ECLI:BE:RVSCE:2024:ARR.260.091

ERROR JUPORTARobotRecordLienECLI WARNING ECLI:BE:RVSCE:2024:ARR.260.091 no lien 277614 identiques CONSEIL D’ÉTAT, SECTION DU CONTENTIEUX ADMINISTRATIF VIe CHAMBREno 260.091 du 12 juin 2024 A. é.096/VI-21.999 En cause : XXXX, ayant élu domicile chez Me Ronald FONTEYN, avocat, rue de Florence 13 1000 Bruxelles, contre : 1. la chambre sécurité sociale et santé du Comité de la sécurité de l’information, 2. l’État belge, représenté par le ministre des Affaires sociales et de la Santé publique, ayant élu domicile chez Mes Nicolas BONBLED et Camila DUPRET TORRES, avocats, boulevard Bischoffsheim 33 1000 Bruxelles, A. é.136/VI-22.002 En cause : l’ASBL Ligue des droits humains, ayant élu domicile chez Me Ronald FONTEYN, avocat, rue de Florence 13 1000 Bruxelles, Assistée par Mes Catherine FORGET et Siham NAJMI, avocats, contre : 1. la chambre sécurité sociale et santé du Comité de la sécurité de l’information, 2. l’État belge, représenté par le ministre des Affaires sociales et de la Santé publique, ayant élu domicile chez Mes Nicolas BONBLED et Camila DUPRET TORRES, avocats, boulevard Bischoffsheim 33 1000 Bruxelles. VI ‐ 21.999‐22.002 ‐ 1/47 I. Objet de la requête Par une requête introduite le 3 mars 2021, la requérante dans la première affaire demande l’annulation de « la délibération n° 20/178 du 1er septembre 2020 modifiée le 18 janvier 2021 (CSI/CSSS/21/036) de la chambre sécurité sociale et santé du Comité de sécurité de l’information relative à la communication de données à caractère personnel par la Banque Carrefour de la Sécurité sociale, le Service public fédéral Santé publique, Sécurité de la chaîne alimentaire et Environnement, le Service public fédéral Emploi, Travail, et Concertation sociale et par l’Institut national d’assurances sociales pour travailleurs indépendants à l’Office national de sécurité sociale dans le cadre de la lutte contre la propagation du coronavirus Covid- 19 et la gestion de la crise sanitaire vis-à-vis de travailleurs et indépendants (prévention, contrôle, traçage des contacts et établissement de statistiques) ». Il s’agit du recours enrôlé sous le numéro de rôle A. é.096/VI-21.999. Par une requête introduite le 9 mars 2021, l’ASBL La Ligue des droits humains demande l’annulation de « la délibération n° 20/178 du 1er septembre 2020 modifiée le 18 janvier 2021 (CSI/CSSS/21/036) de la chambre sécurité sociale et santé du Comité de sécurité de l’information relative à la communication de données à caractère personnel par la Banque Carrefour de la Sécurité sociale, le Service public fédéral Santé publique, Sécurité de la chaîne alimentaire et Environnement, le Service public fédéral Emploi, Travail, et Concertation sociale et par l’Institut national d’assurances sociales pour travailleurs indépendants à l’Office national de sécurité sociale dans le cadre de la lutte contre la propagation du coronavirus Covid- 19 et la gestion de la crise sanitaire vis-à-vis de travailleurs et indépendants (prévention, contrôle, traçage des contacts et établissement de statistiques) ». Il s’agit du recours enrôlé sous le numéro de rôle A. é.136/VI-22.002. II. Procédure Quant à l’affaire A. é.096/VI-21.999 La contribution et les droits visés respectivement aux articles 66, 6°, et à l’article 70 de l’arrêté du Régent du 23 août 1948 déterminant la procédure devant la section du contentieux administratif du Conseil d’État ont été acquittés. VI ‐ 21.999‐22.002 ‐ 2/47 La première partie adverse s’est abstenue de déposer un mémoire en réponse. La deuxième partie adverse a déposé un mémoire en réponse et le dossier administratif. La partie requérante a déposé un mémoire ampliatif. Mme Claudine Mertes, premier auditeur au Conseil d’État, a rédigé un rapport sur la base de l’article 12 du règlement général de procédure. Le rapport a été notifié aux parties. La partie requérante et la deuxième partie adverse ont déposé des derniers mémoires. Par une ordonnance du 31 janvier 2024, l’affaire a été fixée à l’audience du 21 février 2024. Mme Florence Piret, conseillère d’État, présidente f.f., a exposé son rapport. Me Ronald Fonteyn, avocat, comparaissant pour la partie requérante, et Me Nicolas Bonbled, avocat, comparaissant pour la deuxième partie adverse, ont été entendus en leurs observations. Mme Claudine Mertes, premier auditeur, a été entendue en son avis contraire. Il est fait application des dispositions relatives à l’emploi des langues, inscrites au titre VI, chapitre II, des lois sur le Conseil d’État, coordonnées le 12 janvier 1973. Quant à l’affaire é.136/VI-22.002. La contribution et les droits visés respectivement aux articles 66,6°, et à l’article 70 de l’arrêté du Régent du 23 août 1948 déterminant la procédure devant la section du contentieux administratif du Conseil d’État ont été acquittés. VI ‐ 21.999‐22.002 ‐ 3/47 La première partie adverse