J U S T E L     -     Législation consolidée
Fin Premier mot Dernier mot Préambule
Travaux parlementaires Table des matières 2 arrêtés d'exécution
Signatures Fin Version néerlandaise
 
belgiquelex . be     -     Banque Carrefour de la législation
Conseil d'Etat Chambre des représentants
ELI - Système de navigation par identifiant européen de la législation
http://www.ejustice.just.fgov.be/eli/loi/2018/09/05/2018203892/justel

Titre
5 SEPTEMBRE 2018. - Loi instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

Source :
SECURITE SOCIALE.FINANCES.STRATEGIE ET APPUI.ECONOMIE, PME, CLASSES MOYENNES ET ENERGIE
Publication : 10-09-2018 numéro :   2018203892 page : 69589       PDF :   version originale    
Dossier numéro : 2018-09-05/01
Entrée en vigueur : 10-09-2018

Table des matières Texte Début
CHAPITRE 1er. - Disposition générale
Art. 1
CHAPITRE 2. - Institution du comité de sécurité de l'information
Art. 2-8
CHAPITRE 3. - Modification de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale
Art. 9-40
CHAPITRE 4. - Modification de la loi du 24 février 2003 concernant la modernisation de la gestion de la sécurité sociale et concernant la communication électronique entre des entreprises et l'autorité fédérale
Art. 41
CHAPITRE 5. - Modifications de la loi du 13 décembre 2006 portant dispositions diverses en matière de santé
Art. 42-43
CHAPITRE 6. - Modifications de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions
Art. 44-55
CHAPITRE 7. - Modifications du Code pénal social
Art. 56-69
CHAPITRE 8. - Modifications de la loi du 3 août 2012 portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions
Art. 70-85
CHAPITRE 9. - Modification de la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral
Art. 86, 35/2, 35/3, 35/4, 35/5
CHAPITRE 10. - Modification de la loi du 28 février 2013 introduisant le Code de droit économique
Art. 87-92
CHAPITRE 11. - Modifications de la loi coordonnée du 10 mai 2015 relative à l'exercice des professions des soins de santé
Art. 93-94
CHAPITRE 12. - Dispositions finales
Art. 95-99

Texte Table des matières Début
CHAPITRE 1er. - Disposition générale

  Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

  CHAPITRE 2. - Institution du comité de sécurité de l'information

  Art. 2. § 1er. Par dérogation aux dispositions de la loi du 30 juillet 2018 relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, il est institué un comité de sécurité de l'information, composé de membres désignés par la Chambre des représentants.
  § 2. Sans préjudice du règlement de son fonctionnement et de ses compétences, en vertu de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale et de la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral, le comité de sécurité de l'information est constitué d'une chambre sécurité sociale et santé et d'une chambre autorité fédérale et il est composé des huit membres effectifs suivants, dont quatre membres sont néerlandophones et quatre membres francophones:
  1° un expert en sécurité de l'information et en protection de la vie privée qui fait partie des deux chambres et qui exerce la présidence des deux chambres;
  2° un expert en gestion électronique des identités qui fait partie des deux chambres;
  3° un expert en sécurité de l'information et en protection de la vie privée qui fait partie de la chambre autorité fédérale;
  4° un expert en matières financières et fiscales qui fait partie de la chambre autorité fédérale;
  5° deux membres ayant la qualité de docteur, de licencié ou de master en droit, experts en droit social ou en droit de la santé, qui font partie de la chambre sécurité sociale et santé;
  6° deux membres ayant la qualité de médecin, experts en matière de gestion de données à caractère personnel relatives à la santé, qui font partie de la chambre sécurité sociale et santé.
  Les membres visés à l'alinéa 1er, 2°, 4°, 5° et 6°, disposent au moins de connaissances de base en matière de sécurité de l'information et de protection de la vie privée.
  Si le comité de sécurité de l'information se réunit en chambres réunies, un seul membre visé à l'alinéa 1er, 5°, et un seul membre visé à l'alinéa 1er, 6°, participent à la réunion.
  § 3. Un membre suppléant est désigné pour chaque membre effectif sous les mêmes conditions.

  Art. 3. Pour être élu membre effectif ou suppléant du comité de sécurité de l'information et le rester, les candidats doivent remplir les conditions suivantes:
  1° être Belge ou ressortissant de l'Union européenne;
  2° jouir des droits civils et politiques;
  3° en ce qui concerne la chambre sécurité sociale et santé, ne pas relever de l'autorité hiérarchique du ministre ayant la sécurité sociale dans ses attributions ou du ministre ayant la santé publique dans ses attributions et être indépendant des institutions de sécurité sociale, de la Banque-carrefour de la sécurité sociale et des organisations représentées au sein du Comité de gestion de la Banque-carrefour de la sécurité sociale, de la Plate-forme eHealth et des organisations représentées au sein du Comité de gestion de la Plate-forme eHealth, du Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement, du Centre fédéral d'expertise des soins de santé et de la fondation visée à l'article 45quinquies de l'arrêté royal n° 78 du 10 novembre 1967 relatif à l'exercice des professions des soins de santé;
  4° en ce qui concerne la chambre autorité fédérale, ne pas relever du pouvoir hiérarchique d'un ministre fédéral et être indépendant des Services publics fédéraux;
  5° ne pas être membre du Parlement européen, du parlement fédéral ou d'un parlement des communautés et régions;
  6° ne pas être membre du gouvernement fédéral, d'un gouvernement de Communauté ou de Région et ne pas exercer de fonction dans une cellule politique d'un ministre;
  7° ne pas être membre de l'Autorité pour la protection des données et ne pas faire partie de son personnel.

  Art. 4. § 1er. Les membres du comité de sécurité de l'information sont nommés pour un terme de six ans renouvelable par la Chambre des représentants et sont présentés par le Conseil des ministres. Ils peuvent être déchargés de leur mission par la Chambre des représentants.
  Lorsque le mandat d'un membre effectif ou suppléant prend fin avant son terme, il est pourvu dans les meilleurs délais au remplacement de ce membre. Le nouveau membre achève le mandat de celui qu'il remplace.
  § 2. Avant leur entrée en fonctions, les membres du comité de sécurité de l'information prêtent entre les mains du président de la Chambre des représentants le serment suivant: "Je jure de remplir en toute conscience et impartialité les devoirs de ma charge.".

  Art. 5. Dans les limites de leurs attributions, les membres du comité de sécurité de l'information ne reçoivent d'instructions de personne. Ils ne peuvent être relevés de leur charge en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent pour remplir leurs fonctions.
  Les membres du comité de sécurité de l'information sont impartiaux et objectifs et ne peuvent faire preuve de partialité, sous quelque forme que ce soit. Ils motivent leurs décisions, tant sur le plan formel que matériel, et respectent très strictement les principes de bonne administration.
  Les membres du comité de sécurité de l'information et leurs collaborateurs sont tenus à un devoir de confidentialité pour tout ce dont ils ont pu avoir connaissance en raison de leurs fonctions.

  Art. 6. § 1er. En cas d'empêchement ou d'absence du président effectif ou au cas où il ne peut prendre part à la prise de décision à cause d'un conflit d'intérêts, sa fonction est exercée par le membre effectif visé à l'article 2, alinéa 1er, 2°. Lorsque le membre effectif visé à l'article 2, alinéa 1er, 2°, n'est pas disponible, les autres membres se répartissent les tâches du président effectif, sous la direction du membre avec le plus d'ancienneté d'entre eux ou, à égalité d'ancienneté, du plus âgé d'entre eux.
  § 2. Les membres suppléants remplacent les membres effectifs en cas d'empêchement ou d'absence ou dans l'attente de leur remplacement visé à l'article 4, § 1er, alinéa 2.
  § 3. Un suppléant d'un membre effectif visé à l'article 2, § 2, alinéa 1er, 5° ou 6°, ne peut participer à une séance de la chambre sécurité sociale et santé du comité de sécurité de l'information que lorsque ce membre effectif ne participe pas à la séance ou lorsque ni l'autre membre effectif ayant la même qualité ni le suppléant de l'autre membre effectif ayant la même qualité ne participent à cette séance.

  Art. 7. Le membre exerçant la présidence du comité de sécurité de l'information a droit, par séance du comité de sécurité de l'information à laquelle il assiste, à deux fois le montant des jetons de présence visés à l'article 8.

  Art. 8. Les membres, à l'exception du membre exerçant la présidence, ont droit, par séance du comité de sécurité de l'information à laquelle ils assistent, à des jetons de présence d'un montant de 250 euros (indice 1,67374). Ce montant est lié à l'évolution de l'indice des prix à la consommation.
  Les membres, y inclus le membre exerçant la présidence, bénéficient des indemnités pour frais de séjour et de parcours conformément aux dispositions applicables au personnel des services publics fédéraux.

  CHAPITRE 3. - Modification de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale

  Art. 9. Dans l'article 2, alinéa 1er, de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale, les modifications suivantes sont apportées:
  a) le 7°, remplacé par la loi du 25 janvier 1999 et modifié par la loi du 12 août 2000, est remplacé par ce qui suit:
  "7° "données sociales à caractère personnel relatives à la santé": les données sociales à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;";
  b) le 10°, inséré par la loi du 26 février 2003 et modifié par la loi du 1er mars 2007, est remplacé par ce qui suit:
  "10° "comité de sécurité de l'information": le comité de sécurité de l'information institué en application de la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;";
  c) l'alinéa est complété par le 11° rédigé comme suit:
  "11° "Plate-forme eHealth": la Plate-forme eHealth visée à l'article 2 de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions.".

  Art. 10. A l'article 4 de la même loi, remplacé par la loi du 1er mars 2007, les modifications suivantes sont apportées:
  a) dans le § 5, alinéa 1er, les mots "un conseiller en matière de sécurité de l'information et de protection de la vie privée qui remplit notamment la fonction de préposé à la protection des données visé à l'article 17bis de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel" sont remplacés par les mots "un délégué à la protection des données, pour autant que celui-ci ne soit pas encore désigné en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ou l'article 24";
  b) § 5, alinéa 2, est remplacé par ce qui suit:
  "L'identité du délégué à la protection des données est communiquée à la Banque-carrefour.";
  c) § 5, alinéa 3, est supprimé;
  d) § 6, 1°, est remplacé par ce qui suit:
  "1° de désigner nominativement les organes ou préposés qui sont autorisés, en vertu de leurs compétences, à obtenir accès aux données d'identification ou à en obtenir la communication, de les informer sur la réglementation pertinente relative à la protection de la vie privée lors du traitement de données à caractère personnel et de dresser une liste de ces organes ou préposés, de la tenir à jour et de l'actualiser en permanence;".

  Art. 11. L'article 5 de la même loi, remplacé par la loi du 2 août 2002 et modifié par les lois du 26 février 2003 et du 1er mars 2007, est remplacé par ce qui suit:
  "Art. 5. § 1er. La Banque-carrefour recueille des données sociales auprès des institutions de sécurité sociale, les enregistre, procède à leur agrégation et les communique à des personnes qui en ont besoin pour la réalisation de recherches pouvant être utiles à la connaissance, à la conception et à la gestion de la protection sociale.
  § 2. La Banque-carrefour utilise les données sociales recueillies en application du paragraphe 1er pour la détermination du groupe-cible de recherches qui sont réalisées sur la base d'une interrogation des personnes de l'échantillon.
  Cette interrogation des personnes de l'échantillon est en principe effectuée par la Banque-carrefour pour le compte de l'exécutant de la recherche, sans que des données sociales à caractère personnel relatives aux personnes de l'échantillon ne soient communiquées à l'exécutant de la recherche.
  § 3. Pour l'application du présent article, la Banque-carrefour est considérée comme une organisation intermédiaire au sens d'une organisation autre que le responsable du traitement de données à caractère personnel non pseudonimisées, qui est chargée de leur pseudonimisation.".

