Centre de Connaissances

Avis

Les avis du Centre de Connaissances, non contraignants, visent à éclairer le législateur et attirer son attention sur les éventuelles problématiques liées à la qualité de la législation proposée au regard des règles de protection des données personnelles (ex. prévisibilité de la norme en termes de finalité de traitement de données, catégories de données traitées, base légale adéquate, etc.).  Le législateur a ensuite la possibilité d’adapter son texte pour prendre en compte les remarques formulées par le Centre de Connaissances.

Les avis du Centre de Connaissances sont disponibles sur le site web de l’APD.

En 2023, le Centre de Connaissances s’est penché sur de nombreux projets impactant la vie quotidienne des citoyens tels qu’un projet d’arrêté du Gouvernement wallon relatif à la méthodologie tarifaire des compteurs communicants, le dossier d’accompagnement de l’élève en communauté Wallonie-Bruxelles, ou un décret modifiant l’organisation de l’enseignement en région flamande.

• Avis 132/2023 du 8 septembre 2023 concernant le décret modifiant le décret du 12 avril 2001 relatif à l’organisation du marché régional de l’électricité, modifiant le décret du 19 janvier 2017 relatif à la méthodologie tarifaire applicable aux gestionnaires de réseaux de distribution de gaz et d’électricité et modifiant le décret du 17 septembre 2020 relatif à l’octroi d’une prime pour l’installation d’équipements de mesurage et de pilotage 

L’Autorité a rappelé que les compteurs communicants d’électricité présentent un caractère particulièrement intrusif étant donné qu’ils permettent d’inférer des données potentiellement sensibles sur les comportements des habitants des immeubles dans lesquels de tels compteurs sont placés, spécifiquement s’ils communiquent les données de consommation d’électricité relatives à des périodes réduites.

Pour plus de détails : Les compteurs communiquants peuvent permettre de déterminer avec précision les types d’appareil électrique (en ce compris médicaux) qui sont en fonctionnement, quand ils sont utilisés et pendant quelle période ils ont été utilisés, le nombre de personnes présentes dans l’habitation, les périodes pendant lesquelles elles sont au travail ou en vacances ou encore pendant lesquelles elles dorment, si elles dorment bien ou mal, les périodes pendant lesquelles les habitants vont manger à l’extérieur ou laissent un enfant seul à la maison ou encore reçoivent des invités à la maison, …

Dès lors, l’Autorité a notamment recommandé que le législateur limite expressément le niveau de détail des données de consommation pouvant être communiquées aux Gestionnaires de Réseaux de Distribution (« GRD ») par les compteurs communicants à des données de consommation d’électricité intervenues sur des périodes non inférieures au ¼ d’heure.

• Avis n° 85/2023 du 27 avril 2023 sur l’avant-projet de décret relatif à la numérisation et à l’opérationnalisation des procédures de maintien exceptionnel applicables durant le parcours de l’élève dans le tronc commun

Un accident de parcours pendant une ou deux années scolaires doit-il vous poursuivre tout au long de votre cursus ? Le pouvoir organisateur d’une école peut-il avoir accès à toutes les données reprises dans les dossiers des élèves ? Des informations insérées dans un dossier peuvent-elles être supprimées avant même que la personne concernée ait pu en prendre connaissance ? Comment permettre l’exercice du droit de rectification concernant des évaluations (données à caractère personnel subjectives) ? L’avis 85/2023 du Centre de Connaissances tente de répondre à ces questions et adresse au législateur une série de recommandations concernant l’utilisation d’un système d’information partagé entre divers acteurs de l’Enseignement (écoles, parents, élèves majeurs, inspection, centres PMS, …).

Pour plus de détails : Dans ce système d’information, dénommé ‘dossier d’accompagnement de l’élève’ (DAccE), sont centralisées des informations relatives au parcours scolaire de chaque élève, de la 1ère maternelle à la fin des études secondaires, en ce compris celles relatives aux procédures impactant leur parcours scolaire. L’avis rendu porte spécifiquement sur les procédures de maintien d’un élève dans son année scolaire (redoublement). Les conclusions de cet avis ont largement été reprises dans l’avis rendu ultérieurement par le Conseil d’Etat au sujet de cette même législation (avis 73.507/2 du 5 juin 2023).

• Avis nr. 156/2023 du 20 novembre 2023 concernant de nouveaux articles inclus dans l’avant-projet de décret du Gouvernement flamand en matière d’enseignement

Le Centre de Connaissances a examiné un avant-projet de décret du Gouvernement flamand relatif à la modification des trajets de formations qualifiantes, organisant des échanges de données automatiques des élèves de l’enseignement inférieur. Si la finalité du traitement était clairement identifiée (calcul de la subsidiation des institutions d’enseignement), il y avait toutefois lieu d’identifier les destinataires de ces données et de préciser quelles données sont traitées.

En 2023, le Centre de Connaissances a consacré une énergie importante à passer au crible des projets liés à la mise en place de nouveaux intégrateurs de services visant à organiser les échanges mutuels de données entre administrations participantes. Il s’agissait notamment de gérer les accès aux sources authentiques de données des services publics, et assurer la sécurité et la traçabilité de l’utilisation des données à caractère personnel rassemblées au sein de ces sources.

Le Centre de Connaissances a identifié de nouveaux paradigmes d’échanges de la donnée entre administrations, de son avis, potentiellement contraires à la nécessaire prévisibilité des finalités pour lesquelles de telles échanges seraient effectués.

• Avis nr. 143/2023 du 29 septembre 2023 concernant un avant-projet de décret portant assentiment à l’accord de coopération entre la Région wallonne et la Communauté française désignant l’intégrateur de services de la Région wallonne et de la Communauté française et un projet d’accord de coopération relatif à la création du service commun aux Gouvernements Wallon et de la Communauté française, dénommé Banque Carrefour d’échange de données

Le Centre de Connaissances a pris bonne note de l’initiative visant à préciser l’encadrement des échanges de données au départ de l’administration wallonne et de la communauté française. Le Centre de Connaissances a toutefois insisté pour que législateur prévoie à tout le moins qu’un arrêté du Gouvernement soit adopté pour (i) qualifier une banque de donnée de source authentique de données (ne pas laisser cette initiative à l’appréciation de l’administration sans encadrement légal transparent et prévisible), et (ii) définir les éléments essentiels des traitements de données réalisés par l’intermédiaire d’une source authentique afin de garantir la qualité des données et la prévisibilité des collectes et échanges pour le citoyen.

• Avis nr. 154/2023 du 20 octobre 2023 concernant un avant-projet de décret et ordonnance conjoints portant le code bruxellois de la gouvernance et de la donnée

Ces projets de texte visaient à codifier la transparence administrative (ou publicité de l’administration), la réutilisation des informations du secteur public, l’échange de données entre autorités publiques (y compris au départ de sources authentiques et de banques de données issues de sources authentiques).
Il consacre en outre une banque de données issues de sources authentiques bruxelloises majeures, « Brussels UrbIS ». Une centralisation importante des données était prévue.

Le Centre de Connaissances s’est notamment étonné du mécanisme prévu pour la facilitation des échanges : mise en place de bases de données issues de sources authentiques de données et partage administratif des données par défaut « sauf si ces partages administratifs sont contraires à une règle de droit […] ».

Pour plus de détails : Le Centre de Connaissances a souligné que de telles dispositions renversent le paradigme juridique actuellement applicable aux traitements de données à caractère personnel en droit belge conformément aux principes de légalité et prévisibilité consacrés aux articles 8 CEDH et 22 de la Constitution : un traitement de données à caractère personnel ne peut avoir lieu que lorsqu’il est fondé juridiquement dans le cadre d’une compétence ou d’une obligation attribuée à une autorité publique et que ses éléments essentiels sont déterminés par une norme de rang de loi. 

Le Centre de Connaissances a rappelé qu’un protocole d’accord entre administrations ne suffit pas à fonder juridiquement un échange de données entre autorités publiques.

L’encadrement législatif doit permettre d’apporter clarté et prévisibilité au citoyen. Le citoyen s’inquiète et porte plainte lorsqu’il s’avère que ses données sont traitées de manière non conforme à ses attentes par l’administration publique, comme illustré ci-dessous.

• Avis nr. 153/2023 du 20 octobre 2023 sur un projet d’arrêté royal modifiant l’arrêté royal du 8 juillet 2013 portant exécution de la loi du 19 mai 2010 portant création de la Banque-Carrefour des Véhicules

En date du 20 octobre dernier, le Centre de Connaissances de l’Autorité a rendu un avis sur un projet d’arrêté royal modifiant l’arrêté royal du 8 juillet 2013 portant exécution de la loi du 19 mai 2010 portant création de la Banque-carrefour des véhicules (BCV).

Pour plus de détails : Ce projet d’extension des finalités de la BCV fait suite à une décision quant au fond de la Chambre contentieuse de l’Autorité du 23 juin 2020. Au terme de cette décision, la communication de données issues de la BCV a été déclarée contraire aux articles 5.1.b et 6.1 du RGPD par le SPF Mobilité et Transports à une société privée. Ladite communication permettait à certaines compagnies d’assurances, d’établir des propositions personnalisées d’assurance automobile pour leur clientèle, ce qui a donné lieu à une plainte auprès de la Chambre Contentieuse de la part d’un citoyen s’inquiétant de l’origine des données traitées dans le cadre de ces propositions commerciales.

Le projet d’AR soumis pour avis étend les finalités d’utilisation des données de la BCV à des finalités commerciales. Si une telle extension de la BCV venait à être dûment justifiée, l’Autorité recommande une série d’adaptations et des garanties spécifiques à prévoir dans la norme de rang législatif à adopter à cette fin.

Le Centre de Connaissances est régulièrement conduit à attirer l’attention du législateur sur l’imprécision de projets de loi ou normes réglementaires liées au traitement de données de santé, notamment quant aux finalités de traitement de données d’origine publique ou privée, tant au niveau fédéral que pour les entités fédérées.

• Avis nr. 127/2023 du 8 septembre 2023 concernant la modification de la loi du 21 août 2008 relative à l’institution et à l’organisation de la plate-forme eHealth et portant diverses dispositions de modification de la loi du 29 janvier 2014 portant des dispositions relatives à la carte d’identité sociale et la carte ISI+

L’avant-projet de loi entend permettre la création d’un répertoire des références (indiquant auprès de quels acteurs des soins de santé quels types de données (de santé) de quel patient sont disponibles) sans le consentement préalable du patient. Seule la consultation/la mise à disposition du répertoire des références est encore subordonnée au consentement du patient.

Le Centre de Connaissances a fortement invité le législateur à préciser plusieurs notions et concepts cruciaux comme ‘acteur des soins de santé’, ‘répertoire des références sectoriel’, finalité du traitement, types de données traitées, délai de conservation, responsables du traitement, destinataires tiers.

Le Centre de Connaissances a estimé qu’une précision s’imposait quant à tous ces points, en excluant quoi qu’il en soit l’utilisation à des fins commerciales et en limitant de préférence explicitement l’accès de tiers aux professionnels des soins de santé ayant une relation thérapeutique avec le patient concerné, par analogie avec la manière dont la loi relative à la qualité de la pratique des soins de santé du 22 avril 2019 régit l’accès aux données de santé.

• Avis n° 88/2023 du 17 mai 2023 concernant un projet d'arrêté du Gouvernement flamand portant exécution du décret du 8 juillet 2022 portant création de la plate-forme Vitalink (uniquement disponible en néerlandais)

L'avis du Centre de Connaissances a été sollicité concernant un projet d'arrêté du Gouvernement flamand portant exécution du décret du 8 juillet 2022 portant création de la plate-forme Vitalink (à savoir un coffre-fort sanitaire). Le Centre de Connaissances a estimé que tant le décret Vitalink (au sujet duquel, malgré l'avis du Conseil d'État en la matière, il n'a pas été préalablement consulté) que le projet d'arrêté qui en porte exécution présentent de graves manquements en tant que cadre réglementaire de Vitalink ainsi qu'au niveau du traitement de données y afférent, car ils ne respectent pas les principes de légalité et de prévisibilité applicables.

L'imprécision quant à la portée de plusieurs notions et concepts essentiels compromet la lisibilité et la prévisibilité du décret Vitalink (et de son arrêté d'exécution) ; sa lecture ne permet en effet pas, ni dans le chef du Centre de Connaissances, ni dans le chef des personnes concernées, d'entrevoir clairement et de comprendre quels traitements de quelles données seront effectués et dans quelles conditions ces traitements seront autorisés. L'indication par le demandeur qu'il ne peut pas être exclu que l'utilisation de la plateforme Vitalink devienne obligatoire à l'avenir rend les constatations susmentionnées d'autant plus problématiques.

Le manque de précision des finalités visées empêche également d'analyser correctement la proportionnalité des traitements envisagés. Les catégories de destinataires de cet immense ensemble de données à caractère personnel extrêmement sensibles et intimes ne sont pas non plus suffisamment délimitées. La possibilité de couplage avec des données qui ne sont pas davantage précisées, provenant d'une liste non-exhaustive de "sources de données, plateformes de partage de données et hubs externes" (notions qui ne sont pas davantage expliquées ou définies dans le décret Vitalink) laisse supposer que la base de données Vitalink déjà immense pourrait être étendue de façon peu transparente. Le Centre de Connaissances conclut en rappelant l'importance d'une consultation préalable (supplémentaire) lorsqu'une  analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

L’impact de ces législations, examinées par le Centre de Connaissances à l’état de projet, devra être évalué en fonction de leur interaction avec le paysage normatif européen en évolution, visant notamment à encourager la réutilisation de données de santé et leur consolidation dans des bases de données européennes.

Pour plus de détails : voir les propositions de Règlements européens en matière de « European Data Spaces » ou en matière de données « Data Act » commentés par le Comité européen de la protection des données – EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space of 12 July 2022 et EDPB Statement on the Digital Services Package and Data Strategy, 18 novembre 2021.

Le Centre de Connaissances est régulièrement conduit à attirer l’attention du législateur sur l’imprécision de projets de loi ou normes réglementaires liées au traitement de données de santé, notamment quant aux finalités de traitement de données d’origine publique ou privée, tant au niveau fédéral que pour les entités fédérées.

• Avis nr. 127/2023 du 8 septembre 2023 concernant la modification de la loi du 21 août 2008 relative à l’institution et à l’organisation de la plate-forme eHealth et portant diverses dispositions de modification de la loi du 29 janvier 2014 portant des dispositions relatives à la carte d’identité sociale et la carte ISI+

L’avant-projet de loi entend permettre la création d’un répertoire des références (indiquant auprès de quels acteurs des soins de santé quels types de données (de santé) de quel patient sont disponibles) sans le consentement préalable du patient. Seule la consultation/la mise à disposition du répertoire des références est encore subordonnée au consentement du patient.

Le Centre de Connaissances a fortement invité le législateur à préciser plusieurs notions et concepts cruciaux comme ‘acteur des soins de santé’, ‘répertoire des références sectoriel’, finalité du traitement, types de données traitées, délai de conservation, responsables du traitement, destinataires tiers.

Le Centre de Connaissances a estimé qu’une précision s’imposait quant à tous ces points, en excluant quoi qu’il en soit l’utilisation à des fins commerciales et en limitant de préférence explicitement l’accès de tiers aux professionnels des soins de santé ayant une relation thérapeutique avec le patient concerné, par analogie avec la manière dont la loi relative à la qualité de la pratique des soins de santé du 22 avril 2019 régit l’accès aux données de santé.

• Avis n° 88/2023 du 17 mai 2023 concernant un projet d'arrêté du Gouvernement flamand portant exécution du décret du 8 juillet 2022 portant création de la plate-forme Vitalink (uniquement disponible en néerlandais)

L'avis du Centre de Connaissances a été sollicité concernant un projet d'arrêté du Gouvernement flamand portant exécution du décret du 8 juillet 2022 portant création de la plate-forme Vitalink (à savoir un coffre-fort sanitaire). Le Centre de Connaissancesa estimé que tant le décret Vitalink (au sujet duquel, malgré l'avis du Conseil d'État en la matière, il n'a pas été préalablement consulté) que le projet d'arrêté qui en porte exécution présentent de graves manquements en tant que cadre réglementaire de Vitalink ainsi qu'au niveau du traitement de données y afférent, car ils ne respectent pas les principes de légalité et de prévisibilité applicables.