s’est abstenue de déposer un mémoire en réponse. La deuxième partie adverse a déposé un mémoire en réponse et le dossier administratif. La partie requérante a déposé un mémoire ampliatif. Mme Claudine Mertes, premier auditeur au Conseil d’État, a rédigé un rapport sur la base de l’article 12 du règlement général de procédure. Le rapport a été notifié aux parties. La partie requérante a déposé un dernier mémoire. Par une ordonnance du 31 janvier 2024, l’affaire a été fixée à l’audience du 21 février 2024. Mme Florence Piret, conseillère d’État, présidente f.f., a exposé son rapport. Me Ronald Fonteyn, avocat, comparaissant pour la partie requérante, et Me Nicolas Bonbled, avocat, comparaissant pour la deuxième partie adverse, ont été entendus en leurs observations. Mme Claudine Mertes, premier auditeur, a été entendue en son avis contraire. Il est fait application des dispositions relatives à l’emploi des langues, inscrites au titre VI, chapitre II, des lois sur le Conseil d’État, coordonnées le 12 janvier 1973. III. Exposé des faits utiles 1. À partir de la mi-mars 2020, la Belgique est confrontée à la pandémie du coronavirus (Covid-19). La deuxième partie adverse se trouve contrainte, comme de nombreuses autres autorités d’autres pays à travers le monde, d’adopter les mesures nécessaires, parfois radicales et drastiques, pour endiguer cette pandémie. L’article 1er de l’arrêté ministériel du 13 mars 2020 portant le déclenchement de la phase fédérale concernant la coordination et la gestion de la VI ‐ 21.999‐22.002 ‐ 4/47 crise coronavirus Covid-19, entré en vigueur le même jour, déclenche la phase fédérale du plan d’urgence national. 2. L’article 11 de l’arrêté ministériel du 22 août 2020 modifiant l’arrêté ministériel du 30 juin 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 introduit un article 18bis dans l’arrêté précité du 30 juin 2020. Cette disposition prévoit ce qui suit : « Dans le cadre de la lutte contre le coronavirus Covid-19, l’Office national de sécurité sociale peut, en qualité de sous-traitant, pour le compte des centres de contacts, des inspections sanitaires et des équipes mobiles, collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la santé relatives au coronavirus Covid-19, des données de contact, d’identification, de travail et de résidence relatives aux travailleurs salariés et travailleurs indépendants détachés visés à l’article 137, 8°, a et b) de la Loi-programme (I) du 27 décembre 2006 travaillant en Belgique, en vue de soutenir le traçage et l’examen des clusters et des collectivités. Les données à caractère personnel qui résultent du traitement visé à l’alinéa 1er ne sont pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées et seront détruites au plus tard le jour de la publication au Moniteur belge de l’arrêté royal proclamant la fin de l’état épidémie du coronavirus Covid-19 ». Cette disposition entre en vigueur le 1er septembre 2020. 3. À la suite de l’adoption de cette disposition, l’ONSS demande, à la chambre sécurité sociale et santé du Comité de sécurité de l’information – créé par la loi du 5 septembre 2018 instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après : « RGPD ») – l’autorisation de se voir communiquer des données à caractère personnel par la Banque carrefour de la sécurité sociale et le SPF Santé publique. 4. Le 1er septembre 2020, la chambre sécurité sociale et santé du Comité de sécurité de l’information accède à cette demande et adopte la délibération n° 20/178. Cette délibération régit le traitement de données à caractère personnel pour deux finalités, à savoir : VI ‐ 21.999‐22.002 ‐ 5/47 « 1° prévention - grâce à des données à caractère personnel du registre national, des registres Banque Carrefour et de Saniport et des données à caractère personnel de ses propres banques de données, l’ONSS détecte les employeurs présentant un certain risque au niveau de la propagation du coronavirus et communique leur identité aux instances compétentes (qui peuvent ensuite fournir, à titre préventif, aux employeurs concernés, des informations relatives aux mesures qu’ils peuvent prendre en la matière) ; 2° traçage des contacts - sur la base des données à caractère personnel de Sciensano et des données à caractère personnel de ses propres bases de données, l’ONSS signale les cas d’infection concrets et communique des informations relatives à la situation professionnelle des personnes concernées aux inspections sanitaires des entités fédérées (qui peuvent ensuite, le cas échéant, prendre des mesures vis-à-vis des employeurs et des travailleurs en question pour prévenir la propagation du coronavirus) ». Par ailleurs, les données traitées concernent uniquement les « travailleurs étrangers » qui « sont au préalable identifiés par l’ONSS ». 