15 mai 2014 - Accord de coopération entre la Région wallonne et la Communauté française portant exécution de l'accord de coopération du 23 mai 2013 entre la Région wallonne et la Communauté française portant sur le développement d'une initiative commune en matière de partage de données et sur la gestion conjointe de cette initiative (M.B. 25.08.2014)

Vu la Constitution belge telle que coordonnée le 17 février 1994, les articles 121 à 133 et 134 à 140;
Vu la loi spéciale du 8 août 1980 de réformes institutionnelles, les articles 77 et 92bis;
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;
Vu l'accord de coopération du 21 février 2013 entre la Région wallonne et la Communauté française organisant un service commun en matière de simplification administrative et d'administration électronique dénommé e-Wallonie-Bruxelles Simplification, "eWBS" en abrégé;
Vu l'accord de coopération du 23 mai 2013 entre la Région wallonne et la Communauté française portant sur le développement d'une initiative commune en matière de partage de données et sur la gestion conjointe de cette initiative, notamment les articles 7, 9, 10, 19 et 25;
Vu le décret du 4 juillet 2013 portant assentiment à l'accord de coopération du 23 mai 2013 entre la Région wallonne et la Communauté française portant sur le développement d'une initiative commune en matière de partage de données et sur la gestion conjointe de cette initiative;
Vu le décret du 10 juillet 2013 portant assentiment à l'accord de coopération du 23 mai 2013 entre la Région wallonne et la Communauté française portant sur le développement d'une initiative commune en matière de partage de données et sur la gestion conjointe de cette initiative;
Vu le décret du 10 juillet 2013 portant assentiment, pour les matières visées à l'article 138 de la Constitution, à l'accord de coopération du 23 mai 2013 entre la Région wallonne et la Communauté française portant sur le développement d'une initiative commune en matière de partage de données et sur la gestion conjointe de cette initiative;
Vu la décision du Gouvernement wallon du 15 mai 2014;
Vu la décision du Gouvernement de la Communauté française du 15 mai 2014;
La Région wallonne, représentée par son Gouvernement en la personne de son Ministre-Président, M. Rudy Demotte;
La Communauté française, représentée par son Gouvernement en la personne de son Ministre-Président, M. Rudy Demotte,
Ont convenu ce qui suit :

CHAPITRE Ier. - Dispositions générales

Article 1er. Le présent accord de coopération a pour objet de fixer les modalités d'exécution des articles 7, 9, 10, 19 et 25 de l'accord de coopération portant sur le développement d'une initiative commune en matière de partage de données et sur la gestion conjointe de cette initiative.

Art. 2. Au sens du présent accord, on entend par :

1° "accord de coopération "partage de données": l'accord de coopération du 23 mai 2013 entre la Région wallonne et la Communauté française portant sur le développement d'une initiative commune en matière de partage de données et sur la gestion conjointe de cette initiative;

2° "BCED" : la Banque-Carrefour d'échange de données telle que définie à l'article 2, 3°, de l'accord de coopération "partage de données";

3° "autorité publique" : l'autorité publique telle que définie à l'article 2, 8°, de l'accord de coopération "partage de données";

4° "CCED" la Commission Wallonie-Bruxelles de contrôle des échanges de données telle que définie à l'article 2, 6°, de l'accord de coopération "partage de données";

5° "personne concernée" : la personne visée à l'article 1er, § 1er, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des données à caractère personnel;

6° "destinataire" le destinataire tel que défini à l'article 2, 10°, de l'accord de coopération "partage de données".

CHAPITRE II. - Du Comité stratégique de la Banque-Carrefour d'échange de données

Art. 3. Le Comité stratégique est composé des 5 membres permanents suivants :

1° le secrétaire général du Service public de Wallonie;

2° le secrétaire général du Ministère de la Communauté française;

3° le directeur général de la Direction générale transversale du Service public de Wallonie en charge des Technologies de l'Information et de la Communication;

4° l'administrateur général de l'Entreprise publique des technologies nouvelles de l'information et de la communication (ETNIC);

5° le fonctionnaire dirigeant d'e-Wallonie-Bruxelles Simplification.

Les 5 membres permanents ont voix délibératives.

Participent également au Comité stratégique lorsque la mise en oeuvre opérationnelle de projets de partage de données y est abordée :

1° le responsable "partage de données et Banque-Carrefour d'échange de données" désigné par les Gouvernements au sein d'e-Wallonie-Bruxelles Simplification;

2° l'inspecteur général du Département des Technologies de l'Information et de la Communication de la Direction générale transversale du Service public de Wallonie en charge des Technologies de l'Information et de la Communication;

3° le correspondant du pôle technique de la Banque-Carrefour d'échange de données au sein de l'Entreprise publique des technologies nouvelles de l'information et de la communication (ETNIC).

Art. 4. Les membres visés à l'article 3 peuvent désigner une personne de leur service afin de les représenter.

CHAPITRE III. - De la reconnaissance des sources authentiques

Art. 5. § 1er. Conformément à l'article 7 de l'accord de coopération "partage de données", le Gouvernement désigne par arrêté une source de données en tant que source authentique de données et ce, après avis de la Commission Wallonie-Bruxelles de contrôle des échanges de données.

§ 2. La BCED effectue au préalable, en partenariat avec les gestionnaires de la source authentique candidate, une analyse d'opportunité visant à démontrer la pertinence et l'intérêt de reconnaître cette source de données en tant que source authentique de données.

L'analyse d'opportunité tient compte notamment :

1° de l'utilité de la reconnaissance en termes de réduction des charges administratives et d'amélioration de la qualité du service rendu;

2° des exigences prescrites par la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des données à caractère personnel ainsi que tous les arrêtés pris en exécution de cette dernière;

3° de l'impact financier et technologique de la mise en place de la source authentique.

Cet impact porte notamment sur :

a) la qualité des données avec, en particulier, leur exhaustivité, exactitude, actualisation, les garanties en matière de maintien au-dessus du seuil minimal acceptable déterminé et d'amélioration continue de cette qualité;

b) le contrôle de la qualité à l'égard des usagers, la traçabilité des modifications des données et la sauvegarde de l'historique de l'accès aux données;

c) la sécurité des données aux niveaux physique, technique et organisationnel;

d) l'opérationnalité de la source de données, notamment la disponibilité et l'accessibilité.

§ 3. Si, au terme des analyses, la source de données présente des garanties suffisantes pour être reconnue comme source authentique de données, la BCED accompagne la source authentique candidate dans la phase de reconnaissance en vue de garantir le maintien et l'amélioration des critères visés au § 2.

Si, par contre, aucune garantie suffisante ne peut être obtenue à l'issue de cette analyse, le projet visant à reconnaitre la source de données en une source authentique est suspendu jusqu'à l'obtention des garanties suffisantes.

Si malgré les efforts fournis, le niveau de garanties suffisant ne peut être atteint dans un délai raisonnable, le projet est abandonné.

§ 4. La Commission Wallonie-Bruxelles de contrôle des échanges de données peut être consultée au cours de l'analyse visée au paragraphe 2 pour les questions relatives à la protection des données à caractère personnel.

CHAPITRE IV. - Du rôle de la Commission Wallonie-Bruxelles de contrôle des échanges de données

Art. 6. § 1er. La CCED peut d'initiative demander une évaluation des mesures de sécurité mises en place au sein des autorités publiques. Elle désigne à cet effet le service chargé de mener l'évaluation, ci-après dénommé l'évaluateur. L'évaluateur prend pour ce faire toutes les mesures qui s'avèrent utiles pour répondre à cette demande en collaboration avec l'autorité publique concernée.

L'évaluateur doit bénéficier des moyens utiles et nécessaires pour exercer à bien sa mission.

L'évaluateur établit un rapport circonstancié de cette évaluation. Ce rapport est transmis à la CCED.

