Sie sind auf Seite 1von 15

1/15

Avis n 39/2016 du 20 juillet 2016

Objet: Avant-projet de dcret portant octroi d'aides, au moyen d'un portefeuille intgr
d'aides de la Wallonie, aux porteurs de projets et aux petites et moyennes entreprises
pour rmunrer des services promouvant l'entrepreneuriat ou la croissance, et
constituant une banque de donnes de sources authentiques lies ce portefeuille intgr
(CO-A-2016-049)

La Commission de la protection de la vie prive ;


Vu la loi du 8 dcembre 1992 relative la protection de la vie prive l'gard des traitements de

donnes caractre personnel (ci-aprs LVP), en particulier l'article 29 ;


Vu la demande d'avis de Monsieur Jean-Claude Marcourt Vice-Prsident du Gouvernement wallon,
Ministre de lconomie, de lIndustrie, de lInnovation et du Numrique, reue le 22 juin 2016 ;
Vu le rapport de Eric Gheur ;
met, le 20 juillet 2016 l'avis suivant :

.
.
.

Avis 39/2016 - 2/15

La Commission attire l'attention sur le fait qu'une nouvelle rglementation europenne relative la
protection des donnes caractre personnel a t promulgue rcemment : le Rglement relatif
la protection des personnes physiques l'gard du traitement des donnes caractre personnel et
la libre circulation de ces donnes et la Directive Police et Justice. Ces textes ont t publis au
journal officiel de l'Union europenne le 4 mai 2016[1].
Le Rglement, couramment appel GDPR (General Data Protection Regulation), est entr en vigueur
vingt jours aprs sa publication, soit le 24 mai 2016, et sera automatiquement dapplication deux ans
plus tard, soit le 25 mai 2018. La Directive Police et Justice doit tre transpose dans la lgislation
nationale au plus tard le 6 mai 2018.
Pour le Rglement, cela signifie qu' partir du 24 mai 2016 et pendant le dlai de deux ans de mise
en application, les tats membres ont d'une part une obligation positive de prendre toutes les
dispositions d'excution ncessaires, et d'autre part une obligation ngative, appele "devoir
d'abstention". Cette dernire obligation implique l'interdiction de promulguer une lgislation nationale
qui compromettrait gravement le rsultat vis par le Rglement. Des principes similaires s'appliquent
galement pour la Directive.
Il est ds lors recommand d'anticiper ventuellement ds prsent ces textes. Et c'est en premier
lieu au(x) demandeur(s) davis qu'il incombe d'en tenir compte dans ses (leurs) propositions ou projets.
Dans le prsent avis, la Commission a d'ores et dj veill, dans la mesure du possible et sous rserve
d'ventuels points de vue complmentaires ultrieurs, au respect de l'obligation ngative prcite.

[1]

Rglement (UE) 2016/679 du Parlement europen et du Conseil du 27 avril 2016 relatif la protection des personnes
physiques l'gard du traitement des donnes caractre personnel et la libre circulation de ces donnes, et abrogeant la
directive 95/46/CE (rglement gnral sur la protection des donnes)
Directive (UE) 2016/680 du Parlement europen et du Conseil du 27 avril 2016 relative la protection des personnes physiques
l'gard du traitement des donnes caractre personnel par les autorits comptentes des fins de prvention et de dtection
des infractions pnales, d'enqutes et de poursuites en la matire ou d'excution de sanctions pnales, et la libre circulation
de ces donnes, et abrogeant la dcision-cadre 2008/977/JAI du Conseil
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ%3AL%3A2016%3A119%3ATOC
http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=OJ:L:2016:119:TOC

Avis 39/2016 - 3/15

I.

