Réglementation
L’Organe de contrôle puise son cadre légal et normatif dans les législations et réglementations européennes et nationales.
1. Cadre légal national
- La Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (M.B. du 5 septembre 2018), en abrégé Loi relative à la protection des données ou LPD. La LPD prévoit notamment l’exécution des clauses ouvertes du RGPD, la transposition de la directive 2016/680 sur le traitement de données à caractère personnel dans la chaîne de droit pénal et la création du COC.
- La Loi du 5 août 1992 sur la fonction de police – LFP - Une section spécifique de cette loi traite de la gestion de l’information policière (articles 44/1 à 44/11/13 inclus), ainsi que de la fonction de contrôle de l’Organe de contrôle.
- La Loi du 3 décembre 2017 portant création de l'Autorité de protection des données (article 4 §2).
- Le Règlement d’ordre intérieur de l’Organe de contrôle, approuvé par la Chambre des Représentants le 14 novembre 2018 (M.B. du 27 novembre 2018). Ce règlement définit les règles du fonctionnement interne du COC.
2. Réglementation européenne
(a) Union européenne
- Charte des droits fondamentaux de l’Union européenne (articles 7 et 8).
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE – Règlement général sur la protection des données – RGPD. Ce texte législatif européen régit les droits et obligations à la fois du responsable du traitement (celui qui est responsable du traitement) et de la personne concernée (la personne dont les données sont traitées). En savoir plus au sujet du RGPD
- Directive (EU) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil – Directive Justice-Police. Cette directive constitue le cadre européen pour les traitements opérés notamment par les services de police.
(b) Conseil de l'Europe
- Convention européenne des droits de l’homme (articles 8 et 9).
- Convention 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.
- Protocole additionnel à la Convention 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel + rapport explicatif.
- Recommandation R(87)15 du Comité des Ministres du 17 septembre 1987 visant à réglementer l’utilisation de données à caractère personnel utilisées dans le secteur de la police.
3. Directives internationales
(a) Normes ISO
Les normes ISO sont payantes et disponibles sur le site Internet de l’organisation ISO.
- ISO/IEC 27001 Technologie de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information (ISMS) – Exigences.
- ISO/IEC 27002 Technologie de l’information – Techniques de sécurité – Code de bonnes pratiques pour la gestion de la sécurité de l'information.
- ISO/IEC 29100 Technologie de l’information – Techniques de sécurité – Cadre privé.
- ISO/IEC 27701 Technologie de l’information – Techniques de sécurité – Extension d’ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée – Exigences et lignes directrices.
(b) Textes de références adoptés par les Nations-Unies
- Principes directeurs pour la règlementation des fichiers informatisés contenant des données à caractère personnel (1990).
- Pacte international relatif aux droits civils et politiques (1966) : article 17.
- Convention internationale relative aux droits de l’enfant (1989) : article 16.