Régime d’autorisation bruxellois

Une autorisation est requise lorsque plusieurs intervenants souhaitent s’échanger des données à caractère personnel.

Pour savoir à qui s'adresser pour l'échange envisagé, il faut distinguer 2 situations :

• une autorisation générale a déjà été octroyée, et il suffit d'y adhérer
• il n'y a encore ni autorisation, ni d'autorisation générale. 

 

Adhésion à une autorisation générale

 

Pour les autorisations générales qui n’ont pas été émises par un comité sectoriel (CS), le demandeur addresse sa demande d'adhésion à l’organe émetteur de celle-ci :

• Vlaamse Toezichtcommissie,
• Commission de Contrôle Bruxelloise
• etc.

Pour les autorisations générales émises par le Comité sectoriel sécurité social et santé (CSSSS), le demandeur adresse sa demande d’adhésion à la Chambre sécurité sociale et santé (Chambre SS & S).

Pour les autorisations générales qui n’ont pas été émises par le Comité sectoriel du Registre national (CSRN), le demandeur adresse sa demande d’adhésion à la Chambre Autorité fédérale (Chambre AF).

Pour les autorisations générales émises par le Comité sectoriel du Registre national (CSRN), si la demande concerne des données du Registre national, du Registre des étrangers ou du Registre d’attente, le demandeur adresse sa demande d’adhésion au Ministre de l’intérieur ou à son délégué; si la demande concerne des données du registre du protocole (diplomates, fonctionnaires consulaires, …), le demandeur adresse sa demande d’adhésion au Ministre des Affaires étrangères ou à son délégué.

L’adhésion aux autorisations générales se fait par une déclaration d'engagement écrite et signée dans laquelle celui qui demande l'adhésion confirme adhérer aux conditions de la délibération en question.

Les adhésions aux autorisations générales sont publiées sur le site Internet de l'organe chargé de leur réception.

 

Il n'y a encore ni autorisation, ni autorisation générale

Source bruxelloise

Lorsqu’une institution qui n’est pas visée par l’ordonnance du 8 mai 2014 souhaite accéder à des données à caractère personnel détenues par une institution visée par cette ordonnance, cet accès doit faire l’objet d’une autorisation préalable de la Commission de Contrôle Bruxelloise, quel que soit le destinataire. Aucune autre autorisation ne doit être sollicitée à ce sujet.

Source fédérale

Lorsqu’une institution du périmètre bruxellois souhaite consulter des données sociales à caractère personnel via la BCSS, cet accès doit impérativement faire l’objet d’une autorisation de la Chambre sécurité sociale et santé (SSS) (art.18 de la loi du 5 septembre 2018). Ces mêmes donnés pseudonymisées peuvent être communiquées à l’IBSA moyennant autorisation préalable de la Commission de Contrôle Bruxelloise.

Lorsqu’une institution du périmètre bruxellois souhaite consulter des données à caractère personnel relatives à la santé via la plate-forme eHealth, cet accès doit impérativement faire l’objet d’une autorisation préalable de la Chambre sécurité sociale et santé (cfr art.42, §2, 3° de la loi du 13 décembre 2006).

Lorsqu’une institution du périmètre bruxellois souhaite consulter des données du Registre National, cet accès doit faire l’objet d’une autorisation préalable du Ministre de l’intérieur (cfr art.6 de la LDD du 25  novembre 2018)

Lorsqu’une institution du périmètre bruxellois souhaite consulter des données du Registre du Protocole, cet accès doit faire l’objet d’une autorisation préalable du Ministre des Affaires Étrangères (cfr art.8 de la LDD du 25  novembre 2018)

En ce qui concerne les autres données à caractère personnel provenant des autres institutions fédérales, si le fournisseur et le destinataire des données ne parviennent pas à un accord, ou si l’un des 2 le souhaite, ils peuvent alors s’adresser ensemble à la Chambre Autorité fédérale (art.86 de la loi du 5 septembre 2018).

Autre source

Lorsqu’une institution visée par l’ordonnance du 8 mai 2014 souhaite accéder à des données à caractère personnel détenues par une autorité qui n’est pas fédérale, cet accès doit faire l’objet d’une autorisation de la Commission de Contrôle Bruxelloise.

Formalités diverses

Quel que soit l’organe auprès duquel l’autorisation doit être demandée, les conditions indispensables suivantes sont applicables :

1. avoir désigné un conseiller en sécurité l'information pour lequel le questionnaire d'évaluation, dûment rempli, a reçu un avis favorable de la commission compétente,
2. avoir rendu son système d'information conforme aux prescriptions élémentaires en matière de sécurité et de protection des données à caractère personnel et avoir soumis à la commission compétente la déclaration de conformité correspondante dûment signée par le responsable de la gestion journalière du traitement de données à caractère personnel (c'est-à-dire la personne responsable de la direction journalière de l'organisme),
3. avoir démontré que l'utilisation des données à caractère personnel visées par la demande répond aux conditions fixées par la loi vie privée.

Lorsque les échanges électroniques souhaités comportent des données à caractère personnel, il est indispensable de veiller à ce que les principes fondamentaux de la loi « vie privée » soient respectés.
Outre l'autorisation elle-même, le responsable du traitement devra également consigner ce nouveau traitement dans le « registre des activités de traitement » mis en place dans le cadre du RGPD.