SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2017-2018 Zitting 2017-2018
________________
8 novembre 2017 8 november 2017
________________
Question écrite n° 6-1626 Schriftelijke vraag nr. 6-1626

de Rik Daems (Open Vld)
van Rik Daems (Open Vld)

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique
aan de staatssecretaris voor Bestrijding van de sociale fraude, Privacy en Noordzee, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________________
Règlement général sur la protection des données (RGPD) - Entrée en vigueur - Entreprises et autorités - Désignation de délégués à la protection des données - Exigences - Formation Algemene verordening gegevensbescherming (AVG) - Inwerkingtreding - Ondernemingen en overheden - Aanduiding van functionarissen gegevensbescherming - Vereisten - Opleiding 
________________
protection de la vie privée
droit de l'informatique
accès à l'information
protection des données
communication des données
données personnelles
personne physique
sensibilisation du public
droit de l'UE
 eerbiediging van het privé-leven
informaticarecht
toegang tot de informatie
gegevensbescherming
doorgeven van informatie
persoonlijke gegevens
natuurlijke persoon
bewustmaking van de burgers
EU-recht
________ ________
8/11/2017Verzending vraag
(Einde van de antwoordtermijn: 7/12/2017)
6/12/2017Antwoord
8/11/2017Verzending vraag
(Einde van de antwoordtermijn: 7/12/2017)
6/12/2017Antwoord
________ ________
Question n° 6-1626 du 8 novembre 2017 : (Question posée en néerlandais) Vraag nr. 6-1626 d.d. 8 november 2017 : (Vraag gesteld in het Nederlands)

Le 14 avril 2016, le Parlement européen a adopté les dispositions du règlement général sur la protection des données (appelé RGPD), le nouveau règlement relatif à la protection de la vie privée (cf. règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE). La publication a eu lieu le 4  mai 2016.

Ce règlement harmonise l'actuelle réglementation en matière de vie privée. Le nouveau train de mesures remplace la directive 95/46/CE sur la protection de la vie privée, qui est en vigueur depuis 1995 et n'est plus adaptée à notre ère numérique.

Le règlement vise à harmoniser la protection des droits et libertés fondamentaux des personnes physiques à l'égard d'activités de traitement des données et à donner aux citoyens plus de contrôle sur l'utilisation de leurs données personnelles.

Cela entraîne un certain nombre de changements importants. Le RGPD renforce la protection des données pour les citoyens :

– les citoyens devront donner leur consentement explicite avant que les entreprises ne puissent utiliser leurs données personnelles ;

– le « droit à l'oubli » est inscrit ;

– les entreprises qui ne se conforment pas aux dispositions du règlement peuvent être lourdement sanctionnées par des amendes ;

– certaines entreprises devront également désigner un délégué à la protection des données qui sera chargé de veiller au respect de la nouvelle législation.

Le règlement sortira directement ses effets à partir du 25 mai 2018 et sera donc applicable dès cette date dans les États membres, sans transposition en droit national.

Aux Pays-Bas, ce règlement suscite actuellement un certain émoi. Des entreprises recherchent activement des experts en protection de la vie privée. Les nouvelles règles prévoient la désignation d'un délégué à la protection des données. Rien que pour les Pays-Bas, cela représenterait plusieurs milliers de travailleurs. Toutes les administrations publiques doivent en désigner un, ainsi que tous les organismes qui utilisent des données personnelles sensibles, comme les hôpitaux. Le non-respect du règlement donne lieu à des amendes et ce, à la suite du renversement de la charge de la preuve. Les organisations doivent démontrer qu'elles respectent la loi en précisant avec quelles données personnelles elles travaillent, quelle est l'origine de ces données et avec qui elles sont partagées. Compte tenu de la forte demande, bon nombre de personnes s'autoproclament expert en protection de la vie privée, avec toutes les conséquences que cela implique.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de Sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique et la protection de la vie privée font partie des priorités fixées. Il s'agit dès lors d'une compétence régionale transversale où les Régions interviennent surtout dans le volet préventif.

Je voudrais dès lors poser les questions suivantes :

1) Dans quelle mesure les différentes autorités sont-elles préparées à l'entrée en vigueur du RGPD, et plus spécifiquement en ce qui concerne la désignation d'un délégué à la protection des données ? Quel est le nombre de personnes concernées pour l'autorité fédérale ?