CONTEXTE ET OBJET DE LA DEMANDE DAVIS


1. Lavis de la Commission est demand concernant lavant-projet de dcret portant octroi
d'aides, au moyen d'un portefeuille intgr d'aides de la Wallonie, aux porteurs de projets et
aux

petites

et

moyennes

entreprises

pour

rmunrer

des

services

promouvant

l'entrepreneuriat ou la croissance, et constituant une banque de donnes de sources


authentiques lies ce portefeuille intgr (ci-aprs lavant-projet de dcret).
2. Tel que lindique lexpos des motifs de cet avant-projet de dcret : dans sa dclaration de
politique rgionale 2014-2019, le Gouvernement s'est engag, en concertation avec les
partenaires sociaux, simplifier radicalement les systmes d'aide aux entreprises afin
d'amliorer l'efficacit des aides octroyes par les pouvoirs publics.
Le Gouvernement a propos, afin de crer un vritable choc de simplification administrative
au bnfice des entreprises :

de faire de l'Agence pour l'Entreprise et l'Innovation le rfrent unique pour les


entreprises et les indpendants dont elle gre le dossier et veiller ce qu'un dossier
introduit auprs d'elle soit orient automatiquement vers l'interlocuteur adquat au
sein de l'administration et des outils conomiques ;

gnraliser le principe de confiance et favoriser l'change d'informations par voie


lectronique entre administrations et entreprises ;

de raliser une banque de donnes unique de sources authentiques ayant pour effet
de ne solliciter qu'une seule fois auprs des entreprises les informations ncessaires
la gestion de leurs dossiers ;

d'amliorer encore la traabilit du suivi des dossiers au sein de l'administration et


raccourcir le dlai de liquidation des aides.

Lavant-projet de dcret est articul en deux volets :

Le premier vise constituer un portefeuille intgr d'aides de la Wallonie aux porteurs


de projet et aux entreprises. Ce portefeuille, dont la gestion est totalement
informatise dans une perspective d'administration 4.0., offre en un endroit unique et
selon une gestion harmonise et simplifie un ensemble de services aux porteurs de
projets ou aux entreprises qui pourront galement tre pays lectroniquement.

Le second vise complter cette rforme en allant encore plus loin dans la rduction
des charges administratives pour les entreprises en concrtisant le principe only once
en reconnaissant un caractre de sources authentiques au nombre important
d'informations qui transiteront au travers du portefeuille intgr d'aides.

Avis 39/2016 - 4/15

3. En effet, dans sa dclaration de politique rgionale 2014-2019, le Gouvernement a propos,


afin de crer un vritable choc de simplification administrative au bnfice des entreprises, de
raliser une banque de donnes unique de sources authentiques ayant pour effet de ne
solliciter qu'une seule fois auprs des entreprises les informations ncessaires la gestion de
leurs dossiers.
4. Cette initiative sinscrit dans le contexte de l'accord de coopration entre la Rgion wallonne
et la Communaut franaise du 23 mai 2013 portant sur le dveloppement d'une initiative
commune en matire de partage de donnes et sur la gestion conjointe de cette initiative1.
5. Selon cet accord de coopration, une banque de donnes issues de sources authentiques est
une base de donnes institue par une disposition dcrtale, regroupant un ensemble de

donnes issues de sources authentiques ou de liens entre des donnes issues de sources
authentiques et dont la collecte, le stockage, la mise jour et la destruction sont assurs
exclusivement par une autorit publique dtermine, appele gestionnaire de banque de
donnes issues de sources authentiques, et qui sont destines tre rutilises par les
autorits publiques .
6. Par ailleurs, selon l'article 7, 2 dudit accord de coopration :
Les banques de donnes issues de sources authentiques ne peuvent tre tablies que par

dcret.
Le dcret indique notamment, pour chaque banque de donnes issues de sources
authentiques :

l'identit du gestionnaire de la banque de donnes issues de sources authentiques


charg de la collecte et du stockage des donnes authentiques;

les modalits selon lesquelles seront tenues jour et rendues accessibles les donnes
dont l'enregistrement est confi au gestionnaire de la source authentique, outre les
obligations auxquelles il est tenu en vertu de la loi;

la ou les finalit(s) poursuivie(s) par la banque de donnes issue de sources


authentiques dans la collecte des donnes issues de sources authentiques qu'elle
traite;

