← België

Décret contenant l'ajustement des décrets au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des perso

En bref

Ce décret ajuste plusieurs décrets existants pour les rendre conformes au Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne. Il vise à harmoniser la législation flamande avec les règles européennes concernant la protection des données personnelles.

Ce qu'il réglemente

Qui il concerne

Points clés

📄 Texte de loi
8 JUIN 2018. - Décret contenant l'ajustement des décrets au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (1) Le PARLEMENT FLAMAND a adopté et Nous, GOUVERNEMENT, sanctionnons ce qui suit : Décret portant ajustement des décrets au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 concernant la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) CHAPITRE 1. - Disposition préliminaire Article 1er.Le présent décret règle une matière communautaire et régionale. Art. 2.Ce décret prévoit l'exécution partielle du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). CHAPITRE 2. - Dispositions modificatives Section 1re. - Modifications de la réglementation du domaine politique de la Chancellerie et de la Gouvernance publique Sous-section 1re. - Modification du décret du 2 mars 1999 autorisant la participation à une société coopérative à responsabilité limitée chargée de l'exécution des tâches relatives au recrutement et à la sélection des fonctionnaires Art. 3.Un quatrième à neuvième alinéas sont ajoutés à l'article 5ter, § 3, du décret du 2 mars 1999 autorisant la participation à une société coopérative à responsabilité limitée compétente pour l'exécution des tâches relatives au recrutement et à la sélection des fonctionnaires, inséré par le décret du 29 mai 2015, comme suit : « Conformément à l'article 23, paragraphe 1, e) et h) du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données), Audit Vlaanderen peut décider que les obligations et droits, visés aux articles 12 à 22 du règlement précité ne s'appliquent pas au traitement de données à caractère personnel dans le cadre d'une enquête concernant une personne physique déterminée, si les conditions énoncées aux alinéas 5 à 9 sont remplies. La possibilité visée au quatrième alinéa ne s'applique que pendant la période au cours de laquelle la personne concernée fait l'objet d'une inspection, d'une enquête ou des activités préparatoires s'y rapportant, dans le cadre des missions légales et réglementaires d'Audit Vlaanderen, et à condition qu'il soit ou puisse être nécessaire pour le bon déroulement de l'enquête que les obligations et les droits visés aux articles 12 à 22 des statuts précités ne soient pas appliqués. Audit Vlaanderen justifie, le cas échéant, la décision visée au quatrième alinéa à la demande de l'autorité de contrôle compétente dans le domaine de la protection des données. Une fois l'enquête terminée, les droits énoncés aux articles 13 à 22 du règlement précité sont, le cas échéant, appliqués à nouveau conformément à l'article 12 du règlement précité. Si un dossier contenant des données personnelles visées au quatrième alinéa a été transmis au ministère public et peut conduire à des activités sous la direction du ministère public ou d'un juge d'instruction, et s'il existe une incertitude quant au secret de l'enquête sous la direction du ministère public ou d'un juge d'instruction, Audit Vlaanderen ne peut répondre à la demande de la personne concernée conformément aux articles 12 à 22 du règlement précité qu'après que le ministère public ou, le cas échéant, le juge d'instruction a confirmé à Audit Vlaanderen qu'une réponse ne met pas en péril ou pourrait mettre en péril l'enquête. Si, dans le cas visé au quatrième alinéa, la personne concernée soumet une demande sur la base des articles 12 à 22 du règlement susmentionné pendant la période visée au cinquième alinéa, Audit Vlaanderen renvoie la personne concernée à l'autorité de contrôle compétente dans le domaine de la protection des données. L'autorité de contrôle compétente en matière de protection des données informe uniquement la personne concernée que les vérifications nécessaires ont été effectuées. » Sous-section 2. - Modification du décret-cadre sur la politique administrative du 18 juillet 2003 Art. 4.A l'article 34, § 2, du décret-cadre sur la politique administrative du 18 juillet 2003, remplacé par le décret du 5 juillet 2013, un deuxième à septième alinéas sont ajoutés, libellés comme suit : « Conformément à l'article 23, alinéa premier, e) et h) du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données), Audit Vlaanderen peut décider que les obligations et droits, visés aux articles 12 à 22 du règlement susmentionné, ne s'appliquent pas au traitement de données à caractère personnel dans le cadre d'une enquête concernant une personne physique déterminée, si les conditions énoncées aux alinéas 3 à 7 inclus sont remplies. La possibilité visée au deuxième alinéa ne s'applique que pendant la période au cours de laquelle la personne concernée fait l'objet d'une inspection, d'une enquête ou des activités préparatoires y afférentes, dans le cadre des missions légales et réglementaires d'Audit Vlaanderen, et à condition qu'il soit ou puisse être nécessaire pour le bon déroulement de l'enquête que les obligations et droits visés aux articles 12 à 22 du règlement précité ne soient pas appliqués. Audit Vlaanderen justifie, le cas échéant, la décision visée au deuxième alinéa à la demande de l'autorité de contrôle compétente dans le domaine de la protection des données. Une fois l'enquête terminée, les obligations et droits visés aux articles 13 à 22 du règlement précité sont, le cas échéant, appliqués à nouveau conformément à l'article 12 du règlement précité. Si un dossier contenant des données personnelles visées au deuxième alinéa a été transmis au ministère public et peut conduire à des activités sous la direction du ministère public ou d'un juge d'instruction, et s'il existe une incertitude quant au secret de l'enquête sous la direction du ministère public ou d'un juge d'instruction, Audit Vlaanderen ne peut répondre à la demande de la personne concernée conformément aux articles 12 à 22 du règlement précité qu'après que le ministère public ou, le cas échéant, le juge d'instruction a confirmé à Audit Vlaanderen qu'une réponse ne met pas en péril ou pourrait mettre en péril l'enquête. Si, dans le cas visé au deuxième alinéa, la personne concernée soumet une demande sur la base des articles 12 à 22 du règlement susmentionné pendant la période visée au troisième alinéa, Audit Flandre renvoie la personne concernée à l'autorité de contrôle compétente dans le domaine de la protection des données. L'autorité de contrôle compétente en matière de protection des données informe uniquement la personne concernée que les vérifications nécessaires ont été effectuées. » Sous-section 3. - Modifications du décret du 26 mars 2004 relatif à la publicité