5. Le 18 octobre 2020, un arrêté ministériel portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 reprend, en son article 25, le contenu de l’article 18bis de l’arrêté ministériel du 30 juin 2020 précité. 6. Le 28 octobre 2020, l’arrêté ministériel portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 reprend, en son article 22, le contenu de l’article 25 de l’arrêté ministériel du 18 octobre 2020. Cet article 22 dispose alors comme il suit : « Dans le cadre de la lutte contre le coronavirus Covid-19, l’Office national de sécurité sociale peut, en qualité de sous-traitant, pour le compte des centres de contacts, des inspections sanitaires et des équipes mobiles, collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la santé relatives au coronavirus Covid -19, des données de contact, d’identification, de travail et de résidence relatives aux travailleurs salariés et travailleurs indépendants détachés visés à l’article 137, 8°, a et b) de la Loi programme (I) du 27 décembre 2006 travaillant en Belgique, en vue de soutenir le traçage et l’examen des clusters et des collectivités. Les données à caractère personnel qui résultent du traitement visé à l’alinéa 1er sont conservées dans le respect de la protection des données à caractère personnel, et pas plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées et seront détruites au plus tard le jour de l’entrée en vigueur de l’arrêté ministériel proclamant la fin de la phase fédérale concernant la coordination et la gestion de la crise coronavirus Covid-19 ». 7. L’article 22 précité est modifié par l’article 4 de l’arrêté ministériel du 19 décembre 2020 modifiant l’arrêté ministériel du 28 octobre 2020 précité, entré en ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 6/47 vigueur le 21 décembre 2020, lequel dispose : « Dans l’article 22, alinéa 1er, du même arrêté, les mots ‘et travailleurs indépendants détachés visés à l’article 137, 8°, a) et b) de la Loi-programme (I) du 27 décembre 2006 travaillant en Belgique’ sont remplacés par les mots ‘et travailleurs indépendants’ ». 8. L’article 22 précité est encore modifié par l’article 8 de l’arrêté ministériel du 12 janvier 2021 modifiant l’arrêté ministériel du 28 octobre 2020, entré en vigueur le jour même. L’article 8 prévoit ce qui suit : « Dans l’article 22 du même arrêté, l’alinéa 1er est remplacé par ce qui suit : “Dans le cadre de la lutte contre le coronavirus Covid-19, l’Office national de sécurité sociale peut, en qualité de sous-traitant pour le compte de tous les services et institutions chargés de la lutte contre la propagation du coronavirus Covid -19, ainsi que de tous les services ou institutions chargés de surveiller le respect des obligations prévues dans le cadre des mesures d’urgence prises pour limiter la propagation du coronavirus Covid -19, collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la santé relatives au coronavirus Covid -19, des données de contact, d’identification, de travail et de résidence relatives aux travailleurs salariés et travailleurs indépendants, en vue de soutenir le traçage et l’examen des clusters et des collectivités” ». Cette disposition fait l’objet d’un recours en annulation enrôlé sous le n° A. 232.771/VI-21.970 9. À la suite de l’adoption de cette nouvelle disposition réglementaire, l’ONSS demande à la chambre sécurité sociale et santé du Comité de sécurité de l’information une nouvelle autorisation pour se voir communiquer des données à caractère personnel par la Banque carrefour de la sécurité sociale et le SPF Santé publique. Le rapport de la Banque carrefour de sécurité sociale établi le 11 janvier 2021 précise, à propos de cette nouvelle demande, ce qui suit : « La [nouvelle] délibération serait à présent quelque peu modifiée à la suite des modifications de l’arrêté ministériel du 28 octobre 2020 […] Les modifications suivantes (avec impact pour l’inspection sociale et l’ONSS) ont été réalisées : le datamining d’appui concernant les indépendants est rendu possible, l’obligation d’enregistrement est élargie et ne se limite plus aux seuls secteurs à risques, les inspecteurs sociaux sont en mesure de contrôler les résultats des tests sur le lieu de travail et les destinataires de la science des données d’appui par l’ONSS sont élargis ». VI ‐ 21.999‐22.002 ‐ 7/47 10. Le 18 janvier 2021, la chambre sécurité sociale et de santé du Comité de sécurité de l’information modifie sa délibération n° 20/178 du 1er septembre 2020 autorisant la communication de données à caractère personnel par la Banque carrefour de la sécurité sociale et le SPF Santé publique, Sécurité de la chaîne alimentaire et Environnement à l’ONSS, en vue de la réalisation de quatre finalités déterminées, « telle que décrites dans la présente délibération » et « moyennant le respect des mesures de protection des données qui ont été définies (en particulier les mesures en matière de limitation de la finalité, de minimisation des données, de limitation