J U S T E L     -     Législation consolidée
Fin Premier mot Dernier mot Modification(s) Préambule
Travaux parlementaires Table des matières 1 arrêté d'exécution 1 version archivée
Signatures Fin Version néerlandaise
 
belgiquelex . be     -     Banque Carrefour de la législation
Conseil d'Etat Chambre des représentants
ELI - Système de navigation par identifiant européen de la législation
http://www.ejustice.just.fgov.be/eli/loi/2018/07/30/2018040581/justel

Titre
30 JUILLET 2018. - Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
(NOTE : Consultation des versions antérieures à partir du 05-09-2018 et mise à jour au 24-05-2019)

Source : JUSTICE.INTERIEUR.DEFENSE NATIONALE
Publication : 05-09-2018 numéro :   2018040581 page : 68616   IMAGE
Dossier numéro : 2018-07-30/46
Entrée en vigueur : 05-09-2018

Table des matières Texte Début
TITRE PRELIMINAIRE. - Dispositions introductives
Art. 1-5
TITRE 1er. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel
CHAPITRE Ier. - Disposition générale
Art. 6
CHAPITRE II. - Principes de traitement
Art. 7-10
CHAPITRE III. - Limitations aux droits de la personne concernée
Art. 11-17
CHAPITRE IV. - Responsable du traitement et sous-traitant
Section 1re. - Disposition générale
Art. 18
Section 2. - Secteur public
Art. 19-23
CHAPITRE V. - Traitements à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire
Art. 24
TITRE 2. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces
CHAPITRE Ier. - Dispositions générales
Art. 25-27
CHAPITRE II. - Principes de traitement
Art. 28-35
CHAPITRE III. - Droits de la personne concernée
Art. 36-49
CHAPITRE IV. - Responsable du traitement et sous-traitant
Section 1re. -Mesures organisationnelles et techniques
Art. 50-51
Section 2. - Responsables conjoints du traitement
Art. 52
Section 3. - Sous-traitant
Art. 53-54
Section 4. - Obligations
Art. 55-62
Section 5. - Délégué à la protection des données
Art. 63-65
CHAPITRE V. - Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales
Art. 66-70
CHAPITRE VI. - Autorités de contrôle indépendantes
Art. 71
TITRE 3. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par d'autres autorités que celles visées aux titres 1er et 2
SOUS-TITRE 1er. -De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les services de renseignements et de sécurité
CHAPITRE Ier. -Définitions
Art. 72
CHAPITRE II. - Champ d'application
Art. 73
CHAPITRE III. - Conditions générales du traitement
Art. 74-75
CHAPITRE IV. - Nature des données à caractère personnel
Art. 76
CHAPITRE V. - Conservation des données à caractère personnel
Art. 77
CHAPITRE VI. - Droits de la personne concernée
Art. 78-82
CHAPITRE VII. - Obligations du responsable du traitement et du sous-traitant
Section 1re. -Obligations générales
Art. 83-86
Section 2. - Responsables conjoints du traitement
Art. 87
Section 3. - Sécurité des données à caractère personnel
Art. 88-89
Section 4. - Registres
Art. 90
Section 5. - Délégué à la protection des données
Art. 91
CHAPITRE VIII. - Communication et transfert de données à caractère personnel
Section 1re. - Communication de données à caractère personnel au secteur public et au secteur privé
Art. 92
Section 2. - Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales
Art. 93-94
CHAPITRE IX. - Autorité de contrôle
Art. 95-98
CHAPITRE X. - Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques
Art. 99-104
SOUS-TITRE 2. - De la protection des personnes physiques concernant le traitement des données à caractère personnel par les forces armées
Art. 105
SOUS-TITRE 3. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel dans le cadre de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité
CHAPITRE Ier. -Définitions
Art. 106
CHAPITRE II. - Champ d'application
Art. 107
CHAPITRE III. - Conditions générales du traitement
Art. 108-109
CHAPITRE IV. - Nature des données à caractère personnel
Art. 110
CHAPITRE V. - Conservation des données à caractère personnel
Art. 111
CHAPITRE VI. - Droits de la personne concernée
Art. 112-115
CHAPITRE VII. - Obligations du responsable du traitement et du sous-traitant
Section 1re. - Obligations générales
Art. 116-119
Section 2. - Responsables conjoints du traitement
Art. 120
Section 3. - Sécurité des données à caractère personnel
Art. 121-122
Section 4. - Registres
Art. 123
Section 5. - Délégué à la protection des données
Art. 124
CHAPITRE VIII. - Communication et transfert de données à caractère personnel
Section 1re. - Communication de données à caractère personnel au secteur public et au secteur privé
Art. 125
Section 2. - Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales
Art. 126-127
CHAPITRE IX. - Autorité de contrôle
Art. 128-131
CHAPITRE X. - Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques
Art. 132-137
SOUS-TITRE 4. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par l'organe de coordination pour l'analyse de la menace
CHAPITRE Ier. -Définitions
Art. 138
CHAPITRE II. - Champ d'application
Art. 139
CHAPITRE III. - Conditions générales du traitement
Art. 140-141
CHAPITRE IV. - Nature des données à caractère personnel
Art. 142
CHAPITRE V. - Conservation des données à caractère personnel
Art. 143
CHAPITRE VI. - Droits de la personne concernée
Art. 144-148
CHAPITRE VII. - Obligations du responsable du traitement et du sous-traitant
Section 1re. - Obligations générales
Art. 149-152
Section 2. - Responsables conjoints du traitement
Art. 153
Section 3. - Sécurité des données à caractère personnel
Art. 154-155
Section 4. - Registres
Art. 156
Section 5. - Délégué à la protection des données
Art. 157
CHAPITRE VIII. - Communication et transfert de données à caractère personnel
Section 1re. - Communication de données à caractère personnel au secteur public et au secteur privé
Art. 158
Section 2. - Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales
Art. 159-160
CHAPITRE IX. - Autorité de contrôle
Art. 161
CHAPITRE X. - Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques
Art. 162-167
SOUS-TITRE 5. - De la protection des personnes physiques à l'égard de certains traitements de données à caractère personnel par l'unité d'information des passagers
CHAPITRE Ier. -Définitions
Art. 168
CHAPITRE II. - Champ d'application
Art. 169
CHAPITRE III. - Conditions générales du traitement
Art. 170
CHAPITRE IV. - Conservation des données à caractère personnel
Art. 171
CHAPITRE V. - Droits de la personne concernée
Art. 172-176
CHAPITRE VI. - Obligations du responsable du traitement
Section 1re. - Obligations générales
Art. 177-178
Section 2. - Sécurité des données à caractère personnel
Art. 179-180
Section 3. - Registre
Art. 181
CHAPITRE VII. - Communication et transfert de données à caractère personnel
Art. 182-183
CHAPITRE VIII. - Autorité de contrôle
Art. 184
SOUS-TITRE 6. - Dispositions particulières
Art. 185
TITRE 4. - Traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visées à l'article 89, §§ 2 et 3, du Règlement
CHAPITRE Ier. - Dispositions générales
Art. 186-189
CHAPITRE II. - Garanties générales
Art. 190-192
CHAPITRE III. - Collecte de données
Section 1re. - Collecte de données auprès de la personne concernée
Art. 193
Section 2. - Traitement ultérieur de données
Art. 194-197
Section 3. - Anonymisation ou pseudonymisation des données traitées à des fins de recherche scientifique ou historique ou à des fins statistiques
Art. 198-204
Section 4. - Diffusion des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Art. 205-206
Section 5. - Communication des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Art. 207-208
TITRE 5. - Voies de recours et représentation des personnes concernées
CHAPITRE Ier. - Action en cessation
Art. 209-219
CHAPITRE II. - Représentation des personnes concernées
Art. 220
TITRE 6. - Sanctions
CHAPITRE Ier. - Sanctions administratives
Art. 221
CHAPITRE II. - Sanctions pénales
Art. 222-230
TITRE 7. - Organe de contrôle de l'information policière
CHAPITRE Ier. - Composition et statut des membres et du service d'enquête
Art. 231-235
CHAPITRE II. - Les missions
Art. 236-243
CHAPITRE III. - Compétences de l'Organe de contrôle, ses membres et des membres du service d'enquête
Art. 244-250
CHAPITRE IV. - Financement
Art. 251
TITRE 8. - Dispositions finales
Art. 252
CHAPITRE Ier. - Dispositions modificatives
Art. 253-279
CHAPITRE II. - Dispositions abrogatoires
Art. 280
CHAPITRE III. - Entrée en vigueur et dispositions transitoires
Art. 281-286

Texte Table des matières Début
TITRE PRELIMINAIRE. - Dispositions introductives

  Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

  Art. 2. La présente loi s'applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
  Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ci-après "le Règlement", s'applique également au traitement de données à caractère personnel visés aux articles 2.2.a) et 2.2.b) du Règlement.

  Art. 3. La libre circulation des données à caractère personnel n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
  En particulier, le partage des données à caractère personnel entre les responsables du traitement, les autorités compétentes, les services, organes et les destinataires, visés aux titres 1er à 3 de la présente loi et qui agissent dans le cadre des finalités visées à l'article 23.1.a) à h), du Règlement, ne peut être ni limité ni interdit pour de tels motifs.
  Une limitation ou une interdiction peut toutefois avoir lieu s'il y a un risque élevé que le partage des données aboutirait à contourner la présente loi.

  Art. 4. § 1er. La présente loi s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire belge, que le traitement ait lieu ou non sur le territoire belge.
  § 2. La présente loi s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire belge par un responsable du traitement ou un sous-traitant qui n'est pas établi sur le territoire de l'Union européenne, lorsque les activités de traitement sont liées :
  1° à l'offre de biens ou de services à ces personnes concernées sur le territoire belge, qu'un paiement soit exigé ou non desdites personnes; ou
  2° au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu sur le territoire belge.
  § 3. Par dérogation au paragraphe 1er, lorsque le responsable du traitement est établi dans un Etat membre de l'Union européenne et fait appel à un sous-traitant établi sur le territoire belge, le droit de l'Etat membre en question s'applique au sous-traitant pour autant que le traitement a lieu sur le territoire de cet Etat membre.
  § 4. La présente loi s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi sur le territoire belge mais dans un lieu où le droit belge s'applique en vertu du droit international public.

  Art. 5. Les définitions du Règlement s'appliquent.
  Pour l'application de la présente loi, on entend par "autorité publique" :
  1° l'état fédéral, les entités fédérées et les autorités locales;
  2° les personnes morales de droit public qui dépendent de l'Etat fédéral, des entités fédérées ou des autorités locales;
  3° les personnes, quelles que soient leur forme et leur nature qui :
  - ont été créées pour satisfaire spécifiquement des besoins d'intérêt général ayant un caractère autre qu'industriel ou commercial; et
  - sont dotées de la personnalité juridique; et
  - dont soit l'activité est financée majoritairement par les autorités publiques ou organismes mentionnés au 1° ou 2°, soit la gestion est soumise à un contrôle de ces autorités ou organismes, soit plus de la moitié des membres de l'organe d'administration, de direction ou de surveillance sont désignés par ces autorités ou organismes;
  4° les associations formées par une ou plusieurs autorités publiques visées au 1°, 2° ou 3°.

  TITRE 1er. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel

  CHAPITRE Ier. - Disposition générale

  Art. 6. Sans préjudice de dispositions particulières, le présent titre exécute le Règlement.

  CHAPITRE II. - Principes de traitement

  Art. 7. En exécution de l'article 8.1 du Règlement, le traitement des données à caractère personnel relatif aux enfants en ce qui concerne l'offre directe de services de la société de l'information aux enfants, est licite lorsque le consentement a été donné par des enfants âgés de 13 ans ou plus.
  Lorsque ce traitement porte sur des données à caractère personnel de l'enfant âgé de moins de 13 ans, il n'est licite que si le consentement est donné par le représentant légal de cet enfant.

  Art. 8. § 1er. En exécution de l'article 9.2.g) du Règlement, les traitements ci-après sont considérés comme traitements nécessaires pour des motifs d'intérêt public important :
  1° le traitement effectué par des associations dotées de la personnalité juridique ou par des fondations qui ont pour objet statutaire principal la défense et la promotion des droits de l'homme et des libertés fondamentales, en vue de la réalisation de cet objet, à condition que ce traitement soit autorisé par le Roi, par arrêté délibéré en Conseil des ministres, après avis de l'autorité de contrôle compétente. Le Roi peut prévoir des modalités de ce traitement;
  2° le traitement géré par la fondation d'utilité publique "Fondation pour Enfants Disparus et Sexuellement Exploités" pour la réception, la transmission à l'autorité judiciaire et le suivi de données concernant des personnes qui sont suspectées, dans un dossier déterminé de disparition ou d'exploitation sexuelle, d'avoir commis un crime ou un délit;
  3° le traitement de données à caractère personnel concernant la vie sexuelle, effectué par une association dotée de la personnalité juridique ou par une fondation, qui a pour objet statutaire principal l'évaluation, la guidance et le traitement des personnes dont le comportement sexuel peut être qualifié d'infraction, et qui est agréée et subventionné par l'autorité compétente en vue de la réalisation de cet objet. Ces traitements, qui doivent être destinés à l'évaluation, la guidance et le traitement des personnes visées dans le présent paragraphe et qui ne peuvent porter que sur des données à caractère personnel qui, pour autant qu'elles soient relatives à la vie sexuelle, concernent les personnes visées dans le présent paragraphe, sont soumis à une autorisation spéciale individuelle accordée par le Roi, dans un arrêté royal délibéré en Conseil des ministres, après avis de l'autorité de contrôle compétente.
  L'arrêté visé à l'alinéa 1er, 3°, précise la durée de validité de l'autorisation, les modalités du traitement des données, les modalités de contrôle de l'association ou de la fondation par l'autorité compétente et la façon dont cette autorité informe l'autorité de contrôle compétente sur le traitement de données à caractère personnel effectué dans le cadre de l'autorisation accordée.
  Sauf dispositions légales particulières, le traitement de données génétiques et biométriques aux fins d'identifier une personne physique de manière unique par ces associations et fondations est interdit.
  § 2. Le responsable du traitement et, le cas échéant, le sous-traitant établissent une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente.
  Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
  § 3. La fondation visée au paragraphe 1er, alinéa 1er, 2°, ne peut tenir un fichier de personnes suspectes d'avoir commis un crime ou un délit ou de personnes condamnées. Elle désigne également un délégué à la protection des données.

  Art. 9. En exécution de l'article 9.4 du Règlement, le responsable du traitement prend les mesures supplémentaires suivantes lors du traitement de données génétiques, biométriques ou des données concernant la santé :
  1° les catégories de personnes ayant accès aux données à caractère personnel, sont désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées;
  2° la liste des catégories des personnes ainsi désignées est tenue à la disposition de l'autorité de contrôle compétente par le responsable du traitement ou, le cas échéant, par le sous-traitant;
  3° il veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.

  Art. 10. § 1er. En exécution de l'article 10 du Règlement, le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions pénales ou aux mesures de sûreté connexes est effectué :
  1° par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l'exige; ou
  2° par des avocats ou d'autres conseils juridiques, pour autant que la défense de leurs clients l'exige; ou
  3° par d'autres personnes lorsque le traitement est nécessaire pour des motifs d'intérêt public important pour l'accomplissement de tâches d'intérêt général confiées par ou en vertu d'une loi, d'un décret, d'une ordonnance ou du droit de l'Union européenne; ou
  4° pour les nécessités de la recherche scientifique, historique ou statistique ou à des fins d'archives; ou
  5° si la personne concernée a autorisé explicitement et par écrit le traitement de ces données à caractère personnel pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités; ou
  6° si le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée, de sa propre initiative, pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités.
  § 2. Le responsable du traitement et, le cas échéant, le sous-traitant établissent une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente.
  Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.

  CHAPITRE III. - Limitations aux droits de la personne concernée

  Art. 11. § 1er. En application de l'article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l'article 5 du Règlement, ne s'appliquent pas aux traitements de données à caractère personnel émanant directement ou indirectement des autorités visées au titre 3, à l'égard :
  1° des autorités et personnes visées aux articles 14, 16 et 19 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité auxquelles ces données ont été transmises directement ou indirectement par les autorités visées au titre 3;
  2° des autorités et personnes visées à l'article 2, alinéa 1er, 2°, de la loi du 10 juillet 2006 relative à l'analyse de la menace ainsi que celles mentionnées à l'article 44/11/3ter §§ 2 et 3, et à l'article 44/11/3quater de la loi du 5 août 1992 sur la fonction de police, et qui relèvent du champ d'application du titre 1er, et auxquelles ces données ont été transmises.
  § 2. Le responsable du traitement visé au présent titre qui est en possession de telles données ne les communique pas à la personne concernée à moins que :
  1° la loi l'y oblige dans le cadre d'une procédure contentieuse; ou
  2° l'autorité visée au titre 3 concernée l'y autorise.
  Le responsable du traitement ou l'autorité compétente ne fait aucune mention qu'il est en possession de données émanant des autorités visées au titre 3.
  § 3. Les limitations visées au paragraphe 1er portent également sur la journalisation des traitements d'une autorité visée au titre 3 dans les banques de données des responsables du traitement visés par le présent titre auxquelles l'autorité a directement accès.
  § 4. Le responsable de traitement visé au présent titre qui traite les données émanant directement ou indirectement des autorités visées au titre 3 répond au minimum aux conditions suivantes :
  1° il adopte des mesures techniques ou organisationnelles appropriées pour assurer que l'accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l'exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service;
  2° il adopte des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données.
  Les membres du personnel du responsable de traitement qui traitent les données visées à l'alinéa 1er sont en outre tenus au devoir de discrétion.
  § 5. Lorsque l'autorité de contrôle visée dans la loi du 3 décembre 2017 portant création de l'Autorité de protection des données est saisie d'une requête ou d'une plainte où le responsable du traitement fait état de l'application du présent article, l'autorité de contrôle s'adresse au Comité permanent R pour qu'il fasse les vérifications nécessaires auprès de l'autorité visée au titre 3.
  Après réception de la réponse du Comité permanent R, l'Autorité de protection des données n'informe la personne concernée que des résultats de la vérification portant sur les données à caractère personnel n'émanant pas des autorités visées au titre 3 que l'autorité de contrôle est légalement tenue de communiquer.
  Si la requête ou la plainte ne porte que sur des données à caractère personnel émanant d'une autorité visée au titre 3, l'Autorité de protection des données répond, après réception de la réponse du Comité permanent R, que les vérifications nécessaires ont été effectuées.

  Art. 12. En application de l'article 23 du Règlement, un responsable du traitement qui communique des données à caractère personnel à une autorité visée aux sous-titres 2 et 4 du titre 3 de la présente loi n'est pas soumis aux articles 14.1.e. et 15.1.c. du Règlement et à l'article 20, § 1er, 6°, de la présente loi et ne peut informer la personne concernée de cette transmission.

  Art. 13. Lorsqu'une autorité visée aux sous-titres 1er et 6 du titre 3 dispose d'un accès direct ou d'une interrogation directe à une banque de données du secteur public ou du secteur privé, ses traitements de données à caractère personnel dans cette banque de données sont protégés par des mesures de sécurité techniques, organisationnelles et individuelles de sorte que seuls les acteurs suivants puissent accéder au contenu de ces traitements pour assurer leurs missions légales de contrôle :
  1° le délégué à la protection des données du responsable du traitement de la banque de données;
  2° le délégué à la protection des données de l'autorité visée aux sous-titres 1 et 6 du titre 3;
  3° le responsable du traitement de la banque de données ou son délégué;
  4° le responsable du traitement de l'autorité visée aux sous-titres 1 et 6 du titre 3;
  5° toute autre personne précisée dans un protocole entre les responsables du traitement, pour autant que l'accès s'inscrive dans l'exercice des missions légales de contrôle des délégués à la protection des données et des responsables du traitement.
  Les mesures de sécurité mentionnées à l'alinéa 1er visent à protéger les obligations légales portant sur la protection des sources, la protection de l'identité de leurs agents ou la discrétion des enquêtes des autorités visées aux sous-titres 1 et 6 du titre 3. Elles sont mises à la disposition de l'autorité de contrôle compétente.
  Ces traitements ne peuvent être accessibles pour d'autres finalités que celles liées au contrôle que si ces finalités sont consignées dans un protocole d'accord par les responsables du traitement concernés parmi les finalités déterminées par ou en vertu d'une loi.
  Le protocole d'accord désigne la ou les personnes dont l'accès aux journaux est nécessaire pour remplir chaque finalité autorisée à l'alinéa 3.
  Les journaux et les mesures de sécurité mentionnées à l'alinéa 1er sont mis à la disposition du Comité permanent R.
  L'autorité visée au titre 3 concernée peut déroger à l'alinéa 1er lorsque l'accès à ses traitements dans une banque de données et aux journaux n'est pas susceptible de porter atteinte aux intérêts visés à l'alinéa 2.

  Art. 14. § 1er. En application de l'article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l'article 5 du Règlement ne s'appliquent pas aux traitements de données émanant directement ou indirectement des autorités judiciaires, des services de police, de l'Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l'Administration générale des douanes et accises, et de l'Unité d'information des passagers visés au titre 2, à l'égard :
  1° des autorités publiques, dans le sens de l'article 5 de la présente loi, auxquelles les données ont été transmises par ou en vertu de la loi, d'un décret ou d'une ordonnance;
  2° d'autres organes et des organismes auxquelles les données ont été transmises par ou en vertu d'une loi, d'un décret ou d'une ordonnance.
  § 2. Le responsable du traitement visé au présent titre qui est en possession de données visées au paragraphe 1er ne les communique pas à la personne concernée à moins que :
  1° la loi l'y oblige dans le cadre d'une procédure contentieuse; ou que
  2° les autorités judiciaires, les services de police, l'Inspection générale de la police fédérale et de la police locale, la Cellule de Traitement des Informations Financières, l'Administration générale des douanes et accises, et l'Unité d'information des passagers visés au paragraphe 1er, chacun pour les données les concernant, l'y autorisent.
  Le responsable du traitement ou l'autorité compétente ne fait aucune mention qu'il est en possession de données émanant de ceux-ci.
  § 3. Les limitations visées au paragraphe 1er portent également sur la journalisation des traitements des autorités judiciaires, des services de police, de l'Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l'Administration générale des douanes et accises et de l'Unité d'information des passagers dans les banques de données des responsables du traitement visés au présent titre auxquelles ceux-ci ont directement accès.
  Ces limitations ne s'appliquent qu'aux données traitées initialement pour les finalités visées à l'article 27 de la présente loi.
  § 4. Les garanties légales visées à l'article 23.2 du Règlement auxquelles les autorités publiques, organes ou organismes doivent répondre sont déterminées par ou en vertu de la loi.
  Les autorités publiques, organes ou organismes qui traitent les données émanant directement ou indirectement des autorités judiciaires, des services de police, de l'Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l'Administration générale des douanes et accises et de l'Unité d'information des passagers répondent au minimum aux conditions suivantes :
  1° ils adoptent des mesures techniques ou organisationnelles appropriées pour assurer que l'accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l'exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service;
  2° ils adoptent des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données.
  Les membres des autorités publiques, organes ou organismes qui traitent les données visées au § 1er sont en outre tenus au devoir de discrétion.
  § 5. Toute demande portant sur l'exercice des droits visés aux articles 12 à 22 du Règlement, adressée à une autorité publique, organe et organisme mentionné au § 1er, 1° en 2°, est transmise dans les meilleurs délais à l'Autorité de protection des données visée à la loi du 3 décembre 2017 portant création de l'Autorité de protection des données.
  Lorsque l'Autorité de protection des données est saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l'application du présent article, elle procède aux vérifications nécessaires auprès des autorités, organes ou organismes concernés.
  Lorsque l'Autorité de protection des données a été saisie par la personne concernée, elle informe la personne concernée selon les modalités légales prévues.
  § 6. Lorsque le traitement porte sur des données initialement traitées par les services de police ou l'Inspection générale de la police fédérale et de la police locale, l'Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l'application du présent article, s'adresse à l'autorité de contrôle visée à l'article 71 pour qu'elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents.
  Lorsque l'Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l'autorité visée à l'article 71, l'Autorité de protection des données informe la personne concernée selon les modalités légales prévues.
  § 7. Lorsque le traitement porte sur des données initialement traitées par les autorités judiciaires, l'Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l'application du présent article, s'adresse à l'autorité de contrôle compétente pour les autorités judiciaires pour qu'elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents, visés au § 1er, 1° et 2° .
  Lorsque l'Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l'autorité de contrôle compétente pour les autorités judiciaires, l'Autorité de protection des données informe la personne concernée selon les modalités légales prévues.

  Art. 15. En application de l'article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l'article 5 du Règlement, ne s'appliquent pas aux traitements de données à caractère personnel par l'Unité d'information des passagers, tels que visés au chapitre 7 de la loi du 25 décembre 2016 relative au traitement des données des passagers.
  Le responsable du traitement ne communique pas les données visées à l'alinéa 1er à la personne concernée à moins que la loi l'y oblige dans le cadre d'une procédure contentieuse.
  Le responsable du traitement ne fait aucune mention à la personne concernée qu'il est en possession de données la concernant.
  Les limitations visées à l'alinéa 1er portent également sur la journalisation des traitements effectués par l'Unité d'information des passagers dans les banques de données des responsables du traitement visés par le présent titre.
  Lorsque l'autorité de contrôle compétente est saisie d'une requête ou d'une plainte où le responsable du traitement fait état de l'application du présent article, l'autorité de contrôle répond uniquement que les vérifications nécessaires ont été effectuées.

  Art. 16. Lorsque les données à caractère personnel figurent dans une décision judiciaire ou un dossier judiciaire, ou font l'objet d'un traitement lors d'une enquête judiciaire et d'une procédure pénale, les droits visés aux articles 12 à 22 et 34 du Règlement sont exercés conformément au Code judiciaire, au Code d'instruction criminelle, aux lois particulières relatives à la procédure pénale ainsi qu'aux arrêtés d'exécution.

