Recommandations législatives
Le Service d’Autorisation et d’Avis rédige des recommandations d’initiative sur la meilleure manière d’appliquer certaines règles de protection des données à caractère personnel, mais prononce également des recommandations législatives de portée générale, incluses dans ses avis législatifs.
Avis n° 66/2022 du 1er avril 2022
- Recommandation invitant au législateur à tenir un débat parlementaire approfondi sur les implications en matière du droit au respect de la vie privée et du droit à la liberté d’expression découlant des nouvelles obligations d’identification de tous les utilisateurs de communications électroniques, lesquelles aboutiraient à rendre impossible – ou en tout cas très difficile – toute correspondance anonyme sur Internet (§§ 23-25 ; § 41)
- Recommandation invitant le législateur à prévoir la mise en place d’une solution technologique qui garantisse que les données d’identité du titulaire d’une carte d’identité électronique soient extraites en vue de leur insertion directe dans la base de données que les opérateurs doivent établir en exécution du nouvel article 127 de la loi télécom, en lieu et place d’une prise de copie du document d’identité (§ 57)
- Recommandation invitant le législateur à être extrêmement prudent avant de maintenir (et d’étendre) une présomption réfragable selon laquelle « la personne identifiée est présumée utiliser elle-même le service de communications électroniques », étant donné que l’identification de l’abonné à un service de communications électroniques ne permet pas nécessairement d’identifier l’utilisateur effectif de ce service et qu’il est particulièrement difficile de rapporter une preuve négative (§ 78).
Avis n° 89/2022 du 13 mai 2022
- Recommandation invitant le législateur fédéral à établir un cadre légal complet s’il a effectivement l’intention que la base de données des baux enregistrés constitue une source authentique qui puisse être consultée par plusieurs autorités publiques pour diverses finalités à déterminer (§ 10-18)
- Recommandation invitant le législateur à prévoir, à des fins de transparence, que (i) les demandes d’accès à la base de données des baux enregistrés fassent l’objet de statistiques sur une base annuelle en ce qui concerne le nombre de demandes d’accès, le nombre d’accès accordés et refusés et l’impact de ces accès (l’accès a-t-il permis de constater une infraction à la règlementation des loyers ou pas ?) et que (ii) ces statistiques soient publiées (§ 23)
Avis n° 91/2022 du 13 mai 2022
- Recommandation d’insérer dans la loi du 8 juillet 2018 portant organisation d'un point de contact central des comptes et contrats financiers et portant extension de l'accès au fichier central des avis de saisie, de délégation, de cession, de règlement collectif de dettes et de protêt une disposition qui prévoit que le Point de contact central établit des statistiques annuelles sur le nombre de demande d’accès, les autorités publiques à l’origine de ces demandes, le nombre d’accès accordé et refusé, le nombre de personnes concernées et l’impact de cet accès et que ces statistiques seront publiées à des fins de transparence (§ 19).
Avis n° 98/2022 du 13 mai 2022
- Recommandation formulée dans le contexte où les institutions européennes « encouragent » régulièrement les Etats membres à mettre en œuvre des programmes de digitalisation de la justice pour des objectifs variés allant de l’accessibilité et l’efficacité à l’établissement de « European justice data spaces », en passant le respect du principe « only once ». L’Autorité estime que ces finalités ne sont pas problématiques en soi, mais qu’elles doivent néanmoins nécessairement être identifiées. L’Autorité estime en effet qu’il convient de faire preuve d’une transparence au moins aussi étendue lorsque les normes adoptées mettent en œuvre une « stratégie européenne » que lors de la transposition d’une directive dans une matière dans laquelle l’Union dispose d’une compétence normative en vertu du Traité sur le fonctionnement de l’Union européenne (TFUE). (§17)
Avis n° 141/2022 du 1er juillet 2022