de l'administration Art. 5.A l'article 16 du décret du 26 mars 2004 relatif à l'accès du public aux documents officiels, la phrase « si une personne constate qu'un document de gestion contient des informations incorrectes ou incomplètes à son sujet, la personne concernée peut obliger l'autorité compétente à corriger ou à compléter les informations, à condition qu'elle puisse fournir les pièces justificatives nécessaires » est remplacé par la phrase « Si une personne découvre qu'un document de gestion contient des informations inexactes ou incomplètes à son sujet, la personne concernée peut, sans préjudice de l'application des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, demander à l'autorité compétente de rectifier ou de compléter les informations, à condition que la personne concernée puisse fournir les éléments de preuve nécessaires. » Art. 6.A l'article 20, § 3, troisième alinéa du même décret, le membre de phrase « sans préjudice de l'application de l'article 12, alinéa 5, et de l'article 15, alinéa 3 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) » est ajouté. Sous-section 4. - Modifications apportées au Décret provincial du 9 décembre 2005 Art. 7.A l'article 30, § 1, du Décret provincial du 9 décembre, inséré par le décret du 30 avril 2009, le membre de phrase « sans préjudice de l'application de l'article 12, alinéa 5, et de l'article 15, alinéa 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) » est ajouté. Art. 8.A l'article 256 du même décret, modifié par les décrets des 30 avril 2009, 29 juin 2012 et 5 juillet 2013, les modifications suivantes sont apportées : 1° au troisième alinéa, la phrase suivante est ajoutée : « Conformément à l'article 23, alinéa premier, point i), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données), la personne concernée par le rapport n'a pas accès à ces déclarations, sauf avec le consentement de la personne qui a signalé l'irrégularité.» ; 2° sont ajoutés un quatrième à neuvième alinéas, libellés comme suit : « Conformément à l'article 23, alinéa premier, points e) et h), du règlement précité, Audit Vlaanderen peut décider de ne pas appliquer les obligations et droits énoncés aux articles 12 à 22 du règlement précité au traitement de données à caractère personnel dans le cadre d'une enquête concernant une personne physique déterminée, si les conditions énoncées aux alinéas 5 à 9 sont remplies. La possibilité visée au quatrième alinéa ne s'applique que pendant la période au cours de laquelle la personne concernée fait l'objet d'une inspection, d'une enquête ou des activités préparatoires s'y rapportant, dans le cadre des missions légales et réglementaires d'Audit Vlaanderen, et à condition qu'il soit ou puisse être nécessaire pour le bon déroulement de l'enquête que les obligations et droits visés aux articles 12 à 22 des statuts précités ne soient pas appliqués. Audit Vlaanderen justifie, le cas échéant, la décision visée au paragraphe 4 à la demande de l'autorité de contrôle compétente dans le domaine de la protection des données. Une fois l'enquête terminée, les droits énoncés aux articles 13 à 22 du règlement précité sont, le cas échéant, appliqués à nouveau conformément à l'article 12 du règlement précité. Si un dossier contenant des données personnelles visées au quatrième alinéa a été transmis au ministère public et peut conduire à des activités sous la direction du ministère public ou d'un juge d'instruction, et s'il existe une incertitude quant au secret de l'enquête sous la direction du ministère public ou d'un juge d'instruction, Audit Vlaanderen ne peut répondre à la demande de la personne concernée conformément aux articles 12 à 22 du règlement précité qu'après que le ministère public ou, le cas échéant, le juge d'instruction a confirmé à Audit Vlaanderen qu'une réponse ne met pas en péril ou ne pourrait mettre en péril l'enquête. Si, dans le cas visé au quatrième alinéa, la personne concernée soumet une demande sur la base des articles 12 à 22 du règlement susmentionné pendant la période visée au cinquième alinéa, Audit Vlaanderen renverra la personne concernée à l'autorité de contrôle compétente dans le domaine de la protection des données. L'autorité de contrôle compétente en matière de protection des données informe uniquement la personne concernée que les vérifications nécessaires ont été effectuées. » Sous-section 5. - Modification du décret du 25 mai 2007 harmonisant l'octroi des droits de préemption Art. 9.Dans l'intitulé du chapitre II du décret du 25 mai 2007 harmonisant les procédures d'octroi des droits de préemption, le terme « AGIV » est remplacé par les termes « l'Agence ». Sous-section 6. - Modifications du décret KLIP du 14 mars 2008 Art. 10.A l'article 16, alinéa premier, du décret KLIP du 14 mars 2008, tel que modifié par la décision du gouvernement flamand du 18 mars 2016, le membre de phrase « responsable du traitement au sens de l'article 1er, § 4, alinéa premier, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement des données à caractère personnel » est remplacé par le membre de phrase « responsable du traitement au sens de l'article 4, 7) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ». Sous-section 7. - Modifications apportées au décret du 18 juillet 2008 relatif à l'échange électronique de données administratives Art. 11.A l'article 2 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives, modifié par le décret du 13 juillet 2012, les modifications suivantes sont apportées : 1° le point 4° est remplacé par ce qui suit : « 4° règlement général sur la protection des données : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) » ;2° le point 5° est abrogé ;3° au point 6°, le membre de phrase « tout traitement tel que visé à l'article 1, § 2, de la loi sur la vie privée » est remplacé par le membre de phrase « le traitement visé à l'article 4, point 2), du règlement général sur la protection des données » ;4° au point 7°, le membre de phrase « un ou plusieurs actes tels que visés à l'article 1, § 2, de la loi sur la vie privée » est remplacé par le membre de phrase « une ou plusieurs opérations telles que visées à l'article 4, point 2), du règlement général sur la protection des données » ;5° le point 8° est abrogé ;6° au point 14°, le membre de phrase « les données à caractère personnel, visées à l'article 1 de la loi sur la vie privée » est remplacé par le membre de phrase « les données à caractère personnel visées à l'article 4, point 1), du règlement général sur la protection des données ». Art. 12.A l'article 4 du même décret, modifié par le décret du 23 décembre 2016, le paragraphe 3 est abrogé. Art. 13.A l'article 6, § 1er, du même décret, les modifications suivantes sont apportées : 1° au point 1° et au point 2°, les mots « loi sur la vie privée » sont remplacés par les mots « règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel » ;2° les points 4° et 5° sont abrogés. Art. 14.Dans le même décret, l'intitulé du chapitre 3 est remplacé par ce qui suit : « Chapitre 3. La protection des personnes physiques à l'égard du traitement des données à caractère personnel et la Commission de contrôle flamande du traitement des données à caractère personnel ». Art. 15.Au chapitre 3 du même décret, l'intitulé de la section 1ère est remplacé par ce qui suit : « Section 1ère. La protection des personnes physiques à l'égard du traitement des données à caractère personnel ». Art. 16.L'article 8 du même décret est remplacé par ce qui suit : « Art. 8.