Convention entre responsables conjoints du traitement (au titre de l’article 26 du règlement 2016/679 (RGPD) – SFP, INASTI et Sigedis)

La présente convention entre responsables conjoints du traitement est conclue à la date du 07/07/2023, ci-après dénommée la « date d’entrée en vigueur »:

Le Service fédéral des Pensions, ci-après dénommé le SFP, institué par l’article 40 de l’arrêté royal n° 50 relatif à la pension de retraite et de survie des travailleurs salariés et responsable de l’attribution des pensions de salariés et de fonctionnaires et de l’information à leur sujet, ainsi que du paiement des pensions de salariés, de fonctionnaires et d’indépendants et de la fourniture d’informations à leur sujet

Et

L’Institut national d’assurances sociales pour travailleurs indépendants, ci-après dénommé l’INASTI, créé conformément à l’arrêté royal n° 38 du 27 juillet 1967 et responsable de l’attribution des pensions d’indépendants et de l’information à leur sujet

Et

L’association sans but lucratif Sigedis, créée conformément à l’article 12 de l’arrêté royal du 12 juin 2006 portant exécution du Titre III, chapitre II, de la loi du 23 décembre 2005 relative au pacte entre générations et responsable de la gestion de la banque de données relative aux pensions complémentaires, ou DB2P en abrégé

Ci-après dénommés conjointement « Parties » et individuellement « Partie »,

Commentaire
Le Service fédéral des Pensions, l’Institut national d’assurances sociales pour travailleurs indépendants et Sigedis décident d’établir la présente Convention entre responsables conjoints du traitement, afin de leur permettre d’accomplir efficacement leurs missions et de garantir une prestation de services de pension intégrée.

Pour ce faire, ce traitement conjoint repose sur les principes suivants:

• les interdépendances (croissantes) entre les régimes et les piliers de pension;
• la prestation de services de pension unique telle que visée dans le texte de vision 2030 du 6 novembre 2020;
• le fait que le SFP, l’INASTI et Sigedis développent des modules interopérables en vue de soutenir ce qu’il convient de considérer comme un processus de pension unique;
• en raison des interdépendances entre le statut social de l’indépendant et les régimes de pension, les données de pension et de contact doivent également être utilisées dans le cadre des missions légales de l’INASTI et des caisses d’assurances sociales;
• en sa qualité d’institution de gestion du réseau secondaire des pensions complémentaires, Sigedis doit également utiliser les données de pension et de contact pour les communiquer aux membres de ce réseau secondaire en vue de leur traitement ultérieur.

Dans le cadre de ce traitement, les finalités et les moyens sont déterminés conjointement comme prévu par l’article 26 du RGPD, ce qui nous permet de conclure une convention de traitement conjoint.

Le SFP, l’INASTI et Sigedis réalisent l’échange mutuel de données à caractère personnel entre les trois institutions par le biais de modules mutuellement interopérables, en vue de soutenir un processus de pension unique, conformément aux dispositions reprises au point 18 et suivants de la délibération no 12/079 de septembre 2012.

Considérant que:

• les Parties souhaitent collaborer;
• des Données à caractère personnel seront traitées et partagées entre les Parties au cours de cette collaboration;
• les Parties déterminent conjointement les finalités et les moyens du ou des Traitements et sont, par conséquent, responsables conjoints du traitement au sens de l’article 26 du RGPD;
• dans le cadre d’un Traitement transparent des Données à caractère personnel, les Parties souhaitent conclure des accords sur le Traitement des Données à caractère personnel, les responsabilités respectives et, au minimum, sur les autres sujets repris à l’article 26 du RGPD.

Sont convenus de ce qui suit:

Les notions prenant une majuscule dans la présente Convention ont la signification prévue par le RGPD (notamment aux articles 4, 9, 26 et 35 du RGPD), ou bien la signification donnée dans le présent article si la définition ne figure pas dans le RGPD.

RGPD: le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du Traitement des Données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Collaborateur(s): les agents engagés par les Parties et autres personnes dont les activités relèvent de la responsabilité de la Partie concernée et qui sont engagées par cette Partie afin d’exécuter la Convention.

