ECLI:BE:RVSCE:2024:ARR.260.090

ERROR JUPORTARobotRecordLienECLI WARNING ECLI:BE:RVSCE:2024:ARR.260.090 no lien 277613 identiques CONSEIL D’ÉTAT, SECTION DU CONTENTIEUX ADMINISTRATIF VIe CHAMBRE no 260.090 du 12 juin 2024 A. 232.771/VI-21.970 En cause : XXXX, ayant élu domicile chez Me Ronald FONTEYN, avocat, rue de Florence 13 1000 Bruxelles, contre : l’État belge, représenté par la ministre de l’Intérieur, des Réformes institutionnelles et du Renouveau démocratique, ayant élu domicile chez Mes Nicolas BONBLED et Camila DUPRET TORRES, avocats, boulevard Bischoffsheim 33 1000 Bruxelles. I. Objet de la requête Par une requête introduite le 26 janvier 2021, la partie requérante demande l’annulation de « l’article 8 de l’arrêté ministériel du 12 janvier 2021 modifiant l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 ». II. Procédure La contribution et les droits visés respectivement aux articles 66,6°, et à l’article 70 de l’arrêté du Régent du 23 août 1948 déterminant la procédure devant la section du contentieux administratif du Conseil d’État ont été acquittés. Le dossier administratif a été déposé. Les mémoires en réponse et en réplique ont été régulièrement échangés. VI ‐ 21.970 ‐ 1/32 Mme Claudine Mertes, premier auditeur au Conseil d’État, a rédigé un rapport sur la base de l’article 12 du règlement général de procédure. Le rapport a été notifié aux parties. Les parties ont déposé des derniers mémoires. Par une ordonnance du 17 janvier 2024, l’affaire a été fixée à l’audience du 21 février 2024. Mme Florence Piret, conseillère d’État, présidente f.f., a exposé son rapport. Me Ronald Fonteyn, avocat, comparaissant pour la partie requérante, et Me Nicolas Bonbled, avocat, comparaissant pour la partie adverse, ont été entendus en leurs observations. Mme Claudine Mertes, premier auditeur, a été entendue en son avis. Il est fait application des dispositions relatives à l’emploi des langues, inscrites au titre VI, chapitre II, des lois sur le Conseil d’État, coordonnées le 12 janvier 1973. III. Prise en compte du mémoire en réponse et du dossier administratif déposés par la partie adverse dans le délai requis Dans son dernier mémoire, la partie adverse fait valoir que « le 16 avril 2021, soit le dernier jour du délai pour déposer le mémoire en réponse, la plateforme du Conseil d’État était indisponible » et qu’en application de l’article 85bis, § 14, du Règlement général de procédure, le délai qui arrivait à échéance le vendredi 16 avril 2021 était de plein droit prorogé jusqu’à la fin du jour ouvrable suivant, soit le lundi 19 avril 2021. Elle en déduit qu’il n’y a aucune raison d’écarter le mémoire en réponse qu’elle a déposé à cette date. La partie adverse a signé l’accusé de réception du pli recommandé lui envoyant la requête le 15 février 2021. Le délai pour déposer le mémoire en réponse et le dossier administratif expirait le vendredi 16 avril 2021. La partie adverse VI ‐ 21.970 ‐ 2/32 apporte toutefois la preuve que la plateforme électronique du Conseil d’État était indisponible à cette date. L’article 85bis, § 14, alinéa 1er, du Règlement général de procédure prévoit ce qui suit : « Au cas où le site de procédure électronique du Conseil d’État est temporairement indisponible pendant plus d’une heure, tout délai qui arrive à échéance le jour où cette indisponibilité survient est de plein droit prorogé jusqu’à la fin du jour ouvrable suivant le jour au cours duquel l’indisponibilité a pris fin ». L’article 88, alinéa 3, du même Règlement prévoit que « […] lorsque le jour de l’échéance est un samedi, un dimanche ou un jour férié légal, le jour de l’échéance est reporté au plus prochain jour ouvrable ». Le mémoire en réponse et le dossier administratif, déposés sur la plateforme électronique du Conseil d’État le lundi 19 avril 2021, l’ont été dans le délai requis. Ils doivent être pris en compte. Il n’y a pas lieu de faire application de l’article 21, alinéas 3 et 6, des lois sur le Conseil d’État, coordonnées le 12 janvier 1973. IV. Exposé des faits utiles 1. À partir de la mi-mars 2020, la Belgique est confrontée à la pandémie du coronavirus (Covid-19). La partie adverse se trouve contrainte, comme de nombreuses autres autorités d’autres pays à travers le monde, d’adopter les mesures nécessaires, parfois radicales et drastiques, pour endiguer cette pandémie. L’article 1er de l’arrêté ministériel du 13 mars 2020 portant le déclenchement de la phase fédérale concernant la coordination et la gestion de la crise coronavirus Covid-19, entré en vigueur le même jour, déclenche la phase fédérale du plan d’urgence national. 2. L’article 22 de l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 dispose, dans sa rédaction initiale, ce qui suit : « Dans le cadre de la lutte contre le coronavirus Covid-19, l’Office national de sécurité sociale peut, en qualité de sous-traitant, pour le compte des centres de contacts, des inspections sanitaires et des équipes mobiles, collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 3/32 santé relatives au coronavirus Covid-19, des données de contact, d’identification, de travail et de résidence relatives aux travailleurs salariés et travailleurs indépendants détachés visés à l’article 137, 8°, a et b) de la Loi-programme (I) du 27 décembre 2006 travaillant en Belgique, en vue de soutenir le traçage et l’examen des clusters et des collectivités. Les données à caractère personnel qui résultent du traitement visé à l’alinéa 1er sont conservées dans le respect de la protection des données à caractère personnel, et pas plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées et seront détruites au plus tard le jour de l’entrée en vigueur de l’arrêté ministériel proclamant la fin de la phase fédérale concernant la coordination et la gestion de la crise coronavirus Covid-19 ». Le préambule de l’arrêté ministériel mentionne, à propos de cette disposition, que « parmi l’arsenal des mesures prises dans le présent arrêté ministériel, figure l’enregistrement de certaines données à caractère personnel en vue de faciliter le suivi de contacts et la détection de certains foyers de contamination ; qu’il en résulte qu’il appartient aux personnes qui effectuent le traitement de protéger ces données, en prenant toutes les mesures techniques et organisationnelles appropriées afin de garantir la sécurité et la confidentialité des données, notamment pour prévenir un accès non autorisé à ces données ; qu’elles peuvent notamment tenir compte à cette fin des recommandations publiées par l’Autorité de protection des données sur son site internet ». Une disposition presque identique à celle de l’article 22 précité a déjà été adoptée dans l’article 11 de l’arrêté ministériel du 22 août 2020 modifiant l’arrêté ministériel du 30 juin 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 introduisant un article 18bis dans l’arrêté précité du 30 juin 2020. Cette disposition est entrée en vigueur le 1er septembre 2020. 3. L’article 22, alinéa 1er, de l’arrêté ministériel du 28 octobre 2020 est une première fois modifié par l’article 4 de l’arrêté ministériel du 19 décembre 2020 modifiant l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 afin de remplacer les mots « et travailleurs indépendants détachés visés à l’article 137, 8°, a) et b) de la loi- programme (I) du 27 décembre 2006 travaillant en Belgique » par « et travailleurs indépendants ». 4. L’article 22, alinéa 1er, précité est ensuite remplacé par l’article 8 de l’arrêté ministériel du 12 janvier 2021 modifiant l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 4/32 Covid-19. Cette disposition s’énonce comme il suit : « Dans le cadre de la lutte contre le coronavirus Covid-19, l’Office national de sécurité sociale peut, en qualité de sous-traitant pour le compte de tous les services et institutions chargés de la lutte contre la propagation du coronavirus Covid-19, ainsi que de tous les services ou institutions chargés de surveiller le respect des obligations prévues dans le cadre des mesures d’urgence prises pour limiter la propagation du coronavirus Covid-19, collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la santé relatives au coronavirus Covid-19, des données de contact, d’identification, de travail et de résidence relatives aux travailleurs salariés et travailleurs indépendants, en vue de soutenir le traçage et l’examen des clusters et des collectivités ». Il s’agit de l’acte attaqué. Il est entré en vigueur le jour de sa publication au Moniteur belge, le 12 janvier 2021. 5. Le 15 avril 2021, un Protocole d’accord est conclu entre l’État fédéral, la Communauté flamande, la Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers en vue du traçage et de l’examen des clusters et collectivités, en vue de l’application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux de travail. Il est publié au Moniteur belge du 26 avril 2021. Il contient plusieurs éléments des traitements de données à caractère personnel effectués par l’ONSS en vue des finalités précitées et formalise l’accord intervenu entre l’État fédéral et les entités fédérées à ce sujet. L’article 6 précise ce qui suit : « Le présent protocole d’accord n’est pas un accord de coopération au sens de l’article 92bis de la loi spéciale de réformes institutionnelles du 8 août 1980. Les parties se proposent, sur la base des dispositions du présent protocole d’accord, de parvenir à un accord de coopération ». L’article 7 prévoit ce qui suit : « Le présent protocole d’accord entre en vigueur le jour de sa publication au Moniteur belge, à l’exception de l’article 4 qui produit ses effets à dater du 12 janvier 2021. Le présent protocole d’accord cesse de produire ses effets le jour où entre en vigueur un accord de coopération entre l’État fédéral, la Communauté flamande, ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 5/32 la Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers en vue du traçage et de l’examen des clusters et collectivités, en vue de l’application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux de travail ». 