6 DECEMBRE 2015. - Arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données
RAPPORT AU ROI
Sire,
La loi du 18 mars 2014 relative à la gestion de l'information policière et modifiant la loi sur la fonction de police, la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le Code d'instruction criminelle, porte notamment sur la gestion des données à caractère personnel et des informations par les services de police.
Cette loi modificative vise à améliorer tant l'efficacité de la gestion de l'information policière que la protection de la vie privée des citoyens à l'égard du traitement des informations par les services de police.
Les avancées technologiques offrent de nouvelles perspectives dans le travail quotidien des policiers mais, en même temps, elles créent de nouveaux risques pour la sécurité et pour la vie privée des individus.
Face à ces nouveaux défis, l'Union européenne entame une réforme visant à renforcer le cadre législatif en matière de protection des données. De nouvelles obligations sont dès lors, à prévoir, entre autres, au sein de l'organisation policière. Dans ce cadre, une attention particulière doit être accordée à des mesures structurelles, organisationnelles, physiques et techniques afin de remplir les objectifs de la loi et des travaux européens.
C'est la raison pour laquelle le législateur prévoit la désignation d'un conseiller en sécurité et en protection de la vie privée auprès de chaque zone de police et chaque entité concernée de la police fédérale qui traite des données à caractère personnel et des informations au sens de la loi. Le conseiller en sécurité et en protection de la vie privée assiste et conseille l'autorité compétente que ce soit le chef de corps ou l'autorité désignée pour la police fédérale dans tous les aspects de la sécurité de l'information et de la protection de la vie privée. Cette désignation s'inscrit dans la lignée des exigences de transparence et de prévisibilité du texte de la loi.
CONSIDERATIONS GENERALES
Une vision pratique est privilégiée lors de la sélection du conseiller en sécurité et en protection de la vie privée.
D'une part, la mesure de l'implication du conseiller dans les missions qui lui sont attribuées dépend de la nature et du nombre de traitements mis en oeuvre, de la taille de la zone ou de l'entité de la police fédérale dans laquelle il exerce sa fonction de sorte qu'un diplôme universitaire n'est pas forcément requis.
D'autre part, une personne peut être désignée pour plusieurs zones et/ou entités de la police fédérale. L'esprit de la loi étant en faveur de la souplesse, l'avantage principal d'un tel regroupement réside dans le lissage des coûts tout en maintenant un fonctionnement et des responsabilités séparées.
Et enfin, la plate-forme de la sécurité et de la protection des données permettra dans une certaine mesure d'apporter les connaissances adaptées au contexte policier et de favoriser le développement de ces connaissances tant dans le domaine de la sécurité de l'information que dans le domaine de la protection des données, par exemple, par l'échange de bonnes pratiques.
Le conseiller se voit confier des compétences dans le domaine de la sécurité de l'information et de la protection de la vie privée. Ses tâches se concentrent sur le traitement des informations policières en ce compris les données à caractère personnel. Dès lors, sa désignation ne relève pas de la loi du 4 août 1996 relative au bien-être des travailleurs lors de l'exécution de leur travail.
Afin de répondre aux préoccupations de la Commission de la vie privée exprimées dans son avis n° 47/2013 du 2 octobre 2013 pointant l'absence de la moindre mission liée à la protection de la vie privée dans l'avant-projet de loi sur la gestion de l'information policière, le présent projet d'arrêté royal s'efforce d'opérer le rééquilibrage nécessaire en attribuant de manière explicite un ensemble de compétences en matière de protection de la vie privée et dépassant ainsi le seul aspect relatif à la sécurité.
Le présent projet d'arrêté royal s'inspire tant des textes nationaux en vigueur que des initiatives au niveau européen. Parmi ceux-ci, on dénombre la loi du 20 décembre 2002 portant protection des conseillers en prévention, l'arrêté royal du 12 août 1993 organisant la sécurité de l'information dans les institutions de sécurité sociale, l'arrêté royal du 17 mars 2013 relatif aux conseillers en sécurité institués par la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral, the survey on the function of Data Protection Coordinators at the European Commission General Report, la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, la décision du Conseil du 6 avril 2009 portant création de l'Office européen de police (Europol), le règlement (CE) N° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données et enfin, la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).
EXPLICATIONS COMPLEMENTAIRES PAR ARTICLE
Article 1er. Parmi les définitions figurant dans cet article, la définition de traitement au sens du projet d'arrêté royal a une portée plus large que celle énoncée dans la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement des données à caractère personnel ci-après dénommée "loi vie privée". Tout comme le prévoit cette loi, le traitement vise toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. Cependant, le projet d'arrêté royal ne limite pas ces opérations aux données à caractère personnel mais les étend également à l'ensemble des informations intéressant l'exercice de la police administrative et de la police judiciaire.
L'article 2 décrit de manière générale les missions du conseiller en sécurité et en protection de la vie privée. Vu la complexité croissante des règles dans le domaine de la sécurité de l'information et de la protection de la vie privée, il peut se révéler une assistance précieuse auprès de l'autorité compétente. Les missions du conseiller sont liées entre elles. En effet, c'est l'ensemble de ses missions qui lui permet d'assister de manière efficace l'autorité compétente amenée à se conformer à de nombreuses obligations légales. Ainsi, sa mission de contrôle est nécessaire à la formulation d'avis et de recommandations pertinents. Il peut également vérifier la conformité des traitements à la loi afin de constituer une documentation utile pour l'autorité compétente. En outre, par sa connaissance de la situation de la zone ou de l'entité concernée, il peut pleinement jouer un rôle de stimulateur.
En vertu de l'article 3, la personne désignée doit avoir une connaissance préalable dans la sécurité et la protection des données. Il est souhaitable qu'elle puisse exercer sa fonction pour une période suffisamment longue afin de pouvoir faire profiter l'organisation de police de son expérience. Afin de mener à bien ses missions, elle doit pouvoir suivre les formations nécessaires.
L'article 4 encadre les conflits d'intérêts. Parmi les diverses missions qu'il exerce, le conseiller effectue une mission de contrôle. C'est en tenant compte de cette mission que s'apprécie le conflit d'intérêts. Il ne peut à la fois être "le contrôleur et le contrôlé". Ainsi, sont visées les positions de leaders dans l'organisation dans le domaine de la sécurité et la protection des données ou bien celles qui ont pour objet de mettre en place les mesures de sécurité. Il en résulte par exemple que les fonctions qui ont un pouvoir de décision sur les caractéristiques techniques et les critères de sécurité du système d'information sont incompatibles avec celles du...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI