Sommaire

Arrêté royal du 7 décembre 2016 relatif à la force probante des données traitées par les institutions de sécurité sociale

(Moniteur belge du 19 décembre 2016)

[Modifié par l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)]

CHAPITRE IER. FORCE PROBANTE DES DONNÉES TRAITÉES PAR LES INSTITUTIONS PUBLIQUES DE SÉCURITÉ SOCIALE ET LES SERVICES PUBLICS FÉDÉRAUX CHARGÉS DE L'APPLICATION DE LA SÉCURITÉ SOCIALE

Article 1er.

Pour l'application du présent chapitre, on entend par:

1°) "institutions publiques de sécurité sociale": la Banque- Carrefour de la sécurité sociale et les institutions publiques de sécurité sociale visées à l'article 2, alinéa 1er, 2°, a), de la  loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale;

2°) "services publics fédéraux chargés de l'application de la sécurité sociale": le service public fédéral Sécurité sociale, le service public fédéral Emploi, Travail et Concertation sociale et le service public de programmation Intégration sociale, Lutte contre la Pauvreté, Économie sociale et Politique des Grandes Villes;

3°) "ministre compétent": le ministre de tutelle de l'institution publique de sécurité sociale concernée ou le ministre compétent pour le service public fédéral chargé de l'application de la sécurité sociale;

[4° ″comité de sécurité de l’information″: la chambre sécurité sociale et santé du comité de sécurité de l’information visé par la loi du 5 septembre 2018 instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. – modifié par l’article 8 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)].

Article 2.

Les institutions publiques de sécurité sociale et les services publics fédéraux qui sont chargés de l'application de la sécurité sociale peuvent soumettre à l'agréation du ministre compétent les conditions et modalités d'enregistrement, de conservation, d'échange, de communication ou de reproduction, par des procédés photographiques, optiques, électroniques ou par toute autre technique ou sur un support lisible, des données dont ils disposent ou qui leur sont transmises, en vue de l’application de la sécurité sociale.Ils soumettent leur proposition ainsi qu'une autoévaluation succincte du respect des conditions visées à l'article 3 au ministre compétent et simultanément à [à la délibération – modifié par l’article 10 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)]du [comité de sécurité de l’information– modifié par l’article 9 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)].

Article 3.

Le [comité de sécurité de l’information – modifié par l’article 9 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)]  vérifie que la procédure proposée satisfait aux conditions suivantes:

1°) la proposition décrit la procédure avec précision;

2°) la technologie utilisée garantit une reproduction fidèle, durable et complète des données;

3°) les données sont enregistrées systématiquement et sans lacunes;

4°) les données traitées sont conservées avec soin, classées systématiquement et protégées contre toute altération;

5°) les renseignements suivants relatifs au traitement des données sont conservés:
a) l'identité du responsable du traitement et de l'exécutant;
b) la nature et le sujet des données faisant l'objet du traitement;
c) la date et le lieu de l'exécution;
d) les dysfonctionnements éventuels qui ont été constatés pendant le traitement.

Article 4.

Le [comité de sécurité de l’information – modifié par l’article 9 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)] peut entendre les représentants du demandeur avant de formuler [sa délibération – modifié par l’article 11 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)]. Des adaptations peuvent être apportées à la procédure proposée, en concertation avec ces représentants.

Article 5.

Le [comité de sécurité de l’information – modifié par l’article 9 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)] communique [sa délibération motivée – modifié par l’article 12 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)] au ministre compétent, au plus tard dans un délai de deux mois à compter de la date d'expédition de la proposition visée à l'article 2, alinéa 2..[ Si la délibération n’est pas communiquée dans ce délai, elle est réputée favorable.– modifié par l’article 12 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)] Le [comité de sécurité de l’information – modifié par l’article 9 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)] communique en même temps [sa délibération – modifié par l’article 12 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)]au demandeur.

Article 6.

Le ministre compétent communique sa décision motivée au demandeur et au [comité de sécurité de l’information – modifié par l’article 9 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)], au plus tard dans un délai de quatre mois à compter de la date d'expédition de la proposition visée à l'article 2, alinéa 2. Si la décision motivée n'est pas communiquée au demandeur dans ce délai, la procédure proposée par ce dernier est censée être agréée par le ministre compétent, sauf si [la délibération rendue– modifié par l’article 13 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)] par le conformément à l'article 5 est défavorable. Dans ce cas, l'agréation de la procédure proposée est toujours subordonnée à une décision expresse et motivée du ministre compétent.
Avant de prendre sa décision, le ministre compétent vérifie aussi le respect des conditions prévues à l'article 3.
Le [comité de sécurité de l’information – modifié par l’article 9 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)] enregistre et conserve les procédures qui ont été agréées par le ministre compétent ou qui sont censées avoir été agréées par le ministre compétent, sans préjudice de l'article 9.

Article 7.

Lorsque la procédure soumise par le demandeur est agréée par le ministre compétent ou est censée être agréée par le ministre compétent, les données enregistrées, conservées, échangées, communiquées ou reproduites selon cette procédure de même que leur représentation sur un support lisible ont valeur probante pour l'application de la sécurité sociale, jusqu'à preuve du contraire. Cette valeur probante est acquise à partir de la date à laquelle la procédure est agréée ou est censée être agréée conformément à l'article 6.

Article 8.

Toute modification apportée à une procédure agréée, expressément ou tacitement, pour un motif se rapportant à une des conditions visées à l'article 3 est soumise aux dispositions des articles 2 à 7.

Article 9.

Le ministre compétent peut retirer l'agréation expresse ou tacite lorsqu'il constate que les conditions d'agréation ne sont plus remplies, partiellement ou totalement.
Avant de prendre sa décision, le ministre compétent peut demander [une délibération– modifié par l’article 14 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)] du [comité de sécurité de l’information – modifié par l’article 9 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)] . Dans ce cas, les dispositions de l'article 4 sont applicables par analogie. Le [comité de sécurité de l’information – modifié par l’article 9 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)] communique [sa délibération motivée – modifié par l’article 14 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)]  au ministre compétent, au plus tard dans un délai de deux mois à compter de la date d'envoi de [sa demande– modifié par l’article 14 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)].[Si cette délibération n’est pas communiquée dans ce délai, elle est réputée favorable. – modifié par l’article 14 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)]
Le ministre compétent communique sa décision motivée au demandeur et au [comité de sécurité de l’information – modifié par l’article 9 de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)].
Le retrait de l’agréation produit ses effets à la date de la communication de la décision du ministre compétent au demandeur. L'article 7 reste applicable pour la période antérieure à la date d’effet du retrait de l’agréation.

CHAPITRE II. FORCE PROBANTE DES DONNÉES TRAITÉES PAR LES AUTRES INSTITUTIONS DE SÉCURITÉ SOCIALE ET LES SECRÉTARIATS SOCIAUX D'EMPLOYEURS

Article 10.

Pour l'application du présent chapitre, on entend par:

1°) "institutions": les institutions coopérantes de sécurité sociale, les fonds de sécurité d'existence et les centres publics d'action sociale, visés à l'article 2, alinéa premier, 2°, b), c) et f), de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale, et les secrétariats sociaux d'employeurs;

2°) "la procédure": l'ensemble des procédures, des processus et des architectures (matérielle et logicielle) utilisés;

3°) "données numérisées": données enregistrées, traitées et communiquées selon un procédé optique et photographique;

4°) "le format": le code sous lequel des données numérisées sont enregistrées sur un support de données;

5°) "compression": le traitement permettant de limiter la taille de la représentation numérique des images afin de limiter la capacité de stockage et d'accélérer la transmission des données;

6°) "métadonnées": l'ensemble de données décrivant le contexte, le contenu et la structure des données numérisées;

7°) "le système": l'ensemble des appareils, des systèmes d'exploitation et des logiciels applicatifs;

8°) "le centre de données": le local où sont physiquement installés les équipements d'information et de communication (appareil IT) sur lesquels les données numérisées sont traitées et/ou enregistrées.

Article 11.

Les données enregistrées, traitées ou communiquées selon un procédé optique et photographique ainsi que leur représentation sur papier ou sur tout autre support lisible ont valeur probante jusqu'à preuve du contraire, si la procédure d'enregistrement, de traitement, de communication ou de reproduction de ces données que l'instance a fixée conformément à l'article 12 satisfait aux conditions énumérées au présent chapitre et que les données ont été enregistrées, traitées ou communiquées conformément à cette procédure. 
Cependant, les données numérisées ne peuvent être privées de leur validité juridique au seul motif qu'il est contestable que la procédure réellement suivie réponde aux conditions du présent arrêté si celui qui a recours à ces données est en mesure de montrer par tous les moyens de droit que la dérogation par rapport aux conditions du présent chapitre n'a pas remis en question la fiabilité des données.

