Accès direct à la Banque de données Nationale Générale
Les agents des services de renseignement et de sécurité ont un accès direct à l’ensemble des informations/données à caractères personnel de la Banque de données Nationale Générale (B.N.G.) dans l’exercice de leurs missions.
Si cet accès direct s’effectue sur la base de critères préétablis, il doit faire l’objet d’une décision écrite motivée du dirigeant du service de renseignement et de sécurité concerné.
S’il existe une urgence, le dirigeant du service peut décider verbalement de procéder à l’accès sur la base de critères préétablis. Dans ce cas, la décision verbale doit être confirmée par écrit le premier jour ouvrable suivant la décision verbale.
La décision du dirigeant du service ainsi que sa motivation sont transmises au Comité permanent de contrôle des services de renseignement et de sécurité (Comité permanent R) dans les meilleurs délais.
Si la décision porte sur un ensemble de données relatives à une enquête de renseignement spécifique, une liste des accès ponctuels est communiquée une fois par mois au Comité permanent R.
Le dirigeant de chaque service de renseignement et de sécurité doit désigner les agents autorisés à accéder aux données/informations dans la B.N.G., à condition que ces données soient utiles dans l’exercice de leur fonction/mission. Une liste nominative des agents est tenue à la disposition du Comité permanent R.
Les agents autorisés à accéder aux données/informations doivent s’engager, par écrit, à veiller à la sécurité/confidentialité des données auxquelles ils ont accès. Ils sont soumis au secret professionnel.
Dans chaque service de renseignement et de sécurité, le conseiller en sécurité de l’information ainsi que le délégué à la protection des données sont chargés :
• | d'inclure dans la politique de sécurité un volet relatif aux règles de sécurité à appliquer par les agents en matière d'accès, aux règles applicables aux communications, aux mesures à prendre en interne afin de pouvoir détecter et mettre fin à un incident de sécurité ou une violation de données ; |
• | des contacts avec le Comité permanent R en ce qui concerne les traitements des données de la B.N.G. |
Les services de renseignement et de sécurité doivent veiller à ce que les stations de travail offrant un accès direct à la B.N.G. soient correctement sécurisées.
Lorsqu’ils consultent les données et informations dans la B.N.G., les agents doivent enregistrer la raison de leur consultation et ce, en vue d’un éventuel contrôle ultérieur. Cette motivation doit être conforme aux missions légales du service de renseignement et de sécurité concerné.
Dans le cadre strict de leurs missions légales, les services de renseignement et de sécurité peuvent communiquer les données et informations de la B.N.G. à une autorité publique, ils doivent les avoir préalablement contextualisées.
Journalisation des consultations
Les consultations réalisées dans la B.N.G. par les services de renseignement et de sécurité font l’objet d’une journalisation.
Les données de la journalisation sont conservées 30 ans à partir du traitement réalisé.
Les données de journalisation qui permettent l’identification des agents des services de renseignement et de sécurité qui consultent la B.N.G., ainsi que la motivation de leur consultation, ne sont enregistrées/conservées/accessibles que dans la journalisation effectuée par le service de renseignement et de sécurité concerné.
Incident présentant un risque pour les données
Si un incident en matière de sécurité de l’information ou de violation de données à caractère personnel a lieu, le service de renseignement et de sécurité concerné prend les mesures nécessaires dans les meilleurs délais afin d’en limiter les conséquences.
Si l’incident :
• | présente un risque pour l’exécution des missions légales des services de police ; ou |
• | requiert l’intervention de la direction qui gère les accès à la B.N.G. ; ou |
• | a un impact sur l’intégrité/la fiabilité/la disponibilité de la B.N.G. |
Le service de renseignement et de sécurité concerné en informe la direction qui gère les accès à la B.N.G. ainsi que le délégué à la protection des données désigné pour la B.N.G.
Entrée en vigueur
Les règles entrent en vigueur le 6 janvier 2024.