Commission. Dans ce cadre, elle s’adresse à borées des règles contraignantes relatives à la protection
tous les groupes cibles : des données à caractère personnel (p. ex. l’élaboration des
Binding Corporate Rules, …). À ce niveau, comme au niveau
• les autorités ;
national, la Commission soutient les personnes dont les
• le secteur privé ;
données sont traitées et intégrées dans des flux de données
• le citoyen ;
transfrontières.
• le responsable du traitement de données (il peut s’agir
d’une personne physique ou d’une personne morale). 2.5 Traitement des plaintes
Dans ce domaine, les tâches de la Commission com-
Ce domaine d’activité concerne plus particulièrement les
prennent :
citoyens dont les données sont traitées. Il englobe le trai-
• la communication des informations demandées par tement des plaintes et l’éventuelle procédure de médiation
toute personne, qu’elle soit concernée par un traite- qui peut y être liée. Lorsque les droits d’un citoyen dont les
ment de données ou responsable d’un/de traitement(s) données font l’objet d’un traitement ne sont pas respectés
de données ; par le responsable du traitement, la Commission intervient
• l’exercice du droit d’accès et de rectification (accès indi- à la demande de l’intéressé pour faire respecter ses droits
rect) ; (droit d’opposition, de rectification, d’accès indirect, …).
• le traitement des déclarations ; Pour cela, la Commission met en œuvre les moyens dont elle
• la tenue à jour du registre public ; dispose (déclaration au procureur du Roi, action devant le
• la dispense d’informations dans le cadre du traitement tribunal civil, …).
des plaintes ;
12
13. Lorsqu’il s’agit d’infractions internationales relatives à
la protection des données, la Commission apporte son
concours aux enquêtes internationales destinées à mettre
en place des solutions utiles qui demandent l’engagement
de toutes les instances concernées par la protection des
données.
2.6 Au niveau international
La Commission fait face à une internationalisation
croissante.
Elle siège dans des organismes de contrôle internatio-
naux.
Elle participe à des groupes de travail européens.
Elle fait partie du Groupe de travail Article 29.
Les interventions de la Commission dans les cinq domaines
d’activité précités ont souvent une portée internationale.
C’est ainsi que la Commission, non seulement siège, via
ses représentants, dans divers organes de contrôle inter-
nationaux (Schengen, Europol, etc.) mais participe aussi
activement, aux côtés de ses homologues, à des activités
organisées au sein d’organisations et de groupes de travail
européens et internationaux traitant des aspects politiques
et normatifs de la vie privée, notamment : le Groupe de tra-
vail Article 29, ou Groupe 29, constitué à l’échelle de l’Union
européenne, le Groupe de Berlin, la Conférence des Com-
missaires ou des organes de contrôle en matière de protec-
tion de la vie privée.
Plus l’internationalisation des échanges et des transferts de
données s’intensifie, plus le rôle et le statut de la Commis-
sion seront appelés, eux aussi, à s’internationaliser.
Commission de la protection de la vie privée — rapport annuel 2011 13
14. 3 La composition de la Commission
Les membres de l’actuelle Commission ont débuté leurs activités le 2 décembre 2004, après avoir prêté serment entre les mains
du Président de la Chambre des Représentants, Monsieur Herman De Croo. Depuis, quelques changements sont intervenus
dans la composition de la Commission, notamment suite à la démission de certains des membres initialement désignés.
3.1 Membres effectifs
M. Willem Debeuckelaere (N) Président
M. Stefan Verschuere (F) Vice-président
Mme Mireille Salmon (F) Conseillère à la Cour d’appel de Bruxelles
M. Serge Mertens de Wilmars (F) Enseignant
Mme Anne Vander Donckt (N) Notaire
M. Frank Robben (N) Administrateur général de la Banque-carrefour de la Sécurité sociale
(BCSS) et de la plate-forme eHealth
M. Peter Poma (N) Juge de paix - Canton de Brasschaat
Mme Anne Junion (F) Avocate
3.2 Membres suppléants
Mme Nicole Lepoivre (F) Présidente honoraire du tribunal du travail de Huy
Présidente suppléante
M. Bart De Schutter (N) Professeur ordinaire émérite à la Vrije Universiteit Brussel (VUB)
Vice-président suppléant
M. Jan Remans (N) Rhumatologue
M. Rudy Trogh (N) Chef du personnel de la Banque Nationale de Belgique (BNB)
M. Eric Gheur (F) Administrateur-gérant de la SPRL Galaxia I.S.E. et
consultant en sécurité de l'information
Mme Françoise D'Hautcourt (F) Directrice du Centre des Technologies pour l’Enseignement de l’ULB
M. Frank Schuermans (N) Avocat général près la Cour d'appel de Gand
M. Yves Roger (F) Président du Comité sectoriel de la Sécurité Sociale et de la Santé
14
15. 4 La structure de la Commission
La Commission est constituée de seize membres.
