DELIBERATION RN N° 48 / 2005 du 30 novembre 2005 OBJET

Commentaires

Transcription

DELIBERATION RN N° 48 / 2005 du 30 novembre 2005 OBJET
ROYAUME DE BELGIQUE
Bruxelles, le
Adresse : Rue Haute, 139, B-1000 Bruxelles
Tél.: +32(0)2/213.85.40 E- mail : [email protected]
Fax.: +32(0)2/213.85.65 http://www.privacy.fgov.be/
COMMISSION DE LA
PROTECTION DE LA VIE PRIVEE
DELIBERATION RN N° 48 / 2005 du 30 novembre 2005
N. Réf. : SA2 / RN / 2005 / 040
OBJET : Demande formulée par l’A.S.B.L. Association Belge des Institutions de
Pension afin d’être autorisée à accéder aux informations du Registre
national dans le cadre de l’application de la loi du 28 avril 2003 relative aux
pensions complémentaires.
La Commission de la protection de la vie privée ;
Vu la loi du 8 août 1983 organisant un Registre national des personnes physiques ;
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des
traitements de données à caractère personnel, en particulier l’article 31bis ;
Vu la loi du 25 mars 2003 modifiant la loi du 8 août 1983 organisant un Registre national
des personnes physiques et la loi du 19 juillet 1991 relative aux registres de la population et aux
cartes d’identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes
physiques, en particulier l’article 19, § 3 ;
Vu l’arrêté royal du 17 décembre 2003 fixant les modalités relatives à la composition et au
fonctionnement de certains comités sectoriels institués au sein de la Commission de la protection
de la vie privée, en particulier l’article 18 ;
Vu la demande de l’A.S.B.L. Association Belge des Institutions de Pension, reçue le 30
septembre 2005 et les informations complémentaires reçues le 25 octobre 2005 ;
Vu la demande d’avis juridique et technique du 25 octobre 2005 ;
Vu le rapport du vice-Président, le Président étant empêché ;
Emet, après délibération, la décision suivante, le 30 novembre 2005 :
Dél RN 48 / 2005 - 1 / 9
I.
OBJET DE LA DEMANDE.
------------------------------------------La demande vise à autoriser les membres de l’A.S.B.L. Association Belge des Institutions de
Pension, ci-après « les demandeurs », à accéder aux informations du Registre national des
personnes physiques, plus particulièrement à celles mentionnées à l’article 3, premier alinéa, 1° à
6°, 8°, 9° et 13°, et deuxième alinéa de la loi du 8 août 1983 organisant un Registre national des
personnes physiques (ci-après la « LRN ») dans le cadre de l’application de la loi du 28 avril 2003
relative aux pensions complémentaires et au régime fiscal de celles-ci et de certains avantages
complémentaires en matière de sécurité sociale.
II.
EXAMEN DE LA DEMANDE.
----------------------------------------------L’article 113bis de la loi du 28 avril 2003 stipule :
« Pour autant que ceci s'avère nécessaire pour l'exécution de la présente loi ou de ses
arrêtés d'exécution, les organismes de pension et les personnes morales chargées de
l'exécution d'un engagement de solidarité ont :
1° accès au Registre national des personnes physiques, institué par la loi du 8 août 1983
organisant un registre national des personnes physiques;
2° le droit d'utiliser le numéro d'identification du Registre national. »
Ceci signifie que l’examen de la Commission se limite à juger la proportionnalité à l’égard des
données pour lesquelles un accès est demandé ainsi que les conditions connexes de cet accès.
A.
FINALITE.
La finalité apparaît dans la loi du 28 avril 2003.
Les demandeurs sont chargés de payer une pension complémentaire, c.-à-d. « la pension de
retraite et/ou de survie en cas de décès de l'affilié avant ou après la retraite, ou la valeur en capital
qui y correspond, qui sont octroyées sur la base de versements obligatoires déterminés dans un
règlement de pension ou une convention de pension en complément d'une pension fixée en vertu
d'un régime légal de sécurité sociale » (article 3, § 1, 1° de la loi du 28 avril 2003).
Ceci implique qu’ils sont notamment tenus :
- de communiquer périodiquement à l’affilié – c.-à-d. « le travailleur qui appartient à la catégorie
du personnel pour laquelle l'organisateur a instauré un régime de pension et qui remplit les
conditions d'affiliation prévues dans le règlement de pension, ou pour lequel l'organisateur a
conclu un engagement individuel de pension ainsi que l'ancien travailleur qui continue à
bénéficier de droits actuels ou différés conformément au règlement de pension ou à la
convention de pension » - les informations énumérées à l’article 26 de la loi du 28 avril 2003 ;
- d’effectuer le paiement en faveur de l’affilié ou de ses ayants cause.
La finalité poursuivie est dès lors déterminée, explicite et légitime au sens de l’article 4, § 1, 2°, de
la loi du 8 décembre 1992.
Dél RN 48 /.2005 - 2 / 9
B.
PROPORTIONNALITE.
B.1. Quant aux données.
B.1.1. Les demandeurs souhaitent avoir accès aux informations mentionnées à l’article 3, premier
alinéa, 1° à 6°, 8°, 9° et 13°, et deuxième alinéa de la LRN, à savoir :
-
les nom et prénoms ;
le lieu et la date de naissance ;
le sexe ;
la nationalité ;
la résidence principale ;
le lieu et la date du décès ;
l’état civil ;
la composition du ménage ;
la cohabitation légale.
La Commission constate que :
- Les informations « nom et prénoms » et « sexe » sont nécessaires pour identifier un affilié ou
ses ayants droit et prendre correctement contact avec eux.
- Un nombre de tâches des demandeurs dans le cadre de la loi du 28 avril 2003 sont liées à
l’âge. Ainsi, ils doivent par exemple communiquer tous les cinq ans, à tous les affiliés à partir de
l'âge de 45 ans, le montant de la rente à attendre lors de la retraite (article 26, § 3). Les
paiements de pensions complémentaires ne peuvent forcément avoir lieu qu’à partir du moment
où l’affilié a atteint un certain âge. A la lumière de cela, les demandeurs doivent pouvoir
disposer de l’information « date de naissance ». Il n’apparaît pas dans la demande que les
demandeurs ont besoin de l’élément « lieu de naissance » afin de pouvoir réaliser leurs tâches.
- Comme déjà précisé, les demandeurs sont tenus de fournir périodiquement une fiche de
pension à l’affilié et de l’informer de la rente à attendre lors de la retraite. Dans le cadre des
paiements, l’affilié doit évidemment également être contacté. Les demandeurs doivent donc
pouvoir disposer de l’adresse la plus récente. Vu qu’il est rare à présent qu’un affilié effectue sa
carrière professionnelle auprès d’un même employeur, les demandeurs ne disposent
généralement pas de l’adresse la plus récente de l’affilié (ce dernier oubliera d’ailleurs le plus
souvent de la signaler aux demandeurs). Un accès à l’information « résidence principale »
peut remédier à ce problème.
- Des conséquences fiscales sont liées aux paiements effectués en application de la loi du 28
avril 2003. Au moment de déterminer l’administration compétente en matière fiscale, non
seulement la résidence principale de l’affilié est importante mais également sa nationalité.
Selon le cas, ceci peut conduire à ce que des montants soient versés en net plutôt qu’en brut. Il
est donc nécessaire que les demandeurs puissent disposer de l’information « nationalité ».
- A la suite du décès de l’affilié, les demandeurs seront tenus de verser une pension de survie
aux ayants droit de l’affilié. Dans cette optique, il est nécessaire que les demandeurs disposent
d’un accès à la « date du décès » afin de pouvoir, d’initiative, retrouver et contacter les ayants
droit. Il n’apparaît pas dans la demande que les demandeurs ont besoin de l’élément « lieu du
décès » afin de pouvoir réaliser leurs tâches.
