Benoit DE SMET, Notaire à PERUWELZ

 

Benoit DE SMET

Notaire à PERUWELZ

CHAMBRE NATIONALE DES NOTAIRES

Code de conduite de la Chambre nationale des notaires du  28 janvier 2021 précisant certaines modalités d’application du Règlement général sur la protection des données (UE) 2016/679 (RGPD) pour les notaires

 

Abrogeant la directive adoptée par l’assemblée générale du 22 octobre 2015 relative à certaines mesures à adopter par les notaires dans le cadre des traitements de données à caractère personnel

Adopté par l’assemblée générale du  28 janvier 2021

Approuvé par l’Autorité de protection des données le 24 mai 2021

Etant un règlement de la Chambre nationale des notaires au sens de l’article 91 de la loi de Ventôse

Adopté en considération :

  • du considérant 98 du RGPD qui encourage les organismes représentant une catégorie de responsables du traitement à élaborer des codes de conduite, dans les limites du règlement, en tenant compte du risque que le traitement peut engendrer pour les droits et libertés des personnes physiques ;
  • des lignes directrices 1/2019 relatives aux codes de conduite et aux organismes de suivi au titre du règlement (UE) 2016/679 ;
  • des attributions de la Chambre nationale des notaires attribuées en vertu de l’article 91 de la loi du 25 ventôse XI contenant organisation du notariat :
    • de représenter, dans les limites de ses attributions, tous les membres des compagnies des notaires du Royaume à l’égard de tout pouvoir et institution ;
    • d’établir les règles générales de la déontologie et de définir un cadre règlementaire général pour l’exercice des compétences des compagnies des notaires, 
    • de prendre toutes mesures propres à faire face, dans les limites et conditions qu’elle détermine, aux obligations résultant de la responsabilité professionnelle des notaires, et
    • d’adresser aux chambres des notaires les recommandations nécessaires ou utiles au respect de la discipline ; 
  • du considérant 99 du RGPD et de la consultation préalable des responsables du traitement, le 3 décembre 2020, lors du Comité de direction de la Chambre nationale des notaires, composé de notaires représentant chaque Région du pays ;
  • du fait que le nombre de personnes potentiellement concernées – à savoir les citoyens impliqués par un dossier notarial  – rend inopportun, par manque de faisabilité, de procéder à la consultation préalable des personnes concernées conformément au considérant 99 du RGPD.
 

OBJECTIF

Le présent code de conduite a pour objectif d’aider l’ensemble des notaires de Belgique à effectuer les traitements de données à caractère personnel dans le cadre de leurs activités en conformité avec les exigences du RGPD. Les notions issues du RGPD qui y sont développées doivent s’interpréter conformément aux dispositions du RGPD, aux lignes directrices adoptées par le Comité européen de protection des données et, le cas échéant, aux recommandations et avis adoptés par l’Autorité de Protection des données compétente. Le code de conduite complète et précise les règles du RGPD en les adaptant aux particularités du secteur notarial sans jamais qu’il ne remplace et ne déroge aux dispositions du RGPD. 

Les règles contenues dans le présent code de conduite sont contraignantes pour les notaires. Le respect de celles-ci constitue pour eux une obligation et permet de fournir un indice de conformité aux règles applicables en matière de protection des données à caractère personnel. Cet indice est pris en compte dans le cadre du mécanisme de contrôle spécifié à l’article 5 du code de conduite. Le non-respect des règles du présent code de conduite est passible de sanctions, notamment disciplinaires. 

A cette fin, la Chambre nationale des notaires adopte le présent code de conduite qui précise les modalités d’application relatives :

  • à la désignation obligatoire d’un délégué à la protection des données (art. 1er) ;
  • aux mesures à adopter pour assurer la sécurité du traitement des données à caractère personnel (art. 2) ;
  • aux mesures à adopter par le notaire vis-à-vis de ses collaborateurs (art. 3) ;
  • au droit à l’information des citoyens (art. 4).
 

CHAMP D’APPLICATION

Tous les notaires de Belgique, responsables du traitement, sont soumis au présent code de conduite et ce, afin d’harmoniser les mesures de protection des données qu’ils prennent dans le cadre de l’accomplissement de leurs missions de notaire. 

Les personnes concernées par le présent code de conduite sont les citoyens dès lors que ceux-ci sont directement ou indirectement impliqués par un dossier notarial.