Leur mandat est fixé à six ans.
Le Président est un magistrat.
La haute direction s’occupe de la gestion quotidienne de la Commission et de sa représentativité.
La Commission comprend des comités sectoriels.
Elle bénéficie de l’aide d’un Secrétariat.
4.1 Profil des membres lieu, en principe, toutes les trois semaines. En 2011, la Com-
mission a tenu 16 séances plénières.
La Commission compte seize membres :
4.4 Rôle du président
• un président ;
• un vice-président ; Les principales fonctions du président sont :
• six membres effectifs ;
• il assume la haute direction de la Commission ;
• huit membres suppléants.
• il définit sa politique ;
Tous peuvent se prévaloir d’une expertise en matière de pro- • il représente la Commission à l’échelle nationale et
tection de la vie privée et de gestion des données à caractère internationale* ;
personnel. • il assure sa gestion quotidienne ;
• il préside les réunions de la Commission ;
La Commission doit impérativement compter parmi ses • il préside de droit les comités sectoriels ;
membres : un juriste, un informaticien et deux personnes • il joue à tout le moins un rôle de coordinateur à l’égard
pouvant justifier d’une expérience professionnelle dans le des présidents des différents comités sectoriels.
domaine de la gestion des données à caractère personnel, * Il est à noter que la représentation de la Commission au
respectivement dans le secteur public et dans le secteur sein de groupes de travail et d’organismes de contrôle inter-
privé. nationaux peut également être confiée à d’autres membres.
Le mandat de président est réservé à un magistrat. 4.5 Comités sectoriels
4.2 Mandats des membres
Plusieurs comités sectoriels en charge de secteurs spéci-
fiques fonctionnent au sein de la Commission. Ils sont gé-
Les seize membres de la Commission sont tous désignés
néralement composés pour moitié de membres de la Com-
pour un mandat de six ans renouvelable.
mission.
4.3 Fonctions des membres
Le président et le vice-président sont les seuls à exercer leur
fonction à temps plein ; les autres membres ne sont tenus
que de prendre part aux séances de la Commission qui ont
Commission de la protection de la vie privée — rapport annuel 2011 15
16. 4.6 Secrétariat
Les tâches de la Commission, aussi nombreuses que variées,
requièrent une préparation minutieuse et un important tra-
vail d’analyse préalable. En raison de l’étendue et de la com-
plexité de leurs tâches, la Commission et les comités secto-
riels sont aidés par une administration, baptisée « Secréta-
riat » par la loi belge.
16
17. 5 La structure de l’administration
Elle prépare, soutient et exécute.
Elle élabore les dossiers.
La haute direction de cette administration que représente le
Secrétariat est confiée par la loi au président de la Commis-
sion et sa direction générale est assurée par un administra-
teur. L’administration est divisée en trois sections, chacune
dirigée par un chef de section.
Organisation du Secrétariat
La mission de l’administration par rapport à la politique
générale de la Commission peut se résumer en trois mots :
préparation, soutien et exécution.
Le Secrétariat intervient ainsi dans l’élaboration des dos-
siers, et plus particulièrement dans ceux relatifs aux divers
projets d’avis, de recommandation ou d’autorisation. Ils
sont préparés par un agent, en étroite concertation avec le
commissaire rapporteur chargé de superviser la rédaction
du projet.
Dans un souci de gérer les dossiers individuels des citoyens
de la manière la plus efficace possible, l’administration
opère un tri entre les affaires courantes susceptibles d’être
réglées rapidement dans le cadre d’un traitement de pre-
mière ligne et celles qui nécessitent un examen plus appro-
fondi, donc souvent plus long.
Commission de la protection de la vie privée — rapport annuel 2011 17
18. 6 Le plan de gestion de la Commission
La mission de l’administration dans le contexte de la poli- prises (CS BCE) ;
tique générale de la Commission se résume en trois mots : • le Comité de surveillance sectoriel Phenix (CS Phenix) ;
préparation, assistance et exécution. • le Comité de surveillance statistique (CS STAT).