  Art. 12. Dans la même loi, il est inséré un article 5bis rédigé comme suit:
  "Art. 5bis. Sans préjudice du traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les institutions de sécurité sociale visées à l'article 2, 2°, les services d'inspection sociale et la direction des amendes administratives de la division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale peuvent, soit pour ce qui les concerne respectivement, soit en commun, en vue de la prévention, de la constatation, de la poursuite et de la répression des infractions sur la réglementation sociale qui relèvent de leurs compétences respectives et en vue de la perception et du recouvrement des montants qui relèvent de leurs compétences respectives, le cas échéant après délibération de la chambre compétente du comité de sécurité de l'information, recueillir toutes les données nécessaires aux fins de l'application de la législation concernant le droit du travail et de la sécurité sociale, les traiter et les agréger dans un datawarehouse leur permettant de procéder à des opérations de datamining et datamatching, en ce compris du profilage au sens de l'article 4, 4) du règlement général sur la protection des données.
  Pour l'application de la présente disposition, il y a lieu d'entendre par:
  1° "datawarehouse": un système de données contenant une grande quantité de données numériques pouvant faire l'objet d'une analyse;
  2° "datamining": la recherche de manière avancée d'informations dans de gros fichiers de données;
  3° "datamatching": la comparaison entre plusieurs sets de données rassemblées.
  Le responsable du traitement des données visé à l'alinéa 1er est l'institution ou le service visé à l'alinéa 1er qui se charge dudit traitement dans le datawarehouse. Lorsque deux responsables du traitement ou plus déterminent les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
  Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent des traitements dans le datawarehouse ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées y compris les exigences en ce qui concerne l'application de la récidive et la révocation d'un sursis accordé, avec une durée maximale de conservation ne pouvant excéder un an après la prescription de toutes les actions qui relèvent de la compétence du responsable du traitement et, le cas échéant, le paiement intégral de tous les montants y liés.
  Le responsable du traitement établit une liste des catégories de personnes ayant accès aux données à caractère personnel dans le datawarehouse, avec une description de leur qualité par rapport au traitement de données visées. Cette liste est tenue à la disposition de l'Autorité de protection des données.
  Le responsable du traitement veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
  Lorsque des données à caractère personnel sont communiquées à la Banque-carrefour ou à une institution de sécurité sociale, la délibération doit, le cas échéant, prévoir que ces données peuvent être traitées dans le cadre des finalités du traitement dans le datawarehouse visées à l'alinéa 1er.".

  Art. 13. Dans la même loi, il est inséré un article 5ter rédigé comme suit:
  "Art. 5ter. § 1er. Sans préjudice de traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les institutions de sécurité sociale visées à l'article 2, 2°, les services d'inspection sociale et la direction des amendes administratives de la division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale peuvent, dans le respect de cette loi, et chacun pour ce qui concerne les traitements de données à caractère personnel dont il est le responsable du traitement, traiter ultérieurement toutes les données nécessaires aux fins de l'application de la législation concernant le droit du travail et de la sécurité sociale lorsque et dans la mesure où aussi bien le traitement initial que le traitement ultérieur sont effectués en vue de la prévention, de la constatation, de la poursuite et de la répression des infractions aux lois et règlements sociales qui relèvent de leurs compétences respectives.
  § 2. Sans préjudice du traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les institutions de sécurité sociale visées à l'article 2, 2°, les services d'inspection sociale et la direction des amendes administratives de la division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale peuvent, dans le respect de cette loi et chacun pour ce qui concerne les traitements de données à caractère personnel dont il est le responsable du traitement, traiter ultérieurement toutes les données nécessaires aux fins de l'application de la législation concernant le droit du travail et de la sécurité sociale lorsque et dans la mesure où aussi bien le traitement initial que le traitement ultérieur sont effectués en vue de la perception et du recouvrement des montants qui relèvent de leur compétences respectives.
  § 3. Les institutions et services visés dans le paragraphe 1er ne peuvent toutefois traiter ultérieurement les données à caractère personnel qui ont été collectées pour une autre finalité que celle de la sécurité sociale et du droit de travail qu'à condition que ce traitement ultérieur ait, le cas échéant, fait l'objet d'une délibération de la chambre compétente du comité de sécurité de l'information.
  § 4. Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent des traitements ultérieurs visés dans le paragraphe 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées y compris les exigences en ce qui concerne l'application de la récidive et la révocation d'un sursis accordé, avec une durée maximale de conservation ne pouvant excéder un an après la prescription de toutes les actions qui relèvent de la compétence du responsable du traitement et, le cas échéant, du paiement intégral de tous les montants y liés.".

  Art. 14. A l'article 11bis, § 2, de la même loi, inséré par la loi du 8 avril 2003 et modifié par la loi du 20 décembre 2016, les modifications suivantes sont apportées:
  a) les mots ", sans préjudice de l'article 4, alinéa 2" sont abrogés;
  b) les mots "du comité sectoriel de la sécurité sociale et de la santé" sont remplacés par les mots "de la chambre sécurité sociale et santé du comité de sécurité de l'information".

  Art. 15. Dans l'article 12, alinéa 2, de la même loi, modifié par les lois du 26 février 2003 et du 1er mars 2007, les mots "la section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé" sont remplacés par les mots "la chambre sécurité sociale et santé du comité de sécurité de l'information".

  Art. 16. Dans l'article 13 de la même loi, remplacé par la loi du 1er mars 2007, les mots "des articles 15 et 46, alinéa 1er, 1°, " sont remplacés par les mots "de l'article 15".

  Art. 17. Dans l'article 14 de la même loi, modifié par les lois du 2 août 2002, du 27 décembre 2004 et du 1er mars 2007, les modifications suivantes sont apportées:
  a) dans l'alinéa 4, les mots "la section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé" sont remplacés par les mots "la chambre sécurité sociale et santé du comité de sécurité de l'information";
  b) l'article est complété par un cinquième alinéa rédigé comme suit:
  "Une communication de données à caractère personnel par ou à une instance d'une Communauté ou d'une Région, qui a intégré volontairement le réseau de la sécurité sociale en application de l'article 18, à ou par une autre instance de la même Communauté ou de la même Région ne s'effectue pas à l'intervention de la Banque-carrefour, sauf si ces instances le demandent.".

  Art. 18. L'article 15 de la même loi, modifié par les lois des 2 août 2002, 26 février 2003 et 1er mars 2007, est remplacé par ce qui suit:
  "Art. 15. § 1er. Toute communication de données sociales à caractère personnel par la Banque-carrefour de la sécurité sociale ou une institution de sécurité sociale à une autre institution de sécurité sociale, ou à une instance autre qu'un service public fédéral, un service public de programmation ou un organisme fédéral d'intérêt public doit faire l'objet d'une délibération préalable de la chambre sécurité sociale de santé du comité de sécurité de l'information. Le Roi peut déterminer par un arrêté délibéré en Conseil des ministres quelles communications de données sociales à caractère personnel par la Banque-carrefour de la sécurité sociale ou une institution de sécurité sociale à une autre institution de sécurité sociale ne doivent pas faire l'objet d'une délibération du comité de sécurité de l'information et que le comité de sécurité de l'information doit ou ne doit pas être informé au préalable.
  Une communication de données à caractère personnel entre des instances d'une même Communauté ou Région, pour autant qu'elle ne s'effectue pas à l'intervention de la Banque-carrefour, ne requiert pas de délibération préalable de la chambre sécurité sociale et santé du comité de sécurité de l'information.
  § 2. Toute communication de données sociales à caractère personnel par la Banque-carrefour de la sécurité sociale ou une institution de sécurité sociale visée à l'article 2, alinéa 1er, 2°, a), à un service public fédéral, à un service public de programmation ou à un organisme fédéral d'intérêt public autre qu'une institution de sécurité sociale doit faire l'objet d'une délibération préalable des chambres réunies du comité de sécurité de l'information dans la mesure où les responsables du traitement de l'instance qui communique, de l'instance destinatrice et de la Banque-carrefour de la sécurité sociale ne parviennent pas, en exécution de l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, à un accord concernant la communication ou au moins un de ces responsables du traitement demande une délibération et en a informé les autres responsables du traitement. Dans les cas mentionnés, la demande est introduite d'office conjointement par les responsables du traitement concernés.
  Toute communication de données sociales à caractère personnel par une institution de sécurité sociale autre que celle visée à l'article 2, alinéa 1er, 2°, a), à un service public fédéral, à un service public de programmation ou à un organisme fédéral d'intérêt public autre qu'une institution de sécurité sociale doit faire l'objet d'une délibération préalable des chambres réunies du comité de sécurité de l'information.
  La communication de données sociales à caractère personnel conformément à ce paragraphe à des institutions qui traitent des données à des fins statistiques, intervient sur la base d'une délibération générale ou spécifique de la chambre sécurité sociale et santé du comité de sécurité de l'information.
  Une délibération de la chambre sécurité sociale et santé du comité de sécurité de l'information n'est pas requise pour la communication de données sociales à caractère personnel par la Banque-carrefour de la sécurité sociale ou une institution de sécurité sociale aux archives générales du Royaume et aux Archives de l'Etat dans les provinces.
  Avant de rendre sa délibération, la chambre sécurité sociale et santé du comité de sécurité de l'information examine si la communication est conforme à la présente loi et à ses mesures d'exécution. Pour autant qu'une demande contienne tous les éléments permettant de délibérer et qu'elle est introduite en tant que telle dans les trente jours calendriers précédant une réunion déterminée, elle est en principe traitée pendant la réunion qui suit la réunion précitée. Le demandeur reçoit endéans une semaine un accusé de réception indiquant si la demande introduite est complète ou non.
  Une délibération de la chambre sécurité sociale et santé du comité de sécurité de l'information n'est pas requise pour la communication par la Banque-carrefour, conformément à l'article 5, § 1er, alinéa 1er, de données sociales à caractère personnel pseudonymisées visées dans le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, destinées aux ministres qui ont la sécurité sociale dans leurs attributions, aux Chambres législatives, aux institutions publiques de sécurité sociale, à la Direction générale Statistique - Statistics Belgium du service public fédéral Economie, PME, Classes moyennes et Energie et aux autres autorités statistiques, tel que prévu dans l'accord de coopération du 15 juillet 2014 concernant les modalités de fonctionnement de l'Institut interfédéral de statistique, au Conseil national du Travail, au Conseil supérieur des Indépendants et des Petites et Moyennes Entreprises, au Bureau du Plan ou à la Banque Nationale de Belgique.
  § 3. Dans la mesure où la chambre sécurité sociale et santé du comité de sécurité de l'information doit rendre une délibération pour une communication de données à caractère personnel, elle peut, le cas échéant, également rendre une délibération pour l'utilisation du numéro d'identification du Registre national des personnes physiques par les instances concernées si cela s'avère nécessaire dans le cadre de la communication envisagée.
  § 4. Les délibérations de la chambre sécurité sociale et santé du comité de sécurité de l'information sont motivées.
  § 5. Dans la mesure où le comité de sécurité de l'information rend une délibération pour la communication de données à caractère personnel par l'autorité fédérale, cette dernière est, par dérogation à l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, dispensée de l'obligation d'établir un protocole y relatif avec le destinataire des données à caractère personnel.".

  Art. 19. A l'article 20 de la même loi, remplacé par la loi du 29 avril 1996 et modifié par les lois du 26 février 2003 et du 1er mars 2007, les modifications suivantes sont apportées:
  a) le § 1er, alinéa 2, est abrogé;
  b) dans le § 2, la première phrase est remplacée par ce qui suit:
  " § 2. Par dérogation à l'article 19 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, les institutions de sécurité sociale et la Banque-carrefour communiquent les corrections et effacements de données sociales à caractère personnel uniquement à la personne à laquelle les données ont trait.".

  Art. 20. L'article 22 de la même loi est abrogé.

  Art. 21. L'article 23 de la même loi, modifié par la loi du 12 août 2000, est abrogé.

  Art. 22. L'intitulé de la section 3 du chapitre IV de la même loi est remplacé par ce qui suit: "Section 3. les délégués à la protection des données".

  Art. 23. L'article 24 de la même loi, remplacé par la loi du 6 août 1993 et modifié par les lois du 26 février 2003 et du 1er mars 2007, est remplacé par ce qui suit:
  "Art. 24. Toute institution de sécurité sociale désigne, au sein de son personnel ou non, un délégué à la protection des données et communique son identité à la Banque-carrefour.
  La Banque-carrefour désigne également, au sein de son personnel ou non, un délégué à la protection des données.".