2) Y a-t-il une concertation avec les entités fédérées sur la définition des exigences auxquelles les responsables du contrôle du respect de la législation sur la protection de la vie privée doivent répondre et avez-vous déjà reçu des demandes en la matière ? Constatez-vous des problèmes en ce qui concerne les profils requis ?

3) Où les entreprises et les autorités peuvent-elles s'adresser pour obtenir un relevé précis des obligations que leur impose le RGPD ? Existe-t-il un site web central ou un guichet d'information numérique ? Dans la négative, êtes-vous disposé à examiner, avec les entités fédérées ou non, la possibilité d'en créer un ? Pouvez-vous détailler votre réponse ?

4) Quelles autres démarches envisagez-vous dans le cadre de l'entrée en vigueur du RGPD afin de faciliter sa mise en œuvre ? Pouvez-vous préciser votre réponse ? Je pense entre autres à des campagnes d'information.

5) Dans quelle mesure une concertation est-elle prévue avec les entités fédérées sur les exigences de qualité auxquelles ces experts en protection de la vie privée doivent satisfaire ? Quelle formation doivent-ils suivre ? Pouvez-vous préciser votre réponse ?

 

Het Europees Parlement heeft op 14 april 2016 de regels goedgekeurd van de algemene verordening gegevensbescherming (hierna AVG genoemd) ofwel de general data protection regulation (GDPR), de nieuwe privacyverordening (cf. verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG). De publicatie volgde op 4 mei 2016.

Deze verordening harmoniseert de bestaande privacyregelgeving. Het nieuwe pakket maatregelen vervangt de privacyrichtlijn 95/46/EG, die sinds 1995 van kracht is en niet meer aansluit bij het huidige digitale tijdperk.

De verordening heeft tot doel de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten te harmoniseren en om burgers meer controle te geven over het gebruik van hun persoonlijke gegevens.

Het brengt een aantal belangrijke veranderingen met zich mee. De AVG vormt een versterking van de gegevensbescherming voor de burgers :

– burgers zullen hun expliciete toestemming moeten geven alvorens bedrijven hun persoonlijke gegevens kunnen gebruiken ;

– het « recht om vergeten te worden » wordt opgenomen ;

– bedrijven kunnen worden gestraft met hoge boetes wanneer ze niet voldoen aan de bepalingen van de verordening ;

– bepaalde bedrijven zullen ook een « data protection officer » moeten aanstellen die moet toezien op de naleving van de nieuwe regelgeving.

De verordening heeft vanaf 25 mei 2018 rechtstreeks uitwerking en is dus, vanaf die datum, in de lidstaten van toepassing, zonder omzetting in nationale wetgeving.

In Nederland heerst er momenteel beroering over deze verordening. Bedrijven zijn naarstig op zoek naar privacy-experten. Volgens de nieuwe regels moet er een zogeheten functionaris « gegevensbescherming » worden aangeduid. Het zou alleen al voor Nederland enkele duizenden werknemers zijn. Alle overheidsorganen moeten er één aanduiden, alsook alle organisaties die werken met gevoelige persoonsgegevens, zoals ziekenhuizen. Het niet navolgen van de verordening leidt tot boetes en dit ingevolge de omkering van de bewijslast. De organisaties moeten aantonen dat ze zich aan de wet houden door vast te leggen met welke persoonsgegevens ze werken, waar deze vandaan komen en met wie ze worden gedeeld. Door de grote vraag zijn er heel wat mensen die zichzelf als privacy-expert uitroepen met alle gevolgen van dien.

Wat het transversale karakter van de vraag betreft: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die zijn opgenomen in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit en de bescherming van de privacy. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de gewesten vooral ligt in het preventieve luik en het onderwijs.

Ik had dan ook volgende vragen :

1) In hoeverre zijn de verschillende overheden voorbereid op de inwerkingtreding van de AVG en dan meer specifiek wat betreft het aanduiden van een zogenaamde functionaris « gegevensbescherming » ? Om hoeveel mensen gaat het voor de federale overheid ?

2) Is er enig overleg met de deelentiteiten over het vastleggen van de vereisten waaraan deze privacytoezichthouders moeten voldoen en hebt u hieromtrent reeds vragen ontvangen ? Ervaart u dat er knelpunten zijn wat betreft de vereiste profielen ?

3) Waar kunnen bedrijven en overheden terecht om een duidelijk overzicht te krijgen van wat daadwerkelijk vereist is ingevolge de AVG ? Bestaat er een centrale website of digitaal informatielokket ? Zo neen, bent u bereid de oprichting hiervan, al of niet samen met de deelstaten, te onderzoeken ? Kunt u dit uitvoerig toelichten ?