En ce qui concerne le Comité de surveillance statistique, les
Le Secrétariat élabore les dossiers, plus particulièrement les
candidatures ont été reçues, mais la procédure de désigna-
projets d’avis, de recommandations et d’autorisations. Ces
tion n’a pas abouti.
documents sont préparés par un fonctionnaire, en étroite
collaboration avec un commissaire-rapporteur chargé de Pour chacun des comités sectoriels un tableau de bord pour
superviser la rédaction des projets. les réunions a été élaboré, les délibérations sont préparées
par une équipe de juristes experts en la matière et l’unifor-
Pour traiter les dossiers de citoyens individuels le plus effi-
mité/la consistance des projets de décision est assurée par
cacement possible, l’administration répartit ces dossiers en
un secrétaire-juriste.
dossier de première et de deuxième ligne. Le traitement de
première ligne permet un suivi rapide de dossiers courants, En ce qui concerne l’exercice pratique des compétences,
tandis que le traitement de deuxième ligne cible surtout les les activités du CS STAT sont assurées par la Commission
dossiers plus complexes. elle-même, et ce conformément à l’article 16 de l’arrêté royal
du 7 juin 2007, lequel prévoit que la Commission exerce les
6.1 Intégration des comités
compétences du Comité jusqu’à ce qu’il soit pourvu à sa
sectoriels
composition.
En vertu de l’article 31bis de la Loi vie privée, les organes de 6.2 Contrôle de la vie privée -
protection spécifiques déjà institués par la loi et les organes Évaluation
de protection spécifiques que le législateur estime néces-
saires ou a l’intention de créer à l’avenir dans un certain Ce qu’on appelle le contrôle de la vie privée constitue un élé-
nombre de domaines, sont désormais intégrés dans la Com- ment important du Règlement d’ordre intérieur. Cela signi-
mission. fie que lors du processus décisionnel et de l’examen du dos-
sier, une attention particulière est accordée au cadre maté-
Il existe donc actuellement six comités sectoriels, dont un
riel et légal et surtout au contrôle des principes qui régissent
doit encore être constitué :
les traitements de données à caractère personnel et à leur
• le Comité sectoriel de la Sécurité Sociale et de la Santé impact sur la vie privée des personnes concernées.
(CS SS & S) ;
Il est en effet indispensable que la Commission et son admi-
• le Comité sectoriel du Registre national (CS RN) ;
nistration fonctionnent conformément à la vision dévelop-
• le Comité sectoriel pour l’Autorité Fédérale (CS AF) ;
pée dans le plan de gestion et exprimée dans les objectifs
• le Comité sectoriel de la Banque-Carrefour des Entre-
qui stipulent expressément que la Commission souhaite
18
19. agir dans une optique sociale et veiller à la défense équitable En 2011, une attention particulière a en outre été consacrée à
de la protection de la vie privée face aux ambitions légitimes la sensibilisation des jeunes.
des autorités, des services et des entreprises fonctionnels et
À l’occasion de la Journée de la protection des données, le
bien organisés.
site Internet http ://www.jedecide.be a été présenté en détail
En 2011, douze initiatives réglementaires au sujet desquelles aux deux ministres de l’Enseignement. Ce site Internet a
la Commission a émis un avis ont fait l’objet d’une évalua- été créé afin de sensibiliser les jeunes et fournit des infor-
tion. mations sur la protection des données en s’adressant aux
enfants (public cible 8-12 ans), aux adolescents (13-16 ans),
Il est ressorti de l’analyse que le législateur a largement
aux parents et au monde de l’enseignement.
tenu compte des remarques/suggestions de la Commission.
Les modifications apportées ont toutes eu un effet neutre ou 6.4 Soutien de la Commission et des
positif en termes d’impact sur la vie privée. comités sectoriels
La Commission a aussi émis des recommandations d’ini- Le Secrétariat offre son soutien à la Commission et aux comi-
tiative visant à encourager proactivement les modes de trai- tés sectoriels sous la forme d’une préparation et d’analyses
tement et les attitudes positives en termes de protection de préalables. Parmi les points forts de ce soutien, on note la
la vie privée (poursuite de l’accompagnement des différents rapidité et le caractère complet de l’information envoyée aux
acteurs de la télébilletique dans les transports en commun, commissaires sur les travaux préparatoires. À cette fin, la
smart grids et compteurs intelligents, caméras de surveil- Commission utilise une application qui permet de mettre
lance dans les lieux de détention, enregistrement des appels les dossiers à la disposition de tous les commissaires et de
téléphoniques depuis et vers les commissariats de police et tous les collaborateurs du Secrétariat, et ce de la création du
les hôpitaux, copie de la carte d’identité électronique, …). dossier à l’envoi de l’avis définitif.