Le code de conduite concerne principalement mais de manière non exhaustive les traitements de données à caractère personnel suivants :

  • récolte des données à caractère personnel auprès des personnes concernées, auprès des sources authentiques, telles que le registre national ou la banque-carrefour de la sécurité sociale et auprès des administrations ;
  • insertion des données à caractère personnel dans les actes authentiques et dans les autres documents préparés par les notaires ;
  • conservation des données à caractère personnel dans les dossiers des notaires ;
  • transfert des données à caractère personnel vers les administrations autorisées dans le cadre de l’accomplissement des formalités administratives requises par la législation en vigueur. 

Les données à caractère personnel traitées sont soumises au secret professionnel ou au devoir de discrétion conformément aux règles respectives du Code pénal et du Code de déontologie de la Chambre nationale des notaires  et ressortent généralement de l’une ou de plusieurs des catégories suivantes :

  • données d’identification ;
  • données relatives à la capacité des personnes physiques ;
  • données fiscales ;
  • données financières ;
  • données familiales ;
  • données sociales.
 

Art. 1er. Délégué à la protection des données

§ 1er. Agissant en tant qu’autorité publique au sens du RGPD pour les traitements de données à caractère personnel qu’il effectue pour l’accomplissement de ses activités et en tant que personne juridique autorisée à accéder aux sources authentiques, le notaire désigne un délégué à la protection des données qui dispose, eu égard aux spécificités du secteur, des connaissances spécialisées du droit et des pratiques en matière de protection des données.

§ 2. Le notaire prend conseil auprès du délégué à la protection des données qu’il a désigné afin de s’assurer que les modalités d’application précisées dans le code de conduite sont respectées. 

Commentaire

Le présent article est pris en application de la section 4 (Délégué à la protection des données) du chapitre IV (Responsable du traitement et sous-traitant) du RGPD.

 

Art. 2. Mesures à adopter par le notaire pour assurer la sécurité des traitements de données à caractère personnel

§1er. Le notaire prend les mesures de sécurité suivantes :

  • il identifie les supports contenant les données à caractère personnel tels que les serveurs internes et externes et les systèmes Cloud ; 
  • il identifie les locaux où sont placés les supports de données à caractère personnel et il limite l’accès à ceux-ci aux seules personnes autorisées ;
  • il prévoit la mise en place d’un système de climatisation et de ventilation dans la salle des serveurs, une armoire sécurisée (rack) et une alimentation électrique de secours ;
  • il prévoit la destruction sécurisée des documents papiers contenant des données à caractère personnel en utilisant une déchiqueteuse ou en faisant appel à une société spécialisée dans la destruction de documents ;
  • il prévoit la destruction sécurisée du matériel informatique en demandant un certificat de destruction à la société en charge de celle-ci ;
  • il définit la manière dont les  collaborateurs internes de l’étude ont été informés de leurs obligations en matière de confidentialité – telles que découlant des règles du secret professionnel et du devoir de discrétion prévues respectivement par le Code pénal et par le Code de déontologie de la Chambre nationale des notaires – et de protection des données : par le biais du règlement de travail par exemple ;
  • il définit les mesures de sécurité physique et environnementale adoptées par l’étude telles que, de manière non exhaustive, l’accès avec badge ou avec des clés sécurisées, l’installation de caméras, l’existence d’une alarme intrusion et/ou incendie, la présence d’extincteurs et de détecteurs de fumée, la séparation effective entre les bureaux et les locaux destinés à recevoir les personnes concernées ;
  • il prévoit la présence d’un pare-feu et d’anti-virus ainsi que la gestion des mises à jour de sécurité sur les postes, serveurs et équipements ;
  • il définit les règles logiques de ses accès  et des accès de ses collaborateurs aux données des sources authentiques  via la carte eID ou via la carte eNot, et la manière dont ces accès sont tracés ;
  • il prévoit le contrôle régulier des backups par son fournisseur informatique afin d’éviter la perte irréparable de données en cas de catastrophe totale ou partielle. 

§ 2. Ces mesures doivent figurer dans une politique écrite de sécurité de l’information connue et accessible du/par le personnel de l’étude notariale ainsi que des éventuels sous-traitants de cette étude. Le notaire utilise, le cas échéant, le modèle de politique de sécurité de l’information disponible pour tous les notaires sur le portail sécurisé de l’eNotariat.

