Dès le 23 décembre 2018, la loi organisant le registre national va être modifiée de façon importante :
1. Extension des possibilités de consulter le registre national
Les autorisations d’accéder au registre national ou d’utiliser le numéro de registre national ne seront plus accordées par le Comité sectoriel du registre national, qui a été supprimé, mais par le ministre de l’Intérieur. Il pourra consulter l’Autorité de protection des données.
Avant, seules les autorités publiques ou les personnes morales pouvaient demander ce type d’autorisation. Maintenant, les associations de fait et les personnes physiques peuvent aussi faire cette demande. Par contre, il faut toujours que cette demande soit nécessaire pour accomplir une mission d’intérêt général.
Une demande peut maintenant être faite par ces mêmes acteurs pour accéder aux registres de la population.
2. Exemption en cas de simple identification/authentification
Plus aucune autorisation d’utilisation du numéro de Registre national ne devra être introduite si ce numéro est exclusivement utilisé pour identifier ou authentifier une personne par le biais d’une application informatique.
Ceci n’autorise pas l’organisme à utiliser le numéro de Registre national comme numéro d’utilisateur unique pour ses clients. Un numéro d’identification propre à l’organisme doit être utilisé, et la correspondance avec les numéros de Registre national doit être assurée par un fichier de conversion chiffré.
3. Mise à jour des fichiers clients
Autre modification de poids : en plus de cet élargissement du système antérieur, chaque citoyen pourra maintenant autoriser un cocontractant à recevoir les mises à jour le concernant. Cette nouveauté est encadrée de la manière suivante :
- Les informations ne peuvent concerner que les changements au niveau des nom, prénoms et résidence principale. Le créancier peut également être tenu informé du décès de son cocontractant.
- C’est limité aux personnes majeures.
- Cela doit concerner un contrat écrit qui est exécuté en plusieurs fois (bail, abonnement, prêt…).
- Le cocontractant doit être un organisme de droit belge.
- Le but de cette information en temps réel ne peut être que :
- la gestion des commandes et/ou des livraisons de produits ou de services, vendus ou prêtés,
- la gestion de dossiers de financements,
- le rappel éventuel de produits dangereux ou défectueux,
- la facturation et le recouvrement de factures,
- ou le registre la gestion des contentieux.
- Toute autre utilisation est interdite. Les données ne peuvent pas être vendues, ni communiquées à des tiers, et ne peuvent pas être utilisées à des fins publicitaires.
- Le contrat doit préciser les finalités poursuivies parmi les cinq autorisées.
- Le délai de conservation des données pour chacune des finalités doit être mentionné.
- Le client doit donner son consentement pour chaque finalité dans une mention spécifique du contrat.
- Aucune conséquence négative (impossibilité de contracter) ou positive (telle une réduction) ne peut être liée à l’octroi de ce consentement.
- Ce consentement peut être retiré à tout moment, directement auprès du cocontractant, ou auprès du Registre national ou de l’administration communale. Une application devrait être mise en place pour permettre à chacun de visualiser les organismes qu’il a autorisé à recevoir les mises à jour de ses données.
- Les données doivent être détruites dès la fin du contrat.
4. Désignation d’un délégué à la protection des données et sécurité
Le conseiller en sécurité de l’information a ainsi été supprimé. L’accès au registre national implique maintenant l’obligation de désigner un délégué à la protection des données.
Ses coordonnées doivent être communiquées aux services du Registre national (en plus de l’Autorité de protection des données pour se conformer au RGPD).
Un plan de sécurité doit être adopté pour garantir la protection des données.
Il faut également tenir un registre des consultations effectuées (par un utilisateur individuel ou par un système informatique automatique) pendant 10 ans. Ce registre reprend la date et l’heure de la consultation, les données qui ont été consultées (en précisant en lecture ou pour modification) et pour quelle finalité.
L’Autorité de protection des données pourra demander à consulter ce plan et ce registre à tout moment.
5. Vérification de la validité de documents
N’importe qui, partout dans le monde, peut déjà vérifier si un document belge d’identité ou de voyage est valide par le biais de l’application informatique « Checkdoc« .
En précisant le numéro du document, il est ainsi possible de savoir si le document est valide ou non (sans savoir s’il est alors volé, perdu ou périmé).
La nouvelle loi encadre désormais cette possibilité.
Notre conseil :
Les nouvelles possibilités ouvertes à partir du 23 décembre 2018 ne doivent pas être mises en œuvre à la légère.
Elles s’accompagnent d’un fort alourdissement des sanctions pénales. L’Autorité de protection des données devrait également être attentive aux abus et aux violations de données concernant le Registre national. Puisqu’il s’agit d’un traitement de données régi par le RGPD, elle pourra faire usage de ses pouvoirs d’enquête et de sanctions administratives.
Par conséquent, les organismes qui souhaitent en faire usage seront prudentes en se faisant assister dans cette démarche.