6.3 Information au public 6.5 Coopération internationale
Un des buts stratégiques énoncés par la Commission dans En 2011, la présidence et le secrétariat ont participé aux réu-
son plan de gestion est de contribuer à une meilleure infor- nions et aux divers groupes de travail internationaux opé-
mation du public (responsable du traitement et personne rant sur un mode institutionnalisé, tout en se focalisant sur
concernée), d’une part en répondant aux demandes d’infor- la préparation de la nouvelle réglementation européenne
mations par le biais des services de la section Relations qui remplacerait la directive actuelle.
Externes et, d’autre part, en mettant l’information à la dis-
position du public dans le cadre d’une stratégie de commu- 6.6 Politique de respect des
nication active. dispositions légales
Le site web http ://www.privacycommission.be est un des En ce qui concerne la politique de respect des dispositions
canaux utilisés par la Commission pour réaliser cet objectif. légales, les deux lignes d’action définies en 2009 ont été
Les informations proposées sur ce site sont régulièrement poursuivies. Les contrôles légaux vis-à-vis du Centre d’in-
enrichies et actualisées. formation et d’avis sur les organisations sectaires et nui-
sibles et de la Fédération Européenne pour Enfants Disparus
Les traitements de données des organismes de sécurité so-
et Sexuellement Exploités effectués en 2009 ont été clôturés
ciale ont été publiés dans le Registre public.
Commission de la protection de la vie privée — rapport annuel 2011 19
20. par la communication des conclusions aux responsables Grâce à une intervention des divers services de tarification,
concernés. les traitements de données effectués par les pharmaciens
ont été déclarés de manière centralisée. Les déclarations
L’arrêté royal annoncé dans la Loi vie privée qui vise à éta-
de traitements de données effectués par les institutions de
blir les tâches du préposé à la protection des données et la
sécurité sociale ont également été intégrées au site Internet
façon dont celui-ci devra s’acquitter de ses tâches, ainsi que
de la Commission.
la manière dont le Centre devra informer la Commission,
n’a cependant toujours pas été adopté. 6.8 Vie privée et recherche
scientifique
En 2011, le Secrétariat a pris deux initiatives afin d’améliorer
la qualité des réponses fournies dans la cadre de l’article 13 En 2008, la Commission s’était penchée sur la protection des
de la Loi vie privée (l’accès dit aux données traitées par les données à caractère personnel dans le cadre de la recherche
services de police et de renseignements). Cette activité sera scientifique, ce qui avait débouché à l’époque sur une jour-
décrite plus en détail dans la rubrique 7.5.1 ci-après. La née d’étude et sur la publication d’un vade-mecum pour le
Commission a en outre protesté auprès du ministre com- chercheur. En tant que pays hôte du case handling workshop
pétent contre la centralisation réduite de la gestion et des (une réunion des représentant des secrétariats des Commis-
demandes d’information au sein des services de police. Elle sions vie privée européennes) des 18 et 19 mars 2010, la Com-
craint que, à cause de l’élimination de cette centralisation, mission a inscrit ce thème à l’ordre du jour du workshop et y
les délais de traitement des demandes d’information au- a fourni une contribution sur ce sujet.
près des services de police décentralisés seront encore plus
longs. La vie privée et la recherche scientifique ont bénéficié d’une
attention plus soutenue lors du congrès international orga-
Avec la nouvelle ministre, la Commission a entamé des dis- nisé par la Commission en 2010 dans le cadre de la prési-
cussions afin de convenir d’une procédure efficace pour la dence belge de l’UE, qui était exclusivement consacré à ce
personne concernée, oú les services de police assument plei- thème. Le premier jour, les participants ont pu s’informer
nement leur rôle de fournisseur d’informations lors de trai- en détail grâce aux tutoriels et lors des workshops orga-
tements de données et où la Commission peut s’acquitter de nisés le deuxième jour, ils ont pu discuter avec des spé-
sa tâche d’autorité de contrôle. cialistes du domaine de la vie privée ainsi que de diverses
disciplines scientifiques. L’objectif principal du congrès
Étant donné que la Commission reçoit de plus en plus de
était en effet d’instaurer un dialogue entre les commissions
questions relatives aux données dans des articles de presse,
(européennes) de protection de la vie privée et les chercheurs
elle a convenu d’une procédure de consultation avec les
scientifiques et d’ainsi rapprocher ces deux mondes.
conseils de déontologie du journalisme, tant du côté fla-
mand que du côté wallon. En 2011, à l’issue de ce congrès scientifique, la Commission
a élaboré deux brochures concernant la recherche scienti-
6.7 Déclarations et registre public
fique, destinées aux chercheurs. En outre, une collabora-
Les caméras ont toujours fait l’objet de nombreuses déclara- trice a contribué à la rédaction d’un chapitre spécifique rela-
tions en 2011, même si leur nombre était nettement inférieur tif au traitement des données à caractère personnel dans le
à celui de 2010. cadre de la recherche scientifique repris dans le projet de
règlement européen.
