A propos

Que propose ce site?

Ce site web, créé par le gouvernement fédéral, vise à informer les citoyens sur le traitement des données personnelles par les institutions publiques fédérales.

Ce site web a été développé à la lumière des principes du Règlement général européen sur la protection des données (RGPD) et, plus particulièrement, du principe de transparence (art. 12 RGPD). Les informations contenues sur ce site proviennent des registres des activités de traitement que chaque institution publique doit tenir en sa qualité de responsable du traitement des données, conformément à l'article 30 du RGPD.

Ce site web fournit des informations sur l'identité du responsable du traitement, les finalités du traitement, les catégories de personnes concernées et les destinataires auxquels les données personnelles sont communiquées.

Qu’est-ce que la SMARTNATION?

La stratégie #SmartNation vise au développement global des personnes et de la société en portant une attention particulière au développement et au potentiel des nouvelles technologies.

Citons par exemple: l’intelligence artificielle (dans le domaine de la santé, l’énergie, la mobilité, etc), la blockchain (le traçage à la source via un registre de tous les processus), ou encore les ordinateurs quantiques (et la démultiplication de la vitesse de calcul des machines).

QU'EST-CE QUE LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (RGPD) ?

Le Règlement Général sur la Protection des Données (RGPD) décrit les règles relatives au traitement de vos données personnelles par un responsable du traitement. En anlais, il s'agit du GPDR, qui signifie "General Data Protection Regulation".

Cette législation européenne a été adoptée le 14 avril 2016 et est applicable depuis le 25 mai 2018. Le RGPD vise à protéger tous les citoyens européens contre les atteintes à leur vie privée et à leurs données personnelles.

Le RGPD renforce les droits des citoyens concernant l'utilisation de leurs données personnelles:
https://ec.europa.eu/info/law/law-topic/data-protection_fr

EUR-Lex - 32016R0679 - FR - EUR-Lex (europa.eu)

Quels sont les principes du RGPD ?

Le traitement des données doit:

être légal, approprié et transparent
avoir un but clairement défini (principe de finalité)
être limité au strict nécessaire (traitement minimal des données)
contenir des données correctes et à jour (exactitude)
limiter le stockage des données à la durée nécessaire/obligatoire (limitation du stockage)
protéger les données contre tout traitement non autorisé ou illicite, toute destruction, toute perte ou tout dommage (intégrité et confidentialité).

En outre, le GDPR prévoit la responsabilisation.

Cela signifie que la personne ou l'organisme qui traite les données à caractère personnel doit être en mesure de démontrer les raisons pour lesquelles le traitement a eu lieu.

Qu'est-ce qu'une donnée personnelle ?

Selon le GDPR, les données personnelles sont toute information relative à une personne physique identifiée ou identifiable ("la personne concernée"). Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Qu'est-ce que le traitement des données à caractère personnel ?

Selon le GDPR, le "traitement" est une opération ou un ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, tels que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, le verrouillage, l'effacement ou la destruction.

Que contiennent les registres des activités de traitement ?

Ce site contient des informations extraites des registres des activités de traitement des services publics fédéraux.
Les informations publiées comprennent :
- l'identité de la personne responsable du traitement
- une description des objectifs
- les catégories de données à caractère personnel
- les catégories de personnes concernées
- les catégories de destinataires auxquels les données personnelles sont divulguées.

Pourquoi certaines informations ne sont-elles pas disponibles ?

Il appartient à chaque organisation de décider quels sont les traitements de données qui sont publiables ou non.

Le GPDR et les institutions publiques fédérales

Dans le but d’offrir aux citoyens un service public de qualité, les institutions publiques fédérales traitent un nombre important de données à caractère personnel.
Ces traitements sont réglementés par les législateurs Belge et Européen, et se basent la plupart du temps sur un texte juridique.

En consultant ce site, les citoyens ont la possibilité d’en savoir plus en ce qui concerne le traitement des données à caractère personnel au sein des institutions publiques fédérales. S’ils le souhaitent, ils seront dirigés vers l’instance ou la personne compétente qui pourra répondre à leurs questions.

Quelles sont les obligations selon le RGPD ?