4) Welke andere stappen overweegt u in het kader van de inwerkingtreding van de AVG om de inwerkingtreding vlot te laten verlopen? Kunt u dit toelichten ? Ik denk onder meer aan informatiecampagnes.

5) In hoeverre is er in overleg voorzien met de deelentiteiten over de kwaliteitsvereisten waaraan dergelijke privacy-experten moeten voldoen ? Welke opleiding moeten zij volgen ? Kunt u dit toelichten ?

 
Réponse reçue le 6 décembre 2017 : Antwoord ontvangen op 6 december 2017 :

1), 2) & 5) Le règlement sur la protection des données générales 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données entrera en vigueur le 28 mai 2018. Ce règlement remplacera la directive 95/46 actuelle, qui n'est plus conforme à l'ère numérique actuelle. Le même jour, la directive 2016/680 a été adoptée et celle-ci doit faire l’objet d’une transposition au plus tard pour le 6 mai 2018.

Le règlement vise à harmoniser la protection des droits fondamentaux et des libertés fondamentales des personnes physiques en ce qui concerne les activités de traitement et à donner aux citoyens davantage de contrôle sur l'utilisation de leurs données personnelles.

Selon ces nouvelles règles en effet, un fonctionnaire à la protection des données devra être désigné dans certaines situations. Cette désignation est obligatoire dans le secteur public. Le rôle de ce fonctionnaire à la protection des données est défini dans le règlement lui-même, ainsi que dans la directive.

Il s’agit donc de désigner une ou plusieurs personnes qui aideront le responsable de traitement à surveiller le respect, au niveau interne, de la réglementation en matière de protection des données. Cette personne peut être un membre du personnel du responsable du traitement ayant reçu une formation spéciale dans le domaine du droit et des pratiques en matière de protection des données afin d'acquérir des connaissances spécialisées dans ce domaine. Le niveau de connaissances spécialisées requis doit être déterminé notamment en fonction des traitements des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement. Cette personne peut exercer cette fonction à temps plein ou à temps partiel. Un fonctionnaire à la protection des données peut également être désigné conjointement par plusieurs responsables du traitement, compte tenu de leur structure organisationnelle et de leur taille, par exemple en cas de partage des sources de données au sein d'une unité centralisée ou entre responsables de traitement. Cette personne peut également être désignée pour occuper différents postes au sein de la structure des responsables du traitement concernés. Ces fonctionnaires à la protection des données devraient être en mesure d'exercer leurs fonctions et missions en toute indépendance conformément à la législation en vigueur.

Le fonctionnaire à la protection des données aide le responsable du traitement et les employés traitant des données à caractère personnel en les informant et en les conseillant sur le respect des obligations leur incombant en matière de protection des données. Le fonctionnaire à la protection des données est également le point de contact vis-à-vis du citoyen, mais également de l’autorité de contrôle.

Mis à part ces exigences précitées, le règlement et la directive laisse une certaine marge aux États membres ainsi qu’aux responsables de traitement.

Des concertations ont lieu avec les différents secteurs et départements dans le secteur public sur l’impact du règlement et de la directive, et notamment concernant les différentes obligations nouvelles que ces instruments imposent. Les entités fédérées y ont également participé. En effet, lors de ces réunions de concertation, beaucoup de questions sont posées sur le fonctionnaire à la protection des données. Bien que cette fonction était déjà prévue dans la loi vie privée du 8 décembre 1992, cette disposition n’avait jamais été mise en œuvre. Je comprends bien qu’aujourd’hui cette obligation suscite beaucoup d’intérêt. Les administrations fédérales connaissent la fonction de conseiller en sécurité de l’information, mais devront adapter leur fonctionnement avec la venue d’un nouveau profil, car le fonctionnaire à la protection des données ne peut pas en effet être assimilé au conseiller en sécurité de l’information.

Toutefois, certains services publics ont déjà rempli cette obligation. C’est le cas pour la police fédérale, le service public fédéral (SPF) Finances, ainsi que l’application de la loi PNR (Passenger Name Record).

Bien que cette obligation devra être appliquée partout dans le secteur public, le gouvernement a choisi de ne pas fixer de profil général pour le fonctionnaire à la protection des données, vu les grandes différences en matière de taille, d’organisation (ministère vs. SPF).