- Recommandation rappelant que l’ordonnance organique de l’Institut bruxellois de statistique et d’analyse doit en principe constituer la base de licéité des traitements d’évaluation visés et comporter des garanties pour les droits et libertés des personnes concernées dans ce cadre. En matière de statistiques publiques, le considérant 162 du RGPD met en évidence qu’en matière de traitement de données à caractère personnel à des fins statistiques, le droit de l’Union ou le droit des Etats membres devrait notamment déterminer le contenu statistique en plus du contrôle de l’accès aux données et des dispositions particulières pour le traitement de données à caractère personnel à des fins statistiques ainsi que des mesures appropriées pour la sauvegarde des droits et libertés de la personne concernée et pour préserver le secret statistique. A ce sujet et à toutes fins utiles, l’Autorité renvoie à son avis récent en la matière rendu à propos de l’homologue fédéral de l’institut bruxellois de statistique et d’analyse, à savoir son avis 127/2021. Si le cadre normatif de l’institut bruxellois de statistique ne prévoit pas les garanties requises en la matière explicitées dans l’avis précité, elles devront donc être prévues par le projet. (§31)
Avis n° 165/2022 du 19 juillet 2022
- Recommandation d’adapter le décret du 12 avril 2001 relatif à l’organisation du marché régional de l’électricité afin de mentionner la fréquence de la collecte des données de prélèvement et d’injection (respect du principe de prévisibilité et légalité eu égard à l’ingérence importante engendrée par un tel traitement de données à caractère personnel et ce, afin de prévenir les risques pour les droits et libertés des personnes concernées) (§ 28)
Avis n° 174/2022 du 9 septembre 2022
- Recommandation d’inscrire la finalité de la communication des données à caractère personnel par les gestionnaires de réseaux et la CWaPE à l’Administration (prévue à l’article 24 de l’avant-projet) dans le décret du 12 avril 2001 relatif à l’organisation du marché régional de l’électricité (§ 42)
Avis n° 208/2022 du 9 septembre 2022:
- Recommandation de prévoir dans le décret du 19 décembre 2002 relatif à l’organisation du marché régional du gaz un encadrement légal adéquat pour le déploiement des compteurs de gaz intelligents (§ 17)
Avis n° 232/2022 du 29 septembre 2022
- Recommandation rappelant qu’en principe, l’ordonnance organique de l’Institut bruxellois de statistique et d’analyse devrait constituer la base de licéité des traitements visés et comporter des garanties pour les droits et libertés des personnes concernées dans ce cadre. En matière de statistiques publiques, le considérant 162 du RGPD met en évidence qu’en matière de traitement de données à caractère personnel à des fins statistiques, le droit de l’Union ou le droit des Etats membres devrait notamment déterminer le contenu statistique en plus du contrôle de l’accès aux données et des dispositions particulières pour le traitement de données à caractère personnel à des fins statistiques ainsi que des mesures appropriées pour la sauvegarde des droits et libertés de la personne concernée et pour préserver le secret statistique. A ce sujet et à toutes fins utiles, l’Autorité renvoie à son avis récent en la matière rendu à propos l’homologue fédéral de l’institut bruxellois de statistique et d’analyse, à savoir son avis 127/2021. Si le cadre normatif de l’institut bruxellois de statistique ne prévoit pas les garanties requises en la matière explicitées dans l’avis précité, elles devront être prévues par le projet. (§41)
Avis n° 235/2022 du 12 octobre 2022
- Recommandation invitant le législateur fédéral à modifier le Code judiciaire afin d’y inscrire la ou les finalités du fichier central des avis de saisie, de délégation, de cession, de règlement collectif de dettes et de protêt (§ 8 à 14)
Avis n° 256/2022 du 1er décembre 2022
- Recommandation de modification de la loi du 8 juillet 2018 portant organisation d’un point de contact central des comptes et contrats financiers pour la rendre conforme au principe de légalité consacré à l’article 22 de la Constitution (prévisibilité, proportionnalité et nécessité) pour y intégrer la liste exhaustive des finalités pour lesquelles le points de contact central peut être utilisé (paragraphes 13 à 15)
Avis n° 268/2022 du 21 décembre 2022
- Recommandation invitant le législateur à préciser l’étendue de l’habilitation conférée au Comité de sécurité de l’information (CSI) de la manière suivante : dans le cadre de ses délibérations, le CSI contrôle préalablement à la communication de données envisagée que celle-ci est conforme au cadre normatif en vigueur. Ce faisant, il ne peut déterminer aucune modalité essentielle de la communication de données, mais il est néanmoins habilité, si cela s’avère nécessaire, à fixer des modalités exclusivement techniques de la communication de données, pour autant que la détermination de ces modalités techniques emporte uniquement l’exercice d’une compétence discrétionnaire restreinte.
