KSZ-BCSS

KSZ-BCSS Loi Traitement de Données à caractère personneletfonctionnement des comités sectoriels 8 MAI 2006 Banque Carrefour de la sécurité sociale

Droit à la protection de la vie privée • Article 22 de la Constitution: «Chacun a droit au respect de sa vie privée […].» • principe général • précisé davantage dans d’autres lois • Loi du 8 décembre 1992 • règle l’aspect traitement de données à caractère personnel • absence de « Loi vie privée » intégrale

Historique(1/3) • Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel • Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données

Historique(2/3) • Loi du 11 décembre 1998 transposant la directive 95/46/CE • Arrêté royal du 13 février 2001 (exécution de la loi du 8 décembre 1992) • Loi du 26 février 2003 modifiant la loi du 8 décembre 1992 (CPVP) • Arrêté royal du 17 décembre 2003 (comités sectoriels de la CPVP)

Historique (3/3) • quelques lois spécifiques • Loi du 8 août 1983 organisant un Registre national des personnes physiques • Loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale • Loi du 16 janvier 2003 portant création d’une Banque-carrefour des Entreprises, modernisation du registre de commerce, création de guichets-entreprises agréés et portant diverses dispositions

KSZ-BCSS Loi du 8 décembre 1992relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel version coordonnée disponible sur http://www.privacycommission.be/textes_normatifs.htm 8/5/2006 6 Banque Carrefour de la sécurité sociale

Définitions • données à caractère personnel (art. 1er, § 1er) • traitement (art. 1er, § 2) • fichier (art. 1er, § 3) • responsable du traitement (art. 1er, § 4) • sous-traitant (art. 1er, § 5) • tiers (art. 1er, § 6) • destinataire (art. 1er , § 7) • consentement de la personne concernée (art. 1er, § 8)

Données à caractère personnel • toute information concernant une personne physique identifiée ou identifiable • information • relative à une personne physique • identifiée ou identifiable (directement ou indirectement) • à l’aide d’un numéro d’identification • à l’aide d’autres éléments spécifiques

Traitement • toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel à l’aide de procédés automatisés ou non • collecte • conservation • adaptation • modification • diffusion • mise en rapport • ...

Fichier • tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés • ensemble structuré de données à caractère personnel • classement logique • permet la consultation systématique des données • accessibles selon certains critères • nom • numéro de registre national / numéro BCSS • ...

Responsable / sous-traitant • responsable du traitement: la personne (physique ou non) qui (seule ou conjointement avec d’autres) détermine les finalités et les moyens du traitement de données à caractère personnel • sous-traitant: la personne (physique ou non) qui traite des données à caractère personnel pour le compte du responsable du traitement • ( la personne qui, placée sous l’autorité directe du responsable du traitement, est habilitée à traiter des données à caractère personnel)

Tiers / Destinataire • tiers: toute personne (physique ou non), autre que • la personne concernée • le responsable du traitement • le sous-traitant • la personne qui, placée sous l’autorité directe du responsable du traitement ou du sous-traitant, est habilitée à traiter les données • destinataire: la personne (physique ou non) qui reçoit communication des données • notion large • peut être un “tiers” ou non

Principe général (art. 2) • lors du traitement de données à caractère personnel […], toute personne physique a droit à la protection de la vie privée […] • absence de définition de la notion de « vie privée » • fondement juridique résiduaire

Champ d’application matériel de la loi (art. 3, § 1er) • traitements automatisés de données à caractère personnel • traitements non automatisés de données à caractère personnel • contenues dans un fichier • appelées à figurer dans un fichier

Traitements totalement exclus (art. 3, § 2) • traitements effectués par une personne physique pour des finalités exclusivement personnelles ou domestiques • seuls les traitements effectués par une personne physique (pas par une entreprise, une association de fait, ...) • pour des finalités uniquement personnelles / domestiques (p.ex. correspondance et mise à jour des fichiers d’adresses) • donc PAS: des données à caractère personnel qui sont traitées à domicile par un travailleur pour son entreprise (adresses de relations d’affaires ou de clients), résultats d’examens conservés par un professeur,...