En tant que responsable de traitements, les organisations fédérales sont tenues de traiter les données conformément au RGPD. Certains des points clés sont les suivants :

déterminer les catégories de données à caractère personnel qui sont traitées, à quelles fins et avec quels moyens ;
faciliter l'exercice des droits des citoyens relatifs aux données traitées ;
s'assurer que la protection des données à caractère personnel traitées a été effectuée de manière adéquate ;
établir un processus clair pour identifier et signaler les violations de données dans les délais énoncés dans le RGPD ;
conclure un accord de traitement des données avec tous les tiers qui traitent des données personnelles au nom des institutions publiques fédérales ;
informer les citoyens au moyen d’une politique de confidentialité, d’une manière claire et compréhensible, sur le traitement des données les concernant et sur ce qui a été réalisé afin de se conformer aux exigences du RGPD;
tenir à jour un registre des activités de traitement;
nommer un délégué à la protection des données (DPO en anglais).

Quels sont les droits spécifiques des personnes concernées lorsqu'on parle du traitement de leurs données à caractère personnel?

Au moment où les données sont obtenues, le responsable de traitement doit informer la personne concernée notamment sur les points suivants :

droit d'accès de la personne concernée,
droit de rectification,
droit à la portabilité des données,
droit d’opposition,
droit à l'effacement ("droit à l'oubli"),
droit à la limitation du traitement.

Que signifie le droit à l’information et le droit à l’accès aux données à caractère personnel ?

Au moment où les données sont obtenues, le responsable de traitement doit informer la personne concernée notamment sur les points suivants :

les coordonnées du DPO,
les finalités du traitement et la base légale,
les destinataires ou catégories de destinataires,
la durée de conservation,
l’existence des droits et les moyens de les exercer.

En outre, à sa demande, la personne concernée peut également recevoir une copie des données à caractère personnel la concernant qui sont traitées.

Ces droits, sauf modalités prescrites dans le RGPD, sont octroyés gratuitement à la personne concernée.

Que signifie le droit de rectification des données à caractère personnel ?

La personne concernée peut exiger la rectification, dans les meilleurs délais, de données à caractère personnel inexactes la concernant ou, le cas échéant, que ces données soient complétées.

Que signifie le droit à la portabilité des données à caractère personnel ?

La personne concernée peut exiger la remise de données à caractère personnel la concernant sous une forme structurée, dans un format couramment utilisé, lisible et édité par une machine afin de pouvoir transférer celles-ci à un autre responsable de traitement.

Que signifie le droit de s’opposer au traitement de données à caractère personnel?

Une personne concernée n'a pas le droit de s'opposer au traitement des données à caractère personnel en général, mais elle peut s'opposer aux activités de traitement suivantes :

traitement à des fins de marketing direct
traitement à des fins scientifiques, historiques, de recherche ou statistiques

NB : lorsque le traitement par une institution publique est lié à l'exécution d'une obligation légale en rapport avec des missions publiques, l'exercice du droit d'opposition et les droits ou intérêts personnels de la personne concernée sont mis en balance avec l'intérêt public, et il est examiné s'il existe des motifs légitimes impérieux pour le traitement qui prévalent sur ceux-ci.

Que signifie le droit à l'effacement des données à caractère personnel (ou "droit à l'oubli") ?

Cela signifie qu'une personne concernée peut demander à un responsable du traitement de supprimer des données à caractère personnel si le traitement ne répond pas aux exigences du GDPR. Cela peut être le cas, par exemple, dans les circonstances suivantes

lorsque les données personnelles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées ;
lorsqu'une personne retire un consentement antérieur et qu'il n'existe plus de base juridique pour le traitement.
lorsqu'une personne s'oppose à la base sur laquelle un contrôleur de données traite les données.
lorsque les données sont autrement traitées de manière illégale.

Que signifie le droit à la limitation du traitement des données à caractère personnel ?

Ce droit permet à une personne concernée d'exiger que les données soient protégées contre tout traitement ultérieur si le traitement est contesté. Une telle contestation peut avoir lieu si la personne conteste l'exactitude des données, si elle estime que les données ont été obtenues illégalement, si le responsable du traitement n'a plus besoin des données ou s'il s'est opposé au traitement. Une restriction signifie que le responsable du traitement peut uniquement stocker les données et ne peut les traiter ultérieurement que si la personne donne son consentement, ou si le traitement est nécessaire, par exemple pour des raisons importantes d'intérêt public.

Qu’est-ce qu’un accord de traitement des données ?

Il s’agit d’un accord de traitement de données établissant la relation entre le responsable de traitement et le sous-traitant. Il décrit les données à caractère personnel que le sous-traitant peut traiter au nom du responsable de traitement et à quelles fins il doit le faire. Il décrit également les mesures techniques et organisationnelles que le sous-traitant doit mettre en œuvre pour s’assurer que ses activités de traitement répondent aux exigences du RGPD et que les droits des personnes concernées soient protégés de façon adéquate.