de la durée de conservation des données et de sécurité de l’information) ». Il s’agit de l’acte attaqué. Il se présente comme il suit : « CSI/CSSS/21/036 DÉLIBÉRATION N° 20/178 DU 1 ER SEPTEMBRE 2020, MODIFIÉE LE 18 JANVIER 2021, RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR LA BANQUE CARREFOUR DE LA SÉCURITÉ SOCIALE, LE SERVICE PUBLIC FÉDÉRAL SANTÉ PUBLIQUE, SÉCURITÉ DE LA CHAÎNE ALIMENTAIRE ET ENVIRONNEMENT, LE SERVICE PUBLIC FÉDÉRAL EMPLOI, TRAVAIL, ET CONCERTATION SOCIALE ET PAR L’INSTITUT NATIONAL D’ASSURANCES SOCIALES POUR TRAVAILLEURS INDÉPENDANTS À L’OFFICE NATIONAL DE SÉCURITÉ SOCIALE DANS LE CADRE DE LA LUTTE CONTRE LA PROPAGATION DU CORONAVIRUS COVID-19 ET LA GESTION DE LA CRISE SANITAIRE VIS-À-VIS DE TRAVAILLEURS ET INDÉPENDANTS (PRÉVENTION, CONTRÔLE, TRAÇAGE DES CONTACTS ET ÉTABLISSEMENT DE STATISTIQUES) Vu la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale, en particulier l’article 15, § 2 ; Vu la loi du 13 décembre 2006 portant dispositions diverses en matière de santé, en particulier l’article 42, § 2, 3° ; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général relatif à la protection des données ou ‘RGPD’) ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel ; Vu la loi du 3 décembre 2017 relative à la création de l’Autorité de protection des données, en particulier l’article 114, modifié par la loi du 25 mai 2018 ; Vu la loi du 5 septembre 2018 instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment l’article 97 ; Vu la demande de l’Office national de sécurité sociale ; VI ‐ 21.999‐22.002 ‐ 8/47 Vu les rapports de la Banque Carrefour de sécurité sociale ; Vu le rapport de monsieur [B.V]. La chambre sécurité sociale et santé du Comité de sécurité de l’information émet, après délibération, la décision suivante, le 18 janvier 2021 : I. OBJET DE LA DEMANDE 1. Dans le cadre de la lutte contre la propagation du coronavirus Covid -19 et de la gestion de la crise sanitaire y afférente, la problématique de la propagation de ce virus dans le milieu du travail constitue une donnée particulièrement complexe. En vue du traçage des contacts, le besoin a été formulé de disposer rapidement d’un aperçu des conditions de travail des travailleurs infectés. Dans un premier temps, on souhaite mettre l’accent sur les secteurs à risques tels l’agriculture et l’horticulture, la construction, l’industrie de la viande, l’horeca, le nettoyage ; toutefois, tous les autres secteurs ne seraient pas pour autant épargnés. Outre cette problématique générale, la situation de travailleurs et indépendants étrangers qui séjournent en Belgique pendant une période déterminée pour y accomplir des travaux, mérite une attention particulière dans ce contexte. Ces personnes ont, dans certains cas, non seulement le même lieu de travail, mais aussi le même lieu de séjour. Ce problème se pose surtout, mais non exclusivement, dans les secteurs précités. Vu l’impact de la propagation du coronavirus, les employeurs doivent être bien conscients du fait que le travail et le séjour dans des circonstances correctes constituent aussi pour eux un facteur critique, afin de pouvoir continuer à faire appel, dans les prochains mois, à de la main-d’œuvre étrangère. Une bonne prévention s’avère primordiale à cet égard. 2. La présente délibération régit le traitement de données à caractère personnel pour quatre finalités: premièrement, des données personnelles d’identification provenant de diverses sources (le registre national, les registres Banque Carrefour et Saniport) sont communiquées à l’ONSS de sorte que ce dernier puisse déterminer, au moyen du datamining, les employeurs présentant un certain risque et communiquer leur identité aux instances compétentes, en vue [de] la communication, à titre préventif, d’informations générales relatives à l’approche de la crise Covid-19 ; deuxièmement, les cas infectés sont signalés à l’ONSS, de sorte qu’il puisse fournir des informations concrètes à l’inspection sanitaire des entités fédérées, en vue de mettre en œuvre les étapes nécessaires afin de prévenir la propagation du coronavirus. Troisièmement, les inspecteurs sociaux compétents sont soutenus dans leurs contrôles (au sein des entreprises) concernant le respect des obligations imposées par le ministre de l’Intérieur dans le cadre des mesures urgentes visant à limiter la propagation du coronavirus Covid-19. Quatrièmement, les données à caractère personnel permettent d’établir diverses statistiques pour les besoins de Sciensano et des services de santé régionaux. [P]révention 3. L’ONSS dispose grâce aux données contenues dans ses bases de données (répertoire des employeurs, DIMONA, LIMOSA, ...) et grâce à certaines données à caractère personnel issues du Répertoire général des travailleurs indépendants (RGTI) de l’Institut national d’assurances sociales pour travailleurs indépendants et de la banque