- Les informations « état civil », « composition du ménage » et « cohabitation légale » sont
des données qui permettent aux demandeurs, en cas de décès de l’affilié, de retrouver les
ayants droit – donc les héritiers – de ce dernier. En outre, certaines prestations, à savoir les
couvertures décès, sont influencées par le nombre d’enfants et le fait qu’ils soient ou non
cohabitants.
Dél RN 48 /.2005 - 3 / 9
La Commission estime que dans le cadre de la réalisation des finalités mentionnées au point A, en
ce qui concerne les données à caractère personnel reprises à l’article 3, premier alinéa, 1° à 6°,
8°, 9° et 13°, de la LRN (sans le lieu de naissance et le lieu du décès), l’accès est conforme à
l’article 4, § 1, 3°, de la LVP.
B.1.2. Les demandeurs souhaitent également accéder à l’historique des données – donc aux
modifications successives de celles-ci – pendant une période de 5 ans.
Les demandeurs doivent pouvoir contrôler dans le temps certaines informations dans un certain
nombre de cas :
-
les prestations en matière de couverture décès peuvent être influencées par la durée du
mariage. Dans ce contexte, il importe également de pouvoir contrôler l’existence d’éventuels
ayants droit de précédentes unions.
-
Le domicile et la durée du séjour peuvent avoir des implications fiscales. Par exemple :
certaines conventions préventives de la double imposition ne s’appliquent que moyennant
une certaine durée de séjour.
La Commission estime que l’accès demandé aux modifications successives pendant une période
de 5 ans est conforme à l’article 4, § 1, 3° de la LVP, compte tenu des finalités indiquées.
B.2. Quant à la fréquence et à la durée pour lesquelles l’accès est demandé.
B.2.1. L’accès demandé est un accès permanent.
Journellement, les demandeurs constitueront soit des nouveaux dossiers ou assureront le suivi
des dossiers en suspens. Par conséquent, ils devront procéder tous les jours au contrôle des
données communiquées.
La Commission établit qu’un accès permanent est requis afin que les demandeurs puissent
réaliser leurs finalités (article 4, § 1, 3°, de la LVP).
B.2.2. L’accès est demandé pour une durée indéterminée.
Les tâches que les demandeurs effectuent en exécution des dispositions de la loi du 28 avril 2003,
ne sont pas limitées dans le temps.
La Commission établit qu’au regard des finalités pour lesquelles l’accès a été octroyé par la loi,
une autorisation pour une durée indéterminée est nécessaire (article 4, § 1, 3°, de la LVP).
B.3. Quant au délai de conservation.
Les demandeurs proposent un délai de conservation qui expire 1 an après le décès de l’affilié.
La Commission établit que les demandeurs :
- devront, dans le cas d’une pension de retraite complémentaire, effectuer les paiements aussi
longtemps que l’affilié est en vie ;
- devront, dans le cas d’une pension de survie, effectuer les paiements après le décès de l’affilié.
Un délai d’1 an pour clôturer complètement le dossier après le décès de l’affilié semble
raisonnable aux yeux de la Commission.
Compte tenu de ce qui précède, le délai de conservation proposé est acceptable à la lumière de
l’article 4, § 1, 5° de la LVP.
Dél RN 48 /.2005 - 4 / 9
B.4. Usage interne et/ou communication à des tiers.
Il ressort des informations fournies dans la demande que les informations seront exclusivement
utilisées en interne.
C.
SECURITE.
C.1. Conseiller en sécurité de l’information.
Aucun demandeur n’a communiqué l’identité de son conseiller en sécurité de l’information.
L’article 10 de la LRN oblige chaque instance qui obtient l’accès aux informations du Registre
national à désigner un consultant (conseiller) en sécurité de l’information.
Un conseiller en sécurité de l’information doit pouvoir apprécier, en toute indépendance, la sécurité
de l’information.
L’identité du conseiller en sécurité de l’information doit être communiquée à la Commission. Il faut
aussi spécifier :
- le profil de fonction, avec indication de la place dans l’organisation, les domaines de résultats et
les compétences requises ;
- la formation dont bénéficie ou bénéficiera l’intéressé ;
- le temps que l’intéressé peut consacrer à la fonction ;
- les autres fonctions éventuelles exercées par l’intéressé et qui ne peuvent pas être
incompatibles avec la fonction de conseiller en sécurité de l’information.
