Art. 57
1. Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire:
a) contrôle l'application du présent règlement et veille au respect de celui-ci;
b) favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière;
c) conseille, conformément au droit de l'État membre, le parlement national, le gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement;
d) encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement;
e) fournit, sur demande, à toute personne concernée des informations sur l'exercice des droits que lui confère le présent règlement et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d'autres États membres;
f) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l'article 80, examine l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;
g) coopère avec d'autres autorités de contrôle, y compris en partageant des informations, et fournit une assistance mutuelle dans ce cadre en vue d'assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect;
h) effectue des enquêtes sur l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité de contrôle ou d'une autre autorité publique;
i) suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l'information et de la communication et des pratiques commerciales;
j) adopte les clauses contractuelles types visées à l'article 28, paragraphe 8, et à l'article 46, paragraphe 2, point d);
k) établit et tient à jour une liste en lien avec l'obligation d'effectuer une analyse d'impact relative à la protection des données en application de l'article 35, paragraphe 4;
l) fournit des conseils sur les opérations de traitement visées à l'article 36, paragraphe 2;
m) encourage l'élaboration de codes de conduite en application de l'article 40, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes, en application de l'article 40, paragraphe 5;
n) encourage la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données en application de l'article 42, paragraphe 1, et approuve les critères de certification en application de l'article 42, paragraphe 5;
o) procède, le cas échéant, à l'examen périodique des certifications délivrées conformément à l'article 42, paragraphe 7;
p) rédige et publie les critères d'agrément d'un organisme chargé du suivi des codes de conduite en application de l'article 41 et d'un organisme de certification en application de l'article 43;
q) procède à l'agrément d'un organisme chargé du suivi des codes de conduite en application de l'article 41 et d'un organisme de certification en application de l'article 43;
r) autorise les clauses contractuelles et les dispositions visées à l'article 46, paragraphe 3;
s) approuve les règles d'entreprise contraignantes en application de l'article 47;
t) contribue aux activités du comité;
u) tient des registres internes des violations au présent règlement et des mesures prises conformément à l'article 58, paragraphe 2; et
v) s'acquitte de toute autre mission relative à la protection des données à caractère personnel.
2. Chaque autorité de contrôle facilite l'introduction des réclamations visées au paragraphe 1, point f), par des mesures telles que la fourniture d'un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que d'autres moyens de communication ne soient exclus.
3. L'accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données.
4. Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l'autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande.
|
1. L'autorité de contrôle:
a) contrôle et assure l’application du présent règlement;
b) reçoit les réclamations introduites par toute personne concernée ou par une association la représentant conformément à l'article 73, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;
c) partage des informations avec d'autres autorités de contrôle, leur fournit une assistance mutuelle et veille à la cohérence de l’application du présent règlement et des mesures prises pour en assurer le respect;
d) effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle l'a saisie d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable;
e) surveille les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données à caractère personnel, notamment l'évolution des technologies de l'information et des communications et celle des pratiques commerciales;
f) est consultée par les institutions et organes de l’État membre sur les mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel;
g) autorise les traitements prévus à l’article 34 et est consultée à leur sujet;
h) émet un avis sur les projets de codes de conduite prévus à l'article 38, paragraphe 2;
i) approuve les règles d'entreprise contraignantes conformément à l'article 43; j) participe aux activités du comité européen de la protection des données.
2. Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière.
3. L'autorité de contrôle, sur demande, conseille toute personne concernée dans l'exercice des droits découlant du présent règlement et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres.
4. Pour les réclamations visées au paragraphe 1, point b), l’autorité de contrôle fournit un formulaire de réclamation qui peut être rempli par voie électronique, sans exclure d'autres moyens de communication.