Avis n° 18/2023 du 20 janvier 2023
- Recommandation invitant le législateur soit à abandonner l’idée d’organiser un flux de données d’identification des personnes qui font l’objet d’une interdiction temporaire de lieu qui vise un domaine récréatif, soit à créer – sur le modèle des « interdictions de stade » prévue dans la loi football – un cadre légal spécifique qui, dans le respect des exigences de prévisibilité, de nécessité et de proportionnalité, (1) détermine à quelles conditions, et dans quelles circonstances, une personne peut se voir interdire l’accès aux « domaines récréatifs », et (2) impose aux exploitants de ces domaines récréatifs de participer à contrôler le respect de cette « interdiction de domaines récréatifs » ( § 10-29)
- Recommandation invitant le législateur à encadrer la manière dont le contrôle d’une interdiction de domaines récréatifs doit être réalisée. À ce propos, l’Autorité identifie deux modèles de contrôle : la mise en place « watchlists » (reprenant le nom et la photo des personnes qui font l’objet de l’interdiction de domaines récréatifs) permettant aux exploitant de ne contrôler que les personnes qui font effectivement l’objet d’une telle interdiction ou un contrôle systématique comparant, de manière automatisée, les informations reprises sur la carte d’identité avec une liste des hash des numéro RN, numéro de carte d’identité et nom des personnes faisant l’objet d’une interdiction de domaines récréatifs. L’Autorité a mis en évidence les avantages et les inconvénients de ces deux modèles, tant au regard de leur effectivité et des droits fondamentaux des personnes concernées, y compris leur droit à la protection des données (§ 33-39)
Avis n° 48/2023 du 9 mars 2023
- Recommandation d’adaptation des articles 595 et 596 du Code d’instruction criminelle encadrant la délivrance des extraits de casier judiciaire afin de les adapter pour qu’ils répondent aux critères usuels de qualité des normes qui encadrent des traitements de données à caractère personnel et qu’ils évitent des consultations disproportionnées d’informations sensibles sur le passé judiciaire des personnes concernées (paragraphes 3 à 11).
Avis n° 49/2023 du 9 mars 2023
- Recommandation indiquant que l’arrêté royal du 5 novembre 1971 portant création et érection en établissement scientifique de l'Etat de l'Institut national de criminalistique devrait constituer la base de licéité des traitements visés et comporter des garanties pour les droits et libertés des personnes concernées dans ce cadre. En matière de statistiques publiques, le considérant 162 du RGPD met en évidence qu’en matière de traitement de données à caractère personnel à des fins statistiques, le droit de l’Union ou le droit des Etats membres devrait notamment déterminer le contenu statistique en plus du contrôle de l’accès aux données et des dispositions particulières pour le traitement de données à caractère personnel à des fins statistiques ainsi que des mesures appropriées pour la sauvegarde des droits et libertés de la personne concernée et pour préserver le secret statistique. A ce sujet et à toutes fins utiles, l’Autorité renvoie à ses avis en la matière rendu à propos de l’IWEPS et de Statbel, à savoir ses avis 29/2019 et 127/2021. Si le cadre normatif de l’INCC ne prévoit pas les garanties requises en la matière explicitées dans les avis précités, elles devront être prévues par le projet. (§9)
Avis n° 64/2023 du 9 mars 2023:
- Recommandation de déterminer dans le décret du 08 juillet 2021 relatif au cyclopartage en flotte libre et modifiant les articles 4 et 12 du décret du 1er avril 2004 relatif à la mobilité et à l’accessibilité locales quelle entité est responsable de quel(s) traitement(s) de données à caractère personnel (§ 26) ainsi que les délais de conservation des données (§ 29)
Avis n° 81/2022 du 27 avril 2023
- Recommandation d’abroger l’arrêté royal du 29 juin 2003 autorisant la Société de Développement pour la Région de Bruxelles-Capitale à accéder aux informations du Registre national des personnes physiques et à en utiliser le numéro d’identification au motif que cet arrêté n’est plus la norme pertinente afin d’encadrer l’accès de la SDRB à certaines données du Registre national (§ 14)
Avis n° 132/2023 du 8 septembre 2023
- L’Autorité recommande que le législateur limite, expressément, le niveau de détail des données de consommation pouvant être communiquées aux gestionnaires de réseau de distribution par les compteurs communicants à des données de consommation intervenues sur des périodes n’allant pas en dessous du ¼ d’heure étant donné qu’en dessous de cette période de temps, des données potentiellement sensibles relatives au ménage concerné peuvent être divulguées. En outre, avant de prévoir que les fournisseurs d’énergie puissent proposer aux particuliers une tarification au ¼ d’heure, il conviendra que le législateur fasse une analyse stricte de la proportionnalité d’une telle mesure en mettant en balance ses avantages avec l’ingérence importante dans les droits et libertés des personnes concernées qu’elle engendre (cons. 3 et 4).