QUELLE EST LA DIFFÉRENCE ENTRE UN RESPONSABLE DE TRAITEMENT ET UN SOUS-TRAITANT ?

Le responsable de traitement est l’entité qui détermine l’objectif poursuivi par le traitement des données à caractère personnel et les moyens qui lui sont attribués. Le sous-traitant est une entité qui traite les données à caractère personnel au nom responsable de traitement et en conformité avec les instructions et la portée dont le responsable et le sous-traitant ont convenu mutuellement. Par souci de lisibilité, les informations relatives au sous-traitant ne s'affiche pas sur ce site.

Y a-t-il des cas où des "tiers" sont utilisés?

Oui, par exemple, pour stocker et protéger les données. Pour ces services, un accord est conclu avec ces sous-sous traitant (ces "tiers") afin de s’assurer qu’ils traitent les données à caractère personnel au moins au même niveau de sécurité que le sous-traitants.

Qu'est-ce qu'un DPO ?

Le Data Protection Officer (DPO), ou délégué à la protection des données, joue un rôle central dans la politique de la vie privée. Le DPO soutient le responsable de traitement ou le sous-traitant dans le cadre des traitements de données à caractère personnel.

Toute instance publique nomme obligatoirement un DPO, qui est en charge de la gestion correcte des traitements de données et de la vérification de ladite gestion dans le cadre du RGPD. Il est la personne de contact pour toutes les questions à ce sujet, tant pour les personnes concernées que pour l’autorité de contrôle.

Comment protège-t-on les données à caractère personnel traitées ?

Les organisations fédérales prennent des mesures techniques et organisationnelles pour s’assurer que toutes les données à caractère personnel traitées soient protégées de manière adéquate.

Qu’est-ce qu’une violation de données ?

Toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Que fera l’organisation dans le cas d’une violation de données ?

Une politique interne contre les violations de données à caractère personnel permet de réagir adéquatement en cas de violation. Les mesures sont les suivantes (récapitulatif) :

identifier la source de la violation de données ;
contenir la violation et prendre toutes les mesures nécessaires pour protéger les données ;
le cas échéant, informer sans tarder le (co-) responsable du traitement des données et/ou les autres parties concernées par la violation dès la prise de connaissance de celle-ci.
évaluer dans quels cas des mesures doivent être prises pour prévenir une violation de données similaire à l’avenir.

Il incombe responsable du traitement d’informer l’autorité de contrôle sans tarder et, lorsque cela est possible, dans les 72 heures suivant la prise de connaissance de la violation. Une notification n’est pas nécessaire si la violation est peu susceptible d’entraîner un risque pour les droits et libertés des personnes physiques.

Il est également de l’obligation du responsable du traitement de notifier les personnes concernées qui sont affectées par la violation de données. La notification n’est pas nécessaire si la violation est peu susceptible d’entraîner un risque élevé pour les droits et les libertés des personnes ou lorsqu’une protection technique et organisationnelle appropriée était en place au moment de l’incident.

Combien de temps les données à caractère personnel peuvent-elles être conservées ?

Le RGPD n’établit pas de durée spécifique en ce qui concerne la conservation des données personnelles, mais établit que les données à caractère personnel ne doivent pas être conservées au-delà de la période nécessaire correspondant aux fins pour lesquelles de telles données sont traitées.

La durée de la période varie vraiment selon le type de données à caractère personnel et la finalité de leur traitement.

Il existe également des exceptions permettant de conserver certaines données à caractère personnel plus longtemps si la loi établit que c'est nécessaire (finalité d’archivage par exemple).

Que se passe-t-il lorsque qu’on transfère des données en dehors de l’Espace Economique Européen (EEE) ?

Le RGPD exige que les organisations veillent à ce que le destinataire des données soit protégé avec le même niveau de protection dont bénéficient les processeurs situés à l’intérieur de l’EEE lorsque les données sont transférées en dehors de l’Espace Economique Européen. Le responsable du traitement souhaitant transférer des données à caractère personnel en dehors de l'Union européenne doit vérifier, au cas par cas, que le cadre juridique du pays de destination offre un niveau de protection des données effectif et adéquat, substantiellement équivalent à celui offert au sein de l'Union européenne.