Les demandes de la CCED doivent être motivées par des indices sérieux que la politique de sécurité de l'autorité publique n'est pas correctement appliquée.

§ 2. La BCED procède, sur base d'un questionnaire, à une évaluation générale annuelle de la sécurité des données et de l'information auprès de toute autorité publique ayant reçu de la CCED ou d'un des comités sectoriels de la Commission de la protection de la vie privée une autorisation d'accès à des données à caractère personnel. Il est vérifié que les conditions d'octroi de l'autorisation sont toujours correctement mises en oeuvre.

La BCED remet un rapport annuel des résultats de cette évaluation générale à la CCED.

Art. 7. Les rapports visés aux paragraphes 1er et 2 de l'article 6 sont soumis au Comité stratégique avant d'être transmis à la CCED.

Les rapports ne sont pas contraignants pour la CCED.

Art. 8. § 1er. Lorsque sur base du rapport annuel ou circonstancié, il est constaté que certaines conditions d'octroi de l'autorisation d'accès d'une autorité publique ne sont plus réunies, la CCED peut suspendre l'autorisation jusqu'à la régularisation de la situation.

Cette décision est notifiée par le secrétariat de la CCED par recommandé ou tout autre moyen électronique équivalent, dans les cinq jours ouvrables de la décision de la CCED, à l'autorité publique et à la BCED qui sera chargée de suspendre l'accès effectif aux données.

La suspension prend effet le jour de la notification de la décision de suspension.

L'autorité publique doit remettre à la CCED dans les trente jours ouvrables un plan relatif aux mesures qu'elle compte mettre en oeuvre afin de régulariser sa situation. Sur cette base, la CCED, remet un avis à l'autorité publique dans lequel elle précise également le délai dont dispose l'autorité publique pour exécuter les mesures et les modalités de restauration de l'accès aux données visées par l'autorisation suspendue.

Dès que la BCED a pu constater que, sur base des mesures de régularisation effectivement mises en place par l'autorité publique, les conditions d'octroi de l'accès sont à nouveau réunies, la CCED lève la décision de suspension.

§ 2. La CCED peut suspendre l'entièreté des autorisations de l'autorité publique si les manquements constatés le justifient et affectent de manière incontestable les différents flux d'échange de données mis en place.

§ 3. Lorsque l'autorité publique n'a pas mis en oeuvre tout ce qui était possible afin d'exécuter correctement les mesures décrites dans le plan visé au paragraphe 1er, alinéa 3, la CCED peut décider de procéder au retrait de l'autorisation d'accès.

La CCED notifie, dans les trois jours de sa décision, par recommandé ou tout autre moyen électronique équivalent sa décision de retrait.

§ 4. La procédure de suspension décrite aux paragraphes 1 à 3 ne peut être appliquée que pour les autorisations que la CCED aura elle-même délivrées.

Si le rapport concerne une autorisation délivrée par un comité sectoriel de la Commission de la protection de la vie privée, la CCED avertit sans délai le comité sectoriel compétent ainsi que la Commission de la protection de la vie privée.

Art. 9. La BCED met à disposition du public sur son site internet un registre des autorisations, avis et recommandations de la CCED. Ce registre est accessible librement.

Seul le statut des autorisations actives est consultable en ligne.

Art. 10. La procédure décrite aux articles 6 à 8 peut être appliquée aux sources authentiques (SA) et banques de données issues de sources authentiques (BDSA) lorsque celles-ci ne satisfont plus aux conditions nécessaires pour être reconnues comme étant une SA ou un BDSA.

CHAPITRE V. - Des droits de la personne concernée

Art. 11. § 1er. Les demandes d'accès et de rectification visées à l'article 9 de l'accord de coopération "partage de données" s'exercent via les gestionnaires de la source authentique ou de la banque de données issues de sources authentiques dans le respect des articles 10, § 1er, et 12 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des données à caractère personnel ainsi que tous les arrêtés pris en exécution de cette dernière.

