Communication à des tiers de données à caractère personnel extraites du répertoire de la DIV : définitions et procédure

Quelques définitions utiles

Ci-après quelques termes utiles tels que définis par la loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel (08/12/1992) :

  • CPVP (Commission de la Protection de la Vie Privée) : organe de contrôle indépendant chargé de veiller à ce que les données à caractère personnel ne soient pas utilisées d'une manière contraire à la loi. Il a aussi pour mission de répondre aux demandes d'informations et de traiter les plaintes qui lui sont adressées.
  • CSAF (Comité Sectoriel pour l’Autorité Fédérale) : organe institué au sein de la CPVP en vertu de la loi vie privée. Il est chargé de réaliser les expertises nécessaires pour la mise en place des flux électroniques de données à caractère personnel au sein de l’administration fédérale et de surveiller ceux-ci.
  • Données à caractère personnel : toute information concernant une personne physique identifiée ou identifiable, désignée par ladite loi comme étant la « personne concernée » ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale (il peut s’agir du nom d’une personne, d’un numéro de téléphone, d’un code, d’une adresse e-mail, d’un numéro de châssis, d’un numéro de Registre national, etc.).
  • Traitement : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction de données à caractère personnel (ainsi, la gestion du répertoire des véhicules par le service Immatriculation de la  DIV est un traitement de données à caractère personnel).
  • Fichier : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique (ainsi, le répertoire de la DIV est un fichier).
  • Responsable du traitement : la personne physique ou morale, l’association de fait ou l’administration publique qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par ou en vertu d’une loi, d’un décret ou d’une ordonnance, le responsable du traitement est la personne physique, la personne morale, l’association de fait ou l’administration publique désignée comme responsable du traitement par ou en vertu de cette loi, de ce décret ou de cette ordonnance (ainsi, la DIV est le responsable du traitement de données à caractère personnel).
  • Sous-traitant : la personne physique ou morale, l’association de fait ou l’administration publique qui traite des données à caractère personnel pour le compte du responsable du traitement et est autre que la personne qui, placée sous l’autorité directe du responsable du traitement, est habilitée à traiter les données (ainsi le service IT est un sous-traitant de la DIV).
  • Tiers : la personne physique, la personne morale, l’association de fait ou l’administration publique, autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données (ainsi, les destinataires de données à caractère personnel extraites du fichier de la DIV comme, par exemple, les communes, sont des tiers).
  • Destinataire : la personne physique, la personne morale, l’association de fait ou l’administration publique qui reçoit communication de données, qu’il s’agisse ou non d’un tiers (ainsi, par exemple, les communes qui reçoivent des données à caractère personnel du fichier de la DIV sont aussi des destinataires) ; les instances administratives ou judiciaires qui sont susceptibles de recevoir communication de données dans le cadre d’une enquête particulière ne sont toutefois pas considérées comme des destinataires.
  • Consentement de la personne concernée : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal accepte que les données à caractère personnel la concernant fassent l’objet d’un traitement (ainsi le titulaire d’une immatriculation de véhicule est une personne concernée par le traitement de ses données à caractère personnel).

La procédure

1. L’organisme qui souhaite accéder au fichier de la  DIV doit compléter et renvoyer à la Commission de la protection de la vie privée  un certain nombre de documents disponibles sur le site WEB de la Commission Vie Privée, à savoir www.privacycommission.be , rubrique « Demander une autorisation > Comité sectoriel pour l’Autorité fédérale ».

2. Sous condition de conclusions favorables du Comité sectoriel pour l’Autorité fédérale (CSAF, institué au sein de la CPVP pour réaliser les expertises nécessaires) aux mesures de sécurité, envoi par ce dernier au bénéficiaire, d’une confirmation qu’il dispose bien de l’autorisation sollicitée, intitulée « Délibération AF numéro + date ». Une copie de ce document est transmise à la DIV.

3. Dès réception de la copie de l’autorisation ci-avant, la DIV envoie au bénéficiaire de ladite autorisation son modèle standard de convention de communication de données (document pré établi en deux exemplaires) accompagné d’un lay-out informatique unique et imposé (web service) contenant, notamment, un formulaire de contact à compléter et à transmettre à la DIV.

4. Sous réserve de l’accord dudit bénéficiaire aux termes de la convention proposée par la DIV ainsi qu’aux dispositions du lay-out informatique (accord marqué par le renvoi à la DIV des 2 exemplaires de la convention projetée signés par le bénéficiaire/destinataire), démarrage de la phase de test des flux électroniques par le département IT du SPF Mobilité et Transports.

5. A l’issue favorable de cette phase de test, renvoi au cocontractant de l’exemplaire de la convention de communication de données à caractère personnel lui destiné et signé par les deux parties. De par ce renvoi, la convention est activée.

6. Publication de ladite convention à la rubrique « circulation routière > immatriculation des véhicules » du site WEB du SPF Mobilité et Transports

Für die Auskunft auf Deutsch, Klick  hier (DOC, 40 Ko)

For the English version of this information, click  here (PDF, 100.96 Ko)