C.2. Plan de sécurité de l’information.
Aucun demandeur n’a proposé un plan de sécurité de l’information, établi par le conseiller en
sécurité de l’information.
La Commission insiste pour que le conseiller en sécurité de l’information rédige un plan de sécurité
de l’information qui énumérera et décrira toutes les facettes de la sécurité. La Commission attire
l’attention sur le fait que la sécurité de l’information n’est pas limitée à la sécurité technique sur le
plan informatique. Elle comprend notamment des exigences de sécurité vis-à-vis du personnel,
une protection physique de l’environnement, une protection des accès, un développement et une
maintenance du système, une gestion de la continuité, un contrôle interne et externe, une gestion
des processus de communication et de service.
Les exigences de sécurité ne se limitent pas uniquement aux informations provenant du Registre
national. En l’occurrence, outre les données du Registre national, les demandeurs conserveront
également d’autres données à caractère personnel relatives aux affiliés. L’article 16, § 4 de la LVP
stipule que « afin de garantir la sécurité des données à caractère personnel, le responsable du
traitement doit prendre les mesures techniques et organisationnelles requises pour protéger les
données à caractère personnel ».
De plus, la Commission enverra une liste des exigences minimales de sécurité aux demandeurs
qui devront la compléter conformément à la vérité et la renvoyer à la Commission. A la lumière de
cette liste, l’autorisation octroyée sera éventuellement réexaminée.
Dél RN 48 /.2005 - 5 / 9
C.3. Personnes ayant accès aux informations et liste de ces personnes.
L’accès aux informations du Registre national doit être limité aux membres du personnel des
demandeurs qui, en raison des tâches qui leur sont confiées, doivent travailler avec ces données.
Ainsi que le prescrit l’article 12 de la LRN, les demandeurs doivent dresser et tenir à la disposition
de la Commission une liste où figurent les personnes qui ont accès au Registre national. Cette liste
sera constamment actualisée.
En outre, les personnes figurant sur cette liste doivent signer une déclaration écrite dans laquelle
elles s’engagent à préserver la sécurité et le caractère confidentiel des informations auxquelles
elles sont autorisées à accéder.
D.
COMPLEMENT D’INFORMATION
La Commission attire l’attention sur l’article 8, § 2 de la LRN qui stipule : « En cas d’autorisation
d’utiliser le numéro d’identification du Registre national, les dispositions de l’article 10 devront être
respectées. » (c.-à-d. désigner un consultant (conseiller) en sécurité de l’information dont l’identité
est communiquée au comité sectoriel du Registre national).
Le fait que les demandeurs aient été autorisés, par l’article 113bis de la loi du 28 avril 2003, à
utiliser le numéro susmentionné ne les dispense pas de l’obligation de respecter les dispositions
de la LRN en la matière.
D’ailleurs, l’article 13 de la LRN pénalise l’utilisation du numéro d’identification sans qu’un
conseiller en sécurité de l’information n’ait été désigné. Par conséquent, les demandeurs doivent
s’abstenir d’utiliser le numéro d’identification du Registre national tant qu’ils n’ont pas désigné un
conseiller en sécurité de l’information et communiqué son identité au comité sectoriel du Registre
national (la Commission).
La Commission souligne également que si, sur la base du numéro d’identification du Registre
national, des connexions au réseau avec des tiers devaient être réalisées, :
- les demandeurs devront immédiatement en informer le comité sectoriel du Registre
national (la Commission) ;
- le numéro d’identification du Registre national ne pourra être utilisé dans des relations
avec des tiers que pour autant que ces derniers soient eux aussi autorisés à utiliser ce
numéro.
