Vous êtes ici : Accueil > Comités sectoriels > Comité sectoriel pour l'Autorité Fédérale > Compétences > Demande d'une autorisation pour une communication électronique de données à caractère personnel

Demande d'une autorisation pour une communication électronique de données à caractère personnel

La procédure en bref

La demande d’autorisation est adressée par écrit à la Commission de la protection de la vie privée (Rue haute, 139 – 1000 Bruxelles).

La Commission de la protection de la vie privée la transmet ensuite au Comité sectoriel pour l’Autorité Fédérale et au Service public fédéral Technologie de l’Information et de la Communication (FEDICT).

Les délais fixés dans la loi ne commencent à courir qu’à partir du moment où le dossier est complet. La rapidité du traitement dépend dans une large mesure du fait que la demande d’autorisation est complète, claire et bien motivée.

Dès que le dossier est complet, le Service public fédéral Technologie de l’Information et de la Communication dispose d’un délai de 15 jours pour fournir un avis technique et juridique au comité sectoriel pour l’Autorité Fédérale.

Pour statuer sur la demande d’autorisation, le Comité sectoriel pour l’Autorité Fédérale dispose de
30 jours à compter de la réception de l’avis technique et juridique ou, si celui-ci n’a pas été fourni, à compter de l’expiration du délai de 15 jours. Si le Comité sectoriel pour l’Autorité Fédérale ne se prononce pas dans ce délai, sa décision est réputée conforme à l’avis technique et juridique.

Informations pratiques

Dans les lignes qui suivent, certaines informations qui doivent figurer dans la demande de communication font l’objet d’une présentation afin de faciliter la tâche du demandeur. Un modèle de formulaire est disponible sur le site. Pour peu que l’on combine les deux, la procédure de demande devrait se dérouler sans encombre.

Afin de permettre une évaluation du respect de la Loi vie privée en ce qui concerne la sécurité des systèmes d’information impliqués, toute demande devra toujours être accompagnée du "Questionnaire d’évaluation destiné à tout demandeur d’une communication électronique de données et concernant les mesures de référence en matière de sécurité applicables à tout traitement de données à caractère personnel", dument complété et signé (formulaire d'évaluation.pdf) (formulaire d'évaluation.doc).

Ce questionnaire se réfère aux "Mesures de référence de sécurité applicables à tout traitement de données à caractère personnel" préconisées par la Commission de la protection de la vie privée.

Demande d'une autorisation d’obtenir une communication électronique de données à caractère personnel par un SPF ou par un organisme public avec personnalité juridique relevant de l’Autorité Fédérale

La demande introduite en vue d’avoir d’obtenir une communication électronique doit contenir les éléments mentionnés dans le formulaire de demande d’autorisation. L’état du dossier est examiné par le Comité sectoriel pour l’Autorité Fédérale. Le cas échéant, pour que le dossier puisse être considéré en l’état, des informations complémentaires sont demandées.

Informations relatives au demandeur

Le demandeur est la personne physique ou morale qui souhaite obtenir une communication électronique de données à caractère personnel par un SPF ou par un organisme public avec personnalité juridique relevant de l’Autorité Fédérale. Il mentionne les coordonnées suivantes:

• nom ;
• adresse ;
• coordonnées de l’organisme (téléphone, fax, e-mail) ;
• personne de contact (nom, prénom, le cas échéant, fonction) ;
• coordonnées de la personne de contact (téléphone, fax, e-mail).

S’il s’agit d’une personne morale, outre sa dénomination, il convient de mentionner, dans le formulaire de demande d’autorisation, le service qui recevra les données à caractère personnel (direction, division, ….).

Informations relatives à l’expéditeur

L’expéditeur est le Service public fédéral ou l’organisme de droit public doté de la personnalité juridique relevant de l’Autorité Fédérale à partir duquel s’effectue la communication électronique de données à caractère personnel. Les coordonnées suivantes doivent être mentionnées:

• nom ;
• adresse ;
• coordonnées de l’organisme (téléphone, fax, e-mail).

Outre sa dénomination, il convient de préciser, dans le formulaire de demande d’autorisation, le service à partir duquel les données à caractère personnel sont expédiées (direction, division, ….).