de données Checkin@Work du Service public fédéral Emploi, Travail et Concertation sociale des informations utiles lui permettant de répertorier les secteurs et les relations de travail. Le datamining permet de répertorier les secteurs et les relations de travail : par secteur d’activité, auprès de quels employeurs la main-d’œuvre est-elle en service et par employeur, la liste des travailleurs. L’ONSS est en mesure de procéder en permanence à une mise à ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 9/47 jour des employeurs concernés. Sur cette base, le Service public fédéral Emploi, Travail et Concertation sociale et les services d’inspection compétents sont chargés des informations préventives utiles concernant : - la sécurité et la santé sur le lieu de travail ; - l’importance d’un logement convenable ; - l’importance de réaliser les déclarations DIMONA dans les délais (registre du personnel électronique), de sorte que tant les employeurs mêmes que l’ONSS (autorités) disposent en permanence d’une image complète et précise de l’occupation. Les relations de travail constituent des données dynamiques de sorte que les analyses doivent être réalisées sur base quotidienne ou mensuelle. La mobilité entre les entreprises constitue aussi un élément important. Par ailleurs, sur la base des informations disponibles, l’ONSS tentera de répertorier des grandes concentrations de travailleurs et indépendants étrangers qui séjournent à une seule et même adresse. L’ONSS doit disposer à cet effet de l’adresse de séjour en Belgique de ces travailleurs telle qu’elle est enregistrée dans le registre national, les registres Banque Carrefour ou comme mentionnée sur le Public Health Passenger Locator Form (Saniport) qui doit être rempli obligatoirement par toute personne qui se rend en Belgique en bateau ou en avion et par toute personne qui se rend en Belgique et qui y séjourne au moins 48 heures. Ces objectifs seront également fournis aux services d’inspection compétents. L’ONSS a besoin à cet effet d’une délibération pour aussi utiliser les données du registre national, des registres Banque Carrefour et de Saniport à l’intervention de la Banque Carrefour de la sécurité sociale. [A]ppui du traçage des contacts 4. Lors de la découverte d’une infection, des données complémentaires relatives à l’occupation peuvent être mises à la disposition du contact tracing, de sorte à identifier les clusters d’infection potentiels. À cet effet, l’ONSS recevra les numéros d’identification de la sécurité sociale des personnes infectées (cas index) par jour, ainsi que quelques données relatives à la date de début des symptômes ou à la date de prélèvement du test. L’ONSS vérifiera ensuite si ces personnes étaient effectivement au travail, durant les deux jours précédant le début des symptômes ou le prélèvement du test ou dans la période de quatorze jours qui suit, dans une entreprise active dans un des secteurs concernés (il s’agit de la période au cours de laquelle elles étaient contagieuses). Si tel est le cas, l’ONSS communique au single point of contact de l’inspection sanitaire désigné à cet effet, dans quelle entreprise de ces secteurs, un cas index était effectivement au travail, ainsi qu’un tableau reprenant pour cette entreprise, par jour pour les quatorze derniers jours, combien de personnes étaient effectivement au travail ainsi que les numéros d’identification de la sécurité sociale des autres cas index, s’ils se manifestent. Ce traitement de données à caractère personnel a lieu sans l’intervention de la Banque Carrefour de la sécurité sociale. Pour rappel, il existe un single point of contact par inspection sanitaire. Autrement dit, tout service d’inspection sanitaire désigne une seule personne sous la responsabilité de laquelle les données à caractère personnel sont obtenues et traitées. Sur la base des données à caractère personnel dont l’ONSS dispose dans les bases de données qu’il gère (répertoire des employeurs, DIMONA, LIMOSA, ...), l’ONSS fournira, en cas d’infection, les informations pertinentes relatives aux relations de travail aux inspecteurs sanitaires des entités fédérées. Il s’agit en particulier des données suivantes : l’identification de l’entreprise (dénomination, numéro d’entreprise, adresse siège social et adresse établissement), le lieu de travail (numéro de chantier), la taille de l’entreprise (nombre de travailleurs sur le ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 10/47 lieu de travail), la liste des travailleurs sur le lieu de travail (numéro d’identification de la sécurité sociale, numéro d’entreprise ou numéro de chantier de l’employeur, période d’occupation provenant de la DIMONA, code travailleur de la DIMONA, le fait d’être infecté ou non, date de l’infection), le statut des travailleurs, le secteur et le lieu de séjour, si disponible, pour les travailleurs saisonniers. Les