Le caractère juridique des délibérations du Comité de sécurité de l’information (CSI)

Règlement légal

Conformément à l’article 46, § 2, alinéa 2 de la loi relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale et à l’article 35/1, § 4, alinéa 2 de la loi relative à la création et à l’organisation d’un intégrateur de services fédéral (tous deux modifiés par la loi du 23 novembre 2023 concernant des mesures de police administrative en matière de restrictions de voyage et de formulaire de localisation du passager et modifiant diverses dispositions relatives au comité de sécurité de l’information), les délibérations du Comité de sécurité ont une portée limitée et technique et décrivent pour une situation déterminée et pendant une période déterminée l’application des éléments essentiels du traitement, qui sont définis dans les bases juridiques visées à l’article 6 du Règlement général sur la protection des données.

Les délibérations du Comité de sécurité de l’information sont motivées, ne peuvent pas être contraires aux normes juridiques supérieures, et les parties qui participent à la communication des données à caractère personnel décrite dans la délibération sont tenues de respecter les mesures contenues dans la délibération.

Si le Ministre compétent constate qu’une délibération du Comité de sécurité de l’information n’est pas conforme aux dispositions de sa loi organique ou de toute autre réglementation relative à la protection de la vie privée, en particulier le Règlement général sur la protection des données, il peut, dans les 10 jours ouvrables suivant la réunion du Comité de sécurité de l’information imposer au Comité de sécurité de l’information, de manière motivée et dans le respect de la réglementation en vigueur, d’adapter la délibération sur les points qu’il indique. La délibération du Comité de sécurité de l’information n’entre en vigueur qu’à l’issue de ce délai de 10 jours ouvrables, à moins que le Ministre compétent ne fasse savoir, avant l’expiration de ce délai, que la délibération ne doit pas être adaptée.

Les délibérations du Comité de sécurité de l’information constituent des mesures administratives qui peuvent être contestées auprès de la section du contentieux administratif du Conseil d’État, sur la base de l’article 14 des lois coordonnées sur le Conseil d’État.

Une fois entrées en viguer, les délibérations sont communiquées au Président de la Chambre des représentants ainsi qu’à titre d’information à l’Autorité de protection des données.

Les délibérations du CSI constituent des actes administratifs

Les délibérations du Comité de sécurité de l’information constituent

• des actes
• exécutoires
• publics
• à caractère unilatéral
• émanant d’un organe public administratif

Acte

Les délibérations visent à créer des effets juridiques. Les parties qui participent à la communication de données à caractère personnel décrite dans la délibération, sont tenues de respecter les mesures contenues dans la délibération. Toutefois, les délibérations du CSI n’impliquent aucune obligation de communication de données de la part de ces parties.

Exécutoire

Les délibérations sont exécutoires immédiatement et par elles-mêmes.

Public

Conformément à l’article 46, § 1^er, 5° et 6° de la loi relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale et à l’article 35/1, § 5, alinéa 1^er de la loi relative à la création et à l’organisation d’un intégrateur de services fédéral (tous deux modifiés par la loi du 5 septembre 2018 instituant le Comité de sécurité de l’information), le CSI publie les délibérations rendues, en fonction de la matière, sur les sites internet de la Banque Carrefour de la sécurité sociale, de la Plate-forme eHealth ou du service public fédéral Stratégie et Appui.

A caractère unilatéral

Les délibérations sont rendues unilatéralement par le CSI.

Émanant d’un organe public administratif

Le CSI a été créé par la loi afin d’exercer une partie de l’autorité publique. La loi régit la composition, le mode de nomination, le fonctionnement et l’organisation du CSI et confie au CSI la compétence pour élaborer des délibérations qui produisent des effets vis-à-vis de tiers. La mission du CSI constitue une mission d’intérêt public.

Les membres du CSI sont, pour des raisons d’indépendance, désignés par le pouvoir législatif. Le CSI publie un rapport d’activités annuel. Les moyens financiers pour le fonctionnement du CSI sont inscrits dans le budget d’un service public fédéral et de deux institutions publiques de sécurité sociale, qui en assurent le secrétariat et fournissent des rapports juridiques et techniques. Le règlement d’ordre intérieur du CSI a été approuvé par un arrêté royal délibéré en Conseil des ministres. Sur la base de ces critères, le CSI constitue, à titre primaire, un organe public administratif.

Les délibérations du CSI constituent des mesures administratives

Les délibérations du CSI constituent des mesures administratives. Il s’agit d’actes

• d’application générale
• qui décrivent l’application de normes définies ailleurs à une situation donnée pour une période déterminée et
• qui précisent les modalités d’application des normes définies ailleurs dans cette situation déterminée mais
• qui ne comprennent pas de normes indépendantes.