Indication de la (des) finalité(s) pour laquelle (lesquelles) l’accès ou la communication est sollicité(e)

Cet élément est important lors de l’examen de la demande par le Comité sectoriel pour l’Autorité Fédérale. En effet, c’est sur la base de la finalité que le comité sectoriel pourra s’assurer que les données à caractère personnel demandées sont adéquates, pertinentes et non excessives.

Les finalités doivent répondre aux caractéristiques suivantes :

• elles doivent être déterminées : il convient d’indiquer dans le formulaire ce qu’il adviendra des données à caractère personnel, afin d’informer aussi complètement que possible le Comité sectoriel pour l’Autorité Fédérale et les personnes dont les données seront traitées ;
• elles doivent être explicites : il ne suffit pas que la finalité soit claire pour le Comité sectoriel. Elle doit également être définie aussi précisément que possible, de manière à ce que son contenu soit compréhensible pour tout citoyen ;
• elles doivent être légitimes : il faut pouvoir démontrer qu’un équilibre existe entre l’intérêt qu’ont les personnes concernées (= celles dont les données à caractère personnel sont traitées) à préserver leurs droits et libertés et l’intérêt du demandeur.

Les éléments suivants permettront d’apprécier la légitimité de la finalité du traitement envisagé :

• mention des lois, décrets ou ordonnances pour l’exécution desquel(le)s la communication est nécessaire ;
• mention des lois, décrets ou ordonnances sur la base desquel(le)s est confiée au demandeur une tâche d’intérêt général dont l’exécution exige une communication ;
• mention de l’intérêt de la communication dans le chef du demandeur dans le cadre de son business.

Par donnée

• Indication du besoin exact : s’agit-il d’une communication unique, d’une communication périodique selon une fréquence déterminée ou d’un accès permanent ? ;
• preuve de proportionnalité : pondération des intérêts respectifs de la personne concernée, dont les données à caractère personnel sont traitées, et du demandeur ;
• durée de conservation prévue : indication du délai durant lequel les données à caractère personnel seront conservées et à l’expiration duquel elles doivent être détruites.

Information des personnes concernées

Le demandeur doit indiquer les mesures prises par le demandeur en vue d’informer les personnes concernées sur la communication de données à caractère personnel (par quel canal, à quel moment et quelle information).

Qualité et fonction des personnes ayant accès aux informations

Il est souhaitable que l'accès aux informations ne soit pas accordé aux personnes selon des critères organiques spécifiés mais selon des critères fonctionnels. Ils doivent donc être réservés aux personnes qui ont besoin de ces informations en raison de l'exercice de leur travail et de la description de leur fonction.

Notez que lorsque les données traitées sont des données au sens des articles 6 (données sensibles), 7 (données relatives à la santé) et 8 (données judiciaires), il faut également désigner les catégories de personnes ayant accès aux données avec une description précise de leur fonction par rapport au traitement.

La liste des catégories de personnes doit être tenue à disposition de la Commission de la protection de la vie privée par le responsable du traitement [ou le sous-traitant].

Obligation de confidentialité des personnes traitant des données au sens des articles 6, 7 et 8 de la Loi vie privée

En raison de leur nature particulière, les données visées aux articles 6 (données sensibles), 7 (données relatives à la santé) et 8 (données judiciaires) font l’objet de mesures spécifiques en matière de sécurité.

Le responsable du traitement est en effet tenu de veiller à ce que les personnes désignées pour traiter les données soient tenues par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données traitées.

Sécurité du système d’information du demandeur

Le système d’information du demandeur doit répondre à certaines normes de sécurité.

Ces normes sont détaillées dans les "Mesures de référence de sécurité applicables à tout traitement de données à caractère personnel" préconisées par la Commission de la protection de la vie privée.

Afin que le Comité sectoriel pour l’Autorité Fédérale puisse apprécier le respect de tous ces points, le demandeur doit compléter le questionnaire, permettant d’évaluer le respect de la loi vie privée en ce qui concerne la sécurité des systèmes d’information traitant des données à caractère personnel (formulaire d'évaluation.pdf) (formulaire d'évaluation.doc) .