§ 1. Toute communication électronique de données à caractère personnel par une autorité à une autre autorité ou à une autorité extérieure nécessite un protocole conclu entre les autorités concernées. En tout état de cause, ce protocole prévoit ce qui suit : 1° l'identification des responsables du traitement ;2° les finalités pour lesquelles les données personnelles sont communiquées ;3° les catégories et l'étendue des données personnelles communiquées conformément au principe de proportionnalité ;4° les catégories de destinataires et de tiers qui peuvent également obtenir les données ;5° la base juridique de la communication et de la collecte des données ;6° les mesures de sécurité de la communication, en tenant compte de l'état de la technique, des coûts de mise en oeuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement, et des différents risques pour les droits et libertés des individus en termes de probabilité et de gravité ;7° la périodicité de la communication ;8° la durée de la communication ;9° les sanctions en cas de non-respect du protocole ;10° la description des finalités exactes pour lesquelles les données ont été collectées à l'origine par l'organisme qui gère les données demandées ;11° en cas de traitement ultérieur des données collectées, indication de l'analyse de compatibilité des finalités de ce traitement avec la finalité pour laquelle les données ont été initialement collectées conformément à l'article 6, quatrième alinéa du Règlement général sur la protection des données ;12° les accords concernant la garantie de la qualité des données et, le cas échéant, le respect du cadre juridique régissant l'accès à la source authentique des données ;13° des mesures spécifiques encadrant la communication des données telles que le choix du format de communication, l'enregistrement des accès afin qu'il soit possible de vérifier qui a eu accès à quelles données et quand et pourquoi et l'instauration d'un registre de référence en cas de communication automatique des changements apportés aux données. Le protocole est conclu par les responsables du traitement concernés après avoir obtenu l'avis du délégué à la protection des données de toutes les autorités compétentes et est ensuite immédiatement publié sur le site internet de toutes les autorités compétentes. Avant la conclusion d'un protocole, l'avis de la Commission de contrôle flamande visée à l'article 10 ou 10/1 peut être sollicité à la demande d'une partie concernée. La Commission de contrôle flamande rend son avis dans un délai de trente jours après que toutes les informations nécessaires à cet effet lui ont été communiquées. Dans les cas urgents pour lesquels des raisons particulières ont été données, le délai peut être ramené à 15 jours. Les avis de la Commission de contrôle flamande sont écrits et motivés. Ils sont communiqués à l'organisme concerné et publiés sur le site internet de la Commission de contrôle flamande. § 2. La communication de données à caractère personnel, visé au paragraphe 1, ne requiert pas de protocole si le Comité de sécurité de l'information, constitué en application de l'article 2 de la loi créant le Comité de sécurité de l'information et modifiant diverses lois relatives à l'exécution du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, est compétent pour délibérer relativement à cette communication. § 3. La communication de données à caractère personnel au sein d'une autorité est soumise à la décision du responsable du traitement de cette autorité, après avis préalable du délégué à la protection des données de cette autorité. Le délégué à la protection des données indique au responsable du traitement quels types de données à caractère personnel peuvent être communiquées entre les entités au sein de l'instance concernée, à quelles fins spécifiques et comment cette communication doit avoir lieu. Cette fin, le délégué à la protection des données examine si les données sont adéquates et pertinentes, et limitées à ce qui est nécessaire aux fins pour lesquelles elles sont communiquées. Si le délégué à la protection des données considère que la communication, compte tenu de la nature, de la portée, du contexte et des objectifs de la communication, constitue probablement un risque élevé pour les droits et libertés des personnes physiques dont les données doivent être communiquées, l'avis de la Commission de contrôle flamande visé à l'article 10/1 peut être sollicité avant la communication ». Art. 17.L'article 9 du même décret est remplacé par ce qui suit : « Art. 9.Conformément à l'article 37 du règlement général sur la protection des données, chaque autorité traitant des données à caractère personnel désigne un délégué à la protection des données. Le gouvernement flamand détermine de manière plus détaillée les tâches et le mode de désignation de ces délégués à la protection des données. Lorsque l'autorité fait appel à un sous-traitant visé à l'article 4, point 8), du règlement général sur la protection des données, le sous-traitant désigne également un délégué à la protection des données. Les conseillers à la sécurité désignés par les autorités conformément à l'article 9 du décret du 18 juillet 2008 sur l'échange électronique de données administratives et au décret du gouvernement flamand du 15 mai 2009 sur les conseillers à la sécurité, visés à l'article 9 du décret du 18 juillet 2008 sur l'échange électronique de données administratives, applicable au plus tard le 24 mai 2018, peuvent inclure le poste de délégué à la protection des données s'ils satisfont aux exigences énoncées à l'article 37, cinquième alinéa, du règlement général sur la protection des données ». Art. 18.Au chapitre 3 du même décret, l'intitulé de la section 2 est remplacé par ce qui suit : « Section 2. La Commission de contrôle flamande pour le traitement des données à caractère personnel ». Art. 19.A l'article 10 du même décret, modifié par les décrets des 24 juillet 2009 et 8 janvier 2010, les modifications suivantes sont apportées : 1° au paragraphe 1, le mot « six » est chaque fois remplacé par le mot « trois » ;2° l'alinéa premier du paragraphe 1 est complété par la phrase suivante : « Les trois membres sont respectivement un juriste, un informaticien et une personne ayant une expérience professionnelle dans la gestion des données à caractère personnel » ;3° le paragraphe 2 est remplacé par ce qui suit : « § 2.La Commission de contrôle flamande demande à la Commission pour la protection de la vie privée, visée à l'article 114, § 1, deuxième alinéa, de la loi du 3 décembre 2017Documents pertinents retrouvés type loi prom. 03/12/2017 pub. 10/01/2018 numac 2017031916 source service public federal justice Loi portant création de l'Autorité de protection des données fermer instituant l'Autorité de protection des données, d'envoyer un membre pour assister à chaque délibération de la Commission de contrôle flamande de l'échange électronique de données administratives en tant qu'observateur ». Art. 20.Dans le même décret, il est inséré un article 10/1, libellé comme suit : « Art. 10/1.§ 1er. Il est institué une Commission de contrôle flamande du traitement des données à caractère personnel. La Commission de contrôle flamande est un service autonome doté de la personnalité juridique et, en tant qu'autorité de contrôle du traitement des données à caractère personnel, elle est chargée de contrôler l'application de la réglementation générale en matière de protection des données par les organes. En termes d'organisation, de structure juridique et de prise de décision, la Commission de contrôle flamande est autonome et indépendante, sur le plan fonctionnel, des organes dont il supervise le traitement des données. La Commission de contrôle flamande est le successeur légal de la Commission de contrôle flamande, instituée par l'article 10 du décret du 18 juillet 2008 sur l'échange électronique de données administratives. Tous les actes officiels, annonces officielles ou autres documents officiels émis par la Commission de contrôle flamande doivent mentionner le nom du service, avec la mention « service autonome doté de la personnalité juridique » lisiblement et par écrit immédiatement avant ou après. § 2. Elle se compose de trois membres effectifs et trois membres suppléants. La Commission de contrôle flamande demande à l'Autorité de protection des données visée à l'article 3 de la loi du 3 décembre 2017Documents pertinents retrouvés type loi prom. 03/12/2017 pub. 10/01/2018 numac 2017031916 source service public federal justice Loi portant création de l'Autorité de protection des données fermer instituant l'Autorité de protection des données de déléguer un membre pour assister à chaque délibération de la Commission de contrôle flamande en qualité d'observateur. § 3. Les membres de la Commission de contrôle flamande ainsi qu'un suppléant pour chacun d'eux sont nommés par le Gouvernement flamand, à la suite d'un appel public à candidatures et sur la base d'une sélection comparative, pour une durée de six ans. L'appel public à candidatures indique le nombre de sièges vacants, les conditions de nomination et les modalités de présentation des candidatures. § 4. Les membres de la Commission de contrôle flamande sont nommés sur la base de leurs qualifications, de leur expérience et de leurs compétences dans le domaine de l'expertise juridique et technologique en matière de traitement et de protection des données à caractère personnel. Le Gouvernement flamand désigne un président parmi ses membres. § 5. Pour pouvoir être et rester membre, le candidat doit satisfaire aux conditions suivantes : 1° être citoyen d'un Etat membre de l'Espace économique européen ;2° jouir des droits civils et politiques ;3° ne pas être membre du Parlement européen, du Sénat, de la Chambre des Représentants, du Parlement flamand ou de tout autre parlement communautaire ou régional, du conseil provincial, du conseil de district, du conseil municipal et du conseil de la protection sociale ;4° ne pas être membre du gouvernement fédéral et d'un gouvernement régional ou communautaire, secrétaire régional, gouverneur provincial, sous-gouverneur, vice-gouverneur, membre de la Députation, conseil de district, bourgmestre de district, bourgmestre ou échevin et ne pas être membre d'une députation permanente ou d'un collège des bourgmestre et échevins ;5° n'exercer aucune fonction dans un cabinet ou une cellule politique d'une institution visée aux points 3° et 4° ;6° offrir toutes les garanties en vue de l'exercice indépendant de sa mission ;7° être titulaire d'un diplôme donnant accès à un poste de niveau A dans les services du Gouvernement flamand ou équivalent par expérience ;8° avoir au moins cinq ans d'expérience professionnelle utile dans les domaines juridique, administratif ou informatique ;9° pendant la durée de son mandat, conformément à l'article 52, troisième alinéa, du règlement général sur la protection des données, ne commettre aucun acte incompatible avec ses fonctions ». Art. 21.Dans le même décret, il est inséré un article 10/2, libellé comme suit : « Art. 10/2.§ 1er. Les membres de la Commission de contrôle flamande peuvent exercer au maximum deux mandats, consécutifs ou non. Les mandats ne sont pas renouvelés automatiquement. Le Gouvernement flamand entame la procédure de nomination au plus tard six mois avant l'expiration des mandats. Si le mandat d'un membre expire avant la date fixée, le Gouvernement flamand entame la procédure de sélection dès que possible en vue de la nomination d'un nouveau membre. Le nouveau membre termine le mandat de son prédécesseur. § 2. Dans les limites de ses compétences, la Commission de contrôle flamande est totalement indépendante et neutre et elle ne peut, pas plus que ses membres ni son personnel, ni solliciter ni recevoir d'instructions ou d'ordres du Parlement flamand ou de toute autre entité publique ou privée, directement ou indirectement, comme prévu à l'article 52, deuxième alinéa, du règlement général sur la protection des données. La Commission de contrôle flamande exerce ses fonctions et ses pouvoirs de manière impartiale, objective et transparente. Il ne peut être mis fin au mandat des membres de la Commission de contrôle de flamande en raison d'avis ou d'actes accomplis dans l'exercice normal de leurs fonctions. § 3. Le mandat du membre de la Commission de contrôle flamande prend fin de plein droit lorsqu'il est déclaré en incapacité de travail permanente. Le Gouvernement flamand met fin au mandat du membre de la Commission de contrôle flamande : 1° à la demande du membre ;2° quand le membre ne satisfait plus aux conditions visées à l'article 7. Le Gouvernement flamand peut mettre fin au mandat du membre de la Commission de contrôle flamande : 1° lorsque le membre atteint l'âge de 67 ans ;2° si le membre a commis une faute grave dans l'exercice de ses fonctions. § 4. Avant de prendre une décision sur la fin du mandat visé au paragraphe 3, troisième alinéa, 2°, la personne concernée est entendue pour les motifs invoqués. Avant l'audience, le Gouvernement flamand constitue un dossier contenant tous les documents relatifs aux motifs invoqués. Au moins cinq jours avant l'audience, la personne concernée est convoqué par lettre recommandée, indiquant au moins 1° les motifs graves invoqués ;2° le