Voyez ce sujet : Dcret de la Rgion wallonne du 10 juillet 2013 portant assentiment l'accord de coopration du 23 mai
2013 entre la Rgion wallonne et la Communaut franaise portant sur le dveloppement d'une initiative commune en matire
de partage de donnes et sur la gestion conjointe de cette initiative, M.B., 23 juillet 2013 ; Dcret de la Communaut franaise
du 4 juillet 2013 portant assentiment l'accord de coopration du 23 mai 2013 entre la Rgion wallonne et la Communaut
franaise portant sur le dveloppement d'une initiative commune en matire de partage de donnes et sur la gestion conjointe
de cette initiative, M.B., 23 juillet 2013 ; Avis n 29/2012 du 12 septembre 2012 concernant un projet d'accord de coopration
entre la Rgion wallonne et la Communaut franaise portant sur le dveloppement d'une initiative commune en matire de
partage de donnes et sur la gestion conjointe de cette initiative

Avis 39/2016 - 5/15

la liste tant des donnes issues de sources authentiques que des sources authentiques
dont elles sont issues ou des liens entre des donnes issues de sources authentiques.

Tout dcret tablissant une banque de donnes issues de sources authentiques est soumis au
pralable, pour avis, la Commission Wallonie-Bruxelles de contrle des changes de
donnes.
Les donnes sont accessibles aux autorits publiques gratuitement.
7. Compte tenu du fait que la Commission Wallonie-Bruxelles nest pas encore oprationnelle,
cest la Commission que le lgislateur a demand de remettre son avis sur lavant-projet de
dcret instituant une banque de donnes de sources authentiques.
8. Le prsent avis n'examine que les dispositions de lavant-projet de dcret instaurant des
traitements des donnes caractre personnel suscitant des interrogations au regard de la
loi vie prive savoir le chapitre 2 (2me volet) crant la banque de donnes de sources
authentiques portefeuille intgr daides de la Wallonie, aux porteurs de projets et aux petites
et moyennes entreprises pour rmunrer des services promouvant lentrepreneuriat ou la
croissance (articles 20 et suivants).
II.

EXAMEN DE LA DEMANDE

A.

Application de la loi vie prive

9. L'instauration dune banque de donnes de sources authentiques portefeuille intgr daides


de la Wallonie, aux porteurs de projets et aux petites et moyennes entreprises pour rmunrer
des services promouvant lentrepreneuriat ou la croissance ainsi que la possible collecte de
donnes auprs de banques de donnes existantes, telles que la Banque-Carrefour de la
scurit sociale, le Registre national, la Banque-Carrefour des entreprises et la Banque
Nationale de Belgique, constituent des traitements de donnes caractre personnel entrant
dans le champ d'application de la loi vie prive. Ces traitements impliquent le respect par le
responsable du traitement de la loi vie prive et des principes de traitement lgitime, de
finalit, de proportionnalit et de scurit de la loi vie prive.
10. La Commission tient attirer lattention sur le fait que les donnes demandes ne
concerneront pas toujours des donnes caractre personnel au sens de l'article 1er, 1er
de la LVP tant donn qu'elles ne contiendront parfois que des informations sur des personnes
morales. On ne peut cependant pas nier que ces donnes peuvent, dans de nombreux cas,
tre mises en relation avec des personnes physiques, ce qui permet quand mme de les
qualifier de "donnes caractre personnel".

Avis 39/2016 - 6/15

B.

Admissibilit

11. Conformment la LVP, des donnes caractre personnel ne peuvent tre traites que dans
lun des cas prvus larticle 5 de cette loi. En loccurrence, le traitement sera effectu
conformment larticle 5, c) et/ou e) de la LVP.
C.

