Avis, Autorité de protection des données, 2024-03-18
| Jurisdiction | Bélgica |
| Judgment Date | 18 mars 2024 |
| ECLI | ECLI:BE:GBAPD:2024:AVIS.20240318.1 |
| Link to Original Source | https://juportal.be/content/ECLI:BE:GBAPD:2024:AVIS.20240318.1 |
| Docket Number | 24/2024 |
| Court | Autorité de protection des données |
Avis n° 24/2024 du 18 mars 2024
Objet: Avant-projet de loi modifiant de la loi relative à la création et à l’organisation d’un intégrateur de services fédéral (CO-A-2023-554)
Mots-clés : source authentique (définition, désignation, critères, principes) – responsables (conjoints) du traitement – droits des personnes concernées (accès et rectification) – analyse d’impact (au stade du processus normatif) – intégrateur de service
Version originale
Le Centre de Connaissances de l’Autorité de protection des données (ci-après « l’Autorité »), Présent.e.s : Mesdames Juline Deschuyteneer, Cédrine Morlière, Nathalie Ragheno et Griet Verhenneman et Messieurs Yves-Alexandre de Montjoye, Bart Preneel et Gert Vermeulen;
Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, en particulier les articles 23 et 26 (ci-après « LCA »);
Vu l’article 25, alinéa 3, de la LCA selon lequel les décisions du Centre de Connaissances sont adoptées à la majorité des voix ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »);
Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD »);
Vu la demande d'avis du Secrétaire d’État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée et de la Régie des bâtiments, adjoint au Premier ministre, Monsieur Mathieu Michel (ci-après « le demandeur »), reçue le 7 décembre 2023;
Vu la transmission de la demande d’avis par l’Autorité, le 12 janvier 2024, à l’Organe de contrôle de l’information policière (le COC), au Comité permanent de contrôle des services de renseignement (le CPR) et au Comité permanent de contrôle des services de police (le CPP), conformément à l’article 54/1 de la LCA et au Protocole de coopération entre les autorités de contrôle fédérales belges en matière de protection des données, conclu le 24 novembre 2020;
Vu la réponse communiquée par le COC le 7 février 2024, selon laquelle celui-ci ne rendra pas d’avis;
Vu l’absence de confirmation du CPR à la date de rédaction du présent avis quant à la question de savoir s’il rendra un avis;
Vu l’absence de confirmation du CPP à la date de rédaction du présent avis quant à la question de savoir s’il rendra un avis;
Émet, le 18 mars 2024, l'avis suivant :
I. Objet et contexte de la demande d’avis
1. Le demandeur a introduit auprès de l’Autorité une demande d’avis concernant un avant-projet de loi modifiant la loi relative à la création et à l’organisation d’un intégrateur de services fédéral (CO-A-.2023-554) (ci-après, « le Projet »). Le Projet modifie la loi du 15 août 2012 relative à la création et à l’organisation d’un intégrateur de services fédéral (ci-après, « la loi de 2012 »).
2. L’exposé des motifs du Projet explique que son objectif est notamment de tenir compte de la modification d’autres législations, d’apporter des améliorations à la loi de 2012 découlant de la pratique et des enseignements tirés et d’intégrer à celle-ci la terminologie du RGPD. Le Projet entend clarifier certaines définitions et établir les rôles de l’intégrateur de services, des services publics participants et des sources authentiques de données au regard du traitement de données à caractère personnel.
3. Le Projet s’inscrit également pour partie dans le droit européen. Ainsi, il « tient compte » du Règlement (UE) n° 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) (ci-après, « le Règlement sur la Gouvernance des Données » ou « DGA »), afin de permettre à l’intégrateur de services fédéral de contribuer à ce dispositif. Il clarifie également une mission de l’intégrateur de service dans ce contexte.
4. Il « complète » la Directive (UE) n° 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public (refonte) (ci-après, « la Directive réutilisation ») et compte-tenu du fait qu’actuellement « l’intégrateur de service fédéral fournit le portail où les données ouvertes sont publiées », il « ancre la mise à disposition par l’intégrateur de services fédéral de ce type d’information ».
5. Par ailleurs, le Projet anticipe également sur la réforme en cours du Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (ci-après, « le Règlement eIDAS »), en ce qui concerne les « portefeuilles d’identité numérique ». Il est encore relatif au Règlement eIDAS et à la loi du 18 juillet 2017 relative à l’identification électronique (ci-après, « la loi eIDAS ») tels que ces normes existent en droit positif.
6. Enfin, il exécute également le Règlement (UE) n° 2018/1724 du Parlement européen et du Conseil du 2 octobre 2018 établissant un portail numérique unique pour donner accès à des informations, à des procédures et à des services d’assistance et de résolution de problèmes, et modifiant le règlement (UE) n° 1024/2012 (ci-après, « le Règlement 2018/1724 »).
II. Examen
Le présent avis est structuré comme suit :
II.1. Avis pertinents de l’Autorité, portée du Projet et portée du présent avis .................................. 4
II.2. Sources authentiques de données et autres sources de données ............................................ 6
II.2.1. Définitions .................................................................................................................... 6
II.2.2. Désignation et critères de désignation des sources authentiques .....................................11
II.3. Services publics participants et utilisateurs ...........................................................................14
II.3. Missions de l’intégrateur de services ....................................................................................20
II.3.1. Echange de données, attestation de données et portefeuilles d’identité ...........................20
II.3.2. Mise à disposition d’applications réutilisables .................................................................21
II.3.3. Identification électronique et Règlement eIDAS .............................................................24
II.3.4. Règlement n° 2018/1724..............................................................................................24
II.3.5. Développement, test, maintien d’applications et systèmes ..............................................24
II.3.6. Règlement sur la Gouvernance des Données .................................................................26
II.3.7. Echange de données avec les autres intégrateurs de services .........................................26
II.3.8. Article 4, al. 1er, de la loi de 2012 et rôle général de l’intégrateur de services ...................27
II.4. Caractère facultatif du recours aux services de l’intégrateur de services fédéral ......................27
II.5. Responsabilités au regard du traitement ..............................................................................30
II.5.1. Responsabilités de l’intégrateur de service et des utilisateurs ..........................................30
II.5.2 Comité de coordination..................................................................................................33
II.6. Droits des personnes concernées .........................................................................................34
II.6.1. Publication de registres par l’intégrateur de services ......................................................34
II.6.2. Protocoles, conventions d’utilisation, conditions d’utilisation ............................................35
II.6.3. Accès et rectification ....................................................................................................36
a) Disposition en projet .......................................................................................................36
b) Relation avec le RGPD, les dispositions particulières de droit belge et l’article 13 de la loi de 2012 ..................................................................................................................................37
c) Relation avec les missions de l’intégrateur de services fédéral ...........................................39
d) Commentaire des trois objectifs de la disposition en projet ...............................................39
II.7. Points divers ...................................................................................................................42
II.7.1. Sécurisation des données .............................................................................................42
II.7.2. Pouvoir du Roi visé à l’article 44 de la loi de 2012 ..........................................................44
II.7.3. Conseiller en sécurité de l’information ...........................................................................44
II.7.4. Extension aux Communautés et Régions .......................................................................46
Conclusion .................................................................................................................................47
II.1. Avis pertinents de l’Autorité, portée du Projet et portée du présent avis
7. Dans plusieurs avis récents, l’Autorité a eu l’occasion de rappeler sa pratique d’avis dans le domaine de l’échange de données issues de sources authentiques (ou non). Il convient par conséquent de se référer à titre préliminaire aux avis suivants de l’Autorité :
• L’avis n° 154/2023 du 20 octobre 2023 concernant un...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI