Sécurité des données

Communication et conservation des données à caractère personnel

La Banque Carrefour et les institutions de sécurité sociale sont tenues de prendre toutes les mesures qui permettent de garantir la parfaite conservation des données sociales à caractère personnel (article 22 de la loi organique de la Banque Carrefour).

Les personnes qui interviennent dans l'application de la sécurité sociale peuvent obtenir la communication des seules données dont elles ont besoin pour cette application (article 23, alinéa premier, de la loi organique de la Banque Carrefour).

Elles ne peuvent disposer des données à caractère personnel reçues que le temps nécessaire à l'application de la sécurité sociale ; elles sont tenues de prendre les mesures qui permettent d'en garantir le caractère confidentiel ; elles doivent veiller à ce que les données à caractère personnel soient utilisées uniquement pour l'exécution de leurs obligations légales (article 23, alinéa 2, de la loi organique de la Banque Carrefour).

Un arrêté royal permet également de fixer les conditions et les modalités selon lesquelles des données à caractère personnel peuvent être conservées au-delà de la durée normale d'utilisation à des fins scientifiques (article 23, alinéa 3, de la loi organique de la Banque Carrefour). Un tel arrêté royal n'a pas encore été pris ; le traitement des données à caractère personnel à des fins scientifiques est actuellement réglé par l'arrêté royal du 13 février 2001 portant exécution de la loi relative au traitement des données à caractère personnel, plus précisément par les articles 2 à 24.

Secret professionnel

Il est stipulé explicitement que toute personne intervenant, dans le cadre de la sécurité sociale, dans la collecte, le traitement ou l'échange de données à caractère personnel est tenue par le secret professionnel (article 28 de la loi organique de la Banque Carrefour).

Données sociales à caractère personnel relatives à la santé

Les données à caractère personnel qui concernent la santé font l'objet de règles spécifiques supplémentaires - il s'agit de toutes les données à caractère personnel dont on peut déduire une information sur l'état antérieur, actuel ou futur de la santé physique ou psychique, à l'exception des données purement administratives ou comptables relatives aux traitements ou aux soins médicaux.

Le traitement, l'échange et la conservation des données sociales à caractère personnel relatives à la santé s'effectuent sous la surveillance et la responsabilité d'un médecin dont l'identité est communiquée au Comité sectoriel de la sécurité sociale et de la santé (article 26, § 1er, de la loi organique de la Banque Carrefour).

Le médecin responsable de l'institution de sécurité sociale désigne nominativement les personnes qui peuvent enregistrer, consulter, modifier, traiter ou détruire les données sociales à caractère personnel relatives à la santé ; par personne il est fait mention, dans un registre destiné à cet effet, du contenu et de l'étendue de l'autorisation d'accès (article 26, §2, de la loi organique de la Banque Carrefour).

L'accès aux données sociales à caractère personnel relatives à la santé contenues dans les banques automatisées de données sociales se fait au moyen de codes individuels d'accès et de compétence ; la conservation des données dans les archives automatisées doit l'être sur des supports qui ne sont pas directement accessibles (article 26, §3, de la loi organique de la Banque Carrefour).

Conseiller en sécurité

Toute institution de sécurité sociale est tenue de désigner en son sein un conseiller en sécurité dont l'identité doit être communiquée à la Banque Carrefour et au Comité sectoriel de la sécurité sociale et de la santé (article 24 de la loi organique de la Banque Carrefour).

Le conseiller en sécurité est chargé de la sécurité des données qui sont traitées ou échangées par son institution ; il fournit des avis qualifiés à la personne chargée de la gestion journalière et exécute les missions qui lui sont confiées par cette même personne (article 25 de la loi organique de la Banque Carrefour).

Modifications de données à caractère personnel

Les corrections et effacements de données sociales à caractère personnel effectués sur requête de l'intéressé (voir l'article 12 de la Loi relative aux traitements de données à caractère personnel) doivent être communiqués par l'institution de sécurité sociale concernée à la Banque Carrefour qui, à son tour, signale ces modifications aux institutions de sécurité sociale qui, d'après le répertoire des références, conservent ces données (article 20, § 2, de la loi organique de la Banque Carrefour).

Comité sectoriel de la sécurité sociale et de la santé

Le Comité sectoriel de la sécurité sociale et de la santé est chargé de surveiller le respect des dispositions de la loi organique de la Banque Carrefour et en particulier celles relatives à la protection des données. Cette surveillance s'exerce par rapport aux institutions de sécurité sociale et, de manière générale, par rapport à toutes les personnes qui ont accès à des données à caractère personnel dans le cadre de l'application de la sécurité sociale.

Destruction de données à caractère personnel

Dans la loi organique de la Banque Carrefour, il est prévu qu'en cas de guerre ou d'occupation du territoire par l'ennemi un arrêté royal puisse désigner les personnes qui seront chargées de (faire) détruire les banques de données dans lesquelles sont conservées des données à caractère personnel à des fins de sécurité sociale ; en cas de pareille destruction il faut veiller, autant que possible, à ne pas compromettre l'application de la législation sur la sécurité sociale (article 29 de la loi organique de la Banque Carrefour). La procédure à appliquer est réglée par l'arrêté royal du 9 juillet 2001.

Sanctions

La violation des dispositions précitées est sanctionnée par des sanctions pénales (articles 60 à 71 de la loi organique de la Banque Carrefour).