Le caractère juridique des délibérations du Comité de sécurité de l’information (CSI)
Conformément à l’article 46, § 2, alinéa 1er de la loi relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale et à l’article 35/1, § 4, alinéa 1er de la loi relative à la création et à l’organisation d’un intégrateur de services fédéral (tous deux modifiés par la loi du 5 septembre 2018 instituant le Comité de sécurité de l’information), le Comité de sécurité de l’information (CSI) rend des délibérations qui ont une portée générale contraignante entre les parties et envers les tiers. Les délibérations ne peuvent pas être contraires aux normes juridiques supérieures.
Les délibérations du CSI constituent des actes administratifs
Les délibérations du Comité de sécurité de l’information constituent
- des actes
- exécutoires
- publics
- à caractère unilatéral
- émanant d’un organe public administratif
Acte
Les délibérations visent à créer des effets juridiques. Elles ont une portée générale contraignante entre les parties qui participent à la communication de données à caractère personnel et envers les tiers.
Exécutoire
Les délibérations sont exécutoires immédiatement et par elles-mêmes.
Public
Conformément à l’article 46, § 1er, 5° et 6° de la loi relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale et à l’article 35/1, § 5, alinéa 1er de la loi relative à la création et à l’organisation d’un intégrateur de services fédéral (tous deux modifiés par la loi du 5 septembre 2018 instituant le Comité de sécurité de l’information), le CSI publie les délibérations rendues, en fonction de la matière, sur les sites internet de la Banque Carrefour de la sécurité sociale, de la Plate-forme eHealth ou du service public fédéral Stratégie et Appui.
A caractère unilatéral
Les délibérations sont rendues unilatéralement par le CSI.
Émanant d’un organe public administratif
Le CSI a été créé par la loi afin d’exercer une partie de l’autorité publique. La loi régit la composition, le mode de nomination, le fonctionnement et l’organisation du CSI et confie au CSI la compétence pour élaborer des délibérations qui produisent des effets vis-à-vis de tiers. La mission du CSI constitue une mission d’intérêt public.
Les membres du CSI sont, pour des raisons d’indépendance, désignés par le pouvoir législatif. Le CSI publie un rapport d’activités annuel. Les moyens financiers pour le fonctionnement du CSI sont inscrits dans le budget d’un service public fédéral et de deux institutions publiques de sécurité sociale, qui en assurent le secrétariat et fournissent des rapports juridiques et techniques. Le règlement d’ordre intérieur du CSI a été approuvé par un arrêté royal délibéré en Conseil des ministres. Sur la base de ces critères, le CSI constitue, à titre primaire, un organe public administratif.
Les délibérations du CSI constituent des mesures administratives
Les délibérations du CSI constituent des mesures administratives. Il s’agit d’actes
- d’application générale
- qui décrivent l’application de normes définies ailleurs à une situation donnée pour une période déterminée et
- qui précisent les modalités d’application des normes définies ailleurs dans cette situation déterminée mais
- qui ne comprennent pas de normes indépendantes.
Les délibérations du CSI décrivent et précisent, avec une portée générale contraignante, l’application, à certaines communications de données à caractère personnel, des normes qui sont notamment définies dans
- le Règlement général relatif à la protection des données
- la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel
- la loi relative à la création et à l’organisation d’un intégrateur de services fédéral
- la loi relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale
- la loi relative à l’institution et à l’organisation de la Plate-forme eHealth
- la loi garantissant le principe de la collecte unique des données
Les délibérations du CSI ne comprennent cependant pas de normes indépendantes. Par exemple, elles ne constituent pas une base juridique pour la collecte et le traitement initiaux des données à caractère personnel par l’instance fournisseur des données. L’instance destinatrice doit, par ailleurs, traiter les données à caractère personnel en vertu des bases juridiques dont elle dispose. Le CSI ne peut donc pas étendre les finalités du traitement initial par l’instance qui fournit les données, ni offrir une base juridique pour des finalités de traitement par l’instance destinatrice autres que celles qui sont prévues par ou en vertu du Règlement général sur la protection des données ou par ou en vertu d’une loi, d’un décret ou d’une ordonnance.
Les délibérations du CSI ne sont pas soumises à un avis préalable de la section de législation du Conseil d’Etat (voir vademecum procedure avis devant section législation).
La section de législation du Conseil d’Etat fournit des avis concernant
- des avant-projets et propositions de loi, de décret ou d’ordonnance
- des projets d’arrêtés royaux, d’arrêtés de gouvernement et d’arrêtés ministériels qui comportent des normes obligatoires de portée générale.
Le Conseil d’Etat n’est pas compétent pour rendre des avis sur d’autres types de normes juridiques émanant de l’autorité fédérale, des communautés et des régions, telles que les délibérations du Comité de sécurité de l’information.
En principe, les délibérations du CSI ne sont pas soumises à un avis préalable de l’Autorité de protection des données.
Conformément à l’article 57, 1. c) du Règlement général sur la protection des données, la législation nationale de chaque Etat membre régit la manière selon laquelle une autorité de contrôle, telle l’Autorité de protection des données, conseille les organes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement.
L’article 46, § 2, alinéa 2 de la loi relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale et l’article 35/1, § 4, alinéa 2 de la loi relative à la création et à l’organisation d’un intégrateur de services fédéral (modifiés tous deux par la loi du 5 septembre 2018 instituant le Comité de sécurité de l’information) prévoient ce qui suit à ce propos:
« L’Autorité de protection des données peut, à tout moment, confronter toute délibération du comité de sécurité de l’information aux normes juridiques supérieures, quel que soit le moment où elle a été rendue. Sans préjudice de ses autres compétences, elle peut demander au comité de sécurité de l’information, lorsqu’elle constate de manière motivée qu’une délibération n’est pas conforme à une norme juridique supérieure, de reconsidérer cette délibération sur les points qu’elle a indiqués, dans un délai de quarante-cinq jours et exclusivement pour le futur. Le cas échéant, le comité de sécurité de l’information soumet la délibération modifiée pour avis à l’Autorité de protection des données. Dans la mesure où cette dernière ne formule pas de remarques supplémentaires dans un délai de quarante-cinq jours, la délibération modifiée est censée être définitive. »
Sur la base de l’article 23 de la loi portant création de l’Autorité de protection des données, l’Autorité de protection des données peut par ailleurs émettre d’initiative des avis sur toute question relative aux traitements de données à caractère personnel ainsi que formuler des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel.
Les délibérations du CSI peuvent être contestées devant la section du contentieux administratif du Conseil d’Etat sur la base de l’article 14 des lois coordonnées sur le Conseil d’Etat.
Les délibérations constituent des actes d’une autorité administrative au sens de l’article 14 des lois coordonnées sur le Conseil d’Etat.