6. Le 31 mai 2021, un accord de coopération est conclu entre l’État fédéral, la Communauté flamande, la Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers des données à caractère personnel en vue du traçage et de l’examen des clusters et collectivités, en vue de l’application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux de travail. Il est publié au Moniteur belge du 23 juin 2021. Il contient des dispositions similaires au texte du protocole qu’il remplace, sauf les modifications y apportées à la suite notamment de l’avis n° 66/2021 donné le 6 mai 2021 par l’Autorité de protection des données sur le projet d’accord de coopération et de l’avis n° 69.336 donné le 17 mai 2021 par la section de législation du Conseil d’État sur l’avant-projet de loi d’assentiment de cet accord de coopération. L’article 7 de l’accord prévoit ce qui suit : « Le présent accord de coopération entre en vigueur le jour de la publication au Moniteur belge du dernier acte législatif portant assentiment du présent accord de coopération, à l’exception de l’article 2 qui produit ses effets à dater du 1er septembre 2020. Le présent accord de coopération produit ses effets jusqu’à sa révision ou sa révocation qui intervient le jour où le Secrétariat central du Comité de concertation a reçu l’accord écrit de toutes les parties pour mettre fin à l’accord de coopération et après la publication d’une communication confirmant cet accord écrit au Moniteur belge. Les mesures mises en place par le présent accord de coopération, prendront fin le jour de la publication de l’arrêté royal proclamant la fin de l’épidémie du coronavirus Covid-19 ». Le décret régional wallon du 10 juin 2021, l’ordonnance de la Commission communautaire commune du 17 juin 2021, la loi du 20 juin 2021, le décret flamand du 25 juin 2021 et le décret de la Communauté germanophone du 28 juin 2021 portent assentiment à l’accord de coopération du 31 mai 2021 précité. 7. L’article 11 de l’arrêté ministériel du 27 juillet 2021 modifiant l’arrêté VI ‐ 21.970 ‐ 6/32 ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 abroge l’article 22 de l’arrêté ministériel du 28 octobre 2020. Cette abrogation est, en application de l’article 15 de l’arrêté ministériel du 27 juillet 2021, entrée en vigueur le 28 juillet 2021, jour de la publication au Moniteur belge de ce dernier arrêté ministériel. V. Recevabilité du recours V.1. Position du premier auditeur dans son rapport Dans son rapport, le premier auditeur en charge de l’instruction de l’affaire soulève d’office une exception d’irrecevabilité du recours qui tient au fait que l’article 22, alinéa 1er, de l’arrêté ministériel du 28 octobre 2020, tel que modifié par la disposition attaquée, a été abrogé par l’article 11 de l’arrêté ministériel du 21 juillet 2021, qu’avant cette abrogation, l’article 2 de l’accord de coopération du 31 mai 2021 conclu entre l’État fédéral, la Communauté flamande, la Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers des données à caractère personnel en vue du traçage et de l’examen des clusters et collectivités, en vue de l’application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux de travail et les normes d’assentiment à cet accord ont été adoptés, que l’article 2 de cet accord se rapporte au traitement des données personnelles par l’ONSS, que cette disposition est entrée en vigueur rétroactivement le 1er septembre 2020, en vertu de l’article 7 de cet accord, que, par l’arrêt n° 257.040 du 3 juillet 2023 ( ECLI:BE:RVSCE:2023:ARR.257.040 ), le Conseil d’État a constaté que la date du 1er septembre 2020 correspondait à l’entrée en vigueur d’une disposition presque identique, à savoir l’article 18bis de l’arrêté ministériel du 30 juin 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19, que l’article 2 de l’accord de coopération réglemente avec effet rétroactif le traitement des données personnelles par l’ONSS, que ce traitement est donc régi par une « loi » depuis le 1er septembre 2020 et que, même si l’acte attaqué était annulé, le traitement de données personnelles effectué par l’ONSS depuis le 1er septembre 2020, soit avant l’entrée en vigueur de l’acte attaqué, trouverait un fondement sur les dispositions de l’accord de coopération auquel l’autorité fédérale a donné son assentiment et qu’aucun recours n’a été introduit contre les normes législatives d’assentiment à cet accord de coopération auprès de la Cour constitutionnelle. Le premier auditeur en déduit que la partie VI ‐ 21.970 ‐ 7/32 requérante n’a plus d’intérêt à l’annulation de l’acte attaqué pour la période pendant laquelle il a été en vigueur et a été exécuté. V.2. Thèses des parties La requête en annulation et le mémoire en réplique n’abordent pas la question de la recevabilité du recours, laquelle n’est pas contestée dans le mémoire en réponse de la partie adverse. À la suite de la réception du rapport établi par le premier auditeur, la partie requérante indique, dans son dernier mémoire, s’en référer à la sagesse du Conseil d’État. La partie adverse renvoie, dans son dernier mémoire, au rapport du premier auditeur quant à l’irrecevabilité du recours pour cause de perte d’intérêt. À l’audience, la partie requérante déclare toutefois ne plus accepter le raisonnement tenu dans le rapport du premier auditeur. Elle affirme que l’accord de coopération du 31 mai 2021 a une portée plus restrictive que l’article 22 de l’arrêté ministériel du 28 octobre 2020, tel que modifié par l’acte attaqué. Elle relève que l’article 22 précité vise davantage de services ou institutions comme destinataires du traitement des données par l’ONSS alors que l’accord de coopération identifie précisément les entités et agences concernées. Elle ajoute que l’accord de coopération prévoit des périodes de conservation plus limitées que celles mentionnées à l’article 22 de l’arrêté ministériel du 28 octobre 2020, tel que modifié par l’acte attaqué. Elle en déduit que les articles 2 à 4 de l’accord de coopération ne peuvent servir de fondement même rétroactivement à l’acte attaqué pour l’ensemble des données personnelles qui ont été traitées par l’ONSS. La partie adverse répond, à l’audience, que la partie requérante ne démontre pas concrètement que certains aspects des traitements de données réalisés par l’ONSS échapperaient à l’accord de coopération du 31 mai 2021 et n’établit pas que ces traitements ne pourraient trouver leur fondement dans cet accord. V.3. Appréciation du Conseil d’État Aux termes de l’article 19, alinéa 1er, des lois sur le Conseil d’État, coordonnées le 12 janvier 1973, un recours en annulation au sens de l’article 14, § 1er, de ces lois peut être porté devant la section du contentieux administratif du Conseil d’État par toute partie justifiant d’une lésion ou d’un intérêt. Une partie requérante dispose de cet intérêt requis en droit si deux conditions sont remplies : VI ‐ 21.970 ‐ 8/32 tout d’abord, l’acte administratif attaqué doit lui causer un préjudice personnel, direct, certain, actuel et lésant un intérêt légitime ; ensuite, l’annulation de cet acte qui interviendra éventuellement doit lui procurer un avantage direct et personnel, si minime soit-il. Il appartient au Conseil d’État d’apprécier si chaque partie requérante qui le saisit justifie d’un intérêt à son recours. Sous réserve des dispositions de droit international directement applicables, l’article 19, alinéa 1er, des lois coordonnées fait ainsi obstacle à l’action populaire qui serait introduite par n’importe quelle personne, qu’elle soit physique ou morale. Le Conseil d’État doit toutefois veiller à ce que la condition de l’intérêt ne soit pas appliquée d’une manière exagérément restrictive ou formaliste. L’intérêt à attaquer devant le Conseil d’État une disposition réglementaire est plus étendu que lorsqu’il s’agit d’actes individuels. Les actes réglementaires sont, en effet, susceptibles d’être attaqués par toutes les personnes auxquelles ils ont vocation à s’appliquer et dont ils peuvent modifier défavorablement la situation ainsi que par celles qui, sans y être à proprement parler soumises, en subissent directement des effets qui leur font grief. L’intérêt doit par ailleurs non seulement exister au moment de l’introduction du recours, mais également perdurer jusqu’à la clôture des débats. Une partie requérante n’est pas soumise à l’obligation de définir ou de préciser son intérêt au recours. Toutefois, si cet intérêt est mis en doute, il lui appartient de fournir des éclaircissements à cet égard dès qu’elle en a l’occasion dans le cadre de la procédure et d’étayer son intérêt. Si elle s’exécute en ce sens, la partie requérante circonscrit alors également les motifs de sa demande et le Conseil d’État doit tenir compte des limites du débat juridictionnel qu’elle fixe. En l’espèce, il doit être vérifié si, comme l’indique le premier auditeur dans son rapport, « le traitement des données à caractère personnel par l’ONSS est régi par une loi depuis le 1er septembre 2020 » de sorte que « même si l’acte était annulé, le traitement des données personnelles effectué par l’ONSS depuis le 1er septembre 2020, soit avant l’entrée en vigueur de l’acte attaqué, trouverait un fondement sur les dispositions de l’accord de coopération auquel l’autorité fédérale a donné son assentiment ». Si cette affirmation était vérifiée, il conviendrait effectivement de constater que « la partie requérante n’a plus intérêt à l’annulation VI ‐ 21.970 ‐ 9/32 de l’acte attaqué pour la période pendant laquelle il a été en vigueur et a été exécuté ». L’article 8 de l’arrêté ministériel du 12 janvier 2021 qui remplace l’article 22, alinéa 1er, de l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 constitue l’acte attaqué par le présent recours. L’article 22, tel que remplacé par l’article 8, a été en vigueur et a produit des effets du 12 janvier 2021 au 28 juillet 2021. Il dispose comme il suit : « Dans le cadre de la lutte contre le coronavirus Covid-19, l’Office national de sécurité sociale peut, en qualité de sous-traitant pour le compte de tous les services et institutions chargés de la lutte contre la propagation du coronavirus Covid-19, ainsi que de tous les services ou institutions chargés de surveiller le respect des obligations prévues dans le cadre des mesures d’urgence prises pour limiter la propagation du coronavirus Covid-19, collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la santé relatives au coronavirus Covid-19, des données de contact, d’identification, de travail et de résidence relatives aux travailleurs salariés et travailleurs indépendants, en vue de soutenir le traçage et l’examen des clusters et des collectivités ». À la suite de l’adoption de l’acte attaqué, l’ONSS a introduit, auprès de la chambre sécurité sociale et santé du Comité de sécurité de l’information, une demande pour autoriser la Banque carrefour de la sécurité sociale et le SPF Santé publique, Sécurité de la chaîne alimentaire et Environnement à communiquer des données à caractère personnel à l’ONSS. Le 18 janvier 2021, la chambre sécurité sociale et santé du Comité de sécurité de l’information a accédé à cette demande en modifiant une précédente délibération (n° 