Traitements partiellement exclus (art. 3, §§ 3-6) • traitements • aux seules fins de journalisme ou d’expression artistique ou littéraire • par certaines autorités (Sécurité de l’État, police, …) • par le Centre européen pour enfants disparus et sexuellement exploités • partiellement exclus • sous certaines conditions, certains articles de la LTD ne sont pas d’application à ces traitements

Champ d’application territorial (art. 3bis) • traitements dans le cadre des activités d’un établissement fixe du responsable du traitement • sur le territoire belge • en un lieu où la loi belge s’applique • traitements par le responsable du traitement qui n’est pas établi de manière permanente dans la CE lorsque ce dernier recourt à des moyens situés sur le territoire belge • ( des moyens qui sont exclusivement utilisés à des fins de transit)

Principes (art. 4) • loyauté et légitimité • finalité • proportionnalité, notamment une durée de conservation raisonnable • exactitude

Finalité, proportionnalité et exactitude • finalité • traitement pour des finalités déterminées, explicites et légitimes • tant lors de la collecte des données que lors du traitement ultérieur (compatibilité avec finalité initiale, compte tenu des prévisions raisonnables de l’intéressé et de la législation) • proportionnalité • les données doivent être adéquates, pertinentes et non excessives • les données ne peuvent pas être conservées pour une durée excédant le temps nécessaire à la réalisation de la finalité du traitement • exactitude • les données doivent être exactes et doivent être mises à jour si nécessaire

Traitement n’est autorisé que (art. 5) (1/2) • lorsque la personne concernée a indubitablement donné son consentement • lorsqu’il est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles prises à la demande de la personne concernée • lorsqu’il est nécessaire au respect d’une obligation légale • lorsqu’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée

Traitement n’est autorisé que (art. 5) (2/2) • lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique • lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement / tiers, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée (évaluation des intérêts !)

Traitements spécifiques: interdiction de principe • données sensibles (art. 6) • données relatives à la santé (art. 7) • données judiciaires (art. 8)

Données sensibles (art. 6) • données à caractère personnel relatives • à l’origine raciale ou ethnique • aux opinions politiques • aux convictions religieuses ou philosophiques • à l’appartenance syndicale • à la vie sexuelle • interdiction fondamentale de traitement => exceptions • après consentement par écrit de la personne concernée • nécessaire dans le cadre d’obligations en matière de droit du travail ou pour l’application de la sécurité sociale • permis par une loi, un décret ou une ordonnance pour un motif important d'intérêt public • ...

Données relatives à la santé (art. 7) (1/2) • absence de définition • interdiction fondamentale de traitement => exceptions • après consentement par écrit de la personne concernée • nécessaire aux fins de médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements soit à la personne concernée, soit à un parent, ou de la gestion de services de santé, moyennant la surveillance par un professionnel des soins de santé • nécessaire dans le cadre d’obligations en matière de droit du travail ou pour l’application de la sécurité sociale • permis par une loi, un décret ou une ordonnance pour un motif important d'intérêt public • … • doivent en principe être collectées auprès de la personne concernée

Données relatives à la santé (art. 7) (2/2) • ne peuvent être traitées que sous la responsabilité d’un professionnel des soins de santé => exceptions • après le consentement par écrit de la personne intéressée • lorsque le traitement est nécessaire pour la prévention d’un danger concret ou la répression d’une infraction pénale déterminée • droit de communication (art. 10) • directe • par l’intermédiaire d’un professionnel des soins de santé lorsque la personne concernée ou le responsable du traitement en font la demande

Données judiciaires (art. 8) • données à caractère personnel relatives à • des litiges • des suspicions • des poursuites • des condamnations • des sanctions administratives • des mesures de sécurité • interdiction fondamentale de traitement => exceptions • lorsque le traitement est nécessaire à la réalisation de finalités fixées par la loi • …