L'imprécision quant à la portée de plusieurs notions et concepts essentiels compromet la lisibilité et la prévisibilité du décret Vitalink (et de son arrêté d'exécution) ; sa lecture ne permet en effet pas, ni dans le chef du Centre de Connaissances, ni dans le chef des personnes concernées, d'entrevoir clairement et de comprendre quels traitements de quelles données seront effectués et dans quelles conditions ces traitements seront autorisés. L'indication par le demandeur qu'il ne peut pas être exclu que l'utilisation de la plateforme Vitalink devienne obligatoire à l'avenir rend les constatations susmentionnées d'autant plus problématiques.

Le manque de précision des finalités visées empêche également d'analyser correctement la proportionnalité des traitements envisagés. Les catégories de destinataires de cet immense ensemble de données à caractère personnel extrêmement sensibles et intimes ne sont pas non plus suffisamment délimitées. La possibilité de couplage avec des données qui ne sont pas davantage précisées, provenant d'une liste non-exhaustive de "sources de données, plateformes de partage de données et hubs externes" (notions qui ne sont pas davantage expliquées ou définies dans le décret Vitalink) laisse supposer que la base de données Vitalink déjà immense pourrait être étendue de façon peu transparente. Le Centre de Connaissances conclut en rappelant l'importance d'une consultation préalable (supplémentaire) lorsqu'une  analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

L’impact de ces législations, examinées par le Centre de Connaissances à l’état de projet, devra être évalué en fonction de leur interaction avec le paysage normatif européen en évolution, visant notamment à encourager la réutilisation de données de santé et leur consolidation dans des bases de données européennes.

Pour plus de détails : voir les propositions de Règlements européens en matière de « European Data Spaces » ou en matière de données « Data Act » commentées par le Comité européen de la protection des données – EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space of 12 July 2022 et EDPB Statement on the Digital Services Package and Data Strategy, 18 novembre 2021.

Dans ses avis, le Centre de Connaissances veille à inclure autant que possible des recommandations concrètes d’initiative à l’attention du législateur, y compris techniques en marge de l’évaluation des dispositions soumises. Les recommandations législatives générales d’initiative les plus importantes sont résumées sur la page « Recommandations législatives » du site de l’APD.

• Avis n°18/2023 du 20 janvier 2023 concernant une proposition de loi modifiant la nouvelle loi communale en vue de faciliter l’instauration d’une interdiction nationale d’accès aux domaines récréatifs

Une interdiction temporaire de lieu récréatif prononcée par un bourgmestre peut-elle donner lieu automatiquement à d’autres interdictions similaires dans tous les domaines récréatifs du pays et, le cas échéant, sur base de quels traitements de données de telles décisions peuvent‑elles être prises ?

Pour plus de détails : Ces interdictions temporaires de lieux constituent des mesures de police administrative qui peuvent être prononcées par un bourgmestre « en cas de trouble à l'ordre public causé par des comportements individuels ou collectifs […] ou à l'occasion d'évènements semblables, et impliquant un trouble de l'ordre public ou une incivilité ». La proposition de loi prévoyait la création d’une base de données centralisée de telles décisions ainsi qu’un « fichier central de photographies des personnes qui font l’objet d’une interdiction de lieu » et la communication de ces données aux exploitants de domaines récréatifs et de zones récréatives, afin de leur permettre de prendre la décision de refuser l’accès aux personnes ayant fait l’objet d’une interdiction temporaire prononcée par un bourgmestre.

Le Centre de Connaissances a préconisé d’initiative d’autres modes de contrôle en veillant à préserver l’anonymat et sécuriser les données des nombreux visiteurs de domaines récréatifs non coupables de troubles à l’ordre public. 

Exemples de techniques de contrôle envisagées : À ce propos, l’Autorité a identifié deux modèles de contrôle : la mise en place de « watchlists » (reprenant le nom et la photo des personnes qui font l’objet de l’interdiction de domaines récréatifs) permettant aux exploitant de ne contrôler que les personnes qui font effectivement l’objet d’une telle interdiction ou un contrôle systématique comparant, de manière automatisée, les informations reprises sur la carte d’identité avec une liste des hash des numéros RN, numéros de carte d’identité et noms des personnes faisant l’objet d’une interdiction de domaines récréatifs. Le Centre de Connaissances a mis en évidence les avantages et les inconvénients de ces deux modèles, tant au regard de leur effectivité et des droits fondamentaux des personnes concernées, y compris leur droit à la protection des données.