5. L'accomplissement des fonctions de l'autorité de contrôle est gratuit pour la personne concernée.
6. Lorsque les demandes sont manifestement excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais ou ne pas prendre les mesures sollicitées par la personne concernée. Il incombe à l'autorité de contrôle d'établir le caractère manifestement excessif de la demande.
|
1. Sans préjudice des autres missions prévues dans le cadre du présent règlement, chaque autorité de contrôle, sur son territoire:
a) contrôle l'application du présent règlement et veille au respect de celui-ci;
a bis) favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière;
a ter) conseille, conformément à la législation nationale, le parlement national, le gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement des données à caractère personnel;
a quater) encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement;
a quinquies) fournit des informations, sur demande, à toute personne concernée sur l'exercice de ses droits découlant du présent règlement et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres;
b) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association la représentant, conformément à l'article 73, examine l'objet de la réclamation, dans la mesure nécessaire, et informe la personne concernée ou l'organisme, l'organisation ou l'association de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;
c) coopère avec d'autres autorités de contrôle, y compris en partageant des informations, et leur fournit une assistance mutuelle en vue d'assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect;
d) effectue des enquêtes sur l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité de contrôle ou d'une autre autorité publique;
e) suit les évolutions présentant un intérêt, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l'information et de la communication et des pratiques commerciales;
f) adopte les clauses contractuelles types visées à l'article 26, paragraphe 2 quater;
f bis) établit une liste concernant l'exigence d'une analyse d'impact relative à la protection des données conformément à l'article 33, paragraphe 2 bis;
g) fournit des conseils sur les traitements visés à l'article 34, paragraphe 3;
g bis) encourage l'élaboration de codes de conduite conformément à l'article 38, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes, conformément à l'article 38, paragraphe 2;
g ter) encourage la mise en place de mécanismes de certification ainsi que de marques et de labels en matière de protection des données, et approuve les critères de certification conformément à l'article 39, paragraphe 2 bis;
g quater) procède, le cas échéant, à l'examen périodique des certifications octroyées conformément à l'article 39, paragraphe 4;
h) rédige et publie les critères d'agrément d'un organisme chargé du suivi des codes de conduite conformément à l'article 38 bis et d'un organisme de certification conformément à l'article 39 bis;
h bis) procède à l'agrément d'un organisme chargé du suivi des codes de conduite conformément à l'article 38 bis et d'un organisme de certification conformément à l'article 39 bis;
h ter) autorise les clauses contractuelles visées à l'article 42, paragraphe 2 bis, point a);
i) approuve les règles d'entreprise contraignantes conformément à l'article 43;
j) contribue aux activités du comité européen de la protection des données; k) s'acquitte de toute autre mission relative à la protection des données à caractère personnel.
2. (...)
3. (…).
4. Chaque autorité de contrôle facilite l'introduction des réclamations visées au paragraphe 1, point b), par des mesures telles que la fourniture d'un formulaire de réclamation qui peut être rempli également par voie électronique, sans que d'autres moyens de communication soient exclus.
5. L'accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et pour le délégué à la protection des données, le cas échéant.
6. Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut refuser de donner suite à la demande. Il incombe à l'autorité de contrôle d'établir le caractère manifestement infondé ou excessif de la demande.
|
Art. 28
1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.
(…).
2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l'élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel.
4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.
Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d'une demande de vérification de la licéité d'un traitement lorsque les dispositions nationales prises en vertu de l'article 13 de la présente directive sont d'application. La personne est à tout le moins informée de ce qu'une vérification a eu lieu.
(…).
|
Loi du 03.12.17 portant création de l'Autorité de protection des données
Art. 4§1
§ 1er. L'Autorité de protection des données est responsable du contrôle du respect des principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel.
Sans préjudice des compétences des Gouvernements de communauté et de région, des Parlements de communauté et de région, du Collège réuni et de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux Institutions bruxelloises, l'Autorité de protection des données exerce cette mission, indépendamment du droit national applicable au traitement concerné, sur l'ensemble du territoire du Royaume.
Art. 20
§ 1er. Le secrétariat général a également pour tâches exécutives de:
1° surveiller les développements sociaux, économiques et technologiques qui ont un impact sur la protection des données à caractère personnel;
2° établir la liste des traitements qui requièrent une analyse d'impact relative à la protection des données;
3° formuler des avis dans le cadre d'une analyse d'impact relative à la protection des données à un responsable du traitement dans le cadre d'une consultation par le responsable du traitement de l'Autorité de protection des données;
4° approuver les codes de conduite ;
5° promouvoir l'introduction de mécanismes de certification et approuver les critères de certification;
6° établir et faire connaître les critères pour l'agrément d'un organe de contrôle des codes de conduite, sur la base de l'article 41 du Règlement 2016/679 et d'un organe de certification sur la base de l'article 43 du Règlement 2016/679;
7° veiller à l'agrément d'un organe de contrôle des codes de conduite, sur la base de l'article 41 du Règlement 2016/679;
8° approuver les clauses contractuelles types et les règles d'entreprises contraignantes.
§ 2. Les tâches mentionnées dans le paragraphe 1er, 4° à 8°, sont exécutées conformément à la réglementation européenne et internationale en vigueur.
Art. 22
§ 1er. Le service de première ligne:
1° reçoit les plaintes et demandes adressées à l'Autorité de protection des données;
2° peut lancer une procédure de médiation;
3° promeut la protection des données auprès du public, en accordant une attention spécifique aux mineurs;
4° promeut auprès des responsables de traitement et des sous-traitants la prise de conscience de leurs obligations;
5° fournit des informations relatives à l'exercice de leurs droits aux personnes concernées.
§ 2. Le service de première ligne est dirigé par le directeur du service de première ligne.
Art. 23§1
§ 1er. Le centre de connaissances émet soit d'initiative, soit sur demande du gouvernement, des Chambres législatives, des Gouvernements de communauté ou de région, des Parlements de communauté ou de région, du Collège réuni ou de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloises:
1° des avis sur toute question relative aux traitements de données à caractère personnel;
2° des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel.
Art. 58 alinéa 2
Toute personne peut déposer une plainte ou une requête écrite, datée et signée auprès de l'Autorité de protection des données.
L'Autorité de protection des données établit un formulaire à ces fins.
Art. 59
Le dépôt d'une plainte et d'une requête est sans frais.
Art. 63 4°
Le service d'inspection peut être saisi:
4° sur demande du comité de direction, pour coopérer avec une autorité de protection des données d'un autre Etat;
1° des avis sur toute question relative aux traitements de données à caractère personnel;
2° des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel.
|
Art. 29
§ 1er. La Commission émet soit d'initiative, soit sur demande du Gouvernement, des Chambres législatives, des (Gouvernements de communauté ou de région), des (Parlements de communauté ou de région), du Collège réuni ou de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloise ou d'un comité de surveillance, des avis sur toute question relative à l'application des principes fondamentaux de la protection de la vie privée dans le cadre de la présente loi, ainsi que des lois contenant des dispositions relatives à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
§ 2. Toute demande est adressée à la Commission par pli recommandé à la poste.
Sauf si la loi en dispose autrement, la Commission émet ses avis dans un délai de soixante jours après que toutes les données nécessaires à cet effet lui auront été communiquées.
§ 3. Dans tous les cas ou l'avis de la Commission est requis par ou en vertu d'une loi, d'un décret ou d'une ordonnance, il peut être dérogé à cette obligation lorsque l'avis n'a pas été rendu dans le délai prévu au paragraphe 2.
Dans les cas où l'avis de la Commission est requis par une disposition de la présente loi, à l'exception de l'article 11, le délai visé au § 2 est réduit à quine jours au minimum dans des cas d'urgence spécialement motivés.
§ 4. Les avis de la Commission sont motivés.
§ 5. La Commission communique son avis à l'autorité concernée.
Une copie de l'avis est adressée au Ministre de la Justice.
Dans les cas où l'avis de la Commission est requis, l'avis doit être publié au Moniteur belge en même temps que l'acte réglementaire auquel il se rapporte.
Art. 30
§ 1er. La Commission peut émettre, soit d'initiative, soit sur demande du Gouvernement, des Chambres législatives, des (Gouvernements de communauté ou de région), des (Parlements de communauté ou de région), du Collège réuni ou de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloises ou d'un comité de surveillance, des recommandations sur toute question relative à l'application des principes fondamentaux de la protection de la vie privée dans le cadre de la présente loi, ainsi que des lois contenant des dispositions relatives à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
§ 2. Avant d'adresser une recommandation au (responsable du traitement), la Commission lui donne l'occasion de faire connaître son point de vue.
§ 3. Les recommandations de la Commission sont motivées. Une copie de chaque recommandation est transmise au Ministre de la Justice.
Art. 31
§ 1er. Sans préjudice de toute action devant les tribunaux et sauf si la loi en dispose autrement, la Commission examine les plaintes signées et dates qui lui sont adressées. Ces plaintes peuvent avoir trait à sa mission de protection de la vie privée à l'égard des traitements de données à caractère personnel ou à d'autres missions qui lui sont confiées par la loi.