  Art. 24. L'article 25 de la même loi, remplacé par la loi du 6 août 1993 et modifié par la loi du 24 décembre 2002, est remplacé par ce qui suit:
  "Art. 25. Le délégué à la protection des données visé à l'article 24, alinéas premier et deux, réalise les tâches qui lui sont confiées par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, et assure, en outre, pour concourir à la sécurité des données sociales traitées ou échangées par son institution et à la protection de la vie privée des personnes auxquelles ces données sociales ont trait:
  1° la fourniture d'avis à la personne chargée de la gestion journalière;
  2° l'exécution de missions qui lui sont confiées par la personne chargée de la gestion journalière, pour autant que ceci ne remet pas en cause son indépendance et pour autant que le contenu et la quantité des autres missions confiées lui permettent de réaliser ses tâches de délégué à la protection des données, conformément au règlement précité (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
  Le délégué à la protection des données de la Banque-carrefour fournit en outre des avis relatifs à la sécurité du réseau.
  Le Roi peut, après avis de l'Autorité de protection des données, fixer les règles selon lesquelles le délégué à la protection des données exerce des missions complémentaires.".

  Art. 25. A l'article 26, § 1er, de la même loi, modifié par les lois du 12 août 2000, du 26 février 2003 et du 1er mars 2007, les modifications suivantes sont apportées:
  a) le mot "médecin" est chaque fois remplacé par les mots "professionnel des soins de santé";
  b) les mots "à la section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé" sont remplacés par les mots "à la chambre sécurité sociale et santé du comité de sécurité de l'information".

  Art. 26. Dans l'article 28 de la même loi, modifié par les lois du 12 août 2000, du 26 février 2003 et du 1er mars 2007, les mots "lorsqu'il est appelé à rendre témoignage en justice, dans le cadre de l'exercice du droit d'enquête conféré aux Chambres par l'article 56 de la Constitution coordonnée, dans le cadre de l'instruction d'une affaire par le comité sectoriel de la sécurité sociale et de la santé de la Banque-carrefour" sont remplacés par les mots "lorsqu'il est appelé à rendre témoignage en justice ou dans le cadre de l'exercice du droit d'enquête visé à l'article 56 de la Constitution coordonnée,".

  Art. 27. Dans l'article 32, alinéa 2, de la même loi, modifié par les lois du 26 février 2003 et du 1er mars 2007, les mots "le comité sectoriel de la sécurité sociale et de la santé créé par l'article 37" sont remplacés par les mots "la chambre sécurité sociale et santé du comité de sécurité de l'information".

  Art. 28. L'intitulé du chapitre VI de la même loi, remplacé par la loi du 1er mars 2007, est remplacé par ce qui suit: "Chapitre VI. De la chambre sécurité sociale et santé du comité de sécurité de l'information".

  Art. 29. L'article 37 de la même loi, remplacé par la loi du 1er mars 2007 et modifié par la loi du 21 août 2008, est abrogé.

  Art. 30. L'article 38 de la même loi, remplacé par la loi du 26 février 2003 et modifié par les lois du 1er mars 2007 et du 21 août 2008, est abrogé.

  Art. 31. L'article 39 de la même loi, remplacé par la loi du 26 février 2003 et modifié par les lois du 1er mars 2007 et du 21 août 2008, est abrogé.

  Art. 32. L'article 40 de la même loi, remplacé par la loi du 26 février 2003 et modifié par la loi du 1er mars 2007, est abrogé.

  Art. 33. L'article 41 de la même loi, remplacé par la loi du 26 février 2003 et modifié par la loi du 1er mars 2007, est remplacé par ce qui suit:
  "Art. 41. La chambre sécurité sociale et santé du comité de sécurité de l'information est établie et tient ses réunions à la Banque-carrefour, qui met à la disposition les bureaux et moyens bureautiques nécessaires au fonctionnement et à la présidence et du personnel spécialisé, dans la mesure requise par la réalisation des missions de la chambre sécurité sociale et santé du comité de sécurité de l'information. Le président du comité de sécurité de l'information a la responsabilité fonctionnelle de ce personnel en ce qui concerne les tâches qu'il assume pour le comité de sécurité de l'information.".

  Art. 34. L'article 42 de la même loi, remplacé par la loi du 1er mars 2007 et modifié par la loi du 21 août 2008, est remplacé par ce qui suit:
  "Art. 42. § 1er. La Banque-carrefour rédige un avis technique et juridique relatif à toute demande concernant la communication de données sociales à caractère personnel dont elle a reçu une copie de la part de la chambre sécurité sociale et santé du comité de sécurité de l'information.
  La Banque-carrefour et le service public fédéral Stratégie et Appui rédigent conjointement un avis technique et juridique relatif à toute demande concernant la communication de données à caractère personnel qui est traitée par les chambres réunies du comité de sécurité de l'information.
  § 2. La Plate-forme eHealth rédige un avis technique et juridique relatif à toute demande concernant la communication de données à caractère personnel relatives à la santé, dont elle a reçu une copie de la part de la chambre sécurité sociale et santé du comité de sécurité de l'information. Le président du comité de sécurité de l'information et le fonctionnaire dirigeant de la Plate-forme eHealth peuvent chacun décider de faire appel, pour la rédaction de l'avis technique et juridique, au soutien du Service public fédéral Santé publique, Sécurité de la chaîne alimentaire et Environnement, de l'Institut national d'assurance maladie-invalidité, du Centre fédéral d'expertise des soins de santé ou de la fondation visée à l'article 45quinquies de l'arrêté royal n° 78 du 10 novembre 1967 relatif à l'exercice des professions de soins de santé.
  Par dérogation à l'alinéa 1er, la fondation visée à l'article 45quinquies de l'arrêté royal n° 78 du 10 novembre 1967 relatif à l'exercice des professions des soins de santé, rédige un avis technique et juridique relatif à toute demande concernant les traitements de données à caractère personnel visés à l'article 45quinquies de l'arrêté royal n° 78 du 10 novembre 1967 relatif à l'exercice des professions des soins de santé, qu'elle introduit auprès du comité de sécurité de l'information.".

  Art. 35. L'article 43 de la même loi, remplacé par la loi du 26 février 2003 et modifié par les lois du 1er mars 2007 et du 21 août 2008, est remplacé par ce qui suit:
  "Art. 43. Les frais de fonctionnement de la chambre sécurité sociale et santé du comité de sécurité de l'information, y compris les indemnités allouées au président et aux autres membres et les remboursements de frais pour autant qu'ils aient trait à l'exécution des missions de cette chambre, sont pris en charge par la Banque-carrefour et la Plate-forme eHealth, à l'exception des frais pour le soutien par le Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement, l'Institut national d'assurance maladie-invalidité, le Centre fédéral d'expertise des soins de santé ou la fondation visée à l'article 45quinquies de l'arrêté royal n° 78 du 10 novembre 1967 relatif à l'exercice des professions de soins de santé, visé à l `article 42, § 2, qui sont, le cas échéant, pris en charge par l'instance de soutien concernée.".

  Art. 36. L'article 43bis de la même loi, inséré par la loi du 1er mars 2007, est abrogé.

  Art. 37. L'article 44 de la même loi, remplacé par la loi du 26 février 2003 et modifié par la loi du 1er mars 2007, est abrogé.

  Art. 38. L'article 45 de la même loi, remplacé par la loi du 26 février 2003 et modifié par les lois du 1er mars 2007 et du 21 août 2008, est remplacé par ce qui suit:
  "Art. 45. La chambre sécurité sociale et santé du comité de sécurité de l'information fixe son règlement d'ordre intérieur, qui contient notamment les modalités d'introduction des demandes et qui est ratifié par un arrêté royal délibéré en Conseil des ministres.".

  Art. 39. L'article 46 de la même loi, modifié par les lois des 6 août 1993, 2 janvier 2001, 24 décembre 2002, 26 février 2003 et 1er mars 2007, est remplacé par ce qui suit:
  "Art. 46. § 1er. La chambre sécurité sociale et santé du comité de sécurité de l'information est chargé, en vue de la protection de la vie privée, des tâches suivantes:
  1° formuler les bonnes pratiques qu'elle juge utiles pour l'application et le respect de la présente loi et de ses mesures d'exécution et des dispositions fixées par ou en vertu de la loi visant à la protection de la vie privée à l'égard des traitements de données à caractère personnel relatives à la santé;
  2° fixer les règles pour la communication de données anonymes en application de l'article 5, § 1er, et rendre des délibérations en la matière lorsque le demandeur souhaite déroger aux règles précitées;
  3° fixer les règles pour l'interrogation des personnes d'un échantillon en application de l'article 5, § 2, et rendre des délibérations en la matière lorsque le demandeur souhaite déroger aux règles précitées;
  4° dispenser les institutions de sécurité sociale de l'obligation de s'adresser à la Banque-carrefour, conformément à l'article 12, alinéa 2;
  5° rendre des délibérations pour toute communication de données sociales à caractère personnel, conformément à l'article 15, et tenir à jour et publier sur le site web de la Banque-carrefour la liste de ces délibérations;
  6° rendre des délibérations pour la communication de données à caractère personnel relatives à la santé, pour autant que cette délibération soit rendue obligatoire en vertu de l'article 42 de la loi du 13 décembre 2006 portant dispositions diverses en matière de santé ou d'une autre disposition fixée par ou en vertu de la loi, et tenir à jour et publier sur le site web de la Plate-forme eHealth la liste de ces délibérations;
  7° soutenir les délégués à la protection des données sur le plan du contenu, entre autres en leur offrant une formation continue adéquate et en formulant des recommandations, notamment sur le plan technique;
  8° publier annuellement, sur le site web de la Banque-carrefour et sur le site web de la Plate-forme eHealth, un rapport sommaire de l'accomplissement de ses missions au cours de l'année écoulée qui accordera une attention particulière aux dossiers pour lesquels une décision n'a pu être prise dans les délais.
  § 2. Les délibérations du comité de sécurité de l'information ont une portée générale contraignante entre les parties et envers les tiers et elles ne peuvent pas être contraires aux normes juridiques supérieures.
  L'Autorité de protection des données peut, à tout moment, confronter toute délibération du comité de sécurité de l'information aux normes juridiques supérieures, quel que soit le moment où elle a été rendue. Sans préjudice de ses autres compétences, elle peut demander au comité de sécurité de l'information, lorsqu'elle constate de manière motivée qu'une délibération n'est pas conforme à une norme juridique supérieure, de reconsidérer cette délibération sur les points qu'elle a indiqués, dans un délai de quarante-cinq jours et exclusivement pour le futur. Le cas échéant, le comité de sécurité de l'information soumet la délibération modifiée pour avis à l'Autorité de protection des données. Dans la mesure où cette dernière ne formule pas de remarques supplémentaires dans un délai de quarante-cinq jours, la délibération modifiée est censée être définitive.".

  Art. 40. Les articles 47 à 52 de la même loi, modifiés par les lois du 26 février 2003 et du 1er mars 2007, sont abrogés.

  CHAPITRE 4. - Modification de la loi du 24 février 2003 concernant la modernisation de la gestion de la sécurité sociale et concernant la communication électronique entre des entreprises et l'autorité fédérale

  Art. 41. Dans l'article 4/2, § 1er, alinéa 3, de la loi du 24 février 2003 concernant la modernisation de la gestion de la sécurité sociale et concernant la communication électronique entre des entreprises et l'autorité fédérale, inséré par la loi du 19 mars 2013, les mots "La section Sécurité sociale du Comité sectoriel de la Sécurité sociale et de la santé" sont remplacés par les mots "La chambre sécurité sociale et santé du comité de sécurité de l'information visé dans la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE".

  CHAPITRE 5. - Modifications de la loi du 13 décembre 2006 portant dispositions diverses en matière de santé

  Art. 42. L'intitulé du titre II, chapitre VII, de la loi du 13 décembre 2006 portant dispositions diverses en matière de santé, remplacé par loi du 1er mars 2007, est remplacé par ce qui suit: "Chapitre VII. Comité de sécurité de l'information - chambre sécurité sociale et santé".

  Art. 43. A l'article 42, § 2, de la même loi, modifié par la loi du 1er mars 2007, les modifications suivantes sont apportées:
  a) les mots "la section santé du comité sectoriel de la sécurité sociale et de la santé visée à l'article 37 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale" sont remplacés par les mots "la chambre sécurité sociale et santé du comité de sécurité de l'information";
  b) au 3°, les mots "au sens de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel" sont abrogés;
  c) au 3°, le troisième tiret commençant par les mots "dans les cas prévus à l'article 15, § 2, de la loi du 15 janvier 1990" est abrogé.
  d) au 3°, il est ajouté un cinquième tiret rédigé comme suit: "lorsque des données sont communiquées entre des instances d'une même Communauté ou Région, qui ne font pas usage des services de base de la plate-forme eHealth, visés dans la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant dispositions diverses.".