Il s’agit de laisser la marge de manœuvre nécessaire à chaque organisation afin de répondre au mieux aux besoins de sa propre administration. En conséquence, il n’est pas possible de déterminer quel est le nombre de personnes qui devront être désignées dans l’administration publique. Selon l’organisation, les fonctionnaires à la protection des données pourront être désignés soit à plein temps, soit à temps partiel, soit pour plusieurs départements à la fois.

3) & 4) Avec une plus grande attention pour la protection des données et la nouvelle réglementation, le nombre de sessions d’information et de formations augmente. Plusieurs organisations ont déjà publié des brochures et mis en place des sites web afin d’informer au mieux leurs membres et les citoyens. Il incombera désormais à chaque responsable de traitement d’informer de la manière la plus claire et concise possible des droits et recours que chaque personne concernée détient à l’encontre du traitement de ses données à caractère personnel. De plus, la nouvelle Autorité de protection des données qui remplacera la Commission pour la protection de la vie privée, a également comme une de ses compétences les plus importantes d’accompagner les entreprises, les services publics et d’informer le citoyen.

La Commission pour la protection de la vie privée actuelle prend également dans cette période de transition des initiatives pour sensibiliser le public et les jeunes, notamment avec une campagne appelée « Je décide / Ik beslis », dont le contenu est accessible à partir du site internet de la Commission vie privée.

Également au sein de mon cabinet et de mon administration, cette mission de sensibilisation est prise à cœur. Je peux compter sur la plateforme de concertation vie privée qui a été créée et dans laquelle les représentants des fédérations sectorielles et de la société civile siègent. C’est également l’objectif de la plateforme, notamment d’entrer en dialogue avec les secteurs et la société civile pour entendre leurs préoccupations, d’analyser ensemble les mesures et d’assurer l’accompagnement aux entreprises pour saisir les opportunités des mesures de protection, grâce à une information claire sur leurs droits et obligations.

Enfin, je visite aussi régulièrement des fédérations sectorielles ou autres groupements d’entreprises pour les sensibiliser à l’entrée en vigueur de la nouvelle législation en mai 2018, afin que celles-ci soient en conformité le plus vite possible avec la nouvelle règlementation et protègent ainsi de manière optimale les droits des utilisateurs.

1), 2) & 5) De algemene verordening gegevensbescherming 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens zal in werking treden op 28 mei 2018. Deze verordening zal in de plaats komen van de huidige richtlijn 95/46 die niet meer overeenstemt met de huidige digitalisering van de maatschappij.

Dezelfde dag werd voor justitie en politie de richtlijn 2016/680 goedgekeurd, die uiterlijk op 6 mei 2018 moet worden omgezet. De verordening beoogt de harmonisering van de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en wil meer controle bieden aan de burgers over het gebruik van hun persoonsgegevens.

Volgens deze nieuwe regels moet in sommige situaties een functionaris voor de gegevensbescherming worden aangesteld. Die aanstelling is onder meer verplicht in de publieke sector. De rol van die functionaris voor de gegevensbescherming wordt gedefinieerd in de verordening zelf, evenals in de richtlijn.

Het gaat dus om de aanstelling van één of meerdere personen die de verwerkingsverantwoordelijke bijstaan bij het intern toezicht op de naleving van de regelgeving inzake gegevensbescherming. Die persoon kan een personeelslid zijn van de verwerkingsverantwoordelijke, die een bijzondere opleiding genoten heeft over de wetgeving en procedures inzake gegevensbescherming om zo een gespecialiseerde kennis op te bouwen binnen dit domein. Het vereiste niveau van gespecialiseerde kennis wordt onder meer bepaald in functie van de uitgevoerde gegevensverwerkingen en de vereiste bescherming van de persoonsgegevens die de verwerkingsverantwoordelijke verwerkt. Die persoon kan zijn functie voltijds of deeltijds uitoefenen. Een functionaris voor de gegevensbescherming kan eveneens aangesteld worden voor verschillende verwerkingsverantwoordelijken tegelijk, rekening houdende met de organisatiestructuur en omvang, bijvoorbeeld bij het delen van gegevensbronnen binnen één centrale entiteit of tussen verwerkingsverantwoordelijken. Die persoon kan eveneens aangesteld worden om verschillende functies te bekleden binnen de structuur van de betrokken verwerkingsverantwoordelijken. De functionarissen voor de gegevensbescherming zouden hun functies en opdrachten volledig onafhankelijk moeten kunnen uitoefenen in overeenstemming met de geldende wetgeving.