Finalits

12. L'article 4, 1er, 2 de la LVP ne permet le traitement de donnes caractre personnel que
pour des finalits dtermines, explicites et lgitimes et les donnes ne peuvent en outre tre
traites ultrieurement de manire incompatible avec ces finalits.
13. Larticle 21 de lavant-projet de dcret cre une banque de donnes issues de sources
authentiques

relatives

au

portefeuille

lectronique

dnomme

B.D.S.A

portefeuille

Entrepreneuriat et Croissance. Cet article prcise que la B.D.S.A. a pour finalit de constituer

un inventaire complet et dtaill du portefeuille d'aides aux porteurs de projets et aux petites
et moyennes entreprises pour rmunrer des prestations ou des services promouvant
l'entrepreneuriat ou la croissance et de fournir des services valeur ajoute alimentant ou
exploitant les donnes de cet inventaire.
Ainsi, la B.D.S.A. portefeuille Entrepreneuriat et Croissance poursuit les objectifs suivants :
1 rduire les charges administratives dans le cadre du prsent dcret ;
2 fournir une aide la gestion du portefeuille Entrepreneuriat et Croissance ;
3 fournir une aide au pilotage et l'valuation des diffrentes mesures en matire du
portefeuille Entrepreneuriat et Croissance ;
4 disposer de donnes homognes pour produire des analyses statistiques relatives au
portefeuille Entrepreneuriat et Croissance ;
5 tre un point d'entre ou de sortie unique tout accs aux sources authentiques entrant
dans le primtre de la B.D.S.A. portefeuille Entrepreneuriat et Croissance ;
6 permettre aux organismes chargs de l'accompagnement des porteurs de projets et des
entreprises, d'amliorer leurs services d'appui et d'accompagnement, par une meilleure
connaissance des aides octroyes aux porteurs de projets ou aux entreprises .
14. Au vu de ce qui prcde, la Commission estime que ces finalits sont dtermines, explicites
et lgitimes au sens de l'article 4, 1er, 2 de la LVP.

Avis 39/2016 - 7/15

D.

Proportionnalit

15. Larticle 4, 1, 3 de la LVP prvoit que les donnes caractre personnel doivent tre
adquates, pertinentes et non excessives au regardes finalits pour lesquelles elles sont
traites.
1. Quant lintervention du gestionnaire de la banque de donnes B.D.S.A.
16. Tel que lexplique lexpos des motifs, la Banque de donnes de sources authentiques sera

concrtise au travers de la mise en commun et de l'agrgation de donnes issues de sources


authentiques. La vision globale offerte par cette banque proviendra en effet du traitement et
de la consolidation des donnes de sources authentiques identifies dans le primtre du
portefeuille intgr. Dans le cadre strict de cette banque de donnes, le gestionnaire agirait
comme intgrateur de services spcifique pour :

grer l'alimentation des Sources Authentiques ;

sauvegarder et grer les donnes produites ainsi que les donnes agrges ;

grer le trafic des sources authentiques d'une administration l'autre et conserver un


annuaire de localisation des sources authentiques ;

grer le trafic des Sources authentiques vers l'extrieur avec valeur ajoute, en offrant
des services de consolidation, d'agrgation, de normalisation et de pr-traitement.

assurer des missions de consultance et d'avis en cas de modifications des bases


dcrtales ou rglementaires rgissant le fonctionnement du portefeuille intgr .

17. Dans ce contexte, il parat incontournable que le gestionnaire de cette banque de donnes,
charg de la collecte et du stockage des donnes authentiques, soit assur par un service
spcifiquement dsign pour remplir cette tche disposant des capacits ncessaires pour :

assurer la collecte, le stockage, la mise jour et la destruction des donnes ;

matriser l' intelligence mtier ncessaire pour fournir chaque administration


responsable d'un dispositif non-marchand l'information sous la forme qu'il convient.

Avis 39/2016 - 8/15

18. Dans sa recommandation d'initiative n 09/2012 du 23 mai 2012 relative aux sources

authentiques de donnes dans le secteur public , la Commission indique qu'on peut


distinguer quatre [phases]:
-

a. la collecte ;

b. la validation ;

c. la gestion ;

d. la mise disposition.

19. Larchitecture et la description de ces diffrentes phases sont largement dcrites dans lexpos
des motifs de lavant-projet de dcret.

