ECLI:BE:GBAPD:2024:AVIS.20241223.1

Avis n° 118/2024 du 23 décembre 2024 Objet: Demande d’avis concernant un protocole d’accord réglementant l’accès en temps réel de la Police Fédérale aux images des caméras installées sur le réseau de la SNCB (CO-A-2024-268) Mots-clés : caméras de surveillance – société de transport public – police et sécurité – protocole – mesures techniques et organisationnelles Version originale Introduction Sur la base de l’article 9, al. 4, de la loi du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance, le présent avis porte sur un Protocole d’accord réglementant l’accès en temps réel de la Police Fédérale aux images des caméras installées sur le réseau de la SNCB. Le Protocole soumis pour avis est limité à l’hypothèse d’un accès à ces images sans enregistrement par la police. Dans cet avis, l’Autorité considère qu’il convient d’adapter l’article 9, al. 4, de la loi précitée, soit le fondement légal du Protocole soumis pour avis et des traitements de données envisagés. Nonobstant ce constat, l’Autorité émet une série de commentaires concernant le contenu du Protocole. Ceux-ci portent principalement sur les sujets suivants : la finalité de l’accès en temps réels ainsi que les hypothèses et scénarios d’accès envisagés ; les personnes ayant accès aux données ; la détermination des caméras concernées ; et les mesures techniques et organisationnelles dont en particulier, la journalisation. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité »), Présent.e.s : Mesdames Cédrine Morlière, Nathalie Ragheno et Griet Verhenneman et Messieurs Yves- Alexandre de Montjoye, Bart Preneel et Gert Vermeulen; Pour les textes normatifs émanant de l’Autorité fédérale, de la Région de Bruxelles-Capitale et de la Commission communautaire commune, les avis sont en principe disponibles en français et en néerlandais sur le site Internet de l'Autorité. La « Version originale » est la version qui a été validée collégialement. Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après « LCA »); Vu l’article 43 du règlement d’ordre intérieur selon lequel les décisions du service d’autorisation et d’avis sont adoptées à la majorité des voix; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »); Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD »); Vu l’article 9, al. 4, de la loi du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance; Vu la demande du Vice-Premier ministre et ministre de la Mobilité, Monsieur Georges Gilkinet, reçue le 3 octobre 2024; Vu la demande d’informations complémentaires adressées par l’Autorité au demandeur le 23 octobre 2024, vu la réponse communiquée par celui-ci le 12 novembre 2024 ; Vu la demande d’informations complémentaires adressée par l’Autorité au demandeur le 14 novembre 2024, vu la réponse communiquée par celui-ci le 4 décembre 2024 ; Vu la discussion en séance de l’Autorité du 19 décembre 2024 au cours de laquelle il a été décidé de poursuivre par le biais d’une procédure écrite ; Émet, le 23 décembre 2024, l'avis suivant : I. Objet et contexte de la demande d’avis 1. Le demandeur a introduit auprès de l’Autorité, sur la base de l’article 9, al. 4, de la loi du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance (ci-après, « la Loi Caméras »), une demande d’avis concernant un Protocole d’accord réglementant l’accès en temps réel de la Police Fédérale aux images des caméras installées sur le réseau de la SNCB (CO-A-2024-214) (ci-après, « le Protocole »). 2. L’article 9, al. 4, de la loi Caméras est rédigé comme suit : « Sans préjudice de l'application des articles 47sexies et 47septies du Code d'Instruction[1] criminelle, les services de la police fédérale et locale ont, dans le cadre de leurs missions de police judiciaire ou administrative, un accès en temps réel, libre et gratuit, aux images des caméras installées sur le réseau des sociétés publiques des transports en commun ou dans les sites nucléaires déterminés par arrêté royal délibéré en Conseil des ministres. Les modalités de ce libre accès aux images, du transfert et de sa sécurisation sont déterminées dans des protocoles d'accord entre les services de police et la société publique de transport en commun ou le site nucléaire concernés, soumis pour avis à l'Autorité de protection des données, préalablement à sa signature » (mis en gras par l’Autorité). 3. L’Autorité est également compétente pour connaître du traitement de données nécessaire à la mise en œuvre de l’obligation légale incombant à la société de transport public, tenue d’assurer aux services de police un accès en temps réels à ses caméras dans les conditions prévues par la Loi Caméras. 4. Sur la base de l’article 59, § 1er, 2°, de la LTD2, la Police a de son côté saisi l’Organe de Contrôle de l’Information Policière (ci-après, le « COC ») à propos de ce protocole. Celui-ci a rendu un avis le 7 août 2024 (« Adviesaanvraag m.b.t. het ontwerp van protocolakkoord GPI – NMBS tot regeling van real time toegang camerabeelden », référence BD240020). 5. Dans sa demande d’avis, le demandeur requiert un avis dans les 30 jours en précisant que : « Nous sollicitions un avis en urgence compte tenu du fait que l'avis du COC a déjà été reçu et que le protocole doit encore être signé en 2024 entre la Police Fédérale et la SNCB afin de ne pas perdre les moyens dégagés pour cette année budgétaire » (mis en gras par l’Autorité). Art. 47septies. § 1er. L'officier de police judiciaire visé à l'article 47sexies, § 3, 6°, fait rapport écrit de manière précise, complète et conforme à la vérité, au procureur du Roi sur chaque phase de l'exécution des observations qu'il dirige. Ces rapports confidentiels sont communiqués directement au procureur du Roi, qui les conserve dans un dossier séparé et confidentiel. II est le seul à avoir accès à ce dossier, sans préjudice du droit de consultation du juge d'instruction et de la chambre des mises en accusation, visé respectivement à l'article 56bis et aux articles 235ter, § 3, et 235quater, § 3. Le contenu de ce dossier est couvert par le secret professionnel. § 2. L'autorisation d'observation et les décisions de modification, d'extension ou de prolongation sont jointes au dossier confidentiel. L'officier de police judiciaire visé à l'article 47sexies, § 3, 6°, rédige le procès-verbal des différentes phases de l'exécution de l'observation, mais n'y mentionne aucun des éléments susceptibles de compromettre les moyens techniques et les techniques d'enquête policière utilisés ou la garantie de la sécurité et de l'anonymat de l'indicateur et des fonctionnaires de police chargés de l'exécution de l'observation. Ces éléments ne figurent que dans le rapport écrit visé au § 1er, alinéa 1er. II est fait référence dans un procès-verbal à l'autorisation d'observation et il est fait mention des indications visées à l'article 47sexies, § 3, 1°, 2°, 3° et 5°. Le procureur du Roi confirme par décision écrite l'existence de l'autorisation d'observation qu'il a accordée. Les procès-verbaux qui ont été rédigés ainsi que la décision visée à l'alinéa 3 sont joints au dossier répressif au plus tard après qu'il a été mis fin à l'observation ». 6. A cet égard cependant, premièrement, la Loi Caméras ne fixe pas de délai dans lequel l’Autorité doit rendre l’avis visé à son article 9, al. 4. La LCA ne fixe pas non plus spécifiquement de délai en la matière3. Deuxièmement, l’Autorité rappelle que conformément à l’article 48 de son Règlement d’ordre intérieur, les motifs invoqués à l’appui d’une demande en urgence doivent être « précis, concrets et justifier de l’imprévisibilité de la situation à laquelle le demandeur est confronté. Le Service estime que seule une situation de cas de force majeure (situation imprévisible et non imputable en tout ou en partie au demandeur d’avis) générant une telle situation d’urgence pourra justifier une telle saisine ». Or en l’occurrence, la possibilité pour les services de police d’accéder en temps réel aux caméras des réseaux des sociétés publiques de transport en commun remonte à la loi du 3 août 2012 modifiant la loi du 21 mars 2007 réglant l'installation et l'utilisation de caméras de surveillance en vue de renforcer la sécurité dans les transports en commun et les sites nucléaires , entrée en vigueur le 10 septembre 2012. Et la nécessité de conclure un protocole remonte quant à elle à une modification de 2016 de la Loi Caméras. Dans ces conditions, la demande ne peut recevoir le bénéfice d’un traitement en urgence. II. Examen Le présent avis est structuré comme suit : II.1. Considérations relatives au fondement juridique du traitement et à la Loi Caméras.................. 6 II.1.1. Origine de l’article 9, al. 4, de la Loi Caméras, principes de prévisibilité et de légalité et de proportionnalité....................................................................................................................... 6 II.1.2. Application des principes de prévisibilité et de légalité et de proportionnalité ...................13 A) Visionnage en temps réel sans enregistrement .................................................................14 B) Visionnage en temps réel avec enregistrement par la police, via ses propres moyens .........15 II.2. Commentaires concernant le Protocole ................................................................................16 II.2.1. Responsable du traitement (pp. 3 et 8) .........................................................................17 II.2.2. Définitions reprises dans le Protocole (pp. 4-5) et finalité du traitement ..........................18 II.2.3. Finalité du traitement (pp. 5-6, 9-10) ............................................................................18 A) Finalité(s) – missions concernées, circonstances de l’accès, retour sur images ...................18 B) Accès en temps réel et enregistrement ............................................................................22 C) Accès aux images enregistrées par la SNCB .....................................................................22 II.2.4. Personne ayant accès aux données (p. 6) ......................................................................23 A) Personnel du cadre administratif de la police ....................................................................23 B) Autres personnes que les membres des services de police ................................................25 II.2.5. Détermination des caméras (p. 7) .................................................................................26 II.2.6. Mesures techniques et organisationnelles : journalisation (p. 11) ....................................28 A) Journalisation du visionnage par des personnes autres que le membre du service de police dont l’accès individuel est utilisé ..........................................................................................28 B) Journalisation de la finalité de la consultation des caméras ...............................................28 C) Journalisation de l’identité de la personne qui a visionné les images ..................................29 D) Finalité du fichier de journalisation ..................................................................................30 E) Identification unique des caméras concernées ..................................................................31 F) Conservation et durée de conservation des fichiers de journalisation .................................31 II.2.7. Mesures techniques et organisationnelles : autres (annexe I) .........................................32 A) Authentification ..............................................................................................................32 B) Accessibilité de l’application SNCB ...................................................................................33 C) Log out automatique ......................................................................................................34 II.2.8. Avenant, modification, résiliation du Protocole (p. 13) ....................................................35 II.1. Considérations relatives au fondement juridique du traitement et à la Loi Caméras II.1.1. Origine de l’article 9, al. 4, de la Loi Caméras, principes de prévisibilité et de légalité et de proportionnalité 7. Historiquement, la question de l’accès en temps réel par les services de police aux caméras des réseaux des sociétés publiques de transport en commun remonte à 2012 et plus précisément, à la loi du 3 août 2012 modifiant la loi du 21 mars 2007 réglant l'installation et l'utilisation de caméras de surveillance en vue de renforcer la sécurité dans les transports en commun et les sites nucléaires . A l’origine, le dispositif de la Loi Caméras modifié prévoyait alors une habilitation du Roi4 pour déterminer par arrêté délibéré en Conseil des ministres, les conditions et modalités du libre accès concerné. 8. A cette époque, la disposition concernée, qui se trouvait dans un article 9/1 en projet, a été l’objet d’une part, d’un avis de la Commission de la Protection de la Vie Privée n° 17/2012 du 10 mai 2012 concernant un avant-projet de loi modifiant la loi du 21 mars 2007 réglant l'installation et l'utilisation de caméras de surveillance en vue de renforcer la sécurité dans les transports en commun et les sites nucléaires (CO-A-2012-018), et d’autre part, d’un avis du Conseil d’Etat n° 51.309/2 du 4 juin 2012. Ce dernier avis énonce notamment ce qui suit : « Quant à son admissibilité en principe, l’article 9/1 appelle une distinction entre, d’une part, l’accès aux images en temps réel ressortissant à la mission de police judiciaire de la police fédérale et locale, et, d’autre part, celui entrant dans leur mission de police administrative. 2.2. Les articles 47sexies et 47septies du Code d’instruction criminelle règlent la méthode particulière de recherche qu’est l’observation systématique […] d’« une ou plusieurs personnes, ou de leur présence ou de leur comportement, […] ou d’événements particuliers ». Dès lors, de deux choses l’une : - ou le visionnage des images se place dans le cadre de la mise en œuvre de ces dispositions et, dans ce cas, point n’est besoin de prévoir un cadre légal nouveau, a fortiori s’il s’agit d’un dispositif qui vient s’intégrer dans une loi particulière - la loi du 21 mars 2007 - pouvant être interprétée comme dérogatoire au droit commun des articles 47sexies et 47septies du Code d’instruction criminelle[5] ; - ou ce type de visionnage vise à couvrir des hypothèses autres que celles prévues par ces mêmes articles 47sexies et 47septies du Code d’instruction criminelle et, dans ce cas, dès lors que l’accès aux images en temps réel s’inscrit dans la mission de police judiciaire de la police fédérale et locale, il conviendrait d’également intégrer son règlement dans ce code en l’assortissant des garanties nécessaires[6]. 2.3. En ce qui concerne l’accès aux images en temps réel en tant qu’il constitue une mesure de police administrative, […]. L’article 9/1 en projet est susceptible d’emporter des atteintes à la vie privée et doit, de ce fait, être assorti de garanties suffisantes pour satisfaire aux exigences de l’article 22 de la Constitution et de l’article 8 de la Convention européenne des droits de l’homme, lus en combinaison avec la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 ‘relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données’, que la loi du 8 décembre 1992 transpose en droit belge. L’article 9/1 en projet énonce la finalité du visionnage en temps réel des images comme étant liée à un objectif légitime, à savoir « le cadre strict […] de [la] mission de police administrative en vue de prévenir tout trouble de l’ordre public ou d’optimiser [l’]intervention » des services de police fédérale et locale. Il reste à vérifier si l’ingérence dans le droit au respect de la vie privée répond au principe de proportionnalité. Il convient de rappeler sur ce point l’obligation faite au responsable du traitement par la législation actuellement en vigueur d’apposer un pictogramme à l’entrée des lieux signalant l’existence d’une surveillance par caméra, que le lieu fermé soit ou non accessible au public (articles 6, § 2, alinéa 3, et 7, § 2, alinéa 7, de la loi du 21 mars 2007). L’article 9/1 ne prévoit cependant nullement si le visionnage peut revêtir un caractère permanent ou s’il doit être limité dans le temps, si son recours peut être systématique ou non ou bien encore s’il est lié ou non à une autorisation préalable au visionnage ou en vue de la prolongation de la durée initiale de visionnage autorisé. En ce qui concerne les lieux fermés, qu’ils soient ou non accessibles au public, le principe de proportionnalité serait mieux assuré si la disposition à l’examen était complétée en énonçant, à tout le moins, la durée initiale maximale autorisée du visionnage, dont la prolongation pourrait être permise moyennant l’accord de l’autorité hiérarchiquement responsable en vertu de la loi du 5 août 1992 ‘sur la fonction de police’. Pour ce qui est des lieux fermés non accessibles au public, il n’apparaît pas clairement quelle est l’intention poursuivie par l’auteur de l’avant-projet[7]. En tout état de cause, il devrait être prévu de manière plus explicite que le visionnage en temps réel des images ne peut être opéré qu’à la demande du responsable du traitement ou avec son accord » (modification de la numérotation des notes de bas de page, omissions, soulignement et mise en gras par l’Autorité). 9. Entre-temps en 2016, un article 88 d’une loi du 21 avril 2016 portant des dispositions diverses Intérieur – Police intégrée, inséré par amendement8, a modifié la disposition alors existante en ce qui concerne l’habilitation du Roi : « L’objectif [était] de permettre de maintenir suffisamment de flexibilité à l’application et la mise en place de l’accès aux images tout en conservant un cadre réglementaire qui offre suffisamment de garanties. En effet, si comme l’exige[ait] le texte [alors] actuel, les conditions et modalités de l’accès doivent être déterminées (en détail) par arrêté royal, il devient difficile de s’adapter aux réalités du terrain. […] Il apparai[ssait] donc plus justifié[…] et adapté de prévoir un arrêté royal cadre définissant les principes de base communs à toutes les situations et répondant aux préoccupations des parties concernées. De cette manière, tout en permettant de respecter les particularités des parties, l’arrêté royal permettra d’éviter que certaines questions ne se posent quant aux contours de ces notions et en garantira une application uniforme. Les autres modalités pratiques pourront ensuite être fixées dans un protocole d’accord entre les parties concernées, en tenant compte de leurs besoins, de leur situation et de possibilités techniques. L’arrêté royal précité prévoira la communication de ces protocoles d’accord à la Commission de la vie privée »9 (mis en gras par l’Autorité). 10. Tel que modifié en 2016, l’article 9, al. 4, de la Loi Caméras s’énonçait comme suit : « Sans préjudice de l'application des articles 47sexies et 47septies du Code d'Instruction criminelle, les services de la police fédérale et locale ont, dans le cadre de leurs missions de police judiciaire ou administrative, un accès en temps réel, libre et gratuit, aux images des caméras installées sur le réseau des sociétés publiques des transports en commun ou dans les sites nucléaires déterminés par arrêté royal délibéré en Conseil des ministres. Après avis de la Commission de la protection de la vie privée, le Roi définit, par arrêté royal délibéré en Conseil des ministres, ce qu'il y a lieu d'entendre pour l'application du présent article, par "accès en temps réel", "accès libre", "accès gratuit" et par "réseau des sociétés publiques des transports en commun", et Il détermine les principes de base relatifs à la responsabilité, l'installation, la sécurisation, l'accessibilité et l'échange mutuel d'informations. Les modalités techniques et pratiques du libre accès aux images, du transfert et de sa sécurisation sont déterminées dans un protocole d'accord entre le service de police et la société publique de transport en commun concernés » (mis en gras par l’Autorité). 11. En 2018, c’est finalement une loi du 21 mars 2018 modifiant la loi sur la fonction de police, en vue de régler l'utilisation de caméras par les services de police, et modifiant la loi du 21 mars 2007 réglant l'installation et l'utilisation de caméras de surveillance, la loi du 30 novembre 1998 organique des services de renseignement et de sécurité et la loi du 2 octobre 2017 réglementant la sécurité privée et particulière, qui donnera à l’article 9, al. 4, de la loi Caméras sa forme actuelle, dépourvue d’habilitation spécifique du Roi concernant sa mise en œuvre, et se limitant par conséquent à prévoir que les modalités du libre accès aux images, du transfert et de sa sécurisation sont déterminées dans des protocoles d'accord. 12. L’exposé des motifs de cette loi motive cette suppression notamment comme suit : « Déjà lors de l’adoption de la première version de l’alinéa 4 en 2009, le Conseil d’État, dans son avis 51.309/2 du 4 juin 2012, posait la question de la raison de cette habilitation. Le principe de la gratuité de l’accès est clairement fixé par la loi et si un arrêté royal devait être adopté, le Roi pourrait toujours faire usage de son pouvoir général d’exécution. Par ailleurs, les disparités constatées sur le terrain, tant au niveau des possibilités techniques, qu’au niveau des besoins et exigences des uns et des autres, font qu’il est, dans la réalité des faits, plus cohérent et opportun de laisser la latitude de mettre en place cet accès selon les accords qui seront conclus entre parties, sans adopter un arrêté royal de base. […] Les protocoles devront déterminer les modalités techniques et pratiques de l’accès (quelles caméras, visionnage en temps réel d’initiative ou sur demande, retour en arrière ou non, possibilité de diriger les caméras, responsabilité, sécurisation, enregistrement des images, échange mutuel d’informations, accords de collaboration, etc). Pour tout de même garantir le respect des principes légaux en matière de vie privée, ces protocoles devront, préalablement à leur signature, être soumis à l’avis de l’Autorité de protection des données. Cela évitera que des conventions dépassant le cadre légal soient signées par les parties concernées » (mis en gras et souligné par l’Autorité)10. 13. Cette motivation appelle deux commentaires. Premièrement, s’il est vrai qu’en 2012, le Conseil d’Etat s’interrogeait sur l’habilitation du Roi qui était envisagée, il émettait néanmoins par ailleurs, à l’égard du dispositif en projet lui-même, soit la norme du rang de loi fondant le traitement de données envisagé, les commentaires rappelés au considérant n° 7 du présent avis qui jusqu’à ce jour, ne semblent pas avoir été intégralement pris en considération. Notamment, il convient de souligner à ce sujet que la section 1re, du Chapitre IV de la loi du 5 août 1992 sur la fonction de police (ci-après, la « LFP ») ne s’applique que si l’accès aux images implique un enregistrement des images au sein des services de police mêmes. Interrogé à ce sujet, le demandeur a répondu ce qui suit : « Dans le cadre des garanties additionnelles pour l’exécution des missions de police judiciaire (avis de 2012), il convient de faire référence au cadre légal existant en matière de méthodes particulières de recherche et qui balise notamment l’observation technique par les services de police : o Loi du 6 janvier 2003 concernant les méthodes particulières de recherche et quelques autres méthodes d'enquête o Code d’instruction criminelle. C’est ainsi que le projet de loi qui a été soumis pour avis au Conseil d’Etat a été adapté en intégrant la mention suivante “Sans préjudice de l'application des articles 47sexies et 47septies du Code d'Instruction criminelle, ....” ➔ Voir à ce sujet les documents parlementaires (lien) ». 