20/178 adoptée le 1er septembre 2020). Il ressort de cette nouvelle délibération que les traitements de données à caractère personnel par l’ONSS, en qualité de sous-traitant, poursuivent quatre finalités distinctes, décrites comme il suit : « 1° prévention - grâce à des données à caractère personnel du registre national, des registres Banque Carrefour et de Saniport et des données à caractère personnel de ses propres banques de données, l’ONSS détecte les employeurs présentant un certain risque au niveau de la propagation du coronavirus et communique leur identité aux instances compétentes (qui peuvent ensuite fournir, à titre préventif, aux employeurs concernés, des informations relatives aux mesures qu’ils peuvent prendre en la matière) ; 2° traçage des contacts - sur la base des données à caractère personnel de Sciensano et des données à caractère personnel de ses propres bases de données, l’ONSS signale les cas d’infection concrets et communique des informations relatives à la situation professionnelle des personnes concernées aux inspections sanitaires des entités fédérées (qui peuvent ensuite, le cas échéant, prendre des ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 10/32 mesures vis-à-vis des employeurs et des travailleurs en question pour prévenir la propagation du coronavirus) ; 3° soutien de la surveillance par les inspecteurs sociaux compétents - les listes décrites au point 3 peuvent être mises à la disposition des services d’inspection sociale afin de pouvoir réaliser des contrôles ciblés dans le cadre de la surveillance du respect des obligations imposées par les mesures d’urgence pour limiter la propagation du coronavirus Covid-19 ; 4° soutien statistique - à la demande de Sciensano et des services de santé régionaux, l’ONSS fournit, sur la base des données dont il dispose, des informations statistiques hebdomadaires concernant le nombre de cas de contaminations et son évolution par secteur, par catégorie d’âge et par type de travailleur et/ou indépendant. Ces chiffres ont trait à la population totale de la catégorie visée ». Il ressort aussi de la délibération n° 20/178 du 1er septembre 2020, tel que modifiée le 18 janvier 2021, que la nature et la source des données traitées, le type de traitements (y compris via le datamining/datamatching) et les destinataires qui reçoivent les résultats des traitements effectués par l’ONSS varient en fonction des différentes finalités poursuivies. Il est, à cet égard, notamment précisé ce qui suit : « I. OBJET DE LA DEMANDE […] [P]révention 3. L’ONSS dispose grâce aux données contenues dans ses bases de données (répertoire des employeurs, DIMONA, LIMOSA, ...) et grâce à certaines données à caractère personnel issues du Répertoire général des travailleurs indépendants (RGTI) de l’Institut national d’assurances sociales pour travailleurs indépendants et de la banque de données Checkin@Work du Service public fédéral Emploi, Travail et Concertation sociale des informations utiles lui permettant de répertorier les secteurs et les relations de travail. Le datamining permet de répertorier les secteurs et les relations de travail : par secteur d’activité, auprès de quels employeurs la main-d’œuvre est-elle en service et par employeur, la liste des travailleurs. L’ONSS est en mesure de procéder en permanence à une mise à jour des employeurs concernés. Sur cette base, le Service public fédéral Emploi, Travail et Concertation sociale et les services d’inspection compétents sont chargés des informations préventives utiles concernant : - la sécurité et la santé sur le lieu de travail ; - l’importance d’un logement convenable ; - l’importance de réaliser les déclarations DIMONA dans les délais (registre du personnel électronique), de sorte que tant les employeurs mêmes que l’ONSS (autorités) disposent en permanence d’une image complète et précise de l’occupation. Les relations de travail constituent des données dynamiques de sorte que les analyses doivent être réalisées sur base quotidienne ou mensuelle. La mobilité entre les entreprises constitue aussi un élément important. Par ailleurs, sur la base des informations disponibles, l’ONSS tentera de répertorier des grandes ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 11/32 concentrations de travailleurs et indépendants étrangers qui séjournent à une seule et même adresse. L’ONSS doit disposer à cet effet de l’adresse de séjour en Belgique de ces travailleurs telle qu’elle est enregistrée dans le registre national, les registres Banque Carrefour ou comme mentionnée sur le Public Health Passenger Locator Form (Saniport) qui doit être rempli obligatoirement par toute personne qui se rend en Belgique en bateau ou en avion et par toute personne qui se rend en Belgique et qui y séjourne au moins 48 heures. Ces objectifs seront également fournis aux services d’inspection compétents. L’ONSS a besoin à cet effet d’une délibération pour aussi utiliser les données du registre national, des registres Banque Carrefour et de Saniport à l’intervention de la Banque Carrefour de la sécurité sociale. [A]ppui du traçage des contacts 4. Lors de la découverte d’une infection, des données complémentaires relatives à l’occupation peuvent être mises à la disposition du contact tracing, de sorte à identifier les clusters d’infection potentiels. À cet effet, l’ONSS recevra les numéros d’identification de la sécurité sociale des personnes infectées (cas index) par jour, ainsi que quelques données relatives à la date de début des symptômes ou à la date de prélèvement du test. L’ONSS vérifiera ensuite si ces personnes étaient effectivement au travail, durant les deux jours précédant le début des symptômes ou le prélèvement du test ou dans la période de quatorze jours qui suit, dans une entreprise active dans un des secteurs concernés (il s’agit de la période au cours de laquelle elles étaient contagieuses). Si tel est le cas, l’ONSS communique au single point of contact de l’inspection sanitaire désigné à cet effet, dans quelle entreprise de ces secteurs, un cas index était effectivement au travail, ainsi qu’un tableau reprenant pour cette entreprise, par jour pour les quatorze derniers jours, combien de personnes étaient effectivement au travail ainsi que les numéros d’identification de la sécurité sociale des autres cas index, s’ils se manifestent. Ce traitement de données à caractère personnel a lieu sans l’intervention de la Banque Carrefour de la sécurité sociale. Pour rappel, il existe un single point of contact par inspection sanitaire. Autrement dit, tout service d’inspection sanitaire désigne une seule personne sous la responsabilité de laquelle les données à caractère personnel sont obtenues et traitées. Sur la base des données à caractère personnel dont l’ONSS dispose dans les bases de données qu’il gère (répertoire des employeurs, DIMONA, LIMOSA, ...), l’ONSS fournira, en cas d’infection, les informations pertinentes relatives aux relations de travail aux inspecteurs sanitaires des entités fédérées. Il s’agit en particulier des données suivantes : l’identification de l’entreprise (dénomination, numéro d’entreprise, adresse siège social et adresse établissement), le lieu de travail (numéro de chantier), la taille de l’entreprise (nombre de travailleurs sur le lieu de travail), la liste des travailleurs sur le lieu de travail (numéro d’identification de la sécurité sociale, numéro d’entreprise ou numéro de chantier de l’employeur, période d’occupation provenant de la DIMONA, code travailleur de la DIMONA, le fait d’être infecté ou non, date de l’infection), le statut des travailleurs, le secteur et le lieu de séjour, si disponible, pour les travailleurs saisonniers. Les données à caractère personnel indispensables du RGTI sont le numéro d’identification de la sécurité sociale, le nom, les prénoms, l’adresse, le type d’entreprise (personne physique ou personne indépendante), le numéro d’entreprise, le ou les codes NACE, le code profession, le code cotisation, les dates de début et de fin. Il appartient ensuite à l’inspection sanitaire de décider ce qu’elle fait. Les numéros d’identification de la sécurité sociale des cas index (et les données à ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 12/32 caractère personnel mises à la disposition les concernant) sont supprimés à l’ONSS, au plus tard quatorze jours à compter de la date de réception des données à caractère personnel de Sciensano, car ils ne sont plus pertinents à ce moment. Les données à caractère personnel de Sciensano relatives aux infections par le coronavirus constituent des données de santé, qui doivent être traitées sous la responsabilité d’un professionnel des soins de santé. L’ONSS a confirmé que le traitement des données de santé précitées aura lieu sous la surveillance d’un médecin responsable, travaillant au sein de son organisation, qui vérifiera si les données de santé sont traitées correctement. L’échange des données interviendra via la eHealthbox. 5. Le fondement légal permettant à l’ONSS de procéder à ce type de traitement de données est contenu dans l’article 22 de l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid- 19, modifié en dernier lieu par l’arrêté ministériel du 12 janvier 2021. 6. L’ONSS souhaite accéder aux données d’identification suivantes du registre national des personnes physiques et des registres Banque Carrefour : le numéro d’identification du registre national ou le numéro d’identification de la Banque Carrefour (le numéro Bis), le sexe, le nom et les prénoms, le lieu et la date de naissance et les données d’adresse. Par sa décision n° 078/2020 du 7 septembre 2020, le ministre de l’Intérieur a autorisé l’ONSS à accéder aux données du registre national et à utiliser le numéro de registre national dans le cadre de mesures d’urgence vis-à-vis de travailleurs et indépendants étrangers qui réalisent temporairement des travaux en Belgique, pour limiter la propagation du coronavirus Covid-19. Étant donné que l’ONSS est également confronté à des personnes qui ne sont pas inscrites au registre national ou dont toutes les données à caractère personnel nécessaires ne sont pas systématiquement mises à jour dans le registre national, il demande, pour la même finalité, un accès aux mêmes données à caractère personnel dans les registres Banque Carrefour, visés l’article 4 de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque carrefour de la sécurité sociale, pour autant que ces données soient disponibles. Par sa délibération n° 12/13 du 6 mars 2012, le Comité sectoriel de la sécurité sociale et de la santé jadis compétent a jugé qu’il semblait légitime et opportun que des instances soient autorisées à accéder aux registres Banque Carrefour dans la mesure où elles répondent aux conditions d’accès au registre national et aussi longtemps qu’elles y satisfont. Dans cette délibération, le Comité sectoriel de la sécurité sociale et de la santé a aussi fixé le cadre général pour l’accès aux registres Banque Carrefour dans le chef des instances qui ont accès au Registre national. L’accès aux registres Banque Carrefour intervient, dans ce cas, dans le respect de la décision du ministre de l’Intérieur n° 078/2020 du 7 septembre 2020 et des mesures de protection des données définies dans la délibération précitée n° 12/13 du 6 mars 2012. 