§ 3. Lorsqu’un notaire fait appel à un sous-traitant de données à caractère personnel, il s’assure que celui-ci présente des garanties suffisantes pour assurer une protection des données adéquate au secteur et conclut avec celui-ci un contrat qui répond aux exigences du RGPD notamment en ce qu’il décrit les garanties de protection des données. Afin de répondre à ces obligations, le notaire suit la procédure décrite dans le présent paragraphe et utilise, le cas échéant, le modèle de contrat de sous-traitance de données à caractère personnel disponible pour tous les notaires sur le portail sécurisé de l’eNotariat. 

Le notaire est conscient que les fournisseurs listés ci-après sont des sous-traitants au sens du RGPD :

  • le fournisseur du logiciel de gestion des dossiers ;
  • le fournisseur du logiciel de gestion de la comptabilité ;
  • le fournisseur du logiciel de « business intelligence » destiné à améliorer l’organisation et la gestion de l’étude ;
  • le fournisseur du backup ;
  • le gestionnaire du parc informatique ;

Dès lors, le notaire s’assure qu’il soit précisé dans le contrat ou dans un autre écrit en fonction du service fourni :

  • que les données à caractère personnel backupées sont protégées par la technique du chiffrement ou de l’encryptage ;
  • le ou les lieu(x) de conservation exacte(s) des données à caractère personnel et leur support ;
  • la manière dont les supports de données à caractère personnel sont sécurisés : salle des serveurs climatisée et ventilée, accès limité aux seules personnes autorisées, armoire sécurisée (rack) et alimentation électrique de secours ;
  • la présence d’un pare-feu et d’anti-virus ainsi que la gestion des mises à jour de sécurité sur les serveurs, postes de travail et équipements ;
  • la destruction ou le transfert sécurisé des données à caractère personnel à la fin du contrat ; 
  • que l’accès à distance au poste d’un utilisateur, dans le cadre de la fourniture d’un service de support, nécessite son accord préalable ;
  • que l’accès à distance au réseau de l’étude notariale peut être conditionné à l’accord préalable du responsable du traitement (le notaire) ou limité à la fourniture de certains services de support particuliers identifiés dans le contrat (p. ex. mise à jour d’un logiciel, maintenance) ;
  • que l’accès au réseau sur place, en l’étude notariale, ne peut être effectué qu’en présence d’un membre de l’étude (notaire ou collaborateur).

Commentaire

Le présent article est pris en application de l’article 28 (Sous-traitant) et de l’article 32 (Sécurité du traitement) du chapitre IV (Responsable du Traitement et sous-traitant) du RGPD.

 

Art. 3. Mesures à adopter par le notaire vis-à-vis de ses collaborateurs

§ 1er. Conformément aux besoins du secteur, le notaire donne à ses collaborateurs internes et externes des instructions relatives à la protection des données à caractère personnel et à l’usage du matériel informatique mis à leur disposition. Le notaire utilise, le cas échéant, les instructions du modèle de règlement de travail disponible pour tous les notaires sur le portail sécurisé de l’eNotariat. 

La forme dans laquelle les instructions sont imposées aux collaborateurs est laissée au libre choix du notaire. Les instructions peuvent être reprises dans le règlement de travail, dans ses annexes ou dans un document distinct soumis à la signature des collaborateurs ou encore en annexe d’un contrat de sous-traitance avec les collaborateurs externes si les instructions leur sont applicables. 

§ 2. Les instructions visées au § 1er  prévoient au moins :

  • que les accès aux données ne sont autorisés que dans les circonstances où cela s’avère indispensable à l’exercice des missions professionnelles du collaborateur ;
  • que les données ne peuvent être utilisées, copiées, reproduites sous aucune forme et ne peuvent être communiquées à autrui que lorsque cela s’avère strictement nécessaire à la réalisation des missions professionnelles du collaborateur ;
  • qu’en cas de doute, des précisions supplémentaires sont demandées auprès du notaire ;
  • la confidentialité des données à caractère personnel traitées et notamment du numéro de Registre national, des données du Registre national, de la banque-carrefour de la sécurité sociale, du cadastre, des registres gérés par les institutions notariales et de toutes autres sources officielles de données à caractère personnel régionales ou fédérales ;
  • que tout accès vers les sources authentiques est tracé et doit pouvoir être justifié par le collaborateur, notamment auprès de la personne concernée,  pour la bonne gestion d’un dossier de l’étude ;
  • qu’aucune donnée des sources officielles n’est conservée en local (sur le disque dur de l’ordinateur) sauf si cela s’avère strictement nécessaire à l’accomplissement de la mission professionnelle ;
  • qu’aucune donnée des sources officielles n’est enregistrée sur un support mobile (clé USB, PC portable, tablette, etc.), sauf si cela s’avère strictement nécessaire à l’accomplissement de la mission  professionnelle ; 
  • les modalités d’utilisation des cartes à puce personnelles (carte eID et carte eNot):
    • interdiction d’usage par un tiers ;
    • code personnel ;
    • information obligatoire et immédiate du notaire en cas de perte ;
    • conservation dans un endroit sécurisé ;
  • les règles d’utilisation de la messagerie électronique et de l’internet.