20
21. 7 Principales activités nationales de la Commission
7.1 E-government fait partie du SGS eIB ? En tenant compte du rôle (missions,
tâches, responsabilités, …) qu’un intégrateur de services
7.1.1 Avis n° 18/2011 du 7 septembre 2011 publics remplit, la Commission estime que l’intégrateur de
services flamand doit non seulement disposer d’un statut
• Institution d’un intégrateur de services flamand juridique clair mais également de l’autonomie nécessaire
• Nécessité d’un encadrement décrétal pour remplir cette tâche. Un SGS directement géré par le
• Conflits de compétences ministre compétent ne constitue pas l’instrument approprié
à cet effet, alors que l’Autorité flamande dispose pourtant
Le 25 juillet 2011, l’avis de la Commission a été sollicité à
de plusieurs instruments plus adéquats à cette fin comme
propos d’un avant-projet de décret relatif à l’institution et à
une agence autonomisée interne, une agence autonomisée
l’organisation d’un intégrateur de services flamand.
externe, …
Depuis 2008 déjà, la Commission insiste sur la nécessité
Deuxièmement, la Commission a toujours plaidé en faveur
d’un encadrement décrétal détaillé de l’intégrateur de ser-
d’une délimitation claire du champ d’action d’un intégrateur
vices flamand (voir son avis n° 01/2008). Le Comité sectoriel
de services de sorte qu’un client, en l’occurrence un service
pour l’Autorité Fédérale s’est rallié à cette position (voir le
public, n’utilise en principe qu’un seul intégrateur de ser-
point 13 de la délibération AF n° 15/2009), tout comme le
vices comme interlocuteur. De cette manière, le client n’est
Comité sectoriel du Registre national (voir le point 44 de la
confronté qu’à un seul système de gestion des utilisateurs
délibération RN n° 07/2011) et la Commission de contrôle
et des accès, un seul ensemble de spécifications techniques,
flamande (voir la délibération CCF n° 02/2010).
etc. La délimitation du champ d’action de l’intégrateur de
services flamand ne peut évidemment pas porter préjudice
Plusieurs articles du projet s’inspiraient de dispositions de
à la répartition des compétences qui a été fixée dans la loi
l’avant-projet de loi relative à l’institution et à l’organisation
spéciale de réformes institutionnelles du 8 août 1980. Vu ce
d’un Intégrateur de Services fédéral — qui date de 2008 et
contexte juridique complexe, il est presque inévitable que
qui, au grand étonnement de la Commission, n’a pas encore
des domaines de compétence d’intégrateurs de services
été introduit au parlement fédéral — de sorte qu’un certain
dans le secteur public se rejoignent sur certains points ou
nombre de remarques formulées à l’époque par la Commis-
même se chevauchent. La Commission constate que le pro-
sion ont été reprises dans cet avis.
jet de texte ne comporte aucune disposition permettant de
L’avant-projet de décret comportait toutefois 2 points pro- clarifier/de résoudre des problèmes de répartition de com-
blématiques importants. pétences entre l’intégrateur de services flamand et les autres
intégrateurs de services.
Premièrement, le texte passe sous silence la question de
savoir qui interviendra en tant qu’intégrateur de services L’avis rendu par la Commission est dès lors défavorable.