7. L’ONSS souhaite, dans le cadre de la prise de mesures préventives par les organisations compétentes, aussi obtenir un accès aux données suivantes du Public Health Passenger Locator Form, qui sont enregistrées dans la base de données Saniport : - Family name ; - First name ; - Gender ; VI ‐ 21.970 ‐ 13/32 - Date of birth ; - Belgian national number ; - Passport or ID card number ; - Mobile phone ; - Home phone ; - Office phone ; - Email address ; - Quarantine address ; - Numéro de certificat voyage professionnel ou formulaire ‘Business Travel Abroad’ ; - Le ou les pays ou, le cas échéant, la ou les régions où le séjour a eu lieu ; - Dates de début et de fin du séjour à l’étranger. 8. En ce qui concerne la déclaration des cas concrets d’infection par l’ONSS à l’inspection sanitaire des entités fédérées, l’ONSS a besoin d’input du Service public fédéral Santé publique, Sécurité de la chaîne alimentaire et Environnement (Sciensano), à savoir des numéros d’identification de la sécurité sociale des personnes infectées, par jour, ainsi que de la date de début des symptômes ou de la date de prélèvement du test. Ces données à caractère personnel doivent permettre à l’ONSS d’effectuer des recherches dans les banques de données qu’il gère et dans les banques de données auxquelles il a accès (en particulier le RGTI et Checkin@Work) concernant certaines personnes pour une période déterminée. Les données à caractère personnel précitées de Sciensano sont supprimées par l’ONSS, au plus tard quatorze jours à compter de la date de réception. Appui du contrôle par les inspecteurs sociaux 9. Les listes décrites au point 3 peuvent être mises à la disposition des services d’inspection sociale afin de pouvoir réaliser des contrôles ciblés dans le cadre de la surveillance du respect des obligations imposées par les mesures d’urgence pour limiter la propagation du coronavirus Covid-19. [É]tablissement de statistiques 10. À la demande de Sciensano et des services de santé régionaux, l’ONSS fournit, sur la base des données dont il dispose, des informations statistiques hebdomadaires concernant le nombre de cas de contaminations et son évolution par secteur, par catégorie d’âge et par type de travailleur et/ou indépendant. Ces chiffres ont trait à la population totale de la catégorie visée. II. EXAMEN DE LA DEMANDE […] 12. […] [C]onformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (principe de limitation des finalités), elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation des données), elles doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 14/32 traitées (principe de limitation de la conservation) et elles doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (principe d’intégrité et confidentialité). Principe de limitation des finalités 13. L’échange de données à caractère personnel visé par la présente délibération a un objectif légitime et poursuit une mission d’intérêt public urgente, à savoir la création et la gestion et du tracing des travailleurs et indépendants sur le sol belge dans le cadre de la crise de santé sanitaire liée au Covid-19 et de la lutte contre sa propagation. Cette communication de données à caractère personnel s’inscrit dans les pouvoirs attribués aux institutions publiques par l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19. L’ensemble de ces données seront utilisées dans le cadre du contrôle réalisé par l’ONSS. Ces données sont, en effet, essentielles dans le cadre de la lutte contre la propagation du coronavirus Covid-19, notamment via le traçage et le suivi des clusters et des collectivités à la même adresse, ainsi que dans le cadre de la surveillance par les inspecteurs sociaux compétents du respect des obligations découlant des mesures d’urgence prises pour limiter la propagation du coronavirus Covid-19. Ces données permettront également de déterminer la position et l’évolution des foyers épidémiologiques (dits « clusters ») afin de mettre en place, le plus rapidement possible, des mesures visant à limiter la propagation du Covid-19. La présente délibération régit le traitement de données à caractère personnel pour quatre finalités. [Voir supra] Principe de minimisation des données 14. Les données demandées dans le cadre des mesures de prévention font preuve de proportionnalité, car elles permettent d’identifier précisément et de manière univoque les personnes concernées en donnant la possibilité à l’ONSS de procéder à un matching entre, d’une part, les données des banques de données qu’il gère lui-même (répertoire des employeurs, DIMONA, LIMOSA, …) et les données provenant du RGTI et de Checkin@Work et, d’autre part, les données contenues dans le Registre national, les Registres Banque Carrefour et la base de données Saniport. Les données échangées dans le cadre de ce flux permettant à l’Office national de sécurité sociale de remplir ses missions de gestion de la crise liée au Covid-19. 15. Dans la mesure où il n’est pas exclu que la réglementation fédérale fasse l’objet de modifications selon l’évolution de la crise sanitaire causée par la pandémie de coronavirus Covid-19, il devra, avant chaque communication envisagée, être vérifié que la période de référence pour laquelle les données sont communiquées coïncide avec la période où les mesures d’organisation du travail dans le cadre de la lutte contre la propagation du coronavirus (télétravail, social distancing, …) sont encore d’application. 16. La Banque Carrefour de la sécurité sociale se charge de la communication minimale des données par Saniport à l’Office national de sécurité sociale. Dans ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 15/32 les cas où Saniport ne dispose pas d’un numéro d’identification de la sécurité sociale, la Banque Carrefour rechercherait ce numéro d’identification à l’aide de routines phonétiques afin de pouvoir assurer le couplage des données communiquées. 17. Dans le cadre d’un traçage efficace des contacts, l’ONSS reçoit de la part de Sciensano, par jour, les numéros d’identification de la sécurité sociale des personnes infectées (cas index) ainsi que la date de début des symptômes ou la date de prélèvement du test. L’ONSS vérifie, dans ses propres bases de données, l’endroit où les personnes concernées étaient éventuellement occupées dans la période de deux jours précédant le début des symptômes ou la date de prélèvement du test jusqu’à quatorze jours après cette date (la période de référence au cours de laquelle les personnes concernées étaient contagieuses). Le cas échéant, l’ONSS communique des informations relatives aux personnes concernées et à leurs collègues aux personnes désignées à cet effet auprès des services d’inspection compétents. Les données à caractère personnel relatives aux infections par le coronavirus (données relatives à la santé) sont traitées au sein de l’ONSS sous la surveillance d’un médecin responsable. 18. La communication ultérieure par l’ONSS aux diverses inspections de la santé se limite par cas index concerné (cas d’infection) à : - l’identité de l’entreprise où le cas index a travaillé au cours de la période de référence précitée (la dénomination, le numéro d’entreprise, l’adresse du siège social, l’adresse de l’établissement et le lieu de travail) ; - un tableau indiquant pour cette entreprise, pour chaque jour de la période de référence, le nombre de personnes qui y étaient effectivement occupées (le nombre de travailleurs sur le lieu de travail, le statut de ces personnes et le secteur) ; - l’identité des autres cas index éventuels au sein de la même entreprise (les autres personnes de la même entreprise chez lesquels une infection par le coronavirus Covid-19 a également été constatée) ; - l’identité des personnes sur le lieu de travail (le numéro d’identification de la sécurité sociale, le numéro d’entreprise/le numéro de chantier, la période d’occupation, le code travailleur, le fait d’être ou non infecté, la date d’infection et le lieu de séjour). 19. Ces données à caractère personnel sont indispensables pour constater les relations de travail avec la personne infectée par le coronavirus Covid-19 et ensuite pour prendre les mesures nécessaires. Les inspections sanitaires des entités fédérées doivent connaître, par personne infectée, l’endroit où elle a travaillé pendant la période contagieuse ou doivent savoir s’il y avait, sur ce même lieu de travail, d’autres cas d’infection et avec quels autres travailleurs et/ou indépendants la personne concernée est éventuellement entrée en contact. Principe de limitation de la conservation 20. Les données à caractère personnel concernées par la présente demande seront conservées jusqu’au jour de la publication de l’arrêté royal déclarant la fin de la crise Covid-19. Elles seront ensuite détruites. 21. En ce qui concerne le traitement de données à caractère personnel dans le cadre du traçage des contacts : les numéros d’identification de la sécurité sociale et les données à caractère personnel des cas index reçus de Sciensano sont supprimés à l’ONSS au plus tard quatorze jours après la date de réception des données, étant donné qu’ils ne sont plus pertinents à ce moment. VI ‐ 21.970 ‐ 16/32 Principe d’intégrité et confidentialité 22. Conformément à l’article 14 de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque carrefour de la sécurité sociale, la communication des données à caractère personnel visées aux points 6 et 7 (en vue de la prévention) s’effectue à l’intervention de la Banque Carrefour de la sécurité sociale. Cette dernière n’intervient pas lors du traitement des données à caractère personnel visées aux points 4 et 8 (en vue du traçage des contacts), étant donné qu’elle ne peut offrir de plus-value en la matière. 