  Art. 17. En application de l'article 23 du Règlement, un responsable du traitement visé au présent titre qui communique des données à caractère personnel à une banque de données conjointe ne peut informer la personne concernée de cette transmission.
  Par "banque de données conjointe", on entend l'exercice commun des missions effectuées dans le cadre du titre 1er et des titres 2 ou 3 par plusieurs autorités, structurée à l'aide de procédés automatisés et appliqués aux données à caractère personnel.

  CHAPITRE IV. - Responsable du traitement et sous-traitant

  Section 1re. - Disposition générale

  Art. 18. En exécution de l'article 43 du Règlement, les organismes de certification sont accrédités conformément à la norme EN-ISO/IEC 17065 et aux exigences supplémentaires établies par l'autorité de contrôle par l'organisme national d'accréditation désigné conformément au Règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil.

  Section 2. - Secteur public

  Art. 19. La présente section est applicable aux services de police au sens de l'article 2, 2°, de la loi du 7 décembre 1998 organisant un service de police structuré organisé à deux niveaux, qui sont considérés comme une seule autorité publique.

  Art. 20. § 1er. Sauf autre disposition dans des lois particulières, en exécution de l'article 6.2 du Règlement, l'autorité publique fédérale qui transfert des données à caractère personnel sur la base de l'article 6.1.c) et e), du Règlement à toute autre autorité publique ou organisation privée, formalise cette transmission pour chaque type de traitement par un protocole entre le responsable du traitement initial et le responsable du traitement destinataire des données.
  Ce protocole peut prévoir notamment :
  1° l'identification de l'autorité publique fédérale qui transfère les données à caractère personnel et celle du destinataire;
  2° l'identification du responsable du traitement au sein de l'autorité publique qui transfère les données et au sein du destinataire;
  3° les coordonnées des délégués à la protection des données concernés au sein de l'autorité publique qui transfère les données ainsi que du destinataire;
  4° les finalités pour lesquelles les données à caractère personnel sont transférées;
  5° les catégories de données à caractère personnel transférées et leur format;
  6° les catégories de destinataires;
  7° la base légale du transfert;
  8° les modalités de communication utilisée;
  9° toute mesure spécifique encadrant le transfert conformément au principe de proportionnalité et aux exigences de protection des données dès la conception et par défaut;
  10° les restrictions légales applicables aux droits de la personne concernée;
  11° les modalités des droits de la personne concernées auprès du destinataire;
  12° la périodicité du transfert;
  13° la durée du protocole;
  14° les sanctions applicables en cas de non- respect du protocole, sans préjudice du titre 6.
  § 2. Le protocole est adopté après les avis respectifs du délégué à la protection des données de l'autorité publique fédérale détenteur des données à caractère personnel et du destinataire. Ces avis sont annexés au protocole. Lorsqu'au moins un de ces avis n'est pas suivi par les responsables du traitement, le protocole mentionne, en ses dispositions introductives, la ou les raisons pour laquelle ou lesquelles cet ou ces avis n'ont pas été suivis.
  § 3. Le protocole est publié sur le site internet des responsables du traitement concernés.

  Art. 21. En exécution de l'article 37.4 du Règlement, un organisme privé qui traite des données à caractère personnel pour le compte d'une autorité publique fédérale ou à qui une autorité publique fédérale a transféré des données à caractère personnel désignent un délégué à la protection des données lorsque le traitement de ces données peut engendrer un risque élevé tel que visé à l'article 35 du Règlement.

  Art. 22. Lorsque le traitement de données à caractère personnel peut engendrer un risque élevé tel que visé à l'article 35 du Règlement, l'autorité publique fédérale demande préalablement au traitement l'avis du délégué à la protection des données.
  Lorsque l'autorité publique fédérale poursuit la mise en oeuvre de ce traitement contrairement à l'avis et aux recommandations du délégué à la protection des données, il motive sa décision.
  La motivation indique les raisons du non-suivi de l'avis ou des recommandations.

  Art. 23. En exécution de l'article 35.10 du Règlement, une analyse d'impact spécifique de protection des données est effectuée avant l'activité de traitement, même si une analyse d'impact générale relative à la protection des données a déjà été réalisée dans le cadre de l'adoption de la base légale.

  CHAPITRE V. - Traitements à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire

  Art. 24. § 1er. On entend par traitement de données à caractère personnel à des fins journalistiques la préparation, la collecte, la rédaction, la production, la diffusion ou l'archivage à des fins d'informer le public, à l'aide de tout média et où responsable du traitement s'impose des règles de déontologie journalistique.
  § 2. Les articles 7 à 10, 11.2, 13 à 16, 18 à 20 et 21.1 du Règlement ne s'appliquent pas aux traitements de données à caractère personnel effectués à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire.
  § 3. Les articles 30.4, 31, 33 et 36 du Règlement ne s'appliquent pas aux traitements à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire lorsque leur application compromettrait une publication en projet ou constituerait une mesure de contrôle préalable à la publication d'un article.
  § 4. Les articles 44 à 50 du Règlement ne s'appliquent pas aux transferts de données à caractère personnel effectués à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire vers des pays tiers ou à des organisations internationales dans la mesure où cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et la liberté d'expression et d'information.
  § 5. L'article 58 du Règlement ne s'applique pas aux traitements de données à caractère personnel effectués à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire lorsque son application fournirait des indications sur les sources d'information ou constituerait une mesure de contrôle préalable à la publication d'un article.

  TITRE 2. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces

  CHAPITRE Ier. - Dispositions générales

  Art. 25. Le présent titre transpose la directive 2016/680/UE du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.

  Art. 26. Pour l'application du présent titre, on entend par :
  1° "données à caractère personnel" : toute information se rapportant à une personne physique identifiée ou identifiable, ci-après dénommée "personne concernée"; est réputée "identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
  2° "traitement" : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction des données;
  3° "limitation du traitement" : le marquage de données à caractère personnel conservées en vue de limiter leur traitement futur;
  4° "profilage" : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
  5° "pseudonymisation" : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;
  6° "fichier" : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
  7° "autorités compétentes" :
  a) les services de police au sens de l'article 2, 2°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux;
  b) les autorités judiciaires, entendues comme les cours et tribunaux du droit commun et le ministère public;
  c) le Service d'enquêtes du Comité permanent de contrôle des services de police dans le cadre de ses missions judiciaires telles que prévues à l'article 16, alinéa 3, de la loi organique du 18 juillet 1991 du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace;
  d) l'Inspection générale de la police fédérale et de la police locale, visée à l'article 2 de la loi du 15 mai 2007 sur l'Inspection générale et portant des dispositions diverses relatives au statut de certains membres des services de police;
  e) l'Administration générale des douanes et accises, dans le cadre de sa mission relative à la recherche, la constatation et la poursuite des infractions déterminée par la loi générale du 18 juillet 1977 sur les douanes et accises et par la loi du 22 avril 2003 octroyant la qualité d'officier de police judiciaire à certains agents de l'Administration des douanes et accises;
  f) l'Unité d'information des passagers, visée au chapitre 7 de la loi du 25 décembre 2016 relative au traitement des données des passagers;
  g) la Cellule de traitement des informations financières visée à l'article 76 de la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l'utilisation des espèces;
  h) le Service d'enquêtes du Comité permanent de contrôle des services de renseignement dans le cadre de ses missions judiciaires telles que prévues à l'article 40, alinéa 3, de la loi organique du 18 juillet 1991 du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace;
  8° "responsable du traitement" : l'autorité compétente qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens de ce traitement sont déterminés par la loi, le décret ou l'ordonnance, le responsable du traitement est l'entité désignée comme responsable du traitement par ou en vertu de cette loi, ce décret ou cette ordonnance;
  9° "sous-traitant" : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ou d'un autre sous-traitant;
  10° "destinataire" : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément à la loi, au décret ou à l'ordonnance, ne sont pas considérées comme des destinataires; le traitement de ces données par ces autorités publiques est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.
  11° "brèche de sécurité" : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;
  12° "données génétiques" : les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou la santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question;
  13° "données biométriques" : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;
  14° "données concernant la santé" : les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris les données à caractère personnel concernant la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;
  15° "autorité de contrôle" : l'autorité publique indépendante chargée par la loi de surveiller l'application du présent titre;
  16° "organisation internationale" : une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord;
  17° "accord international" : tout accord international bilatéral ou multilatéral en vigueur entre les Etats membres de l'Union européenne et des pays tiers dans les domaines de la coopération judiciaire et/ou de la coopération policière.

  Art. 27. Le présent titre s'applique aux traitements de données à caractère personnel effectués par les autorités compétentes aux fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

  CHAPITRE II. - Principes de traitement

  Art. 28. Les données à caractère personnel sont :
  1° traitées de manière licite et loyale;
  2° collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d'une manière incompatible avec ces finalités;
  3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées;
  4° exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables sont prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder;
  5° conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
  6° traitées de façon à garantir la sécurité des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.

  Art. 29. § 1er. Le traitement ultérieur, par le même ou par un autre responsable du traitement, pour l'une des finalités énoncées à l'article 27, autre que celles pour lesquelles les données ont été collectées, est autorisé aux conditions suivantes :
  1° le responsable du traitement est autorisé à traiter ces données à caractère personnel pour une telle finalité conformément à la loi, au décret ou à l'ordonnance, au droit de l'Union européenne ou à l'accord international; et
  2° le traitement est nécessaire et proportionné conformément, à la loi, au décret ou à l'ordonnance au droit de l'Union européenne ou à l'accord international.
  § 2. Les données à caractère personnel ne peuvent pas être traitées ultérieurement par le même ou un autre responsable du traitement à d'autres fins que celles pour lesquelles les données à caractère personnel ont été collectées, et non comprises dans les finalités énoncées à l'article 27, à moins que cette finalité ne soit permise conformément à la loi, au décret, à l'ordonnance, au droit de l'Union européenne ou à l'accord international.
  § 3. Lorsque la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international, soumet le traitement à des conditions spécifiques, l'autorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de l'obligation de les respecter.
  § 4. Les autorités compétentes qui transmettent les données aux destinataires dans les autres Etats membres de l'Union européenne ne peuvent faire appliquer des conditions spécifiques supplémentaires à celles applicables aux transferts de données nationaux.
  § 5. Le responsable du traitement est responsable du respect du présent article et est en mesure de le démontrer.

  Art. 30. Sauf dans les cas où la durée maximale de conservation des données est déterminée dans le droit de l'Union européenne ou l'accord international qui est à la base de la conservation concernée, la loi, le décret, ou l'ordonnance détermine la durée maximale de conservation. A l'échéance de cette durée, les données sont effacées.
  Par dérogation à l'alinéa 1er, la loi, le décret ou l'ordonnance peut prévoir qu'à l'échéance d'un premier délai de conservation, une analyse soit effectuée sur la base de différents critères de nécessité et de proportionnalité afin de déterminer si la conservation des données doit être maintenue et, le cas échéant, le nouveau délai de conservation.
  Dans ce cas, la loi, le décret ou l'ordonnance prévoit un délai maximum de conservation.

  Art. 31. Le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :
  1° les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale;
  2° les personnes reconnues coupables d'une infraction pénale;
  3° les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale;
  4° les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l'une des personnes visées aux 1° et 2°.

  Art. 32. § 1er. Les données à caractère personnel fondées sur des faits sont dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.
  § 2. Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour ne soient pas transmises ou mises à disposition. A cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition.
  Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations nécessaires permettant à l'autorité compétente destinataire de juger de l'exactitude, de l'exhaustivité, et de la fiabilité des données à caractère personnel, et de leur niveau de mise à jour.
  § 3. S'il s'avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l'article 39.

  Art. 33. § 1er. Le traitement est licite si :
  1° il est nécessaire à l'exécution d'une mission effectuée par une autorité compétente pour les finalités énoncées à l'article 27; et
  2° s'il est fondé sur une obligation légale ou réglementaire.
  § 2. L'obligation légale ou réglementaire régit au moins les catégories de données à caractère personnel devant faire l'objet d'un traitement et les finalités du traitement.

  Art. 34. § 1er. Le traitement de données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, n'est autorisé qu'en cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement dans l'un des cas suivants :
  1° lorsque le traitement est autorisé par la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international;
  2° lorsque le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne physique;
  3° lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée.
  § 2. Les garanties nécessaires visées au paragraphe 1er prévoient au moins que l'autorité compétente ou le responsable de traitement établisse une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente.
  L'autorité compétente veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.

  Art. 35. Toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative, est autorisée si la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d'obtenir une intervention humaine de la part du responsable du traitement.
  Tout profilage qui entraîne une discrimination à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel visées à l'article 34 est interdit.

  CHAPITRE III. - Droits de la personne concernée

  Art. 36. § 1er. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée à l'article 37 ainsi que pour procéder à toute communication au titre des articles 35, 38 à 41 et de l'article 62 d'une façon concise, compréhensible et aisément accessible, en des termes clairs et simples. Les informations sont fournies par tout moyen approprié, y compris par voie électronique. De manière générale, le responsable du traitement fournit les informations sous la même forme que la demande.
  § 2. Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée par les articles 35 et 38 à 41.
  § 3. Le responsable du traitement, ou l'autorité de contrôle dans le cas visé à l'article 41, informe par écrit, dans les meilleurs délais, la personne concernée des suites données à sa demande.
  § 4. Toute personne a le droit d'obtenir sans frais les informations visées à l'article 37 ainsi que toute mesure au titre des articles 35, 38 à 41 et 62. Lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
  1° exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou
  2° refuser de donner suite à la demande.
  Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
  § 5. Lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique présentant la demande visée à l'article 38 ou 39, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée.

  Art. 37. § 1er. Afin de permettre à la personne concernée d'exercer son droit à l'information, le responsable du traitement met à la disposition de la personne concernée les informations suivantes :
  1° l'identité et les coordonnées du responsable du traitement;
  2° le cas échéant, les coordonnées du délégué à la protection des données;
  3° les finalités du traitement;
  4° le droit d'introduire une plainte auprès de l'autorité de contrôle et les coordonnées de ladite autorité;
  5° l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et la limitation du traitement des données à caractère personnel le concernant;
  6° la base juridique du traitement;
  7° la durée de conservation des données à caractère personnel ou, lorsque cela n'est pas possible, les critères utilisés pour déterminer cette durée;
  8° le cas échéant, les catégories de destinataires des données à caractère personnel;
  9° si besoin est, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l'insu de la personne concernée.
  § 2. L'information visée au paragraphe 1er, peut être retardée, limitée ou exclue par la loi dès lors qu'une telle mesure constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour :
  1° éviter de gêner des enquêtes, des recherches, des procédures pénales ou autres procédures réglementées;
  2° éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales;
  3° protéger la sécurité publique;
  4° protéger la sécurité nationale;
  5° protéger les droits et libertés d'autrui.
  § 3. Sauf dans les cas où le droit de l'Union européenne ou l'accord international le détermine, la loi, le décret ou l'ordonnance peut déterminer quelles catégories de traitements peuvent relever, dans leur intégralité ou en partie, d'un des points énumérés au paragraphe 2.
  § 4. Les droits visés au présent chapitre, pour ce qui concerne les traitements de données des cours et tribunaux de droit commun et du ministère public, sont exercés exclusivement dans les limites et conformément aux règles et modalités précisées dans le Code judiciaire, le Code d'instruction criminelle, les lois particulières relatives à la procédure pénale et leurs arrêtés d'exécution.

  Art. 38. § 1er. Afin de permettre à la personne concernée d'exercer son droit à demander l'accès à ses données personnelles, le responsable du traitement met à la disposition de la personne concernée, les informations suivantes :
  1° la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées ainsi que l'accès à ces données;
  2° les finalités du traitement ainsi que sa base juridique;
  3° les catégories de données à caractère personnel concernées;
  4° les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées;
  5° la durée de conservation ou, lorsque cela n'est pas possible, les critères utilisés pour déterminer cette durée;
  6° l'existence du droit de demander au responsable du traitement, la rectification ou l'effacement des données à caractère personnel qui la concernent, ou la limitation du traitement des données à caractère personnel qui la concernent;
  7° le droit d'introduire une plainte auprès de l'autorité de contrôle et les coordonnées de cette autorité;
  8° les données à caractère personnel en cours de traitement, ainsi que toute information disponible quant à leur source.
  § 2. La loi, le décret ou l'ordonnance peut limiter entièrement ou partiellement le droit d'accès de la personne concernée, dès lors et aussi longtemps qu'une telle limitation partielle ou totale constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour :
  1° éviter de gêner des enquêtes, des recherches, des procédures pénales ou autres procédures réglementées;
  2° éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales;
  3° protéger la sécurité publique;
  4° protéger la sécurité nationale;
  5° protéger les droits et libertés d'autrui.
  § 3. Dans les cas visés au paragraphe 2 le responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, de tout refus éventuel ou de toute limitation d'accès éventuelle, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des objectifs énoncés au paragraphe 2. Le responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'autorité de contrôle compétente ou de former un recours juridictionnel.
  § 4. Le responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'autorité de contrôle compétente.

  Art. 39. § 1er. La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification, et éventuellement la complétion, des données à caractère personnel la concernant qui sont inexactes.
  § 2. Le responsable du traitement efface dans les meilleurs délais les données à caractère personnel lorsque le traitement constitue une violation des dispositions adoptées en vertu des articles 28, 29, 33 ou 34 ou lorsque les données à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable du traitement.
  § 3. Au lieu de procéder à l'effacement, le responsable du traitement peut limiter le traitement lorsque :
  1° l'exactitude des données à caractère personnel est contestée par la personne concernée et qu'il ne peut être déterminé si les données sont exactes ou non; ou
  2° les données à caractère personnel doivent être conservées à des fins probatoires.
  Lorsque le traitement est limité sur la base de l'alinéa 1er, 1°, le responsable du traitement informe la personne concernée avant de lever la limitation du traitement.
  § 4. Le responsable du traitement informe la personne concernée par écrit de tout refus éventuel de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement, ainsi que des motifs du refus. Cette information peut être limitée par la loi, le décret, ou l'ordonnance, dès lors qu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour :
  1° éviter de gêner des enquêtes, des recherches, des procédures pénales ou autres procédures réglementées;
  2° éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales;
  3° protéger la sécurité publique;
  4° protéger la sécurité nationale;
  5° protéger les droits et libertés d'autrui.
  Le responsable du traitement informe la personne concernée des possibilités d'introduire une plainte auprès de l'autorité de contrôle compétente ou de former un recours juridictionnel.
  § 5. Le responsable du traitement communique la rectification des données à caractère personnel inexactes à l'autorité d'où proviennent les données à caractère personnel inexactes.
  § 6. En cas de rectification, effacement ou de limitation de traitement tel que visés aux paragraphes 1er à 3, le responsable du traitement adresse une notification aux destinataires afin que ceux-ci rectifient ou effacent les données à caractère personnel ou limitent le traitement des données à caractère personnel sous leur responsabilité.

  Art. 40. Le responsable du traitement qui reçoit une demande d'exercer un droit visé aux articles 36 à 39 délivre dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande un accusé de réception daté à l'auteur de la demande.

  Art. 41. Dans les cas visés aux articles 37, § 2, 38, § 2, 39, § 4, et 62, § 1er, la loi, le décret ou l'ordonnance, peut prévoir que les droits de la personne concernée sont exercés par l'intermédiaire de l'autorité de contrôle compétente, dans le respect des principes de nécessité et de proportionnalité dans une société démocratique.
  Sans préjudice de l'article 44, dans le cas visé à l'alinéa 1er, le responsable du traitement informe la personne concernée qu'elle exerce ses droits par l'intermédiaire de l'autorité de contrôle compétente.
  Dans le cas visé à l'alinéa 1er, la personne concernée introduit sa demande auprès de l'autorité de contrôle compétente.

  Art. 42. La demande d'exercer les droits visés au présent chapitre à l'égard des services de police au sens de l'article 2, 2°, de la loi du 7 décembre 1998 organisant la police intégrée, structurée à deux niveaux ou de l'Inspection générale de la police fédérale et de la police locale, est adressée à l'autorité de contrôle visée à l'article 71.
  Dans les cas visés aux articles 37, § 2, 38, § 2, 39, § 4, et 62, § 1er, l'autorité de contrôle visée à l'article 71 communique uniquement à la personne concernée qu'il a été procédé aux vérifications nécessaires.
  Nonobstant l'alinéa 2, l'autorité de contrôle visée à l'article 71 peut communiquer à la personne concernée certaines informations contextuelles.
  Le Roi détermine, après avis de l'autorité de contrôle visée à l'article 71, les catégories d'informations contextuelles qui peuvent être communiquées à la personne concernée, par cette autorité de contrôle.

  Art. 43. Pour ce qui concerne les traitements des services de douanes visés à l'article 26, 7°, e), et la Cellule de traitement des informations financières visée à l'article 26, 7°, g), les droits des personnes concernées visés au présent chapitre sont exercés par l'intermédiaire de l'autorité de contrôle compétente.
  L'autorité de contrôle compétente communique uniquement à la personne concernée qu'il a été procédé aux vérifications nécessaires.
  Par dérogation à l'alinéa 2, l'autorité de contrôle compétente peut communiquer à la personne concernée certaines informations contextuelles.
  Le Roi détermine après avis de l'autorité de contrôle compétente les catégories d'informations contextuelles qui peuvent être communiquées à la personne concernée, par l'intermédiaire de l'autorité de contrôle compétente.

  Art. 44. Lorsque les données à caractère personnel figurent dans une décision judiciaire ou un dossier judiciaire, ou faisant l'objet d'un traitement lors d'une enquête judiciaire et d'une procédure pénale, les droits visés aux articles 37, 38, § 1er, 39 et 41, alinéa 2, sont exercés conformément au Code judiciaire, au Code d'instruction criminelle, aux lois particulières relatives à la procédure pénale ainsi qu'à leurs arrêtés d'exécution.

  Art. 45. § 1er. Les articles 36 à 44 et 62 ne s'appliquent pas aux traitements de données à caractère personnel émanant directement ou indirectement des autorités visées au titre 3 de la présente loi à l'égard des responsables du traitement et des autorités compétentes visées dans le présent titre auxquelles ces données ont été transmises.
  § 2. Le responsable du traitement ou l'autorité compétente visé au présent titre qui est en possession de telles données ne les communique pas à la personne concernée à moins que :
  1° la loi l'y oblige dans le cadre d'une procédure contentieuse; ou que
  2° l'autorité concernée visée au titre 3 l'y autorise.
  § 3. Le responsable du traitement ou l'autorité compétente ne fait aucune mention qu'il ou elle est en possession de données émanant des autorités visées au titre 3.
  § 4. Le responsable du traitement visé au présent titre qui traite les données émanant directement ou indirectement des autorités visées au titre 3 répond au minimum aux conditions suivantes :
  1° il adopte des mesures techniques ou organisationnelles appropriées pour assurer que l'accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l'exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités de l'autorité visée au titre 3;
  2° il adopte des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données.
  Les membres du personnel du responsable du traitement qui traitent les données visées à l'alinéa 1er sont tenus au devoir de discrétion.
  § 5. Les limitations visées au paragraphe 1er porte également sur la journalisation des traitements d'une autorité visée dans le titre 3 dans les banques de données des responsables du traitement et des autorités compétentes visés par le présent titre, auxquelles l'autorité visée au titre 3 a directement accès.
  § 6. Lorsque l'autorité de contrôle compétente est saisie d'une requête ou d'une plainte où le responsable du traitement fait état de l'application du présent article, cette autorité de contrôle s'adresse au Comité permanent R pour qu'il fasse les vérifications nécessaires auprès de l'autorité visée au titre 3.
  Après réception de la réponse du Comité permanent R, l'autorité de contrôle compétente n'informe la personne concernée que des résultats de la vérification portant sur les données à caractère personnel n'émanant pas des autorités visées au titre 3 qu'elle est légalement tenue de communiquer.
  Si la requête ou la plainte ne porte que sur des données à caractère personnel émanant d'une autorité visée au titre 3, l'autorité de contrôle compétente répond, après réception de la réponse du Comité permanent R, que les vérifications nécessaires ont été effectuées.

  Art. 46. Un responsable du traitement ou une autorité compétente visés dans le présent titre qui communique des données à caractère personnel à une autorité visée aux sous-titres 2 et 4 du titre 3 de la présente loi, n'est pas soumis aux articles 37, § 1er, 8°, et 38, § 1er, 4°, et ne peut pas informer la personne concernée de cette transmission.

  Art. 47. Lorsqu'une autorité visée aux sous-titres 1er et 6 du titre 3 de la présente loi dispose d'un accès direct ou d'une interrogation directe à une banque de données du secteur public, le traitement de données à caractère personnel est protégé par des mesures de sécurité techniques, organisationnelles et personnelles de sorte que seuls les acteurs suivants puissent accéder au contenu de ces traitements dans le cadre des finalités visées à l'article 56, § 2 :
  1° le délégué à la protection des données du responsable du traitement de la banque de donnée ou la personne qu'il délègue à cet effet;
  2° le délégué à la protection des données de l'autorité visée aux sous-titres 1 et 6 du titre 3;
  3° le responsable du traitement de la banque de données ou la personne qu'il délègue à cet effet;
  4° le responsable du traitement de l'autorité visée aux sous-titres 1 et 6 du titre 3;
  5° toute autre personne précisée dans un protocole entre les responsables du traitement, dont l'accès est nécessaire pour remplir les missions légales de contrôle.
  Les mesures de sécurité visées à l'alinéa 1er visent à respecter les obligations légales portant sur la protection des sources, la protection de l'identité des agents ou au secret des enquêtes des autorités visées au titre 3, sous-titres 1er et 6.
  Les traitements visés à l'alinéa 1er ne peuvent être accessibles pour d'autres finalités que celles liées au contrôle que si ces finalités sont consignées dans un protocole d'accord par les responsables du traitement concernés parmi des finalités déterminées par ou en vertu d'une loi.
  Le protocole d'accord visé à l'alinéa 3 désigne la ou les personnes dont l'accès aux journaux est nécessaire pour remplir chaque finalité autorisée à l'alinéa 3.
  Les journaux et les mesures de sécurité techniques, organisationnelles et personnelles y afférentes sont mis à la disposition du Comité permanent R.
  L'autorité visée aux sous-titres 1 et 6 du titre 3 concernée peut déroger à l'alinéa 1er lorsque l'accès à ses traitements dans une banque de données et à leur journalisation n'est pas susceptible de porter atteinte aux intérêts visés à l'alinéa 2.