Convention: la présente Convention, Annexes comprises, telle que visée à l’article 26 du RGPD.

Données à caractère personnel: toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »).

Par écrit: au moyen d’une déclaration écrite ou par voie électronique, comme visé dans le Code civil.

Législation et réglementation applicables en matière de Traitement des Données à caractère personnel: la Législation et réglementation applicables et/ou (autres) traités, règlements, directives, décisions, lignes de conduite, instructions et/ou recommandations d’une autorité publique compétente en matière de Traitement des Données à caractère personnel, ainsi que les modifications et/ou ajouts futurs à ceux-ci, en ce compris les lois des États membres mettant en œuvre le RGPD et la loi des Télécommunications.

Contrat de sous-traitance: un contrat au sens de l’article 28 du RGPD, conclu entre un Sous-traitant et le Responsable (conjoint) du traitement, dans lequel des accords sont conclus concernant le Traitement.

Traitement: toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

2.1. Les Parties sont les Responsables conjoints du traitement pour le(s) Traitement(s) mentionné(s) à l’Annexe A.

2.2. Les dispositions de la Convention s’appliquent à tous les Traitements effectués dans le cadre de la réalisation de [l’examen/la collaboration/l’utilisation de l’application] mentionné(e) à l’Annexe A. Les Parties s’informent immédiatement si l’une des Parties a des raisons de croire qu’elle n’est plus en mesure de respecter la présente Convention.

2.3. Les Parties déclarent mutuellement qu’elles traiteront les Données à caractère personnel de manière loyale, soignée et transparente, conformément à la présente Convention, aux Annexes et à la Législation et réglementation applicables en matière de Traitement des Données à caractère personnel.

2.4. En vue de la mise en œuvre correcte de la présente Convention, les Responsables conjoints du traitement:

• collaboreront dans le cadre de l’exécution des obligations des Responsables conjoints du traitement pour le Traitement des Données à caractère personnel;
• traiteront les Données à caractère personnel qui leur sont confiées dans le cadre de la Collaboration, conformément à la présente Convention, au RGPD, et à toute autre législation générale applicable, et
• s’abstiendront de tout acte juridique ou matériel qui pourrait compromettre de quelque façon que ce soit la protection des Données à caractère personnel ou qui pourrait mettre en cause la responsabilité civile, administrative ou pénale des autres Responsables conjoints du traitement.

3.1. Les Parties traiteront exclusivement les Données à caractère personnel pour la finalité pour laquelle elles ont été collectées.

3.2. Par dérogation à l’article 3, § 1, le Traitement ultérieur est autorisé si sa finalité est compatible avec celle pour laquelle les Données à caractère personnel ont été collectées. Le fait que ce soit le cas dépend notamment: du lien éventuel entre les deux finalités, du contexte dans lequel les Données à caractère personnel ont été collectées, des attentes raisonnables de la Personne concernée, de la nature des données, des conséquences pour la Personne concernée du Traitement prévu et de la mesure dans laquelle des mesures de protection techniques et organisationnelles adéquates sont prévues. La Partie qui traite ultérieurement les données devient Responsable du traitement indépendant pour ce Traitement ultérieur. Les autres Parties ne sont pas responsables de ce Traitement ultérieur.

3.3. Pour respecter le principe de minimisation des données, les Parties ne devront pas collecter plus de Données à caractère personnel que ce qui est strictement nécessaire au regard de la finalité pour laquelle elles ont été collectées.

3.4. Si un Traitement, compte tenu de la nature, de la portée, du contexte et des finalités de celui-ci, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, les Parties effectueront une « analyse d’impact relative à la protection des données » (Data Protection Impact Assesment, DPIA) avant le Traitement et l’incluront dans une Annexe accompagnant la présente Convention.

3.5. Chaque Partie est chargée de conserver le(s) Traitement(s) dans un registre des activités de traitement.

3.6. Les obligations qui découlent de la présente Convention s’appliquent également aux personnes qui traitent des Données à caractère personnel sous l’autorité des Parties, comme leurs Collaborateurs et Sous-traitants engagés.