23. Lors du traitement des données à caractère personnel il y a lieu de tenir compte de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque carrefour de la Sécurité sociale et de toute autre disposition légale ou réglementaire relative à la protection de la vie privée, plus particulièrement le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ». La délibération précitée fait l’objet de deux recours en annulation enrôlés sous les numéros de rôle A.é.096/VI-21.999 et A.é.136/VI-22.022. À la suite de l’adoption de la décision attaquée, l’ONSS a également demandé à la ministre de l’Intérieur de pouvoir accéder aux données du Registre national et d’utiliser le numéro de ce Registre dans le cadre de certaines mesures urgentes dans la lutte contre la propagation du coronavirus Covid-19. Par décision n° 017/21 du 1er avril 2021, la ministre de l’Intérieur a accédé à cette demande. Dans sa décision, la ministre indique que cette demande est formulée pour poursuivre trois finalités : la prévention, l’appui de la recherche de contact et le soutien au contrôle des mesures Covid par les inspecteurs sociaux. Il est, à cet égard, notamment précisé ce qui suit : « L’accès aux informations du Registre national est demandé d’une part afin de permettre au requérant d’identifier, grâce au datamining, les employeurs présentant un certain risque et de transmettre leur identité aux instances compétentes en vue de fournir préventivement des informations générales sur la gestion de la crise du Covid-19. D’autre part, les cas de contaminations sont communiqués au requérant afin qu’il puisse fournir des informations concrètes à l’inspection sanitaire compétente des entités fédérées en vue de prendre les mesures nécessaires pour éviter la propagation du coronavirus. Enfin, un troisième objectif concerne le soutien des contrôles par les inspecteurs sociaux compétents sur le respect dans les entreprises des obligations imposées dans le cadre des mesures d’urgence prises par le ministre de l’Intérieur pour limiter la propagation du coronavirus Covid-19. Conformément à l’article 17 du Code pénal social, les inspecteurs sociaux sont chargés de surveiller dans les ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 17/32 entreprises le respect des obligations prévues dans le cadre des mesures d’urgence prises par le ministre de l’Intérieur pour limiter la propagation du coronavirus Covid-19. Pour atteindre ces objectifs, le requérant utilisera les données des bases de données qu’il gère (Dimona, DmFa, Limosa), les données du Répertoire général des travailleurs indépendants, les données de la base de données ‘Checkin@Work’, les données des registres de la Banque-Carrefour, les données de la base de données Saniport (formulaire de localisation des passagers de la Santé publique), les données du Registre national et enfin les données des registres tenus par les employeurs comme prévu à l’article 3, § 1er, de l’arrêté ministériel du 28 octobre 2020 précité ». La demande d’accès formulée par l’ONSS porte sur les noms, prénoms, lieu et date de naissance, sexe et résidence principale des personnes concernées. L’accord de coopération du 31 mai 2021 entre l’État fédéral, la Communauté flamande, la Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers des données à caractère personnel en vue du traçage et de l’examen des clusters et collectivités, en vue de l’application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux de travail contient sept dispositions. L’article 1er contient les définitions suivantes : « […] 1° “accord de coopération du 25 août 2020” : l’accord de coopération du 25 août 2020 entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d’inspections d’hygiène et par les équipes mobiles dans le cadre d’un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus Covid-19 se fondant sur une base de données auprès de Sciensano ; 2° “accord de coopération du 24 mars 2021” : l’accord de coopération du 24 mars 2021 entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune concernant le transfert de données nécessaires aux entités fédérées, aux autorités locales ou aux services de police en vue du respect de l’application de la quarantaine ou du test de dépistage obligatoires des voyageurs en provenance de zones étrangères et soumis à une quarantaine ou à un test de dépistage obligatoires à leur arrivée en Belgique ; 3° “Base de données I” : la base de données de Sciensano visée à l’article 1er, § 1er, 6°, de l’accord de coopération du 25 août 2020 ; 4° “cluster” : une concentration de personnes infectées ou potentiellement infectées par le coronavirus Covid-19 dans des collectivités visées à l’article 1er, ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 18/32 § 1er, 2°, de l’accord de coopération du 25 août 2020 ; 5° “collectivité” : une communauté de personnes pour lesquelles les inspections d’hygiène compétentes estiment qu’il existe un risque accru de propagation du coronavirus Covid-19 visée à l’article 1er, § 1er, 3°, de l’accord de coopération du 25 août 2020 ; 6° “Personnes de catégorie II” : les personnes qui ont été testées pour le coronavirus Covid-19 visées à l’article 1er, § 1er, 14°, de l’accord de coopération du 25 août 2020 ; 7° “Passenger Locator Form (PLF)” : formulaire que les voyageurs sont tenus de compléter avant leur voyage et de présenter, le cas échéant, au transporteur avant l’embarquement visé à l’article 1er, 1°, de l’accord de coopération du 24 mars 2021 ; 8° “Base de données PLF” : la base de données mise en place par le Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement, visée à l’article 1er, 4°, de l’accord de coopération du 24 mars 2021 ; 9° “le numéro NISS” : le numéro d’identification, visé à l’article 8, § 1er, 1° ou 2°, de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque carrefour de la sécurité sociale ; 10° “données d’identification” : le numéro d’identification de la personne concernée, de même que le cas échéant et exclusivement si cela est nécessaire en vue d’une identification correcte des personnes concernées, les éléments d’identification de base suivants : le nom, le prénom, le lieu de naissance, le sexe et l’adresse. Le numéro d’identification concerne soit le numéro de registre national visé à l’article 2, § 3, de la loi du 8 août 1983 organisant un registre national des personnes physiques, provenant du Registre national des personnes physiques visé à l’article 1er de la loi précitée du 8 août 1983 géré par le Service Public fédéral Intérieur, soit, pour les personnes qui ne sont pas reprises dans le Registre national, le numéro d’identification à la Banque carrefour visée à l’article 2, § 1er, 2°, de la loi du 15 janvier 1990 portant création et organisation de la Banque carrefour de la sécurité sociale, provenant du registre de la Banque carrefour visé à l’article 4 de la loi précitée du 15 janvier 1990, géré par la Banque carrefour de la sécurité sociale ; 11° “données de résidence” : les données qui ont trait au(x) lieu(x) où la personne concernée se trouve en Belgique et qui proviennent du Registre national précité géré par le Service Public fédéral Intérieur ou du Registre de la Banque carrefour précité géré par la Banque carrefour de la sécurité sociale ; 12° “les données de travail” : les données relatives à la durée, les lieux, le secteur d’occupation, de l’employeur et/ou du donneur d’ordre, du service de prévention et de protection au travail et lorsque et pour autant que l’obligation d’enregistrement des présences visée au chapitre 5, section 4, de la loi du 4 août 1996 concernant le bien-être des travailleurs dans l’exécution de leur travail s’applique ou lorsque la section 1er, du chapitre 2, du Titre 2 1, de la loi- programme du 10 août 2015 s’applique, les données de contact du ou des personnes de contact des chantiers ou lieux de travail. Ces données de travail sont issues des banques de données suivantes : a) le répertoire des employeurs géré par l’Office national de sécurité sociale ; b) La banque de données relative à la déclaration immédiate de l’emploi gérée par l’Office national de sécurité sociale visée à l’arrêté royal du 5 novembre 2020 instaurant une déclaration immédiate de l’emploi, en application de l’article 38 de la loi du 26 juillet 1996 portant modernisation la sécurité sociale et assurant la viabilité des régimes légaux des pensions ; c) la banque de données relative aux travailleurs salariés détachés et aux travailleurs indépendants gérée par l’Office national de sécurité sociale et L’institut national d’assurances sociales pour travailleurs indépendants visée à l’article 163 de la loi-programme (I) du 27 décembre 2006 ; VI ‐ 21.970 ‐ 19/32 d) la banque de donnée relative à la déclaration multifonctionnelle gérée par l’Office national de sécurité sociale et visée à l’article 21 de la loi du 27 juin 1969 révisant l’arrêté loi du 28 décembre 1944 relative à la sécurité sociale des travailleurs ; e) le Répertoire général des indépendants géré par l’institut national d’assurances sociales pour travailleurs indépendants visé à l’article 21, § 2, 2°, de l’arrêté royal du 19 décembre 1967 portant règlement général en exécution de l’arrêté royal n° 38 du 27 juillet 1967 organisant le statut social des travailleurs indépendants ; f) la banque de donnée relative au registre des présences gérée par le Service Public fédéral Emploi, Travail et Concertation sociale visée à l’article 31ter, § 2, de la loi du 4 août 1996 relative au bien-être des travailleurs lors de l’exécution de leur travail et l’article 6, § 1er, troisième alinéa, 1°, de la loi-programme du 10 août 2015 ; g) la banque de donnée relative à la déclaration de travaux gérée par l’Office national de sécurité sociale et visée à l’article 30 de l’arrêté royal du 27 décembre 2007 portant exécution de l’article 53 du Code du recouvrement amiable et forcé des créances fiscales et non fiscales et des articles 12, 30bis et 30ter de la loi du 27 juin 1969 révisant l’arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs et de l’article 6ter, de la loi du 4 août 1996 relative au bien-être des travailleurs lors de l’exécution de leur travail ». Les articles 2 à 4 disposent comme il suit : « Art. 2. § 1er. En vue de soutenir le traçage et l’examen des clusters et des collectivités en vue de la lutte contre la propagation du coronavirus Covid-19, l’Office national de sécurité sociale peut, en qualité de sous-traitant pour le compte des entités fédérées compétentes ou les agences désignées par les entités fédérées compétentes agissant, chacune dans le cadre de ses compétences, en tant que responsable du traitement, traiter, combiner et comparer les données à caractère personnel visées au paragraphe 2 de la Base de données I des Personnes de catégorie II dans la mesure où le test de dépistage du coronavirus Covid-19 a révélé