  Art. 48. Un responsable du traitement visé au présent titre qui communique des données à caractère personnel à une banque de données conjointe ne peut informer la personne concernée de cette transmission.
  Par "banque de données conjointe", on entend l'exercice commun des missions effectuées dans le cadre des titres 2 et 3 par plusieurs autorités, structuré à l'aide de procédés automatisés et appliqués aux données à caractère personnel.

  Art. 49. Les articles 36 à 44 et 62 ne s'appliquent pas aux traitements de données à caractère personnel par l'Unité d'information des passagers.
  Le responsable du traitement ne communique pas les données visées à l'alinéa 1er à la personne concernée à moins que la loi l'y oblige dans le cadre d'une procédure contentieuse.
  Le responsable du traitement ne fait aucune mention à la personne concernée qu'il est en possession de données la concernant.
  Les limitations visées à l'alinéa 1er portent également sur la journalisation des traitements effectués par l'Unité d'information des passagers dans les banques de données des responsables du traitement visés par le présent titre.
  Lorsque l'autorité de contrôle compétente est saisie d'une requête ou d'une plainte où le responsable du traitement fait état de l'application du présent article, celle-ci répond uniquement que les vérifications nécessaires ont été effectuées.

  CHAPITRE IV. - Responsable du traitement et sous-traitant

  Section 1re. -Mesures organisationnelles et techniques

  Art. 50. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre des mesures techniques et organisationnelles appropriées. Lorsque cela est proportionné au regard des activités de traitement, ces mesures comprennent la mise en oeuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
  Le responsable du traitement est en mesure de démontrer que le traitement est effectué conformément à la loi.
  Ces mesures sont réexaminées et actualisées si nécessaire.

  Art. 51. § 1er. Compte tenu de l'état des connaissances, des coûts de la mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, les mesures techniques et organisationnelles visées à l'article 50, sont destinées à mettre en oeuvre les principes relatifs à la protection des données de façon effective et à assortir le traitement des garanties nécessaires afin de protéger les droits de la personne concernée, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même.
  § 2. Les mesures techniques et organisationnelles appropriées visées à l'article 50 garantissent que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
  En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans une intervention humaine.

  Section 2. - Responsables conjoints du traitement

  Art. 52. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
  Un accord définit de manière transparente les obligations respectives des responsables conjoints de traitement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et la communication des informations visées aux articles 37 et 38, sauf si, leurs obligations respectives sont définies par la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international.
  Un seul point de contact pour les personnes concernées peut être désigné dans l'accord.

  Section 3. - Sous-traitant

  Art. 53. § 1er. Lorsque le traitement est confié à un sous-traitant, le responsable du traitement choisit un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements.
  § 2. Le sous-traitant recrute un autre sous-traitant avec l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
  Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.
  § 3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique qui lie le sous-traitant à l'égard du responsable du traitement, et définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.
  Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant :
  1° n'agit que sur instruction du responsable du traitement;
  2° veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
  3° aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions relatives aux droits de la personne concernée;
  4° supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation des services de traitement des données, et détruit les copies existantes, à moins que la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international n'exige la conservation des données à caractère personnel;
  5° met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect du présent article;
  6° respecte les conditions visées aux paragraphes 2 et 3 pour recruter un autre sous-traitant.
  § 4. Le contrat ou l'autre acte juridique visé au paragraphe 3 revêt la forme écrite, y compris la forme électronique.
  § 5. Si, en violation du présent titre, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme le responsable du traitement pour ce qui concerne ce traitement.

  Art. 54. Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut traiter ces données, que sur instruction du responsable du traitement, ou en vertu de la loi, du décret, de l'ordonnance, du droit de l'Union européenne ou de l'accord international.

  Section 4. - Obligations

  Art. 55. § 1er. Chaque responsable du traitement et sous-traitant tient un registre des catégories d'activités de traitement effectuées sous sa responsabilité. Ce registre contient les éléments suivants :
  1° le nom et les coordonnées du responsable du traitement ou sous-traitant, de son délégué ou représentant
  2° le nom et les coordonnées du délégué à la protection des données;
  3° les finalités du traitement;
  4° les catégories de personnes concernées;
  5° les catégories de données à caractère personnel;
  6° les catégories de destinataires;
  7° les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, le cas échéant, les documents attestant de l'existence de garanties appropriées;
  8° les délais prévus pour l'effacement des différentes catégories de données;
  9° une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 50;
  10° le recours au profilage;
  11° la base juridique;
  12° la catégorie de sources externes;
  13° le protocole visé à l'article 20 ainsi que l'avis du délégué à la protection des données et la motivation visé
  § 2. Le délégué à la protection des données est associé à l'élaboration et au maintien du registre.
  § 3. Le registre est mis à la disposition de l'autorité de contrôle compétente.

  Art. 56. § 1er. Les fichiers de journalisation sont établis dans des systèmes de traitement automatisé au moins pour les traitements suivants : la collecte, la modification, la consultation, la communication, y compris les transferts, l'interconnexion et l'effacement.
  Les fichiers de journalisation de consultation et de communication permettent d'établir :
  1° le motif, la date et l'heure de ces traitements;
  2° les catégories de personnes qui ont consulté les données à caractère personnel, et si possible, l'identification de la personne qui a consulté ces données;
  3° les systèmes qui ont communiqué ces données;
  4° et les catégories de destinataires des données à caractère personnel, et si possible, l'identité des destinataires de ces données.
  Le Roi peut déterminer, par arrêté délibéré en Conseil des ministres après avis de l'autorité de contrôle compétente, d'autres types de traitements pour lesquels les fichiers de journalisation sont établis.
  § 2. Les fichiers de journalisation sont utilisés uniquement à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données à caractère personnel et à des fins visées à l'article 27.
  § 3. Le responsable du traitement et le sous-traitant mettent les journaux à la disposition de l'autorité de contrôle compétente, sur demande.

  Art. 57. Le responsable du traitement et le sous-traitant coopèrent avec l'autorité de contrôle compétente, à la demande de celle-ci, dans l'exécution de ses missions.

  Art. 58. Lorsqu'un type de traitement, en particulier par le recours aux nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, le responsable du traitement effectue préalablement au traitement une analyse d'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
  L'analyse visée à l'alinéa 1er contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent titre, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes intéressées.

  Art. 59. § 1er. Le responsable du traitement ou son sous-traitant consulte l'autorité de contrôle compétente du responsable du traitement préalablement au traitement des données à caractère personnel qui fera partie d'un nouveau fichier à créer :
  1° lorsqu'une analyse d'impact relative à la protection des données, telle qu'elle est prévue à l'article 58, indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque; ou
  2° lorsque le type de traitement, en particulier, en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.
  L'autorité de contrôle compétente est consultée dans le cadre de l'élaboration d'une loi, d'un décret ou d'une ordonnance, ou d'une mesure réglementaire fondée sur une telle loi, un tel décret ou une telle ordonnance, qui se rapporte au traitement.
  § 2. L'autorité de contrôle compétente peut établir une liste des opérations de traitement devant faire l'objet d'une consultation préalable conformément au paragraphe 1er.
  § 3. Le responsable du traitement fournit à l'autorité de contrôle compétente l'analyse d'impact relative à la protection des données en vertu de l'article 58 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle compétente d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.
  § 4. Lorsque l'autorité de contrôle compétente est d'avis que le traitement prévu, visé au paragraphe 1er, constituerait une violation des dispositions adoptées en vertu du présent titre, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'autorité de contrôle compétente fournit par écrit, dans un délai maximum de six semaines à compter de la réception de la demande de consultation, un avis écrit non contraignant au responsable du traitement, et le cas échéant au sous-traitant, et elle peut faire usage des pouvoirs qui lui sont conférés par la loi. Ce délai peut être prolongé d'un mois, en fonction de la complexité du traitement prévu. L'autorité de contrôle compétente informe le responsable du traitement et, le cas échéant, le sous-traitant de toute prolongation dans un délai d'un mois à compter de la réception de la demande de consultation, ainsi que des motifs du retard.

  Art. 60. § 1er. Le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des données à caractère personnel, visées à l'article 34 de la présente loi, et compte tenu de l'état des connaissances, des coûts de la mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, afin de garantir un niveau de sécurité adapté au risque.
  § 2. En ce qui concerne le traitement automatisé, le responsable du traitement ou le sous-traitant met en oeuvre, à la suite d'une évaluation des risques, des mesures destinées à :
  1° empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement;
  2° empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée;
  3° empêcher l'introduction non autorisée de données à caractère personnel dans le fichier, ainsi que la consultation, la modification ou l'effacement non autorisé de données à caractère personnel enregistrées;
  4° empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données;
  5° garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu'aux données à caractère personnel sur lesquelles porte leur autorisation;
  6° garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données;
  7° garantir qu'il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé, et à quel moment et par quelle personne elles y ont été introduites;
  8° empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée;
  9° garantir que les systèmes installés puissent être rétablis en cas d'interruption;
  10° garantir que les fonctions du système opèrent, que les erreurs de fonctionnement éventuelles soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système.

  Art. 61. § 1er. Le responsable du traitement notifie la brèche de sécurité, à l'autorité de contrôle compétente dans les meilleurs délais et, si possible, au plus tard dans un délai de 72 heures après en avoir pris connaissance. Cette obligation de notification n'est pas applicable lorsqu'il est raisonnable de croire que la brèche de sécurité en question n'engendre pas de risque pour les droits et les libertés d'une personne physique.
  Lorsque la notification à l'autorité de contrôle compétente n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
  § 2. Le sous-traitant notifie au responsable du traitement toute brèche de sécurité dans les meilleurs délais et au plus tard dans les 72 heures après en avoir pris connaissance.
  § 3. La notification visée au paragraphe 1er contient notamment :
  1° la description de la nature de la brèche de sécurité y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
  2° le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  3° la description des conséquences probables de la brèche de sécurité;
  4° la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
  § 4. Si et dans la mesure où il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
  § 5. Lorsque la brèche de sécurité porte sur des données à caractère personnel qui ont été transmises par le responsable du traitement d'un autre Etat membre de l'Union européenne ou à celui-ci, les informations visées au paragraphe 3 sont communiquées au responsable du traitement de cet Etat membre dans les meilleurs délais.
  § 6. Le responsable du traitement documente toute brèche de sécurité visée au paragraphe 1er, en indiquant les faits, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle compétente de vérifier le respect du présent article.

  Art. 62. § 1er. Lorsqu'une brèche de sécurité est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la brèche de sécurité à caractère personnel à la personne concernée dans les meilleurs délais.
  § 2. La communication à la personne concernée visée au paragraphe 1er décrit, la nature de la brèche de sécurité et contient au moins les informations et mesures visées à l'article 61, § 3, 2° à 4°.
  § 3. La communication à la personne concernée visée au paragraphe 1er n'est pas nécessaire si l'une des conditions suivantes est remplie :
  1° le responsable du traitement a mis en oeuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;
  2° le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1er n'est plus susceptible de se matérialiser;
  3° elle exigerait des efforts disproportionnés.
  Dans le cas visé à l'alinéa 1er, 3°, il est procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.
  § 4. Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la brèche de sécurité la concernant, l'autorité de contrôle compétente peut, après avoir examiné si cette brèche de sécurité est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.
  § 5. La communication à la personne concernée visée au paragraphe 1er peut être retardée, limitée ou omise, sous réserve des conditions et pour les motifs visés à l'article 37, § 2.

  Section 5. - Délégué à la protection des données

  Art. 63. Le responsable du traitement désigne un ou plusieurs délégués à la protection des données.
  Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à exercer les missions visées à l'article 65.
  Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes ou responsables du traitement, compte tenu de leur structure organisationnelle et de leur taille.
  Le responsable du traitement publie les coordonnées du délégué à la protection des données et les communique à l'autorité de contrôle compétente.
  Les modalités de fonctionnement, de désignation ainsi que les compétences requises sont définies par le Roi.

  Art. 64. Le responsable du traitement veille à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
  Le responsable du traitement fournit au délégué à la protection des données les ressources nécessaires pour exercer ses missions ainsi que l'accès aux données à caractère personnel et aux traitements, et lui permet d'entretenir ses connaissances spécialisées.
  Le responsable du traitement veille à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement.
  Sauf application des articles 41 et 44, les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits qui leur sont conférés.
  Le délégué à la protection des données est soumis au secret ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions.
  Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement veille à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.

  Art. 65. Les missions du délégué à la protection des données sont notamment les suivantes :
  1° informer et conseiller le responsable du traitement et les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de protection des données à caractère personnel;
  2° contrôler le respect de la réglementation et des règles internes du responsable du traitement en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant à des opérations de traitement, et les audits s'y rapportant;
  3° dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 58;
  4° coopérer avec l'autorité de contrôle compétente;
  5° faire office de point de contact pour l'autorité de contrôle compétente sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 59, et mener des consultations, le cas échéant, sur tout autre sujet.

  CHAPITRE V. - Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales

  Art. 66. § 1er. Sans préjudice des dispositions du présent titre, un transfert, par des autorités compétentes, de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale, y compris des transferts ultérieurs vers un autre pays non membre à l'Union européenne ou à une autre organisation internationale, n'a lieu, que lorsque les conditions ci-après sont respectées :
  1° le transfert est nécessaire aux fins énoncées à l'article 27;
  2° les données à caractère personnel sont transférées à un responsable du traitement dans un pays non membre de l'Union européenne ou à une organisation internationale qui est une autorité compétente aux fins visées à l'article 27;
  3° en cas de transfert ou de mise à disposition de données à caractère personnel provenant d'un autre Etat membre de l'Union européenne, celui-ci a préalablement autorisé ce transfert conformément à son droit national;
  4° la Commission européenne a adopté une décision d'adéquation visée à l'article 67, ou, en l'absence d'une telle décision, des garanties appropriées ont été prévues ou existent en application de l'article 68 ou, des dérogations pour des situations particulières s'appliquent en vertu de l'article 69;
  5° en cas de transfert ultérieur vers un autre pays non membre de l'Union européenne ou à une autre organisation internationale, le responsable du traitement qui a reçu les données autorise le transfert ultérieur, après avoir dûment pris en considération l'ensemble des facteurs pertinents, y compris la gravité de l'infraction pénale, la finalité pour laquelle les données à caractère personnel ont été transférées initialement et le niveau de protection des données à caractère personnel dans le pays tiers ou au sein de l'organisation internationale vers lequel ou laquelle les données à caractère personnel sont transférées ultérieurement.
  § 2. Les transferts effectués sans l'autorisation préalable d'un autre Etat membre de l'Union européenne prévue au paragraphe 1er, 3°, sont autorisés uniquement lorsque le transfert de données à caractère personnel est nécessaire aux fins de la prévention d'une menace grave et immédiate pour la sécurité publique d'un Etat membre ou d'un pays tiers ou pour les intérêts essentiels d'un Etat membre de l'Union européenne et si l'autorisation préalable ne peut pas être obtenue en temps utile. L'autorité à laquelle il revient d'accorder l'autorisation préalable est informée sans retard.

  Art. 67. Un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale peut avoir lieu lorsque la Commission européenne a constaté par voie de décision d'adéquation que le pays, un territoire ou un ou plusieurs secteurs déterminés dans ce pays, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

  Art. 68. § 1er. En l'absence de décision d'adéquation, visée à l'article 67, ou lorsque celle-ci est abrogée, modifiée ou suspendue, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale peut avoir lieu lorsque :
  1° des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant; ou
  2° le responsable du traitement a évalué toutes les circonstances du transfert de données à caractère personnel et estime qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel.
  § 2. Le responsable du traitement informe l'autorité de contrôle compétente des catégories de transferts relevant du paragraphe 1er, 2°.
  § 3. Le transfert effectué en vertu du paragraphe 1er, 2°, est documenté et, comporte :
  1° la date et l'heure du transfert;
  2° des informations sur l'autorité compétente destinataire;
  3° la justification du transfert et les données à caractère personnel transférées.
  La documentation est mise à la disposition de l'autorité de contrôle compétente sur demande.

  Art. 69. § 1er. En l'absence de décision d'adéquation visée à l'article 67 ou de garanties appropriées visées à l'article 68, un transfert ou une catégorie de transferts de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale ne peut avoir lieu qu'à condition que le transfert soit nécessaire :
  1° à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne;
  2° à la sauvegarde des intérêts légitimes de la personne concernée lorsque la loi le prévoit;
  3° pour prévenir une menace grave et immédiate pour la sécurité publique;
  4° dans des cas particuliers, aux fins énoncées à l'article 27;
  5° dans des cas particuliers, à la constatation, à l'exercice ou à la défense de droits en justice en rapport avec les fins énoncées à l'article 27.
  § 2. Les données à caractère personnel ne sont pas transférées si l'autorité compétente qui transfère les données estime que les libertés et droits fondamentaux de la personne concernée l'emportent sur l'intérêt public dans le cadre du transfert visé au paragraphe 1er, 4° et 5°.
  § 3. Le transfert visé au paragraphe 1er, 2°, est documenté et comprend :
  1° la date et l'heure du transfert;
  2° les informations sur l'autorité compétente destinataire;
  3° la justification du transfert et les données à caractère personnel transférées.
  La documentation est mise à la disposition de l'autorité de contrôle compétente, sur demande.

  Art. 70. § 1er. Par dérogation à l'article 66, § 1er, 2°, et sans préjudice de tout accord international et des dispositions du présent titre, les autorités compétentes peuvent, dans certains cas particuliers, transférer des données à caractère personnel directement aux destinataires qui ne sont pas des autorités compétentes pour les finalités visées à l'article 27, établis dans des pays non membre de l'Union européenne, uniquement lorsque toutes les conditions ci-après sont remplies :
  1° le transfert est strictement nécessaire à l'exécution de la mission de l'autorité compétente qui transfère les données;
  2° l'autorité compétente qui transfère les données établit qu'il n'existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l'intérêt public nécessitant le transfert dans le cas en question;
  3° l'autorité compétente qui transfère les données estime que le transfert à une autorité compétente, dans le pays concerné est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun;
  4° l'autorité compétente dans le pays concerné est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié;
  5° l'autorité compétente qui transfère les données informe le destinataire de la finalité ou des finalités déterminées pour lesquelles les données à caractère personnel ne doivent faire l'objet d'un traitement que par cette dernière, à condition qu'un tel traitement soit nécessaire.
  § 2. L'autorité compétente qui transfère les données informe l'autorité de contrôle des transferts relevant du présent article.
  § 3. Lorsqu'un transfert est effectué sur la base du paragraphe 1er, ce transfert est documenté.

  CHAPITRE VI. - Autorités de contrôle indépendantes

  Art. 71.§ 1er. Il est créé auprès de la Chambre des représentants une autorité de contrôle indépendante de l'information policière, dénommé Organe de contrôle de l'information policière.
  Elle succède à l'Organe de contrôle de l'information policière institué par l'article 36ter, § 1er, alinéa 1er, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
  Elle est, vis-à-vis des autorités compétentes visées à l'article 26, § 1er, 7°, a), d) et f), chargée de :
  1° surveiller l'application du présent titre, comme prévu à l'article 26, 15° ;
  2° contrôler le traitement des informations et des données à caractère personnel visées aux articles 44/1 à 44/11/13 de la loi du 5 août 1992 sur la fonction de police y compris celles incluses dans les banques de données visées à l'article 44/2 de la même loi;
  3° toute autre mission organisée par ou en vertu d'autres lois.
  [1 Elle est également, vis-à-vis de l'autorité compétente visée à l'article 26, § 1er, 7°, e), chargée de surveiller l'application de l'article 281, § 4, de la loi générale sur les douanes et accises du 18 juillet 1977.]1
  § 2. Le siège de l'Organe de contrôle de l'information policière est établi dans l'arrondissement administratif de Bruxelles-Capitale.
  Dans l'exercice de ses missions et des pouvoirs dont elle est investie conformément à la présente loi et d'autres lois, l'Organe de contrôle de l'information policière agit en toute indépendance.
  ----------
  (1)<L 2019-05-02/32, art. 13, 002; En vigueur : 03-06-2019>

  TITRE 3. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par d'autres autorités que celles visées aux titres 1er et 2

  SOUS-TITRE 1er. -De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les services de renseignements et de sécurité

  CHAPITRE Ier. -Définitions

  Art. 72. § 1er. Les définitions visées à l'article 26, 1° à 6°, 9°, 11° à 14°, 16° et 17°, s'appliquent au présent sous-titre.
  § 2. Pour l'application du présent sous-titre, on entend par :
  1° "les services de renseignement et de sécurité" : la Sûreté de l'Etat et le Service Général du Renseignement et de la Sécurité visés à la loi du 30 novembre 1998 organique des services de renseignement et de sécurité;
  2° "le responsable du traitement" : une personne physique ou morale, une autorité publique, un service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement;
  3° "la loi du 30 novembre 1998" : la loi du 30 novembre 1998 organique des services de renseignement et de sécurité;
  4° "la loi du 18 juillet 1991" : la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace;
  5° "la loi du 11 décembre 1998" : la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité;
  6° "autorité de contrôle" : une autorité publique indépendante chargée par la loi de surveiller l'application de la présente loi;
  7° "le Comité permanent R" : le Comité permanent de contrôle des services de renseignement visé à la loi du 18 juillet 1991 chargé du contrôle de l'application du présent sous-titre en application de l'article 95.

  CHAPITRE II. - Champ d'application

  Art. 73. Le présent sous-titre s'applique à tout traitement de données à caractère personnel par les services de renseignement et de sécurité et leurs sous-traitants effectués dans le cadre des missions desdits services visés aux articles 7 et 11 de la loi du 30 novembre 1998 ainsi que par ou en vertu de lois particulières.
  Les titres 1er, 2, 4, 5 et 7 de la présente loi ne s'appliquent pas aux traitements visés à l'alinéa 1er. Dans le titre 6, seuls les articles 226, 227 et 230 s'appliquent.

  CHAPITRE III. - Conditions générales du traitement

  Art. 74. Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants :
  1° lorsque la personne concernée a indubitablement donné son consentement;
  2° lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée;
  3° lorsque le traitement est utile au respect d'une obligation à laquelle le service de renseignement et de sécurité concerné est soumis par ou en vertu d'une loi;
  4° lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou une autorité publique à laquelle les données à caractère personnel sont communiquées.

  Art. 75. Les données à caractère personnel sont :
  1° traitées loyalement et licitement;
  2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, scientifiques ou statistiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par les articles 99 à 104;
  3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement;
  4° exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables sont prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.

  CHAPITRE IV. - Nature des données à caractère personnel

  Art. 76. Dans l'intérêt de l'exercice de leurs missions, les services de renseignement et de sécurité traitent des données à caractère personnel de toute nature, en ce comprises celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, celles qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes.

  CHAPITRE V. - Conservation des données à caractère personnel

  Art. 77. Les données à caractère personnel sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées et selon les modalités déterminées dans le cadre de l'article 21 de la loi du 30 novembre 1998.

  CHAPITRE VI. - Droits de la personne concernée

  Art. 78. Lors du traitement de données à caractère personnel la concernant, toute personne physique a droit à la protection de ses libertés et droits fondamentaux, notamment à la protection de ses données à caractère personnel.

  Art. 79. La personne concernée a le droit de demander :
  1° la rectification ou la suppression de ses données à caractère personnel inexactes;
  2° la vérification auprès du Comité permanent R du respect des dispositions du présent sous-titre.

  Art. 80. Les droits visés à l'article 79 s'exercent, sans frais, par l'intermédiaire du Comité permanent R, à l'initiative de la personne concernée justifiant de son identité.
  Le Comité permanent R effectue les vérifications et communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.
  Les modalités d'exercice de ces droits sont déterminées par la loi.

  Art. 81. Le Comité permanent R et les services de renseignement et de sécurité tiennent un journal des demandes d'exercice des droits par les personnes concernées.

  Art. 82. Une décision produisant des effets juridiques à l'égard d'une personne ne peut pas être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
  L'interdiction prévue à l'alinéa 1er ne s'applique pas lorsque la décision est fondée sur une disposition prévue par ou en vertu d'une loi ou lorsqu'elle est nécessaire pour la sauvegarde d'un intérêt public important.

  CHAPITRE VII. - Obligations du responsable du traitement et du sous-traitant

  Section 1re. -Obligations générales

  Art. 83. Le responsable du traitement :
  1° fait toute diligence pour tenir les données à caractère personnel à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance du présent sous-titre;
  2° veille à ce que, pour les personnes agissant sous son autorité, l'accès aux données à caractère personnel et les possibilités de traitement soient limités à ce qui est utile à l'exercice de leurs fonctions ou aux besoins du service;
  3° informe les personnes agissant sous son autorité des dispositions du présent sous-titre et de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel.

  Art. 84. Lorsque le traitement est confié à un sous-traitant, le responsable du traitement doit :
  1° choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements;
  2° veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles;
  3° fixer dans le contrat la responsabilité du sous-traitant;
  4° convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement et qu'il est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu en application du présent sous-titre;
  5° consigner par écrit ou sur un support électronique les éléments du contrat relatifs à la protection des données à caractère personnel et les exigences relatives aux mesures visées aux 3° et 4°.

  Art. 85. Le sous-traitant est soumis aux mêmes obligations que celles qui incombent au responsable du traitement.
  Le sous-traitant ne peut pas confier le traitement de données à caractère personnel à un autre sous-traitant, sauf autorisation expresse du responsable du traitement.

  Art. 86. Toute personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf sur la base d'une obligation imposée par ou en vertu d'une loi.