Commentaire

Le présent article est pris en application de l’article 29 (Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant) du chapitre IV (Responsable du Traitement et sous-traitant) du RGPD.

 

Art. 4. Droit à l’information

§ 1er. Le notaire fournit aux  personnes concernées par les traitements de données à caractère personnel un accès facile à toutes les informations nécessaires pour garantir un traitement loyal et transparent et ce, au plus tard au moment où les données à caractère personnel sont obtenues.

§ 2. L’information est fournie de manière proactive, par la remise d’une politique de protection des données à caractère personnel en mains propres à l’occasion de l’ouverture d’un dossier et/ou par voie électronique, par exemple via un lien hypertexte, visible pour la personne concernée, repris dans la signature de l’e-mail du notaire et de ses collaborateurs.  Le notaire utilise, le cas échéant, le modèle de politique de protection des données à caractère personnel disponible pour tous les notaires sur le portail sécurisé de l’eNotariat. 

En toute hypothèse, la personne concernée doit toujours pouvoir demander les informations relatives aux traitements de ses données à caractère personnel auprès du notaire.

§3. La publication d’une politique de protection des données à caractère personnel sur le site internet du notaire, du fait du grand nombre de personnes concernées, est une mesure de protection des données complémentaire jugée appropriée, notamment à l’égard des personnes concernées par les dossiers clôturés de l’étude. Le recours à une illustration ou à un support visuel complète également utilement le ou le(s) mode(s) de fourniture de l’information choisi par le notaire. 

Commentaire

Le présent article est pris en application des sections 1 (Transparence et modalités) et 2 (Information et accès aux données à caractère personnel)  du chapitre III (Droits de la personne concernée) du RGPD.

 

Art. 5. Mécanisme de contrôle

§ 1er. Le code de conduite est soumis au contrôle des chambres des notaires dans le cadre du contrôle de qualité trisannuel effectué par ces dernières dans les études.

Les chambres des notaires sont les organes disciplinaires de la profession notariale.

Le contrôle de qualité est organisé conformément au critère de qualité total visé à l’article 6 du Code de déontologie de la Chambre nationale des notaires. 

Le contrôle de qualité est organisé par un règlement de la Chambre nationale des notaires et porte sur la bonne gestion des dossiers des études, le respect des règles relatives à la lutte contre le blanchiment de capitaux et le respect des mesures à prendre en matière de protection des données à caractère personnel. Lorsque le contrôle de qualité laisse apparaître que le notaire ne respecte pas les obligations du présent code de conduite, les chambres des notaires peuvent prendre des mesures de support et d’encadrement et des sanctions à l’égard du notaire. Une mesure de support et d’encadrement consiste à laisser au notaire un temps de mise en conformité et à prévoir un contrôle supplémentaire, à ses frais. Les sanctions sont prises dans un second temps. Il s’agit des sanctions disciplinaires prévues par la loi de ventôse. 

Le contrôle prévu par le présent code de conduite ne remplace celui qui peut être réalisé par l’Autorité de protection des données.

§ 2. Le notaire peut remettre au contrôleur de la chambre des notaires les rapports réalisés par son délégué à la protection des données dans le cadre de sa mission légale de contrôle afin de démontrer le respect des règles spécifiées par le code de conduite. La chambre des notaires en tient compte dans son évaluation.

 

Article 6. Procédure de modification

§1er. Toute modification du code de conduite est soumise à la consultation des responsables du traitement lors du Comité de direction de la Chambre nationale des notaires et ensuite à l’approbation de l’assemblée générale et de l’Autorité de protection des données.

 
 

Data Protection Officer

L’étude a désigné un data protection officer pour assurer la protection des données à caractère personnel qu’elle traite. Toute demande relative à la protection des données à caractère personnel de l’étude ainsi que toute demande relative à l’exercice des droits des personnes concernées peuvent lui être adressée à l’adresse privacy@belnot.be .