flamand : le SGS eIB, qui fait partie du département Affaires
administratives, ou CORVE qui, sur le plan organisationnel,
Commission de la protection de la vie privée — rapport annuel 2011 21
22. 7.2 Échange électronique de voquer un intérêt se rapportant directement à la légis-
données administratives lation sociale ;
• l’extension visée du réseau contribuera à un flux de
7.2.1 Avis n° 03/2011 du 9 février 2011 données plus sûr entre la Banque-carrefour, les institu-
tions de sécurité sociale et les organismes de pension
• Extension du réseau de la sécurité sociale aux orga- et de solidarité, étant donné que de cette manière, de
nismes de pension et de solidarité nombreuses dispositions pénales et de protection des
• Fondement légal données, issues de la loi BCSS, seront rendues appli-
• Possibilité pour les organismes de pension et de solida- cables à ces organismes ;
rité d’invoquer un intérêt se rapportant directement à la • les organismes qui, outre la gestion des réserves et des
législation sociale engagements de pension, accomplissent également
d’autres tâches, doivent dans la pratique prendre des
Projet d’arrêté royal modifiant l’arrêté royal du 15 octobre 2004
mesures afin que le service concerné de l’organisme qui
relatif à l’extension du réseau de la sécurité sociale aux organismes
est chargé d’exécuter les tâches visées soit suffisam-
de pension et de solidarité chargés d’exécuter la loi du 28 avril 2003
ment indépendant du reste de l’organisation pour s’ac-
relative aux pensions complémentaires et au régime fiscal de celles-
quitter en toute autonomie des droits et obligations que
ci et de certains avantages complémentaires en matière de sécurité
lui confère l’extension du réseau de la sécurité sociale
sociale, en application de l’article 18 de la loi du 15 janvier 1990 rela-
et afin d’éviter tout conflit de compétences lors de l’exé-
tive à l’institution et à l’organisation d’une Banque-Carrefour de la
cution de ces tâches. Les assureurs devront par consé-
Sécurité sociale
quent prendre des mesures de sécurité techniques et
organisationnelles adéquates (conformément à l’ar-
Le 9 février 2011, la Commission a émis un avis à ce sujet à
ticle 16 de la LVP) afin par exemple de ne pouvoir traiter
la demande du ministre des Affaires sociales et de la Santé
le numéro de Registre national que pour l’application
publique.
de la réglementation dont il est question dans le projet
Afin d’inclure dans le réseau de la sécurité sociale tous les et non pour d’autres finalités non autorisées ;
organismes de pension et de solidarité chargés d’organiser • pour l’accomplissement de leurs tâches dans le cadre
les pensions complémentaires, y compris les éventuelles de la réglementation dont il est question dans le pro-
prestations de solidarité, tant en faveur des travailleurs jet, les organismes de pension et de solidarité ont déjà
salariés que des travailleurs indépendants et des agents accès au Registre national des personnes physiques et
du secteur public, il est proposé de modifier l’arrêté royal peuvent utiliser le numéro d’identification de ce Re-
du 15 octobre 2004 pour y inscrire ces organismes et y in- gistre sur la base de la délibération RN n° 49/2010 du
troduire une référence aux missions qu’ils accomplissent 2 décembre 2010 du Comité sectoriel du Registre natio-
en vertu du Titre XI, Chapitre VII de la loi-programme (I) nal. Suite à l’extension, il n’est donc pas question d’uti-
du 27 décembre 2006. lisation ou d’accès indirect à des données du Registre
national ;
La Commission a formulé les remarques suivantes :
• dans la même délibération, le Comité sectoriel du Re-
• l’extension envisagée dispose d’un fondement légal gistre national estime recommandé que, dans l’attente
(article 18 de la loi BCSS) ; de leur intégration effective dans le réseau de la sécurité
• les organismes de pension et de solidarité peuvent in- sociale, le Comité sectoriel de la Sécurité Sociale et de
22
23. la Santé se charge de contrôler, pour ces organismes, Le 15 juin 2011, la Commission a émis une recommandation
l’adéquation de leur politique de sécurité ainsi que la à ce sujet à la demande de la Direction générale Statistique
qualité de leur conseiller en sécurité ; et Information économique.
• l’intégration dans le réseau ne porte pas préjudice à
La Direction générale Statistique et Information écono-
l’exigence de principe selon laquelle les organismes
mique doit donner exécution à la Generations and Gender Panel
de pension et de solidarité communiquent les données
Study suite au protocole d’accord entre l’autorité fédérale et
sociales à caractère personnel au sein et en dehors du
les autorités régionales flamandes et wallonnes. Le proto-
réseau de la sécurité sociale uniquement si la section
cole d’accord concerne notamment la diffusion des données
« Sécurité sociale » du Comité sectoriel de la Sécurité
GGPS belges aux commanditaires précités de l’enquête, à la
Sociale et de la Santé a accordé une autorisation, sauf
« Population Activity Unit » de la Commission économique
dans les cas prévus dans la loi BCSS ;
pour l’Europe des Nations Unies et à des utilisateurs ex-
• enfin, le projet accorde de l’attention aux organismes de
ternes pour d’autres analyses statistiques ou scientifiques.
pension et de solidarité de petite taille : si les données
des travailleurs peuvent être réclamées tout simple- La recommandation de la Commission concerne la collecte
ment auprès de l’employeur ou être collectées directe- des données par la DGSIE, la communication des données
ment auprès de l’indépendant concerné ou du chef d’en- aux commanditaires et à l’ONU, ainsi que la mise à disposi-
treprise indépendant, c’est possible sans intervention tion des données par l’ONU à des chercheurs externes.