3.7. Chaque Partie est chargée de prendre des mesures techniques et organisationnelles appropriées en ce qui concerne les Données à caractère personnel qu’elle traite dans le cadre de [l’examen/la collaboration/l’utilisation de l’application]. Une spécification des mesures de sécurité techniques et organisationnelles prises par les Parties figure à l’Annexe B.

4.1. Les Parties limitent l’accès aux Données à caractère personnel aux Collaborateurs, Sous-traitants, Tiers et autres Destinataires des Données à caractère personnel qui en ont besoin pour exécuter les missions des Parties. L’Annexe A reprend les groupes y ayant accès.

4.2. Les Parties ne peuvent faire appel à d’autres personnes ou organisations dans le cadre du Traitement des Données à caractère personnel sans autorisation écrite préalable des autres Parties, sauf indication contraire dans l’Annexe A.

4.3. Les Parties s’engagent à échanger uniquement des informations dont elles sont la source authentique. Les demandes d’échange ou les échanges qui ne concernent pas des données dont la Partie est la source authentique sont communiquées à la partie concernée.

4.4. Si une Partie confie l’ensemble (ou des parties) du Traitement (ultérieur) des Données à caractère personnel concernées à un Sous-traitant, elle veillera à ce que le Sous-traitant traite les Données à caractère personnel de manière loyale et soignée, et conformément à la Législation et réglementation applicables en matière de Traitement des Données à caractère personnel, et veillera également à ce qu’un Contrat de sous-traitance approprié soit conclu.

4.5. Toutes les Parties ont à tout moment le droit de consulter le(s) Contrat(s) de sous-traitance tel(s) que visé(s) à l’article 4.3, sauf si les Parties conviennent par écrit que ce n’est pas le cas pour un Contrat de sous-traitance en particulier.

4.6. Les Parties peuvent faire traiter les Données à caractère personnel par d’autres personnes ou organisations en dehors de l’Espace économique européen conformément à ce qui précède, moyennant le respect de la Législation et réglementation applicables en matière de Traitement des Données à caractère personnel.

5.1. Toutes les Données à caractère personnel sont soumises à une obligation de secret à l’égard de Tiers.

5.2. Les Parties imposent également cette obligation de secret à toutes les personnes (morales) engagées par les Parties, dont les Collaborateurs, Sous-traitants, Tiers et autres Destinataires des Données à caractère personnel, mais pas exclusivement.

5.3. Cette obligation de secret ne s’applique pas pour autant que toutes les Parties ont donné la permission de fournir les informations à des Tiers ou si la fourniture des informations à des Tiers est logiquement indispensable compte tenu de l’exécution de la présente Convention, ou s’il existe une obligation légale ou une décision judiciaire sur la base de laquelle les informations doivent être fournies à un Tiers.

6.1. La responsabilité des Parties est régie par les prescriptions légales, en particulier par l’article 82 du RGPD relatif aux activités de traitement dont elles sont responsables, comme définies par rapport au rôle du responsable du traitement dans la collaboration et mentionnées à l’Annexe A.

6.2. Une Partie qui ne respecte pas une des obligations découlant de la Convention et/ou de la Législation et réglementation applicables en matière de Traitement des Données à caractère personnel, entraînant ainsi des poursuites par un tiers à l’égard des autres Parties pour des dommages, frais ou intérêts (c’est-à-dire des amendes et/ou mesures), préserve les autres Parties de la réclamation de ce tiers.

6.3. Une Partie qui traite ultérieurement les Données à caractère personnel conformément à l’article 3 du RGPD préserve les autres Parties de toutes les réclamations de tiers qui sont la conséquence du Traitement ultérieur.

7.1. Les Parties se transmettront mutuellement toutes les informations et se fourniront toute l’assistance nécessaire et/ou qui peut raisonnablement être attendue, afin qu’elles soient en mesure de respecter leurs obligations découlant du RGPD et de fournir la preuve de ce respect.