  CHAPITRE 6. - Modifications de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions

  Art. 44. Dans l'article 3 de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions, modifié par l'arrêté royal du 11 décembre 2013, les modifications suivantes sont apportées:
  a) le 9° est remplacé par ce qui suit:
  "9° données à caractère personnel relatives à la santé: les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;";
  b) l'article est complété par le 10° rédigé comme suit:
  "10° le comité de sécurité de l'information: le comité de sécurité de l'information visé dans la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.".

  Art. 45. Dans l'article 5 de la même loi, modifié par la loi du 10 avril 2014, les modifications suivantes sont apportées:
  a) au 4°, b), les mots "avis de la section santé du comité sectoriel de la sécurité sociale et de la santé" sont remplacés par les mots "délibération de la chambre sécurité sociale et santé du comité de sécurité de l'information";
  b) au 8°, les mots "en tant qu'organisme intermédiaire, tel que défini en vertu de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, recueillir," sont remplacés par les mots "en tant qu'organisme intermédiaire au sens d'une organisation autre que le responsable du traitement de données à caractère personnel non pseudonimisées, qui est chargée de leur pseudonimisation, recueillir,";
  c) au 8°, les mots "de la section santé du comité sectoriel de la sécurité sociale et de la santé" sont remplacés par les mots "de la chambre sécurité sociale et santé du comité de sécurité de l'information".

  Art. 46. L'article 6 de la même loi est remplacé par ce qui suit:
  "Art. 6. La présente loi ne porte nullement atteinte à la loi du 22 août 2002 relative aux droits du patient et aux dispositions légales et réglementaires relatives à l'exercice de l'art de guérir.".

  Art. 47. A l'article 8/1 de la même loi, inséré par la loi du 19 mars 2013, les modifications suivantes sont apportées:
  a) l'alinéa 2 est remplacé par ce qui suit:
  "Les échanges mentionnés à l'alinéa 1er sont exécutés conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.";
  b) à l'alinéa 4, les mots "qui offrent des garanties équivalentes au niveau de la sécurité de l'information et qui sont soumis au contrôle spécifique du Comité sectoriel de la sécurité sociale et de la santé" sont remplacés par les mots "pour lesquels la chambre sécurité sociale et santé du comité de sécurité de l'information a constaté qu'ils offrent des garanties équivalentes au niveau de la sécurité de l'information".

  Art. 48. A l'article 9 de la même loi, les modifications suivantes sont apportées:
  a) les mots "conseiller en sécurité de l'information" sont systématiquement remplacés par les mots "délégué à la protection des données";
  b) dans le paragraphe 1er, les mots "parmi les membres de son personnel et après avis de la section santé du comité sectoriel de la sécurité sociale et de la santé" sont remplacés par les mots "au sein de son personnel ou non";
  c) dans le paragraphe 2, les mots "réalise les tâches qui lui sont confiées par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et" sont insérés entre les mots "plate-forme eHealth" et les mots "est chargé".
  d) le paragraphe 2, 2 est remplacé par ce qui suit: "d'exécuter d'autres missions qui lui sont confiées par la personne chargée de la gestion journalière, dans la mesure où ceci ne compromet pas son indépendance et dans la mesure où le contenu et la quantité des autres missions confiées lui permettent d'exécuter ses tâches en tant que délégué à la protection des données conformément au règlement précité (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.".

  Art. 49. A l'article 10 de la même loi, les modifications suivantes sont apportées:
  a) dans l'alinéa 1er, les mots "parmi les membres du personnel de la plate-forme eHealth" sont remplacés par les mots "parmi les membres du personnel de la plate-forme eHealth ou non";
  b) dans l'alinéa 1er, les mots "de la section santé du comité sectoriel de la sécurité sociale et de la santé" sont remplacés par les mots "de la chambre sécurité sociale et santé du comité de sécurité de l'information";
  c) le mot "médecin" est chaque fois remplacé par les mots "professionnel des soins de santé".

  Art. 50. A l'article 11 de la même loi, les modifications suivantes sont apportées:
  a) dans l'alinéa 1er, les mots "de la section santé du comité sectoriel de la sécurité sociale et de la santé, visé à l'article 37 de la loi relative à la Banque-carrefour de la sécurité sociale" sont remplacés par les mots "de la chambre sécurité sociale et santé du comité de sécurité de l'information";
  b) la disposition sous le 1° est abrogée;
  c) dans l'alinéa 3, les mots "le comité sectoriel compétent" sont remplacés par les mots "la chambre sécurité sociale et santé du comité de sécurité de l'information";
  d) dans l'alinéa 4, les mots "d'un comité sectoriel institué au sein de la Commission de la protection de la vie privée" sont remplacés par les mots "de la chambre sécurité sociale et santé du comité de sécurité de l'information";
  e) dans l'alinéa 4, les mots "de données à caractère personnel codées, telles que définies en vertu de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel," sont remplacés par les mots "de données à caractère personnel pseudonymisées visées dans le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE";
  f) dans l'alinéa 5, les mots "la section santé du comité sectoriel de la sécurité sociale et de la santé" sont chaque fois remplacés par les mots "la chambre sécurité sociale et santé du comité de sécurité de l'information";
  g) l'alinéa 6 est abrogé.

  Art. 51. Dans l'article 21 de la même loi, les mots "ou dans le cadre de l'instruction d'une affaire par le comité sectoriel de la sécurité sociale et de la santé" sont abrogés.

  Art. 52. Dans l'article 22 de la même loi, remplacé par la loi du 10 avril 2014, les modifications suivantes sont apportées:
  a) les mots "comité sectoriel de la sécurité sociale et de la santé" sont chaque fois remplacés par les mots "comité de sécurité de l'information";
  b) les mots ", tel que défini en vertu de loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel," sont abrogés.

  Art. 53. L'article 32, § 1er, alinéa 2, de la même loi, est remplacé par ce qui suit:
  "Dans la mesure où un arrêté pris en application de l'alinéa 1er peut avoir un impact sur la présente loi, sur le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, sur la loi du 22 août 2002 relative aux droits du patient ou sur un arrêté d'exécution, l'Autorité de protection des données rend au préalable son avis.".

  Art. 54. L'article 36 de la même loi est abrogé.

  Art. 55. Dans l'article 36/1, § 1er, de la même loi, inséré par la loi du 19 mars 2013 et modifié par la loi du 21 juillet 2016, les modifications suivantes sont apportées:
  a) le 1° est remplacé par ce qui suit:
  "1° les données électroniques mentionnent l'identité de l'auteur de ces données, authentifiée soit à l'aide du certificat d'identité présent sur la carte d'identité électronique ou d'un autre certificat qui satisfait aux dispositions du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, soit à l'aide d'une procédure dont la chambre sécurité sociale et santé du comité de sécurité de l'information a constaté qu'elle offre les mêmes garanties;";
  b) le 2° est remplacé par ce qui suit:
  "2° les données électroniques peuvent être associées de manière précise à une date de référence et à une heure de référence attribuées soit par la plate-forme eHealth visée à l'article 2, soit par une autre instance déterminée par le Roi par un arrêté délibéré en Conseil des ministres, selon une procédure dont la chambre sécurité sociale et santé du comité de sécurité de l'information a constaté qu'elle offre les mêmes garanties;";
  c) le 3° est remplacé comme suit:
  "3° les données électroniques ne peuvent plus être modifiées de manière imperceptible après la mention de l'identité du rédacteur visée au 1° et après l'association à une date de référence et une heure de référence visée au 2° conformément à une procédure dont la chambre sécurité sociale et santé du comité de sécurité de l'information a constaté qu'elle offre les garanties nécessaires;".

  CHAPITRE 7. - Modifications du Code pénal social

  Art. 56. L'article 100/3, § 1er, alinéa 2, du Code pénal social, inséré par la loi du 29 mars 2012, est remplacé par ce qui suit:
  "Le Roi peut prévoir que l'e-PV peut être signé par son auteur de manière électronique au moyen d'un autre système, à l'égard duquel la chambre sécurité sociale et santé du comité de sécurité de l'information, visée dans la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, vérifie si ce système permet de déterminer l'identité du signataire et l'intégrité de l'e-PV signé avec des garanties suffisantes.".

  Art. 57. Dans l'article 100/10 du même code, inséré par la loi du 29 mars 2012, les mots "la section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé" sont chaque fois remplacés par les mots "la chambre sécurité sociale et santé du comité de sécurité de l'information.".

  Art. 58. Dans l'article 100/12, alinéa 2, du même code, inséré par la loi du 29 mars 2012, les mots "de la section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé" sont remplacés par les mots "de la chambre sécurité sociale et santé du comité de sécurité de l'information".

  Art. 59. Dans le livre 1er, titre 5, du même code, il est inséré un chapitre 5/1, intitulé:
  "CHAPITRE 5/1. Dispositions relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en droit pénal social".

  Art. 60. Dans le chapitre 5/1 du même code, inséré par l'article 59, il est inséré une section 1re, intitulée: "Le droit d'information lors de la collecte de données à caractère personnel et de communication des données à caractère personnel."

  Art. 61. Dans la section 1re du chapitre 5/1 du même code, insérée par l'article 60, il est inséré un article 100/14, rédigé comme suit:
  "Art. 100/14. § 1er. Par dérogation aux articles 13 et 14, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), en vue de garantir les objectifs d'intérêt public de la sécurité sociale, et pour autant que l'article 14, § 5, d), ne puisse être invoqué dans le cas d'espèce, le droit d'information peut être retardé, limité ou exclu s'agissant des traitements de données à caractère personnel dont, soit les services d'inspection sociale visés au Code pénal social et à l'arrêté royal du 1er juillet 2011 portant exécution des articles 16, 13°, 17, 20, 63, 70 et 88 du Code pénal social et fixant la date d'entrée en vigueur de la loi du 2 juin 2010 comportant des dispositions de droit pénal social, soit la Direction des amendes administratives de la Division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale, soit le Service des amendes administratives ou la Direction concurrence loyale de l'Institut national des assurances sociales pour travailleurs indépendants, soit le service d'inspection pour la contrôle des caisses d'assurances sociales pour indépendants, soit le Service du contrôle administratif ou le Service d'évaluation et de contrôle médicaux de l'Institut national d'assurance maladie invalidité, soit le Service d'Information et de Recherche sociale sont le responsable du traitement.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services visés à l'alinéa 1er, en ce compris les procédures visant à l'application éventuelle d'une amende administrative ou sanction administrative par les services compétents.
  Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent de la dérogation visée à l'alinéa 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec une durée maximale de conservation ne pouvant excéder un an après la cessation définitive des procédures et recours juridictionnels, administratives et extrajudiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er.
  § 2. Ces dérogations valent durant la période dans laquelle la personne concernée est l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par les services d'inspection précités dans le cadre de l'exécution de leurs missions légales ainsi que durant la période durant laquelle la Direction des amendes administratives de la Division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale, le Service des amendes administratives ou la Direction concurrence loyale de l'Institut national des assurances sociales pour travailleurs indépendants, le service d'inspection pour le contrôle des caisses d'assurances sociales pour indépendants, le Service du contrôle administratif ou le Service d'évaluation et de contrôle médicaux de l'Institut national d'assurance maladie invalidité ou le Service d'Information et de Recherche sociale traite les pièces provenant des services d'inspection sociale, en vue d'exercer les poursuites en la matière.
  Ces dérogations valent dans la mesure où l' application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires, risque de violer le secret de l'enquête pénale ou la sécurité des personnes.
  La durée des actes préparatoires, visés au § 2, alinéa 2, pendant laquelle les articles 13 et 14 du règlement général sur la protection des données ne sont pas applicables, ne peut excéder un an à partir de la réception d'une demande concernant la communication d'informations à fournir en application de ces articles 13 et 14.
  La restriction visée au § 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou la limitation d'information.
  § 3. Dès réception d'une demande concernant la communication d'informations à fournir visée au § 2, alinéa 3, le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation d'information, ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au § 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsqu'un des services d'inspection précité a fait usage de l'exception telle que déterminée au paragraphe 1er, alinéa 1er, et à l'exception des situations visées aux alinéas 6 et 7 du paragraphe 3, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de la personne concernée ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service des amendes administratives compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de celle-ci.
  Lorsqu'un dossier est transmis à l'administration dont dépend le service d'inspection ou à l'institution compétente pour statuer sur les conclusions de l'enquête, les droits de la personne concernée ne sont rétablis qu'après que l'administration ou l'institution compétente ait statué sur le résultat de l'enquête."