qu’elles sont infectées avec des données d’identification et de travail. Les entités fédérées compétentes ou les agences désignées par les entités fédérées compétentes agissent, chacune pour leur compétence, en tant que responsable du traitement des données à caractère personnel qui résultent du traitement visé à l’alinéa 1er. Il s’agit plus précisément des entités ou agences suivantes : 1° pour la Région wallonne : l’Agence pour une Vie de Qualité ; 2° pour la Communauté flamande : het Agentschap Zorg en Gezondheid ; 3° pour la Communauté germanophone : das Ministerium der Deutschsprachigen Gemeinschaft ; 4° pour la Commission communautaire commune de Bruxelles-Capitale : la Commission communautaire commune. § 2. Les données à caractère personnel provenant de la Base de données I, visées au paragraphe 1er, sont : 1° le numéro NISS ; 2° la date du test de dépistage du coronavirus Covid-19 ; 3° le code postal. § 3. Les données à caractère personnel de la Base de données I ne sont pas conservées plus longtemps que nécessaire par l’Office précité au regard des finalités pour lesquelles elles sont traitées et sont détruites au plus tard 14 jours calendrier à compter de la date de réception de ces données à caractère personnel. VI ‐ 21.970 ‐ 20/32 Les données d’identification et de travail visées au paragraphe 1er sont détruites immédiatement après leur traitement par l’Office précité. Les données à caractère personnel qui résultent des traitements visés au paragraphe 1er sont rendues anonymes par l’Office précité de telle sorte que les personnes concernées ne sont plus identifiables en vue d’un traitement ultérieur à des fins d’enquête scientifiques ou statistiques ou de soutien à la gestion en matière de coronavirus Covid-19, en ce compris le monitoring épidémiologique réalisé par Sciensano. Les données à caractère personnel qui résultent des traitements visés au paragraphe 1er sont détruites par l’Office précité au troisième jour ouvrable à compter de la date de communication aux entités fédérées et aux agences désignées par les entités fédérées compétentes. Les entités fédérées compétentes et les agences désignées par les entités fédérées compétentes ne conservent pas plus longtemps que nécessaire les données à caractère personnel qui résultent des traitements visés au paragraphe 1er dans le cadre des finalités pour lesquels elles ont été traitées et ces données à caractère personnel sont détruites 90 jours calendrier à compter de la date de leur réception. § 4. Les entités fédérées compétentes et les agences désignées par les entités fédérées compétentes, chacune dans le cadre de leurs compétences, n’ont accès qu’aux données à caractère personnel qui résultent des traitements visés au paragraphe 1er que pour les finalités du traitement prévues au paragraphe 1er. Tout accès de personnes physiques aux données à caractère personnel qui résultent des traitements visés au paragraphe 1er ne peut avoir lieu que dans la mesure nécessaire aux tâches qui leur sont assignées afin de réaliser les finalités du traitement prévues au paragraphe 1er. Art. 3. § 1er. En vue de soutenir le traçage et l’examen des clusters et des collectivités et en vue de l’application de la quarantaine et du test de dépistage obligatoires en vue de la lutte contre la propagation du coronavirus Covid-19, l’Office national de sécurité sociale peut, en qualité de sous-traitant pour le compte des entités fédérées ou des agences désignées par les entités fédérées compétentes agissant, chacune dans le cadre de leurs compétences, en tant que responsable du traitement traiter, combiner et comparer les données à caractère personnel visées au paragraphe 2 provenant de la base de données PLF des travailleurs salariés ou des travailleurs indépendants vivant ou résidant à l’étranger qui effectuent des activités en Belgique, avec des données d’identification, de travail et de résidence. Les entités fédérées compétentes ou les agences désignées par les entités fédérées compétentes agissent, chacune pour leur compétence, en tant que responsable du traitement des données à caractère personnel qui résultent du traitement visé à l’alinéa 1er. Il s’agit plus précisément des entités ou agences suivantes : 1° pour la Région wallonne : l’Agence pour une Vie de Qualité ; 2° pour la Communauté flamande : het Agentschap Zorg en Gezondheid ; 3° pour la Communauté germanophone : das Ministerium der Deutschsprachigen Gemeinschaft ; 4° pour la Commission communautaire commune de Bruxelles-Capitale : la Commission communautaire commune. § 2. Les données à caractère personnel provenant de la base de données PLF visées au paragraphe 1er, sont : 1° nom et prénom ; VI ‐ 21.970 ‐ 21/32 2° sexe ; 3° date de naissance ; 4° le numéro NISS, ou, pour les personnes auxquelles un numéro NISS n’a pas été attribué, le numéro du passeport ou de la carte d’identité ; 5° le(s) numéro(s) de téléphone ; 6° l’adresse de résidence ; 7° l’adresse électronique ; 8° l’indication du fait que la personne concernée séjournera ou non plus de 48 heures en Belgique ; 9° l’indication du fait que le voyage est effectué à des fins professionnelles ou non ; 10° le cas échéant, le numéro de certificat du voyage professionnel ; 11° l’indication du fait que la personne concernée est résident de la Belgique ou non ; 12° l’indication du fait que la personne concernée a séjourné à l’étranger pendant 48 heures ou non ; 13° le pays ou les pays et, le cas échéant, la région ou les régions ou la personne a résidé ; 14° date de début et d[e] fin du séjour à l’étranger ; 15° date d’arrivée en Belgique. § 3. Conformément à l’article 7, alinéa 5, de l’accord de coopération du 24 mars 2021 et sans préjudice de l’application de l’article 7, alinéas 1er, 2 et 3, du même accord de coopération, les parties peuvent, en cas de modification du PLF, concrétiser les données à caractère personnel visées au paragraphe 2 par le biais d’un accord de coopération d’exécution tel que prévu à l’article 92bis, § 1er, troisième alinéa, de la loi spéciale du 8 août 1980 de réformes institutionnelles. § 4. Les données à caractère personnel provenant de la base de données PLF ne sont pas conservées plus longtemps que nécessaire par l’Office précité au regard des finalités pour lesquelles elles sont traitées et sont détruites au plus tard 28 jours calendrier à compter de la date d’arrivée de la personne concernée sur le territoire belge. Les données d’identification, de travail et de résidence visées au paragraphe 1er sont détruites par l’Office national de sécurité sociale immédiatement après leur traitement. Les données qui résultent des traitements visés au paragraphe 1er sont détruites par l’Office précité au plus tard le troisième jour ouvrable à compter de la date de la communication de ces données aux entités fédérées compétentes et aux agences désignées par les entités fédérées compétentes. Les entités fédérées compétentes et les agences désignées par les entités fédérées compétentes ne conservent pas plus longtemps que nécessaire les données à caractère personnel qui résultent des traitements visés au paragraphe 1er et qu’elles traitent en vue du traçage et de l’examen des clusters et des collectivités en vue de lutter contre la propagation du coronavirus COVID 19 pour les finalités pour lesquelles elles ont été traitées. Ces données à caractère personnel sont détruites 90 jours calendrier à partir de la date de leur réception. Les entités fédérées compétentes et les agences désignées par les entités fédérées compétentes conservent les données à caractère personnel qui résultent des traitements visés au paragraphe 1er et qu’elles traitent en vue de l’application de la quarantaine et du test de dépistage obligatoires dans le cadre de la lutte contre la propagation du coronavirus Covid-19 conformément à l’article 5 de l’accord de coopération du 24 mars 2021. VI ‐ 21.970 ‐ 22/32 § 5. Les données à caractère personnel qui résultent des traitements visés au paragraphe 1er peuvent, conformément à l’article 3, § 2, de l’accord de coopération du 24 mars 2021 et à la réglementation des entités fédérées, être communiquées par les entités fédérées aux autorités locales et par les entités fédérées et les autorités locales aux services de police, soit conformément à la réglementation des entités fédérées, soit en cas de soupçon du fait que la quarantaine n’est pas respectée. Ceux-ci peuvent traiter ultérieurement ces données à caractère personnel en vue de l’application de la quarantaine et du test de dépistage obligatoires. § 6. Les entités fédérées compétentes et les agences désignées par les entités fédérées compétentes, chacune dans le cadre de leurs compétences, n’ont accès qu’aux données à caractère personnel qui résultent des traitements visés au paragraphe 1er pour les finalités du traitement prévues au paragraphe 1er. Tout accès de personnes physiques aux données à caractère personnel qui résultent des traitements visés au paragraphe 1er ne peut avoir lieu que dans la mesure nécessaire aux tâches qui leur sont assignées afin de réaliser les finalités du traitement prévues au paragraphe 1er. Art. 4. § 1er. En vue de la surveillance par les inspecteurs sociaux visés à l’article 17, § 2, alinéa 1er, du Code pénal social du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux de travail visés à l’article 16, 10°, du Code pénal social, l’Office national de sécurité sociale, peut, en qualité de responsable du traitement, traiter ultérieurement, les données à caractère personnel déterminées au paragraphe 2 de la base de données PLF des personnes qui sont tenues de remplir le PLF, combiner et comparer ces données à caractère personnel avec des données d’identification et de travail. § 2. Les données à caractère personnel provenant de la base de données PLF visées au paragraphe 1er, sont : 1° nom et prénom ; 2° sexe ; 3° date de naissance ; 4° numéro NISS, ou pour les personnes auxquelles un tel numéro NISS n’a pas été attribué : le numéro du passeport ou de la carte d’identité ; 5° l’indication du fait que la personne concernée séjournera ou non plus de 48 heures en Belgique ; 6° l’indication du fait que le voyage est effectué ou non à des fins professionnelles ; 7° le cas échéant, le numéro de certificat du voyage professionnel ; 8° l’indication du fait que la personne concernée est résident ou non de la Belgique ; 9° l’indication du fait que la personne concernée a séjourné à l’étranger pendant 48 heures ou non ; 10° le pays ou les pays et, le cas échéant, la région ou les régions ou la personne a résidé ; 11° date de début et de fin du séjour à l’étranger ; 12° date