PAR CES MOTIFS,
la Commission
1° autorise les demandeurs mentionnés dans la liste, jointe comme annexe 1 à cette délibération,
en vue de la réalisation des finalités mentionnées au point A et sous les conditions exposées dans
la délibération, à accéder, en permanence et pour une durée indéterminée, aux informations
visées à l’article 3, 1er alinéa, 1° à 6°, 8°, 9° et 13°, de la LRN (sans le lieu de naissance et le lieu
du décès) ainsi qu’à l’historique de ces données pendant une période de 5 ans.
Cette autorisation ne produira toutefois ses effets à l’égard de chaque instance habilitée
concernée, qu’après que la Commission aura constaté, pour chacune d’entre elles, sur la base des
documents et des renseignements fournis par ces dernières, que :
- un conseiller en sécurité de l’information aura été désigné, comme précisé au point C.1. ;
- un plan de sécurité de l’information qui tiendra compte des remarques formulées au point C.2.
aura été soumis.
Dél RN 48 /.2005 - 6 / 9
2° stipule que lorsqu’elle enverra aux demandeurs mentionnés dans la liste, jointe comme annexe
1 à cette délibération, un questionnaire relatif à l’état de la sécurité de l’information, ces derniers
devront compléter cette liste conformément à la vérité et la renvoyer à la Commission. La
Commission prend acte sans se prononcer sur le contenu. Ceci ne porte pas atteinte à la
possibilité de la Commission de réagir à l’occasion.
L’administrateur,
Le président,
(sé) Jo BARET
(sé) Michel PARISSE
Dél RN 48 /.2005 - 7 / 9
Bijlage 1 aan de beraadslaging nr. 48 /2005 van 30 november 2005
Annexe au déliberation n° 48 /2005 du 30 novembre.2005
50272 / ABBOTT
Belgian Pension Fund
50302 / AGORIA
Pensioenfonds
50505 / ACV-METAAL
Pensioenfonds
50525 / ANDIMO
Voorzorgsfonds
50276 / ASTRAZENECA
Pension Fund Belgium
50171 / BEKAERT
Pensioenfonds
50041 / BELGIAN SHELL
Pensioenfonds
50003 / BRABO
Pensioenfonds
50200 / BELGOLAISE
Fonds
50407 / CARGILL
CERESTAR BELGIUM
Pensioenfonds
50167 / CBC BANQUE
Fonds de Pension
50098 / CHEVRON
Fonds de Pension des
Employés
50071 / COMPAGNIE DE
BRUXELLES 1821
Caisse de Pensions et de
Prévoyance
50173 / DE GISTFABRIEK
Pensioenfonds
50329 / DEGROOF BANK
Pensioenplan
50285 / CATERPILLAR
Fonds de Prévoyance
50022 / CGU
Fonds de Pension Belge du
Groupe
50387 / COCKERILL SAMBRE
(CSO)
Fonds de Pension Ouvriers asbl
50429 / CONAC
Pension Fund
50106 / DE WITTE MEEUW –
Verenigde Natiebazen
Voorzorgsfonds
50436 / DHL
Employee Benefit Fund
50463 / ELGABEL
Fonds de Pension
50148 / EUROCLEAR
Pension Fund
50229 / G-FONDS
Pensioenfonds
50512 / GROEP NEW
HOLLAND BELGIE
Voorzorgsfonds
50238 / IBECOR
Pensioenfonds
50228 / IMTECH BELGIE voorheen I.M. BELGIE
Pensioenfonds vzw
INTEGRALE CCA
(levensverzekeringsmaatschappij
die alleen aanvullende
pensioenen verstrekt
50177 / J & J BELGIUM
Pension Fund
50433 / DOW BELGIE c/o
DOW BELELUX nv