  Section 2. - Responsables conjoints du traitement

  Art. 87. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
  Un accord définit les obligations respectives des responsables conjoints de traitement, notamment en ce qui concerne l'exercice des droits de la personne concernée et la communication des données à caractère personnel, sauf si leurs obligations respectives sont définies par ou en vertu d'une loi.
  Un seul point de contact pour les personnes concernées est désigné dans l'accord. Les responsables conjoints du traitement incluent ce point de contact dans le registre visé à l'article 90.

  Section 3. - Sécurité des données à caractère personnel

  Art. 88. Le responsable du traitement ainsi que le sous-traitant prennent les mesures techniques et organisationnelles appropriées requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.
  Ces mesures assurent un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à caractère personnel à protéger et des risques potentiels.

  Art. 89. § 1er. En cas de brèche de sécurité susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement concerné la notifie au Comité permanent R dans les meilleurs délais et si possible, 72 heures après en avoir pris connaissance.
  § 2. Le sous-traitant notifie au responsable du traitement toute brèche de sécurité dans les meilleurs délais.
  § 3. La notification visée aux paragraphes 1er et 2 décrit ou communique, à tout le moins :
  1° la nature de la brèche de sécurité y compris, si possible, le nombre estimé de personnes et d'enregistrements de données à caractère personnel concernés;
  2° le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  3° les conséquences probables de la brèche de sécurité;
  4° les mesures que le responsable du traitement ou le sous-traitant a prises ou propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

  Section 4. - Registres

  Art. 90. § 1er. Le responsable du traitement tient un registre, classifié au sens de la loi du 11 décembre 1998, des banques de données des services de renseignement et de sécurité et de celles mises à leur disposition.
  Ce registre comporte les informations suivantes :
  1° pour les banques de données des services de renseignement et de sécurité :
  a) les coordonnées du responsable du traitement et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données;
  b) les finalités du traitement;
  c) les catégories de destinataires auxquels des données à caractère personnel peuvent être communiquées;
  d) dans la mesure du possible, les délais prévus pour l'effacement des données à caractère personnel;
  e) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 88;
  2° pour les banques de données mises à la disposition des services de renseignement et de sécurité :
  a) les coordonnées du responsable du traitement et, si possible pour les pays hors de l'Union européenne le service gestionnaire de la banque de données et, le cas échéant, des responsables conjoints du traitement, et du délégué à la protection des données;
  b) les finalités du traitement par le service de renseignement et de sécurité.
  § 2. Chaque sous-traitant tient un registre, classifié au sens de la loi du 11 décembre 1998, de toutes les catégories d'activités de traitement effectuées pour le compte d'un responsable du traitement.
  Ce registre comprend les éléments suivants :
  1° les coordonnées du sous-traitant et du responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les coordonnées du délégué à la protection des données;
  2° les catégories de traitements effectués pour le compte du responsable du traitement;
  3° dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 88.
  § 3. Les registres visés aux paragraphes 1er et 2 se présentent sous une forme écrite y compris la forme électronique.
  § 4. Le responsable du traitement met le registre à la disposition du Comité permanent R à sa demande.
  Le sous-traitant met le registre à la disposition du responsable du traitement ainsi qu'à la disposition du Comité permanent R à sa demande.

  Section 5. - Délégué à la protection des données

  Art. 91. § 1er. Le responsable du traitement et, le cas échéant, le sous-traitant désignent un délégué à la protection des données. Cette décision est communiquée au Comité permanent R.
  Le délégué à la protection des données est titulaire d'une habilitation de sécurité de niveau "très secret", au sens de la loi du 11 décembre 1998.
  § 2. Le délégué à la protection des données ne peut pas être sanctionné en raison de l'exercice de ses fonctions. Il ne peut pas être relevé de ses fonctions en raison de l'exercice de ses missions, sauf s'il a commis une faute grave ou s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions.
  Le délégué à la protection des données peut s'adresser au Comité permanent R pour contester cette décision.
  § 3. Il est chargé de manière indépendante :
  1° de veiller au respect du présent sous-titre lors de tout traitement de données à caractère personnel;
  2° de conseiller toutes mesures utiles afin d'assurer la sécurité des données enregistrées;
  3° d'informer et conseiller le responsable du traitement, et le cas échéant, le sous-traitant, le dirigeant et le personnel du service concerné procédant au traitement sur les obligations qui leur incombent en vertu du présent sous-titre;
  4° de fournir des avis ou des recommandations au responsable du traitement, et le cas échéant, au sous-traitant, et au dirigeant du service;
  5° d'exécuter d'autres missions qui lui sont confiées par le responsable du traitement, le cas échéant le sous-traitant ou le dirigeant du service.
  Le délégué à la protection des données est le point de contact avec le Comité permanent R pour l'application du présent sous-titre.
  § 4. Le responsable du traitement et, le cas échéant le sous-traitant, veillent à ce que leur délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
  Le responsable du traitement et, le cas échéant, le sous-traitant, veillent à ce que leur délégué à la protection des données dispose des ressources nécessaires pour exercer ses missions.
  Le délégué à la protection des données peut être assisté par un ou plusieurs adjoints.
  § 5. Le cas échéant, les modalités de fonctionnement, de désignation ainsi que les compétences requises peuvent être définies par le Roi.

  CHAPITRE VIII. - Communication et transfert de données à caractère personnel

  Section 1re. - Communication de données à caractère personnel au secteur public et au secteur privé

  Art. 92. Par dérogation aux articles 20, 22, 23, 58 et 59 de la présente loi et aux articles 35 et 36 du Règlement, un protocole, un avis du délégué à la protection des données, une analyse d'impact relative à la protection des données et l'avis résultant de la consultation de l'autorité de contrôle compétente ne peuvent pas être exigés comme condition préalable à la communication de données à caractère personnel entre un service de renseignement et de sécurité et tout organisme public ou privé dans l'intérêt de l'exercice des missions des services de renseignement et de sécurité.
  Cette communication se déroule conformément aux articles 14, 16 et 19 de la loi du 30 novembre 1998.
  Par dérogation à l'article 20, § 1er, alinéa 2, lorsque les parties décident de conclure un protocole, celui-ci porte notamment sur :
  1° l'identification du service de renseignement et de sécurité et de l'organisme public ou privé qui échangent les données à caractère personnel;
  2° l'identification des responsables du traitement;
  3° les coordonnées des délégués à la protection des données concernés;
  4° les finalités pour lesquelles les données à caractère personnel sont transférées;
  5° la base légale;
  6° les restrictions aux droits de la personne concernée.
  Le protocole visé à l'alinéa 3 porte le marquage "DIFFUSION RESTREINTE" au sens de l'arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998, pour autant qu'une classification au sens de la loi du 11 décembre 1998 ne se justifie pas.

  Section 2. - Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales

  Art. 93. Le transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale ne peut avoir lieu que si ce pays ou cette organisation assure un niveau de protection adéquat et moyennant le respect des autres dispositions du présent sous-titre.
  Le caractère adéquat du niveau de protection s'apprécie au regard de toutes les circonstances relatives à un transfert de données à caractère personnel ou à une catégorie de transferts de données à caractère personnel. Il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays ou l'organisation en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.
  Le niveau de protection adéquat peut être assuré par des clauses de sécurité entre le responsable du traitement et le destinataire des données à caractère personnel.

  Art. 94. Par dérogation à l'article 93, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale n'assurant pas un niveau de protection adéquat, ne peut être effectué que lorsque :
  1° la personne concernée a indubitablement donné son consentement au transfert envisagé; ou
  2° le transfert est obligatoire dans le cadre des relations internationales; ou
  3° le transfert est nécessaire à la sauvegarde de l'intérêt vital des personnes; ou
  4° le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice.

  CHAPITRE IX. - Autorité de contrôle

  Art. 95. Par dérogation à la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, le Comité permanent R, en sa qualité d'autorité publique indépendante, est désigné comme autorité de protection des données chargée du contrôle du traitement des données à caractère personnel par les services de renseignement et de sécurité et par leurs sous-traitants selon les modalités fixées par la loi du 18 juillet 1991.
  Le Comité permanent R surveille l'application du présent sous-titre afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard dudit traitement.

  Art. 96. Le Comité permanent R coopère, le cas échéant, avec les autres autorités de contrôle belges, sans que cela ne porte atteinte à l'intégrité physique d'une personne, ou aux missions des services de renseignement et de sécurité et de la loi du 11 décembre 1998.
  Dans le cadre de l'exercice du contrôle visé à l'article 95, le Comité permanent R communique le résultat de celui-ci en termes généraux aux autres autorités de contrôle compétentes. Celles-ci ne transmettent pas ces résultats à la personne concernée.

  Art. 97. Les services de renseignement et de sécurité et leurs sous-traitants coopèrent avec le Comité permanent R.

  Art. 98. Dès qu'elle en prend connaissance, une autorité de contrôle informe le Comité permanent R des violations de la règlementation relative aux traitements de données à caractère personnel des services de renseignement et de sécurité.
  Toute autorité de contrôle saisie d'un dossier susceptible d'avoir une répercussion sur le traitement de données à caractère personnel par les services de renseignement et de sécurité se concerte avec le Comité permanent R.

  CHAPITRE X. - Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques

  Art. 99. Par dérogation au titre 4, la consultation à des fins historiques, scientifiques ou statistiques des données à caractère personnel des services de renseignement et de sécurité et de leur personnel par un responsable du traitement ultérieur est autorisée par le service de renseignement et de sécurité concerné si cela ne porte pas atteinte à ses missions, à ses obligations visées aux articles 13, alinéa 3, et 13/4, alinéa 2, de la loi du 30 novembre 1998, à une information ou instruction judiciaire en cours ou aux relations que la Belgique entretient avec des Etats étrangers ou des organisations internationales et conformément à la loi du 11 décembre 1998.
  Toute demande adressée aux Archives de l'Etat de traitement ultérieur de données à caractère personnel des services de renseignement et de sécurité et de leur personnel à d'autres fins que celles visées à l'alinéa 1er est refusée à moins que la finalité soit légitime et que le service de renseignement et de sécurité concerné estime que le traitement n'est pas susceptible de porter atteinte aux intérêts visés à l'alinéa 1er.

  Art. 100. Avant leur consultation visée à l'article 99, les données à caractère personnel sont marquées de la mention "Protection des données à caractère personnel - articles 99 à 104 de la loi du 30 juillet 2018".

  Art. 101. Les données à caractère personnel visées à l'article 99 sont rendues anonymes préalablement à leur consultation.
  Si un traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le service de renseignement et de sécurité peut autoriser la consultation de données pseudonymisées.
  Si l'anonymisation ou la pseudonymisation ne rend pas l'identification des données impossible, le service de renseignement et de sécurité refuse la consultation si cela constitue une atteinte disproportionnée à la vie privée.
  Si un traitement ultérieur de données pseudonymisées ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le service de renseignement et de sécurité peut autoriser la consultation de données non pseudonymisées si cela ne constitue pas une atteinte disproportionnée à la vie privée.

  Art. 102. Par dérogation au titre 4, une communication ou publication des données à caractère personnel visées à l'article 99 non anonymisées ou non pseudonymisées, consultées par le responsable du traitement ultérieur n'est possible qu'avec l'accord du service de renseignement et de sécurité concerné et sous les conditions que celui-ci aura fixées.

  Art. 103. Le responsable du traitement ultérieur des données à caractère personnel visées à l'article 99 tient un journal de ses activités de traitement ultérieur à des fins historiques, scientifiques ou statistiques.
  Ce journal est classifié au sens de la loi du 11 décembre 1998 si le traitement porte sur des données classifiées.
  Ce journal comporte les informations suivantes :
  1° les coordonnées du responsable du traitement initial, du responsable du traitement ultérieur et du délégué à la protection des données de ce dernier;
  2° les finalités du traitement ultérieur;
  3° les données faisant l'objet du traitement ultérieur;
  4° les éventuelles conditions du traitement ultérieur fixées par le service de renseignement et de sécurité concerné;
  5° les éventuels destinataires autorisés par le service de renseignement et de sécurité concerné.

  Art. 104. Toute autorité publique ou toute personne physique ou morale qui traite des données à caractère personnel visées à l'article 99 à des fins historiques, scientifiques ou statistiques est responsable dudit traitement.
  Elle n'entreprendra aucune action pour convertir des données anonymes ou pseudonymisées en données non anonymes ou non pseudonymisées.

  SOUS-TITRE 2. - De la protection des personnes physiques concernant le traitement des données à caractère personnel par les forces armées

  Art. 105. Lors de la mise en oeuvre des forces armées et de la mise en condition en vue de la mise en oeuvre des forces armées visées à l'article 3 de la loi du 20 mai 1994 relative aux périodes et aux positions des militaires du cadre de réserve, ainsi qu'à la mise en oeuvre et à la mise en condition des forces armées dans l'optique de l'exécution de ses tâches constitutionnelles, le régime suivant est d'application :
  1° les forces armées traitent, pour autant que cela soit nécessaire dans l'exercice de leurs missions, des données à caractère personnel de toute nature, en ce comprises celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, celles qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes;
  2° les données à caractère personnel ne peuvent être traitées que lorsque le traitement est utile pour la mise en oeuvre des forces armées ou la mise en condition des forces armées et ne sont pas traitées d'une manière incompatible avec ces finalités;
  3° les données à caractère personnel sont traitées de manière licite et loyale;
  4° les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant une période n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
  5° les données à caractère personnel sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement;
  6° les données à caractère personnel sont exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables sont prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;
  7° les données à caractère personnel peuvent être transmises vers un pays non membre de l'Union Européenne ou vers une organisation internationale dans le cas où ce transfert est nécessaire pour des raisons opérationnelles;
  8° à l'exception des définitions prévues dans l'article 26, 1° à 6°, 8° à 14°, 16° et 17°, et des articles 2, 78 et 83 à 89, les dispositions des autres titres ne sont pas d'application;
  9° concernant le traitement des données à caractère personnel, les droits suivants sont seulement limités lorsqu'il s'agit d'une mesure nécessaire et proportionnelle dans le cadre des limitations du droit international applicable, pour la mise en oeuvre des forces armées, ou la mise en condition des forces armées en vue de leur mise en oeuvre :
  a) le droit de prendre connaissance de l'existence d'un fichier de données automatisé à caractère personnel, de ses principaux objectifs ainsi que de l'identité et de la résidence habituelle ou de l'établissement principal du titulaire du fichier;
  b) le droit de faire corriger ou d'effacer ces données si nécessaire, si celles-ci ont été traitées en violation de la loi;
  c) le droit de disposer de voies de recours en l'absence de réponse à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d'échange de données à caractère personnel.
  10° dans la mesure où la mise en oeuvre et la mise en condition des forces armées n'est pas mise en péril, les traitements des données à caractère personnel sont soumis à l'autorité de contrôle compétente.

  SOUS-TITRE 3. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel dans le cadre de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité

  CHAPITRE Ier. -Définitions

  Art. 106. § 1er. Les définitions visées à l'article 26, 1° à 6°, 9° à 14° et 16° à 17°, s'appliquent au présent sous-titre.
  § 2. Pour l'application du présent sous-titre, on entend par :
  1° "la loi du 11 décembre 1998" : la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité;
  2° "la loi du 11 décembre 1998 portant création d'un organe de recours" : la loi du 11 décembre 1998 portant création d'un organe de recours en matière d'habilitations, d'attestations et d'avis de sécurité;
  3° "l'organe de recours" : l'organe de recours visé à l'article 3 de la loi du 11 décembre 1998 portant création d'un organe de recours;
  4° "le responsable du traitement" : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles;
  5° "autorité de contrôle" : l'autorité publique indépendante chargée par la loi de surveiller l'application du présent sous-titre;
  6° "Comité permanent R" : le Comité permanent de contrôle des services de renseignement visé à la loi du 18 juillet 1991 chargé du contrôle de l'application du présent sous-titre en application de l'article 95.

  CHAPITRE II. - Champ d'application

  Art. 107. Le présent sous-titre s'applique à tout traitement de données à caractère personnel dans le cadre des habilitations de sécurité, attestations et avis de sécurité visés à la loi du 11 décembre 1998 par :
  1° l'autorité de sécurité visée à l'article 15, alinéa 1er, de la loi du 11 décembre 1998;
  2° chaque autorité membre de l'autorité visée au 1° ;
  3° les autorités visées aux articles 15, alinéa 2, et 22ter de la loi du 11 décembre 1998;
  4° les officiers de sécurité visés à l'article 13, 1°, de la loi du 11 décembre 1998;
  5° les sous-traitants des autorités et personnes visées aux 1° à 4°.
  Le présent sous-titre s'applique également à chaque traitement de données à caractère personnel par l'organe de recours dans le cadre des recours visés à la loi du 11 décembre 1998 portant création d'un organe de recours.
  Les titres 1er, 2, 4, 5 et 7 de la présente loi ne s'appliquent pas aux traitements visés à l'alinéa 1er. Dans le titre 6, seuls les articles 226, 227 et 230 s'appliquent.

  CHAPITRE III. - Conditions générales du traitement

  Art. 108. Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants :
  1° lorsque la personne concernée a indubitablement donné son consentement;
  2° lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée;
  3° lorsque le traitement est nécessaire au respect d'une obligation à laquelle le responsable du traitement est soumis par ou en vertu d'une loi;
  4° lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou une autorité publique à laquelle les données à caractère personnel sont communiquées.

  Art. 109. Les données à caractère personnel sont :
  1° traitées d'une manière qui est loyal et légitime à l'égard de la personne concernée;
  2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, scientifiques ou statistiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions déterminées par les articles 132 à 137;
  3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement;
  4° exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.

  CHAPITRE IV. - Nature des données à caractère personnel

  Art. 110. Dans l'intérêt de l'exercice de leurs missions, les autorités, les organes et les personnes visés à l'article 107 traitent des données à caractère personnel de toute nature, en ce compris celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, celles qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes.

  CHAPITRE V. - Conservation des données à caractère personnel

  Art. 111. Les données à caractère personnel sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées et selon les modalités fixées à l'article 25 de la loi du 11 décembre 1998.

  CHAPITRE VI. - Droits de la personne concernée

  Art. 112. Lors du traitement de données à caractère personnel la concernant, toute personne physique a droit à la protection de ses libertés et droits fondamentaux, notamment à la protection de ses données à caractère personnel.

  Art. 113. La personne concernée a le droit de demander :
  1° la rectification ou la suppression de ses données à caractère personnel inexactes;
  2° la vérification auprès de l'autorité de contrôle compétente du respect des dispositions du présent sous- titre.

  Art. 114. § 1er. Afin de garantir la confidentialité et l'efficacité de l'exécution des traitements, l'accès de la personne concernée à ses données à caractère personnel traitées par les autorités, organes et personnes visées à l'article 107, alinéa 1er, est limité à l'information que la personne concernée leur fournit.
  Les droits visés à l'article 113, 1° et 2°, à l'égard des traitements visés à l'article 107, alinéa 1er, s'exercent, sans frais, par l'intermédiaire du Comité permanent R, à l'initiative de la personne concernée justifiant de son identité. Le Comité R effectue les vérifications et communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.
  § 2. L'accès par la personne concernée à ses données à caractère personnel traitées par l'organe de recours s'effectue conformément à l'article 6 de la loi du 11 décembre 1998 portant création d'un organe de recours.
  Pour l'exercice de ses droits visés à l'article 113, 1°, à l'égard des traitements visés à l'article 107, alinéa 2, la personne concernée s'adresse à l'organe de recours conformément aux modalités fixées par ou en vertu de la loi du 11 décembre 1998 portant création d'un organe de recours.

  Art. 115. Une décision produisant des effets juridiques négatifs à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
  L'interdiction déterminée à l'alinéa 1er ne s'applique pas lorsque la décision est fondée sur une disposition prévue par ou en vertu d'une loi ou lorsqu'elle est nécessaire pour la sauvegarde d'un intérêt public important.

  CHAPITRE VII. - Obligations du responsable du traitement et du sous-traitant

  Section 1re. - Obligations générales

  Art. 116. Le responsable du traitement :
  1° fait toute diligence pour tenir les données à caractère personnel à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance du présent sous-titre;
  2° veille à ce que, pour les personnes agissant sous son autorité, l'accès aux données à caractère personnel et les possibilités de traitement soient limités à ce qui est utile à l'exercice de leurs fonctions ou aux besoins du service;
  3° informe les personnes agissant sous son autorité des dispositions du présent sous-titre et de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel.

  Art. 117. Lorsque le traitement est confié à un sous-traitant, le responsable du traitement doit :
  1° choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et organisationnelles relatives aux traitements;
  2° veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles;
  3° fixer dans le contrat la responsabilité du sous-traitant;
  4° convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement et que le sous-traitant est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu en application du présent sous-titre.

  Art. 118. Le sous-traitant est soumis aux mêmes obligations que celles qui incombent au responsable du traitement.
  Il ne peut pas confier le traitement de données à caractère personnel à un autre sous-traitant, sauf autorisation expresse du responsable du traitement.

  Art. 119. Toute personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf sur la base d'une obligation imposée par ou en vertu d'une loi.

  Section 2. - Responsables conjoints du traitement

  Art. 120. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
  Un accord définit les obligations respectives des responsables conjoints du traitement, notamment en ce qui concerne l'exercice des droits de la personne concernée et la communication des données à caractère personnel, sauf si leurs obligations respectives sont définies par ou en vertu d'une loi.
  Un seul point de contact pour les personnes concernées est désigné dans l'accord. Les responsables conjoints du traitement incluent ce point de contact dans le registre visé à l'article 123.

  Section 3. - Sécurité des données à caractère personnel

  Art. 121. Le responsable du traitement ainsi que le sous-traitant prennent les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.
  Ces mesures assurent un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à caractère personnel à protéger et des risques potentiels.

  Art. 122. § 1er. En cas de brèche de sécurité susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement la notifie au Comité permanent R dans les meilleurs délais et, si possible, au plus tard 72 heures après en avoir pris connaissance.
  § 2. Le sous-traitant notifie au responsable du traitement toute brèche de sécurité dans les meilleurs délais.
  § 3. La notification visée aux paragraphes 1er et 2, décrit ou communique à tout le moins :
  1° la nature de la brèche de sécurité y compris et, si possible, le nombre estimé de personnes et d'enregistrements de données à caractère personnel concernés;
  2° le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  3° les conséquences probables de la brèche de sécurité;
  4° les mesures que le responsable du traitement ou le sous-traitant a prises ou propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

  Section 4. - Registres

  Art. 123. § 1er. Le responsable du traitement et, le cas échéant son sous-traitant, tiennent un registre d'activités de traitement des données à caractère personnel.
  Ce registre comporte, le cas échéant et si possible, les informations suivantes en ce qui concerne les traitements :
  1° les coordonnées du responsable du traitement et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données;
  2° les finalités du traitement;
  3° les catégories des personnes concernées;
  4° les catégories des données à caractère personnel;
  5° les catégories de destinataires principaux auxquels des données à caractère personnel peuvent être communiquées;
  6° les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris la mention de ce pays tiers ou de cette organisation internationale et, le cas échéant, les documents attestant de l'existence de garanties appropriées;
  7° les délais prévus pour l'effacement des données à caractère personnel;
  8° le recours au profilage;
  9° la base juridique;
  10° une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 121.
  § 2. Le registre visé au paragraphe 1er se présente sous une forme écrite y compris la forme électronique.
  § 3. Le responsable du traitement met le registre à la disposition de l'autorité de contrôle compétente à sa demande.
  Le sous-traitant met le registre à la disposition du responsable du traitement ainsi qu'à la disposition de l'autorité de contrôle compétente à sa demande.

  Section 5. - Délégué à la protection des données

  Art. 124. § 1er. Le responsable du traitement et, le cas échéant, le sous-traitant désignent un délégué à la protection des données. Cette décision est communiquée à l'autorité de contrôle compétente.
  Le délégué à la protection des données est titulaire d'une habilitation de sécurité de niveau "très secret", au sens de la loi du 11 décembre 1998.
  § 2. Le délégué à la protection des données ne peut pas être sanctionné en raison de l'exercice de ses fonctions. Il ne peut pas non plus être relevé de ses fonctions en raison de l'exercice de ses missions, sauf s'il a commis une faute grave ou s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions.
  Le délégué à la protection des données peut s'adresser au Comité permanent R pour contester cette décision.
  § 3. Il est chargé de manière indépendante :
  1° de veiller au respect du présent sous-titre lors de tout traitement de données à caractère personnel;
  2° de conseiller toutes mesures utiles afin d'assurer la sécurité des données enregistrées;
  3° d'informer et de conseiller le responsable du traitement, et le cas échéant le sous-traitant, et leur personnel procédant au traitement des obligations qui leur incombent en vertu du présent sous-titre;
  4° de fournir des avis ou des recommandations au responsable du traitement, et le cas échéant, au sous-traitant;
  5° d'exécuter d'autres missions qui lui sont confiées par le responsable du traitement, et le cas échéant le sous-traitant.
  Le délégué à la protection des données est le point de contact avec l'autorité de contrôle compétente pour l'application du présent sous-titre.
  § 4. Le responsable du traitement et, le cas échéant, le sous-traitant, veillent à ce que leur délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
  Le responsable du traitement et, le cas échéant, le sous-traitant, veillent à ce que leur délégué à la protection des données dispose des ressources nécessaires pour exercer ses missions.
  Le délégué à la protection des données peut être assisté par un ou plusieurs adjoints.
  § 5. Le cas échéant, les modalités de fonctionnement, de désignation ainsi que les compétences requises peuvent être définies par le Roi.