14. L’Autorité a réinterrogé le demandeur afin que d’une part, celui-ci confirme quelles garanties sont applicables s’agissant de l’exercice des missions de police administrative, et afin que d’autre part, il confirme que l’accès en temps réel aux caméras dans l’exercice des missions de police judiciaire nécessite la mise en œuvre d’une méthode particulière de recherche (l’expression « sans préjudice » n’étant pas claire sur ce point et pouvant laisser entendre que la Loi Caméras est simplement sans préjudice de la possibilité existant ailleurs, de recourir à une méthode particulière de recherche). Celui-ci a répondu ce qui suit : « La police utilise principalement l'accès en temps réel dans le cadre de son fonctionnement quotidien. En ce qui concerne les garanties juridiques supplémentaires nous nous référons à : • La loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ; • La loi du 2 mai 2019 modifiant diverses dispositions en ce qui concerne la gestion de l’information policière, qui a notamment modifié les lois suivantes o Loi sur la fonction de police o Loi organisant un service de police intégré, structuré à deux niveaux Avis 118/2024 - 12/40 • Les directives conjointes des ministres de la justice et des affaires intérieures mettant en œuvre l'article 44/4 de la LFP (sur la sécurité de l'information, les règles d'accès, l'interconnexion des bases de données policières, les mesures sur l'interconnexion des bases de données techniques, la communication) ». 15. La LTD consacre des règles générales de protection des données et les article 44/1 et s. de la LFP déterminent des règles applicables à la gestion de l’information au sein de la police (traitement de données à caractère personnel en général, y compris le traitement de catégories particulières de données, et création et le fonctionnement de banques de données opérationnelles - banques de données de base, banques de données communes, etc.). La loi du 22 mai 2019 modifiant diverses dispositions en ce qui concerne la gestion de l'information policière 11 comporte des dispositions modificatives de la LFP concernant notamment les articles 44/1 et s. de la LFP. Le présent Protocole toutefois, ne paraît pas lié à la création ou l’utilisation des banques de données de la police. Les règles transversales relatives à la gestion de l’information policière invoquées par le demandeur, ne permettent a priori pas d’identifier des garanties spécifiques relatives au recours au visionnage en temps réel des caméras du réseau de la SNCB, telles que celles qui ont été évoquées précédemment dans le contexte de l’histoire législative de l’article 9 de la Loi Caméras. 16. S’agissant de l’exercice des missions de police administrative, il appartient au demandeur d’identifier dans le Protocole, les dispositions spécifiques des normes qu’il évoque qui constitueraient des garanties du type de celles évoquées alors par le Conseil d’Etat et la Commission de la Protection de la Vie Privée. A défaut de disposition(s) particulière(s) prévoyant de telles garanties, l’Autorité est d’avis que le cadre normatif applicable en la matière devrait être adapté en conséquence. 17. Ensuite, s’agissant des missions de police judiciaire, le Protocole doit expliciter que le recours au visionnage en temps réel des caméras de surveillance de la SNCB dans le cadre de missions de police judiciaire ne peut avoir lieu que dans le cadre d’une méthode particulière de recherche. 18. Deuxièmement, l’Autorité rappelle qu’un traitement de données tel que celui en cause en l’occurrence, soit l’accès en temps réel par la police, pour l’exercice de l’ensemble de ses missions de police judiciaire et administrative, à toutes les caméras de surveillances des sociétés de transport public, y compris dans des lieux fermés accessibles ou pas au public, entraîne une ingérence importante dans les droits et libertés des personnes concernées – entre autres12, il s’agit d’un nombre évolutif de caméras fixé à ce jour dans le Protocole, à 6300. Conformément aux principes de prévisibilité et de légalité notamment consacrés dans les articles 8 CEDH, 22 de la Constitution, il appartient à une norme du rang de loi de déterminer les éléments essentiels des traitements de données concernés, soit : la (les) finalité(s) précise(s) des traitements de données, l’identité du (des) responsable(s) du traitement, les données ou catégories de données qui sont nécessaires à la réalisation de cette (ces) finalité(s), le délai de conservation des données 13, les catégories de personnes concernées dont les données seront traitées, les destinataires ou catégories de destinataires auxquels les données seront communiquées et les circonstances dans lesquelles elles seront communiquées, ainsi que la limitation éventuelle des obligations et/ou des droits mentionnés aux articles 5, 12 à 22 et 34 du RGPD. 19. A ce propos d’une part, la conclusion de protocoles, même soumis à l’avis de l’Autorité, ne pourrait remédier à l’éventuelle méconnaissance de ces principes par l’article 9, al. 4, de la Loi Caméras. D’autre part, la conclusion de tels protocoles constitue néanmoins une condition de licéité (article 5, 1., a), du RGPD) du traitement de données mis en place. 20. En outre, conformément au principe de proportionnalité, le traitement doit être efficace dans la réalisation de l’objectif poursuivi, constituer la voie la moins intrusive pour atteindre cet objectif et garantir un juste équilibre entre les intérêts, droits et libertés des personnes concernées (autrement dit, les inconvénients qu’il cause ne doivent pas être démesurés par rapport à l’objectif poursuivi). II.1.2. Application des principes de prévisibilité et de légalité et de proportionnalité 21. Pour rappel, l’article 9, al. 4, de la loi Caméras se limite en substance à prévoir que « Sans préjudice de l'application des articles 47sexies et 47septies du Code d'Instruction criminelle, les services de la police fédérale et locale ont, dans le cadre de leurs missions de police judiciaire ou administrative, un accès en temps réel[14], libre et gratuit, aux images des caméras installées sur le réseau des sociétés publiques des transports en commun[15] ». Il ne consacre plus aucune habilitation particulière du Roi à prendre un arrêté royal délibéré en Conseil des ministres. 22. L’article 25/1, § 2, de la loi du 5 août 1992 sur la fonction de police (ci-après, la « LFP ») prévoit que les dispositions de la section 1re, du Chapitre IV de la LFP (« De la forme et des conditions générales d’exercice des missions »), « sont applicables aux services de police lorsqu’ils ont accès en temps réel aux images de caméras de surveillance installées par d’autres responsables du traitement, en application de la loi [Caméras] ou d’autres lois, si cet accès implique un enregistrement des images au sein des services de police mêmes » (mis en gras par l’Autorité). Autrement dit, lorsque les services de police consultent en temps réel les caméras concernées sans procéder à un enregistrement, seul l’article 9, al. 4, de la loi Caméras serait applicable16. 23. Sur la base de cette distinction, le régime juridique applicable à l’utilisation des caméras des sociétés de transport public par les services de police appelle les commentaires suivants, au regard des principes de prévisibilité, de légalité et de proportionnalité. A) Visionnage en temps réel sans enregistrement 24. L’Autorité l’a déjà mis en évidence, la détermination des éléments essentiels du traitement dans le cadre du fonctionnement d’un service d’enquête et de contrôle résultera de l’application de diverses règles : celles qui fixent les règles matérielles dont la mise en œuvre est recherchée (par exemple en l’occurrence, le Code pénal), celles qui concernent les compétences et pouvoirs du service ainsi que les modalités de leur exercice (par exemple ne l’occurrence, la LFP et le Code d’Instruction Criminelle) et enfin, les règles spécifiquement dédiées à la protection des données (par exemple en l’occurrence, le titre 2 de la LTD) – étant entendu qu’il n’est évidemment pas exclu que les deux autres corps de règles évoqués contiennent aussi des règles dédiées à la protection des données (la LFP l’illustre)17. 25. Dans l’hypothèse du visionnage sans enregistrement, l’Autorité est d’avis que compte-tenu de sa formulation tout à fait générale, l’article 9, al. 4, de la Loi Caméras ne détermine pas les éléments essentiels des traitements de données envisagés conformément aux principes de prévisibilité et de légalité et ne comporte aucune garantie de nature à assurer la proportionnalité du traitement envisagé. Notamment : s’agissant de la finalité du traitement, l’article 9, al. 4, se borne à se référer à l’ensemble des missions de police judiciaire et de police administrative (initialement, la loi de 2012 visait le renforcement de la sécurité dans les transports publics, comme son intitulé l’indiquait ; le demandeur confirme par ailleurs dans les réponses communiquées suite aux demandes d’informations de l’Autorité qu’il s’agit bien de la finalité poursuivie18) ; il ne précise rien des circonstances susceptibles de justifier le visionnage en temps réel des caméras concernées (par exemple, lors d’une intervention) et des conditions dans lesquelles ce visionnage doit avoir lieu ; il n’identifie pas de responsable(s) du traitement et les destinataires des données (il se limite à se référer aux services de police) ; s’agissant des données concernées et du traitement lui-même, il se réfère de manière très générale à toutes les caméras présentes sur les réseaux des sociétés de transport en commun (sans distinction selon le type de caméra, fixe, fixe temporaire, visible, mobile, intelligente-ANPR-ou pas, ou la localisation des caméras, lieu ouvert accessible au public, lieu fermé accessible-train, bus- ou non-bureaux- au public) ; société (et réseau) qu’il ne définit pas par ailleurs (fût-ce par une simple référence à la législation applicable). A la lecture de cette disposition, il n’est pas possible d’entrevoir les traitements de données qui seront réalisés. C’est le Protocole communiqué à l’Autorité pour avis et les réponses communiquées par le demandeur qui apportent certaines réponses à ces questionnements qui devraient être résolus dans le cadre normatif applicable (Loi Caméra, LFP et le cas échéant, arrêté royal délibéré en Conseil des ministres). 26. L’Autorité est d’avis que l’article 9, al. 4, de la loi Caméras doit par conséquent être adapté à l’aune de ces considérations ainsi que des développements ultérieurs concernant le Protocole. Sans cadre légal suffisamment clair, l’Autorité peut difficilement évaluer le Protocole soumis pour avis. B) Visionnage en temps réel avec enregistrement par la police, via ses propres moyens 27. S’agissant du visionnage en temps réel en vue de la réalisation par la police, avec ses propres moyens19, d’un enregistrement, la section 1re, du Chapitre IV de la LFP (« De la forme et des conditions générales d’exercice des missions »), s’applique en sus de l’article 9, al. 4, de la loi Caméras. 28. Les articles de cette section de la LFP prévoient certaines garanties concernant l’utilisation des caméras par les services de police, à savoir en particulier : la nécessité d’obtenir l’accord du gestionnaire du lieu (lorsque celui-ci n’est pas la police)20 ; la nécessité d’obtenir une autorisation de principe (selon, du conseil communal ou du ministre de l’Intérieur) 21 ; des règles concernant la conservation des données22 et l’accès aux données conservées23 ; des règles relatives à l’inventaire des traitements 24. L’article 25/5, § 1er, de la LFP prévoit que « L’utilisation de caméras a lieu sur décision et sous la responsabilité du fonctionnaire de police visé aux articles 7 à 7/3[25], lequel veille au respect des principes de proportionnalité et de subsidiarité »26. 