2.

Quant aux donnes collectes

20. Larticle 25 de lavant-projet de dcret prvoit que les donnes gres concernent le

portefeuille Entrepreneuriat et Croissance et comprennent, notamment, celles relatives :


1 l'introduction d'une demande, tels que les thmatiques concernes, la date de
demande ou la dcision ;
2 la certification ou l'agrment des prestataires de services, tel que le type de dcision,
la date de dbut de prise d'effet ou la date de fin de validit ;
3 les aides octroyes, tels que le type de services, la priode couverte, le montant
octroy ;
4 l'identification des porteurs de projets, tel que les coordonnes, la date de dbut et
de fin ventuelle du portefeuille lectronique ;
5 l'identification des entreprises, tels que le numro B.C.E., le nom de la socit, son
statut social, l'administrateur, le sige social, les units d'tablissement ;
6 l'identification des prestataires de services, tels que le numro B.C.E., le nom de la
socit, son statut social, l'administrateur, le sige social, les units d'tablissement, les
aides perues .
21. Larticle 7, 2 de l'accord de coopration du 23 mai 2013 entre la Rgion wallonne et la
Communaut franaise portant sur le dveloppement d'une initiative commune en matire de
partage de donnes et sur la gestion conjointe de cette initiative 2 prvoit que les banques

de donnes issues de sources authentiques ne peuvent tre tablies que par dcret. Le dcret
indique notamment, pour chaque banque de donnes issues de sources authentiques : [] la

Op. cit.

Avis 39/2016 - 9/15

liste tant des donnes issues de sources authentiques que des sources authentiques dont elles
sont issues ou des liens entre des donnes issues de sources authentiques.
22. La Commission constate que les donnes ci-dessous sont proportionnelles, pertinentes et non
excessives eu gard aux finalits poursuivies (article 4, 1er, 3 de la LVP) : la BDSA sert
essentiellement rationaliser, par la centralisation des donnes, des traitements dj
effectus et puis de permettre de nouveaux traitements rpondant aux finalits gnrales
faisant l'objet du projet de dcret. Larticle 23 de lavant-projet de dcret stipule que pour

l'excution de ses missions, le gestionnaire utilise tant le numro de registre national que
le numro d'identification de la Banque-Carrefour des Entreprises vis par la loi du 16 janvier
2003 portant cration d'une Banque-Carrefour des Entreprises, modernisation du registre de
commerce, cration de guichets-entreprises agrs et portant diverses dispositions .
23. Dans un souci de conformit la loi, la Commission attire l'attention sur le fait que lutilisation
du numro didentification du Registre national n'est permise que dans la mesure o toutes
les parties concernes ont t autorises cet effet par le Comit sectoriel du Registre
national3.
24. La Commission constate par ailleurs que lexpos des motifs prvoit que ce dveloppement

(lire dun nouvel outil savoir la B.D.S.A.) pourrait tre alli un recours aux sources
authentiques fdrales via le partage de donnes et la Banque Carrefour d'Echange de
Donnes. L'outil pourrait tre pr-rempli depuis :

La Banque Carrefour des Entreprises (identification de l'entreprise, participation et


actionnariat)

La Banque Carrefour de la Scurit Sociale (Nombre d'ETP)

La Banque Nationale de Belgique (donnes bilantaires et chiffre d'affaire) .

25. La Commission attire lattention sur le fait quil sagit dun intgrateur de service. Il ne sagit
ds lors pas de raliser des copies de sources authentiques.
26. cet gard, la Commission attire lattention sur la ncessit dobtenir les autorisations
ncessaires auprs des comits comptents savoir le Comit sectoriel de la scurit sociale
et de la sant, section scurit sociale (toute communication hors du rseau de donnes
sociales caractre personnel, par la Banque-Carrefour ou les institutions de scurit sociale,
fait lobjet dune autorisation de principe 4) et le Comit sectoriel pour lAutorit fdrale (toute

3
4

Art. 5 loi du 8 aot 1983 organisant un registre national des personnes physiques, M.B., 21 avril 1984

Article 15, 1, alina 2 de la loi du 15 janvier 1990 relative linstitution et lorganisation dune Banque-Carrefour de la
scurit sociale.