§ 2. La procédure est réglée par le règlement d'ordre intérieur. Celui-ci prévoit l'exercice d'un droit de défense.
§ 3. La Commission examine la recevabilité de la plainte. Si la plainte est recevable, la Commission accomplit toute mission de médiation qu'elle juge utile. En cas de conciliation des parties, fondée sur le respect de la vie privée, elle dresse un procès-verbal dans lequel la solution retenue est explicitée. En l'absence de conciliation, la Commission émet un avis sur la caractère fondé de la plainte. Son avis peut être accompagné de recommandations à l'intention du (responsable du traitement)
§ 4. Les décisions, avis et recommandations de la Commission sont motivés.
§ 5. La Commission communique sa décision, son avis ou ses recommandations au plaignant, au (responsable du traitement) et à toutes les autres parties à la cause. Une copie de la décision, de l'avis des recommandations est adressée au Ministre de la Justice.
Art. 31bis
§ 1er. La loi institue au sein de la Commission des comités sectoriels compétents pour instruire et statuer sur des demandes relatives au traitement ou à la communication de données faisant l'objet de législations particulières, dans les limites déterminées par celle-ci.
§ 2. Sans préjudice de l'article 37 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-Carrefour de la sécurité sociale, chaque comité sectoriel est composé de trois membres de la Commission, effectifs ou suppléants, dont le président ou un membre désigné en qualité de président par la commission ainsi que de trois membres externes désignés par la Chambre des représentants conformément aux conditions et modalités prévues par ou en vertu de la législation particulière qui régit le comité concerné. En cas de parité des voix, la voix du président est prépondérante.
Le fonctionnaire dirigeant de l'institution de gestion du secteur concerné peut être invité aux réunions du comité avec voix consultative.
§ 3. Les demandes relatives au traitement ou à la communication de données réglementées par une législation particulière, introduites auprès de la Commission, sont transmises par celle-ci au comité sectoriel compétent s'il a été constitué ainsi qu'à l'institution de gestion du secteur concerné; celle-ci transmet au comité un avis technique et juridique endéans les quinze jours et pour autant que le dossier soit en état. Le comité statue, sous la même réserve, endéans les trente jours de la réception de cet avis ou, le cas échéant, de l'expiration du délai de quinze jours précité; à défaut, sa décision est réputée conforme à l'avis technique et juridique précité.
Si une demande visée à l'alinéa précédent doit être traitée, pour raisons urgentes, dans un délai plus court que celui fixé à cet alinéa, le président communique, le plus rapidement possible, la demande, l'avis juridique et technique et le projet de décision aux membres, lesquels sont invités à communiquer au président, dans le délai qu'il détermine, leur position quant au projet de décision.
Le projet de décision ne devient définitif que si aucun membre ne fait connaître, dans le délai prescrit par le président, son désaccord avec les éléments essentiels de ce projet. Si les circonstances le justifient, le président organise une réunion extraordinaire du comité sectoriel. Le président apprécie, en concertation avec le fonctionnaire dirigeant de l'institution concernée, l'existence de raisons urgentes de nature à justifier l'application des deux alinéas précédents. Sans préjudice de l'article 44 de la loi précitée du 15 janvier 1990, le président du comité peut décider de suspendre l'examen d'un dossier afin de le soumettre à la Commission qui rend sa décision dans le délai d'un mois.
§ 4. Hors le cas où elle est assumée par le président ou le vice-président de la Commission, la présidence d'une section donne droit à un double jeton de présence.
§ 5. Sans préjudice de l'article 41 de la loi précitée du 15 janvier 1990, les Comités sectoriels sont établis et se réunissent au siège de la Commission, sauf si l'institution de gestion concernée demande que le comité sectoriel dont elle relève soit établi et se réunisse auprès d'elle.
La Commission peut accéder à cette demande, pour autant que l'institution de gestion mette préalablement à la disposition du président du comité sectoriel les bureaux et moyens bureautiques nécessaires au fonctionnement dudit comité et à sa présidence, un secrétaire que le président choisit en concertation avec le fonctionnaire dirigeant de l'institution concernée ainsi que du personnel spécialisé, notamment des juristes et des informaticiens, dans la mesure requise par la réalisation des missions du comité sectoriel. Le président du comite sectoriel a la responsabilité fonctionnelle de ce personnel en ce qui concerne les tâches qu'il assume pour ce comité.
|