29. S’agissant de l’accord du gestionnaire du lieu visé à l’article 25/3, § 1er, 2°, de la LFP, l’Autorité a interrogé le demandeur quant à la question de savoir pourquoi n’étaient visées que les « stations de transport public » et pas plus généralement, l’ensemble des caméras fixes et fixes temporaires des lieux fermés accessibles au public des sociétés de transport en commun. Celui-ci a répondu ce qui suit : « La loi sur la fonction de police (LFP) ne trouve pas à s’appliquer dans le cadre de ce Protocole. De ce fait, la police ne doit pas demander l’autorisation du gestionnaire du lieu (SNCB). Le protocole se base sur l’article 9, alinéa 4 de la Loi Caméras lequel confère « […] un accès en temps réel, libre et gratuit, aux images des caméras installées sur le réseau des sociétés publiques des transports en commun […] ». 30. L’Autorité a réinterrogé le demandeur sur ce point dès lors que d’une part, la Loi Caméras ne prévoit pas de distinction selon que l’accès en temps réel implique ou non un enregistrement par les services de police, et que d’autre part, l’article 25/1, § 2, de la LFP vise explicitement l’hypothèse de l’accès en temps réels aux caméras d’autres responsables du traitement en vertu de la Loi Caméras. Le demandeur a répondu ce qui suit : « Dans le cadre de ce présent protocole, il n’est pas permis que les services de police enregistrent les images qu’ils visionnent ; il s’agit uniquement d’un visionnage en temps réel sans enregistrement. Or l’article 25/1, §2 de la LFP ne s’applique que si les services de police enregistrent les images auxquelles ils ont accès en temps réel ». 31. L’Autorité prend acte du fait que le Protocole se limite exclusivement au visionnage en temps réel des caméras du réseau de la SNCB, sans possibilité pour la police d’enregistrer les données. Elle ne poursuit par conséquent pas plus loin l’analyse concernant l’accès en temps réel aux caméras de la SNCB avec enregistrement des images par la police 27. II.2. Commentaires concernant le Protocole 32. Les commentaires suivants, relatifs au Protocole, sont sans préjudice des commentaires précédents selon lesquels la Loi Caméras devrait être adaptée. II.2.1. Responsable du traitement (pp. 3 et 8) 33. L’Autorité rappelle sa pratique d’avis constante selon laquelle une autorité publique (ou une entité privée) est en principe responsable du traitement de données nécessaire à la mise en œuvre de la mission d’intérêt public qui lui incombe (ou qui relève de l’autorité publique dont elle est investie)28, ou nécessaire à l’obligation légale qui la lie29, en vertu de la norme concernée30, 31. 34. A cet égard, le point IV., a), du Protocole doit être adapté et clarifié afin de préciser que la SNCB est responsable de la mise à disposition de ses caméras conformément à la Loi Caméras, ainsi que des opérations de traitement mises à sa charge dans le cadre du Protocole (telles que la réalisation de la journalisation en la matière). Sa responsabilité en exécution du RGPD ne se limite pas aux traitements de données qu’elle réalise pour ses propres finalités, mais s’étend également aux traitements de données nécessaires à la mise en œuvre de l’obligation légale qui lui incombe en l’occurrence, en exécution de la Loi Caméras, comme le laisse d’ailleurs entendre le point VII., a), p. 8, du Protocole. 35. Le Protocole rappelle que la SNCB « décide seule de l’emplacement des caméras de surveillance, de leur orientation, du type et de la technologie de la caméra et du logiciel correspondant. La Police Fédérale peut faire des suggestions » (mis en gras par l’Autorité). L’Autorité souligne en l’occurrence que l’accès en temps réel aux caméras de la SNCB constitue un traitement ultérieur de données. Toute suggestion à la SNCB concernant son propre réseau de caméras doit par conséquent et de toute évidence être liée aux finalités initiales du traitement de données via ce réseau, par la SNCB. Autrement dit, de telles suggestions ne pourront être émises que lorsque les finalités poursuivies par la police elle-même et la SNCB, via les caméras concernées, se recoupent. L’Autorité est d’avis que le Protocole doit être adapté en ce sens. II.2.2. Définitions reprises dans le Protocole (pp. 4-5) et finalité du traitement 36. L’Autorité est d’avis que le protocole doit se référer aux dispositions précises des règles applicables qui définissent les concepts qu’il sollicite, plutôt que reprendre des définitions et se référer de manière générale aux textes normatifs pertinents. L’Autorité ne perçoit par ailleurs pas de plus-value à définir le concept de « finalité » en l’occurrence, comme « le but pour lequel les données sont traitées ». Cette définition doit être omise. II.2.3. Finalité du traitement (pp. 5-6, 9-10) A) Finalité(s) – missions concernées, circonstances de l’accès, retour sur images 37. Deux définitions sont propres au Protocole, soit celle de « gestionnaire d’images », « le service de la SNCB en charge de la gestion des images », et celle de « visionnage en temps réel », soit le « mode de traitement des images qui permet aux services de police d’intervenir immédiatement dans le cadre de leurs missions de police administrative et judiciaire et de les guider au mieux dans leurs interventions » (mis en gras par l’Autorité). Cette définition comporte un élément de finalité du traitement prévu par la Loi Caméras, tout comme les développements de la p. 6 du Protocole définissant le « Type d’accès » et selon lesquels notamment : « Afin de guider l’intervention des services de police au mieux, cet accès inclut la possibilité pour la Police Fédérale d'effectuer un retour sur images d’une heure maximum ; la durée de ce retour sur images se justifie par la durée totale de l’intervention des services de police depuis la commission du fait jusqu’à l’intervention proprement dite (en ce compris l’appel au 112, l’attribution de la mission au service de police concerné, , la consultation, l’identification des faits et des personnes, la transmission des éléments d’information aux équipes sur le terrain pour la recherche des auteurs et/ou la prise des mesures,…etc.) » (mis en gras par l’Autorité). Le Protocole prévoit encore (p. 6) que la police fédérale peut visionner les images « d’initiative dans le cadre exclusif de ses missions de police administrative ou judiciaire ». 38. Outre le renvoi général aux missions de police administrative et de police judiciaire, le Protocole prévoit de manière non limitative que (p. 9) : « Ces finalités sont entre autres : • gérer la mobilité ; • gérer les événements ; • suivre et, le cas échéant, gérer en direct le déroulement d'une intervention policière ou les situations de crise (multidisciplinaires ou non) ; • accroître la sécurité des citoyens et du personnel des services de police ou de tout autre service d'intervention d'urgence ; • faire face à tout dysfonctionnement urbain (travaux, obstacles physiques, éclairage,…) pouvant avoir un impact sur la sécurité publique et/ou la tranquillité publique ; • prévenir, constater, déceler des infractions ou des incivilités sur la voie publique, ou y maintenir l’ordre public ; • prévenir, détecter et constater les infractions aux règlementations locales (arrêtés, ordonnances, conditions d’autorisation/d’exploitation…) ; • rechercher les crimes, les délits et les contraventions, en rassembler les preuves, en donner connaissance aux autorités compétentes, en saisir, arrêter et mettre à la disposition de l'autorité compétente les auteurs, de la manière et dans les formes déterminées par la loi ; • recueillir l’information de police administrative visée à l'article 44/5, § 1er, alinéa 1er, 2° à 6° de la LFP. En ce qui concerne l'article 44/5, § 1er, alinéa 1er, 5°, cette utilisation ne peut en outre être autorisée qu'à l'égard des catégories de personnes visées aux articles 18, 19 et 20 de la LFP (mis en gras par l’Autorité). 39. Une telle énumération non limitative, large et dépourvue de critère sur la base desquels les caméras peuvent être consultées in concreto, ne détermine pas les circonstances dans lesquelles la police est susceptible d’accéder en temps réel aux images des caméras du réseau de la SNCB32. En outre, de nombreux concepts utilisés sont flous et indéterminés (« gérer la mobilité » ; « accroître la sécurité » ; « faire face à un dysfonctionnement urbain ». Toutes les finalités annoncées ne paraissent pas non plus nécessairement compatibles avec la consultation en temps réel sans enregistrement des données concernées (comment à cet égard, « rassembler les preuves » ou encore « recueillir l’information de police administrative » visée à certaines dispositions de la LFP et traitée dans la BNG et les banques de données de base?). Les finalités annoncées peuvent également encore poser question en ce qui concerne la relation entre l’espace supposé être filmé par le réseau de la SNCB et la finalité poursuivie. En effet, sont visées en général « la voie publique » ainsi que les réglementations locales (notamment, les conditions d’autorisation/d’exploitation), alors que les caméras sont supposées filmer des « lieux fermés accessibles au public du domaine de la SNCB »33. Il est enfin à souligner qu’initialement, en 2012, l’objectif était clairement de renforcer la sécurité dans les transports en public, comme l’intitulé de la loi de 2012 l’indiquait lui-même34. Les réponses du demandeur confirment par ailleurs l’actualité de cette finalité35. 40. L’Autorité a interrogé le demandeur quant à la finalité des traitements concrètement envisagés, ainsi que quant aux faits (conditions, événements, autres ?) qui vont justifier une consultation des caméras, ainsi que quant au fondement juridique qui permettrait un « retour sur image d’une heure maximum » dès lors que c’est un accès en temps réel qui est envisagé par l’article 9, al. 4, de la Loi Caméras. Dans ce cadre, l’Autorité a invité le demandeur à lui communiquer toute information utile (y compris une analyse d’impact) de nature à identifier les scénarios concrets dans lesquels la police doit accéder en temps réel au réseau de caméras de la SNCB. 41. Dans la réponse communiquée à l’Autorité, le demandeur a réitéré l’article 9, al. 4, de la Loi Caméras, a cité les articles 14 et 15 de la LFP, et a précisé ce qui suit : « Les traitements effectués par les services de police dans le cadre du visionnage des images des caméras de surveillance de la SNCB sont soumis au Titre II de la LPD. C’est donc le COC, en tant qu’Organe de Contrôle de l’Information policière, qui est notre organe de contrôle pour ces traitements ». 42. L’Autorité a réinterrogé le demandeur sur ce point. Elle est en effet compétente pour rendre un avis sur le Protocole conformément à la Loi Caméras, elle est compétente à l’égard du flux de données prévu par cette loi entre la SNCB (responsable du traitement) et les services de police, et il lui appartient notamment dans ce contexte à veiller à la conformité du Protocole au cadre normatif applicable. Le demandeur a répondu ce qui suit : « Les finalités de l’article 3 de la Loi caméras vont de pair avec les finalités des articles 14 et 15 de la LFP : prévenir, constater ou déceler des infractions contre les personnes ou les biens, maintien de l’ordre public. Il n’est donc pas possible de fournir une liste exhaustive de différents scénarios ». 