Article 12.

L'institution fixe la procédure selon laquelle elle enregistre, traite ou communique, selon un procédé optique et photographique, les données dont elle dispose ou qui lui sont transmises, en vue de l'application de la sécurité sociale, ainsi que la procédure selon laquelle elle reproduit ces données sur papier ou sur tout autre support lisible, conformément au présent chapitre.

Article 13.

L'institution utilise une procédure:

1°) d'enregistrement systématique et exhaustif des données;

2°) de reproduction fidèle, durable et complète des données;

3°) de conservation méticuleuse, de classification systématique et de protection des données contre toute forme d'altération;

4°) d'intégrité et de lisibilité des données durant toute la durée du délai de conservation.

Article 14.

L'institution dispose d'une documentation détaillée et régulièrement mise à jour sur la procédure utilisée.

Cette documentation contient au moins les renseignements suivants:

1°) les données d'identification du sous-traitant éventuel auquel l'institution fait appel ainsi que le nom et l'adresse du propriétaire du matériel et du logiciel utilisé;

2°) la marque et le type de matériel utilisé et la dénomination du logiciel utilisé;

3°) la description précise du matériel et du logiciel, avec mention des caractéristiques techniques principales du mode d'enregistrement, de traitement et de communication des données selon le procédé optique et technique utilisé;

4°) la documentation de l'infrastructure d'enregistrement utilisée;

5°) la description des modalités selon lesquelles l'intégrité des données numérisées est garantie et peut être contrôlée;

6°) la description des contrôles de qualité réalisés;

7°) la documentation du logiciel d'amélioration de la qualité de l'image et du logiciel de reconnaissance;

8°) la description des modalités selon lesquelles la disponibilité et l'accessibilité des données numérisées sont garanties;

9°) une description des modalités selon lesquelles les données numérisées sont protégées contre tout accès illicite;

10°) une description de la politique de sauvegarde.

Toute modification apportée à la procédure utilisée est immédiatement ajoutée à la description détaillée.
[… – abrogé par l’article 15de l’arrêté royal du 19 septembre 2019 (Moniteur belge du 2 octobre 2019)]
Tant la documentation de la procédure que le lien entre cette documentation et les données numérisées sont conservées durant toute la durée du délai de conservation.

Article 15.

L'accès aux données numérisées a lieu conformément aux règles et aux procédures en vigueur au sein de l'institution.
Tout traitement des données numérisées ainsi que l'identité du sous-traitant sont conservés dans un journal.

Article 16.

Les données numérisées sont conservées dans des formats de fichiers validables, normés et dûment documentés qui conviennent à la conservation à long terme.
Si un format intermédiaire est utilisé, il ne peut y avoir de perte significative de la qualité lors de la conversion du format intermédiaire en le format final.
La compression est uniquement autorisée si la preuve est fournie qu'il n'y a pas de perte significative des informations.

Article 17.

Les données numérisées sont enregistrées le jour de leur création sur l'infrastructure d'enregistrement qui garantit l'intégrité et la pérennité des données.
Les données numérisées et les données originales non numérisées restent liées entre elles au moyen d'un identifiant unique jusqu'au moment où l'original est détruit.

Article 18.

Le traitement de données numérisées a lieu dans un Etat membre de l'Union européenne ou dans un Etat tiers auquel la libre circulation des services a été étendue et qui s'est engagé à respecter la réglementation de l'Union européenne relative au traitement de données à caractère personnel dans le cadre d'un accord international avec l'Union européenne.

Article 19.

L'intégrité du contenu, la pérennité, l'accessibilité et la lisibilité des données numérisées et des métadonnées y associées sont garanties durant le délai de conservation imposé par la réglementation applicable.
Les métadonnées sont attribuées de manière structurée et cohérente. Le couplage entre les données numérisées et les métadonnées correspondantes peut être reconstruit durant toute la durée du délai de conservation.Toute donnée numérique peut être retrouvée dans un délai raisonnable au moyen des métadonnées correspondantes et peut être rendue décelable ou lisible, dans le respect des autorisations. Le système utilisé importe, convertit, migre et exporte les données numérisées et les métadonnées correspondantes tout en préservant leur fiabilité, intégrité et exploitabilité.

Article 20.