  Art. 62. Dans le chapitre 5/1 du même code, inséré par l'article 59, il est inséré une section 2, intitulée: "Le droit d'accès aux données à caractère personnel".

  Art. 63. Dans la section 2 du chapitre 5/1 du même code, insérée par l'article 62, il est inséré un article 100/15, rédigé comme suit:
  "Art. 100/15. § 1er. Par dérogation à l'article 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), en vue de garantir les objectifs d'intérêt public de la sécurité sociale, le droit d'accès aux données à caractère personnel la concernant peut être retardé, limité entièrement ou partiellement s'agissant des traitements de données à caractère personnel dont soit les services d'inspection sociale visés au Code pénal social et à l'arrêté royal du 1er juillet 2011 portant exécution des articles 16, 13°, 17, 20, 63, 70 et 88 du Code pénal social et fixant la date d'entrée en vigueur de la loi du 2 juin 2010 comportant des dispositions de droit pénal social, soit la Direction des amendes administratives de la Division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale, soit le Service des amendes administratives ou la Direction concurrence loyale de l'Institut national des assurances sociales pour travailleurs indépendants, soit le service d'inspection pour le contrôle des caisses d'assurances sociales pour indépendants, soit le Service du contrôle administratif ou le Service d'évaluation et de contrôle médicaux de l'Institut national d'assurance maladie invalidité, soit le Service d'Information et de Recherche sociale sont le responsable du traitement.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services visés à l'alinéa 1er, en ce compris les procédures visant à l'application éventuelle d'une amende administrative ou sanction administrative par les services compétents.
  Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent de la dérogation visée à l'alinéa 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec une durée maximale de conservation ne pouvant excéder un an après la cessation définitive des procédures et recours juridictionnels, administratives et extrajudiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er.
  § 2. Ces dérogations valent durant la période dans laquelle la personne concernée est l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par les services d'inspection précités dans le cadre de l'exécution de ses missions légales ainsi que durant la période durant laquelle la Direction des amendes administratives de la Division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale, le Service des amendes administratives ou la Direction concurrence loyale de l'Institut national des assurances sociales pour travailleurs indépendants, le service d'inspection pour le contrôle des caisses d'assurances sociales pour indépendants, le Service du contrôle administratif ou le Service d'évaluation et de contrôle médicaux de l'Institut national d'assurance maladie invalidité et le Service d'Information et de Recherche sociale traite les pièces provenant des services d'inspection sociale en vue d'exercer les poursuites en la matière.
  Ces dérogations valent dans la mesure où l'application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires, risque de violer le secret de l'enquête pénale ou la sécurité des personnes.
  La durée des actes préparatoires, visés au § 2, alinéa 2, pendant laquelle l' article 15 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception de la demande introduite en application de l' article 15.
  La restriction visée au § 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou la limitation d'accès.
  § 3. Dès réception d'une demande d'accès, le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit d'accès aux données la concernant ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsqu'un des services d'inspection précité a fait usage de l'exception telle que déterminée au § 1er, alinéa 1er, et à l'exception des situations visées aux alinéas 6 et 7 du paragraphe 3, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de la personne concernée ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service des amendes administratives compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de celle-ci.
  Lorsqu'un dossier est transmis à l'administration dont dépend le service d'inspection ou à l'institution compétente pour statuer sur les conclusions de l'enquête, les droits de la personne concernée ne sont rétablis qu'après que l'administration ou l'institution compétente ait statué sur le résultat de l'enquête.".

  Art. 64. Dans le chapitre 5/1 du même code, inséré par l'article 59, il est inséré une section 3, intitulée: "Le droit de rectification".

  Art. 65. Dans la section 3 du chapitre 5/1 du même code, insérée par l'article 64, il est inséré un article 100/16, rédigé comme suit:
  "Art. 100/16. § 1er. Par dérogation à l'article 16 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), en vue de garantir les objectifs d'intérêt public de la sécurité sociale, le droit de rectification peut être retardé, limité ou exclus s'agissant des traitements de données à caractère personnel dont soit les services d'inspection sociale visés au Code pénal social et à l'arrêté royal du 1er juillet 2011 portant exécution des articles 16, 13°, 17, 20, 63, 70 et 88 du Code pénal social et fixant la date d'entrée en vigueur de la loi du 2 juin 2010 comportant des dispositions de droit pénal social, soit la Direction des amendes administratives de la Division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale, soit le Service des amendes administratives ou la Direction concurrence loyale de l'Institut national des assurances sociales pour travailleurs indépendants, soit le service d'inspection pour le contrôle des caisses d'assurances sociales pour indépendants, soit le Service du contrôle administratif ou le Service d'évaluation et de contrôle médicaux de l'Institut national d'assurance maladie invalidité, soit le Service d'Information et de Recherche sociale sont le responsable du traitement.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services visés à l'alinéa 1er, en ce compris les procédures visant à l'application éventuelle d'une amende administrative ou sanction administrative par les services compétents.
  Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent de la dérogation visée à l'alinéa 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec une durée maximale de conservation ne pouvant excéder un an après la cessation définitive des procédures et recours juridictionnels, administratives et extrajudiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er.
  § 2. Cette dérogation vaut durant la période dans laquelle la personne concernée est l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par les services d'inspection précités dans le cadre de l'exécution de ses missions légales ainsi que pendant la période durant laquelle la Direction des amendes administratives de la Division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale, le Service des amendes administratives ou la Direction concurrence loyale de l'Institut national des assurances sociales pour travailleurs indépendants, le service d'inspection pour le contrôle des caisses d'assurances sociales pour indépendants, soit le Service du contrôle administratif ou le Service d'évaluation et de contrôle médicaux de l'Institut national d'assurance maladie invalidité, soit le Service d'Information et de Recherche sociale, traite les pièces provenant des services d'inspection sociale en vue d'exercer les poursuites en la matière.
  Cette dérogation vaut dans la mesure où l' application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires, risque de violer le secret de l'enquête pénale ou la sécurité des personnes.
  La durée des actes préparatoires, visés au paragraphe 2, alinéa 2, pendant laquelle l'article 16 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception de la demande introduite en application de cet article 16.
  La restriction visée au § 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou la limitation de rectification.
  § 3. Dès réception d'une demande le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit de rectification, ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des finalités énoncées au § 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
  Le délégué à la protection des données du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsqu'un des services d'inspection précité a fait usage de l'exception telle que déterminée au § 1er, alinéa 1er, et à l'exception des situations visées aux alinéas 6 et 7 du paragraphe 3, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de la personne concernée ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service des amendes administratives compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de celle-ci.
  Lorsqu'un dossier est transmis à l'administration dont dépend le service d'inspection ou à l'institution compétente pour statuer sur les conclusions de l'enquête, les droits de la personne concernée ne sont rétablis qu'après que l'administration ou l'institution compétente ait statué sur le résultat de l'enquête.".

  Art. 66. Dans le chapitre 5/1 du même code, inséré par l'article 59, il est inséré une section 4, intitulée: "Le droit à la limitation du traitement".

  Art. 67. Dans la section 4 du chapitre 5/1 du même code, insérée par l'article 66, il est inséré un article 100/17, rédigé comme suit:
  "Art. 100/17, § 1er. Par dérogation à l'article 18 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), en vue de garantir les objectifs d'intérêt public de la sécurité sociale, le droit à la limitation du traitement peut être retardé, limité ou exclus s'agissant des traitements de données à caractère personnel dont soit les services d'inspection sociale visés au Code pénal social et à l'arrêté royal du 1er juillet 2011 portant exécution des articles 16, 13°, 17, 20, 63, 70 et 88 du Code pénal social et fixant la date d'entrée en vigueur de la loi du 2 juin 2010 comportant des dispositions de droit pénal social, soit la Direction des amendes administratives de la Division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale, soit le Service des amendes administratives ou la Direction concurrence loyale de l'Institut national des assurances sociales pour travailleurs indépendants, soit le service d'inspection pour le contrôle des caisses d'assurances sociales pour indépendants, soit le Service du contrôle administratif ou le Service d'évaluation et de contrôle médicaux de l'Institut national d'assurance maladie invalidité, soit le Service d'Information et de Recherche sociale sont le responsable du traitement.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services visés à l'alinéa 1er, en ce compris les procédures visant à l'application éventuelle d'une amende administrative ou sanction administrative par les services compétents.
  Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent de la dérogation visée à l'alinéa 1er ne sont pas conservés plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec une durée maximale de conservation ne pouvant excéder un an après la cessation définitive des procédures et recours juridictionnels, administratives et extrajudiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er.
  § 2. Cette dérogation vaut durant la période dans laquelle la personne concernée est l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par les services d'inspection précités dans le cadre de l'exécution de ses missions légales ainsi que pendant la période durant laquelle la Direction des amendes administratives de la Division des études juridiques, de la documentation et du contentieux du Service public fédéral Emploi, Travail et Concertation sociale, le Service des amendes administratives ou la Direction concurrence loyale de l'Institut national des assurances sociales pour travailleurs indépendants, le service d'inspection pour le contrôle des caisses d'assurances sociales pour indépendants, soit le Service du contrôle administratif ou le Service d'évaluation et de contrôle médicaux de l'Institut national d'assurance maladie invalidité, soit le Service d'Information et de Recherche sociale, traite les pièces provenant des services d'inspection sociale en vue d'exercer les poursuites en la matière.
  Cette dérogation vaut dans la mesure où l' application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale ou la sécurité des personnes.
  La durée des actes préparatoires, visés au § 2, alinéa 2, pendant laquelle l'article 18 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception de la demande introduite en application de cet article 18.
  La restriction visée au § 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus de la limitation du traitement.
  § 3. Dès réception d'une demande de limitation du traitement le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit à la limitation du traitement des données à caractère personnel la concernant ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des finalités énoncées au § 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsqu'un des services d'inspection précité a fait usage de l'exception telle que déterminée au § 1er, alinéa 1er, et à l'exception des situations visées aux alinéas 6 et 7 du paragraphe 3, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de la personne concernée ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service des amendes administratives compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de celle-ci.
  Lorsqu'un dossier est transmis à l'administration dont dépend le service d'inspection ou à l'institution compétente pour statuer sur les conclusions de l'enquête, les droits ne sont rétablis qu'après que l'administration ou l'institution compétente ait statué sur le résultat de l'enquête.".

  Art. 68. Dans l'article 213 du même code, les modifications suivantes sont apportées:
  a) au 1°, a), et au 2°, b), les mots "le comité sectoriel de la sécurité sociale et de la santé" sont chaque fois remplacés par les mots "la chambre sécurité sociale et santé du comité de sécurité de l'information";
  b) au 2°, a), les mots "ou ne se soumettent pas au contrôle de la section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé" sont abrogés;
  c) au 2°, b), les mots "l'article 15, § 2, de la loi précitée" sont remplacés par les mots "l'article 46, § 1er, 6°, de la loi précitée";
  d) au 2°, b), les mots "au sens de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel," sont abrogés.

  Art. 69. Dans l'article 215 du même Code, le § 2, 1°, et le § 3, 1°, sont abrogés.

  CHAPITRE 8. - Modifications de la loi du 3 août 2012 portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions

  Art. 70. A l'article 4 de la loi du 3 août 2012 portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service Public fédéral Finances dans le cadre de ses missions, les modifications suivantes sont apportées:
  1° l'alinéa 1er est remplacé par ce qui suit:
  "Les administrations et, ou services du Service public fédéral Finances s'échangent des données à caractère personnel sur autorisation du Président du Comité de direction.";
  2° à l'alinéa 2, les mots "Cette instance" sont remplacés par les mots "Le Président du Comité de direction";
  3° à l'alinéa 3, le mot "Elle" est remplacé par le mot "Il" et les mots "après avis du Comité sectoriel pour l'Autorité fédérale" sont remplacés par les mots "après avis du Délégué à la protection des données.";
  4° l'alinéa 4 est remplacé par ce qui suit:
  "Le président du Comité de direction peut demander préalablement l'avis de la chambre compétente du Comité de Sécurité de l'Information.".

