Le 5 septembre 2018, la loi du 30 juillet 2018 «relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel» a été publiée au Moniteur belge. Le 10 septembre 2018 est parue la loi du 5 septembre 2018 instituant le comité de sécurité de l'information. Ces deux lois encadrent la mise en œuvre du Règlement général sur la protection des données («RGPD»).


Le 5 septembre 2018, la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel («loi-cadre») a été publiée. La loi-cadre abroge définitivement la loi sur la vie privée du 8 décembre 1992 et poursuit la mise en œuvre de certains aspects du RGPD. La loi-cadre prévoit d'abord certaines dispositions générales en exécution du RGPD. L'impact de ces dispositions pour les entreprises est plutôt limité. Quelques nouveautés sont :

  • l'âge des mineurs pour valablement donner leur consentement en ce qui concerne les services de la société de l’information est fixé à 13 ans (article 7) ;
  • l'obligation d'établir une liste avec les noms et les qualités des personnes qui traitent des données concernant la santé ou des données pénales (articles 8-10) ; et
  • l'obligation de conclure un protocole quand une autorité publique fédérale transfert des données à caractère personnel à toute autre autorité publique ou organisation privée (article 20).

Ensuite, la loi-cadre contient des dispositions spécifiques aux services de police, de renseignements et de sécurité (titres 2 et 3), et au traitement de données dans le cadre de, entre autres, la recherche scientifique (titre 4). Enfin, la loi-cadre règle également les voies de recours (titre 5) et les sanctions (titre 6). La loi-cadre est entrée en vigueur le 5 septembre 2018, à l'exception de l'obligation de protocole prévue à l'article 20 pour laquelle s'applique une période de transition de 6 mois.

De plus, le 10 septembre 2018 a également été publiée dans le Moniteur belge la loi du 5 septembre 2018 instituant le comité de sécurité de l'information. Cette loi prévoit la création d'un comité de sécurité de l'information («CSI»), un organe indépendant qui doit compenser en partie la suppression des Comités sectoriels de l'ancienne Commission de la protection de la vie privée par la loi du 3 décembre 2017 portant création de l'Autorité de protection des données. Le CSI est constitué d'une chambre sécurité sociale et santé et d'une chambre autorité fédérale (article 2, §2). Il fournira des avis sur certaines communications de données à caractère personnel au sein de l'autorité fédérale, sur la transmission de données via la Banque-carrefour de la sécurité sociale et sur la transmission de données concernant la santé. Dans le cadre de ces avis, le CSI examinera si la communication est conforme aux principes de base du RGPD. Cette loi est entrée en vigueur le 10 septembre 2018.