  CHAPITRE VIII. - Communication et transfert de données à caractère personnel

  Section 1re. - Communication de données à caractère personnel au secteur public et au secteur privé

  Art. 125. § 1er. Par dérogation aux articles 20, 22, 23, 58 et 59 de la présente loi et aux articles 35 et 36 du Règlement, un protocole, un avis du délégué à la protection des données, une analyse d'impact relative à la protection des données et l'avis résultant de la consultation de l'autorité de contrôle compétente ne peuvent pas être exigés comme condition préalable à la communication de données à caractère personnel entre les autorités, les organes ou les personnes visés à l'article 107 et tout organisme public ou privé.
  Cette communication se déroule conformément à la loi du 11 décembre 1998.
  § 2. Par dérogation à l'article 20, § 1er, alinéa 2, de la présente loi, lorsque les parties décident de conclure un protocole, celui-ci porte notamment sur :
  1° l'identification du service public fédéral ou de l'organisme public fédéral qui transfère les données à caractère personnel;
  2° l'identification des responsables du traitement;
  3° les coordonnées des délégués à la protection des données concernés;
  4° les finalités pour lesquelles les données à caractère personnel sont transférées;
  5° la base légale;
  6° les modalités de communication utilisées;
  7° les restrictions aux droits de la personne concernée;
  8° la périodicité du transfert;
  9° la durée du protocole.

  Section 2. - Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales

  Art. 126. Le transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale ne peut avoir lieu que si le pays ou l'organisation en question assure un niveau de protection adéquat et moyennant le respect des autres dispositions du présent sous-titre.
  Le caractère adéquat du niveau de protection s'apprécie au regard de toutes les circonstances relatives à un transfert de données à caractère personnel ou à une catégorie de transferts de données à caractère personnel. Il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays ou l'organisation en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.
  Le niveau de protection adéquat peut être assuré par des clauses de sécurité entre le responsable du traitement et le destinataire des données à caractère personnel.

  Art. 127. Par dérogation à l'article 126, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale n'assurant pas un niveau de protection adéquat, ne peut être effectué que lorsque :
  1° la personne concernée a indubitablement donné son consentement au transfert envisagé; ou
  2° le transfert est obligatoire dans le cadre des relations internationales; ou
  3° le transfert est nécessaire à la sauvegarde de l'intérêt vital des personnes; ou
  4° le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice.

  CHAPITRE IX. - Autorité de contrôle

  Art. 128. § 1er. Par dérogation à la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, le Comité permanent R, en sa qualité d'autorité publique indépendante, est désigné comme autorité du contrôle chargée du contrôle du traitement des données à caractère personnel effectué dans le cadre de l'article 107, alinéa 1er, par les autorités et personnes visées au même alinéa.
  Le Comité permanent R surveille l'application du présent sous-titre afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard dudit traitement.
  § 2. En sa qualité d'autorité juridictionnelle, l'organe de recours n'est pas soumis au contrôle d'une autorité de protection des données à caractère personnel.

  Art. 129. Dans le respect de la loi du 11 décembre 1998, le Comité permanent R coopère, le cas échéant, avec les autres autorités de contrôle belges, sans que cela ne porte atteinte aux intérêts visés à l'article 5 de la loi du 11 décembre 1998 portant création d'un organe de recours.
  Dans le cadre de l'exercice du contrôle visé à l'article 128, le Comité permanent R communique le résultat de celui-ci en termes généraux aux autres autorités de contrôle compétentes.

  Art. 130. Les autorités et personnes visées à l'article 107, alinéa 1er, coopèrent avec le Comité permanent R.

  Art. 131. Dès qu'elle en prend connaissance, une autorité de contrôle informe le Comité permanent R des violations de la règlementation relative aux traitements de données à caractère personnel dans le cadre de l'article 107.
  Toute autorité de contrôle saisie d'un dossier susceptible d'avoir une répercussion sur le traitement de données à caractère personnel dans le cadre de l'article 107 se concerte avec le Comité Permanent R.

  CHAPITRE X. - Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques

  Art. 132. Par dérogation au titre 4, la consultation à des fins historiques, scientifiques ou statistiques des données à caractère personnel des autorités, l'organe de recours ou les personnes visés à l'article 107 et de leur personnel par un responsable du traitement ultérieur est autorisée si cela ne porte pas atteinte aux intérêts visés par l'article 12, alinéa 1er, de la loi du 11 décembre 1998.

  Art. 133. Avant leur consultation visée à l'article 132, les données à caractère personnel sont marquées de la mention "Protection des données à caractère personnel - articles 132 à 137 de la loi du 30 juillet 2018".

  Art. 134. Les données à caractère personnel visées à l'article 132 sont rendues anonymes préalablement à leur consultation.
  Si un traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le responsable du traitement, dans le cadre de l'article 107, peut autoriser la consultation de données pseudonymisées.
  Si l'anonymisation ou la pseudonymisation ne rend pas l'identification des données impossible, le responsable du traitement, dans le cadre de l'article 107, refuse la consultation si cela constitue une atteinte disproportionnée à la vie privée.
  Si un traitement ultérieur de données pseudonymisées ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, le responsable du traitement, dans le cadre de l'article 107, peut autoriser la consultation de données non pseudonymisées si cela ne porte pas une atteinte disproportionnée à la vie privée.

  Art. 135. Par dérogation au titre 4, une communication ou publication des données à caractère personnel visées à l'article 132 non anonymisées ou non pseudonymisées, consultées par le responsable du traitement ultérieur n'est possible qu'avec l'accord du responsable du traitement dans le cadre de l'article 107 et sous les conditions que celui-ci aura fixées.

  Art. 136. Le responsable du traitement ultérieur des données à caractère personnel visées à l'article 132 tient un journal de ses activités de traitement ultérieur à des fins historiques, scientifiques ou statistiques.
  Ce journal est classifié au sens de la loi du 11 décembre 1998 si le traitement porte sur des données classifiées.
  Ce journal comporte les informations suivantes :
  1° les coordonnées du responsable du traitement initial, du responsable du traitement ultérieur et du délégué à la protection des données de ce dernier;
  2° les finalités du traitement ultérieur;
  3° les éventuelles conditions du traitement ultérieur fixées par le responsable du traitement dans le cadre de l'article 107;
  4° les éventuels destinataires autorisés par le responsable du traitement dans le cadre de l'article 107.

  Art. 137. Toute autorité publique ou toute personne physique ou morale qui traite des données à caractère personnel visées à l'article 132 à des fins historiques, scientifiques ou statistiques est responsable dudit traitement.
  Elle n'entreprendra aucune action pour convertir des données anonymes ou pseudonymisées en données non anonymes ou non pseudonymisées.

  SOUS-TITRE 4. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par l'organe de coordination pour l'analyse de la menace

  CHAPITRE Ier. -Définitions

  Art. 138. § 1er. Les définitions visées à l'article 26, 1° à 6°, 9°, 11° à 14° et 16° à 17°, s'appliquent au présent sous-titre.
  § 2. Pour l'application du présent sous-titre, on entend par :
  1° "l'OCAM" : l'Organe de coordination pour l'analyse de la menace visé par la loi du 10 juillet 2006 relative à l'analyse de la menace;
  2° "le responsable du traitement" : une personne physique ou morale, une autorité publique, un service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel;
  3° "la loi du 18 juillet 1991" : la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace;
  4° "la loi du 11 décembre 1998" : la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité;
  5° "autorité de contrôle" : une autorité publique indépendante chargée par la loi de surveiller l'application de la présente loi;
  6° "la loi du 10 juillet 2006" : la loi du 10 juillet 2006 relative à l'analyse de la menace;
  7° "le système d'informations de l'OCAM" : le système d'informations visé à l'article 9 de la loi du 10 juillet 2006.

  CHAPITRE II. - Champ d'application

  Art. 139. Le présent sous-titre s'applique à tout traitement de données à caractère personnel par l'OCAM et ses sous-traitants effectué dans le cadre des missions visées par la loi du 16 juillet 2006, ainsi que par ou en vertu de lois particulières.
  Les titres 1er, 2, 4, 5, et 7 de la présente loi ne s'appliquent pas aux traitements visés à l'alinéa 1er. Dans le titre 6, seuls les articles 226, 227 et 230 s'appliquent.

  CHAPITRE III. - Conditions générales du traitement

  Art. 140. Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants :
  1° lorsque la personne concernée a indubitablement donné son consentement;
  2° lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée;
  3° lorsque le traitement est utile au respect d'une obligation à laquelle l'OCAM est soumis par ou en vertu d'une loi;
  4° lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou une autorité publique à laquelle les données à caractère personnel sont communiquées.

  Art. 141. Les données à caractère personnel sont :
  1° traitées loyalement et licitement;
  2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, scientifiques ou statistiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par les articles 162 à 167;
  3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement;
  4° exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables sont prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.

  CHAPITRE IV. - Nature des données à caractère personnel

  Art. 142. Dans la mesure nécessaire à l'intérêt de l'exercice de ses missions, l'OCAM traite des données à caractère personnel de toute nature, en ce compris celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, les données qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes.

  CHAPITRE V. - Conservation des données à caractère personnel

  Art. 143. Les données à caractère personnel sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées et selon les modalités fixées dans l'article 9 de la loi du 16 juillet 2006 en ce qui concerne le système d'informations de l'OCAM et l'article 44/11/3bis de la loi de 5 août 1992 sur la fonction de police en ce qui concerne les banques de données communes dont l'OCAM est le gestionnaire opérationnel.

  CHAPITRE VI. - Droits de la personne concernée

  Art. 144. Lors du traitement de données à caractère personnel la concernant, toute personne physique a droit à la protection de ses libertés et droits fondamentaux, notamment à la protection de ses données à caractère personnel.

  Art. 145. La personne concernée a le droit de demander :
  1° la rectification ou la suppression de ses données à caractère personnel inexactes;
  2° la vérification auprès de l'autorité de contrôle compétente du respect des dispositions du présent sous-titre.

  Art. 146. Les droits visés à l'article 145 s'exercent, sans frais, par l'intermédiaire de l'autorité de contrôle compétente, à l'initiative de la personne concernée justifiant de son identité.
  L'autorité de contrôle compétente effectue les vérifications et communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.
  Les modalités d'exercice de ces droits sont déterminées par la loi.

  Art. 147. Les autorités de contrôle visées à l'article 161 et l'OCAM tiennent un journal des demandes d'exercice des droits par les personnes concernées.

  Art. 148. Une décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
  L'interdiction prévue à l'alinéa 1er ne s'applique pas lorsque la décision est fondée sur une disposition prévue par ou en vertu d'une loi ou lorsque la décision est nécessaire pour la sauvegarde d'un intérêt public important.

  CHAPITRE VII. - Obligations du responsable du traitement et du sous-traitant

  Section 1re. - Obligations générales

  Art. 149. Le responsable du traitement :
  1° fait toute diligence pour tenir les données à caractère personnel à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance des dispositions du présent sous-titre;
  2° veille à ce que, pour les personnes agissant sous son autorité, l'accès aux données à caractère personnel et les possibilités de traitement soient limités à ce qui est utile à l'exercice de leurs fonctions ou aux besoins de l'OCAM;
  3° informe les personnes agissant sous son autorité des dispositions du présent sous-titre et de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel.

  Art. 150. Lorsque le traitement est confié à un sous-traitant, le responsable du traitement doit :
  1° choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements;
  2° veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles;
  3° fixer dans le contrat la responsabilité du sous-traitant;
  4° convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement et qu'il est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu en application du présent sous-titre;
  5° consigner par écrit ou sur un support électronique les éléments du contrat relatifs à la protection des données à caractère personnel et les exigences relatives aux mesures visées aux 3° et 4°.

  Art. 151. Le sous-traitant est soumis aux mêmes obligations que celles qui incombent au responsable du traitement.
  Il ne peut pas confier le traitement de données à caractère personnel à un autre sous-traitant, sauf autorisation expresse du responsable du traitement.

  Art. 152. Toute personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf en cas d'une obligation imposée par ou en vertu d'une loi.

  Section 2. - Responsables conjoints du traitement

  Art. 153. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
  Un accord définit les obligations respectives des responsables conjoints de traitement, notamment en ce qui concerne l'exercice des droits de la personne concernée et la communication des données à caractère personnel, sauf si leurs obligations respectives sont définies par ou en vertu d'une loi.
  Un seul point de contact pour les personnes concernées peut être désigné dans l'accord. Les responsables conjoints du traitement incluent ce point de contact dans le registre visé à l'article 156.

  Section 3. - Sécurité des données à caractère personnel

  Art. 154. Le responsable du traitement ainsi que le sous-traitant prennent les mesures techniques et organisationnelles appropriées requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.
  Ces mesures assurent un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à caractère personnel à protéger et des risques potentiels.

  Art. 155. § 1er. En cas de brèche de sécurité susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement concerné la notifie à l'autorité de contrôle compétente dans les meilleurs délais et si possible, 72 heures après en avoir pris connaissance.
  § 2. Le sous-traitant notifie au responsable du traitement toute brèche de sécurité dans les meilleurs délais.
  § 3. La notification visée aux paragraphes 1er et 2 décrit ou communique, à tout le moins :
  1° la nature de la brèche de sécurité y compris, si possible, le nombre estimé de personnes et d'enregistrements de données à caractère personnel concernés;
  2° le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  3° les conséquences probables de la brèche de sécurité;
  4° les mesures que le responsable du traitement ou le sous-traitant a prises ou propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

  Section 4. - Registres

  Art. 156. § 1er. Le responsable du traitement tient un registre, classifié au sens de la loi du 11 décembre 1998, des banques de données de l'OCAM et de celles mises à sa disposition.
  Ce registre comporte les informations suivantes :
  1° pour les banques de données de l'OCAM :
  a) les coordonnées du responsable du traitement et, le cas échéant, des responsables conjoints du traitement, et du délégué à la protection des données;
  b) les finalités du traitement;
  c) les catégories de destinataires auxquels des données à caractère personnel peuvent être communiquées;
  d) dans la mesure du possible, les délais prévus pour l'effacement des données à caractère personnel;
  e) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 154;
  2° pour les banques de données mises à la disposition de l'OCAM :
  a) les coordonnées du responsable du traitement et, si possible pour les pays hors de l'Union européenne le service gestionnaire de la banque de données et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données;
  b) les finalités du traitement par l'OCAM.
  § 2. Chaque sous-traitant tient un registre, classifié au sens de la loi du 11 décembre 1998, de toutes les catégories d'activités de traitement effectuées pour le compte d'un responsable du traitement.
  Ce registre comprend les éléments suivants :
  1° les coordonnées du sous-traitant et du responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les coordonnées du délégué à la protection des données;
  2° les catégories de traitements effectués pour le compte du responsable du traitement;
  3° dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 154.
  § 3. Les registres visés aux paragraphes 1er et 2 se présentent sous une forme écrite y compris la forme électronique.
  § 4. Le responsable du traitement met le registre à la disposition de l'autorité de contrôle compétente à sa demande.
  Le sous-traitant met le registre à la disposition du responsable du traitement ainsi qu'à la disposition de l'autorité de contrôle compétente à sa demande.

  Section 5. - Délégué à la protection des données

  Art. 157. § 1er. Le responsable du traitement et, le cas échéant, le sous-traitant désignent un délégué à la protection des données. Cette décision est communiquée à l'autorité de contrôle compétente.
  Le délégué à la protection des données est titulaire d'une habilitation de sécurité de niveau "très secret", au sens de la loi du 11 décembre 1998.
  § 2. Le délégué à la protection des données ne peut pas être sanctionné en raison de l'exercice de ses fonctions. Il ne peut pas non plus être relevé de ses fonctions en raison de l'exercice de ses missions, sauf s'il a commis une faute grave ou s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions.
  Le délégué à la protection des données peut s'adresser au Comité permanent R pour contester cette décision.
  § 3. Il est chargé de manière indépendante :
  1° de veiller au respect du présent sous-titre lors de tout traitement de données à caractère personnel;
  2° de conseiller toutes mesures utiles afin d'assurer la sécurité des données enregistrées;
  3° d'informer et conseiller le responsable du traitement, et le cas échéant, le sous-traitant, le dirigeant et le personnel du service concerné procédant au traitement sur les obligations qui leur incombent sur la base du présent sous-titre;
  4° de fournir des avis ou des recommandations au responsable du traitement, et le cas échéant au sous-traitant, et au dirigeant de l'OCAM;
  5° d'exécuter d'autres missions qui lui sont confiées par le responsable du traitement, le cas échéant le sous-traitant ou le dirigeant de l'OCAM.
  Le délégué à la protection des données est le point de contact avec l'autorité de contrôle compétente en ce qui concerne l'application du présent sous-titre.
  § 4. Le responsable du traitement et, le cas échéant, le sous-traitant, veillent à ce que leur délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
  Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que leur délégué à la protection des données dispose des ressources nécessaires pour exercer ses missions.
  Le délégué à la protection des données peut être assisté par un ou plusieurs adjoints.
  § 5. Le cas échéant, les modalités de fonctionnement, de désignation ainsi que les compétences requises peuvent être définies par le Roi.

  CHAPITRE VIII. - Communication et transfert de données à caractère personnel

  Section 1re. - Communication de données à caractère personnel au secteur public et au secteur privé

  Art. 158. Par dérogation aux articles 20, 22, 23, 58 et 59 de la présente loi et aux articles 35 et 36 du Règlement, un protocole, un avis du délégué à la protection des données, une analyse d'impact relative à la protection des données et l'avis résultant de la consultation de l'autorité de contrôle compétente ne peuvent pas être exigés comme condition préalable à la communication de données à caractère personnel entre l'OCAM et tout organisme public ou privé dans l'intérêt de l'exercice des missions de l'OCAM.
  Cette communication se déroule conformément aux articles 8 à 12 de la loi du 10 juillet 2006 et au chapitre IV, section 12, sous-section 7bis, de la loi du 5 août 1992 sur la fonction de la police.
  Par dérogation à l'article 20, § 1er, alinéa 2, lorsque les parties décident de conclure un protocole, celui-ci comprend :
  1° l'identification de l'OCAM et de l'organisme public ou privé qui échangent les données à caractère personnel;
  2° l'identification des responsables du traitement;
  3° les coordonnées des délégués à la protection des données concernés;
  4° les finalités pour lesquelles les données à caractère personnel sont transférées;
  5° la base légale;
  6° les restrictions aux droits de la personne concernée.
  Le protocole visé à l'alinéa 3 porte le marquage "DIFFUSION RESTREINTE" au sens de l'arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998, pour autant qu'une classification au sens de la loi du 11 décembre 1998 ne se justifie pas.

  Section 2. - Transfert des données à caractère personnel vers des pays non membres de l'Union européenne ou à des organisations internationales

  Art. 159. Le transfert de données à caractère personnel vers un pays non membres de l'Union européenne ou à une organisation internationale ne peut avoir lieu que si le pays ou l'organisation en question assure un niveau de protection adéquat et moyennant le respect des autres dispositions du présent sous-titre.
  Le caractère adéquat du niveau de protection s'apprécie au regard de toutes les circonstances relatives à un transfert de données à caractère personnel ou à une catégorie de transferts de données à caractère personnel. Il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays ou l'organisation en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.
  Le niveau de protection adéquat peut être assuré par des clauses de sécurité entre le responsable du traitement et le destinataire des données à caractère personnel.

  Art. 160. Par dérogation à l'article 159, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale n'assurant pas un niveau de protection adéquat, ne peut être effectué que lorsque :
  1° la personne concernée a indubitablement donné son consentement au transfert envisagé; ou
  2° le transfert est obligatoire dans le cadre des relations internationales; ou
  3° le transfert est nécessaire à la sauvegarde de l'intérêt vital des personnes; ou
  4° le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice.

  CHAPITRE IX. - Autorité de contrôle

  Art. 161. Le Comité permanent R, en sa qualité d'autorité publique indépendante, et le Comité permanent de Contrôle des Services de police, sont désignés comme autorités de protection des données chargée du contrôle du traitement des données à caractère personnel par l'OCAM et par ses sous-traitants selon les modalités fixées par la loi du 18 juillet 1991.

  CHAPITRE X. - Traitement de données à caractère personnel à des fins historiques, scientifiques ou statistiques

  Art. 162. Par dérogation au titre 4, la consultation à des fins historiques, scientifiques ou statistiques des données à caractère personnel de l'OCAM et de son personnel par un responsable du traitement ultérieur est autorisée par l'OCAM si cela ne porte pas atteinte à ses missions visées dans la loi du 10 juillet 2006, à une information ou instruction judiciaire en cours ou aux relations que la Belgique entretient avec des Etats étrangers ou des organisations internationales et conformément à la loi du 10 juillet 2006.
  Toute demande adressée aux Archives de l'Etat de traitement ultérieur de données à caractère personnel de l'OCAM et de son personnel à d'autres fins que celles visées à l'alinéa 1er est refusée à moins que la finalité soit légitime et que l'OCAM estime que le traitement n'est pas susceptible de porter atteinte aux intérêts visés à l'alinéa 1er.

  Art. 163. Avant leur consultation visée à l'article 162, les données à caractère personnel sont marquées de la mention "Protection des données à caractère personnel - chapitre X, sous-titre 4 du titre 3 de la loi du 30 juillet 2018".

  Art. 164. Les données à caractère personnel visées à l'article 162 sont rendues anonymes préalablement à leur consultation.
  Si un traitement ultérieur de données anonymes ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, l'OCAM peut autoriser la consultation de données pseudonymisées.
  Si l'anonymisation ou la pseudonymisation ne rend pas l'identification des données impossible, l'OCAM refuse la consultation si cela constitue une atteinte disproportionnée à la vie privée.
  Si un traitement ultérieur de données pseudonymisées ne permet pas d'atteindre les fins historiques, scientifiques ou statistiques, l'OCAM peut autoriser la consultation de données non pseudonymisées si cela ne porte pas une atteinte disproportionnée à la vie privée.

  Art. 165. Par dérogation au titre 4, une communication ou publication des données à caractère personnel visées à l'article 162 non anonymisées ou non pseudonymisées, consultées par le responsable du traitement ultérieur n'est possible qu'avec l'accord de l'OCAM et sous les conditions que celui-ci aura fixées.

  Art. 166. Le responsable du traitement ultérieur des données à caractère personnel visées à l'article 162 tient un journal de ses activités de traitement ultérieur à des fins historiques, scientifiques ou statistiques.
  Ce journal est classifié au sens de la loi du 11 décembre 1998 si le traitement porte sur des données classifiées.
  Ce journal comporte les informations suivantes :
  1° les coordonnées du responsable du traitement initial, du responsable du traitement ultérieur et du délégué à la protection des données de ce dernier;
  2° les finalités du traitement ultérieur;
  3° les données faisant l'objet du traitement ultérieur;
  4° les éventuelles conditions du traitement ultérieur fixées par l'OCAM;
  5° les éventuels destinataires autorisés par l'OCAM.

  Art. 167. Toute autorité publique ou toute personne physique ou morale qui traite des données à caractère personnel visées à l'article 162 à des fins historiques, scientifiques ou statistiques est responsable dudit traitement.
  Elle n'entreprendra aucune action pour convertir des données anonymes ou pseudonymisées en données non anonymes ou non pseudonymisées.

  SOUS-TITRE 5. - De la protection des personnes physiques à l'égard de certains traitements de données à caractère personnel par l'unité d'information des passagers

  CHAPITRE Ier. -Définitions

  Art. 168. § 1er. Les définitions visées à l'article 26, 1° à 3°, 8°, 10° et 11°, et à l'article 72, § 2, 6° et 7°, s'appliquent au présent sous-titre.
  § 2. Pour l'application du présent sous-titre, on entend par :
  1° "la loi du 25 décembre 2016" : la loi du 25 décembre 2016 relative au traitement des données des passagers;
  2° "l'UIP" : l'Unité d'information des passagers visée au chapitre 7 de la loi du 25 décembre 2016.

  CHAPITRE II. - Champ d'application

  Art. 169. Le présent sous-titre s'applique à tout traitement de données à caractère personnel par l'UIP effectué dans le cadre des finalités visées à l'article 8, § 1er, 4°, de la loi du 25 décembre 2016.
  Les titres 1er, 2, 4, 5 et 7 de la présente loi ne s'appliquent pas aux traitements visés à l'alinéa 1er. Dans le titre 6, seuls les articles 226, 227 et 230 s'appliquent.

  CHAPITRE III. - Conditions générales du traitement

  Art. 170. Les données à caractère personnel sont :
  1° traitées loyalement et licitement;
  2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des dispositions légales et réglementaires applicables;
  3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement;
  4° exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables sont prises pour que les données à caractère personnel inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées.

  CHAPITRE IV. - Conservation des données à caractère personnel

  Art. 171. Les données à caractère personnel sont conservées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées et selon les modalités fixées par le chapitre 9 de la loi du 25 décembre 2016.

  CHAPITRE V. - Droits de la personne concernée

  Art. 172. Lors du traitement de données à caractère personnel la concernant, toute personne physique a droit à la protection de ses libertés et droits fondamentaux, notamment à la protection de ses données à caractère personnel.

  Art. 173. La personne concernée a le droit de demander :
  1° la rectification ou la suppression de ses données à caractère personnel inexactes;
  2° la vérification auprès du Comité permanent R du respect des dispositions du présent sous-titre.

  Art. 174. Les droits visés à l'article 173 s'exercent, sans frais, par l'intermédiaire du Comité permanent R, à l'initiative de la personne concernée justifiant de son identité.
  Le Comité permanent R effectue les vérifications et communique uniquement à l'intéressé qu'il a été procédé aux vérifications nécessaires.
  Les modalités d'exercice de ces droits sont déterminées par la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace.

  Art. 175. Le Comité permanent R et l'UIP tiennent un journal des demandes d'exercice des droits par les personnes concernées.

  Art. 176. Une décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.

  CHAPITRE VI. - Obligations du responsable du traitement

  Section 1re. - Obligations générales

  Art. 177. Le responsable du traitement :
  1° fait toute diligence pour tenir les données à caractère personnel à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance des dispositions du présent sous-titre;
  2° veille à ce que, pour les personnes agissant sous son autorité, l'accès aux données à caractère personnel et les possibilités de traitement soient limités à ce qui est utile à l'exercice de leurs fonctions ou aux besoins du service;
  3° informe les personnes agissant sous son autorité des dispositions du présent sous-titre et de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel.