Les mesures de sécurité garantissant l'intégrité des données sont rédigées conformément à la politique de sécurité de l'information de l'institution.
L'institution réalise une analyse des risques systématique, notamment concernant le traitement des données, les systèmes, le personnel et les exigences de sécurité.
L'institution dispose d'une politique de sécurité de l'information dans laquelle sont reprises l'ensemble des stratégies et des mesures choisies de protection des données.
La politique mentionnée à l'alinéa précédent est basée sur les normes et/ou les directives reconnues par les instances nationales et internationales.

L'institution doit donc au moins prévoir ce qui suit:
1°) elle dispose d'une liste des mesures de sécurité appliquées et vérifie périodiquement (de manière externe ou non) si les mesures de sécurité instaurées sont encore adéquates;

2°) elle dispose d'une politique de sauvegarde adéquate et documentée et d'un plan de secours et de récupération;

3°) elle prend toutes les mesures nécessaires afin d'éviter que les données numérisées ne se perdent, en partie ou totalement, durant le délai de conservation. A cet effet, l'institution réalise périodiquement des copies de sauvegarde des données numérisées et conserve ces copies de sauvegarde à  un autre endroit sécurisé;

4°) elle procède à des intervalles réguliers au test des plans de sauvegarde et de récupération et adapte si nécessaire ces plans;

5°) elle dispose d'une politique de contrôle des accès actualisée en vue de l'octroi, de la modification et de la suppression des droits d'accès au système;

6°) en cas de sous-traitance, elle impose des conditions de sécurité à ce tiers au moyen d'un contrat;

7°) à l'issue du délai de prescription appliqué par l'institution qui doit au moins être égal au délai de prescription légal, elle détruit les données numérisées au moyen d'un processus documenté et applique, en cas de données sensibles, des méthodes de destruction sécurisées;

8°) elle dispose d'un centre de données dûment sécurisé qui est équipé entre autre d'un système d'air conditionné, d'une alarme et d'un dispositif de détection d'incendie, d'un contrôle d'accès, d'un câblage ordonné et d'un réseau d’alimentation électrique de secours;

9°) elle prévoit une redondance pour l'infrastructure d'enregistrement;

10°) elle entrepose les supports d'information et les copies de sauvegarde en un endroit sécurisé sur le plan physique;

11°) elle dispose de suffisamment de collaborateurs ayant les connaissances et les compétences requises pour pouvoir réaliser toutes ses missions et responsabilités sur le plan de la gestion des données numérisées;

12°) en cas de migration vers de nouveaux formats de fichier, les transferts vers des supports de données sont réalisés, dans les délais impartis, afin de pouvoir garantir l'intégrité et l'accès permanent aux données numérisées durant toute la période du délai de conservation.

Les mesures de sécurité minimales dont question à l'alinéa précédent restent applicables au processus de migration documenté réalisé par l'institution.

CHAPITRE III. DISPOSITIONS DIVERSES

Article 21.

Les arrêtés royaux suivants sont abrogés:

1°) l'arrêté royal du 22 mars 1993 relatif à la force probante des informations enregistrées, conservées ou reproduites par des institutions de sécurité sociale;

2°) l'arrêté royal du 28 novembre 1995 relatif à la force probante, en matière de sécurité sociale des travailleurs indépendants, des informations utilisées par l’Administration et les organismes coopérants en matière de sécurité sociale des travailleurs indépendants;

3°) l'arrêté royal du 15 mars 1999 relatif à la valeur probante, en matière de sécurité sociale et de droit du travail, des informations échangées, communiquées, enregistrées, conservées ou reproduites par les services ministériels et les parastataux du Ministère de l'Emploi et du Travail;

4°) l'arrêté royal du 9 janvier 2000 relatif à la force probante des informations utilisées par l'Administration des Pensions pour l'application de la législation dont elle est chargée.

Article 22.

Les agréations expresses ou tacites sur la base d'un arrêté royal visé à l'article 21 conservent leur effet aussi longtemps qu'elles satisfont aux conditions visées dans ces arrêtés royaux.

Article 23.

Les demandes d'agréation introduites sur la base d'un arrêté royal visé à l'article 21 avant la date d'entrée en vigueur du présent arrêté royal sont traitées conformément à l'arrêté royal applicable visé à l'article 21.

Article 24.

Le ministre qui a l’Emploi dans ses attributions, la ministre qui a les Affaires sociales dans ses attributions et le ministre qui a les Indépendants et l’Intégration sociale dans ses attributions sont chargés, chacun en ce qui le concerne, de l'exécution de cet arrêté.