43. Pourtant, comme l’Autorité l’a indiqué au demandeur, il convient de relever à ce sujet que si les réponses initialement communiquées par celui-ci semblent indiquer de manière générale qu’il existe des scénarios très différents (gestion d’un événement de grande ampleur ; réaction à un accident ; « découverte d’une infraction » ; une intervention à « guider », hypothèse à laquelle se réfère le Protocole, etc.) qui impliquent un déclenchement du traitement et des traitements assez différents, cela n’empêche pas que des scénarios (légitimes) semblent néanmoins se dessiner (ex. organisation d’un évènement de grande ampleur nécessitant une surveillance des voyageurs afin de garantir la sécurité dans les transports publics ; signalement de la commission d’une infraction sur le réseau de transport public ; signalement d’un accident sur le réseau de transport public ; appel à l’aide depuis le réseau de transport public ; etc.). Ceux-ci devraient pouvoir d’une manière ou d’une autre, être explicités dans le Protocole. Et ce d’autant plus qu’il est logique d’attendre d’un Protocole une précision plus grande encore, que celle du texte normatif qui le fonde (sans préjudice du commentaire émis précédemment au sujet de la qualité de la Loi Caméras). Cela est d’autant plus vrai qu’en matière de flexibilité au regard des besoins de la police, le Protocole peut toujours être adapté assez rapidement, après avis de l’Autorité. De sorte qu’en pratique, le détail du Protocole ne devrait pas être un obstacle à l’ajustement du traitement aux besoins de la police. C’est d’ailleurs depuis 2012 qu’il est question d’accès en temps réel aux caméras des sociétés de transport public de telle sorte qu’il peut raisonnablement être attendu que les besoins en la matière soient désormais assez précisément déterminés. 44. A défaut de réponse claire du demandeur en la matière, l’Autorité ne peut se prononcer quant aux hypothèses (scénarios) concrètes qui sont susceptibles de déclencher le recours au visionnage en temps réel des caméras de surveillance. Or l’Autorité est d’avis que celles-ci (ceux-ci) doivent être identifiées clairement et exhaustivement dans le Protocole, et être conformes à la finalité poursuivie par l’article 9, al. 4, de la Loi Caméras. 45. En ce qui concerne le « retour sur images », celui-ci n’apparaît clairement pas relever du visionnage en temps réel, s’agissant d’accéder à des images enregistrées. Or le fait que l’accès soit « en temps réel » fait partie des rares conditions fixées par la Loi Caméras. Interrogé au sujet du fondement légal du retour sur images, le demandeur a répondu ce qui suit : « Le retour sur images ne repose pas sur un fondement juridique spécifique. Le retour sur images s’inscrit dans l’action d’une déclaration ou d’une découverte d’une infraction où, dans la phase réflexe, une série immédiate de mesures d’enquête doit être prise, même des images de caméras déterminées peuvent être regardées de manière rétroactive, en vue des premières mesures policières urgentes. En-dehors de ces circonstances particulières, il sera fait usage de l’article 9, alinéa 3 de la Loi Caméras ». 46. L’Autorité prend acte de cette réponse et est d’avis que le Protocole ne peut pas prévoir un retour sur images en exécution de l’article 9, al. 4, de la Loi Caméras tel qu’il existe actuellement. Le retour sur image consiste en effet à accéder à des images qui ont été enregistrées par la SNCB. B) Accès en temps réel et enregistrement 47. Le Protocole paraît exclure de son champ d’application le visionnage en temps réel avec enregistrement des images par la police, tel que visé à l’article 25/1 de la LFP. Le Protocole précise en effet que l’accès envisagé « n’inclut pas la possibilité pour la Police Fédérale d'enregistrer, de quelque manière que ce soit, les images dans ses locaux ou de les sauvegarder sur un support de données interne ou externe. Le retour sur images est également réalisé par l’accès direct aux images des caméras de surveillance de la SNCB et n’implique pas non plus un enregistrement au sein de la Police Fédérale » (mis en gras par l’Autorité). L’Autorité a interrogé le demandeur sur la raison pour laquelle il en était ainsi. Celui-ci a répondu ce qui suit : « Seul un accès en temps réel, libre et gratuit, conformément à l’article 9, alinéa 4 de la loi Caméras, est autorisé en application de ce protocole. Rien n’empêche que ponctuellement d’autres accords bilatéraux entre un service de police (locale ou fédérale) et la SNCB soient conclus ultérieurement, sur base de l’article 25/3, §1, alinéa 1, 2°, b) de la LFP ». 48. Sur ce point, l’Autorité a invité le demandeur à confirmer qu’il considérait bien que tout accès en temps réel (avec ou sans enregistrement) devait être couvert par un protocole visé à l’article 9, al. 4, de la loi Caméras. Celui-ci a répondu ce qui suit : « En cas de visionnage en temps réel donnant lieu à un enregistrement de ces images par les services de police, les services de police deviendront également responsables de traitement et seront soumis aux articles 25/1 et suivants de la LFP. À ce titre, ils devront demander l’accord du gestionnaire de lieu ». 49. L’Autorité prend acte des réponses communiquées par le demandeur et est d’avis que le Protocole doit être plus explicite quant au fait qu’en exécution de celui-ci, il est interdit à la police d’enregistrer les images consultées en temps réel. Elle rappelle en outre qu’un Protocole est également nécessaire dans l’hypothèse d’un accès en temps réel aux caméras du réseau de la SNCB, avec enregistrement subséquent réalisé par la police. C) Accès aux images enregistrées par la SNCB 50. Le Protocole évoque l’hypothèse de l’accès aux images enregistrées par la SNCB, et prévoit également ce qui suit (p. 6) : « Nonobstant l’accès par la Police Fédérale aux images des caméras de surveillance en temps réel, la SNCB peut transmettre les images aux services de police si elle constate des faits pouvant être constitutifs d’infraction ou d’incivilités et que les images peuvent contribuer à faire la preuve de ces faits ou à en identifier les auteurs. La SNCB doit également transmettre gratuitement les images aux services de police si ceux-ci les réclament dans le cadre de leurs missions de police administrative ou judiciaire et si les images concernent l’infraction ou les incivilités constatées, conformément à l’article 9, alinéa 3 de la Loi caméras » (mis en gras par l’Autorité). 51. L’Autorité est d’avis que ces traitements de données sont étrangers à l’exécution de l’article 9, al. 4, de la Loi Caméras par le Protocole, et doivent par conséquent être omis de ce Protocole. Le demandeur peut néanmoins tout à fait prévoir dans le Protocole que celui-ci est sans préjudice des autres voies légales d’accès aux données traitées par la SNCB dont jouit la police. 52. Dans le même ordre d’idée, l’Annexe I au Protocole comporte un point 3), 3) (p. 16), intitulé « Décrire comment la police peut avoir accès aux images en différé (procédure d’obtention d’une copie des images) » (mis en gras par l’Autorité). Pour les mêmes raisons, l’Autorité est d’avis que ce point de l’annexe au Protocole, qui concerne l’accès aux images enregistrées par la SNCB, doit être omis du Protocole et de son annexe. 53. Il convient de souligner de manière générale à cette occasion, que le présent avis est également sans préjudice des autres voies légales d’accès aux images des caméras de vidéosurveillance par la police au sujet desquelles il ne se prononce pas. Si la distinction entre ces différents canaux d’accès (accès en temps réel, accès en temps réel avec enregistrement par la police et enfin, accès aux images conservées par la SNCB dans le cadre de l’article 9, al. 3°, de la Loi Caméras) peut a priori apparaître, dans une certaine mesure, artificielle, dès lors que la police en pratique, y aura globalement recours selon les besoins du cas concret concerné, force est de constater que les régimes juridiques applicables à ces canaux varient selon les cas. Il en est de même des risques pour les droits et libertés des personnes concernées, chaque hypothèse nécessitant d’ailleurs un équilibre entre droits, intérêts et libertés en présence qui lui est propre. II.2.4. Personne ayant accès aux données (p. 6) A) Personnel du cadre administratif de la police 54. A la différence des dispositions de la LFP régissant l’utilisation des caméras, le Protocole prévoit que les accès peuvent également être octroyés à des membres du « cadre administratif et logistique » de la Police Fédérale. Le Protocole se réfère également à l’article 45 de la LFP à la fois à l’égard des membres du cadre opérationnel et du cadre administratif de la police, alors que cette disposition de la LFP ne semble pas viser ces derniers36. L’Autorité a interrogé le demandeur à ce sujet. Il a répondu ce qui suit : « La loi sur la fonction de police ne limite pas l'accès aux images caméras aux seuls membres du cadre opérationnel de la Police Intégrée (GPI). la LFP mentionne à plusieurs reprises "les services de police". Il existe une exception pour laquelle seuls les membres du cadre opérationnel ont un accès aux enregistrements, c'est pour les caméras individuelles (bodycams). Par ailleurs, dans un autre contexte, l'Arrêté royal du 9 mars 2014 désignant les catégories de personnes habilitées à visionner en temps réel les images des caméras de surveillance installées dans des lieux ouverts, et déterminant les conditions auxquelles ces personnes doivent satisfaire (lien) prévoit également la possibilité pour les membres du personnel du cadre administratif et logistique des services de police de visionner les images issues des lieux ouverts ». 55. L’Autorité a réinterrogé le demandeur sur ce point, dès lors que l’article 25/5, § 1 er, de la LFP prévoit que l’utilisation de caméras a lieu sur décision et sous la responsabilité du fonctionnaire de police visé aux articles 7 à 7/3 de la LFP (situés dans une section « Coordination et direction des opérations »). Or ces dispositions se réfèrent aux membres du cadre opérationnel des services de police ainsi qu’à leur hiérarchie, et à la coordination et la direction opérationnelles des missions de police. Dans ce cadre, un membre du cadre administratif peut-il également réaliser des opérations comme un membre du cadre opérationnel, en exécution de la LFP (ou d’autres lois) ? Le demandeur a précisé ce qui suit : « Conformément à l’article 118, alinéa 1 de la Loi organisant un service de police intégré, structuré à deux niveaux (LPI), un membre du personnel du cadre administratif et logistique (CaLog) n’est pas un fonctionnaire de police. Même s’ils contribuent à l’exécution des missions visées aux articles 14 et 15 LFP, dont notamment le traitement de données à caractère personnel au sens de la section 12 de la LFP (articles 44/1 et suivants de la LFP), ils ne peuvent pas pour autant exercer des compétences réservées au cadre opérationnel et ne peuvent exécuter aucune mesure de police (article 118, al. 4 LPI). Néanmoins, dans le cadre de sa mission d’appui au cadre opérationnel, un membre du personnel CaLog peut être amené à réaliser une mission pour un fonctionnaire de police mais celle-ci doit être validée par le fonctionnaire de police à qui il vient en appui. Les membres du CaLog mentionnés aux articles 138, §1, 3° et 4° et 138bis de la LPI et 90quater du Code d’instruction criminelle disposent, quant à eux, respectivement de la qualité d’officier ou d’agent de police judiciaire ». 56. L’Autorité est d’avis que le Protocole doit être précisé à l’aune de la réponse communiquée par le demandeur. A cette fin, il doit se référer aux dispositions normatives pertinentes autorisant les membres du cadre administratif de la police à intervenir dans le contexte d’une mission d’appui au cadre opérationnel, de manière telle que ceux-ci pourront dans ce contexte, procéder au visionnage en temps réel des images des caméras de surveillance de la SNCB. B) Autres personnes que les membres des services de police 57. Le Protocole prévoit que « Lorsque d'autres personnes que des membres des services de police, dans le cadre de l'exercice des compétences qui leur sont confiées par ou en vertu de la loi qui régit leurs missions, sont appelées à visionner en temps réel ces images, dans le cadre de la gestion multidisciplinaire d'événements de police administrative et/ou de police judiciaire, notamment dans le cadre de postes de commandement intégrés, cela s'exerce sous le contrôle des services de police » (mis en gras par l’Autorité). 