données à caractère personnel indispensables du RGTI sont le numéro d’identification de la sécurité sociale, le nom, les prénoms, l’adresse, le type d’entreprise (personne physique ou personne indépendante), le numéro d’entreprise, le ou les codes NACE, le code profession, le code cotisation, les dates de début et de fin. Il appartient ensuite à l’inspection sanitaire de décider ce qu’elle fait. Les numéros d’identification de la sécurité sociale des cas index (et les données à caractère personnel mises à la disposition les concernant) sont supprimés à l’ONSS, au plus tard quatorze jours à compter de la date de réception des données à caractère personnel de Sciensano, car ils ne sont plus pertinents à ce moment. Les données à caractère personnel de Sciensano relatives aux infections par le coronavirus constituent des données de santé, qui doivent être traitées sous la responsabilité d’un professionnel des soins de santé. L’ONSS a confirmé que le traitement des données de santé précitées aura lieu sous la surveillance d’un médecin responsable, travaillant au sein de son organisation, qui vérifiera si les données de santé sont traitées correctement. L’échange des données interviendra via la eHealthbox. 5. Le fondement légal permettant à l’ONSS de procéder à ce type de traitement de données est contenu dans l’article 22 de l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid- 19, modifié en dernier lieu par l’arrêté ministériel du 12 janvier 2021. 6. L’ONSS souhaite accéder aux données d’identification suivantes du registre national des personnes physiques et des registres Banque Carrefour : le numéro d’identification du registre national ou le numéro d’identification de la Banque Carrefour (le numéro Bis), le sexe, le nom et les prénoms, le lieu et la date de naissance et les données d’adresse. Par sa décision n° 078/2020 du 7 septembre 2020, le ministre de l’Intérieur a autorisé l’ONSS à accéder aux données du registre national et à utiliser le numéro de registre national dans le cadre de mesures d’urgence vis-à-vis de travailleurs et indépendants étrangers qui réalisent temporairement des travaux en Belgique, pour limiter la propagation du coronavirus Covid-19. Étant donné que l’ONSS est également confronté à des personnes qui ne sont pas inscrites au registre national ou dont toutes les données à caractère personnel nécessaires ne sont pas systématiquement mises à jour dans le registre national, il demande, pour la même finalité, un accès aux mêmes données à caractère personnel dans les registres Banque Carrefour, visés l’article 4 de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale, pour autant que ces données soient disponibles. Par sa délibération n° 12/13 du 6 mars 2012, le Comité sectoriel de la sécurité sociale et de la santé jadis compétent a jugé qu’il semblait légitime et opportun que des instances soient autorisées à accéder aux registres Banque Carrefour dans la mesure où elles répondent aux conditions d’accès au registre national et aussi longtemps qu’elles y satisfont. Dans cette délibération, le Comité sectoriel de la sécurité sociale et de la santé a aussi fixé le cadre général pour l’accès aux ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 11/47 registres Banque Carrefour dans le chef des instances qui ont accès au Registre national. L’accès aux registres Banque Carrefour intervient, dans ce cas, dans le respect de la décision du ministre de l’Intérieur n° 078/2020 du 7 septembre 2020 et des mesures de protection des données définies dans la délibération précitée n° 12/13 du 6 mars 2012. 7. L’ONSS souhaite, dans le cadre de la prise de mesures préventives par les organisations compétentes, aussi obtenir un accès aux données suivantes du Public Health Passenger Locator Form, qui sont enregistrées dans la base de données Saniport : - Family name ; - First name ; - Gender ; - Date of birth ; - Belgian national number ; - Passport or ID card number ; - Mobile phone ; - Home phone ; - Office phone ; - Email address ; - Quarantine address ; - Numéro de certificat voyage professionnel ou formulaire ‘Business Travel Abroad’ ; - Le ou les pays ou, le cas échéant, la ou les régions où le séjour a eu lieu ; - Dates de début et de fin du séjour à l’étranger. 