Le Centre de Connaissances a formulé des propositions concrètes à l’attention du législateur afin de lui permettre de compléter la proposition de loi et notamment définir (i) la notion de « domaine récréatif » (ouvert ou fermé avec ou non contrôle à l’entrée), (ii) le degré de gravité des « incivilités » pouvant donner lieu à une telle interdiction, et (iii) le caractère obligatoire du respect de tels critères par les exploitants concernés, le cas échéant, sur le modèle des interdictions de stade de football.

Cet avis illustre l’importance d’une approche combinée tant juridique que technique, en vue de poser des jalons de solutions à l’attention du législateur, dans le temps actuellement imparti pour les avis. Le Centre de Connaissances souhaite être en mesure de continuer à formuler de telles propositions constructives sous la future LCA, nonobstant les délais d’avis raccourcis et la suppression des experts externes structurellement attachés au Centre de Connaissances. Le Règlement d’Ordre Intérieur veillera à permettre l’appel ponctuel à des experts externes, en renfort de l’expertise technique interne.

Recommandations d'initiative

A l’occasion de la demande d’avis législatif 160/2023 du 11 décembre 2023, le Centre de connaissances a précisé d’initiative ses recommandations générales à l’attention du législateur et des responsables de traitement de données de listes électorales à des fins de publicité électorale, en vue d’anticiper les élections 2024.

Cette recommandation, d’abord intégrée pour partie dans un chapitre séparé à la suite de l’avis législatif, et publiée ensuite sous forme séparée et mise à jour en 2024, précise les recommandations de l’APD concernant :

• la communication de copies des registres des électeurs aux partis politiques et aux candidats, à des fins de réalisation d’actions de propagande électorale par voie de courrier ;
• la mise en œuvre de mesures techniques et organisationnelles suffisantes afin de sécuriser les échanges de données issues des listes électorales, notamment une gestion des utilisateurs et des accès à l’espace numérique à l’aide d’un moyen d’authentification fort ;
• la mise-en-place de garde-fous lors de la délivrance des registres des électeurs aux groupements politiques et candidats : droit d’opposition et d’information ;
• la suppression de certaines données à défaut de justification dûment motivée dans la législation en vigueur le cas échéant (date de naissance, sexe) et la limitation du traitement de certaines données à des fins de publicité électorale (nationalité, nom).

Le Centre de Connaissances rappelle qu’à défaut de précisions à cet égard dans les législations organisant la communication de listes électorales à des fins de propagande électorale ciblée par voie de poste, il appartient aux responsables de traitement des données de ces listes de veiller à ce que les garanties appropriées soient mises en œuvre (par exemple en matière de droit d’opposition). Il leur incombera d’être en mesure de démontrer leurs meilleurs efforts à cet effet.

Cette recommandation s’adresse donc tant au législateur qu’aux responsables de traitement, et formera la base d’un récapitulatif des règles et bonnes pratiques en matière de publicité électorale par le Service de Première Ligne début 2024.

Gestion des priorités – avis standards

La tâche prioritaire du Centre de Connaissances consiste en l’émission d’avis préalables et obligatoires relatifs à tous les textes législatifs ou réglementaires de portée générale qui créent, adaptent ou mettent en œuvre des traitements de données à caractère personnel. 

• Le Centre de Connaissances procède à un tri en fonction du niveau d’ingérence des projets d’avis soumis, ainsi que, le cas échéant, lorsque cela est pertinent par les priorités transversales de l’APD.
  L’évaluation du niveau d’ingérence est réalisée à l’aide des informations fournies par le demandeur dans le formulaire de demande d’avis et d’un ‘quick screening’ du projet de législation le cas échéant. Deux options s’offrent au Centre de Connaissances : un avis de fond sur l’ensemble des éléments du projet ou un « avis standard ».
• Le Centre de Connaissances remet généralement un « avis standard » récapitulant les principes généraux de protection des données personnelles à prendre en compte lors de la rédaction de la législation, lorsque le demandeur n'indique pas dans son formulaire de demande d’avis que le projet soumis pourrait occasionner des risques élevés pour les droits et libertés des personnes concernées et lorsque les informations fournies par celui-ci dans le formulaire ne permettent pas non plus de déduire que de tels risques existeraient.
• En revanche, dans la mesure de ses moyens humain, le Centre de Connaissances tente de fournir des avis de fond lorsque lui sont soumis des projets législatifs dénotant un niveau important d’ingérence et/ou lorsqu’il correspond à une des priorités transversales définies par l’APD pour 2023 (cf. introduction aux demandes budgétaires de l’APD de 2022). Ainsi, le Centre de Connaissances a veillé en 2023 à prioriser les avis sur les projets de loi liés à la mise en œuvre de projets « smart city », tels que des compteurs intelligents.