58. Cependant, la Loi Caméras ne prévoit pas que l’accès en temps réel dont jouissent les services de police puisse être partagé avec d’autres autorités publiques (dans cette logique d’ailleurs, ce sont bien des droits d’accès individuels qui sont accordés par le Protocole). L’Autorité a interrogé le demandeur sur le fondement légal du Protocole à ce sujet. Celui-ci a répondu ce qui suit : « Cette hypothèse vise principalement à permettre aux services de police de visionner en temps réel les images dans le cadre de la gestion d'événements au sein de postes de commandement en présence des autorités administratives/judiciaires et/ou de membres d'autres disciplines. A titre d'exemple: ▪ Si dans le cadre d'un accident ferroviaire au sein d'une gare, un poste de commandement multidisciplinaire est mis en place sous la conduite de l'autorité administrative. L'objectif est de permettre aux services de police d'accéder en temps réel aux images et de (faire) visionner la situation (ampleur, incidence, impacts, coordination,...) à l'autorité administrative et aux autres disciplines (pompiers, aide médicale,....) ▪ Une situation similaire pourrait être envisagée dans le cadre d'une opération de police judiciaire coordonnée au départ d'un poste de commandement au sein duquel le magistrat (procureur et/ou juge d'instruction) prend part et visualise en temps réel le bon déroulement de l'opération ». 59. L’Autorité prend acte de cette explication. Elle est néanmoins d’avis que le Protocole doit préciser que d’autres personnes que les membres des services de police ne peuvent également et concomitamment visionner en temps réel les images des caméras du réseau de la SNCB, que si le cadre normatif applicable à leur mission concernée l’autorise (ou autorise leur participation directe à l’action du service de police concerné, s’agissant des magistrats sous l’autorité desquels les services de police agiraient dans le cadre des missions de police judiciaire), et ce, dans la mesure permise par ce cadre normatif. 60. Le Protocole doit en outre prévoir qu’une telle participation d’autres personnes au visionnage en temps réel des images des caméras du réseau de la SNCB devra faire l’objet d’une journalisation « similaire » à celle des accès réalisés par les membres des services de police (identité, motif du visionnage et mission légale concernée, etc.). « Similaire » dans la mesure où l’accès individuel qui sera utilisé pour visionner les caméras in concreto sera techniquement celui du membre du service de police concerné. Le système mis en place devra permettre également cette journalisation supplémentaire. II.2.5. Détermination des caméras (p. 7) 61. Le Protocole prévoit que l’accès « aux images en temps réel concerne des caméras de surveillance visionnant des lieux fermés accessibles au public du domaine géré par la SNCB. Il s’agit en particulier : » (mis en gras par l’Autorité), et le Protocole liste une série de lieux. 62. C’est l’annexe 1 du Protocole (« Modalités techniques ») qui précise que le nombre de caméras concernées est de 6300 (en évolution en fonction des analyses de risque) et que les caméras concernées ne peuvent pas être mobiles ou intelligentes 37. Il précise encore que les caméras peuvent être « fixes et fixes temporaires (pas de caméras mobiles ou intelligentes) ». L’Autorité est avant tout d’avis que ces éléments doivent être repris comme dans le corps du Protocole lui-même, s’agissant d’un élément essentiel du traitement (il en va des catégories de données collectées) plutôt que d’une modalité technique. 63. A ce sujet, l’Autorité a interrogé le demandeur afin qu’il lui communique une liste exhaustive des catégories de lieux concernés. L’Autorité l’a également interrogé afin de confirmer qu’aucune caméra intelligente (ANPR ou autre) n’était concernée par le champ d’application du Protocole (sans préjudice de la question de savoir si la SNCB peut ou pas installer de tels dispositifs) et que seule était concernée l’utilisation visible de caméras (au sens de la LFP). Celui-ci a répondu ce qui suit : « Il est difficile de prévoir une liste exhaustive, étant entendu que le parc de caméras de la SNCB est évolutif. Les accès concernent néanmoins des caméras qui ont un lien avec la ratio legis du partage des images, à savoir améliorer la sécurité dans les réseaux de transports en commun. Le protocole nous semble par ailleurs précis mais on peut y ajouter, par rapport au premier tiret des lieux cités, à savoir les « parties accessibles au public des gares et points d’arrêts non gardés » : les entrées/sorties, halls, salles d’attente en gare, ascenseurs utilisés par le public, espaces de passage du public et food-courts, zones des coffres à louer (lockers), Channel Terminal et zone Schengen (Bruxelles-Midi), zones de contrôle des voyageurs pour le trafic international dans les gares de Bruxelles-Midi/Anvers-Central/Liège-Guillemins (cfr dispositifs de sécurité mis en place par le gouvernement en 2016). La SNCB est la responsable de traitement et doit donc respecter la loi Caméras et doit signaler l’existence d’une surveillance caméra conformément à l’Arrêté Royal du 10 février 2008 définissant la manière de signaler l'existence d'une surveillance par caméra. Nous sommes donc exclusivement dans le cadre d’une utilisation visible. La LFP n’est donc pas d’application pour ce protocole (cf. question 2 supra). L’utilisation de caméras intelligentes est effectivement exclue » (mis en gras par l’Autorité). 64. L’Autorité prend acte de cette réponse. Elle est d’avis que le corps du Protocole doit lui-même viser les caméras concernées, qu’il doit être adapté à l’aune de la réponse communiquée par le demandeur (précisions de certains lieux ; utilisation visible de caméras) et qu’il doit enfin expliciter qu’il n’est pas applicable aux éventuelles caméras intelligentes auquel la SNCB aurait recours (sans préjudice de la question de savoir si cette dernière peut et dans quelle mesure elle peut recourir à de tels dispositifs). 65. Le Protocole précise encore que « Lorsque le poste de travail du personnel des guichets se situe dans un lieu accessible au public de la gare (« guichets ouverts »), l’accès aux images se fera de manière à limiter au maximum la possibilité de contrôler le processus de travail de ce personnel » (mis en gras par l’Autorité). L’Autorité a interrogé le demandeur sur la pertinence de ce passage du Protocole dès lors que « contrôler le processus de travail de ce personnel » paraît être une finalité totalement étrangère à la finalité poursuivie par le Protocole et la Loi Caméras. S’agirait-il plus largement de ne pas pouvoir exercer les missions de police administrative ou judiciaire à l’égard des membres du personnel de la SNCB ? Le demandeur a répondu ce qui suit : « L'objectif n'est pas d'empêcher que des missions de police administrative et/ou judiciaire puissent être exercées à l'encontre du personnel de la SNCB. S'agissant du visionnage des caméras par les services de police, il n'y a pas lieu de faire référence à cette finalité dans le protocole, sauf à considérer les membres de la police de chemin de fer comme étant sur leur lieu de travail. Cet ajout vise uniquement à montrer au personnel des guichets que les images ne seront jamais utilisées dans une finalité de contrôle du processus de travail, quel que soit le service qui visionne les images ». 66. L’Autorité prend acte de cette explication et est d’avis que le passage concerné du Protocole doit être omis dès lors que le contrôle du processus de travail du personnel de la SNCB constitue une finalité qui n’est manifestement pas visée par le Protocole (un accès aux caméras à cette fin dans le cadre du Protocole serait par conséquent illicite). II.2.6. Mesures techniques et organisationnelles : journalisation (p. 11) A) Journalisation du visionnage par des personnes autres que le membre du service de police dont l’accès individuel est utilisé 67. Le Protocole doit prévoir une journalisation spécifique du visionnage en temps réel des images des caméras de surveillance par les personnes qui ne sont pas le membre du service de police dont l’accès individuel est utilisé, y compris et tout particulièrement les personnes qui ne sont pas membres du service de police concerné (considérants nos 57-60). B) Journalisation de la finalité de la consultation des caméras 68. Le Protocole prévoit à juste titre que la finalité de consultation des caméras doit être enregistrée dans la journalisation. A cet égard, l’Autorité a interrogé le demandeur quant à la forme selon laquelle cette finalité doit être enregistrée. S’agit-il ainsi de se limiter à identifier une finalité générale ou plus concrètement, de viser une opération, une infraction concrète, voire un numéro de dossier ou toute autre référence permettant de retracer concrètement l’activité concernée des services de police. Le demandeur a répondu ce qui suit : « Le motif de consultation doit être introduit avant tout accès à une caméra de surveillance. Le motif de consultation devra faire apparaître la mission de police administrative ou judiciaire concernée. L'article 44/1 de la LFP dispose que dans le cadre de l'exercice de leurs missions et conformément aux finalités fixées à l'article 27 de la LPD, les services de police peuvent traiter des informations et des données à caractère personnel pour autant que ces dernières présentent un caractère adéquat, pertinent et non excessif au regard des finalités de police administrative et de police judiciaire pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement. Le traitement doit se faire dans le respect des finalités fixées à l'article 27 de la LPD. Tous les membres de la Police Intégrée doivent par ailleurs respecter la Directive relative à la motivation des consultations des banques de données policières et des banques de données auxquelles les services de police ont accès dans le cadre de l’exécution des missions de police administrative et judiciaire. Les délégués à la protection des données ont également pour mission de vérifier les éventuelles irrégularités constatées en matière de protection des données » (mis en gras par l’Autorité). 69. Premièrement, l’Autorité est d’avis que le Protocole doit être précisé quant à ce qui concerne la journalisation de la finalité du visionnage concerné. A l’aune de la réponse communiquée par le demandeur, il doit en effet prévoir qu’est enregistré le motif concret de la consultation et la mission de police administrative ou judiciaire concernée. 70. Deuxièmement, d’une part, le Protocole doit prévoir que la Directive susmentionnée « relative à la motivation des consultations des banques de données policières et des banques de données auxquelles les services de police ont accès dans le cadre de l’exécution des missions de police administrative et judiciaire »38 est applicable à l’accès en temps réel aux images des caméras de la SNCB visé par le Protocole. D’autre part, ce dernier doit indiquer la référence exacte et complète (date, auteur, accessibilité, etc.) de cette directive. C) Journalisation de l’identité de la personne qui a visionné les images 71. A l’aune du corps du Protocole, l’annexe doit expliciter que les « informations relatives à l’utilisateur » doivent bien reprendre « l’identité » de la personne qui s’est connectée et a interagi avec la caméra concernée. Le Protocole doit également fixer clairement quelles sont les données concernant l’identité du fonctionnaire de police concerné. 72. Mais la journalisation doit encore reprendre l’identité des éventuelles autres personnes qui ont visionné les images en temps réel (considérant n° 67). D) Finalité du fichier de journalisation 73. S’agissant de la finalité du fichier de journalisation global, le Protocole prévoit ce qui suit : « Ce fichier de journalisation doit pouvoir être utilisé à des fins de vérification de la licéité du traitement, d’autocontrôle, de garantie de l’intégrité et de la sécurité des données à caractère personnel et à des fins visées à l’article 27 de la LPD (missions de police administrative ou judiciaire) » (mis en gras par l’Autorité). 