Outre la voie postale, la personne concernée peut contacter la SA ou BDSA par voie électronique via les moyens mis à sa disposition par la BCED ou par le gestionnaire de SA ou BDSA.

Lorsque les données sont disponibles de manière électronique et lorsqu'elles peuvent être transmises de manière complète et sécurisée par voie électronique, la SA ou la BDSA est tenue de privilégier cette voie pour transmettre sa réponse à la personne concernée.

§ 2. Toute personne a le droit de savoir quels organismes et autorités publiques ont consulté ou mis à jour ses données au cours des six derniers mois à l'exception des autorités administratives et judiciaires chargées de la recherche et de la répression des délits ainsi que de la Sûreté de l'Etat et du Service général du Renseignement et de la Sécurité des Forces armées.

La BCED publie sur son site internet un annuaire des sources authentiques auprès desquelles la personne concernée peut exercer le droit visé à l'alinéa précédent.

CHAPITRE VI. - Demande de correction des données par le destinataire

Art. 12. Tout destinataire de donnée qui, lors de l'utilisation de son accès autorisé aux données issues de SA ou de BDSA, constate qu'une donnée est incomplète, inexacte ou imprécise, contacte le gestionnaire de cette SA ou de cette BDSA via le formulaire ou tout autre outil en ligne mis à sa disposition par la BCED ou le gestionnaire de SA ou BDSA afin de demander la correction de la donnée.

Art. 13. § 1er. Afin que sa demande puisse être prise en compte, le destinataire de la donnée est tenu de communiquer les informations suivantes :

1° l'identité et les coordonnées de la personne de contact auprès du destinataire de la donnée;

2° l'opération qu'il était en train d'effectuer lorsqu'il a constaté l'erreur;

3° les informations permettant d'identifier de manière certaines la personne physique ou morale concernée par la rectification demandée;

4° la donnée erronée;

5° la donnée supposée correcte;

6° les éléments et pièces justificatives dont il dispose afin d'étayer sa demande de rectification.

§ 2. La BCED accuse réception de la demande dans les 5 jours ouvrables avant de transmettre la demande vers la SA ou BDSA concernée.

Le gestionnaire de la SA ou de la BDSA est tenu de donner suite à cette demande dans les dix jours calendrier, sauf lorsque le gestionnaire de la SA ou BDSA démontre qu'il lui est impossible de rectifier cette donnée sans effectuer des démarches et vérifications auprès d'autres autorités publiques ou privées.

Le gestionnaire de la SA ou de la BDSA informe le destinataire de la donnée que la donnée sera rectifiée dans les meilleurs délais.

§ 3. La BCED, en concertation avec le gestionnaire de la SA ou de la BDSA, peut décider de mettre en place un système d'avertissement relatif aux données faisant l'objet d'une demande de rectification.

§ 4. L'arrêté ou le décret instituant la SA ou la BDSA fixe :

1° le mode de communication prévu entre le destinataire et le gestionnaire pour permettre la correction des données;

2° les délais dans lesquels le gestionnaire doit procéder à la correction des données, compte tenu du périmètre et des données traitées par la SA ou la BDSA.

Art. 14. Lorsqu'il n'aura pas corrigé endéans le délai prescrit en vertu du paragraphe 4 de l'article 13, les données signalées comme étant inexactes, incomplètes ou imprécises, le gestionnaire de la SA ou de la BDSA pourra être tenu pour responsable des éventuelles erreurs commises compte tenu de la non-correction des données signalées comme étant inexactes, incomplètes ou imprécises sauf s'il peut prouver et motiver l'impossibilité de correction de la donnée.

Art. 15. Le présent accord est conclu pour une durée indéterminée.

Il entre en vigueur le 1er juin 2014.

Namur, le 15 mai 2014.

Pour la Région wallonne :

Le Ministre-Président,
R. DEMOTTE

Pour la Communauté française :

Le Ministre-Président,
R. DEMOTTE