Outre l’énergie déployée pour le tri des documents soumis après examen juridique prima facie, la fourniture d’avis standards implique par ailleurs un travail administratif substantiel dans la mesure où les pièces y relatives doivent être soumises à l’approbation du Centre de Connaissances en tant qu’organe collégial soucieux de valider le tri effectué. Cette pratique d’avis standard s’est imposée depuis mai 2022.

Délais d’avis

La loi astreint le Centre de Connaissances à des délais pour l’émission et la publication de ces avis. En 2023, le respect de ces délais constitue encore et toujours un défi pour le Centre de Connaissances en raison d’éléments divers tels que :

• La quantité d’avis concomitants à rendre ;

Le nombre de demandes d’avis a considérablement augmenté au fil des ans, passant de 168 en 2018 à 611 en 2023. Cette hausse ininterrompue depuis 2020 s’explique principalement par l’obligation légale consacrée dans l’article 36, 4, du RGPD. Additionnellement, cette croissance des demandes fait également suite à la mise en œuvre progressive des compétences des entités fédérées résultant de la 6ème Réforme de l’Etat (arrêt de la Cour constitutionnelle n°26/2023 rappelant à l’Autorité flamande que l’avis de l’APD devait toujours être sollicité concernant leurs projets de normes impliquant un traitement de données à caractère personnel, ce qui n’était pas le cas auparavant).  Depuis lors, le Centre de Connaissances a clarifié qu’un avis fourni par la VTC ne peut être considéré comme une consultation au sens de l’article 36.4 du RGPD (voir par exemple l’avis nr. 165/2023 du 18 décembre 2023 concernant un projet de décret du 18 mai 2018 concernant la protection sociale flamande, § 55).

• Les demandes d’avis urgents en multiplication depuis l’annonce d’une future réduction des délais d’avis dans une future loi organique ;

L’annonce de la future loi organique, votée le 25 décembre 2023, emportant une réduction considérable des délais endéans lesquels le Centre de connaissances est habilité à se prononcer (de 60 à 30 jours, par défaut et de 15 à 5 jours en cas d’urgence), a eu pour conséquence de multiplier les demandes d’avis urgentes au cours de l’année 2023. Le Centre de Connaissances a tenté de répondre aux demandes en attribuant plus rapidement les dossiers aux agents, et en passant plus rapidement en avis standard les avis prima facie moins impactant. Cette réduction de facto des délais a plus d’une fois impliqué la nécessité d’attribuer les dossiers plus rapidement, sans disposer d’une masse critique d’avis et sans pouvoir effectuer la priorisation sur les avis reçus endéans les 60 jours. Certains avis prioritaires ont motivé l’abandon d’autres dossiers moins prioritaires attribués précédemment à bref délai. Dans ce contexte, la réduction des délais a parfois impliqué une réduction du nombre de dossiers traités par chaque agent.

• La nécessaire mise en état de la plupart des demandes d’avis (échange de questions-réponses avec les auteurs du texte) ;
• La complexité et la variété des matières en jeu en plus de la protection des données et la nécessité d’examiner non seulement les projets de texte ou articles soumis pour avis mais également les législations et documents parlementaires liés);
• Les contraintes temporelles et d’organisation rencontrées lors de l’adoption interne des avis dans le contexte du caractère collégial du Centre de Connaissances (fixation de séances à échéances fixes pour la tenue de discussions orales préparées par échanges écrits, intervention des membres « externes », anticipation desdites séances par l’envoi des projets) ;
• Le rapport ETP/demandes d’avis