  Art. 71. A l'article 5 de la même loi sont apportés les modifications suivantes:
  1° le paragraphe 1er est remplacé par ce qui suit:
  " § 1er. Sans préjudice du traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), le Service public fédéral Finances peut, en vue de réaliser, dans le cadre de ses missions légales, les finalités d'une part de contrôles ciblés sur la base d'indicateurs de risque et d'autre part, d'analyses sur des données relationnelles provenant de différentes administrations et/ou services du Service Public Fédéral Finances, agréger les données collectées en application de l'article 3 dans un datawarehouse permettant de procéder à des opérations de datamining et de datamatching, en ce compris du profilage au sens de l'article 4, 4) du règlement général sur la protection des données.
  Pour l'application de la présente disposition, il y a lieu d'entendre par:
  1° "datawarehouse": un système de données contenant une grande quantité de données numériques pouvant faire l'objet d'une analyse;
  2° "datamining": la recherche de manière avancée d'informations dans de gros fichiers de données;
  3° "datamatching": la comparaison entre plusieurs sets de données rassemblées;
  4° "indicateurs de risques": les événements susceptibles d'avoir un impact sur l'exercice des missions légales, déterminés suite à une analyse objective des informations disponibles;
  5° "données relationnelles": il est fait référence à la manière de modéliser les relations existantes entre plusieurs informations provenant de base de données différentes et de les ordonner entre elles grâce à des clés primaires et des identifiants uniques.
  Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent des traitements dans le datawarehouse ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées avec une durée maximale de conservation ne pouvant excéder un an après la prescription de toutes les actions qui relèvent de la compétence du responsable du traitement et, le cas échéant, la cessation définitive des procédures et recours administratifs et judiciaires ainsi que du paiement intégral de tous les montants y liés.";
  2° le paragraphe 2 est remplacé par ce qui suit:
  " § 2. Par dérogation à l'article 35/1 de la loi du 15 août 2012, l'intégration dans le datawarehouse de toute catégorie de données à caractère personnel fournie par des tiers, fait l'objet d'une délibération de la chambre compétente du Comité de Sécurité de l'Information.
  Celle-ci veille en particulier à ce que le traitement intervienne, lorsque cela est possible, sur des données à caractère personnel pseudonymisées et à ce que la dépseudonymisation n'intervienne que lorsqu'il existe un risque de commission d'une infraction à une loi ou à une réglementation dont l'application relève des missions du Service public fédéral Finances.
  Un arrêté royal délibéré en Conseil des ministres, pris après avis de l'Autorité de protection des données, détermine les cas où une intégration visée à l'alinéa 1er ne requiert pas de délibération de la chambre compétente du Comité de Sécurité de l'Information.".

  Art. 72. L'article 6 de la même loi, modifié par la loi-programme du 1er juillet 2016, est remplacé par ce qui suit:
  "Art. 6. Les agents du Service public fédéral Finances restent dans l'exercice de leurs fonctions au sens de l'article 337 du Code des impôts sur les revenus 1992, de l'article 93bis du Code de la taxe sur la valeur ajoutée, de l'article 236bis du Code des droits d'enregistrement, d'hypothèque et de greffe, de l'article 146bis du Code des droits de succession, de l'article 212 du Code des droits et taxes divers, de l'article 14 de la loi domaniale du 22 décembre 1949 et de l'article 320 de la Loi générale sur les Douanes et Accises lorsqu'ils communiquent des renseignements, en vertu d'une autorisation du responsable de traitement représenté par le président du Comité de direction du Service public fédéral Finances ou du Comité de sécurité de l'information. Les destinataires de ces données sont également tenus au secret professionnel et ne peuvent utiliser les données que dans le cadre de l'exécution de leurs missions légales ou des autorisations du responsable de traitement représenté par le président du Comité de direction du Service public fédéral Finances ou du Comité de sécurité de l'information compétents."."

  Art. 73. L'article 7 de la même loi est remplacé par ce qui suit:
  "Art. 7. Dans les échanges de données visés à l'article 5 et à l'article 6, le Service public fédéral Stratégie et Appui rend son avis technique et juridique visé à l'article 35/4 de la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de service fédéral après consultation du Service public fédéral Finances.".

  Art. 74. L'article 8 de la même loi est remplacé par ce qui suit:
  "Art. 8. Il est créé au sein du Service public fédéral Finances, un Service de Sécurité de l'Information et de Protection de la Vie Privée qui est placé sous l'autorité directe du président du Comité de direction du Service public Fédéral Finances.
  Ce service assiste le Délégué à la protection des données dans l'exercice de ses missions prévues dans le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE ainsi que dans les dispositions prises en exécution de ce Règlement.".

  Art. 75. Dans le chapitre 2 de la même loi, la section 8, comportant l'article 9, est abrogée.

  Art. 76. A l'article 10, § 4, de la même loi, les modifications suivantes sont apportées:
  1° à l'alinéa 1er, les mots "Comité sectoriel pour l'Autorité fédérale" sont remplacés par les mots "Délégué à la protection des données";
  2° à l'alinéa 2, les mots "Le service visé à l'article 8" sont remplacés par les mots "Le Délégué à la protection des données".

  Art. 77. L'intitulé de la section 10, chapitre 2, de la même loi, est remplacé par l'intitulé suivant: "Section 10. Le droit d'information lors de la collecte de données à caractère personnel et de communication des données à caractère personnel, le droit d'accès aux données à caractère personnel, le droit de rectification et le droit à la limitation du traitement".

  Art. 78. Dans la section 10, chapitre 2, de la même loi, il est inséré une sous-section 1, intitulée:
  "Le droit d'information lors de la collecte de données à caractère personnel et de communication des données à caractère personnel".

  Art. 79. Dans la sous-section 1, insérée par l'article 78, l'article 11 de la même loi est remplacé par ce qui suit:
  "Art. 11. § 1er. Par dérogation aux articles 13 et 14, du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), le droit d'information peut être retardé, limité ou exclu s'agissant des traitements de données à caractère personnel dont le Service public fédéral Finances est le responsable du traitement afin de garantir les objectifs d'intérêt public dans le domaine budgétaire, monétaire et fiscal et pour autant que l'article 14, le paragraphe 5, d), ne puisse être invoqué dans le cas d'espèce.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services compétents du Service public fédéral Finances, en ce compris les procédures visant à l'application éventuelle d'une amende administrative ou sanction administrative.
  Sans préjudice de la conservation nécessaire pour le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent de la dérogation visée à l'alinéa 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec une durée maximale de conservation ne pouvant excéder un an après la cessation définitive des procédures et recours juridictionnels, administratives et extrajudiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er.
  § 2. Ces dérogations valent durant la période pendant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par les services précités dans le cadre de l'exécution de leurs missions légales ainsi que durant la période durant laquelle sont traités les pièces provenant de ces services, en vue d'exercer les poursuites en la matière.
  Ces dérogations valent dans la mesure où l'application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale ou la sécurité des personnes.
  La durée des actes préparatoires, visés au paragraphe 2, alinéa 2, pendant laquelle les articles 13 et 14 du règlement général sur la protection des données ne sont pas applicables, ne peut excéder un an à partir de la réception d'une demande concernant la communication d'informations à fournir en application de ces articles 13 et 14.
  La restriction visée au paragraphe 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou la limitation d'information.
  § 3. Dès réception d'une demande concernant la communication d'informations à fournir visée au paragraphe 2, alinéa 3, le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation d'information, ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsque le Service public fédéral Finances a fait usage de l'exception telle que déterminée au paragraphe 1er, alinéa 1er, et à l'exception des situations visées aux alinéas 6 et 7 du paragraphe 3, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de la personne concernée ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de celle-ci.
  Lorsqu'un dossier est transmis à un autre service du Service public fédéral Finances ou à l'institution compétente pour statuer sur les conclusions de l'enquête, les droits ne sont rétablis qu'après que ce service ou l'institution compétente ait statué sur le résultat de l'enquête.".

  Art. 80. Dans la section 10, chapitre 2, de la même loi, il est inséré une sous-section 2, intitulée:
  "Le droit d'accès aux données à caractère personnel".

  Art. 81. Dans la sous-section 2, insérée par l'article 80, il est inséré un article 11/1 rédigé comme suit:
  "Art. 11/1. § 1er. Par dérogation à l'article 15 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), le droit d'accès aux données à caractère personnel la concernant peut être retardé, limité entièrement ou partiellement s'agissant des traitements de données à caractère personnel dont le Service public fédéral Finances est le responsable du traitement afin de garantir les objectifs d'intérêt public dans le domaine budgétaire, monétaire et fiscal.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services compétents du Service public fédéral Finances, en ce compris les procédures visant à l'application éventuelle d'une amende administrative ou sanction administrative.
  Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent de la dérogation visée à l'alinéa 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec une durée maximale de conservation ne pouvant excéder un an après la cessation définitive des procédures et recours juridictionnels, administratives et extrajudiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er.
  § 2. Ces dérogations valent durant la période pendant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par les services précités dans le cadre de l'exécution de ses missions légales ainsi que durant la période durant laquelle sont traités les documents provenant de ces services en vue d'exercer les poursuites en la matière.
  Ces dérogations valent dans la mesure où l' application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale ou la sécurité des personnes physiques.
  La durée des actes préparatoires, visés au paragraphe 2, alinéa 2, pendant laquelle l' article 15 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception de la demande introduite en application de l' article 15.
  La restriction visée au paragraphe 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou la limitation d'accès.
  § 3. Dès réception d'une demande d'accès, le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit d'accès aux données la concernant ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsque le Service public fédéral Finances a fait usage de l'exception telle que déterminée au paragraphe 1er, alinéa 1er, et à l'exception des situations visées aux alinéas 6 et 7 du paragraphe 3, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de la personne concernée ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de celle-ci.
  Lorsqu'un dossier est transmis à un autre service du Service public fédéral Finances ou à l'institution compétente pour statuer sur les conclusions de l'enquête, les droits ne sont rétablis qu'après que ce service ou l'institution compétente ait statué sur le résultat de l'enquête.".

  Art. 82. Dans la section 10, chapitre 2, de la même loi, il est inséré une sous-section 3, intitulée:
  "Le droit de rectification".

  Art. 83. Dans la sous-section 3, insérée par l'article 82, il est inséré un article 11/2 rédigé comme suit:
  "Art. 11/2. § 1er. Par dérogation à l'article 16 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), le droit de rectification peut être retardé, limité ou exclu s'agissant des traitements de données à caractère personnel dont le Service public fédéral Finances est le responsable du traitement afin de garantir les objectifs d'intérêt public dans le domaine budgétaire, monétaire et fiscal.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services compétents du Service public fédéral Finances, en ce compris les procédures visant à l'application éventuelle d'une amende administrative ou sanction administrative.
  Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent de la dérogation visée à l'alinéa 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec une durée maximale de conservation ne pouvant excéder un an après la cessation définitive des procédures et recours juridictionnels, administratives et extrajudiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er.
  § 2. Cette dérogation vaut durant la période pendant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par les services précités dans le cadre de l'exécution de ses missions légales ainsi que pendant la période durant laquelle sont traités les documents provenant de ces services en vue d'exercer les poursuites en la matière.
  Cette dérogation vaut dans la mesure où l'application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale ou la sécurité des personnes.
  La durée des actes préparatoires, visés au paragraphe 2, alinéa 2, pendant laquelle l'article 16 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception de la demande introduite en application de cet article 16.
  La restriction visée au paragraphe 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou la limitation de rectification.
  § 3. Dès réception d'une demande de rectification, le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit de rectification, ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
  Le délégué à la protection des données du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsque le Service public fédéral Finances a fait usage de l'exception telle que déterminée au paragraphe 1er, alinéa 1er, et à l'exception des situations visées aux alinéas 6 et 7 du paragraphe 3, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de la personne concernée ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de celle-ci.
  Lorsqu'un dossier est transmis à un autre service du Service public fédéral Finances ou à l'institution compétente pour statuer sur les conclusions de l'enquête, les droits ne sont rétablis qu'après que ce service ou l'institution compétente ait statué sur le résultat de l'enquête.".