7.2. Les Parties prendront toutes les mesures possibles pour pouvoir répondre aux demandes d’une Personne concernée qui invoque les droits mentionnés ci-dessous:

• le droit d’accès tel que visé à l’article 15 du RGPD, et notamment le droit d’obtenir une copie des Données à caractère personnel faisant l’objet d’un traitement;
• le droit de rectification des Données à caractère personnel tel que visé à l’article 16 du RGPD;
• le droit à l’effacement (« droit à l’oubli ») tel que visé à l’article 17 du RGPD;
• le droit à la limitation du traitement tel que visé à l’article 18 du RGPD;
• le droit à la portabilité des Données à caractère personnel tel que visé à l’article 20 du RGPD;
• le droit d’opposition tel que visé à l’article 21 du RGPD;
• le droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage, tel que visé à l’article 22 du RGPD.

7.3. Les Parties se prêtent mutuellement assistance dans le cadre de l’exécution d’une des obligations découlant du RGPD.

7.4. Les Parties notifient aux autres Parties les questions, demandes ou demandes des personnes concernées et autres, des autorités publiques nationales ou européennes, y compris des autorités de contrôle et tribunaux pertinents, de même que les contrôles ou inspections effectués par de telles autorités en lien avec la gestion conjointe des Données à caractère personnel ; les informations sont transmises immédiatement et de telle manière que les autres Responsables conjoints du traitement puissent remplir leurs obligations sans retard inutile.

7.5. Si la Personne concernée s’adresse à l’une des Parties, les informations seront également transmises aux autres Parties. La Partie concernée répondra.

7.6. Compte tenu de la nature du traitement et des informations à leur disposition, les Parties effectueront une analyse d’impact relative à la protection des données (AIPD) telle que visée à l’article 35 et suivants du RGPD pour les Traitements dans le cadre desquels les Parties sont concernées, et en vue de parvenir à une évaluation et une gestion du risque complète et correcte.

8.1. En cas de (suspicion de) fuite de données, la Partie chez qui la violation (présumée) s’est produite est responsable de la notification aux autres Parties. Les Parties s’informeront immédiatement conformément à la procédure spécifiée sur le site Internet de l’APD.

8.2. Suite à la notification susvisée, les Parties discuteront en concertation des conséquences (éventuelles) de la Violation pour toutes les Parties.

8.3. Les Parties se tiendront mutuellement au courant des nouveaux développements concernant la Violation.

8.4. Les Parties sont et demeurent indépendamment responsables de la notification d’une Violation à l’Autorité de contrôle et/ou aux Personnes concernées lorsque la Violation s’est produite sous leur responsabilité. Les coûts éventuels engagés pour résoudre la Violation et pouvoir l’éviter à l’avenir sont à charge de la Partie chez laquelle la Violation s’est produite, sauf si d’autres accords ont été conclus par écrit d’un commun accord à ce sujet.

8.5. Chaque Partie est chargée de tenir un registre de fuites de données.

9.1. La présente Convention est conclue par la signature des Parties et est passée pour la durée du partage des Données à caractère personnel dans le cadre de la Collaboration. La présente Convention peut entre-temps uniquement être résiliée avec l’autorisation Par écrit de toutes les Parties.

9.2. Les Parties peuvent uniquement modifier la présente Convention après concertation et accord de toutes les Parties et s’efforceront de parvenir à une modification appropriée de la présente Convention lorsque des modifications dans la Législation et réglementation applicables y donneront lieu.

9.3. À l’issue de la présente Convention et/ou à l’expiration des délais de conservation (légaux), chaque Partie sera elle-même responsable de la destruction et/ou du renvoi des Données à caractère personnel en sa possession et/ou se trouvant chez un tiers engagé par cette Partie, dans le cadre de la présente Convention.

9.4. La résiliation ou la dissolution totale ou partielle de la présente Convention ne dispense pas les Parties des obligations en cours qui en découlent concernant l’obligation de secret, la responsabilité et la destruction des Données à caractère personnel, le droit applicable et le juge compétent.

La présente Convention de traitement conjoint sera publiée sur les sites Internet des institutions concernées.