fait que l'abrogation d'un mandat est envisagée ;3° le lieu, la date et l'heure de l'audience ;4° le droit de la personne concernée de se faire assister d'une personne de son choix ;5° le lieu et le délai dans lequel le dossier peut être consulté ;6° le droit de faire citer des témoins à comparaître. La personne concernée et la personne qui l'assiste ont accès au dossier à partir du jour de l'envoi de l'avis d'audience jusqu'à la veille de l'audience. L'audition est consignée dans un procès-verbal. § 5. Il est interdit aux membres d'assister à toute délibération ou décision sur des questions dans lesquelles ils ont un intérêt personnel ou direct. Avant le début de leur mandat, ils doivent remplir et signer une déclaration certifiant qu'il n'y a pas de conflit d'intérêts. Cette déclaration est conservée au secrétariat de la Commission de contrôle flamande pendant toute la durée de leur mandat. § 6. Sauf exceptions légales, les membres et le personnel du comité de surveillance flamand sont tenus, pendant et après l'exercice de leurs mandats, statuts et accords respectifs, de préserver le caractère confidentiel des faits, actes ou informations dont ils ont eu connaissance en raison de leur position. § 7. La Commission de contrôle flamande peut conclure des protocoles sur l'obligation de confidentialité avec des organismes tiers afin de garantir l'échange des données nécessaires à l'exercice de ses tâches et pouvoirs ». Art. 22.Dans le même décret, il est inséré un article 10/3, libellé comme suit : « Art. 10/3.§ 1er. Le président de la Commission de contrôle flamande dirige les travaux de la Commission de contrôle flamande. La Commission de contrôle flamande adopte des règles internes qui contiennent en tout état de cause d'autres règles relatives à la gestion financière et à l'organisation administrative ainsi qu'aux méthodes et procédures de travail en vue de l'exercice correct et prudent des différentes tâches et compétences visées aux articles 57 et 58 du règlement général sur la protection des données. Le règlement intérieur est soumis à l'approbation du Gouvernement flamand et, après approbation, est publié au Moniteur belge et sur le site Internet de la Commission de contrôle flamande. § 2. La Commission de contrôle flamande dispose d'un personnel mis à disposition par les services du Gouvernement flamand compétents pour l'échange électronique de données administratives. A la date de la dissolution de la Commission flamande de contrôle de l'échange électronique de données administratives, le personnel statutaire et contractuel mis à la disposition de la Commission flamande de contrôle de l'échange électronique de données administratives sera transféré à la Commission flamande de contrôle du traitement des données personnelles, au moins en conservant leur capacité et leurs droits, leur ancienneté, leurs salaires, allocations et avantages et autres avantages qui leur ont été accordés conformément à la réglementation ou au contrat de travail. § 3. Le personnel de la Commission de contrôle flamande est placé sous la direction et l'autorité du président de la Commission de contrôle flamande. § 4. Le personnel de la Commission de contrôle flamande est soumis aux dispositions légales applicables au personnel des services du Gouvernement flamand. § 5. Le président suppléant et les membres permanents ou suppléants ont droit à un jeton de présence de 294,55 euros (indice 1,67374). Ce montant est lié à l'évolution de l'indice des prix à la consommation. Le président a droit à une fois et demie le jeton de présence. Tous les membres ont droit à des indemnités de déplacement et de séjour conformément aux dispositions applicables au personnel des ministères. § 6. La Commission de contrôle flamande est régie par les dispositions reprises au titre 3, à l'exception des articles 48 et 49, titre 4 et 6, du décret du 8 juillet 2011 réglant le budget, la comptabilité, l'attribution de subventions et le contrôle de leur utilisation, et le contrôle par la Cour des Comptes. La Commission de contrôle flamande joint un plan de travail à sa proposition de budget annuel. § 7. Conformément à l'article 59 du règlement général sur la protection des données, la Commission de contrôle flamande établit un rapport d'activité et le transmet au Gouvernement flamand, à la Commission européenne, au Conseil européen de la protection des données et à l'Autorité fédérale de protection des données. Le rapport est publié sur le site web de la Commission de contrôle flamande. § 8. Le président de la Commission de contrôle flamande ou, le cas échéant, l'un des autres membres de la Commission de contrôle flamande, peut à sa propre demande ou non, être entendu à tout moment par le Gouvernement flamand ». Art. 23.Dans le même décret, il est inséré un article 10/4, libellé comme suit : « Art. 10/4.§ 1er. La Commission de contrôle flamande rend, soit de sa propre initiative, soit à la demande du Parlement flamand ou du Gouvernement flamand, des avis sur toute question relative au traitement des données à caractère personnel. La Commission de contrôle flamande rend son avis dans un délai de trente jours après que toutes les informations nécessaires à cet effet lui ont été communiquées. Dans les cas urgents pour lesquels des raisons particulières ont été données, le délai peut être ramené à 15 jours. Les avis de la Commission de contrôle flamande sont écrits et motivés. Ils sont communiquée à l'autorité concernée. § 2. Les avis et recommandations concernant les questions relatives au traitement des données à caractère personnel sont publiés sur le site web de la Commission de contrôle flamande. Dans ses avis et recommandations, la Commission de contrôle flamande tient compte de l'état de l'art, des coûts de mise en oeuvre, ainsi que de la nature, de l'étendue, du contexte et des finalités du traitement, et des risques pour les droits et libertés des personnes qui varient en termes de probabilité et de gravité. § 3. Conformément à l'article 35, paragraphe 4, du règlement général sur la protection des données, la Commission de contrôle flamande établit une liste des types de traitements pour lesquels une évaluation de l'impact sur la protection des données par les autorités est obligatoire et la rend accessible au public sur son site web ». Art. 24.Dans le même décret, il est inséré un article 10/5, libellé comme suit : « Art. 10/5.Lorsque la personne concernée, visée à l'article 4, point 1), du règlement général sur la protection des données, présente une demande sur la base des articles 12 à 22 du règlement précité dans le cadre d'une enquête la concernant conformément aux dispositions spécifiques prévues par la loi en application de l'article 23, alinéa premier, points e) et h) du règlement précité, la Commission de contrôle flamande effectue les vérifications nécessaires et examine en particulier s'il a été décidé correctement, en application de la disposition précitée du règlement, de ne pas appliquer les obligations et droits visés aux articles 12 à 22 du règlement précité au traitement des données à caractère personnel. La Commission de contrôle flamande saisit l'autorité concernée et, si le dossier a entre-temps été soumis par l'autorité au ministère public ou au juge d'instruction, la Commission de contrôle flamande saisit également le ministère public ou le juge d'instruction afin d'effectuer les vérifications nécessaires. La Commission de contrôle flamande informe uniquement la personne concernée que les vérifications nécessaires ont été effectuées. Si nécessaire, la Commission de contrôle flamande ordonne à l'autorité compétente d'accéder aux demandes de la personne concernée pour exercer les droits que lui confère le règlement général sur la protection des données, conformément à l'article 58, deuxième alinéa, point c), du règlement général sur la protection des données ». Art. 25.Dans le même décret, il est inséré un article 10/6, libellé comme suit : « Art. 10/6.