Droits de la personne concernée (1/2) • droit à la protection de la vie privée (art. 2) • constitue un fondement juridique résiduaire • droit à l’information • lors de la collecte de données auprès de la personne concernée (art. 9, § 1er) • lors de l’enregistrement / de la communication de données (art. 9, § 2) • droit de prise de connaissance / communication (art. 10) • droit de rectification (art. 12, § 1er, alinéa 1er) • droit d’opposition (art. 12, § 1er, alinéas 2 et 3)

Droits de la personne concernée (2/2) • droit d’effacement / de non-utilisation (art. 12, § 1er, alinéa 5) • droit de non-soumission à certaines décisions automatisées (art. 12bis) • droit de recours : • auprès du juge (art. 14 + dispositions pénales) • auprès de la CPVP (art. 31) • droit de consultation du registre de la CPVP (art. 18)

Droit à l’information • communication d’informations relatives au traitement • l’identité du responsable • les finalités du traitement • l’existence d’un droit d’opposition gratuit lors de marketing direct (voir infra) • autres informations supplémentaires imposées par arrêté royal • lors de la collecte de données auprès de la personne concernée • sauf si la personne concernée en est déjà informée • lors de l’enregistrement ou de la communication de données • sauf si la personne concernée en est déjà informée • sauf si l’enregistrement / la communication est effectué(e) pour des finalités de recherche et que la notification se révèle impossible ou implique des efforts disproportionnés • sauf si l ’enregistrement / la communication est effectué(e) en vue de l’application d’une disposition légale

Droit de prise de connaissance / communication • concerne • l’existence (ou non) d’un traitement • des informations générales sur le traitement (finalités, catégories de données, catégories de destinataires) • les données concrètes (sous une forme intelligible) • informations sur l’origine des données • la logique des décisions automatisées • les autres droits précités de l’intéressé • demande datée et signée • réponse au plus tard dans les 45 jours • délai raisonnable pour nouvelle demande • règlement spécifique pour données relatives à la santé (voir supra)

Droit de rectification • de données inexactes • demande datée et signée • gratuite • réponse dans un délai max. de 1 mois • communication des rectifications aux personnes auxquelles les données inexactes ont été communiquées • pour autant que le responsable du traitement connaisse encore les destinataires • pour autant que la notification à ces destinataires ne paraisse pas impossible ou n’implique pas des efforts disproportionnés

Droit d’opposition • pour des raisons sérieuses et légitimes • ne s’applique pas aux traitements nécessaires • à la conclusion / exécution d’un contrat • au respect d’une obligation légale • données collectées à des fins de marketing direct • opposition est gratuite • opposition ne doit pas être motivée • demande datée et signée • réponse dans un délai max. de 1 mois

Droit d’effacement et de non-utilisation • concerne des données • incomplètes ou non pertinentes • dont l’enregistrement, la communication ou la conservation sont interdits • qui sont conservées au-delà de la période autorisée • demande datée et signée / gratuite • réponse dans un délai max. de 1 mois • communication des effacements aux personnes auxquelles les données ont été communiquées • pour autant que le responsable du traitement connaisse encore les destinataires • pour autant que la notification à ces destinataires ne paraisse pas impossible ou n’implique pas des efforts disproportionnés

Droit de non-soumission à certaines décisions automatisées • décisions • produisant des effets juridiques à l’égard d’une personne • ou l’affectant de manière significative • ne peuvent être prises sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité • ne s’applique pas aux décisions prises dans le cadre d’un contrat ou d’une disposition légale (mais prévoir des mesures appropriées)

Droit de recours • auprès du président du tribunal de première instance • violation des droits de prise de connaissance/communication, rectification, opposition et effacement/non-utilisation • auprès de la Commission de la protection de la vie privée • violation de toute disposition de la LTD • auprès du juge pénal • violation des dispositions pénales (articles 37-43 de la LTD)