Avis 39/2016 - 10/15

communication lectronique de donnes personnelles par un service public fdral ou par un


organisme public avec personnalit juridique qui relve de l'autorit fdrale 5). Ces
autorisations concernent tant les donnes, les finalits, les traitements et les flux extrieurs
qui sont dfinis ce jour que pour les modifications ou ajouts qui interviendraient dans le
futur.

3.

Quant la finalit statistique

27. Le traitement de donnes statistiques projet est compatible avec les finalits initiales, car il
est prvu par lavant-projet de dcret mme. Il entre donc dans les prvisions raisonnables

de lintress compte tenu des dispositions rglementaires et lgales applicables .


28. Cela implique que le Chapitre II de l'arrt royal du 13 fvrier 2001 n'est pas d'application.
Les exigences particulires de ce Chapitre II ne se rapportent en effet qu'aux situations o on
souhaite effectuer un traitement ultrieur des fins historiques, statistiques ou scientifiques
qui, en soi, est incompatible avec la finalit pour laquelle les donnes ont t traites
initialement6.
29. Cependant, la logique suivie dans le Chapitre II de l'arrt royal du 13 fvrier 2001 concernant
l'obligation de prfrer le traitement de donnes anonymes ou codes au traitement de
donnes non codes7 doit tre respecte, en application du principe de proportionnalit
(article 4, 1er, 3 de la LVP) qui requiert que l'on ne peut pas traiter (dans ce cas,
communiquer) plus de donnes que ne le ncessitent les finalits envisages (et dont on peut
dduire que leur degr d'identification ne peut donc pas non plus tre excessif) 8.
30. ce titre, la Commission attire lattention du demandeur sur le fait que les tableaux
statistiques devront ds lors tre raliss de prfrence au moyen de donnes pralablement
anonymises ou codes.

Article 36bis de la loi vie prive.

Voir le texte du Rapport au Roi de l'arrt royal (p. 7847) : " Lorsque des donnes sont collectes initialement des fins
historiques, statistiques ou scientifiques, ou lorsque la rutilisation de ces donnes de telles fins n'est pas incompatible avec
la finalit initiale, indpendamment de l'existence de garanties suffisantes, le rgime de ces traitements s'avre dans ce cas
tre le rgime ordinaire des traitements de donnes personnelles."
6

L'article 1 de l'arrt royal du 13 fvrier 2001, qui fixe les dfinitions des notions de "donnes codes" et de "donnes non
codes", s'applique d'ailleurs intgralement dans ces situations.
8

Recommandation n02/2010 du 31 mars 2010 concernant le rle de protection de la vie prive des Trusted Third Parties (TTP
ou tiers de confiance) lors de l'change de donnes, www.privacycommission.be

Avis 39/2016 - 11/15

4.

Quant aux dlais de conservation des donnes collectes

31. Larticle 34, 1er de lavant-projet de dcret prvoit que les donnes traites ne peuvent

tre conserves pour une dure suprieure dix annes dater de la collecte .
32. Ce dlais de conservation est conforme larticle 15 de la loi du 16 mai 2003 fixant les
dispositions gnrales applicables aux budgets, au contrle des subventions et la
comptabilit des communauts et des rgions, ainsi qu' l'organisation du contrle de la Cour
des comptes9 qui dispose qu'en matire de prescription, le droit commun s'applique, ce qui
fixe donc la prescription 10 ans.
33. Larticle 34, 3 de lavant-projet de dcret stipule toutefois que ce dlai peut tre suspendu
en cas d'action judiciaire ou administrative jusqu' ce que les voies de recours soient teintes.
Ce qui correspond un dlai de conservation proportionn.
E.