§ 1er. La Commission de contrôle flamande peut charger un ou plusieurs de ses membres d'effectuer une enquête sur place. Ces personnes disposent des pouvoirs d'enquête visés à l'article 58, alinéa premier, du règlement général sur la protection des données. § 2. La Commission de contrôle flamande a accès, sans préavis, de jour comme de nuit, aux sites, structures, bâtiments et locaux, y compris tous les équipements, supports de données, systèmes informatiques et moyens de traitement des données. Lorsque l'entrée dans ces lieux présente les caractéristiques d'une perquisition, celle-ci ne peut être effectuée qu'à la condition que l'occupant ait donné son consentement écrit préalable ou qu'elle ait été autorisée par le tribunal de police. A la demande de l'occupant, la Commission de contrôle flamande qui souhaite procéder à une visite sur place doit immédiatement montrer l'autorisation accordée à cette fin. § 3. En tout état de cause, les autorités sont tenues de soutenir la Commission de contrôle flamande dans l'exercice de ses fonctions, de fournir des informations et de permettre l'accès à tous les fichiers et systèmes informatiques chaque fois que la Commission de contrôle flamande en fait la demande. § 4. La Commission de contrôle flamande a le droit : 1° d'inclure l'identité et d'arrêter les personnes à identifier à cette fin ;2° d'exiger la présentation de documents d'identité ;3° à condition que l'identité ne puisse être établie conformément au point 1° ou 2°, d'établir l'identité par d'autres moyens. Les documents sont restitués à la personne concernée immédiatement après que l'identité a été vérifiée. § 5. Dans l'exercice de leurs fonctions d'enquête, les membres de la Commission de contrôle flamande investis des pouvoirs de contrôle et d'inspection présentent leur carte d'authentification. La Commission de contrôle flamande décide du modèle de carte d'authentification. § 6. Toute personne qui refuse de coopérer à l'exercice des pouvoirs d'enquête visés aux paragraphes 1 à 4 est passible d'une peine d'emprisonnement de six mois à un an et d'une amende de 26 à 20.000 euros, ou d'une seule de ces sanctions ». Art. 26.Dans le même décret, il est inséré un article 10/7, libellé comme suit : « Art. 10/7.§ 1er. La Commission de contrôle flamande prend les mesures correctives conformément à l'article 58, deuxième alinéa, du règlement général sur la protection des données. Lorsqu'elle envisage une mesure corrective, la Commission de contrôle flamande tient compte de la politique de sécurité de l'information et de l'état de la technique, des coûts de mise en oeuvre, ainsi que de la nature, de l'étendue, du contexte et des finalités du traitement, et des risques pour les droits et libertés des personnes qui varient en termes de probabilité et de gravité. Si la Commission de contrôle flamande estime qu'il existe des éléments suffisants pour imposer l'une quelconque de ces mesures correctives, elle en informe l'autorité concernée et, le cas échéant, l'invite à exercer son droit à la défense par écrit dans un délai de dix jours ouvrables. Si la Commission de contrôle flamande, après avoir pris connaissance de la défense écrite communiquée en temps utile, est toujours d'avis que la vie privée est violée, elle doit imposer la mesure corrective appropriée. Une invitation préalable à exercer les droits de la défense n'est pas requise lorsque cela rendrait la mesure proposée inefficace ou lorsque tout retard ou retard supplémentaire porterait gravement atteinte à la protection de la vie privée. § 2. La Commission de contrôle flamande ne peut pas infliger d'amende administrative conformément à l'article 83, alinéas 1 et 2, du règlement général sur la protection des données pour les infractions visées à l'article 83, alinéas 4, 5 et 6, du règlement général sur la protection des données. § 3. La Commission de contrôle flamande a le pouvoir de notifier les infractions à la réglementation générale sur la protection des données aux autorités judiciaires et, le cas échéant, d'intenter une action contre ces infractions ou d'engager une action en justice afin d'assurer le respect des dispositions de la réglementation générale sur la protection des données. La Commission de contrôle flamande est représentée en matière judiciaire et extrajudiciaire par le président et les autres membres, ou par l'un d'entre eux. La Commission de contrôle flamande coopère avec d'autres commissions de contrôle et la Commission européenne conformément au chapitre VII du règlement général sur la protection des données. § 4. La Commission de contrôle flamande organise une procédure de réclamation conformément aux exigences de l'article 57, alinéa premier, point f), et deuxième alinéa, du règlement général sur la protection des données. La Commission de contrôle flamande détermine les autres modalités de cette procédure de réclamation par le biais d'un règlement d'ordre intérieur ». Art. 27.A l'article 11 du même décret, modifié par le décret du 6 décembre 2013, les modifications suivantes sont apportées : 1° au paragraphe 1er, les deuxième et troisième alinéas sont supprimés ;2° au paragraphe 1er, le deuxième alinéa est supprimé ;3° le paragraphe 3 est supprimé. Art. 28.Les article 12/1 à 12/5 du même décret, insérés par le décret du 6 décembre 2013, sont abrogés. Sous-section 8. - Modifications du décret GDI du 20 février 2009 Art. 29.L'article 2, deuxième alinéa, du décret GDI du 20 février 2009, le membre de phrase « la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement des données à caractère personnel et le décret du 18 juillet 2008 relatif à l'échange électronique des données administratives » est remplacé par les mots « le règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ». Art. 30.A l'article 18, § 2, alinéa premier, du même décret, les modifications suivantes sont apportées : 1° le membre de phrase « les données à