Droit de consulter le registre CPVP • registre des traitements automatisés de données à caractère personnel • contient des informations provenant des déclarations (art. 17) • peut être consulté par toute personne

Exercice de certains droits auprès de la CPVP (art. 13) • traitements partiellement exclus • par certaines autorités (Sécurité de l’État, police, …) • par le Centre européen pour enfants disparus et sexuellement exploités • exercice des droits de prise de connaissance / de communication, de rectification, d’opposition et d’effacement/de non-utilisation par l’intermédiaire de la CPVP • gratuit

Obligations du responsable (1/4) • respect des principes (art. 4) • fourniture de renseignements (art. 9) • lors de la collecte de données auprès de la personne intéressée (art. 9, § 1er ) • lors de l’enregistrement / de la communication de données (art. 9, § 2) • communication du caractère contesté d’une donnée (art. 15) • responsabilité pour le dommage (art. 15bis)

Obligations du responsable (2/4) • contrôle du sous-traitant (art. 16, § 1er) • choisir un sous-traitant qui apporte des garanties suffisantes par rapport aux mesures de sécurité développées • veiller au respect des mesures de sécurité développées • fixer dans le contrat du sous-traitant • les mesures de sécurité développées • la responsabilité du sous-traitant • limitation des possibilités de traitement du sous-traitant • le sous-traitant n’agit que sur instruction du responsable • le sous-traitant est tenu par les mêmes obligations que le responsable

Obligations du responsable (3/4) • mise à jour / rectification / effacement des données à caractère personnel (art. 16, § 2, 1°) • vis-à-vis des collaborateurs • limitation de l’accès et des possibilités de traitement (art. 16, § 2, 2°) • fourniture de renseignements sur les dispositions de protection des données (art. 16, § 2, 3°) • contrôle en matière de programmes informatiques (art. 16, § 2, 4°) • conformité avec la déclaration à la CPVP • usage légitime

Obligations du responsable (4/4) • obligation pour les collaborateurs : traitement que sur instruction du responsable (art. 16, § 3) • prendre les mesures de sécurité techniques et organisationnelles requises (art. 16, § 4) • éviter la destruction, la perte, la modification,... • niveau de sécurité adéquat requiert une évaluation • de l’état de la technique et des frais qu’entraînent ces mesures • de la nature des données et des risques potentiels • déclaration à la CPVP (art. 17)

Déclaration à la CPVP (1/2) • chaque finalité (ou ensemble de finalités liées) pour lesquelles il est procédé à un ou plusieurs traitements (partiellement ou totalement) automatisés doit faire l’objet d ’une déclaration • préalablement au traitement • accusé de réception CPVP dans les trois jours ouvrables • contenu de la déclaration: voir l’art. 17, §§ 3 et 6 • nouvelle déclaration en cas de • modification des informations déclarées • fin du traitement

Déclaration à la CPVP (2/2) • exemptions • pour les traitements de données qui ne présentent manifestement pas de risque d’atteinte à la vie privée • doivent être déterminées par arrêté royal • AR du 13/02/2001 contient des exemptions conditionnelles • traitements pour l’administration du personnel et des salaires et la comptabilité • traitements pour l’administration d’associés et d’actionnaires • traitements pour la gestion de la clientèle et de fournisseurs • traitements à des fins de communication et pour l’enregistrement de visiteurs • traitements par des associations sans but lucratif • traitements par des établissements d’enseignement en vue de la gestion des élèves et des étudiants • traitements par des communes pour la gestion des registres • traitements par des autorités administratives en cas de réglementations particulières • traitements par des institutions de sécurité sociale • si exemption accordée, communiquer les informations énumérées à l’art. 17, §§ 3 et 6 à toute personne qui en fait la demande