Exactitude et de qualit des donnes

34. La Commission estime par ailleurs que l'exactitude des donnes contenues dans une source
authentique est fondamentale. Si la source authentique contient des donnes inexactes, ces
dernires seront rapidement diffuses et "contamineront" tous les traitements effectus par
les utilisateurs de la BDSA. Ce phnomne est galement appel "diffusion de la pollution" 10.
35. Larticle 26 de lavant-projet de dcret stipule que les donnes authentiques sont collectes

en conformit avec l'accord de coopration du 23 mai 201311 .


36. Afin dassurer la qualit des donnes, cet accord de coopration prvoit :

larticle 7 que la liste des donnes contenues dans la banque de donnes issues
dune source authentique sera prcise dans un dcret ;

larticle 8, 1er une obligation d'utilisation stipulant que les autorits publiques

qui sont autorises consulter des donnes mises disposition par une source
authentique ou une banque de donnes issues de sources authentiques, ne peuvent

M.B., 25 juin 2003

10

G. Overkleeft-Verburg, "Basisregistraties en rechtsbescherming. Over de dualisering van de bestuurlijke rechtsbetrekking",


Nederlands Tijdschrift voor Bestuursrecht 2009, p. 80; Recommandation n 09/2012 du 23 mai 2012 relative aux sources
authentiques de donnes dans le secteur public, op.cit.
11

Accord de coopration du 23 mai 2013 entre la Rgion wallonne et la Communaut franaise portant sur le dveloppement
d'une initiative commune en matire de partage de donnes et sur la gestion conjointe de cette initiative, op.cit.

Avis 39/2016 - 12/15

plus rclamer directement ces donnes aux citoyens, entreprises, organismes ou


institutions concerns est la garantie d'une bonne qualit de donnes ;

en son article 9, 1er la possibilit pour les personnes concernes de demander, par
voie lectronique, la rectification des donnes caractre personnel les concernant
qui seraient imprcises, incompltes ou inexactes ;

larticle 10, 1er que le gestionnaire de sources authentiques ou de banque de

donnes issues de sources authentiques [assure tout moment la qualit des


donnes] ;

larticle 10, 2 que si le destinataire des donnes constate que les donnes sont

imprcises, incompltes ou inexactes, il est tenu de le communiquer immdiatement


au gestionnaire de sources authentiques, ou celui de la Banque de donnes issues
de sources authentiques, qui a l'obligation d'y donner suite ;

larticle 11, 2 que la BCED prend, en collaboration avec l'Institut wallon de

l'valuation, de la Prospective et de la Statistique (IWEPS), des initiatives en matire


de standardisation des donnes et de labellisation des sources authentiques de
donnes et de banques de donne issues de sources authentiques ;

larticle 13 que la BCED met jour linformation conformment aux rgles tablies
par les sources authentiques externes de donnes.

37. Larticle 27 de lavant-projet de dcret prvoit galement que le gestionnaire effectue une

validation des donnes authentiques collectes afin de s'assurer de leur qualit technique .
38. Au vu de ce qui prcde, la Commission estime que les procdures mises en place sont
satisfaisantes afin de garantir la qualit des donnes.
F.

Droits des personnes concernes

39. La Commission constate que lobligation d'information au sens de l'article 9 et 10 de la LVP et


du chapitre IV de larrt royal dexcution de la LVP est dj prvue par les articles 8, 2 et
3 de laccord de coopration partage de donne.
40. Larticle 35 de lavant-projet de dcret prvoit quant lui un droit daccs dont les modalits
dexercices sont dtermines par le Gouvernement conformment la loi vie prive. La
Commission remarque que ce droit, ainsi que un droit de rectification, est davantage prcis
larticle 9 de laccord de coopration.

Avis 39/2016 - 13/15

41. La Commission attire l'attention sur les prcisions et les modifications que le RGPD 12 apporte
au droit d'accs et de rectification qui doit, par exemple, pouvoir s'exercer sans frais sauf pour
des copies supplmentaires. La Commission recommande donc de rduire l'article 35 la
phrase "selon les modalits dfinies par la lgislation gnrale en vigueur", ou, au contraire,
d'tre plus prcis sans introduire ni contradiction avec le RGPD, ni difficults d'interprtation.
42. La Commission demande que le projet darrt venir lui soit soumis pour avis.
G.