caractère personnel au sens de l'article 1, § 1, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement des données à caractère personnel » est remplacé par le membre de phrase « données à caractère personnel au sens de l'article 4, point 1), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ».2° le membre de phrase « conformément aux articles 8 et 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives » est remplacé par le membre de phrase « en application des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel applicables à la communication de données à caractère personnel, telles que sont ou seront précisées, le cas échéant, au niveau fédéral ou flamand ». Sous-section 9. - Modification du décret du 27 mars 2009 relatif à la radiodiffusion et à la télévision Art. 31.A l'article 33, § 2, du décret du 27 mars 2009 relatif à la radiodiffusion et à la télévision, remplacé par le décret du 5 juillet 2013, sont ajoutés un deuxième à septième paragraphes, libellés comme suit : « En application de l'article 23, alinéa premier, points e) et h) du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données), Audit Vlaanderen peut décider de ne pas appliquer les obligations et droits visés aux articles 12 à 22 des statuts susmentionnés, au traitement de données à caractère personnel dans le cadre d'une enquête concernant une personne physique déterminée, si les conditions énoncées aux alinéas 3 à 7 inclus sont remplies. La possibilité visée au deuxième alinéa ne s'applique que pendant la période au cours de laquelle la personne concernée fait l'objet d'une inspection, d'une enquête ou des activités préparatoires s'y rapportant, dans le cadre des missions légales et réglementaires d'Audit Vlaanderen, et à condition qu'il soit ou puisse être nécessaire pour le bon déroulement de l'enquête que les obligations et les droits visés aux articles 12 à 22 du règlement précité ne soient pas appliqués. Audit Vlaanderen justifie, le cas échéant, la décision visée au deuxième alinéa à la demande de l'autorité de contrôle compétente dans le domaine de la protection des données. Une fois l'enquête terminée, les droits énoncés aux articles 13 à 22 du règlement précité sont, le cas échéant, appliqués à nouveau conformément à l'article 12 du règlement précité. Si un dossier contenant des données personnelles visées au deuxième alinéa a été transmis au ministère public et peut conduire à des activités sous la direction du ministère public ou d'un juge d'instruction, et s'il existe une incertitude quant au secret de l'enquête sous la direction du ministère public ou d'un juge d'instruction, Audit Vlaanderen ne peut répondre à la demande de la personne concernée conformément aux articles 12 à 22 du règlement précité qu'après que le ministère public ou, le cas échéant, le juge d'instruction a confirmé à Audit Vlaanderen qu'une réponse ne met pas en péril ou ne pourrait mettre en péril l'enquête. Si, dans le cas visé au deuxième alinéa, la personne concernée soumet une demande sur la base des articles 12 à 22 de la législation susmentionnée pendant la période visée au troisième paragraphe, Audit Vlaanderen renverra la personne concernée à l'autorité de contrôle compétente dans le domaine de la protection des données. L'autorité de contrôle compétente en matière de protection des données informe uniquement la personne concernée que les vérifications nécessaires ont été effectuées. » Sous-section 10. - Modifications du décret CRAB du 8 mai 2009 Art. 32.A l'article 2 du décret CRAB du 8 mai 2009, modifié par l'arrêté du Gouvernement flamand du 18 mars 2016 et par le décret du 23 décembre 2016, les modifications suivantes sont apportées : 1° le point 12° est remplacé par ce qui suit : « 12° règlement général sur la protection des données : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) » ;2° au point 13°, le membre de phrase « tout traitement tel que visé à l'article 1, § 2, de la Loi sur la vie privée » est remplacé par le membre de phrase « le traitement visé à l'article 4, point 2), du règlement général sur la protection des données » ;3° le point 14° est remplacé par ce qui suit : « 14° Communication : un ou plusieurs des traitements énumérés à l'article 4, point 2), du règlement général sur la protection des données, qui concernent la fourniture de données par transmission, diffusion et toute autre forme de mise à disposition de données, si cela est fait de manière systématique et organisée.La communication aux personnes auxquelles les données se rapportent, à leurs représentants légaux, ainsi qu'à ceux qui ont été expressément autorisés par eux à traiter les données, n'est pas considérée comme une communication au sens du présent décret ». Art. 33.A l'article 4, 4° du même décret, les mots « loi sur la vie privée » sont remplacés par les mots « règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ». Art. 34.A l'article 6, deuxième alinéa, du même décret, tel que modifié par le décret du 23 décembre 2016, le membre de phrase « la Commission de surveillance conformément à l'article 11, § 1, alinéa premier, du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives » est remplacé par le membre de phrase « la Commission de contrôle flamande conformément à l'article 10/1 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives ». Art. 35.A l'article 10, deuxième alinéa, du même décret, tel que modifié par le décret du 23 décembre 2016, le membre de phrase « la Commission de surveillance conformément à l'article 11, § 1, alinéa premier, du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives » est remplacé par le membre de phrase « la Commission de contrôle flamande conformément à l'article 10/1 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives ». Art. 36.A l'article 22 du même décret, le membre de phrase « responsable du traitement visé à l'article 1er, § 4, alinéa premier, de la Loi sur la vie privée » est remplacé par le membre de phrase « responsable du traitement visé à l'article 4, point 7), du règlement général sur la protection des données ». Sous-section 11. - Modification du Décret sur les archives du 9 juillet 2010 Art. 37.A l'article 14, § 3, du Décret sur les archives du 9 juillet 2010, le point 5° est remplacé par ce qui suit : « 5° les modalités de traitement de certaines catégories de données à caractère personnel conformément à l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ». Sous-section 12. - Modifications du décret du 13 juillet 2012 portant la création et l'organisation d'un Intégrateur de services flamand Art. 38.A l'article 2 du décret du 13 juillet 2012 portant la création et l'organisation d'un Intégrateur de services flamand, modifié par le décret du 23 décembre 2016, les modifications suivantes sont apportées : 1° le point 2° est remplacé par ce qui suit : « 2° la Commission de contrôle flamande : la Commission de contrôle flamande, instituée par l'article 10/1 du décret du 18 