Transmission de données à caractère personnel vers des pays non-membres de l’UE • le pays non membre de l’UE doit assurer un niveau de protection adéquat (art. 21) • la transmission vers un pays non membre de l’UE n’assurant pas un niveau de protection adéquat est cependant possible • dans six cas énumérés (art. 22, alinéa 1er) • si autorisée par AR (art. 22, alinéa 2)

CPVP – généralités (1/2) • Commission de la protection de la vie privée • instituée auprès de la Chambre des représentants (art. 23) • composition et désignation (art. 24) • 8 membres effectifs, dont • le président (= un magistrat) • le vice-président (= d’un autre rôle linguistique que le président) • 8 membres suppléants • nombre égal de membres d’expression française et de membres d’expression néerlandaise • nommés pour un terme de 6 ans, renouvelable

CPVP – généralités (2/2) • indépendance (art. 24) • les membres doivent offrir des garanties leur permettant d’exercer leur mission avec indépendance (§ 4) • les membres ne reçoivent d’instructions de personne (§ 6) • confidentialité (art. 33) • rapport sur les activités (art. 32, § 2) • est rédigé chaque année • est communiqué à la Chambre des représentants

CPVP – tâches (1/2) • avis (art. 29) - recommandations (art. 30) • soit d’initiative, soit sur demande des pouvoirs législatifs ou exécutifs • sur toute question relative à l’application des principes fondamentaux de la protection de la vie privée • dans le cadre de la Loi Traitement des Données à caractère personnel • dans le cadre des dispositions légales en matière de protection de la vie privée à l’égard du traitement des données à caractère personnel • motivés

CPVP – tâches (2/2) • examen des plaintes (art. 31) • nature des plaintes • relatives aux missions légales de la CPVP • signées et datées • si la plainte est recevable, la CPVP intervient en tant que médiateur • en cas de conciliation, la CPVP dresse un procès-verbal expliquant la solution • en l’absence de conciliation, la CPVP émet un avis sur le caractère fondé de la plainte ou une recommandation • droit de défense • ne porte pas atteinte à la possibilité de recourir au tribunal

CPVP - compétences • compétences (art. 32, § 1er) • requérir le concours d’experts • procéder à un examen sur place • exiger des documents utiles • pénétrer en tous lieux où ils ont un motif raisonnable de supposer que s’exerce une activité en rapport avec l’application de la loi • rapport avec le pouvoir judiciaire • la CPVP dénonce au procureur du Roi les infractions dont elle a connaissance (art. 32, § 2) • le président peut soumettre au tribunal de première instance tout litige concernant l’application de la loi et de ses mesures d’exécution (art. 32, § 3)

Comités sectoriels (art. 31bis) (1/3) • institués au sein de la CPVP • habilités e.a. à autoriser les échanges de données à caractère personnel faisant l’objet de législations particulières • comité sectoriel de la sécurité sociale • voir la loi organique de la Banque Carrefour du 15 janvier 1990 • comité sectoriel du Registre national • voir la loi du 8 août 1983 relative au Registre national • comité sectoriel pour la Banque Carrefour des Entreprises • voir la loi du 16 janvier 2003 relative à la BCE • comité sectoriel pour l’autorité fédérale • voir l’article 36bis LTD • comité sectoriel Phénix • …

KSZ-BCSS

KSZ-BCSS

Presentation Transcript

Elaine Russell Programme Manager BCSS FFWS Pilot

Samenwerking POD MI, KSZ, RR en DVZ

KSZ-BCSS

FYZIKA KLIMATICKÉHO SYSTÉMU ZEME (KSZ), SKRÁTENÁ VERZIA

KSZ-BCSS

Collaboration SPP IS, BCSS, RN et OE

KSZ-BCSS

Governance issue s i n case of the Budapest Transport Association (B KSZ )

Plemena prasat KSZ - Praha

Modernisation des registres BCSS

Required: CMSA+PAL+club card (co-sanctioned w/ CCMSA, BCSS, AMSA, SCMSA)

https://supplementgear.com/ksz-male-enhancement/

http://wintersupplement.com/ksz-pills/