Scurit de linformation

43. Le principe de scurisation des traitements de donnes caractre personnel, prvu l'article
16 de la loi vie prive, impose au responsable du traitement de prendre des mesures
techniques et organisationnelles adquates pour protger les donnes caractre personnel
qu'il traite et se prmunir contre les dtournements de finalit. Le caractre adquat de ces
mesures de scurit dpend, d'une part, de l'tat de la technique et des frais engendrs et
d'autre part, de la nature des donnes protger et des risques potentiels (dans l'tat actuel
de la lgislation).
44. La Commission constate que lavant-projet de dcret demeure muet ce sujet. Nanmoins,
larticle 26 de lavant-projet de dcret prvoyant que les donnes seront collectes en
conformit avec laccord de coopration partage de donne, la Commission se permet de
rappeler que larticle 10, 1er du projet daccord de coopration prvoit que le gestionnaire de
sources authentiques ou de banque de donnes issues de sources authentiques assure tout
moment la scurit des donnes, tant au niveau technique qu'organisationnel. La Commission
prcise cet gard que le responsable de traitement (le gestionnaire) doit prendre les mesures
de scurit appropries en tenant compte d'une part, de l'tat de la technique en la matire
et des frais qu'entrane l'application de ces mesures et, d'autre part, de la nature des donnes
protger et des risques potentiels (dans l'tat actuel de la lgislation)
45. La Commission en profite pour souligner l'importance d'une politique de scurit de
linformation adquate pour chaque source authentique. cet gard, elle renvoie tout d'abord
ses mesures de rfrence en matire de scurit applicables tout traitement de donnes

caractre personnel 13. Ensuite, elle attire l'attention sur sa recommandation n01/2008 du
24 septembre 2008 relative la gestion des accs et des utilisateurs dans le secteur public et

12
13

Principalement et sans tre exhaustif, les articles 13 15 et les considrants 59, 63, 64 et 68.

Accessible ladresse suivante :


http://www.privacycommission.be/sites/privacycommission/files/documents/mesures_de_reference_en_matiere_de_securite_
applicables_a_tout_traitement_de_donnees_a_caractere_personnel.pdf

Avis 39/2016 - 14/15

sur le principe des cercles de confiance expos aux points 13-15 de sa recommandation
n 03/2009 du 1er juillet 2009 concernant les intgrateurs dans le secteur public. Enfin, la
Commission attire galement lattention sur sa recommandation dinitiative n 01/2013 du 21
janvier 2013 relative aux mesures de scurit respecter afin de prvenir les fuites de
donnes14.
46. La Commission rappelle ce titre quil est ncessaire que le traage des accs soit prvu afin
de rpondre au principe dimputabilit de laccs aux donnes caractre personnel.
47. La Commission estime galement que chaque responsable de sources authentiques doit
disposer d'un conseiller en scurit de l'information.
48. La Commission constate que le RGPD modifie certains aspects de la scurit ncessaire, cela
concerne principalement :

la responsabilit ("accountability") du responsable du traitement dans le choix des


mesures de scurit et des multiples critres supplmentaires dont il devrait tenir compte ;

l'analyse des risques qui doit porter avant tout sur les risques encourus par les personnes
concernes du chef du traitement de leurs donnes.

49. La Commission recommande donc de faire voluer progressivement tant le cadre juridique
que les mesures de scurit mettre en uvre afin de pouvoir assurer la conformit des
traitements en temps opportuns.

14

Accessible ladresse suivante :


http://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_01_2013_0.pdf

Avis 39/2016 - 15/15

PAR CES MOTIFS,


La Commission met un avis favorable sur le projet d'arrt moyennant la prise en compte des
remarques formules aux points 22, 24, 26, 30, 41, 42, 44 49.

LAdministrateur f.f.,

Le Prsident,

(s) An Machtens

(s) Willem Debeuckelaere