d’arrivée en Belgique. § 3. Les données à caractère personnel qui résultent du traitement visé au paragraphe 1er, ne peuvent être communiquées par l’Office national précité qu’aux inspecteurs sociaux des services ou institutions visées à l’article 17, § 2, alinéa 1er, du Code pénal social, qui sont chargés de surveiller le respect sur les lieux de travail des mesures pour limiter la propagation du coronavirus Covid-19 dans le respect de la finalité du traitement déterminée au paragraphe 1er. VI ‐ 21.970 ‐ 23/32 § 4. Les données à caractère personnel provenant de la base de données PLF visées au paragraphe 2 ne sont pas conservées plus longtemps que nécessaire par l’Office précité au regard des finalités pour lesquelles elles sont traitées et seront détruites au plus tard 28 jours calendrier à compter du lendemain de la date d’arrivée de la personne concernée sur le territoire belge. Les données d’identification et de travail visées au paragraphe 1er ne sont pas conservées plus longtemps que nécessaire par l’Office précité au regard des finalités pour lesquelles elles sont traitées et sont détruites à la date de leur traitement par l’Office précité. Les données à caractère personnel qui résultent du traitement visé au paragraphe 1er ne sont pas conservées par l’Office précité plus longtemps que nécessaire au regard des finalités pour lesquels elles ont été traitées et sont détruites à la date de leur communication aux inspecteurs sociaux compétents visés à l’article 17, § 2, alinéa 1er, du Code pénal social. Les données à caractère personnel qui résultent du traitement visé au paragraphe 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquels elles ont été traitées par les inspecteurs sociaux compétents visés à l’article 17, § 2, alinéa 1er du Code pénal social et sont détruites 28 jours calendrier à compter du lendemain de la date d’arrivée de la personne concernée sur le territoire Belge ». L’article 5 prévoit que les litiges entre les parties à l’accord de coopération concernant l’interprétation ou l’exécution de cet accord de coopération sont soumis à une juridiction de coopération au sens de l’article 92bis, § 5, de la loi spéciale du 8 aout 1980 de réformes institutionnelles et l’article 6 détermine le rôle de la Conférence interministérielle Santé publique ; celle-ci surveille la mise en œuvre et le respect de l’accord de coopération et, le cas échéant, soumet des propositions d’adaptation et peut exercer une fonction de médiation. L’article 7 concerne l’entrée en vigueur de l’accord et la fin de celui-ci. Il prévoit ce qui suit : « Le présent accord de coopération entre en vigueur le jour de la publication au Moniteur belge du dernier acte législatif portant assentiment du présent accord de coopération, à l’exception de l’article 2 qui produit ses effets à dater du 1er septembre 2020. Le présent accord de coopération produit ses effets jusqu’à sa révision ou sa révocation qui intervient le jour où le Secrétariat central du Comité de concertation a reçu l’accord écrit de toutes les parties pour mettre fin à l’accord de coopération et après la publication d’une communication confirmant cet accord écrit au Moniteur belge. Les mesures mises en place par le présent accord de coopération prendront fin le jour de la publication de l’arrêté royal proclamant la fin de l’épidémie du coronavirus Covid-19 ». L’accord de coopération du 31 mai 2021 est actuellement toujours en VI ‐ 21.970 ‐ 24/32 vigueur. Le projet d’accord de coopération a fait l’objet d’un avis n° 66/2021 donné le 6 mai 2021 par l’Autorité de protection des données et la section de législation du Conseil d’État a, le 17 mai 2021, donné un avis n° 69.336/VR du 17 mai 2021 sur l’avant-projet de loi portant assentiment de cet accord. Dans son avis, la section de législation du Conseil d’État indique, sur la portée du projet de l’accord de coopération, ce qui suit : « L’accord de coopération auquel il est envisagé de donner assentiment entend créer une base juridique pour trois types de traitements de données à caractère personnel en déterminant les éléments essentiels de ces traitements. Un premier type de traitements peut avoir lieu en vue de soutenir le traçage et l’examen des clusters et des collectivités, et concerne l’enrichissement par l’Office national de sécurité sociale qui peut, en qualité de sous-traitant pour le compte des entités fédérées compétentes, traiter trois données à caractère personnel provenant de la Base de données I (le numéro NISS, la date du test de dépistage du coronavirus Covid-19 et le code postal) de Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus Covid-19 a révélé qu’elles sont infectées, combiner et comparer ces données avec des données d’identification, de contact, de travail et de résidence (article 2). Un deuxième type de traitements peut avoir lieu en vue de soutenir le traçage et l’examen des clusters et des collectivités et en vue de l’application de la quarantaine et du test de dépistage obligatoires, et concerne l’enrichissement par l’Office national de sécurité sociale qui peut, en qualité de sous-traitant pour le compte des entités fédérées compétentes, traiter, combiner et comparer certaines données à caractère personnel visées à l’article 3, paragraphe 2, provenant de la base de données PLF des travailleurs salariés ou des travailleurs indépendants vivant ou résidant à l’étranger qui effectuent des activités en Belgique, avec des données d’identification, de contact, de travail et de résidence (article 3). Le troisième type de traitements peut avoir lieu en vue de la surveillance sur les lieux de travail par les inspecteurs sociaux et concerne l’enrichissement par l’Office national de sécurité sociale qui peut, en qualité de responsable du traitement, traiter une sélection de données à caractère personnel provenant de la base de données PLF, combiner et comparer ces données avec des données d’identification, de contact et de travail (article 4) ». Sur l’article 7 de l’accord de coopération, la section de législation observe ce qui suit : « L’article 7, alinéa 1er, prévoit que l’accord de coopération à l’examen entre en vigueur le jour de la publication au Moniteur belge du dernier acte législatif y portant assentiment, “à l’exception de l’article 2 qui produit ses effets à dater du 1er septembre [2020] et à l’exception de l’article 4 qui produit ses effets à dater du 12 janvier 2021”. VI ‐ 21.970 ‐ 25/32 Les articles 2 et 4 de l’accord de coopération doivent donc être considérés comme une création ex post d’un fondement légal pour les traitements de données visés (qui sont déjà effectués actuellement conformément à l’article 22 de l’arrêté ministériel précité du 28 octobre 2020). La non-rétroactivité des règles au niveau hiérarchique d’une norme législative est une garantie ayant pour but de prévenir l’insécurité juridique. Cette garantie exige que le contenu du droit soit prévisible et accessible, de sorte que le justiciable puisse prévoir, à un degré raisonnable, les conséquences d’un acte déterminé au moment où cet acte est accompli. La rétroactivité peut uniquement être justifiée lorsqu’elle est indispensable à la réalisation d’un objectif d’intérêt général. Interrogés à ce sujet, les délégués ont répondu que : “De gedeeltelijk retroactiviteit is afgestemd op de datum van inwerkingtreding van de overeenstemmende bepaling van het besluit van de Minister van Binnenlandse Zaken houdende de dringende maatregelen om de verspreiding van het coronavirus Covid-19 te beperken. Artikel 2 heeft net zoals artikel 11 van het ministerieel besluit van 22 augustus 2020 houdende wijziging van het ministerieel besluit van 30 juni 2020 houdende dringende maatregelen om de verspreiding van het coronavirus Covid-19 te beperken, uitwerking met ingang van 1 september 2020. Artikel 4 heeft net zoals artikel 8 van het ministerieel besluit van 12 januari 2021 houdende wijziging van het ministerieel besluit van 28 oktober 2020 houdende dringende maatregelen om de verspreiding van het coronavirus Covid-19 te beperken, uitwerking met ingang van 12 januari 2021. De rechtszoekenden waren aldus voorafgaand aan de verwerkingen op de hoogte van de verwerkingen. De gedeeltelijk terugwerkende kracht is ook is mede ingegeven door het wetsontwerp betreffende de maatregelen van bestuurlijke politie tijdens een epidemische noodsituatie (55K1951). Het betreffende wetsontwerp biedt geen, minstens onvoldoende rechtsgrond, voor maatregelen die de verwerking van persoonsgegevens impliceren die raken aan de persoonlijke levenssfeer. De essentiële elementen van de verwerkingen van persoonsgegeven zullen voor dergelijke maatregelen bij afzonderlijke federale wet of samenwerkingsakkoord moeten worden bepaald. De gedeeltelijk retroactieve inwerkingtreding is in dezen onontbeerlijk voor de verwezenlijking van een doelstelling van algemeen belang, te weten het beperken van de verspreiding van het coronavirus Covid-19. Ter aanvulling wordt gepreciseerd dat in dezen geen sprake is van retroactieve strafbaarstelling. Er wordt uiteraard evenmin afbreuk gedaan aan definitief geworden rechterlijke beslissingen”. Ainsi que l’a toutefois déjà observé la section de législation, notamment dans son avis n° 68.977/VR donné le 16 mars 2021, “La non-rétroactivité s’impose dès lors que, conformément à la législation des entités fédérées, les données échangées dans le cadre de cet accord de coopération permettront de sanctionner pénalement les individus qui ne respectent pas les obligations de quarantaine et de testing”. Cette observation peut être réitérée en l’espèce s’agissant de l’article 4 de l’accord de coopération, dès lors que les données traitées dans ce cadre permettront le cas échéant de sanctionner pénalement les individus qui ne respectent pas les mesures pour limiter la propagation du coronavirus sur les lieux de travail. VI ‐ 21.970 ‐ 26/32 La formulation de l’alinéa 1er sera par conséquent revue, de manière à éviter tout effet rétroactif pour l’article 4 de l’accord de coopération. S’agissant de l’article 2 de l’accord de coopération, dès lors que celui-ci n’a pas pour finalité l’application et le contrôle de la quarantaine et du testing obligatoires et que les données traitées dans ce cadre ne permettront donc pas de sanctionner pénalement les individus qui ne respectent pas les obligations en matière de quarantaine et de testing, la rétroactivité de celui-ci peut être admise dans la mesure où elle poursuit un objectif d’intérêt général, à savoir le maintien d’un cadre juridique offrant une sécurité juridique suffisante pour lutter contre la pandémie de