74. L’Autorité souligne qu’elle a déjà eu l’occasion de rappeler la finalité tout à fait limitée des fichiers de journalisation mis en œuvre dans le domaine de la protection des données : il s’agit de permettre la traçabilité des opérations de traitement de données afin de garantir leur conformité aux règles de protection des données et la mise en œuvre de ces dernières 39. Ceci implique également de pouvoir sanctionner les personnes qui ont enfreint les règles de protection des données, selon les règles applicables (droit administratif, droit du travail, droit pénal, droit de la protection des données). 75. Dans ce contexte, l’Autorité a interrogé le demandeur quant à l’objectif poursuivi consistant à permettre de manière plus générale, l’utilisation du fichier de journalisation aux fins de missions de police administrative ou judiciaire. Celui-ci a répondu ce qui suit : « Le fichier de journalisation est prévu pour veiller à la mise en œuvre des règles relatives à la protection des données à caractère personnel mais également pour des finalités opérationnelles ». 76. L’Autorité a réinterrogé le demandeur quant aux finalités opérationnelles concernées et au fondement légal d’un tel traitement ultérieur de données. Celui-ci a répondu ce qui suit : « Conformément à l’article 56, §2 de la LPD, les fichiers de journalisation sont utilisés uniquement à des fins de vérification de la licéité du traitement, d’autocontrôle, de garantie de l’intégrité et de la sécurité des données à caractère personnel et à des fins visées à l’article 27 (de la LPD) ». 77. L’Autorité est d’avis que le Protocole doit être adapté : il doit également40 se référer à l’article 56 de la LTD et à l’article 27 de la LTD qui vise les fins de « prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». En outre, il doit préciser les hypothèses concrètes qui justifieraient le traitement des données de journalisation à ces fins, au-delà de l’hypothèse, évidente et comprise dans la finalité initiale d’un fichier de journalisation, qui concernerait les infractions pénales aux règles de protection des données en relation avec les traitements de données visés par le Protocole. E) Identification unique des caméras concernées 78. L’Autorité a interrogé le demandeur quant à la question de savoir si les caméras ont bien chacune un identifiant unique ou si elles sont simplement regroupées par « zones ». Le demandeur a répondu : « Chaque caméra a une dénomination particulière, cette dénomination permet de solliciter le SOC par après ». 79. Le Protocole doit prévoir que chaque caméra est identifiée par une référence unique. F) Conservation et durée de conservation des fichiers de journalisation 80. L’Autorité a invité le demandeur à confirmer que le « registre de visionnage » visé au point XV du Protocole constitue bien un extrait du fichier de journalisation globale communiqué à la police. Le demandeur l’a confirmé. 81. S’agissant de la durée de conservation du fichier de journalisation, rien n’est prévu dans le Protocole. L’Autorité a interrogé le demandeur afin de déterminer quelle était cette durée. Celui-ci a répondu ce qui suit : « Le journal est stocké dans l’application de vidéosurveillance SNCB pendant 30 jours et l’extraction prévue pour la police sera stockée pendant 7 jours ». 82. L’Autorité a réinterrogé le demandeur à ce sujet et celui-ci a précisé ce qui suit : « Comme indiqué ci-dessus, le fichier de journalisation (logs) est stocké dans l’application de vidéosurveillance SNCB pendant 30 jours. La police ne peut pas avoir accès au fichier de journalisation via cette application. C’est pourquoi, il faut procéder à une extraction du fichier. Le délai qui a été fixé pour le stockage du fichier pour la police, une fois qu’il est procédé à l’extraction, est de 7 jours. Autrement dit, il s’agit du délai endéans lequel la police doit récupérer le fichier de journalisation pour pouvoir le transférer dans son environnement » (mis en gras par l’Autorité). 83. L’Autorité prend acte de ces réponses qui n’identifient toutefois pas la durée de conservation des données de journalisation. 84. L’Autorité est d’avis que le Protocole doit indiquer explicitement la durée pendant laquelle la journalisation doit être conservée par la police et par la SNCB. Dans le contexte du présent avis, l’Autorité est d’avis que les fichiers de journalisation doivent être conservés par la SNCB pour une durée minimale de 10 années à compter de leur enregistrement. Le Protocole doit également indiquer la durée pendant laquelle la police elle-même doit conserver ces données ou le cas échéant, renvoyer vers la règle qui détermine cette durée (question relevant de la compétence du COC). II.2.7. Mesures techniques et organisationnelles : autres (annexe I) A) Authentification 85. L’annexe au Protocole prévoit que l’authentification se déroule en deux étapes. Une première authentification est réalisée au niveau de la police, via l’identifiant (« IDP ») du fonctionnaire de police concerné. « L’utilisateur se connecte avec ses données d’accès spécifiques ». Si ces données sont « correctes », la police « le signale à la SNCB (via l’application) ». La SNCB « utilise ensuite les données de l’utilisateur (login spécifique) pour demander à la Police Fédérale quelles sont les zones auxquelles cet utilisateur peut avoir accès ». Une fois la liste obtenue, la « SNCB ajoute ces accès dans Milestone (plateforme vidéo de la SNCB) ». 86. Dans ce contexte, l’Autorité a invité le demandeur à clarifier la manière dont est authentifié un fonctionnaire de police (avec quelles données, à deux reprises – login police et « login spécifique » SNCB ?) qui consulte une caméra de la SNCB, et s’il est recouru à une authentification multifactorielle et laquelle ou à défaut, pour quelle raison ? Le demandeur a répondu qu’il y avait un « un redirect de l’application de la SNCB vers la Police pour l’authentification » et que le membre de la police intégrée devait s’identifier via son identifiant unique personnel, tout accès à l’application requérant « l’utilisation d’une authentification multifactorielle (MFA), en utilisant le login, mot de passe et un élément supplémentaire (SMS ou appel sur téléphone, code généré par une application ou un « Token ») ». Le demandeur a précisé qu’il n’y avait pas de login spécifique SNCB. 87. L’Autorité est d’avis que le Protocole doit prévoir l’obligation de recourir à une authentification multifactorielle sur la base de deux facteurs et ce, conformément aux règles de l’art. A ce sujet en outre, le Protocole devrait prévoir que le responsable du traitement peut et doit mettre en œuvre toute mesure de sécurité plus efficace en la matière (authentification), que nécessiterait l’évolution de l’état de la technique. De la sorte, une modification du Protocole ne sera pas nécessaire en vue de mettre en œuvre de meilleures mesures techniques. B) Accessibilité de l’application SNCB 88. L’accès à l’application de la SNCB se réalise via « une connexion réseau sécurisée ». « La visualisation des images des caméras de surveillance via l’application SNCB destinée à la police se fait via l’internet public avec une communication cryptée ». Le schéma communiqué dans l’annexe du Protocole semble indiquer que l’accès se réalise via un navigateur internet (« Type URL in brower »). Une mesure technique et organisationnelle précise que la Police doit « prévoir un accès aux postes de travail où les images sont visualisées limité aux employés autorisés conformément au point 1.2 du protocole ». 89. Dans ce contexte, l’Autorité a interrogé le demandeur quant à la question de savoir si l’application SNCB pouvait être consultée à partir de tout terminal informatique (ordinateur, téléphone, tablette) ou si l’utilisation de l’application de la SNCB était bien limitée à des locaux dédiés à cet effet au sein de la police fédérale. Le demandeur a répondu ce qui suit : « L'accessibilité à distance n'est pas exclue si la gestion d'un événement en temps réel nécessite de diriger et/ou de coordonner une opération sur le terrain (en-dehors d'une infrastructure de la police). Si les services de police doivent gérer une catastrophe (planification d'urgence) sur le terrain, par exemple au sein d'un poste de commandement mobile, ils doivent pouvoir accéder à ces images. A examiner la possibilité, de permettre uniquement dans ce cadre un accès à distance par le biais de PC connectés en remote (besecure, station de travail virtuelle,......) Des dispositifs ont été mis en place au sein des services de police ». 90. L’Autorité est d’avis que d’une part, s’agissant d’accéder à l’application via un navigateur, le Protocole doit imposer au minimum le recours au protocole TLS 1.2 (ou supérieur) ainsi que la configuration d’un chiffrement d’un niveau de sécurité suffisamment élevé (AES-128, RSA-2048 ou ECC-256). En outre, de la même manière que ce que l’Autorité préconise ci-avant en matière d’authentification, le Protocole doit prévoir que le responsable du traitement peut et doit mettre en œuvre toute mesure de sécurité plus efficace en la matière (échange de données via internet), que nécessiterait l’évolution de l’état de la technique. De nouveau, cela assurera une meilleure longévité du Protocole au regard des mesures techniques à mettre en œuvre, tout en prévoyant des mesures de base au regard de l’état actuel de la technique. 91. D’autre part, le Protocole doit être approfondi afin de distinguer les hypothèses dans lesquelles les images sont consultées à partir de locaux dédiés spécifiques des infrastructures de la police, des hypothèses dans lesquelles ces mêmes images devraient être consultées en dehors de ces locaux (par exemple, dans un poste de commandement mobile). De telles hypothèses nécessitent en effet des mesures techniques et organisationnelles distinctes et présentent des risques différents. C) Log out automatique 92. L’annexe du Protocole prévoit ce qui suit : « Un log out automatique au bout de 13 heures de log in est instauré. La durée de ce log in est justifiée pour des raisons opérationnelles en vue d’assurer la continuité du shift (12 heures et 1 heure) notamment des membres du personnel appelés à travailler comme dispatcher et/ou opérateur. Il s’agit bien d’un log in individuel (log out à l’issue de la prestation) ». 93. Notamment compte-tenu de la largesse et du caractère abstrait des hypothèses de visualisation des caméras41, l’Autorité peine à identifier la motivation d’une telle disposition. En effet, soit un fonctionnaire de police est actif et visualise les images (par exemple, durant une intervention, afin de guider celle-ci), soit tel n’est pas le cas, auquel cas le processus de log out automatique devrait a priori être activité beaucoup plus rapidement (quitte à ce que ce fonctionnaire doive se reconnecter). Interrogé à ce sujet, le demandeur a apporté les clarifications suivantes : « Les utilisateurs au sein des services de police sont notamment les membres du personnel des Centres d'Information et de Communication (CIC) de la Police Fédérale et/ou des dispatchings locaux autonomes des zones de police. Il peut également s'agir d'opérateurs qui vont travailler au sein des postes de commandement opérationnels mis en place dans le cadre de la gestion d'événements de grande ampleur. Ces différents membres des services de police sont régulièrement appelés à prester des shifts de 12.00 heures. L'objectif était d'éviter une interruption dans l'accès aux images alors que la situation exige de pouvoir suivre en temps réel, par exemple, les flux de participants à un événement qui s'y rendent en faisant usage des transports en commun. Les accès restent donc bien individuels et à chaque changement d'opérateur au sein de ces services, il est prévu que le membre du personnel descendant se déconnecte au profit du membre du personnel montant. Nous pouvons également citer les membres du personnel qui dispatchent les équipes de la police des chemins de fer en 24/7 sur le réseau bruxellois. Le délai de 13 heures est un délai maximum ; la déconnexion doit avoir lieu, à l’initiative du membre du personnel concerné, dès qu’il n’a plus de nécessité opérationnelle ». 