Pensioenfonds
50547 / ENERBEL
Fonds de Pension
50153 / FORD Mijen België
Pensioen- en Voorzorgsfonds
50235 / Groep BRUSSEL
LAMBERT
Pensioenfonds
50271 / HONEYWELL
EUROPE
Pension Plan
50150 / IBM BELGIUM
Fonds de Pension et de
Prévoyance
50486 / INEOS
Pensioenfonds
50498 / INTERBREW
Pensioenfonds Kaderleden
50056 / KBC
Pensioenfonds
50170 / AGFA GEVAERT
Pensioenfonds
50144 / ARTESIA
Fonds de Pension
Complémentaire
50504 / BELGACOM asbl
Pensioenfonds aanvullende
voordelen personeelsleden
50373 / BELGOPROCESS
Voorzorgsfonds
50203 / CARREFOUR
BELGIUM
Fonds de Solidarité
50012 / CBR
Fonds de Prévoyance
50553 / CILE
Caisse de Pensions et de
Secours
50392 / COMPAQ
Pensioenfonds
50475 / DE LIJN
Pensioenfonds
50210 / DEUTSCHE BANK
Pensioenfonds
50444 / DOW CORNING
Fonds de Pension
50120 / ETERNIT
Fonds de Pension
50443 / GENERAL MOTORS
Pensioenfonds
50051 / GROEP CITIBANK
Pensioenfonds
50511 / HUNTSMAN
Pension Fund
50275 / ICI
Pension Fund
50006 / ING BELGIE
Aanvullende Pensioenen van
ING België
50548 / INVESCO BEL
Pension Fund
50446 KBC
Aanvullend Pensioenfonds
Directie
Dél RN 48 /.2005 - 8 / 9
50445 / KBC
Aanvullend Pensioenfonds
50496 / SOLUTIA
Association pour le plan de
Pension
50232 / KEMPENS
STEENKOLENBEKKEN
Pensioenfonds
50110 / LIEVEN GEVAERT /
GEVAERT
Pensioenfonds
50420 / McKINSEY &
COMPANY Inc.
Belgium Retirement Plan vzw
50226 / MONSANTO
Vereniging voor het
Pensioensplan van
50230 / PENSIOBEL
Caisse de Pensions
50528 / PROTECT
Pensioenfonds
50501 / SG BANK DE
MAERTELAERE
Pensioenfonds
50206 / SOLVAY
Fonds de Pension des
Cadres
50100 / TEXACO
Pensioenfonds
50409 / TUPPERVARE
Pensioenfonds
50465 / TPV-DTC
Fonds de Pension AAM
50085 / UCB
Fonds de Prévoyance
50488 / UNILEVER BELGIUM
Pension Fund “Seric”
50125 / UNILEVER
BELGIUM Pension Fund
“Union”
50483 / UZ-GENT
Pensioenfonds
50080 / VOLVO CAR
Voorzorgs- en Risicofonds
50185 / LEVI STRAUSS
Association pour le Fonds de
Pensions
50439 / MASTER FOODS
BELGIUM
Pensioenfonds
50157 / MMC – Belgium
Plan de Pensions
50495 / OCEAN BELGIUM
Pensioenfonds
50394 / PROMEDIA
Pensioenfonds Bedienden
50095 / SANTANDER BENELUX
Fonds de Pension
50213 / UNISYS
Fonds de Pension
50474 / VCLB
Pensioenfonds Werklieden
50533 / VRT – Vlaamse Radioen Televiesieomroep
Pensioenfonds Contractuelen
50438 / L OREAL
Fonds de Pension
50223 / LIMBURG CHEMIE
Pensioenfonds
50222 / MERBEL
Pensioenfonds
50111 / NESTLÉ
Fonds de Pension
50510 / POWERBEL
50388 / RAYCHEM
Pensioenfonds Groep
50208 / SOIR – L AGENCE
ROSSEL
Caisse Retraite
50164 / SRL HERSTAL
Caisse de Pension de
retraite et de survie du
personnel
50149 / TRACTEBEL
Caisse de Pensions
50048 / UNIE VAN
REDDING- EN
SLEEPDIENST
Pensioenkas van de Unie
van redding- en sleepdienst
50126 / UNILEVER
BELGIUM Sociale Kas
50205 / VANDEMOORTELE
Pensioenfonds
50013 / VOPAK BELGIE
Pensioenfonds
Dél RN 48 /.2005 - 9 / 9

Documents pareils