Covid-19. Un effet rétroactif peut, dans ces circonstances, être exceptionnellement conféré à l’article 2 de l’accord de coopération qui correspond sur le fond à ce qui a été réglé dans la réglementation fédérale, laquelle répond d’urgence à la nécessité de lutter contre la pandémie de Covid-19, à compter de la date d’entrée en vigueur de cette réglementation fédérale, soit le 1er septembre 2020. Cette justification ne vaudrait cependant pas pour les nouveaux éléments qui ne correspondent pas au traitement de données à caractère personnel tel qu’il s’est concrétisé dans les faits depuis cette date. Il faudra dès lors veiller à ce que les règles contenues dans cet accord de coopération s’accordent parfaitement avec cette concrétisation effective ». À la suite de cette observation, les auteurs de l’accord de coopération ont renoncé à faire rétroagir l’article 4 de l’accord à la date du 12 janvier 2021, correspondant à la date d’entrée en vigueur de l’acte attaqué. Cette disposition, comme les autres dispositions de l’accord, à l’exception de l’article 2, est entrée en vigueur le jour de la publication au Moniteur belge du dernier acte législatif portant assentiment de l’accord de coopération, soit le 12 juillet 2021 (date de la publication au Moniteur belge du décret du 28 juin 2021 de la Communauté germanophone portant assentiment de l’accord de coopération du 31 mai 2021). L’article 22 de l’arrêté ministériel du 22 octobre 2020, tel que modifié par l’article 8 de l’arrêté ministériel du 21 janvier 2021 (acte attaqué), est, à ce point vague et peu précis, qu’il est particulièrement difficile de déterminer les collectes et traitements de données à caractère personnel qu’il autorise et de prévoir ceux qui ont pu effectivement être concrétisés sur la base de cette disposition. Toutefois, les demandes adressées par l’ONSS à la chambre sécurité sociale et santé du Comité de l’information et à la ministre de l’Intérieur pour obtenir des autorisations d’accès/de communication à/de certaines données à caractère personnel, permettent de mieux cerner la portée des traitements de données à caractère personnel effectués par l’ONSS sur la base de la disposition réglementaire attaquée et de vérifier dans quelle mesure cette concrétisation effective peut trouver un fondement légal dans l’accord de coopération pour toute la période litigieuse. Il apparaît tout d’abord que plusieurs types de traitements de données à caractère personnel ont été concrétisés selon différentes finalités. Dans sa ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 27/32 délibération n° 20/178 du 1er septembre 2020, modifiée le 18 janvier 2021, la chambre sécurité sociale et santé du Comité de sécurité de l’information indique quatre finalités distinctes : « prévention », « appui du traçage des contacts », « appui du contrôle par les inspecteurs sociaux » et « établissement de statistiques ». Il peut déjà être relevé que la finalité « prévention » qui doit permettre d’identifier les employeurs « à risque » n’est pas reprise dans l’accord de coopération du 31 mai 2021, alors qu’il apparaît de la délibération n° 20/178 du 1er septembre 2020, modifiée le 18 janvier 2021, précitée, et de la décision n° 017/2021 du 1er avril 2021 de la ministre de l’Intérieur que l’ONSS a, pendant la période litigieuse, dans le cadre des demandes introduites auprès de ces autorités, fait état de traitements de données à caractère personnel effectués en vue de cette finalité, impliquant la communication des résultats de ces traitements aux services d’inspection sanitaire chargés de la lutte contre la propagation du coronavirus Covid- 19. Les finalités « appui du traçage des contacts » et « établissement de statistiques » sont reprises à l’article 2 de l’accord de coopération et la finalité « appui du contrôle par les inspecteurs sociaux » à l’article 4 de cet accord. Il convient toutefois de bien distinguer ces deux dispositions.  L’article 2 concerne le traitement d’appui du traçage des contacts et de l’examen des clusters et des collectivités en vue de la lutte contre la propagation du Covid- 19. En vue de cette finalité, l’ONSS enrichit la base de données I de Sciensano concernant les personnes de catégorie II qui ont été testées positives, l’objectif étant, en substance, d’analyser, à l’aide des données enrichies, si une personne qui a été testée positive a contaminé ses collègues sur le lieu de travail ou si elle y a été contaminée. L’ONSS agit en qualité de sous-traitant pour le compte des entités fédérées pour permettre à ces dernières d’exercer leurs compétences en matière de suivi des contacts et d’examen de foyers de contamination de la Covid-19.  L’article 4 de l’accord de coopération concerne le traitement d’appui du contrôle par les inspecteurs sociaux pour leur permettre de surveiller sur les lieux du travail le respect des mesures pour limiter la propagation du coronavirus Covid- 19 en application des articles 16, 10°, 17, § 2, et 238 du Code pénal. En vue de cette finalité, l’ONSS enrichit la base de données PLF (Passenger Locator Form) des personnes qui sont obligées de compléter un formulaire PLF. Comme le ECLI:BE:RVSCE:2024:ARR.260.090 VI ‐ 21.970 ‐ 28/32 relève la section de législation du Conseil d’État, les données traitées dans ce cadre permettent le cas échéant de sanctionner pénalement les individus qui ne respectent pas les mesures pour limiter la propagation du coronavirus sur les lieux du travail. L’ONSS agit en qualité de responsable du traitement et pas de sous- traitant et communique les données enrichies aux inspecteurs sociaux des services et institutions visés à l’article 17, § 2, du Code pénal social. L’acte attaqué ne fait pas de distinction claire entre ces deux types de traitement. Il apparaît toutefois des pièces du dossier que, dans la mise en œuvre de la disposition litigieuse, une distinction a bien été opérée. L’ONSS agissait cependant, sous l’empire de la disposition réglementaire attaquée, en qualité de sous- traitant pour les deux types de traitements alors que l’article 4 l’accord de coopération fait de l’ONSS le responsable du traitement pour ce qui concerne le traitement d’appui du contrôle par les inspecteurs sociaux. Plus fondamentalement, l’article 4 de l’accord de coopération du 31 mai 2021 ne rétroagit pas à la date de l’entrée en vigueur de la disposition réglementaire attaquée. Comme il vient d’être exposé, le projet d’accord de coopération prévoyait bien une telle rétroactivité, mais ses auteurs y ont renoncé à la suite d’une observation formulée par la section de législation du Conseil d’État. L’article 4 de l’accord étant dépourvu de tout effet rétroactif, les traitements de données à caractère personnel par l’ONSS qui ont eu lieu, entre le 12 janvier 2021 (date de l’entrée en vigueur de la disposition réglementaire attaquée) et le 11 juillet 2021 (veille de l’entrée en vigueur de l’article 4 de l’accord de coopération), en vue du contrôle sur les lieux du travail par les inspecteurs sociaux, ne peuvent, en aucun cas, trouver leur fondement juridique dans l’accord de coopération du 31 mai 2021. Par ailleurs, pour ce qui concerne les traitements de données à caractère personnel, en vue de la finalité visée à l’article 2 de l’accord de coopération, lequel est entré en vigueur rétroactivement le 1er septembre 2020, soit avant l’entrée en vigueur de la disposition réglementaire attaquée, il ne peut être exclu que certains traitements effectués par l’ONSS, pendant la période litigieuse, échappent à cette disposition de l’accord de coopération. En effet, par exemple, les données de santé, du travail et d’identification sont plus largement définies dans la délibération n° 20/178 du 1er septembre 2020, modifiée le 18 janvier 2021, de la chambre sécurité sociale et santé du Comité de sécurité de l’information qu’à l’article 2 de l’accord de coopération du 31 mai 2021. Il apparaît notamment que cette instance a, à la demande de l’ONSS, permis à ce dernier d’accéder aux données de santé relatives à la date de début des symptômes des personnes testées positives à la Covid-19, aux VI ‐ 21.970 ‐ 29/32 données du travail relatives au statut des travailleurs et aux données d’identification relatives à la date de naissance des personnes concernées, alors que ces données ne sont pas visées à l’article 2 de l’accord de coopération. Par ailleurs, cette disposition ne permet pas de coupler les données issues de la base de données I de Sciensano avec les données de résidence de la personne concernée alors que, dans la délibération précitée, une telle combinaison est, à la demande de l’ONSS, autorisée. Pour les motifs qui précèdent, il ne peut être affirmé que l’ensemble des traitements de données à caractère personnel effectués par l’ONSS pour la période pendant laquelle l’acte attaqué a été en vigueur et a été exécuté (période du 12 janvier 2021 au 28 juillet 2021) trouveraient un fondement légal dans les dispositions de l’accord de coopération du 31 mai 2021 auquel les législateurs fédéral et fédérés ont donné leur assentiment. L’exception d’irrecevabilité soulevée – qui repose sur cette affirmation – ne peut être retenue. Il convient de rouvrir les débats afin de permettre au membre de l’auditorat désigné par Monsieur l’auditeur général de poursuivre l’instruction de l’affaire. VI. Dépersonnalisation Dans sa requête, la partie requérante sollicite la dépersonnalisation de l’arrêt à intervenir. Selon l’article 2, alinéa 1er, de l’arrêté royal du 7 juillet 1997 relatif à la publication des arrêts et des ordonnances de non-admission du Conseil d’État, toute personne physique partie à un litige porté devant le Conseil d’État peut requérir dans la requête et, le cas échéant, jusqu’à la clôture des débats que, lors de la publication de l’arrêt ou de l’ordonnance, l’identité des personnes physiques ne soit pas mentionnée. Rien ne s’oppose à cette demande. VI ‐ 21.970 ‐ 30/32 PAR CES MOTIFS, LE CONSEIL D’ÉTAT DÉCIDE : Article 1er. Les débats sont rouverts afin de permettre au membre de l’auditorat désigné par Monsieur l’auditeur général de poursuivre l’instruction de l’affaire. Article 2. Lors de la publication du présent arrêt, l’identité de la partie requérante ne sera pas mentionnée. Article 3. Les dépens sont réservés. VI ‐ 21.970 ‐ 31/32 Ainsi prononcé à Bruxelles le 12 juin 2024, par la VIe chambre du Conseil d’État, composée de : Florence Piret, conseillère d’État, présidente f.f., Michèle Belmessieri, conseillère d’État, Xavier Close, conseiller d’État, Adeline Schyns, greffière. La Greffière, La Présidente, Adeline Schyns Florence Piret VI ‐ 21.970 ‐ 32/32