  Art. 178. Toute personne agissant sous l'autorité du responsable du traitement qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf sur la base d'une obligation imposée par ou en vertu d'une loi.

  Section 2. - Sécurité des données à caractère personnel

  Art. 179. Le responsable du traitement prend les mesures techniques et organisationnelles appropriées requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.
  Ces mesures assurent un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à caractère personnel à protéger et des risques potentiels.

  Art. 180. § 1er. En cas de brèche de sécurité susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement concerné la notifie au Comité permanent R dans les meilleurs délais et si possible, 72 heures après en avoir pris connaissance.
  § 2. La notification visée au paragraphe 1er décrit ou communique, à tout le moins :
  1° la nature de la brèche de sécurité y compris, si possible, le nombre estimé de personnes et d'enregistrements de données à caractère personnel concernés;
  2° le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  3° les conséquences probables de la brèche de sécurité;
  4° les mesures que le responsable du traitement a prises ou propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

  Section 3. - Registre

  Art. 181. § 1er. Le responsable du traitement tient un registre de la banque de données des passagers visée au chapitre 8 de la loi du 25 décembre 2016 d'une part et des banques de données mises à sa disposition d'autre part.
  Ce registre comporte les informations suivantes :
  1° pour la banque de données des passagers précitée :
  a) les coordonnées du responsable du traitement et du délégué à la protection des données;
  b) les finalités du traitement;
  c) les catégories de destinataires auxquels des données à caractère personnel peuvent être communiquées;
  d) dans la mesure du possible, les délais prévus pour l'effacement des données à caractère personnel;
  e) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 179;
  2° pour les banques de données mises à la disposition de l'UIP :
  a) les coordonnées du responsable du traitement et, si possible pour les pays hors de l'Union européenne le service gestionnaire de la banque de données et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données;
  b) les finalités du traitement par l'UIP.
  § 2. Le registre visé au paragraphe 1er se présente sous une forme écrite y compris la forme électronique.
  § 3. Le responsable du traitement met le registre à la disposition du Comité permanent R à sa demande.

  CHAPITRE VII. - Communication et transfert de données à caractère personnel

  Art. 182. Le transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale ne peut avoir lieu que si le pays ou l'organisation en question assure un niveau de protection adéquat et moyennant le respect des autres dispositions du présent sous-titre et des dispositions du chapitre 12 de la loi du 25 décembre 2016.
  Le caractère adéquat du niveau de protection s'apprécie au regard de toutes les circonstances relatives à un transfert de données à caractère personnel ou à une catégorie de transferts de données à caractère personnel. Il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays ou l'organisation en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.
  Le niveau de protection adéquat peut être assuré par des clauses de sécurité entre le responsable du traitement et le destinataire des données à caractère personnel.

  Art. 183. Par dérogation à l'article 182, un transfert de données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale n'assurant pas un niveau de protection adéquat, ne peut être effectué que lorsque :
  1° la personne concernée a indubitablement donné son consentement au transfert envisagé; ou
  2° le transfert est obligatoire dans le cadre des relations internationales; ou
  3° le transfert est nécessaire à la sauvegarde de l'intérêt vital des personnes; ou
  4° le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice.

  CHAPITRE VIII. - Autorité de contrôle

  Art. 184. Les traitements de données à caractère personnel tels que visés dans ce sous-titre sont soumis au contrôle de l'autorité de contrôle visée à l'article 95.

  SOUS-TITRE 6. - Dispositions particulières

  Art. 185. § 1er. Dans la mesure nécessaire à l'exercice de leurs missions, les autorités publiques suivantes traitent des données à caractère personnel de toute nature, en ce compris celles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que les données génétiques et biométriques, les données concernant la santé, celles qui portent sur la vie sexuelle ou l'orientation sexuelle et celles relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes :
  1° la commission administrative chargée de la surveillance des méthodes spécifiques et exceptionnelles de recueil de données des services de renseignement et de sécurité dans le cadre de ses missions visées à la loi du 30 novembre 1998 organique des services de renseignement et de sécurité;
  2° le Comité permanent R dans le cadre de ses missions visées à la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace, à la loi du 30 novembre 1998 organique des services de renseignement et de sécurité, et aux lois particulières;
  3° le Comité permanent P dans le cadre de ses missions visées dans la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace et dans des lois particulières;
  4° l'Organe de contrôle de l'information policière dans le cadre de ses missions visées dans l'article 71, § 1er.
  § 2. Afin de garantir la confidentialité et l'efficacité de l'exécution des missions visées au paragraphe 1er, l'accès par la personne concernée à ses données à caractère personnel est limité à celui qui est prévu dans les lois particulières.
  § 3. La personne concernée a le droit de demander la rectification ou la suppression de ses données à caractère personnel inexactes traitées par les autorités visées au paragraphe 1er.
  § 4. A l'exception de la commission administrative visée au paragraphe 1er, 1°, qui tombe sous la compétence du Comité permanent R, le traitement de données à caractère personnel par les autorités visées au premier paragraphe dans le cadre de leurs missions d'autorité de contrôle n'est pas soumis au contrôle de l'Autorité de protection des données visée dans la loi du 3 décembre 2017 portant création de l'Autorité de protection des données.

  TITRE 4. - Traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visées à l'article 89, §§ 2 et 3, du Règlement

  CHAPITRE Ier. - Dispositions générales

  Art. 186. Le présent titre détermine le régime dérogatoire aux droits des personnes concernées visés à l'article 89, §§ 2 et 3, du Règlement.
  Dans la mesure où l'exercice des droits visés à l'article 89, §§ 2 et 3, du Règlement risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des traitements à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques et où des dérogations sont nécessaires pour atteindre ces finalités, ces dérogations s'appliquent dans les conditions déterminées par le présent titre.

  Art. 187. Les articles 190 à 204 ne s'appliquent pas à condition de respecter un code de conduite approuvé conformément à l'article 40 du Règlement.

  Art. 188. Pour l'application du présent titre, on entend par :
  1° "tiers de confiance" : la personne physique ou morale, l'association de fait ou l'administration publique autre que le responsable du traitement à des fins d'archive ou de recherche ou statistique, qui pseudonymise les données;
  2° "communication des données" : communication des données à des tiers identifiés;
  3° "diffusion des données" : publication des données, sans identification des tiers.

  Art. 189. Le présent titre ne s'applique pas aux traitements effectués par les autorités visés dans le titre 3.

  CHAPITRE II. - Garanties générales

  Art. 190. Le responsable du traitement désigne un délégué à la protection des données lorsque le traitement des données à caractère personnel peut engendrer un risque élevé tel que visé à l'article 35 du Règlement.

  Art. 191. Préalablement à la collecte, et sans préjudice des articles 24 et 30 du Règlement, le responsable du traitement à des fins de recherche scientifique ou historique ou à des fins statistiques inclut dans le registre des activités de traitement les éléments suivants :
  1° la justification de l'utilisation des données pseudonymisées ou non;
  2° les motifs pour lesquels l'exercice des droits de la personne concernée risque de rendre impossible ou d'entraver sérieusement la réalisation de la finalité;
  3° le cas échéant, l'analyse d'impact relatif à la protection des données lorsque le responsable du traitement à des fins de recherche scientifique ou historique ou à des fins statistiques traite des données sensibles, au sens de l'article 9.1 du Règlement.

  Art. 192. Préalablement à la collecte, et sans préjudice des articles 24 et 30 du Règlement, le responsable du traitement à des fins archivistiques dans l'intérêt public inclut dans le registre des activités de traitement les éléments suivants :
  1° la justification de l'intérêt public des archives conservées;
  2° les motifs pour lesquels l'exercice des droits de la personne concernée risque de rendre impossible ou d'entraver sérieusement la réalisation des finalités.

  CHAPITRE III. - Collecte de données

  Section 1re. - Collecte de données auprès de la personne concernée

  Art. 193. Sans préjudice de l'article 13 du Règlement, le responsable du traitement qui collecte des données à caractère personnel auprès de la personne concernée, informe celle-ci :
  1° du fait que les données seront anonymisées ou non;
  2° des motifs pour lesquels l'exercice des droits de la personne concernée risque de rendre impossible ou d'entraver sérieusement la réalisation des finalités.

  Section 2. - Traitement ultérieur de données

  Art. 194. Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement conclut une convention avec le responsable du traitement initial.
  L'alinéa 1er ne s'applique pas lorsque :
  1° le traitement se rapporte à des données rendues publiques;
  2° le droit de l'Union européenne, une loi, un décret ou une ordonnance :
  a) donne pour mandat au responsable du traitement de traiter des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques; et
  b) interdit la réutilisation des données collectées à d'autres fins.
  En cas d'exemption de la conclusion d'une convention, le responsable du traitement informe le responsable du traitement initial de la collecte de données.

  Art. 195. La convention ou l'information visée à l'article 194 stipule les éléments suivants :
  1° en cas de convention, les coordonnées du responsable du traitement initial et du responsable du traitement ultérieur;
  2° les motifs pour lesquels l'exercice des droits de la personne concernée risque de rendre impossible ou d'entraver sérieusement la réalisation de la finalité du traitement ultérieur.

  Art. 196. La convention ou l'information sur la collecte de données sont annexés au registre des activités de traitement.

  Art. 197. Le responsable du traitement à des fins de recherche ou statistiques utilise des données anonymes.
  Lorsqu'un traitement de données anonymes ne permet pas d'atteindre la finalité de la recherche ou statistique, le responsable du traitement utilise des données pseudonymisées.
  Lorsqu'un traitement de données pseudonymisées ne permet pas d'atteindre la finalité de recherche ou statistique, le responsable du traitement utilise des données non-pseudonymisées.

  Section 3. - Anonymisation ou pseudonymisation des données traitées à des fins de recherche scientifique ou historique ou à des fins statistiques

  Art. 198. Lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques fondé sur une collecte de données auprès de la personne concernée, le responsable du traitement anonymise ou pseudonymise les données après leur collecte.

  Art. 199. Lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques par un responsable du traitement ultérieur identique au responsable du traitement initial, le responsable du traitement anonymise ou pseudonymise les données préalablement à leur traitement ultérieur.

  Art. 200. Le responsable du traitement ne peut dépseudonymiser les données que pour les nécessités de la recherche ou des fins statistiques et, le cas échéant, après avis du délégué à la protection des données.

  Art. 201. Sans préjudice de dispositions particulières, lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques par un responsable du traitement distinct du responsable du traitement initial, le responsable du traitement initial anonymise ou pseudonymise les données préalablement à leur communication au responsable du traitement ultérieur.
  Le responsable du traitement ultérieur n'a pas accès aux clés de la pseudonymisation.

  Art. 202. § 1er. Sans préjudice de dispositions particulières, lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques couplant plusieurs traitement initiaux, les responsables des traitements initiaux font, préalablement à la communication des données au responsable du traitement ultérieur, anonymiser ou pseudonymiser les données par l'un des responsables du traitement initial ou par un tiers de confiance.
  § 2. Sans préjudice de dispositions particulières, lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques couplant plusieurs traitements initiaux dont l'un au moins de données sensibles, les responsables des traitements initiaux font, préalablement à la communication des données au responsable du traitement ultérieur, anonymiser ou pseudonymiser les données par le responsable du traitement initial de données sensibles ou par un tiers de confiance.
  Seul le responsable du traitement initial qui a pseudonymisé les données ou le tiers de confiance a accès aux clés de pseudonymisation.

  Art. 203. Le tiers de confiance est :
  1° soumis au secret professionnel au sens de l'article 458 du Code pénal sous réserve d'autres dispositions de la présente loi et du Règlement;
  2° indépendant du responsable du traitement initial et du traitement ultérieur.

  Art. 204. Lorsqu'un délégué à la protection des données a été désigné conformément à l'article 190, celui-ci donne des conseils sur l'utilisation des différentes méthodes de pseudonymisation et d'anonymisation, en particulier leur efficacité en matière de protection des données.

  Section 4. - Diffusion des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

  Art. 205. Sans préjudice du droit de l'Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes de diffusion pour la diffusion des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques le responsable du traitement ne diffuse pas les données non-pseudonymisées sauf lorsque :
  1° la personne concernée a donné son consentement; ou
  2° les données ont été rendues publiques par la personne concernée elle-même; ou
  3° les données ont une relation étroite avec le caractère public ou historique de la personne concernée; ou
  4° les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne concernée a été impliquée.

  Art. 206. Sans préjudice du droit de l'Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes pour la diffusion des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, le responsable du traitement peut diffuser des données pseudonymisées, à l'exception des données à caractère personnel visées à l'article 9.1 du Règlement.

  Section 5. - Communication des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

  Art. 207. Sans préjudice du droit de l'Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes pour la communication, le responsable de traitement qui communique des données non pseudonymisées à un tiers identifié pour les finalités visées à l'article 89 du Règlement, veille à ce que le tiers identifié ne puisse pas reproduire les données communiquées, sauf de manière manuscrite, lorsque :
  1° il s'agit de données à caractère personnel visées aux articles 9.1 et 10 du Règlement; ou
  2° la convention entre le responsable du traitement initial et le responsable du traitement ultérieur l'interdit; ou
  3° cette reproduction risque de nuire à la sécurité de la personne concernée.

  Art. 208. L'obligation visée à l'article 207 n'est pas applicable si :
  1° la personne concernée a donné son consentement; ou
  2° les données ont été rendues publiques par la personne concernée elle-même; ou
  3° les données ont une relation étroite avec le caractère public ou historique de la personne concernée; ou
  4° les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne concernée a été impliquée.

  TITRE 5. - Voies de recours et représentation des personnes concernées

  CHAPITRE Ier. - Action en cessation

  Art. 209. Sans préjudice de tout autre recours juridictionnel, administratif ou extrajudiciaire, le président du tribunal de première instance, siégeant comme en référé, constate l'existence d'un traitement constituant une violation aux dispositions légales ou réglementaires concernant la protection des personnes physiques à l'égard du traitement de leur données à caractère personnel et en ordonne la cessation.
  Le président du tribunal de première instance, siégeant comme en référé, connaît de toute demande relative au droit accordé par ou en vertu de la loi, d'obtenir communication de données à caractère personnel, et de toute demande tendant à faire rectifier, supprimer ou interdire d'utiliser toute donnée à caractère personnel inexacte ou, compte tenu du but du traitement, incomplète ou non pertinente, ou dont l'enregistrement, la communication ou la conservation sont interdits, au traitement de laquelle la personne concernée s'est opposée ou qui a été conservée au-delà de la période autorisée.

  Art. 210. A partir du moment où le traitement visé par l'article 209 concerne des données à caractère personnel traitées lors d'une information, d'une instruction, d'une procédure pénale devant le juge de fond ou d'une procédure d'exécution d'une peine pénale, la décision concernant la rectification, l'effacement ou l'interdiction d'utiliser les données à caractère personnel, ou la limitation du traitement, appartient toutefois exclusivement, suivant la phase de la procédure, au ministère public ou au juge pénal compétent.

  Art. 211. § 1er. L'action en cessation est introduite par requête contradictoire conformément aux articles 1034ter à 1034sexies du Code judiciaire.
  § 2. Par dérogation à l'article 624 du même Code, l'action peut être portée, au choix du demandeur, devant le président du tribunal de première instance :
  1° du domicile ou de la résidence du demandeur, si le demandeur, ou au moins un des demandeurs, est la personne concernée;
  2° du domicile ou de la résidence, du siège social ou du lieu d'établissement du défendeur ou d'un des défendeurs;
  3° du lieu ou d'un des lieux où une partie ou la totalité du traitement est accompli.
  Lorsque le défendeur n'a ni domicile, ni résidence, ni siège social ou lieu d'établissement en Belgique, l'action peut être portée devant le président du tribunal de première instance de Bruxelles.
  § 3. L'action fondée sur l'article 209 est formée à la demande :
  1° de la personne concernée;
  2° de l'autorité de contrôle compétente.

  Art. 212. Sous réserve de l'application de dispositions contraires dans les traités internationaux en vigueur en Belgique ou dans le droit de l'Union européenne, et sans préjudice de leur compétence internationale en vertu des dispositions du Code de droit international privé, les cours et tribunaux belges ont la compétence internationale pour les affaires portées en vertu de l'article 209 de la présente loi contre :
  1° un responsable du traitement ou un sous-traitant situé sur le territoire belge ou ayant un établissement, en ce qui concerne le traitement de données à caractère personnel dans le cadre des activités de cet établissement, quel que soit le lieu du traitement;
  2° un responsable du traitement ou un sous-traitant qui n'est pas établi ou n'a pas un établissement sur le territoire belge, en ce qui concerne un traitement ayant des conséquences pour ou visant en tout ou en partie des personnes concernées résidant sur le territoire belge.

  Art. 213. L'ordonnance est notifiée à l'autorité de contrôle compétente dans les huit jours de la prononciation.
  En outre, le greffier de la juridiction devant laquelle un recours est introduit contre l'ordonnance visée à l'alinéa 1er en informe sans délai l'autorité de contrôle compétente.

  Art. 214. Le président du tribunal de première instance peut accorder un délai pour mettre fin à la violation, lorsque la nature de la violation le nécessite. Il peut accorder la levée de la cessation lorsqu'il a été mis fin à la violation.

  Art. 215. Le président du tribunal de première instance peut autoriser l'affichage de sa décision ou du résumé qu'il en rédige, pendant le délai qu'il détermine, aussi bien à l'extérieur qu'à l'intérieur des établissements concernés et ordonner, selon la manière qu'il jugera appropriée, la publication de son ordonnance ou de son résumé par la voie de journaux ou de toute autre manière, le tout aux frais de la partie qui succombe.
  Les mesures de publicité mentionnées à l'alinéa 1er ne peuvent toutefois être autorisées que si elles sont de nature à contribuer à la cessation de l'acte incriminé ou de ses effets.

  Art. 216. A la suite de l'action visée à l'article 209, le demandeur peut réclamer la réparation de son dommage conformément à la responsabilité contractuelle ou extracontractuelle.

  Art. 217. Lorsque des données à caractère personnel inexactes, incomplètes ou non pertinentes, ou des données à caractère personnel dont la conservation est interdite, ont été communiquées à des tiers, ou lorsque une communication de données à caractère personnel a eu lieu après l'expiration de la période durant laquelle la conservation de ces données était autorisée, le président du tribunal de première instance peut ordonner au responsable du traitement, au sous-traitant, au destinataire ou leur délégué d'informer ces tiers de la limitation du traitement, de la rectification ou de la suppression de ces données à caractère personnel.

  Art. 218. Lorsqu'il existe des motifs sérieux de craindre la dissimulation, la disparition ou l'inaccessibilité des éléments de preuve qui peuvent être invoqués à l'appui d'une action prévue au présent chapitre, le président du tribunal de première instance, saisi par voie de requête unilatérale ordonne toute mesure de nature à éviter cette dissimulation, disparition ou inaccessibilité.

  Art. 219. Sans préjudice de l'article 210, les dispositions du présent chapitre ne limitent pas la compétence du tribunal de première instance et du président du tribunal de première instance siégeant en référé.

  CHAPITRE II. - Représentation des personnes concernées

  Art. 220. § 1er. La personne concernée a le droit de mandater un organe, une organisation ou une association à but non lucratif, pour qu'il introduise une réclamation en son nom et exerce en son nom les recours administratifs ou juridictionnels soit auprès de l'autorité de contrôle compétente soit auprès de l'ordre judiciaire tels que prévus par les lois particulières, le Code judiciaire et le Code d'Instruction criminelle.
  § 2. Dans les litiges prévus au paragraphe 1er, un organe, une organisation ou une association sans but lucratif doit :
  1° être valablement constituée conformément au droit belge;
  2° avoir la personnalité juridique;
  3° avoir des objectifs statutaires d'intérêt public;
  4° être actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel depuis au moins trois ans.
  § 3. L'organe, l'organisation ou l'association sans but lucratif fournit la preuve, par la présentation de ses rapports d'activités ou de toute autre pièce, que son activité est effective depuis au moins trois ans, qu'elle correspond à son objet social et que cette activité est en relation avec la protection de données à caractère personnel.

  TITRE 6. - Sanctions

  CHAPITRE Ier. - Sanctions administratives

  Art. 221. § 1er. Les compétences correctrices de l'autorité de contrôle en vertu de l'article 58.2 du Règlement s'appliquent également aux articles 7 à 10, 20 à 24, 28 à 70 et au titre 4 de la présente loi.
  Sans préjudice de dispositions particulières, l'alinéa 1er ne s'applique pas aux traitements effectués par les autorités visées à l'article 26, 7°, b), dans l'exercice de leur fonction juridictionnelle.
  § 2. L'article 83 du Règlement ne s'applique pas aux autorités publiques et leurs préposés ou mandataires sauf s'il s'agit de personnes morales de droit public qui offrent des biens ou des services sur un marché.

  CHAPITRE II. - Sanctions pénales

  Art. 222. Le responsable du traitement ou le sous-traitant, son préposé ou mandataire, l'autorité compétente, visés aux titres 1er et 2, est puni d'une amende de deux cent cinquante euros à quinze mille euros lorsque :
  1° les données à caractère personnel sont traitées sans base juridique conformément à l'article 6 du Règlement et aux articles 29, § 1er, et 33, § 1er, de la présente loi, y compris les conditions relatives au consentement et au traitement ultérieur;
  2° les données à caractère personnel sont traitées en violation des conditions imposées par l'article 5 du Règlement et par l'article 28 de la présente loi par négligence grave ou avec intention malveillante;
  3° le traitement ayant fait l'objet d'une objection conformément à l'article 21.1 du Règlement est maintenu sans raisons juridiques impérieuses;
  4° le transfert de données à caractère personnel à un destinataire dans un pays tiers ou à une organisation internationale est effectué en violation des garanties, conditions ou exceptions prévues dans les articles 44 à 49 du Règlement ou des articles 66 à 70 de la présente loi par négligence grave ou avec intention malveillante;
  5° la mesure correctrice adoptée par l'autorité de contrôle visant la limitation temporaire ou définitive des flux conformément à l'article 58.2.f) du Règlement n'est pas respectée;
  6° la mesure correctrice adoptée par l'autorité de contrôle au sens de l'article 58.2.d) du Règlement n'est pas respectée;
  7° il a été fait obstacle aux missions légales de vérification et de contrôle de l'autorité de contrôle compétente, de ses membres ou de ses experts;
  8° de la rébellion, dans le sens de l'article 269 du Code pénal, a été commise à l'encontre des membres de l'autorité de contrôle;
  9° la certification visée à l'article 42 du Règlement est revendiquée ou des sceaux de certification en matière de protection des données sont utilisées publiquement alors que ces certifications, labels ou marques n'ont pas été délivrés par une entité accréditée ou ceux-ci sont utilisés après que la validité de la certification, du sceau ou de la marque a expiré;
  10° la certification visée à l'article 42 du Règlement a été obtenue sur la base de faux documents ou de documents erronés;
  11° des tâches sont exécutées en tant qu'organisme de certification alors que celui-ci n'a pas été accrédité par l'organisme national d'accréditation compétent;
  12° l'organisme de certification ne se conforme pas aux principes et aux tâches auxquels il est soumis tels que prévus aux articles 42 et 43 du Règlement;
  13° les tâches de l'organisme visée à l'article 41 du Règlement sont exécutées sans agrément par l'autorité de contrôle compétente;
  14° l'organisme agréé visé à l'article 41 du Règlement n'a pas pris les mesures appropriées en cas de violation du code de conduite tel que visé à l'article 41.4 du Règlement.

  Art. 223. Est puni d'une amende de cinq cents euros à trente mille euros, le responsable du traitement visé au titre 1er, le sous-traitant ou la personne agissant sous leur autorité qui :
  1° a, de sa propre négligence, pour autant qu'elle soit grave, ou avec une intention malveillante, informé la personne concernée de l'existence d'une donnée à caractère personnel la concernant émanant d'une autorité visée au titre 3 en violation de l'article 11, alors qu'il connaissait l'origine de la donnée et qu'il ne se trouvait pas dans un des cas visés à l'article 11, § 2, alinéa 1er, 1° ou 2° ;
  2° a, de sa propre négligence, pour autant qu'elle soit grave, ou avec une intention malveillante, informé la personne concernée qu'une autorité visée au titre 3 est destinataire d'une de ses données à caractère personnel en violation de l'article 12.

  Art. 224. Est puni d'une amende de deux cents euros à dix mille euros, tout membre ou tout membre du personnel de l'autorité de contrôle compétente ou tout expert qui a violé l'obligation de confidentialité à laquelle il est astreint.

  Art. 225. En condamnant du chef d'infraction aux articles 222 ou 223, le tribunal peut ordonner l'insertion du jugement, intégralement ou par extraits, dans un ou plusieurs journaux, dans les conditions qu'il détermine, aux frais du condamné.

  Art. 226. Est puni d'une amende de cent euros à dix mille euros, le responsable du traitement ou la personne agissant sous l'autorité d'une autorité visée au titre 3 ou de son sous-traitant qui, de sa propre négligence, pour autant qu'elle soit grave, ou avec une intention malveillante, n'a pas respecté une des obligations de confidentialité et de sécurité visées aux articles 83 à 86, 116 à 119, 149 à 152, 177 et 178.