8. En ce qui concerne la déclaration des cas concrets d’infection par l’ONSS à l’inspection sanitaire des entités fédérées, l’ONSS a besoin d’input du Service public fédéral Santé publique, Sécurité de la chaîne alimentaire et Environnement (Sciensano), à savoir des numéros d’identification de la sécurité sociale des personnes infectées, par jour, ainsi que de la date de début des symptômes ou de la date de prélèvement du test. Ces données à caractère personnel doivent permettre à l’ONSS d’effectuer des recherches dans les banques de données qu’il gère et dans les banques de données auxquelles il a accès (en particulier le RGTI et Checkin@Work) concernant certaines personnes pour une période déterminée. Les données à caractère personnel précitées de Sciensano sont supprimées par l’ONSS, au plus tard quatorze jours à compter de la date de réception. Appui du contrôle par les inspecteurs sociaux 9. Les listes décrites au point 3 peuvent être mises à la disposition des services d’inspection sociale afin de pouvoir réaliser des contrôles ciblés dans le cadre de la surveillance du respect des obligations imposées par les mesures d’urgence pour limiter la propagation du coronavirus Covid-19. [É]tablissement de statistiques 10. À la demande de Sciensano et des services de santé régionaux, l’ONSS fournit, sur la base des données dont il dispose, des informations statistiques hebdomadaires concernant le nombre de cas de contaminations et son évolution par secteur, par catégorie d’âge et par type de travailleur et/ou indépendant. Ces chiffres ont trait à la population totale de la catégorie visée. II. EXAMEN DE LA DEMANDE 11. La communication des données à caractère personnel issues des registres ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 12/47 Banque Carrefour par la Banque Carrefour de la sécurité sociale doit, en vertu de l’article 15, § 1er, alinéa 1er, de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale, faire l’objet d’une délibération de principe de la chambre sécurité sociale et santé du Comité de sécurité de l’information. La communication de données à caractère personnel issues de Saniport par le Service public fédéral Santé publique, Sécurité de la chaîne alimentaire et Environnement doit, en vertu de l’article 42, § 2, 3°, de la loi du 13 décembre 2006 portant dispositions diverses en matière de santé, faire l’objet d’une délibération de principe de la chambre sécurité sociale et santé du Comité de sécurité de l’information. Les renseignements figurant sur le Public Health Passenger Locator Form, tels qu’ils sont enregistrés dans la banque de données Saniport, ont trait aux risques d’infection par le coronavirus Covid-19 dans le chef des personnes concernées et doivent en conséquence être considérés comme des données de santé. La communication de données à caractère personnel relatives aux infections par le Service public fédéral Santé publique, Sécurité de la chaîne alimentaire et Environnement (Sciensano) à l’ONSS doit, en vertu des articles 11 et 12 de l’accord de coopération du 25 août 2020 conclu entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d’un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus Covid-19 sur la base d’une base de données auprès de Sciensano, faire l’objet d’une délibération de principe de la chambre sécurité sociale et santé du Comité de sécurité de l’information. La communication de données à caractère personnel par l’ONSS aux inspections sanitaires respectives des entités fédérées doit également faire l’objet d’une délibération de principe de la chambre sécurité sociale et santé du Comité de sécurité de l’information. 12. En outre, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (principe de limitation des finalités), elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation des données), elles doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de limitation de la conservation) et elles doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (principe d’intégrité et confidentialité). Principe de limitation des finalités 13. L’échange de données à caractère personnel visé par la présente délibération a un objectif légitime et poursuit une mission d’intérêt public urgente, à savoir la création et la gestion et du tracing des travailleurs et indépendants sur le sol belge dans le cadre de la crise de santé sanitaire liée au Covid-19 et de la lutte contre sa propagation. Cette communication de données à caractère personnel s’inscrit dans les pouvoirs attribués aux institutions publiques par l’arrêté ministériel du ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 13/47 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 L’ensemble de ces données seront utilisées dans le cadre du 3030contrôle réalisé par l’ONSS. Ces données sont, en effet, essentielles dans le cadre de la lutte contre la propagation du coronavirus Covid-19, notamment via le traçage et le suivi des clusters et des collectivités à la même adresse, ainsi que dans le cadre de la surveillance par les inspecteurs sociaux compétents du respect des obligations découlant des mesures d’urgence prises pour limiter la propagation du coronavirus Covid-19. Ces données permettront également de déterminer la position et l’évolution des foyers épidémiologiques (dits “clusters”) afin de mettre en place, le plus rapidement possible, des mesures visant à limiter la propagation du Covid-19. L’ensemble de ces données seront utilisées dans le cadre du contrôle réalisé par l’ONSS. Ces