Alors que les demandes d’avis ont plus que doublé entre 2020 et 2022, le nombre de juristes n’a évolué que de 6 à 8,8. Les conditions de travail et la forte demande pour les profils employés à l’APD sur le marché de l’emploi ont conduit le Centre de connaissances à perdre 2 ETP en 2023. Ces 7 juristes restants ont dû faire face au quasi-doublement des demandes d’avis entre 2022 (323 demandes) et 2023 (611 demandes reçues).  Ceci explique le nombre significatif d’avis standards publiés en 2023 (415). Parmi les 546 avis publiés en 2023, en effet, 131 sont des avis de fond et 415 des avis standards. L’APD précise par ailleurs que vu l’afflux de demande, le mode de publication des avis standard et la numérotation des avis a été modifiée en cours d’année, ce qui induit une marge d’erreur de quelques dossiers suite au comptage manuel des avis standards rendus en 2023.

Fin 2023 : l’APD a pu procéder à l’engagement de 3 nouveaux juristes engagés fin 2023 et au remplacement des 2 juristes démissionnaires. Cette augmentation des ressources (3 juristes), certes substantielle, est bienvenue mais non proportionnée au nombre d’avis reçus en 2023.

Extension de cadre 2023 et perspectives 2024

Dans son rapport annuel 2022, le Centre de Connaissances se réjouissait du fait que l’extension de cadre accordée à l’ensemble de l’APD en 2023 bénéficierait en partie à ses activités d’avis législatif en 2023. C’était sans compter sur le doublement du nombre de demandes d’avis législatifs reçus au cours de cette année.

A nouveau, le Centre de Connaissances espère que l’extension de cadre de 2 juristes et 1 ICT obtenue fin 2023 bénéficiera à son activité d’avis législatifs en 2024. Un renfort complémentaire est par ailleurs sollicité afin de prendre en charge la réduction des délais d’avis suite au vote le 25 décembre 2023 d’une nouvelle loi organique réduisant par 2 les délais d’avis de ce service.

Ce renfort, s’il est accordé, devrait contribuer à ce que le Centre de Connaissances puisse remplir sa tâche d’avis législatif dans la majorité des cas où un avis de fond s’impose. Le Centre de Connaissances souhaite également pouvoir fournir plus de recommandations d’initiative en fonction des besoins.

Participation aux travaux de l’EDPB – lignes directrices « anonymisation » et « pseudonymisation »

En 2023, le Centre de Connaissances a continué à participer à la rédaction de lignes directrices, en contribuant aux travaux de l’EDPB (Comité Européen de la Protection des Données). Le Centre de Connaissances a notamment poursuivi son rôle de lead-rapporteur dans l’élaboration de lignes directrices de l’EDPB concernant la révision et mise à jour des recommandations et bonnes pratiques en matière de techniques d’anonymisation de données à caractère personnel. Le Centre de Connaissances a également participé aux travaux relatifs aux lignes directrices en matière de pseudonymisation.

Dans le contexte où les règles du RGPD imposent des limites substantielles à tout projet impliquant le traitement de données personnelles (ex. exigence de minimisation ou proportionnalité des données traitées), le Centre de Connaissances entend ainsi apporter sa contribution à la recherche de solutions à travers une réflexion sur les techniques permettant de faciliter la mise en œuvre de projets impliquant le traitement des données anonymisées ou pseudonymisées.

Ces questionnements seront également clé dans la contribution du Centre de Connaissances à la priorité transversale « smart city », définie par l’APD dans son introduction budgétaire 2022, et que de nouvelles ressources permettront de mettre en œuvre début 2024.

Réalisations en chiffres

En 2023, a publié 546 avis (dont 131 avis de fond et 415 avis standard) sur des projets de textes normatifs et réglementaires. Le nombre d’avis législatifs traités et publiés a donc encore augmenté par rapport aux nombres d’avis publiés en 2022 (278). Le Centre de Connaissances a reçu 611 demandes d’avis sur des projets de normes législatives ou réglementaires, le double des demandes reçues en 2022 et 2021 (respectivement environ 300 et 250). 

En 2023, le Centre de Connaissances a publié une recommandation d’initiative générale, à l’attention non seulement du législateur mais également des responsables du traitement, en matière de traitement de données de listes électorales à des fins de publicité électorale. Cette recommandation a formé la base d’une action de clarification et sensibilisation plus large de l’APD en 2024, visant à rappeler les règles en matière de marketing électoral.