du réseau en question. C’est également ce qui ressort
du Rapport au Roi qui souligne que le conseiller en sé- En ce qui concerne la collecte de données GGPS de ré-
curité peut être celui dont dispose déjà les organismes pondants belges par l’exécutant DGSIE, la Commission
de pension et de solidarité concernés dans le cadre des confirme que la DGSIE est légalement compétente pour
assurances accidents du travail qu’ils gèrent éventuel- effectuer de telles études statistiques pour le compte des
lement. La Commission estime que c’est une bonne commanditaires précités, et ce sur la base de la loi du 4 juil-
chose pour les organismes de pension plus petits, non let 1962 relative à la statistique publique.
seulement au niveau du coût, mais aussi au niveau de
La Commission part du principe que le fichier que la DGSIE
l’uniformité en matière de sécurité de l’information.
transmettra aux commanditaires et à l’ONU sur la base du
En outre, la personne concernée aura, le cas échéant,
protocole ne contient pas de données anonymisées mais des
déjà été acceptée par le Comité sectoriel de la Sécurité
données à caractère personnel codées au sens de l’AR du
Sociale et de la Santé en tant que conseiller en sécurité.
13 février 2011.
7.2.2 Recommandation n° 05/2011 du
La Commission considère l’ONU et les commanditaires
15 juin 2011 comme des destinataires légitimes de la GGPS belge du
protocole d’accord.
• Communication des données GGPS (Generations and
Gender Panel Study) à l’organisation internationale ONU La Commission accepte qu’au lieu de suivre la procédure
dans le cadre d’un protocole d’accord nationale devant le Comité de surveillance statistique, des
• Accès contrôlé et organisé par phases aux données tiers qui souhaitent consulter des données GGPS belges des
GGPS fichiers ONU en vue d’autres analyses statistiques ou scien-
tifiques suivent la procédure d’accès internationale au ni-
Commission de la protection de la vie privée — rapport annuel 2011 23
24. veau de l’ONU, laquelle prévoit en effet un accès contrôlé et incluant un contrat fixant notamment la responsabilité du
organisé par phases aux données GGPS afin de minimaliser premier à l’égard du second.
le risque de réutilisation incompatible ou d’abus de données
Le couplage précité serait réalisé via l’infrastructure de la
publiées en ligne.
BCSS, sous le contrôle de la DGSIE, les données à caractère
La Commission attire l’attention des tiers qui s’adressent personnel provenant de la DGSIE étant immédiatement dé-
à la DGSIE pour obtenir des données GGPS belges en vue truites après avoir été couplées et codées ou anonymisées.
d’autres analyses statistiques ou scientifiques sur la régle-
Les collaborateurs concernés de la BCSS signeraient une
mentation légale nationale contenue dans les articles 15 et
déclaration dans laquelle ils marquent explicitement leur
15bis de la loi du 4 juillet 1962 relative à la statistique publique
accord pour respecter le secret statistique.
(procédure d’autorisation auprès du Comité de surveillance
statistique). Tout transfert de données à caractère personnel par la BCSS
dans le cadre de la recherche scientifique ou de l’appui stra-
7.2.3 Recommandation n° 01/2011 du
tégique serait soumis à une autorisation préalable du Comi-
9 février 2011
té sectoriel de la Sécurité Sociale et de la Santé, car la majo-
rité des données à caractère personnel en question provient
• Couplage de données à caractère personnel provenant
des institutions de sécurité sociale.
de banques de données de la DGSIE et de la BCSS à des
fins de recherche scientifique Selon la Commission, la méthode proposée est non seule-
• Intervention de la BCSS en tant que ous-traitant
s ment recommandée du point de vue de l’optimalisation du
• Confirmation de la méthode de travail du Comité Sec- processus, mais aussi du point de vue de la protection des
toriel de la Sécurité sociale données, notamment de l’article 4 de la LVP. La Commission
souligne en effet qu’il n’est pas recommandé que des don-
Le 9 février 2011, la Commission a émis une recommanda-
nées à caractère personnel issues de banques de données so-
tion à ce sujet à la demande du Comité sectoriel de la Sécu-
ciales soient transférées en masse de la BCSS vers la DGSIE
rité Sociale et de la Santé.
pour y être couplées avec un nombre limité d’autres données
Dans cette recommandation, la Commission ratifie la mé- à caractère personnel provenant d’autres sources, alors que
thode adoptée par le Comité sectoriel de la Sécurité Sociale ce flux de données peut tout à fait être évité en laissant la
et de la Santé lorsqu’un nombre limité de données à carac- BCSS réaliser elle‑même ce couplage au moyen des variables
tère personnel provenant de la DGSIE doivent être couplées limitées fournies par la DGSIE.