94. L’Autorité est d’avis que le Protocole doit être précisé afin d’adapter les hypothèses de log out automatique aux scénarios de recours à l’accès en temps réel aux caméras de surveillance du réseau de la SNCB. II.2.8. Avenant, modification, résiliation du Protocole (p. 13) 95. L’Autorité attire l’attention du demandeur sur le fait que son avis est rendu à propos du Protocole qui lui est soumis. Tout avenant ainsi que toute révision de ce Protocole devra également à l’avenir, faire l’objet d’un avis de l’Autorité. 96. S’agissant d’une éventuelle résiliation du Protocole, ce dernier prévoit que « Chacune des Parties peut mettre fin au présent protocole moyennant la notification à l’autre Partie par envoi recommandé d'un préavis de 12 mois ». 97. Cependant, l’article 9, al. 4, de la Loi Caméras met à la charge de la SNCB une obligation légale de telle sorte que celle-ci ne devrait pas pouvoir résilier (ou suspendre) le Protocole sans une motivation juridique valable. La SNCB ne dispose pas de latitude en opportunité, pour résilier le Protocole. Il appartient au demandeur d’identifier dans le Protocole les situations dans lesquelles l’application du Protocole pourrait être suspendue, voire les hypothèses dans lesquelles celui-ci pourrait être résilié. Par exemple, s’agissant de protection des données, la SNCB devrait pouvoir suspendre tout ou partie des obligations du Protocole, à l’égard de l’un ou l’autre des accès concernés, dans le cas d’hypothèses avérées de violation du protocole et du cadre normatif applicable. En tant que responsable du traitement, elle demeure en effet responsable de la mise à disposition de ses caméras. Par ces motifs, L’Autorité est d’avis que : 1. Le demandeur doit identifier dans le Protocole, les dispositions spécifiques des normes qu’il évoque et qui constitueraient des garanties du type de celles évoquées alors par le Conseil d’Etat et la Commission de la Protection de la Vie Privée. A défaut de disposition(s) particulière(s) prévoyant de telles garanties, le cadre normatif applicable en la matière devrait être adapté en conséquence. Le Protocole doit en outre expliciter que le recours au visionnage en temps réel aux caméras de surveillance de la SNCB dans le cadre de missions de police judiciaire ne peut avoir lieu que dans le cadre d’une méthode particulière de recherche (considérants nos 7-17) ; 2. Le cadre légal applicable au visionnage en temps réel des caméras du réseau de la SNCB sans enregistrement par la police doit être adapté de manière telle qu’il fixe les éléments essentiels des traitements envisagés ainsi que le cas échéant, à l’aune du commentaire précédent, les garanties appropriées y liées (considérants nos 24-26). Tandis que l’article 9, al. 4, de la Loi Caméras s’applique également à l’accès en temps réel aux caméras avec enregistrement, le Protocole n’est pas applicable à cette hypothèse et il doit mieux expliciter qu’il est interdit à la police, dans son application, d’enregistrer les images visionnées en temps réel. L’accès en temps réel impliquant un enregistrement par les services de police nécessite également la conclusion d’un Protocole en exécution de l’article 9, al. 4, de la Loi Caméras (considérants nos 27-31 et 47-49). Les commentaires suivants relatifs au Protocole, sont sans préjudice des commentaires précédents (considérant n° 32) ; 4. Le point IV., a), du Protocole doit être adapté et clarifié afin de préciser que la SNCB est responsable de la mise à disposition de ses caméras conformément à la Loi Caméras, ainsi que des opérations de traitement mises à sa charge dans le cadre du Protocole. Le Protocole doit spécifier que la police peut faire des suggestions au sujet de l’emplacement, etc., des caméras lorsque les finalités poursuivies par la police elle-même et la SNCB, via les caméras concernées, se recoupent (considérants nos 33-35) ; 5. Le Protocole doit se référer aux dispositions précises des règles applicables qui définissent les concepts qu’il sollicite (considérant n° 36) ; 6. Il n’est pas possible de se prononcer quant aux hypothèses (scénarios) concrètes qui sont susceptibles de déclencher le recours au visionnage en temps réel des caméras de surveillance. Or celles-ci (ceux-ci) doivent être identifiés clairement et exhaustivement dans le Protocole, et être conformes à la finalité poursuivie par l’article 9, al. 4, de la Loi Caméras (considérants nos 37-44). Le Protocole ne peut pas prévoir un retour sur images en exécution de l’article 9, al. 4, de la Loi Caméras tel qu’il existe actuellement (considérants nos Error! Reference source not found.-47) ; 7. Le Protocole ne portant que sur le visionnage en temps réel sans enregistrement des caméras du réseau de la SNCB, ses dispositions relatives à l’accès aux images enregistrées par la SNCB doivent en être omises. Le Protocole peut se limiter à préciser qu’il est sans préjudice des autres voies légales d’accès aux images enregistrées par la SCNB. Le présent avis également, ne porte pas sur ce sujet (considérants nos 50-53) ; 8. S’agissant du visionnage des caméras par les membres du cadre administratif de la police, le Protocole doit se référer aux dispositions normatives pertinentes autorisant les membres du cadre administratif de la police à intervenir dans le contexte d’une mission d’appui au cadre opérationnel, de manière telle que ceux-ci pourront dans ce contexte, procéder au visionnage en temps réel des images des caméras de surveillance de la SNCB (considérants nos 54-56) ; 9. Le Protocole doit préciser que d’autres personnes que les membres des services de police ne peuvent également et concomitamment visionner en temps réel les images des caméras du réseau de la SNCB, que si le cadre normatif applicable à leur mission concernée l’autorise (ou autorise leur participation directe à l’action du service de police concerné, s’agissant des magistrats sous l’autorité desquels les services de police agiraient dans le cadre des missions de police judiciaire), et ce, dans la mesure permise par ce cadre normatif. Il doit encore prévoir qu’une telle participation fera l’objet d’une journalisation similaire à celle des accès réalisés par les membres des services de police (considérants nos 57-60) ; 10. Le Protocole peut être précisé comme le suggère le demandeur, concernant les catégories de lieux concernés (lieux fermés accessibles au public). Les informations concernant les caméras concernées ainsi que leur type (notamment : utilisation visible ; caméras qui ne peuvent pas être intelligentes) doivent être reprises dans le corps du Protocole (considérants nos 61-64) ; 11. L’Autorité est d’avis que le passage du Protocole prévoyant que l’accès aux images doit se faire de manière à limiter au maximum la possibilité de contrôler le processus de travail du personnel de la SNCB doit être omis dès lors qu’il s’agit d’une finalité manifestement étrangère au Protocole (considérants nos 65-66) ; 12. Le Protocole doit prévoir une journalisation spécifique du visionnage en temps réel des images des caméras de surveillance par les personnes qui ne sont pas le membre du service de police dont l’accès individuel est utilisé (considérants nos 56-59 et 67) ; 13. Le Protocole doit être précisé quant à ce qui concerne la journalisation de la finalité du visionnage concerné. A l’aune de la réponse communiquée par le demandeur, il doit premièrement prévoir qu’est enregistré le motif concret de la consultation et la mission de police administrative ou judiciaire concernée. Deuxièmement, d’une part, il doit prévoir que la « Directive relative à la motivation des consultations des banques de données policières et des banques de données auxquelles les services de police ont accès dans le cadre de l’exécution des missions de police administrative et judiciaire » est applicable à l’accès en temps réel aux images des caméras de la SNCB prévu par le Protocole. D’autre part, le Protocole doit indiquer la référence exacte et complète (date, auteur, accessibilité, etc.) de cette directive (considérants nos 67-70) ; 14. L’annexe du Protocole doit expliciter que les « informations relatives à l’utilisateur » doivent bien reprendre « l’identité » de la personne qui s’est connectée et a interagi avec la caméra concernée. Le Protocole doit également fixer clairement quelles sont les données concernant l’identité du fonctionnaire de police concerné. Et la journalisation doit encore reprendre l’identité des éventuelles autres personnes qui ont visionnés les images en temps réel (considérants nos 71-72 et 67) ; 15. Concernant la finalité du fichier de journalisation, le Protocole doit être adapté et se référer également à l’article 56 de la LTD et à l’article 27 de la LTD qui vise les fins de « prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». En outre, il doit préciser les hypothèses concrètes qui justifieraient le traitement des données de journalisation à ces fins (considérants nos 75-77) ; 16. Toujours en matière de journalisation, le Protocole doit prévoir que chaque caméra est identifiée par une référence unique (considérants nos 78-79) ; 17. Le Protocole doit indiquer explicitement la durée pendant laquelle la journalisation doit être conservée par la police et par la SNCB. Les fichiers de journalisation doivent être conservés par la SNCB pour une durée minimale de 10 années à compter de leur enregistrement. Le Protocole doit également indiquer la durée pendant laquelle la police elle-même doit conserver ces données ou le cas échéant, renvoyer vers la règle qui détermine cette durée (question relevant de la compétence du COC) (considérants nos 80-84) ; 18. Le Protocole doit prévoir l’obligation de recourir à une authentification multifactorielle sur la base de deux facteurs et ce, conformément aux règles de l’art. Il doit aussi prévoir que le responsable du traitement peut et doit mettre en œuvre toute mesure de sécurité plus efficace en la matière (authentification), que nécessiterait l’évolution de l’état de la technique (considérants nos 85-87) ; 19. Le Protocole doit d’une part, imposer le recours au protocole TLS 1.2 (ou supérieur) ainsi que la configuration d’un chiffrement d’un niveau de sécurité suffisamment élevé (AES-128, RSA-2048 ou ECC-256). Il doit en outre prévoir que le responsable du traitement peut et doit mettre en œuvre toute mesure de sécurité plus efficace en la matière (échange de données via internet), que nécessiterait l’évolution de l’état de la technique. D’autre part, il doit être approfondi afin de distinguer les hypothèses dans lesquelles les images sont consultées à partir de locaux dédiés spécifiques des infrastructures de la police, des hypothèses dans lesquelles ces mêmes images devraient être consultées en dehors de ces locaux (considérants nos 88-90) ; 20. Le Protocole doit être précisé afin d’adapter les hypothèses de log out automatique aux scénarios de recours à l’accès en temps réel aux caméras de surveillance du réseau de la SNCB (considérants nos 92-94) ; 21. L’article 9, al. 4, de la Loi Caméras met à la charge de la SNCB une obligation légale de telle sorte que celle-ci ne devrait pas pouvoir résilier (ou suspendre) le Protocole sans une motivation juridique valable. Il appartient au demandeur d’identifier dans le Protocole, les situations dans lesquelles l’application du Protocole pourrait être suspendue, voire les hypothèses dans lesquelles celui-ci pourrait être résilié. Tout avenant ainsi que toute révision de ce Protocole devra également à l’avenir, faire l’objet d’un avis de l’Autorité (considérants nos 95-97). Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2024:AVIS.20241223.1 Publication(s) liée(s) précédé par: ECLI:BE:GBAPD:2024:DEC.20240910.1