La présente circulaire a pour objet de communiquer des informations complémentaires aux directives définies par la C.O. 1275 du 12 janvier 1994.
Il s'agit à la fois de commenter les nouvelles obligations imposées aux caisses suite à l'entrée en vigueur récente de certaines dispositions de la loi du 8 décembre 1992 et de repréciser certains points de la C.O. 1275 précitée.
1. Nouvelles obligations concernant l'établissement d'un état descriptif : article 16, § 1er, 1° de la loi du 8 décembre 1992
La loi prévoit que le "maître du fichier" c'est-à-dire chaque caisse, doit établir et conserver un état descriptif par traitement informatisé, qui précise
- la nature des données traitées ;
- le but du traitement ;
- les rapprochements et interconnexions ;
- les consultations (aspect interne) ;
- les personnes ou les catégories de personnes à qui les données à caractère personnel traitées sont transmises (aspect externe).
Cet état descriptif qui repose essentiellement sur les analyses fonctionnelle et technique des moyens informatiques mis en oeuvre, doit être actualisé en cas de modifications ultérieures apportées à ceux-ci.
L'attention des caisses est attirée sur le fait que les opérations relatives à l' établissement du droit aux prestations familiales et au paiement de celles-ci répondent à une finalité d'application de la loi et constituent un seul traitement.
Il est de la responsabilité individuelle des caisses de spécifier par ailleurs les autres traitements automatisés auxquels elles ont recours et d'établir un état descriptif correspondant (gestion du personnel notamment).
Il convient enfin de noter que les différents traitements en cause devront à terme, c'est-à-dire lors de l'entrée en vigueur de l'article 17 de la loi, être déclarés auprès de la Commission de protection de la vie privée. Il est bien évident que toute divergence entre l'état et la future déclaration sera à proscrire.
L'obligation d'établir et de conserver un état descriptif pour chaque traitement informatisé est sanctionnée par une disposition pénale (art. 38 L.P.V.P.).
2. Précision concernant l'alinéa 3 de l'avis établi en vertu de l'article 4 de la loi du 8 décembre 1992 (point 1.1. de la C.O. 1275)
2.1. Bien que les caisses intéressées aient été individuellement contactées par l'Office à ce propos, il est rappelé que les caisses qui font appel à un gestionnaire de traitement, c'est-à-dire à une personne physique ou morale ou à une association de fait à qui sont confiées l'organisation et la mise en oeuvre du traitement, sont tenues de mentionner les coordonnées de celui-ci dans l'avis précédemment communiqué.
Les assurés sociaux seront ainsi informés que ces données seront traitées par le gestionnaire du traitement, sous la responsabilité de la caisse, maître du fichier.
2.2. Il y a également lieu de noter la nouvelle adresse de la Commission de la protection de la vie privée : rue de la Régence 61, 1000 BRUXELLES. Cette nouvelle adresse sera à mentionner sur les avis adressés aux assurés sociaux après épuisement des stocks de formules actuelles.
2.3. En ce qui concerne les modèles AA et E, une formulation simplifiée de l'avis a été adoptée en raison du fait que le registre des traitements n'est pas encore opérationnel.
3. Conditions de recevabilité des demandes d'accès aux données et de rectification/suppression/interdiction de celles-ci.
3.1. Concernant tout d'abord les demandes d'accès aux données, il convient d'ajouter aux précisions apportées par la C.O. 1275, que la loi relative à la protection de la vie privée (article 10, § 2) a prévu un mécanisme régulateur, en ce sens qu'il ne doit être donné suite à une telle demande qu'à l'expiration d'un délai d'un an, à compter de la date d'une demande antérieure d'une même personne à laquelle il a été répondu.
3.2. Qu'il s'agisse de demandes d'accès ou de requêtes en rectification, suppression ou interdiction d'utilisation des données, il est évident qu'une personne donnée ne pourra obtenir d'information ou agir sur les données détenues par la caisse, que pour autant qu'elle ait qualité pour ce faire.
3.2.2. Lorsqu'un assuré social souhaite exercer les droits qui lui sont reconnus par la loi à l'égard des données qui le concernent en propre, doit s'identifier clairement.
La loi exige que les demandes soient signées, mais n'a pas prévu de mécanisme d'authentification de ces signatures (par exemple légalisation par le Bourgmestre).
De ce fait les éléments d'identification produits par le demandeur doivent correspondre aux données par ailleurs possédées par les caisses. Ces différents éléments sont repris dans les formules établies par l'Office, jointes en annexe.
3.2.3. Lorsqu'une personne agit en tant que représentant de l'assuré social (attributaire/allocataire/enfant bénéficiaire) parce que ce dernier n'a pas la capacité juridique requise, les éléments d'identification doivent être fournis pour le représentant légal et la personne représentée.
Sauf dans l'hypothèse d'un parent agissant pour le compte de l'enfant bénéficiaire et dont la composition du ménage établit le lien de filiation, la qualité du représentant doit être établie par la communication d'une pièce officielle.
3.3. Il faut considérer que les délais laissés aux caisses pour répondre aux demandes des assurés sociaux (45 jours s'il s'agit d'une demande d'accès/1 mois en cas de demande de rectification ou suppression) sont suspendus lorsque les éléments d'identification prévus ne sont pas réunis.
Une même suspension de l'écoulement du délai est de mise tant que le paiement des 100 BEF prévu, n'a pas été réalisé (demande d'accès).
4. Communication à des tiers des rectifications ou suppressions de données réalisées (art. 12, § 3, Loi du 8 décembre 1992)
L'article 12, § 3 de la loi relative à la protection de la vie privée prévoit que le maître de fichier, soit la caisse, communique dans le mois à compter de la demande introduite par l'assuré social les rectifications ou suppressions de données effectuées aux personnes auxquelles les données inexactes, incomplètes ou non pertinentes ont été communiquées, pour autant qu'il connaisse encore les destinataires de cette information.
La Caisse conservera l'identité des destinataires de cette information pendant une période d'un an.
Les Caisses veilleront dès lors au respect de ces deux obligations.
Les Caisses trouveront en annexe des formules permettant aux assurés sociaux d'exercer les droits qui leur sont reconnus par la loi et s'inspirant de celles établies par la Banque-Carrefour de la sécurité sociale.
L'attention des Caisses est toutefois attirée sur le fait que d'une part, la rubrique 3 de la formule de demande d'accès concerne une modalité de paiement de la redevance propre aux seuls services publics et que d'autre part, l'Office mettra au point une nouvelle présentation de ces formules, calquée sur celle utilisée pour les nouveaux modèles AA et E.