Les délibérations du CSI décrivent et précisent, avec une portée contraignante vis-à-vis des parties qui participent à la communication de données à caractère personnel décrite dans la délibération, l’application, à certaines communications de données à caractère personnel, des normes qui sont notamment définies dans

• le Règlement général relatif à la protection des données
• la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel
• la loi relative à la création et à l’organisation d’un intégrateur de services fédéral
• la loi relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale
• la loi relative à l’institution et à l’organisation de la Plate-forme eHealth
• la loi garantissant le principe de la collecte unique des données

Les délibérations du CSI ne comprennent cependant pas de normes indépendantes. Par exemple, elles ne constituent pas une base juridique pour la collecte et le traitement initiaux des données à caractère personnel par l’instance fournisseur des données. L’instance destinatrice doit, par ailleurs, traiter les données à caractère personnel en vertu des bases juridiques dont elle dispose. Le CSI ne peut donc pas étendre les finalités du traitement initial par l’instance qui fournit les données, ni offrir une base juridique pour des finalités de traitement par l’instance destinatrice autres que celles qui sont prévues par ou en vertu du Règlement général sur la protection des données ou par ou en vertu d’une loi, d’un décret ou d’une ordonnance.

Les délibérations du CSI relèvent de la responsabilité du pouvoir exécutif, qui est responsable devant le pouvoir législatif à cet égard

Un représentant du Ministre compétent assiste aux réunions du Comité de sécurité de l’information. Si le Ministre compétent constate qu’une délibération du Comité de sécurité de l’information n’est pas conforme aux dispositions de sa loi organique ou de toute autre réglementation relative à la protection de la vie privée, en particulier le Règlement général sur la protection des données, il peut, dans les 10 jours ouvrables suivant la réunion du Comité de sécurité de l’information imposer au Comité de sécurité de l’information, de manière motivée et dans le respect de la réglementation en vigueur, d’adapter la délibération sur les points qu’il indique. La délibération du Comité de sécurité de l’information n’entre en vigueur qu’à l’issue de ce délai de 10 jours ouvrables, à moins que le Ministre compétent ne fasse savoir, avant l’expiration de ce délai, que la délibération ne doit pas être adaptée. Ainsi, les délibérations du CSI relèvent de la responsabilité du pouvoir exécutif, qui est responsable devant le pouvoir législatif.

Les délibérations du CSI ne sont pas soumises à un avis préalable de la section de  législation du Conseil d’Etat (voir vademecum procedure avis devant section législation).

La section de législation du Conseil d’Etat fournit des avis concernant

• des avant-projets et propositions de loi, de décret ou d’ordonnance
• des projets d’arrêtés royaux, d’arrêtés de gouvernement et d’arrêtés ministériels qui comportent des normes obligatoires de portée générale.

Le Conseil d’Etat n’est pas compétent pour rendre des avis sur des mesures administratives émanant de l’autorité fédérale, des communautés et des régions, telles que les délibérations du Comité de sécurité de l’information.

Les délibérations du CSI ne sont pas soumises à un avis préalable de l’Autorité de protection des données.

Conformément à l’article 57,  1. c) du Règlement général sur la protection des données, la législation nationale de chaque Etat membre régit la manière selon laquelle une autorité de contrôle, telle l’Autorité de protection des données, conseille les organes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement.

L’article 46, § 1/1, alinéas 3 et 4 de la loi relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale et l’article 35/1, § 6, alinéas 3 et 4 de la loi relative à la création et à l’organisation d’un intégrateur de services fédéral (tous deux modifiés par la loi du 23 novembre 2023 concernant des mesures de police administrative en matière de restrictions de voyage et de formulaire de localisation du passager et modifiant diverses dispositions relatives au comité de sécurité de l’information) prévoient à cet égard que le CSI communique les délibérations systématiquement et immédiatement après leur entrée en viguer à titre d’information à l’Autorité de protection des données

Sur la base de l’article 23 de la loi portant création de l’Autorité de protection des données, l’Autorité de protection des données peut émettre d’initiative des avis sur toute question relative aux traitements de données à caractère personnel ainsi que formuler des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel. Sur cette base, l’Autorité de protection des données peut également émettre des avis sur les délibérations qui lui sont communiquées.

Les délibérations du CSI peuvent être contestées devant la section du contentieux administratif du Conseil d’Etat sur la base de l’article 14 des lois coordonnées sur le Conseil d’Etat.

Les délibérations constituent des actes d’une autorité administrative au sens de l’article 14 des lois coordonnées sur le Conseil d’Etat.

Le pouvoir législatif exerce un contrôle sur les délibérations du Comité de sécurité de l’information

Le pouvoir législatif exerce un contrôle sur les délibérations du CSI de différentes manières, à savoir

• un contrôle parlementaire sur le Ministre compétent, dont un représentant assiste aux réunions du CSI, et qui peut imposer au CSI, de manière motivée et dans le respect de la réglementation en vigueur, d’adapter les délibérations sur les points qu’il indique, avant que ces délibérations n’entrent en viguer
• un contrôle parlementaire direct sur les délibérations qui lui sont communiquées systématiquement et immédiatement après l’entrée en vigueur, et sur le fonctionnement du CSI après le rapport annuel
• le pouvoir de nommer et de révoquer les membres du CSI.