juillet 2008 sur l'échange électronique de données administratives » ;2° les points 7° et 8° sont abrogés ;3° il est ajouté un point 11°, libellé comme suit : « 11° règlement général sur la protection des données : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ». Art. 39.A l'article 4 du même décret, modifié par le décret du 23 décembre 2016, les modifications suivantes sont apportées : 1° au point 6°, le membre de phrase « la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement des données à caractère personnel » est remplacé par les mots « le règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ».2° au point 14°, les mots « après autorisation de la Commission de contrôle flamande ou d'un comité sectoriel au sein de la Commission pour la protection de la vie privée » sont remplacés par le membre de phrase « en application de la réglementation sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel applicable à la communication des données à caractère personnel, telle qu'elle est ou sera précisée au niveau fédéral ou flamand, selon le cas ». Art. 40.A l'article 7 du même décret, les paragraphes 3 et 4 sont remplacés par ce qui suit : « § 3. Toute communication électronique de données personnelles par ou à la VDI sera effectuée en application de la réglementation sur la protection des personnes physiques à l'égard du traitement des données personnelles qui s'applique à la communication de données personnelles, telle qu'elle est ou sera précisée au niveau fédéral ou flamand, le cas échéant. § 4. Une communication électronique de données personnelles a lieu en application de la réglementation sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel applicable en ce qui concerne la communication de données à caractère personnel, telle qu'elle est ou sera spécifiée au niveau fédéral ou flamand, le cas échéant ». Art. 41.A l'article 14 du même décret, le membre de phrase « la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement des données à caractère personnel ou des dispositions légales, législatives ou réglementaires spécifiques relatives à la protection des données et des données à caractère personnel applicables à certaines sources de données » est remplacé par les mots « le règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ». Art. 42.A l'article 15 du même décret, les modifications suivantes sont apportées : 1° un nouveau paragraphe 1er est inséré devant le paragraphe 1 qui devient ainsi le paragraphe 1/1.Il est libellé comme suit : « § 1. Le VDI, en consultation avec les autorités compétentes et les autorités extérieures, et en particulier celles qui gèrent des sources de données authentiques, met au point les moyens techniques pour fournir aux citoyens un accès consolidé et axé sur les citoyens à leurs données et services auxquels les autorités, directement ou, le cas échéant, par l'intermédiaire d'autorités extérieures, ont accès » ; 2° dans le paragraphe 1 existant, qui devient le paragraphe 1/1, le membre de phrase « article 12 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement des données à caractère personnel » est remplacé par le membre de phrase « article 16 du règlement général sur la protection des données » ;3° au paragraphe 2, alinéa premier, les mots « ainsi que la sûreté de l'Etat et le service général de l'information et de la sécurité des forces armées » sont remplacés par le membre de phrase « en tant que sûreté de l'Etat et le service général de l'information et de la sécurité des forces armées, et sans préjudice de la possibilité pour les organes et les autorités extérieures d'appliquer l'article 23, alinéa premier, points e) et h) du règlement général sur la protection des données, de ne pas appliquer les obligations et les droits énoncés aux articles 12 à 22 du règlement précité au traitement de données à caractère personnel dans le cadre d'une enquête concernant une personne physique identifiée conformément aux dispositions spécifiques du décret-loi mettant en oeuvre la disposition susmentionnée » ;4° au paragraphe 2, deuxième alinéa, le mot « déterminé » est remplacé par le mot « conseillé » ;5° sont ajoutés un paragraphe 3 et un paragraphe 4, libellés comme suit : « § 3.Si nécessaire, la VDI peut, en consultation avec les autorités concernées et les autorités extérieures, faire une copie des données qu'elle traite en tant qu'intermédiaire, dans le seul but de rendre plus efficace la fourniture ultérieure de ces données, à condition que la VDI : 1° ne modifie pas les données ;2° mette à jour les données conformément aux règles établies en consultation avec les organismes concernés et les autorités extérieures ;3° efface ou empêche l'accès aux données stockées immédiatement, dès que le VDI a effectivement connaissance que les données ont été effacées de l'emplacement d'origine, que l'accès aux données a été désactivé, ou dès qu'une autorité administrative ou judiciaire a ordonné l'effacement ou le refus d'accès aux données. § 4. Afin d'informer les citoyens sur les données les concernant, la VDI peut, si nécessaire, collecter les données personnelles nécessaires auprès des autorités et des autorités extérieures et les conserver pendant une certaine période de temps, et uniquement dans le but de les communiquer au citoyen ». Art. 43.Dans le même décret, modifié par le décret du 24 avril 2014, l'arrêté du Gouvernement flamand du 18 mars 2016 et le décret du 23 décembre 2016, l'intitulé du chapitre 7 est remplacé par ce qui suit : « Chapitre 7. Délégué à la protection des données ». Art. 44.L'article 19 du même décret est remplacé par ce qui suit : « Art. 19.§ 1. Le VDI désigne un délégué à la protection des données parmi son personnel, conformément à l'article 37 du règlement général sur la protection des données. § 2. Le délégué à la protection des données de la VDI, visé au paragraphe 1er, exécute ses tâches conformément aux règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel afin d'assurer la sécurité des données traitées ou échangées par la VDI et la protection de la vie privée des personnes auxquelles les données se rapportent. Le délégué à la protection des données de la VDI, visé au paragraphe 1er, collabore avec les délégués à la protection des données d'autres instances, autorités extérieures et intégrateurs de services pour assurer une approche cohérente de la sécurité de l'information. Le délégué à la protection des données de la VDI sensibilise également les autorités compétentes à la sécurité de l'information. Le Gouvernement flamand peut imposer des obligations supplémentaires au délégué à la protection des données du VDI. § 3. Le consultant en sécurité désigné par le VDI conformément à l'article 9 du décret du 18 juillet 2008 sur l'échange électronique de données administratives, tel qu'il s'applique au plus tard le 24 mai 2018, et le décret du Gouverneme …

🔗 Vers la source officielle

Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.