  Art. 84. Dans la section 10, chapitre 2, de la même loi, il est inséré une sous-section 4, intitulée:
  "Le droit à la limitation du traitement".

  Art. 85. Dans la sous-section 4, insérée par l'article 84, il est inséré un article 11/3 rédigé comme suit:
  "Art. 11/3, § 1er. Par dérogation à l'article 18 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), le droit à la limitation du traitement peut être retardé, limité ou exclus s'agissant des traitements de données à caractère personnel dont le Service public fédéral Finances est le responsable du traitement afin de garantir les objectifs d'intérêt public dans le domaine budgétaire, monétaire et fiscal.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services du Service public fédéral Finances, en ce compris les procédures visant à l'application éventuelle d'une amende administrative ou sanction administrative.
  Sans préjudice de la conservation nécessaire pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), les données à caractère personnel qui résultent de la dérogation visée à l'alinéa 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec une durée maximale de conservation ne pouvant excéder un an après la cessation définitive des procédures et recours juridictionnels, administratives et extrajudiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er.
  § 2. Cette dérogation vaut durant la période dans laquelle la personne concernée est l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par les services précités dans le cadre de l'exécution de ses missions légales ainsi que pendant la période durant laquelle sont traités les documents provenant de ces services en vue d'exercer les poursuites en la matière.
  Cette dérogation vaut dans la mesure où l' application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale ou la sécurité des personnes.
  La durée des actes préparatoires, visés au paragraphe 2, alinéa 2, pendant laquelle l'article 18 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception de la demande introduite en application de cet article 18.
  La restriction visée au paragraphe 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus d'accès à ces données.
  § 3. Dès réception d'une demande de limitation de traitement le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit de limitation du traitement des données à caractère personnel la concernant ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsque le Service public fédéral Finances a fait usage de l'exception telle que déterminée au paragraphe 1er, alinéa 1er, et à l'exception des situations visées aux alinéas 6 et 7 du paragraphe 3, la règle de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis à l'autorité judiciaire, les droits de la personne concernée ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de celle-ci.
  Lorsqu'un dossier est transmis à un autre service du Service public fédéral Finances ou à l'institution compétente pour statuer sur les conclusions de l'enquête, les droits ne sont rétablis qu'après que ce service ou l'institution compétente ait statué sur le résultat de l'enquête.".

  CHAPITRE 9. - Modification de la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral

  Art. 86. Dans le chapitre 5 de la loi du 15 août 2012 relative à la création et à l'organisation d'un intégrateur de services fédéral, il est inséré une section 3, comportant les articles 35/1 à 35/5, rédigée comme suit:
  "Section 3. Chambre autorité fédérale du comité de sécurité de l'information.
  Article 35/1. § 1er. La communication de données à caractère personnel par des services publics et des institutions publiques de l'autorité fédérale à des tiers autres que les institutions de sécurité sociale visées à l'article 2, alinéa 1er, 2°, de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale doit faire l'objet une délibération préalable de la chambre autorité fédérale du comité de sécurité de l'information visée dans la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dans la mesure où les responsables du traitement de l'instance qui communique et des instances destinatrices ne parviennent pas, en exécution de l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, à un accord concernant la communication ou au moins un de ces responsables du traitement demande une délibération et en a informé les autres responsables du traitement. Dans les cas mentionnés, la demande est introduite d'office conjointement par les responsables du traitement concernés.
  La communication, visée dans l'alinéa 1er, ne doit pas faire l'objet d'une délibération préalable dans la mesure où d'autres normes réglementaires précisent les modalités de la communication dont les finalités, les catégories de données et les destinataires ou dans la mesure où il s'agit d'une communication ponctuelle de données, en conformité avec le règlement (UE) 2016/679 précité, à des personnes ou institutions habilitées à les recevoir en vertu d'une mission légale.
  La communication de données à caractère personnel par des services publics et des institutions publiques de l'autorité fédérale à des institutions de sécurité sociale visées à l'article 2, alinéa 1er, 2°, a), de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale doit faire l'objet d'une délibération préalable des chambres réunies du comité de sécurité de l'information, dans la mesure où les responsables du traitement de l'instance qui communique, de l'instance destinatrice et de la Banque-carrefour de la sécurité sociale ne parviennent pas, en exécution de l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, à un accord concernant la communication ou au moins un de ces responsables du traitement demande une délibération et en a informé les autres responsables du traitement. Dans les cas mentionnés, la demande est introduite d'office conjointement par les responsables du traitement concernés.
  La communication de données à caractère personnel par des services publics et des institutions publiques de l'autorité fédérale à des institutions de sécurité sociale visées à l'article 2, alinéa 1er, 2°, b) à f), de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale doit faire l'objet d'une délibération préalable des chambres réunies du comité de sécurité de l'information.
  La chambre autorité fédérale du comité de sécurité de l'information n'est pas compétente pour la communication de données à caractère personnel provenant des banques de données des autorités visées aux titres 2 et 3 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
  Pour l'application de l'alinéa 1er, sont considérés comme des tiers: les instances autres que l'intéressé, le responsable du traitement, le sous-traitant et les personnes autorisées à traiter les données à caractère personnel sous l'autorité directe du responsable du traitement ou du sous-traitant.
  Pour autant qu'une demande contienne tous les éléments permettant de délibérer et qu'elle est introduite en tant que telle dans les trente jours calendriers précédant une réunion déterminée, elle est en principe traitée pendant la réunion qui suit la réunion précitée. Le demandeur reçoit endéans une semaine un accusé de réception indiquant si la demande introduite est complète ou non.
  Dans la mesure où le comité de sécurité de l'information rend une délibération pour la communication de données à caractère personnel par l'autorité fédérale, cette dernière est, par dérogation à l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, dispensée de l'obligation d'établir un protocole y relatif avec le destinataire des données à caractère personnel.
  § 2.La chambre autorité fédérale du comité de sécurité de l'information rend, le cas échéant, une délibération pour l'utilisation du numéro d'identification du Registre national des personnes physiques par les instances concernées si cela s'avère nécessaire dans le cadre de la communication envisagée.
  § 3. Dans la mesure où cette compétence n'a pas explicitement été attribuée à la chambre sécurité sociale et santé du comité de sécurité de l'information, la chambre autorité fédérale du comité de sécurité de l'information soutient les délégués à la protection des données qui sont désignés par les services publics et organismes publics de l'autorité fédérale sur le plan du contenu, entre autres en leur offrant une formation continue adéquate et en formulant des recommandations, notamment sur le plan technique.
  § 4. Les délibérations du comité de sécurité de l'information sont motivées et ont une portée générale contraignante entre les parties et envers les tiers. Elles ne peuvent pas être contraires aux normes juridiques supérieures.
  L'Autorité de protection des données peut, à tout moment, confronter toute délibération du comité de sécurité de l'information aux normes juridiques supérieures, quel que soit le moment où elle a été rendue. Sans préjudice de ses autres compétences, elle peut demander au comité de sécurité de l'information, lorsqu'elle constate de manière motivée qu'une délibération n'est pas conforme à une norme juridique supérieure, de reconsidérer cette délibération sur les points qu'elle a indiqués, dans un délai de quarante-cinq jours et exclusivement pour le futur. Le cas échéant, le comité de sécurité de l'information soumet la délibération modifiée pour avis à l'Autorité de protection des données. Dans la mesure où cette dernière ne formule pas de remarques supplémentaires dans un délai de quarante-cinq jours, la délibération modifiée est censée être définitive.
  § 5. La chambre autorité fédérale du comité de sécurité de l'information assure la mise à jour et la publication sur le site web du Service public fédéral Stratégie et Appui de la liste des délibérations qu'elle a accordées.
  Elle publie annuellement, sur le site web du Service public fédéral Stratégie et Appui, un rapport sommaire de l'accomplissement de ses missions au cours de l'année écoulée, qui accordera une attention particulière aux dossiers pour lesquels une décision n'a pu être prise dans les délais.

  Art. 35/2. La chambre autorité fédérale du comité de sécurité de l'information est établie et tient ses réunions auprès du Service public fédéral Stratégie et Appui, qui met à la disposition les bureaux et moyens bureautiques nécessaires à son fonctionnement et à sa présidence et du personnel spécialisé, dans la mesure requise par la réalisation des missions de la chambre autorité fédérale du comité de sécurité de l'information. Le président du comité de sécurité de l'information a la responsabilité fonctionnelle de ce personnel en ce qui concerne les tâches qu'il assume pour le comité de sécurité de l'information.

  Art. 35/3. Les frais de fonctionnement de la chambre autorité fédérale du comité de sécurité de l'information, en ce compris les indemnités allouées au président et aux autres membres et les remboursements de frais pour autant qu'ils aient trait à l'exécution des missions de cette chambre, sont pris en charge par le Service public fédéral Stratégie et Appui.

  Art. 35/4. Le Service public fédéral Stratégie et Appui rédige un avis technique et juridique relatif à toute demande concernant la communication de données à caractère personnel dont il a reçu une copie de la part du comité de sécurité de l'information.
  Dans la mesure où la chambre autorité fédérale du comité de sécurité de l'information doit rendre une délibération pour l'accès au Registre national des personnes physiques ou si celle-ci, en ce qui concerne l'utilisation du numéro d'identification du Registre national, est saisie, les services du Service public fédéral Intérieur qui sont compétents pour le Registre national des personnes physiques rédigent un avis technique et juridique à ce sujet.

  Art. 35/5. La chambre autorité fédérale du comité de sécurité de l'information fixe son règlement d'ordre intérieur, qui contient notamment les modalités d'introduction des demandes et qui est ratifié par un arrêté royal délibéré en Conseil des ministres.".

  CHAPITRE 10. - Modification de la loi du 28 février 2013 introduisant le Code de droit économique

  Art. 87. Dans l'article IV.16 du Code de droit économique inséré par la loi du 3 avril 2013 et modifié par la loi du 18 avril 2017, il est inséré un paragraphe 10 rédigé comme suit:
  " § 10. L'Autorité belge de la Concurrence est une institution visée par les articles 6 (1)(e) et 23 (1)(h) du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
  L'Autorité belge de la concurrence peut en qualité de responsable du traitement traiter des données au sens de ce Règlement aux fins et avec les garanties définies dans le Titre II de ce Livre eu égard notamment à l'article IV.34. Elle peut conserver ces données pendant la période nécessaire pour ses instructions et procédures ou imposée par les règles générales d'archivage de l'Etat. Les personnes physiques peuvent recevoir accès à leurs propres données à caractère personnel."

  Art. 88. Dans le titre 1er, chapitre 1er, du livre XV du même Code, inséré par la loi du 20 novembre 2013, il est inséré un article XV.10/1 rédigé comme suit:
  "Art.XV.10/1. En application de l'article 14, § 5, d), du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après, le "règlement général sur la protection des données"), lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement n'est tenu de fournir à la personne concernée aucune information, lorsque les données à caractère personnel doivent rester confidentielles en vertu d'une obligation légale de secret professionnel".

  Art. 89. Dans le titre 1er, chapitre 1er du livre XV du même Code, il est inséré un article XV.10/2 rédigé comme suit:
  "Art.XV.10/2. § 1er. En application de l'article 23, paragraphe 1er, d) et h), et par dérogation aux articles 13 et 14, de ce même règlement, le droit d'information, peut être retardé, limité ou exclu s'agissant des traitements de données à caractère personnel dont le Service public fédéral Economie, PME, Classes moyennes et Energie est le responsable du traitement, afin de garantir:
  1° la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
  2° une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services d'inspection et/ou de contrôle du Service public fédéral Economie, PME, Classes moyennes et Energie, en ce compris les procédures visant à l'application éventuelle d'une proposition de transaction par les services compétents.
  Sans préjudice de la conservation nécessaire pour le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement général sur la protection des données, les données à caractère personnel qui résultent de traitements visés au paragraphe 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec un délai de conservation maximum ne pouvant excéder un an après la cessation définitive des procédures et recours administratives et judiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er .
  § 2. Ces dérogations valent durant la période pendant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci, effectués par les services précités dans le cadre de l'exécution de leurs missions légales ainsi que durant la période durant laquelle sont traités les pièces provenant de ces services, en vue d'exercer les poursuites y afférentes.
  Ces dérogations valent dans la mesure où l' application de ces droits nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale.
  La durée des actes préparatoires, visés au paragraphe 2, alinéa 1er, pendant laquelle les articles 13 et 14 du règlement général sur la protection des données ne sont pas applicables, ne peut excéder un an à partir de la réception d'une demande en application de ces articles 13 et 14 de ce même règlement.
  La restriction visée au paragraphe 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou la limitation d'information.
  § 3. Dès réception d'une demande concernant la communication d'informations à fournir visée au paragraphe 2, alinéa 3, le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation d'information, ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
  Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsqu'un service d'inspection et/ou de contrôle du Service public fédéral Economie, PME, Classes moyennes et Energie a fait usage de l'exception telle que déterminée au paragraphe 1er, alinéa 1er, et à l'exception des situations visées au paragraphe 3, alinéa 7, le régime de l'exception est immédiatement levé après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis au ministère public près les cours et tribunaux et/ou juge d'instruction, les droits ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de cette dernière.".