Avis n° 153/2023 du 20 octobre 2023
-
Il s’agit d’une recommandation invitant le législateur à adapter la loi du 19 mai 2010 portant création de la Banque-carrefour des véhicules (BCV) pour qu’elle contienne des garanties pour la préservation des droits et libertés des propriétaires/utilisateurs de véhicule à propos desquelles des informations sont centralisées dans la BCV. Sans viser à l’exhaustivité, l’Autorité relève, dans cette loi du 19 mai 2010, l’absence de mesures de transparence spécifique des flux sortants de la BCV, l’absence d’imposition de mesures de journalisation précise des accès aux données de la BCV, le caractère flou ou trop large de certaines finalités pour lesquelles les données de la BCV peuvent être traitées et le caractère peu prévisible de la détermination d’une partie des données reprises dans la BCV (cons. 7 à 11). L’Autorité relève également que l’ancienne procédure d’autorisation par Comité sectoriel doit être abrogée pour être remplacée par un encadrement normatif des flux sortants de la BCV dans le respect du principe de légalité consacré à l’article 22 de la Constitution (cons. 27 à 37).
Avis n° 160/2023 du 11 décembre 2023
-
Recommandations du Centre de connaissances relatives à :
-
la communication de copies des registres des électeurs aux partis politiques et aux candidats, à des fins de réalisation d’actions de propagande électorale par voie de courrier (§ 29 et suivants).
-
la mise-en-oeuvre de mesures techniques et organisationnelles suffisantes afin de sécuriser les échanges de données issues des listes électorales, notamment une gestion des utilisateurs et des accès à l’espace numérique à l’aide d’un moyen d’authentification fort (cons 21 à 24 et 25 à 27) ;
-
la mise-en-place de garde-fous lors de la délivrance des registres des électeurs aux groupements politiques et candidats : droit d’opposition et d’information ;
-
suppression de certaines données à défaut de justification dûment motivée dans la législation en vigueur le cas échéant (cons 59-75).
-
Le Centre de Connaissances rappelle qu’à défaut de précisions à cet égard dans les législations organisant la communication de listes électorales à des fins de propagande électorale ciblée par voie de poste, il appartient aux responsables de traitement des données de ces listes de veiller à ce que les garanties appropriées soient mises en œuvre. Il leur incombera d’être en mesure de démontrer leurs meilleurs efforts à cet effet. L'avis contient également des recommandations pratiques concernant les pièces à produire et le floutage des données lors du vote par procuration (§ 9 et suivants).
Avis n 163/2023 du du 18 décembre 2023
- L'Autorité s’est prononcée sur plusieurs questions importantes notamment liées au contrôle médical réalisé par l’Administration de l’expertise médicale (Medex), ainsi que sur la responsabilité au regard du traitement de données à caractère personnel dans le contexte des ressources humaines, de la Direction Générale PersoPoint du SPF BOSA. L'Autorité s’est exprimée au sujet des règles qui encadrent l’initiation des contrôles médicaux par Medex (contrôle à la demande de l’employeur, ad random ou sur la base du facteur Bradford), ainsi que sur la question de la communication systématique de la maladie des agents absents, à Medex.
Le Centre de Connaissances préconise notamment, une modification du cadre normatif existant. S’agissant des traitements de données à caractère personnel à des fins de gestion des ressources humaines mis en œuvre par PersoPoint pour les autorités publiques recourant à ses services, le Centre de Connaissances est d’avis que PersoPoint agit comme un responsable conjoint du traitement et recommande également l’adaptation du cadre normatif applicable
Avis n° 41/2024 du 26 avril 2024
- Dans le cadre d’une demande d’avis concernant un projet d'arrêté du Collège réuni de la Commission communautaire commune encadrant des traitements de données à caractère personnel dans le contexte des signalements internes des atteintes suspectées à l’intégrité et portant exécution d’une obligation légale instaurée par le décret et ordonnance conjoints des 26 avril et 16 mai 2019 relatifs au médiateur bruxellois, l’Autorité de protection des données a émis un avis législatif.
Dans son avis, l’Autorité estime que le législateur fédéral devrait envisager un cadre légal approprié en vue de permettre la mise en place des formations certifiées en matière de protection des données dans le contexte de la réception et du traitement des atteintes à l’intégrité, sous réserve des éventuelles contraintes liées au cadre légal belge spécifique en matière de certification.
En Belgique un mécanisme de certification de compétences des délégués à la protection des données fait actuellement défaut