  Art. 227. Est puni d'une amende de cent euros à vingt mille euros :
  1° le responsable du traitement, le sous-traitant, la personne agissant sous l'autorité de l'autorité visée au titre 3 ou du sous-traitant ou le mandataire qui, de sa propre négligence, pour autant qu'elle soit grave, ou avec une intention malveillante, qui traite des données à caractère personnel en dehors des cas prévus aux articles 74, 108, 140 et 170;
  2° le responsable du traitement, le sous-traitant ou le mandataire qui traite des données à caractère personnel en infraction aux conditions du traitement imposées par les articles 75, 109, 141 et 170 et la personne agissant sous l'autorité d'une autorité visée au titre 3 ou du sous-traitant qui, de sa propre négligence, pour autant qu'elle soit grave, ou avec une intention malveillante, traite des données à caractère personnel en infraction aux conditions imposées par les articles 75, 109, 141 et 170;
  3° quiconque qui, pour contraindre une personne à lui donner son autorisation au traitement de données à caractère personnel la concernant, a usé à son égard de voies de fait, de violence ou menaces, de dons ou de promesses;
  4° quiconque a transféré, fait ou laissé transférer, de sa propre négligence, pour autant qu'elle soit grave, ou avec une intention malveillante, des données à caractère personnel vers un pays non membre de l'Union européenne ou à une organisation internationale sans qu'il ait été satisfait aux exigences prévues aux articles 93, 94, 126, 127, 159, 160, 182 et 183;
  5° toute personne qui, de sa propre négligence, pour autant qu'elle soit grave, ou avec une intention malveillante, a accès à des données à caractère personnel visées aux articles 99, 132 et 162 à des fins historiques, scientifiques ou statistiques, et qui traite ces données en violation des articles 102, 104, 135, 137, 165 ou 167.

  Art. 228. Sans préjudice de dispositions particulières, le responsable du traitement, le sous-traitant, ou son représentant en Belgique est civilement responsable du paiement des amendes auxquelles son préposé ou mandataire a été condamné.

  Art. 229. § 1er. En ce qui concerne les infractions visées aux articles 222 et 223, l'autorité de contrôle compétente et le Collège des procureurs généraux peuvent conclure un protocole régissant les accords de travail entre l'autorité de contrôle et le ministère public dans des dossiers portant sur des faits pour lesquels la législation prévoit aussi bien la possibilité d'une amende administrative que la possibilité d'une sanction pénale.
  Le Roi fixe les modalités et le modèle de ce protocole par arrêté délibéré en Conseil des ministres.
  Ce protocole respecte l'ensemble des dispositions légales concernant notamment les procédures prévues pour les contrevenants et ne peut déroger aux droits des contrevenants.
  Le protocole est publié au Moniteur belge et sur le site internet de l'autorité de contrôle compétente.
  § 2. A défaut de protocole et pour les infractions visées aux articles 222 et 223 le procureur du Roi dispose d'un délai de deux mois, à compter du jour de la réception de l'original du procès-verbal, pour communiquer à l'autorité de contrôle compétente qu'une information ou une instruction a été ouverte ou que des poursuites ont été entamées. Cette communication éteint la possibilité pour l'autorité de contrôle d'exercer ses compétences correctrices.
  L'autorité de contrôle compétente ne peut infliger une sanction avant l'échéance de ce délai. A défaut de communication de la part du Procureur du Roi dans les deux mois, les faits ne peuvent être sanctionnés que de manière administrative.

  Art. 230. Toutes les dispositions du livre 1er du Code pénal, y compris le chapitre VII et l'article 85, s'appliquent aux infractions prévues par la présente loi ou par les arrêtés pris pour son exécution.

  TITRE 7. - Organe de contrôle de l'information policière

  CHAPITRE Ier. - Composition et statut des membres et du service d'enquête

  Art. 231. § 1er. L'Organe de contrôle de l'information policière, ci-après dénommé "Organe de contrôle", se compose de trois membres effectifs dont un président, lesquels exercent leurs fonctions à temps plein. Outre le président qui est un magistrat, l'Autorité de contrôle se compose d'un magistrat du ministère public, et d'un expert.
  Un des membres qui est fonctionnellement bilingue exclu, l'organe de contrôle comprend autant de membres d'expression française que de membres d'expression néerlandaise. Les membres ont une connaissance fonctionnelle de la deuxième langue nationale et de l'anglais. Au moins un membre possède aussi une connaissance fonctionnelle de l'allemand. Tous sont nommés par la Chambre des représentants qui peut les démettre de leurs fonctions si les conditions prévues à l'article 232 ne sont plus rencontrées ou pour motifs graves. Ils ne peuvent être relevés de leurs fonctions en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent pour remplir leurs missions.
  § 2. Les membres de L'Organe de contrôle sont nommés, sur la base de leur compétence, de leur expérience, de leur indépendance et de leur autorité morale par la Chambre des représentants pour un terme de six ans renouvelable une fois.
  Ce délai prend cours à partir de la prestation de serment. A l'issue de ce terme, les membres continuent à exercer leurs fonctions jusqu'à la prestation de serment de leur successeur.
  Les membres ne peuvent occuper aucun mandat public conféré par élection. Ils ne peuvent exercer d'emploi ou d'activité public ou privé qui pourrait mettre en péril l'indépendance ou la dignité de la fonction ou qui est incompatible avec leur fonction.
  § 3. Avant d'entrer en fonction, les membres de l'Organe de contrôle prêtent, entre les mains du président de la Chambre des représentants, le serment prescrit par l'article 2 du décret du 20 juillet 1831.
  § 4. L'Organe de contrôle est, en outre, composé d'un service enquête ci-après dénommé "service d'enquête", lequel est composé de trois membres effectifs lesquels exercent leurs fonctions à temps plein, dont deux membres des services de police au sens de l'article 2, 2°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux, et d'un expert.
  Le service d'enquête relève de l'autorité exclusive de l'Organe de contrôle. L'Organe de contrôle exerce son autorité sur le service d'enquête, lui confie des missions et reçoit des rapports sur toutes les missions qui sont effectuées.
  § 5. Les membres du service d'enquête de l'Organe de contrôle sont nommés par l'Organe de contrôle, lequel peut également les démettre de leurs fonctions si les conditions déterminées à l'article 232 ne sont plus rencontrées ou pour motifs graves. Les membres du service d'enquête de l'Organe de contrôle sont nommés, sur la base de leurs compétences, pour un mandat renouvelable de six ans.
  § 6. Avant d'entrer en fonction, les membres du service d'enquête prêtent, entre les mains du président de l'Organe de contrôle, le serment prescrit par l'article 2 du décret du 20 juillet 1831.

  Art. 232. § 1er. Au moment de leur nomination, les membres de l'Organe de contrôle remplissent les conditions suivantes :
  1° être belge;
  2° jouir des droits civils et politiques;
  3° être de conduite irréprochable;
  4° justifier d'une expertise en matière de protection des données à caractère personnel et en matière de gestion de l'information policière;
  5° être titulaire d'une habilitation de sécurité du niveau "très secret" octroyée conformément à la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité;
  6° ne pas exercer une fonction dans une cellule stratégique ministérielle fédérale ou régionale.
  § 2. Au moment de leur nomination, le président et le magistrat du ministère public justifient d'une expérience pertinente ou d'une expertise d'au moins dix ans en tant qu'expert en matière de protection des données à caractère personnel et de gestion de l'information policière.
  § 3. Au moment de sa nomination, l'expert de l'Organe de contrôle remplit les conditions spécifiques suivantes :
  1° justifier d'une expérience de dix ans en tant qu'expert en matière de protection des données à caractère personnel et de gestion de l'information policière;
  2° être titulaire d'un diplôme de licencié ou de master en droit donnant accès aux emplois de niveau A dans les administrations de l'Etat.
  § 4. En cas de vacance d'un mandat de membre de l'Organe de contrôle, et ce, quelle qu'en soit la cause, il est procédé à son remplacement pour la durée du mandat restant à courir.
  § 5. Au moment de leur nomination, les membres du service d'enquête remplissent les conditions suivantes :
  1° être belge;
  2° jouir des droits civils et politiques;
  3° être de conduite irréprochable;
  4° justifier d'une expertise en matière de protection des données à caractère personnel et en matière de gestion de l'information policière;
  5° être titulaire d'une habilitation de sécurité du niveau "très secret" octroyée conformément à la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité;
  6° ne pas exercer une fonction dans une cellule stratégique ministérielle fédérale ou régionale.
  § 6. Au moment de leur nomination, les membres du personnel des services de police, qui sont membres du service d'enquête, remplissent les conditions spécifiques suivantes :
  1° compter au moins dix ans d'ancienneté de service et être au moins revêtu du grade de commissaire de police ou de niveau A lorsqu'il s'agit d'un membre du personnel du cadre administratif et logistique;
  2° ne pas avoir fait l'objet d'une évaluation finale qualifiée "insuffisante" au cours des cinq années qui ont précédé l'introduction de la candidature, ni avoir encouru une sanction disciplinaire lourde non effacée;
  3° justifier d'une expérience d'au moins deux ans en matière de traitement de l'information policière ou de protection des données à caractère personnel.
  § 7. Au moment de leur nomination, les experts membres du service d'enquête remplissent les conditions spécifiques suivantes :
  1° justifier d'une expérience de cinq ans en tant qu'expert en matière de protection des données à caractère personnel et de gestion de l'information policière;
  2° être titulaire d'un diplôme de licencié ou master donnant accès aux emplois de niveau A dans les administrations de l'Etat.

  Art. 233. § 1er. L'Organe de contrôle élabore son règlement d'ordre intérieur et peut définir sa propre organisation. Le règlement d'ordre intérieur est soumis à l'approbation de la Chambre des représentants.
  Le président assure, dans le respect de la collégialité, la direction des réunions de L'Organe de contrôle et la gestion journalière des activités. Il veille au bon fonctionnement de l'Organe de contrôle, à la bonne exécution de ses missions ainsi qu'à l'application du règlement d'ordre intérieur. Le règlement d'ordre intérieur précité détermine quel membre assume les missions du président en cas d'absence ou d'empêchement de ce dernier.
  § 2. Les membres de l'Organe de contrôle ne reçoivent ni cherchent dans les limites de leurs attributions, de façon directe ou indirecte, d'instructions de personne. Il leur est interdit d'être présents lors d'une délibération ou décision sur les dossiers pour lesquels ils ont un intérêt personnel ou direct ou pour lesquels leurs parents ou alliés jusqu'au quatrième degré ont un intérêt personnel ou direct.
  § 3. Les membres de l'Organe de contrôle et les membres de son personnel n'encourent aucune responsabilité civile en raison de leurs décisions, actes ou comportements dans l'exercice des missions légales de l'autorité de contrôle sauf en cas de dol ou de faute lourde.
  § 4. Les membres de l'Organe de contrôle sont tenus, durant et après l'exercice de leur mandat et contrat respectifs, de garder le secret à égard des faits, actes ou renseignements dont ils ont eu connaissance en raison de leurs fonctions. Toute violation du secret professionnel est punie conformément à l'article 458 du Code pénal.

  Art. 234. § 1er. Les membres de l'Organe de contrôle jouissent d'un statut identique à celui des conseillers de la Cour des comptes. Les règles régissant le statut pécuniaire des conseillers de la Cour des comptes, contenues dans la loi du 21 mars 1964 relative aux traitements des membres de la Cour des comptes, telle qu'elle a été modifiée par les lois des 14 mars 1975 et 5 août 1992, s'appliquent aux membres de l'Organe de contrôle. Leur ancienneté pécuniaire déjà acquise est prise en considération et ils ont également droit aux augmentations intercalaires dans ce barème.
  Les membres du service d'enquête bénéficient d'un traitement tel que défini dans le barème A3 du statut des agents de l'Autorité de protection des données crée par la loi du 3 décembre 2017 portant la création de l'Autorité de protection des données. Leur ancienneté pécuniaire déjà acquise est prise en considération et ils ont également droit aux augmentations intercalaires dans ce barème. Tous les avantages pécuniaires du statut des agents de l'Autorité de protection des données s'appliquent à eux.
  Les membres de l'Organe de contrôle et les membres du service d'enquête bénéficient du régime de pension applicable aux fonctionnaires de l'administration générale. Ces pensions sont à charge du Trésor public. Le mandat des membres de l'Organe de contrôle et du service enquête sont assimilés, en matière de pensions, à une nomination à titre définitif.
  § 2. Les membres du service d'enquête qui sont membres des services de police peuvent, après la fin de leur mandat auprès de l'autorité de contrôle, réintégrer leur corps de police d'origine, dans le statut qu'ils avaient au moment de leur nomination à l'Organe de contrôle. Ils conservent pendant leur mandat, dans le service ou dans l'administration dont ils sont originaires, leurs droits à la promotion et aux augmentations de traitement. Le membre du personnel des services de police, membre du service d'enquête, candidat pour une fonction au sein des services de police et reconnu apte pour celle-ci, bénéficie de la priorité sur tous les autres candidats pour ce qui concerne l'attribution de cette fonction, même si ces derniers disposent d'une priorité accordée en vertu de la loi. Cette priorité vaut pendant la dernière année des six années prestées au sein de l'Organe de contrôle.
  Une période de priorité de deux années est accordée sous les mêmes conditions à partir du début de la dixième année au service de l'Organe de contrôle.
  § 3. Un congé pour mission d'intérêt général est octroyé au membre de l'Organe de contrôle qui est magistrat de l'ordre judiciaire, fonctionnaire de la fonction publique ou membre des services de police pour la durée de leur mandat. Ils conservent, pendant leur mandat à l'Organe de contrôle ou le service d'enquête, dans le service ou dans l'administration dont ils sont originaires, leurs droits à la promotion et aux augmentations de traitement.

  Art. 235. § 1er. L'Organe de contrôle dispose d'un secrétariat composé d'un assistant de direction, d'un juriste et d'un informaticien. Ces membres du personnel jouissent du traitement suivant, prévu dans le statut des fonctionnaires de la fonction publique fédérale, soit :
  - Assistant de direction : barème A1
  - Juriste : barème A3
  - Informaticien : barème A3
  Ils sont recrutés par l'Organe de contrôle qui peut se faire assister par un expert en ressources humaines.
  § 2. Le secrétariat et les membres de son personnel sont placés sous l'autorité des membres de l'Organe de contrôle et sont au quotidien sous la direction du président de l'Organe de contrôle.

  CHAPITRE II. - Les missions

  Art. 236. § 1er. L'Organe de contrôle est chargé des missions prévues à l'article 71, § 1er, alinéa 3, 1° à 3°.
  § 2. L'Organe de contrôle émet soit d'initiative soit sur demande du gouvernement ou de la Chambre des représentants, d'une autorité administrative ou judiciaire ou d'un service de police, des avis sur toute question relative à la gestion de l'information policière, comme prévu entre autres dans la section 12 du chapitre 4 de la loi du 5 août 1992, sur la fonction de police.
  L'Organe de contrôle émet ses avis dans les soixante jours après la communication de toutes les données nécessaires à cet effet à l'autorité de contrôle. Les avis de l'Organe de contrôle sont motivés. L'Organe de contrôle communique son avis à l'autorité concernée.
  Dans les cas où l'avis de l'Organe de contrôle est requis en vertu d'une disposition de la présente loi, le délai visé à l'alinéa 2 est réduit à quinze jours minimum dans des cas d'urgence spécialement motivés.
  § 3. Dans le cadre de la mission prévue à l'article 71, § 1er, alinéa 3, 3°, l'Organe de contrôle est en particulier chargé du respect de la communication des informations et données à caractère personnel des banques de données policières, de l'accès direct à la Banque de données nationale générale et aux banques de données techniques et de leur consultation directe, et également du respect de l'obligation visée à l'article 44/7, alinéa 3, de la loi du 5 août 1992 sur la fonction police, pour tous les membres de services de police, d'alimenter cette banque de données.

  Art. 237. L'Organe de contrôle agit d'initiative, à la demande de l'Autorité de protection des données visée à l'article 2, 1°, de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, des autorités judiciaires ou administratives, du ministre de la Justice ou du ministre de l'Intérieur, du ministre compétent pour la protection de la vie privée ou de la Chambre des représentants.
  Lorsque l'Organe de contrôle agit d'initiative, il en informe immédiatement la Chambre des représentants.
  Lorsque le contrôle a eu lieu au sein d'un corps de la police locale, l'Organe de contrôle en informe le bourgmestre ou le collège de police et lui adresse son rapport.
  Lorsque le contrôle concerne des informations et des données à caractère personnel concernant l'exécution des missions de police judiciaire, le rapport y relatif qui est établi par l'Organe de contrôle est également transmis au magistrat du ministère public compétent.

  Art. 238. L'Organe de contrôle fait rapport à la Chambre des représentants dans les cas suivants :
  1° annuellement, par un rapport général d'activités qui comprend, le cas échéant, des conclusions et des propositions d'ordre général et qui couvre la période allant du 1er janvier au 31 décembre de l'année précédente. Ce rapport est transmis au plus tard le 1er juin au président de la Chambre des représentants ainsi qu'aux ministres compétents visés à l'article 237, alinéa 1er;
  2° chaque fois qu'il l'estime utile ou à la demande de la Chambre des représentants, par un rapport d'activités intermédiaire relatif à un dossier d'enquête déterminé, lequel peut comprendre, le cas échéant, des conclusions et des propositions d'ordre général. Ce rapport est transmis au président de la Chambre des représentants ainsi qu'aux ministres compétents visés à l'article 237, alinéa premier;
  3° lorsque la Chambre des représentants lui a confié une mission;
  4° lorsqu'au terme d'un délai qu'il estime raisonnable, il constate qu'aucune suite n'a été réservée à ses conclusions, ou que les mesures prises sont inappropriées ou insuffisantes. Ce délai ne peut être inférieur à soixante jours.

  Art. 239. § 1er. L'Organe de contrôle veille, au moyen d'enquêtes de fonctionnement, à ce que le contenu de la Banque de données nationale générale, les banques de données de base, les banques de données particulières et les banques de données techniques, ainsi que la procédure de traitement des données et informations qui y sont conservées, soient conformes à ce qui est prescrit par les articles 44/1 à 44/11/13 de la loi du 5 août 1992 sur la fonction de police et à leurs mesures d'exécution.
  § 2. L'Organe de contrôle vérifie en particulier la régularité des traitements suivants au sein de la Banque de données nationale générale, les banques de données de base, les banques de données particulières et les banques de données techniques :
  1° l'évaluation des données et informations;
  2° l'enregistrement des données et informations collectées;
  3° la validation des données et informations par les organes compétents à cet effet;
  4° la saisie des données et informations enregistrées en fonction du caractère concret ou de la fiabilité de celles-ci;
  5° l'effacement et l'archivage des données et informations à l'échéance de leur délai de conservation.
  § 3. L'Organe de contrôle vérifie en particulier le caractère effectif des fonctionnalités et opérations de traitement suivantes, prescrites par les autorités de police compétentes :
  1° les relations entre les catégories de données et informations enregistrées au moment de leur saisie;
  2° la réception des données et informations par les autorités et services légalement habilités à les consulter;
  3° la communication des données et informations vers les autorités et services légalement habilités;
  4° la connexion avec d'autres systèmes de traitement de l'information;
  5° les règles particulières de saisie des données et informations en fonction de leur caractères adéquat, pertinent et non excessif et de la fiabilité concrète de celles-ci.

  Art. 240. L'Organe de contrôle :
  1° favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement des données à caractère personnel effectués par les services prévus à l'article 26, 7°, a), d), et f);
  2° encourage la sensibilisation des responsables du traitement et des sous-traitants aux obligations légales à l'égard des traitements de données à caractère personnel;
  3° fournit, sur demande, à toute personne concernée, des informations sur l'exercice de ses droits découlant la présente loi, et, le cas échéant, coopère à cette fin avec les autorités de contrôle d'autres Etats membres. La demande d'une autre autorité de contrôle reçoit réponse le plus vite possible et en tout cas dans les trente jours après la réception de la demande;
  4° traite des réclamations, enquête sur l'objet de la réclamation dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire. L'organe de Contrôle peut décider de ne pas donner suite à une plainte ou à une réclamation qui est manifestement non fondée.
  5° établit et tient à jour la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise, en application de l'article 35.4 du Règlement;
  6° encourage l'élaboration de codes de conduite en application de l'article 40.1, du Règlement, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes, en application de l'article 40.5 du Règlement;
  7° encourage la mise en place de mécanismes de certification pour la protection des données ainsi que de labels et de marques en matière de protection des données, et approuve les critères de certification en application de l'article 42 du Règlement;
  8° procède, le cas échéant, à l'examen périodique des certifications délivrées;
  9° rédige et publie les critères d'agrément d'un organisme chargé du suivi des codes de conduite en application de l'article 41 du Règlement et d'un organisme de certification en application de l'article 43 du Règlement;
  10° procède à l'agrément d'un organisme chargé du suivi des codes de conduite et d'un organisme de certification.

  Art. 241. L'Organe de contrôle peut déléguer à un ou plusieurs de ses membres, membres du service d'enquête ou son personnel le pouvoir de représenter l'Organe de contrôle au sein de comités ou groupes auxquels il est tenu ou choisit de participer en tant qu'autorité de contrôle dans le secteur de la police.

  Art. 242. L'Organe de contrôle peut procéder à une large enquête ou à une large consultation publique ou à une enquête ou consultation plus ciblée des représentants du secteur de la police.

  Art. 243. § 1er. L'Organe de contrôle exécute les obligations internationales liées aux missions et compétences attribuées par la présente loi. Ces obligations peuvent consister dans la collaboration de l'Organe de contrôle avec toute instance ou autre autorité de protection des données d'un autre Etat en faisant usage des compétences qui lui sont conférées en vertu de la législation en vigueur.
  Cette collaboration peut porter sur :
  1° la création de pôles d'expertise;
  2° l'échange d'informations;
  3° l'assistance mutuelle dans le cadre de mesures de contrôle;
  4° le partage de ressources humaines et financières.
  La collaboration peut se concrétiser par des accords de coopération.
  § 2. L'Organe de contrôle est habilité à désigner à cet égard certains de ses membres, membres du service d'enquête ou membres du personnel en tant que représentants auprès d'autorités internationales.

  CHAPITRE III. - Compétences de l'Organe de contrôle, ses membres et des membres du service d'enquête

  Art. 244. § 1er. L'Organe de contrôle, ses membres et les membres du service d'enquête ont un accès illimité à toutes informations et données traitées par les services visés par l'article 26, 7°, a), d), et f), et en particulier, les services de police conformément aux articles 44/1 à 44/11/13 de la loi du 5 août 1992 sur la fonction de police, en ce compris celles contenues dans la Banque de données nationale générale, dans les banques de données de base, dans les banques de données particulières, dans les banques de données techniques et dans les bases de données internationales alimentées par les services de police belges.
  Les services de police transmettent d'initiative à l'Organe de contrôle les règlements et les directives internes relatifs au traitement des données à caractère personnel et de l'information policière nécessaires à l'accomplissement de ses missions. L'Organe de contrôle et le service d'enquête ont le droit de se faire communiquer tous les textes qu'ils estiment nécessaires à l'accomplissement de leur mission.
  L'Organe de contrôle, ses membres et les membres du service d'enquête peuvent effectuer des enquêtes sur place. A cette fin, ils ont un droit d'accès illimité aux locaux dans lesquels et pendant le temps où les informations et données visées à l'alinéa 1er sont traitées.
  § 2. Ils peuvent saisir dans ces lieux tous les objets, documents et données d'un système informatique utiles pour leur enquête, à l'exception de ceux qui concernent une information ou une instruction judiciaire en cours.
  Si le chef de corps ou son remplaçant estime que la saisie risque de faire courir un danger physique à une personne, la question est soumise au président de l'Organe de contrôle ou le magistrat qui le remplace, lequel statue. Les objets et documents saisis sont mentionnés dans un registre spécial tenu à cet effet.
  § 3. Les membres de l'Organe de contrôle et du service d'enquête font, en tout lieu, les constatations qui s'imposent.
  L'Organe de contrôle ou ses membres peuvent, dans l'exercice de leurs missions, requérir l'assistance de la force publique.
  § 4. L'Organe de contrôle, ses membres et les membres du service d'enquête peuvent imposer des délais de réponse contraignants aux membres de la police fédérale ou de la police locale auxquels ils adressent des questions dans l'exécution de leurs missions.
  § 5. L'Organe de contrôle a accès, pour l'exercice du contrôle organisé par la présente loi, aux données de l'article 3, alinéa 1er, 1° à 6°, 9° et 9° /1, et alinéa 2, de la loi du 8 août 1983 organisant un registre national des personnes physiques.
  En vue de l'exercice de ce contrôle, l'Organe de contrôle peut utiliser le numéro de registre national.

  Art. 245. § 1er. Sans préjudice des dispositions légales relatives aux immunités et aux privilèges de juridiction, les membres de l'Organe de contrôle et les membres du service d'enquête peuvent inviter, afin de l'entendre, toute personne dont ils estiment l'audition nécessaire. Les membres ou anciens membres des services de police sont tenus de donner suite à toute convocation écrite.
  Les membres ou anciens membres des services de police peuvent faire une déclaration sur des faits couverts par le secret professionnel.
  § 2. Le président de l'Organe de contrôle peut faire citer des membres ou anciens membres des services de police par intervention d'un huissier de justice. Les membres ou anciens membres des services de police déposent après avoir prêté le serment prévu à l'article 934, alinéa 2, du Code judiciaire.
  Les membres ou anciens membres des services de police révèlent à l'Organe de contrôle les secrets dont ils sont dépositaires, à l'exception de ceux qui concernent une information ou une instruction judiciaire en cours.
  Si le membre ou l'ancien membre du service de police estime devoir garder le secret dont il est dépositaire parce que sa révélation risquerait de faire courir un danger physique à une personne, la question est soumise au président de l'Organe de contrôle ou le magistrat qui le remplace, qui statue.
  Si le membre ou l'ancien membre du service de police estime devoir garder le secret dont il est dépositaire, la question est soumise au Commissaire général ou au chef de corps en fonction du service de police auquel l'intéressé appartient, qui statue.
  § 3. L'Organe de contrôle peut requérir la collaboration d'interprètes et d'experts. Ils prêtent le serment visé à l'article 290 du Code d'instruction criminelle. Les indemnités qui leurs sont dues sont réglées conformément au tarif des frais en matières pénales.
  § 4. L'article 9 de la loi du 3 mai 1880 sur les enquêtes parlementaires s'applique aux membres ou anciens membres des services de police qui sont entendus ou cités par l'Organe de contrôle à titre de témoins et aux experts et interprètes qui sont requis.
  Les procès-verbaux constatant les infractions commises sont établis par un membre de l'Organe de contrôle ou un membre du service d'enquête et sont transmis au procureur du Roi dans le ressort duquel elles sont commises.
  Les membres ou anciens membres des services de police qui refusent de témoigner devant l'Organe de contrôle et qui refusent leur collaboration sont punis d'un emprisonnement d'un mois à deux ans et d'une amende de cent euros à mille euros ou d'une de ces peines seulement.