De functionaris voor de gegevensbescherming staat de verwerkingsverantwoordelijke en de werknemers die persoonsgegevens verwerken bij door ze te informeren en te adviseren over het naleven van de verplichtingen inzake de gegevensbescherming. De afgevaardigde voor de gegevensbescherming is eveneens het contactpunt voor de burger, maar ook voor de toezichthoudende autoriteit.

Naast voornoemde vereisten, laten de verordening en richtlijn een bepaalde marge aan de lidstaten en de verwerkingsverantwoordelijken.

Er is overleg met de verschillende sectoren en departementen binnen de overheidssector over de impact van de verordening en richtlijn, en in het bijzonder met betrekking tot de verschillende nieuwe verplichtingen die deze instrumenten opleggen. De deelstaten werden hier eveneens bij betrokken. Er worden op deze overlegvergaderingen inderdaad veel vragen gesteld over de functionaris voor de gegevensbescherming. Hoewel deze functie reeds voorzien was in de huidige privacywet van 8 december 1992, werd deze bepaling echter nooit uitgevoerd. Ik begrijp dan ook dat er vandaag veel aandacht gaat naar deze verplichting. De federale administraties kennen wel de functie van informatieveiligheidsadviseur, maar moeten hun werking aanpassen door de komst van een nieuw profiel, want de functionaris voor de gegevensbescherming kan niet gelijkgesteld worden met een informatieveiligheidsadviseur.

Sommige overheidsdiensten hebben reeds voldaan aan deze verplichting. Dit is het geval voor de federale politie, de federale overheidsdienst (FOD) Financiën en bij de toepassing van de wet PNR (Passenger Name Record).

Hoewel deze verplichting zal moeten toegepast worden in de ganse overheidssector heeft de regering ervoor geopteerd om geen profiel veralgemeend vast te leggen voor de functionaris van de gegevensbescherming gezien de grote verschillen qua omvang en organisatie (ministerie vs. FOD) van de verschillende overheidsdiensten.

Er moet voldoende bewegingsvrijheid gelaten worden aan elke organisatie om zo goed mogelijk te beantwoorden aan de behoeften van zijn eigen administratie. Bijgevolg is het niet mogelijk om te bepalen hoeveel personen er moeten aangesteld worden binnen de overheidsinstellingen. Naargelang de organisatie kunnen de functionarissen voor de gegevensbescherming ook voltijds of deeltijds aangesteld worden of zelfs voor verschillende departementen tegelijk.

3) & 4) Met de grotere aandacht voor de gegevensbescherming en de nieuwe reglementering stijgt het aantal opleidingen en informatiesessies. Verschillende organisaties hebben reeds brochures gepubliceerd en websites opgesteld om hun leden en de burger zo goed mogelijk te informeren. Het is dus vanaf nu aan elke verwerkingsverantwoordelijke om zo duidelijk en beknopt mogelijk te informeren over de rechten en procedures die elke betrokken persoon heeft ten opzichte van de verwerking van zijn persoonsgegevens. De nieuwe Gegevensbeschermingsautoriteit die de Privacycommissie vervangt, heeft ook als één van de voornaamste bevoegdheden de ondernemingen en overheidsdiensten te begeleiden en de burger te informeren.

De huidige Privacycommissie neemt ook in deze overgangsperiode initiatieven om het publiek en de jongeren te sensibiliseren, in het bijzonder met een campagne onder de naam « Je décide / Ik beslis » waarvan de inhoud toegankelijk is via de website van de Privacycommissie.

Ook binnen mijn kabinet en mijn administratie wordt deze sensibiliseringstaak ter harte genomen. Zo kan ik rekenen op het overlegplatform privacy dat is opgericht en waarin de vertegenwoordigers van de sectorfederaties en het maatschappelijk middenveld zetelen. Dit is ook het opzet van het platform, met name in dialoog gaan met de sectoren en het maatschappelijk middenveld om te luisteren naar hun bezorgdheden, samen maatregelen nader te bekijken en de nodige begeleiding te bieden aan de ondernemingen om ook de kansen te benutten van de beschermingsmaatregelen, dankzij duidelijke informatie over hun rechten en plichten.

Tot slot bezoek ik ook regelmatig sectorfederaties of andere bedrijfsgroepen om hen over de inwerkingtreding van de nieuwe wetgeving in mei 2018 te sensibiliseren, zodat ze zich zo spoedig mogelijk zouden conformeren met de nieuwe regelgeving en zo de rechten van de betrokkenen optimaal beschermen.