  Art. 90. Dans le titre 1er, chapitre 1er, du livre XV du même code, il est inséré un article XV.10/3 rédigé comme suit:
  "Art.XV.10/3. § 1er. En application de l'article 23, paragraphe 1er, d) et h), et par dérogation à l'article 15, de ce même règlement, le droit d'accès, peut être retardé, limité ou exclu s'agissant des traitements de données à caractère personnel dont le Service public fédéral Economie, PME, Classes moyennes et Energie est le responsable du traitement, afin de garantir:
  1° la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
  2° une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services d'inspection et/ou de contrôle du Service public fédéral Economie, PME, Classes moyennes et Energie, en ce compris les procédures visant à l'application éventuelle d'une proposition de transaction par les services compétents.
  Sans préjudice de la conservation nécessaire pour le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement général sur la protection des données, les données à caractère personnel qui résultent de traitements visés au paragraphe 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec un délai de conservation maximum ne pouvant excéder un an après la cessation définitive des procédures et recours administratives et judiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er .
  § 2. Ces dérogations valent durant la période pendant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci, effectués par les services précités dans le cadre de l'exécution de leurs missions légales ainsi que durant la période durant laquelle sont traités les pièces provenant de ces services, en vue d'exercer les poursuites y afférentes.
  Ces dérogations valent dans la mesure où l' application de ces droits nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale.
  La durée des actes préparatoires, visés au paragraphe 2, alinéa 1er, pendant laquelle l'article 15 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception d'une demande introduite en application de l'article 15 de ce même règlement.
  La restriction visée au paragraphe 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou la limitation d'accès.
  § 3. Dès réception d'une demande d'accès, le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit d'accès aux données la concernant, ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
  Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsque qu'un service d'inspection et/ou de contrôle du Service public fédéral Economie, PME, Classes moyennes et Energie a fait usage de l'exception telle que déterminée au paragraphe 1er, alinéa 1er, et à l'exception des situations visées au paragraphe 3, alinéa 7, le régime de l'exception est immédiatement levée après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis au ministère public près les cours et tribunaux et/ou juge d'instruction, les droits ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de cette dernière.".

  Art. 91. Dans le titre 1er, chapitre 1er, du livre XV du même code, il est inséré un article XV.10/4 rédigé comme suit:
  "Art.XV.10/4. § 1er. En application de l'article 23, paragraphe 1er, d) et h), et par dérogation à l'article 16 de ce même règlement, le droit de rectification, peut être retardé, limité ou exclu s'agissant des traitements de données à caractère personnel dont le Service public fédéral Economie, PME, Classes moyennes et Energie est le responsable du traitement, afin de garantir:
  1° la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
  2° une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services d'inspection et/ou de contrôle du Service public fédéral Economie, PME, Classes moyennes et Energie, en ce compris les procédures visant à l'application éventuelle d'une proposition de transaction par les services compétents.
  Sans préjudice de la conservation nécessaire pour le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du règlement général sur la protection des données, les données à caractère personnel qui résultent de traitements visés au paragraphe 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec un délai de conservation maximum ne pouvant excéder un an après la cessation définitive des procédures et recours juridictionnels, administratives et judiciaires découlant de la limitation des droits de la personne concernée, visée à l'alinéa 1er.
  § 2. Ces dérogations valent durant la période pendant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci, effectués par les services précités dans le cadre de l'exécution de leurs missions légales ainsi que durant la période durant laquelle sont traités les pièces provenant de ces services, en vue d'exercer les poursuites y afférentes.
  Ces dérogations valent dans la mesure où l'application de ces droits nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale.
  La durée des actes préparatoires, visés au paragraphe 2, alinéa 1er, pendant laquelle l'article 16 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception d'une demande introduite en application de cet article 16.
  La restriction visée au paragraphe 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou la limitation du droit de rectification.
  § 3. Dès réception d'une demande, le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit de rectification, ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
  Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsqu'un service d'inspection et/ou de contrôle du Service public fédéral Economie, PME, Classes moyennes et Energie a fait usage de l'exception telle que déterminée au paragraphe 1er, alinéa 1er, et à l'exception des situations visées au paragraphe 3, alinéa 7, le régime de l'exception est immédiatement levé après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis au ministère public près les cours et tribunaux et/ou juge d'instruction, les droits ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de cette dernière.".

  Art. 92. Dans le titre 1er, chapitre 1er du livre XV du même code, il est inséré un article XV.10/5 rédigé comme suit:
  "Art.XV.10/5. § 1er. En application de l'article 23, paragraphe 1er, d) et h), et par dérogation à l'article 18 de ce même règlement, le droit à la limitation de traitement, peut être retardé, limité ou exclu s'agissant des traitements de données à caractère personnel dont le Service public fédéral Economie, PME, Classes moyennes et Energie est le responsable du traitement, afin de garantir:
  1° la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
  2° une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique.
  Les traitements visés à l'alinéa 1er sont ceux dont la finalité est la préparation, l'organisation, la gestion et le suivi des enquêtes menées par les services d'inspection et/ou de contrôle du Service public fédéral Economie, PME, Classes moyennes et Energie, en ce compris les procédures visant à l'application éventuelle d'une proposition de transaction par les services compétents.
  Sans préjudice de la conservation nécessaire pour le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visé à l'article 89 du Règlement général sur la protection des données, les données à caractère personnel qui résultent de traitements visés au paragraphe 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec un délai de conservation maximum ne pouvant excéder un an après la cessation définitive des procédures et recours juridictionnels, administratives et judiciaires découlant de la limitation des droits de la personne concernée visée à l'alinéa 1er.
  § 2. Ces dérogations valent durant la période pendant laquelle la personne concernée fait l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci, effectués par les services précités dans le cadre de l'exécution de leurs missions légales ainsi que durant la période durant laquelle sont traités les pièces provenant de ces services, en vue d'exercer les poursuites y afférentes.
  Ces dérogations valent dans la mesure où l' application de ce droit nuirait aux besoins du contrôle, de l'enquête ou des actes préparatoires ou risque de violer le secret de l'enquête pénale.
  La durée des actes préparatoires, visés au paragraphe 2, alinéa 1er, pendant laquelle l'article 18 du règlement général sur la protection des données n'est pas applicable, ne peut excéder un an à partir de la réception d'une demande introduite en application de cet article 18.
  La restriction visée au paragraphe 1er, alinéa 1er, ne vise pas les données qui sont étrangères à l'objet de l'enquête ou du contrôle justifiant le refus ou le droit à la limitation d'information.
  § 3. Dès réception d'une demande concernant la communication d'informations à fournir visée au paragraphe 2, alinéa 3, le délégué à la protection des données du responsable du traitement en accuse réception.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, et en tout état de cause dans un délai d'un mois à compter de la réception de la demande, de tout refus ou de toute limitation à son droit à la limitation du traitement des données à caractère personnel la concernant, ainsi que des motifs du refus ou de la limitation. Ces informations concernant le refus ou la limitation peuvent ne pas être fournies lorsque leur communication risque de compromettre l'une des finalités énoncées au paragraphe 1er, alinéa 2. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
  Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.
  Le délégué à la protection des données du responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'Autorité de protection des données et de former un recours juridictionnel.
  Le délégué à la protection des données du responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'Autorité de protection des données.
  Lorsqu'un service d'inspection et/ou de contrôle du Service public fédéral Economie, PME, Classes moyennes et Energie a fait usage de l'exception telle que déterminée au paragraphe 1er, alinéa 1er, et à l'exception des situations visées au paragraphe 3, alinéa 7, le régime de l'exception est immédiatement levé après la clôture du contrôle ou de l'enquête. Le délégué à la protection des données du responsable du traitement en informe la personne concernée sans délai.
  Lorsqu'un dossier est transmis au ministère public près les cours et tribunaux et/ou juge d'instruction, les droits ne sont rétablis qu'après autorisation de l'autorité judiciaire, ou après que la phase judiciaire soit terminée, et, le cas échéant, après que le service compétent ait pris une décision. Toutefois, les renseignements recueillis à l'occasion de l'exécution de devoirs prescrits par l'autorité judiciaire ne peuvent être communiqués qu'avec l'autorisation expresse de cette dernière.".

  CHAPITRE 11. - Modifications de la loi coordonnée du 10 mai 2015 relative à l'exercice des professions des soins de santé

  Art. 93. Dans l'article 42 de la loi coordonnée du 10 mai 2015 relative à l'exercice des professions des soins de santé, les modifications suivantes sont apportées:
  a) au 2°, les mots "le Comité sectoriel de la sécurité sociale et de la santé" sont remplacés par les mots "de la chambre sécurité sociale et santé du comité de sécurité de l'information visé dans la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE";
  b) au 3°, les mots "le Comité sectoriel de la Sécurité sociale et de la Santé" sont remplacés par les mots "la chambre sécurité sociale et santé du comité de sécurité de l'information".

  Art. 94. Dans l'article 138 de la même loi, les mots "la section santé du comité sectoriel de la sécurité sociale et de la santé visée à l'article 37 de la loi du 15 janvier 1990 sur la Banque-carrefour" sont chaque fois remplacés par les mots "la chambre sécurité sociale et santé du comité de sécurité de l'information".

  CHAPITRE 12. - Dispositions finales

  Art. 95. Dans la mesure où il est question d'un comité sectoriel dans d'autres dispositions légales, il y a lieu de lire ces dispositions conformément aux dispositions de la présente loi et conformément à l'article 114 de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données.

  Art. 96. Le Roi peut, par arrêté délibéré en Conseil des ministres, abroger, modifier, compléter ou remplacer les dispositions légales existantes pour les mettre en conformité avec celles contenues dans la présente loi.

  Art. 97. Le mandat des membres externes du comité sectoriel de la sécurité sociale et de la santé est maintenu jusqu'à la date de nomination des membres de la chambre sécurité sociale et santé du comité de sécurité de l'information.

  Art. 98. Le mandat des membres externes du comité sectoriel du Registre national est maintenu jusqu'à la date de nomination des membres de la chambre autorité fédérale du comité de sécurité de l'information.

  Art. 99. La présente loi entre en vigueur le jour de sa publication au Moniteur belge.

Signatures Texte Table des matières Début
   Promulguons la présente loi, ordonnons qu'elle soi revêtue du sceau de l'Etat et publiée par le Moniteur belge.
Donné à Bruxelles, le 5 septembre 2018.
PHILIPPE
Par le Roi :
Le Ministre de l'Emploi et de l'Economie,
K. PEETERS
Le Ministre de l'Intérieur,
J. JAMBON
Le Ministre de l'Agenda numérique,
A. DE CROO
Le Ministre de la Justice,
K. GEENS
La Ministre des Affaires sociales et de la Santé publique,
M. DE BLOCK
Le Ministre des Finances,
J. VAN OVERTVELDT
Le Ministre des Indépendants,
D. DUCARME
Scellé du sceau de l'Etat :
Le Ministre de la Justice,
K. GEENS

Préambule Texte Table des matières Début
   PHILIPPE, Roi des Belges,
   A tous, présents et à venir, Salut.
   La Chambre des représentants a adopté et Nous sanctionnons ce qui suit :

Travaux parlementaires Texte Table des matières Début
    Chambre des représentants (www.lachambre.be) Documents : K54-3185. Compte rendu intégral : 17 juillet 2018.

Début Premier mot Dernier mot Préambule
Travaux parlementaires Table des matières 2 arrêtés d'exécution
Version néerlandaise