  Art. 246. Sans préjudice de l'article 44/1 de la loi du 5 août 1992 sur la fonction de police, tous les services de l'Etat, y compris les parquets et les greffes des cours et de toutes les juridictions, des provinces, des communes, des associations dont elles font partie, des institutions publiques qui en dépendent, sont tenus, vis-à-vis de l'Organe de contrôle, de ses membres ou des membres du service d'enquête et à leur demande, de leur fournir tous les renseignements que ces derniers estiment utiles au contrôle du respect de la législation dont ils sont chargés, ainsi que de leur produire, pour en prendre connaissance, tous les supports d'information et de leur en fournir des copies sous n'importe quelle forme.
  Si ces renseignements font partie d'une enquête pénale ou judiciaire en cours, ils ne seront transmis que moyennant l'autorisation préalable du ministère public compétent.

  Art. 247. L'Organe de contrôle décide du suivi qu'il donne à une réclamation au sens de l'article 240, alinéa 1er, 4°, et a le pouvoir de :
  1° conclure que le traitement est effectué en conformité avec les dispositions de la réglementation relative au traitement des données à caractère personnel;
  2° avertir les services visés à l'article 26, 7°, a), d) et f), ou leur sous-traitant du fait qu'un traitement envisagé de données à caractère personnel est susceptible de violer la règlementation relative aux traitements des données à caractère personnel;
  3° rappeler à l'ordre les services visés à l'article 26, 7°, a), d) et f), ou leur sous-traitant lorsqu'un traitement a entraîné une violation d'une disposition de la règlementation relative aux traitements des données à caractère personnel;
  4° ordonner aux services visés à l'article 26, 7°, a), d) et f), ou à leur sous-traitant de mettre un traitement en conformité avec les dispositions de la réglementation relative au traitement des données à caractère personnel, le cas échéant, de manière spécifique et dans un délai déterminé;
  5° imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;
  6° ordonner la rectification ou l'effacement de données à caractère personnel;
  7° transmettre le dossier au ministère public compétent qui l'informe des suites données au dossier;
  8° retirer une certification visée à l'article 240, ou ordonner à l'organisme de certification de retirer la certification délivrée ou ordonner à l'organisme de certification de ne pas délivrer de certification;
  9° ordonner aux services visés à l'article 26, 7°, a), d) et f), ou à leur sous-traitant de communiquer à la personne concernée une brèche de sécurité en violation de données à caractère personnel.

  Art. 248. § 1er. L'Organe de contrôle informe les parties de sa décision et de la possibilité de recours dans un délai de trente jours, à compter de la notification de la décision, à la Cour d'appel du domicile ou du siège du demandeur.
  Sauf les exceptions prévues par la loi ou sauf si l'Organe de contrôle en décide autrement par décision spécialement motivée, la décision est exécutoire par provision, nonobstant recours.
  § 2. Un recours peut être introduit contre les décisions de l'Organe de contrôle en vertu de l'article 247, 1°, 3°, 4°, 5°, 6°, 8° ou 9° devant la Cour d'appel du domicile ou du siège du demandeur qui traite l'affaire selon les formes du référé conformément aux articles 1035 à 1038, 1040 et 1041 du Code judiciaire

  Art. 249. L'Organe de contrôle informe le service visé à l'article 26, 7°, a), d) et f), des enquêtes effectuées sur le traitement de données à caractère personnel par ses sous-traitants et de leurs résultats.
  Lorsqu'il en prend connaissance, l'Organe de contrôle informe également les services visés à l'article 26, 7°, a), d) et f), des violations de la réglementation relative aux traitements de ses données à caractère personnel par d'autres responsables du traitement.

  Art. 250. L'Organe de contrôle émet, à l'adresse de l'autorité compétente, dans les deux semaines de la réception de la demande, un avis circonstancié sur la désignation, la promotion, la nomination ou la mutation des membres du personnel des services de police chargés de la gestion de la Banque de données nationale générale.
  L'Organe de contrôle émet, à l'adresse du ministre compétent, dans les deux semaines à dater de la réception de la demande, un avis circonstancié sur l'opportunité d'entamer une procédure disciplinaire à l'égard du chef du service gérant la Banque de données nationale générale ou de l'adjoint de celui-ci.

  CHAPITRE IV. - Financement

  Art. 251. Une dotation est inscrite au budget général des dépenses de l'Etat pour financer le fonctionnement de l'Organe de contrôle.
  L'Organe de contrôle établit annuellement un projet de budget pour son fonctionnement. Assistée par la Cour des comptes, la Chambre des représentants examine les propositions budgétaires détaillées de l'Organe de contrôle, elle les approuve et contrôle l'exécution de son budget, elle examine et approuve en outre les comptes détaillés.
  L'Organe de contrôle joint à sa proposition de budget annuel un plan stratégique.
  Pour son budget et ses comptes, l'Organe de contrôle utilise un schéma budgétaire et des comptes comparable à celui qui est utilisé par la Chambre des représentants.

  TITRE 8. - Dispositions finales

  Art. 252. En cas de traitement de données à caractère personnel pour plusieurs finalités par un même responsable du traitement ou sous-traitant, ou visées par différentes réglementations, ces différentes réglementations s'appliquent de manière simultanée. En cas de conflit entre certaines de leurs dispositions, les règles de la présente loi s'appliquent.

  CHAPITRE Ier. - Dispositions modificatives

  Art. 253. Les lois, les arrêtés royaux et toute autre réglementation existants qui font référence à la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel sont présumés faire référence à la présente loi ou, le cas échéant, au Règlement.
  Le Roi peut remplacer les références dans les lois ou arrêtés existant aux dispositions de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et à la Commission de la protection de la vie privée, par des références aux dispositions équivalentes de la présente loi ou du Règlement et à l'autorité de contrôle compétente.

  Art. 254. Dans le chapitre 6, section 2, de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, il est inséré un article 56/1 rédigé comme suit :
  "Art. 56/1. En exécution de l'article 51 du Règlement 2016/679 et conformément à l'article 41.4 de la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, l'Autorité de protection des données représente les différentes autorités de contrôle au Comité européen de la protection des données visé à l'article 68 du Règlement 2016/679.".

  Art. 255. Dans le texte néerlandais de l'article 108, § 1er, alinéa premier, de la même loi les mots "de betekening van" sont supprimés.

  Art. 256. Dans les articles 3, 31 et 35 de la loi du 18 juillet 1991 organique du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace, les mots "Service général du renseignement et de la sécurité" sont chaque fois remplacés par les mots "Service Général du Renseignement et de la Sécurité".

  Art. 257. Dans l'intitulé du chapitre III et des sections 1 et 2 de ce même chapitre, dans l'intitulé du CHAPITRE IV ainsi qu'aux articles 2, 3, alinéa 1er, 2°, 28, 33, 38, 39, 40, 48, 53 et 65 de la même loi, les mots "services de renseignements" sont chaque fois remplacés par les mots "services de renseignement".
  Dans les articles 28, 40, 41, 48, 50, 61 et 67, les mots "service de renseignements" sont chaque fois remplacés par les mots "service de renseignement".
  Dans les articles 41 et 44, les mots "des services de police ou de renseignements" sont chaque fois remplacés par les mots "des services de police ou de renseignement".
  Dans l'article 44, les mots "d'un service de police ou de renseignements" sont remplacés par les mots "d'un service de police ou de renseignement".
  Dans l'article 53, les mots "des missions de renseignements" sont remplacés par les mots "des missions de renseignement".

  Art. 258. L'article 3, alinéa 1er, de la même loi, modifié en dernier lieu par la loi du 6 décembre 2015, est complété par les 7° et 8° rédigés comme suit :
  "7° "la loi protection des données" : la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel;
  8° "une autorité de protection des données" : une autorité de contrôle des traitements de données à caractère personnel.".

  Art. 259. A l'article 28 de la même loi, modifié en dernier lieu par la loi du 21 avril 2016, les modifications suivantes sont apportées :
  1° dans l'alinéa 3, 5°, les mots "du renseignement," sont insérés entre les mots "le domaine" et les mots "du droit pénal";
  2° dans l'alinéa 3, 5°, les mots "du droit de la protection des données à caractère personnel," sont insérés entre les mots "du droit public," et les mots "ou de techniques de gestion" ;
  3° l'alinéa 4 est complété par les mots ", ni d'une autre autorité de protection des données, ni de la commission administrative chargée de la surveillance des méthodes spécifiques et exceptionnelles de recueil de données des services de renseignement et de sécurité".

  Art. 260. Dans l'article 29, alinéa 1er, de la même loi, modifié en dernier lieu par la loi du 21 avril 2016, le 8° est complété par les mots ", attestations et avis de sécurité".

  Art. 261. Dans l'article 31, alinéa 1er, 4°, de la même loi, inséré par la loi du 30 novembre 1998, les mots ", ainsi que l'organisation et l'administration de la Sûreté de l'Etat lorsque celles-ci ont une influence directe sur l'exécution des missions de maintien de l'ordre public et de protection des personnes" sont abrogés.

  Art. 262. A l'article 32 de la même loi, modifié en dernier lieu par la loi du 6 janvier 2014, les modifications suivantes sont apportées :
  1° dans l'alinéa 1er de la même loi, le mot "ou" est remplacé par ",";
  2° l'alinéa 1er est complété par les mots "ou à la demande d'une autre autorité de protection des données";
  3° dans l'alinéa 2, les mots "dans le cadre des activités et méthodes visées à l'article 33, alinéa 1er" sont insérés entre les mots "d'initiative" et les mots ", il en informe".

  Art. 263. A l'article 33 de la même loi, modifié en dernier lieu par la loi du 6 janvier 2014, les modifications suivantes sont apportées :
  1° un alinéa rédigé comme suit est inséré entre les alinéas 1er et 2 :
  "Le Comité permanent R enquête également sur les traitements de données à caractère personnel par les services de renseignement et leurs sous-traitants.";
  2° dans l'alinéa 4, devenant l'alinéa 5, le mot "ou" est remplacé par ",";
  3° dans l'alinéa 4, devenant l'alinéa 5, les mots "ou les traitements des données à caractère personnel" sont insérés entre les mots "les méthodes" et les mots "qui seraient".
  4° dans l'alinéa 7, devenant l'alinéa 8, les mots "Le Comité permanent R peut seulement" sont remplacés par "Sauf si la loi impose son avis, le Comité permanent R peut seulement".

  Art. 264. A l'article 34 de la même loi, remplacé par la loi du 10 juillet 2006, les modifications suivantes sont apportées :
  1° un alinéa rédigé comme suit est inséré entre les alinéas 1er et 2 :
  "Le Comité permanent R traite également des requêtes en matière de traitements des données à caractère personnel par les services de renseignement et leurs sous-traitants.";
  2° dans l'alinéa 3, devenant l'alinéa 4, les mots "ou à" sont remplacés par ",";
  3° dans l'alinéa 3, devenant l'alinéa 4, les mots "ou une requête" sont insérés entre le mot "dénonciation" et les mots "manifestement";
  4° dans l'alinéa 4, devenant l'alinéa 5, les mots "ou à" sont remplacés par ",";
  5° dans l'alinéa 4, devenant l'alinéa 5, les mots "ou une requête" sont insérés entre le mot "dénonciation" et les mots "et de clôturer";
  6° dans l'alinéa 4, devenant l'alinéa 5, le mot "ou" est remplacé par "," et les mots "ou introduit la requête" complètent l'alinéa;
  7° l'alinéa 5, devenant l'alinéa 6, est complété par les mots :
  ", sauf en matière d'enquêtes portant sur le traitement des données à caractère personnel par les services de renseignement et leurs sous-traitants où le Comité permanent R répond uniquement que les vérifications nécessaires ont été effectuées".

  Art. 265. L'article 35 de la même loi est complété par un paragraphe 3 rédigé comme suit :
  " § 3. Le Comité permanent R fait rapport annuellement à la Chambre des représentants sur les avis rendus en sa qualité d'autorité de protection des données, sur les enquêtes effectuées et mesures prises en cette même qualité ainsi que sur sa collaboration avec les autres autorités de protection des données. Copie de ce rapport est également adressée aux ministres compétents, ainsi qu'à la Sûreté de l'Etat et au Service Général du Renseignement et de la Sécurité, qui ont la faculté d'attirer l'attention du Comité permanent R sur leurs observations.".

  Art. 266. Dans l'article 38, alinéa 2, de la même loi, inséré par la loi du 10 juillet 2006, le mot "permanent" est inséré entre les mots "le Comité" et le mot "R".

  Art. 267. A l'article 40, alinéa 2, de la même loi, modifié par la loi du 10 juillet 2006les modifications suivantes sont apportées :
  1° les mots "les plaintes et dénonciations" sont remplacés par les mots "les plaintes, dénonciations et requêtes";
  2° les mots "ce d'appui" sont supprimés;
  3° les mots "ou des actions" sont remplacés par les mots ", des actions ou des traitements de données à caractère personnel".

  Art. 268. Dans l'article 44 de la même loi, l'alinéa 2 est complété par les mots :
  "ou dans le traitement des données à caractère personnel ou dans la sécurité de l'information.".

  Art. 269. L'article 45, alinéa 2, de la même loi, inséré par la loi du 1er avril 1999 est complété par les mots ", attestations et avis de sécurité".

  Art. 270. A l'article 46 de la même loi, les modifications suivantes sont apportées :
  1° les mots "en dehors des cas prévus à l'article 13/1 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité et de ceux visés aux articles 226, 227 et 230 de la loi protection des données" sont insérés entre les mots "d'un délit" et les mots ", il en dresse" ;
  2° l'article est complété par un alinéa rédigé comme suit :
  "Lorsqu'un membre du Service d'enquêtes R a connaissance d'un délit visé aux articles 226, 227 et 230 de la loi protection des données, il en informe le Comité permanent R dans les meilleurs délais. Celui-ci assure le suivi selon les modalités fixées à l'article 54.".

  Art. 271. Dans le chapitre III de la même loi, il est inséré une section 4, intitulée "Compétences du Comité permanent R en tant qu'autorité de protection des données".

  Art. 272. Dans la section 4, insérée par l'article 271, il est inséré un article 51/1 rédigé comme suit :
  "Art. 51/1. En sa qualité d'autorité de protection des données, le Comité permanent R agit soit d'initiative, soit à la demande d'une autre autorité de protection de données, soit à la requête de toute personne concernée.".

  Art. 273. Dans la même section 4, il est inséré un article 51/2, rédigé comme suit :
  "Art. 51/2. Pour être recevable, la requête est écrite, datée, signée et motivée, et justifier de l'identité de la personne concernée.".

  Art. 274. Dans la même section 4, il est inséré un article 51/3, rédigé comme suit :
  "Art. 51/3. Le Comité permanent R décide du suivi qu'il donne au dossier et a la compétence de :
  1° conclure que le traitement est effectué en conformité avec les dispositions de la réglementation relative au traitement des données à caractère personnel;
  2° avertir le service concerné ou son sous-traitant du fait qu'un traitement envisagé de données à caractère personnel est susceptible de violer la réglementation relative aux traitements des données à caractère personnel;
  3° rappeler à l'ordre le service concerné ou son sous-traitant lorsqu'un traitement a entraîné une violation d'une disposition de la réglementation relative aux traitements des données à caractère personnel;
  4° ordonner au service concerné ou à son sous-traitant de mettre un traitement en conformité avec les dispositions de la réglementation relative au traitement des données à caractère personnel, le cas échéant, de manière spécifique et dans un délai déterminé;
  5° imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;
  6° ordonner la rectification ou l'effacement de données à caractère personnel;
  7° transmettre le dossier au parquet du procureur du Roi de Bruxelles, qui l'informe des suites données au dossier.".

  Art. 275. Dans la même section 4, il est inséré un article 51/4, rédigé comme suit :
  "Art. 51/4. Le Comité permanent R informe le service concerné des enquêtes effectuées sur le traitement de données à caractère personnel par ses sous-traitants et de leurs résultats.
  Lorsqu'il en prend connaissance, le Comité permanent R informe également le service concerné des violations de la réglementation relative aux traitements de ses données à caractère personnel par d'autres responsables du traitement.".

  Art. 276. Dans l'article 4, § 2, de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, les modifications suivantes sont apportées :
  1° l'alinéa 2 est remplacé par ce qui suit :
  "L'Autorité de protection des données est l'autorité de contrôle compétente lorsqu'aucune autre loi n'en dispose autrement.";
  2° un alinéa rédigé comme suit est inséré entre l'alinéa 2 et l'alinéa 3 :
  "Sans préjudice de la présente loi et de la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel du 30 juillet 2018, aucune autre loi ne peut créer une autorité disposant des pouvoirs et des compétences attribués par le Règlement à une autorité de protection des données.".

  Art. 277. L'article 18 de la même loi est complété par un alinéa 2 rédigé comme suit :
  "La décision d'agir en droit au nom de l'Autorité de protection des données est prise par le comité de direction.".

  Art. 278. Dans le chapitre 5, section 1re, de la même loi, il est inséré un article 54/1 rédigé comme suit :
  "Art. 54/1. § 1er. En vue de l'application cohérente des réglementations nationales, européennes et internationales relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, l'Autorité de protection des données et les autorités de contrôle compétentes visées aux titres 2 et 3 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel, collaborent ensemble, entre autres en ce qui concerne le traitement des plaintes, les avis et les recommandations qui affectent les compétences de deux ou plusieurs autorités de contrôle.
  Sans préjudice de dispositions particulières, le traitement conjoint des plaintes, des avis et des recommandations se fait sur la base du principe du guichet unique qui sera assumé par l'Autorité de protection des données.
  § 2. Afin de réaliser la coopération visée au premier paragraphe, les autorités de contrôle concluent un protocole de coopération.".

  Art. 279. Dans l'article 111 de la même loi, l'alinéa 2 est remplacé par ce qui suit :
  "Une adhésion à une autorisation générale octroyée par délibération d'un comité sectoriel reste possible si celui qui demande l'adhésion remet une déclaration d'engagement écrite et signée soit au Comité sectoriel du Registre national, soit au Comité sectoriel de la Sécurité Sociale et de la Santé ou, lorsque la loi aura mis fin à ces comités, à l'organe créé par le législateur pour octroyer des délibérations relatives à l'échange de données à caractère personnel ou à l'utilisation du numéro de Registre national, dans laquelle il confirme adhérer aux conditions de la délibération en question, sans préjudice des pouvoirs de contrôle que peut exercer l'Autorité de protection des données. Les adhésions aux autorisations générales sont publiées sur le site Internet de l'organe chargé de leur réception.".

  CHAPITRE II. - Dispositions abrogatoires

  Art. 280. La loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel est abrogée.
  L'arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel est abrogé.
  L'arrêté royal du 17 décembre 2003 fixant les modalités relatives à la composition et au fonctionnement de certains comités sectoriels institués au sein de la Commission de la protection de la vie privée est abrogé.
  L'article 15, § 3, de la loi du 25 décembre 2016 relative au traitement des données des passagers est abrogé.

  CHAPITRE III. - Entrée en vigueur et dispositions transitoires

  Art. 281. La présente loi entre en vigueur le jour de sa publication au Moniteur belge.
  Par dérogation à l'alinéa 1er, l'article 20 entre en vigueur le premier jour du mois qui suit l'expiration d'un délai de six mois prenant cours le jour suivant la publication de la présente loi au Moniteur belge.

  Art. 282. Les obligations légales telles que prévues dans le Règlement et la présente loi ne portent pas préjudice à la validité des traitements de données à caractère personnel réalisés par le responsable du traitement ou le sous-traitant avant l'entrée en vigueur desdites obligations.

  Art. 283. Les accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales conclus avant le 6 mai 2016 et qui respectent la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le droit de l'Union européenne tel qu'il est applicable avant cette date restent en vigueur jusqu'à leur modification, leur remplacement ou leur révocation.

  Art. 284. Par dérogation à l'article 281, les systèmes de traitement automatisé installés avant le 6 mai 2016 par les autorités compétentes visées au titre 2 de la présente loi sont mis en conformité avec l'article 56, § 1er, au plus tard le 6 mai 2023.

  Art. 285. § 1er. Par dérogation à l'article 281, les membres de l'Organe de contrôle qui ont prêté serment, qui sont effectivement en fonction au moment d'entrée en vigueur de la présente loi et qui ont été nommés conformément à l'article 36ter/1 de la loi du 8 décembre 1992 de la loi relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, restent de plein droit désignés conformément aux paragraphes 2, 3 et 4 comme membres de l'Organe de contrôle ou comme membre du service d'enquête au sens de la présente loi jusqu'à la fin de leur mandat de six ans courant depuis le 1er septembre 2015.
  Au moment de l'entrée en vigueur de la présente loi et pour la durée de leur mandat précité, ils sont de plein droit réputés répondre aux articles 231 et 232 de la présente loi.
  § 2. Les membres actuels sont désignés de plein droit comme membre de l'Organe de Contrôle ou du service d'enquêtes conformément aux nouvelles exigences de nomination établies dans la présente loi et conformément aux paragraphes 3 et 4.
  § 3. Le président de l'Organe de Contrôle reste de plein droit désigné comme président de l'Organe de Contrôle au sens de la présente loi.
  Le membre de la Commission de la protection de la vie privée est désigné de plein droit comme membre de l'Organe de Contrôle venant du ministère public au sens de la présente loi et l'actuelle expert juriste néerlandophone est désigné de plein droit dans la capacité d'expert au sens de la présente loi comme membre de l'Organe de Contrôle.
  § 4. Les trois autres membres actuels, dont deux issus des services de police et un expert non juriste francophone sont de plein droit désignés comme membre du service d'enquête au sens de la présente loi dans leurs qualités respectives de membres des services de police et expert.
  § 5. Par dérogation à l'article 231, § 1er, de la présente loi, le membre de l'Organe de contrôle qui a été nommé en sa qualité de membre de la Commission de la protection de la vie privée, à partir de l'entrée en vigueur de la présente loi jusqu'à la fin de son mandat qui court depuis le 1er septembre 2015, continuer à exercer la fonction soit à temps plein soit à temps partiel. Lorsqu'il exerce sa fonction à temps partiel, il bénéficie d'un traitement correspondant à 20 % du traitement fixé pour les autres membres par l'article 234.

  Art. 286. La présente loi est soumise à une évaluation conjointe par le ministre qui a les Affaires sociales dans ses attributions, le ministre que a la Santé publique dans ses attributions, le ministres qui a la Justice dans ses attributions, le ministre qui a l'Intérieur dans ses attributions, le ministre qui a la Défense dans ses attributions, sous la direction du ministre qui a la Protection de la vie privée dans ses attributions, dans le courant de la troisième année après son entrée en vigueur.
  L'évaluation visée à l'alinéa 1er porte entre autres sur :
  1° l'impact de la désignation de plusieurs autorités de contrôle sur les droits des personnes concernées.
  Pour l'évaluation de ce point il est entre autres pris en compte le fonctionnement du système du guichet unique.
  2° l'impact de la désignation de plusieurs autorités de contrôle sur les flux des informations et des données à caractère personnel.
  Pour l'évaluation de ce point il est notamment pris en compte :
  - l'efficacité de la collaboration entre les autorités de contrôle;
  - la cohérence de leurs décisions, avis et recommandations; et
  - l'impact de leur fonctionnement sur la balance entre les intérêts que représentent les flux d'une part et le respect des droits des personnes concernées d'autres part.
  3° la liste des autorités compétentes visées à l'article 26, 7°.
  Pour l'évaluation de ce point il est notamment pris en compte :
  - les avis préalables ainsi que les rapports annuels publiés des différentes autorités de contrôle compétentes visées à la présente loi;
  - les résultats des évaluations visées à l'article 97, § 1er, du Règlement, à l'article 62, § 6, de la Directive et, le cas échéant, à l'article 62, § 1er, de la Directive;
  - les avis et les recommandations du Comité européen de la protection des données.
  Le ministre qui a la Protection de la vie privée dans ses attributions présente le résultat de l'évaluation à la Chambre des représentants.

Signatures Texte Table des matières Début
   Promulguons la présente loi, ordonnons qu'elle soit revêtue du sceau de l'Etat et publiée par le Moniteur belge.
Donné à l'Ile-d'Yeu, le 30 juillet 2018.
PHILIPPE
Par le Roi :
La Ministre des Affaires sociales et de la Santé publique,
M. DE BLOCK
Pour le Ministre de la Justice, absent :
Le Vice-Premier Ministre et Ministre de l'Emploi, de l'Economie
et des Consommateurs chargé du Commerce extérieur,
K. PEETERS
Le Vice-Premier Ministre en charge de l'Intérieur,
J. JAMBON
Le Ministre de la Défense,
S. VANDEPUT
Scellé du sceau de l'Etat :
Le Ministre de la Justice,
K. GEENS

Préambule Texte Table des matières Début
   PHILIPPE, Roi des Belges,
   A tous, présents et à venir, Salut.
   La Chambre des représentants a adopté et Nous sanctionnons ce qui suit :

Modification(s) Texte Table des matières Début
IMAGE
  • LOI DU 02-05-2019 PUBLIE LE 24-05-2019
    (ART. MODIFIE : 71)

  • Travaux parlementaires Texte Table des matières Début
       Chambre des représentants : Documents : Doc 54 3126/ (2017/2018) : 001 : Projet de loi. 002 : Amendements. 003 : Rapport de la première lecture. 004 : Articles adoptés en première lecture. 005 : Amendements. 006 : Rapport de la deuxième lecture. 007 : Texte adopté par la commission. 008 : Texte adopté en séance plénière et soumis à la sanction royale. Voir aussi : Compte rendu intégral : 18 et 19 juillet 2018.

    Début Premier mot Dernier mot Modification(s) Préambule
    Travaux parlementaires Table des matières 1 arrêté d'exécution 1 version archivée
    Version néerlandaise