à un nombre important de données à caractère personnel
La communication d’un nombre limité de données à carac-
provenant des institutions de sécurité sociale à des fins de
tère personnel non codées de la DGSIE à la BCSS dans ce but
recherche scientifique ou d’appui stratégique.
n’est d’ailleurs pas contraire à l’article 15 de la loi du 4 juil-
Dans cette situation, la BCSS interviendrait en tant que let 1962 relative à la statistique publique, d’autant plus si la BCSS
sous-traitant de la DGSIE pour le couplage des données à ca- intervient en tant que sous-traitant de la DGSIE. Une solu-
ractère personnel de la DGSIE avec les données à caractère tion similaire a déjà été recommandée par la Commission
personnel provenant des institutions de sécurité sociale, (en lieu et place du Comité de surveillance statistique) dans
la recommandation STAT n° 01/2010 du 19 mai 2010.
24
25. La Commission marque également son accord sur le point La Commission a émis un avis favorable à la condition que
de vue suivant : étant donné que le Comité sectoriel de la les modalités d’exécution pertinentes soient soumises à
Sécurité Sociale et de la Santé est déjà compétent pour la l’avis préalable de la Commission.
communication de la plupart des données à caractère per-
La Commission souhaitait ainsi obtenir, d’une part, que l’on
sonnel codées, il n’est pas recommandé que le Comité de
détermine de façon suffisamment claire quelles données
surveillance statistique, également institué au sein de la
d’identification des ouvriers doivent être communiquées au
Commission, doive aussi se prononcer sur la communica-
cocontractant par l’employeur avant le début des travaux.
tion aux chercheurs du nombre limité de données à carac-
tère personnel codées provenant de la DGSIE. En ce qui concerne le système électronique, elle souhaite
veiller, d’autre part, à ce que les modalités concrètes d’in-
La Commission souligne encore à cet égard que la princi-
troduction, de consultation, de communication, de conser-
pale garantie consiste finalement à ce que les données à
vation, … de données à caractère personnel soient réglées
caractère personnel ne soient pas accessibles sans autorisa-
de manière suffisamment claire, ceci eu égard au caractère
tion de principe d’un de ses comités (à savoir donc le Comité
sensible et crucial de chacun de ces traitements pour la pro-
sectoriel de la Sécurité Sociale et de la Santé) et à ce que l’uti-
tection de la vie privée.
lisateur autorisé ne puisse raisonnablement pas retrouver
les personnes concernées via les données obtenues. 7.3 Secteur financier
7.2.4 Avis n° 33/2011 du 30 novembre 2011
7.3.1 Avis n° 06/2011 du 9 février 2011
• Enregistrement des personnes présentes sur des chan-
• Accès plus rapide pour la BNB aux informations de cré-
tiers temporaires ou mobiles et paiement du salaire
dit concernant les entreprises
minimum
• Pour une stabilité financière, la supervision bancaire et
• Lutte contre la fraude sociale
la recherche scientifique
Le 30 novembre 2011, la Commission a émis un avis favo- • Désignation d’un fonctionnaire préposé à la protection
rable sur les projets d’amendement au projet de loi portant des données
des dispositions fiscales et diverses, qui vise notamment à
Depuis la loi du 22 mars 1993, la Banque Nationale de Bel-
modifier la loi du 4 août 1996 relative au bien-être des travailleurs
gique est chargée de la gestion de la Centrale des Crédits
lors de l’exécution de leur travail.
aux Entreprises. Tous les établissements de crédit établis
Le premier amendement s’inscrivait dans le cadre de la lutte en Belgique et certaines entreprises d’assurances commu-
contre la fraude sociale dans le secteur de la construction, niquent des informations sur les entreprises et particuliers
plus précisément en ce qui concerne le paiement des salaires qui ont obtenu, auprès du même établissement, des crédits
minimaux dans ce secteur. L’objectif du deuxième amende- d’un montant minimum de 25 000 euros dans le cadre de
ment était d’introduire un système électronique pour l’enre- leur activité professionnelle. La crainte d’une pénurie de
gistrement des personnes présentes sur des chantiers tem- crédit («credit crunch ») après la crise financière et écono-
poraires ou mobiles. mique de 2008 s’avère constituer l’impulsion de différentes
mesures destinées à prévenir ou réduire un resserrement de
crédit aux entreprises en Belgique, et à donner plus rapide-
ment accès aux informations de crédit concernant les entre-
Commission de la protection de la vie privée — rapport annuel 2011 25