Aide aux formalités

A quelles formalités suis-je soumis ?

De manière générale, les traitements soumis à l’article 11-1 de la Loi n° 1.165 (soupçons d’activités illicites, comportant des données biométriques ou mis en œuvre à des fins de surveillance) sont soumis à une demande d’autorisation de la Commission.
A défaut, les autres traitements sont soumis soit au régime de la déclaration simplifiée, soit de la déclaration ordinaire. 
Sont soumis à déclaration simplifiée, tous les traitements conformes à un Arrêté Ministériel de référence. Si le traitement excède le cadre fixé par Arrêté Ministériel ou qu’il n’existe pas d’Arrêté Ministériel, alors le traitement doit être soumis en la forme d’une déclaration ordinaire.
De manière plus spécifique, les traitements ayant pour fin une recherche dans le domaine de la santé sont soumis à la procédure d’avis de la Commission. Par exception, ceux  relevant du domaine de la recherche biomédicale au sens de la Loi n° 1.265 du 23 décembre 2002 relative à la protection des personnes dans la recherche biomédicale, sont soumis au régime de la demande d’avis, de la déclaration ordinaire ou de la demande d’autorisation, selon le cas, et suivant la nature du responsable de traitement.
Par ailleurs, les traitements mis en œuvre par des personnes morales de droit public, autorités publiques, organismes de droit privé investis d’une mission d’intérêt général ou concessionnaire d’un service public sont également soumis à la procédure de demande d’avis. Par exception, les traitements des entités relevant du secteur privé peuvent être soumis à demande d’autorisation dans les hypothèses posées à l’article 11-1 de la Loi n° 1.165, modifiée.  
Enfin, les transferts d’informations vers des pays ne disposant pas d’un niveau de protection adéquat sont toujours soumis à une demande d’autorisation, conformément aux articles 20 et 20-1 de la Loi n° 1.165, modifiée et doivent être instruits au moyen du formulaire de demande d’autorisation de transfert prévu à cet effet.

Pour remplir un dossier de formalité, il convient de répondre aux questions suivantes :

Qui est le responsable de traitement ?

Le responsable de traitement est la personne physique ou morale, de droit privé ou de droit public, l’autorité publique, le service ou tout organisme qui détermine, seul ou conjointement avec d’autres, la finalité et les moyens du traitement et décide de sa mise en œuvre.

Qui est le signataire de la demande d’avis ?

C’est la personne physique ayant compétence ou qualité pour engager la personne morale de droit public ou de droit privé concernée.

Définir la finalité du traitement ?

Le responsable de traitement définit la finalité du traitement qu’il doit mettre en œuvre en fonction de l’utilisation qu’il entend faire du fichier informatique. Celle-ci doit être déterminée, explicite et légitime. Pour cela, il doit établir l’objectif principal de son traitement, soit la raison d’être du fichier (ex : gestion du personnel, gestion des fournisseurs, fichier d’adresses (etc.).

Définir les fonctionnalités du traitement ?

Une fois la finalité déterminée, il devra décliner les différentes fonctions de son traitement. Par exemple pour un fichier « gestion du personnel », les fonctionnalités pourront être les suivantes : gestion des congés, gestion des carrières (…).

Le traitement est-il justifié ?

Conformément à l’article 10-2 de la loi, un traitement d’informations nominatives doit être justifié par :

  • le consentement de la ou des personnes concernées, ou ;
  • le respect d’une obligation légale à laquelle est soumis le responsable du traitement ou son représentant, ou ;
  • un motif d’intérêt public, ou ;
  • l’exécution d’un contrat ou de mesures précontractuelles avec la personne concernée, ou ;
  • la réalisation d’un intérêt légitime poursuivi par le responsable de traitement ou son représentant ou par le destinataire, à la condition de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
Cette justification doit être précisée et développée dans le formulaire de formalité.

Concernant la justification de traitements particuliers

Pour les traitements comportant des données sensibles

  L’article 12 de la loi interdit la mise en œuvre de traitements faisant apparaître, directement ou indirectement, des opinions ou des appartenances politiques, raciales ou ethniques, religieuses, philosophiques ou syndicales, ou encore des données relatives à la santé, y compris des données génétiques, à la vie sexuelle, aux mœurs, aux mesures à caractère social.

Ces informations peuvent néanmoins être exploitées par les personnes physiques ou morales de droit privé :

  • lorsque la personne concernée a librement donné son consentement écrit et exprès, notamment dans le cadre de la loi n° 1.265 du 23 décembre 2002 relative à la protection des personnes dans la recherche biomédicale, sauf dans le cas ou la loi prévoit que l’interdiction visée au premier alinéa ne peut être levée par le consentement de la personne concernée. Cette dernière peut, à tout moment, revenir sur son consentement et solliciter du responsable ou de l’utilisateur du traitement la destruction ou l’effacement des informations la concernant ;
  • lorsqu’un motif d’intérêt public le justifie, pour les traitements visés à l’article 7 dont la mise en œuvre est décidée par les autorités ou organes compétents après avis motivé de la Commission de Contrôle des Informations Nominatives ;
  • lorsque le traitement concerne les membres d’une institution ecclésiale ou d’un groupement à caractère politique, religieux, philosophique, humanitaire ou syndical, dans le cadre de l’objet statutaire ou social de l’institution ou du groupement et pour les besoins de son fonctionnement, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les informations ne soient pas communiquées à des tiers sans le consentement des personnes concernées ;
  • lorsque le traitement porte sur des informations manifestement rendues publiques par la personne concernée ;
  • lorsque le traitement est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins, de médications ou de la gestion des services de santé et de prévoyance sociale, ou dans l’intérêt de la recherche et que le traitement de ces données est effectué par un praticien de la santé soumis au secret professionnel ou par une autre personne également soumise à une obligation de secret ;
  • lorsque le traitement est nécessaire à la constatation, à l’exercice ou la défense d’un droit en justice ou répond à une obligation légale.
Cette justification doit être précisée et développée dans le formulaire de formalité.

Pour les traitements relevant du régime d’autorisation Le responsable de traitement doit justifier, conformément à l’article 11-1 alinéa 2 de la loi, que le traitement est nécessaire à la poursuite d’un objectif légitime essentiel et que les droits et libertés visés par la Constitution sont respectés.

Cette justification doit être développée dans le formulaire de formalité.

 

Qui est le destinataire du traitement ?

Pour répondre à cette question, il convient d’identifier les personnes physiques ou morales qui, en dehors de l’entité qui exploite le traitement, reçoivent communication d’informations contenues dans celui-ci.

Ces personnes doivent être distinguées des personnes ayant un accès direct à la base de données.

Le traitement est-il sécurisé ?

La sécurité des traitements est une exigence majeure de la loi. Cette sécurité se conçoit pour l’ensemble des processus relatifs aux données, qu’il s’agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction, elle concerne également leur confidentialité, leur authenticité et leur disponibilité.

C’est pourquoi, le dossier de formalités, qui doit être adressé à la Commission, doit impérativement comporter tous les éléments permettant à celle-ci d’apprécier les mesures de sécurité prises par le responsable de traitement :

  • architecture du système ;
  • schéma de flux de données ;
  • mesures de sécurité physique ;
  • mesures de sécurité logique ;
  • copie des contrats passés avec les prestataires de services, (etc).
Afin d’accompagner le responsable de traitement dans cette démarche descriptive de fonctionnement de son système ainsi que des mesures de sécurité y afférentes, une annexe sécurité a été établie. Il convient de la remplir, d’y adjoindre des annexes et de les rattacher impérativement au dossier.