données sont, en effet, essentielles dans le cadre de la lutte contre la propagation du coronavirus Covid-19, notamment via le traçage et le suivi des clusters et des collectivités à la même adresse, ainsi que dans le cadre de la surveillance par les inspecteurs sociaux compétents du respect des obligations découlant des mesures d’urgence prises pour limiter la propagation du coronavirus Covid-19. Ces données permettront également de déterminer la position et l’évolution des foyers épidémiologiques (dits “clusters”) afin de mettre en place, le plus rapidement possible, des mesures visant à limiter la propagation du Covid-19. La présente délibération régit le traitement de données à caractère personnel pour quatre finalités. 1° prévention - grâce à des données à caractère personnel du registre national, des registres Banque Carrefour et de Saniport et des données à caractère personnel de ses propres banques de données, l’ONSS détecte les employeurs présentant un certain risque au niveau de la propagation du coronavirus et communique leur identité aux instances compétentes (qui peuvent ensuite fournir, à titre préventif, aux employeurs concernés, des informations relatives aux mesures qu’ils peuvent prendre en la matière) ; 2° traçage des contacts - sur la base des données à caractère personnel de Sciensano et des données à caractère personnel de ses propres bases de données, l’ONSS signale les cas 8 d’infection concrets et communique des informations relatives à la situation professionnelle des personnes concernées aux inspections sanitaires des entités fédérées (qui peuvent ensuite, le cas échéant, prendre des mesures vis-à-vis des employeurs et des travailleurs en question pour prévenir la propagation du coronavirus) ; 3° soutien de la surveillance par les inspecteurs sociaux compétents - les listes décrites au point 3 peuvent être mises à la disposition des services d’inspection sociale afin de pouvoir réaliser des contrôles ciblés dans le cadre de la surveillance du respect des obligations imposées par les mesures d’urgence pour limiter la propagation du coronavirus Covid-19 ; 4° soutien statistique - à la demande de Sciensano et des services de santé régionaux, l’ONSS fournit, sur la base des données dont il dispose, des informations statistiques hebdomadaires concernant le nombre de cas de contaminations et son évolution par secteur, par catégorie d’âge et par type de travailleur et/ou indépendant. Ces chiffres ont trait à la population totale de la catégorie visée. Principe de minimisation des données ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 14/47 14. Les données demandées dans le cadre des mesures de prévention font preuve de proportionnalité, car elles permettent d’identifier précisément et de manière univoque les personnes concernées en donnant la possibilité à l’ONSS de procéder à un matching entre, d’une part, les données des banques de données qu’il gère lui-même (répertoire des employeurs, DIMONA, LIMOSA, …) et les données provenant du RGTI et de Checkin@Work et, d’autre part, les données contenues dans le Registre national, les Registres Banque Carrefour et la base de données Saniport. Les données échangées dans le cadre de ce flux permettant à l’Office national de sécurité sociale de remplir ses missions de gestion de la crise liée au Covid-19. 15. Dans la mesure où il n’est pas exclu que la réglementation fédérale fasse l’objet de modifications selon l’évolution de la crise sanitaire causée par la pandémie de coronavirus Covid-19, il devra, avant chaque communication envisagée, être vérifié que la période de référence pour laquelle les données sont communiquées coïncide avec la période où les mesures d’organisation du travail dans le cadre de la lutte contre la propagation du coronavirus (télétravail, social distancing, …) sont encore d’application. 16. La Banque Carrefour de la sécurité sociale se charge de la communication minimale des données par Saniport à l’Office national de sécurité sociale. Dans les cas où Saniport ne dispose pas d’un numéro d’identification de la sécurité sociale, la Banque Carrefour rechercherait ce numéro d’identification à l’aide de routines phonétiques afin de pouvoir assurer le couplage des données communiquées. 17. Dans le cadre d’un traçage efficace des contacts, l’ONSS reçoit de la part de Sciensano, par jour, les numéros d’identification de la sécurité sociale des personnes infectées (cas index) ainsi que la date de début des symptômes ou la date de prélèvement du test. L’ONSS vérifie, dans ses propres bases de données, l’endroit où les personnes concernées étaient éventuellement occupées dans la période de deux jours précédant le début des symptômes ou 9 la date de prélèvement du test jusqu’à quatorze jours après cette date (la période de référence au cours de laquelle les personnes concernées étaient contagieuses). Le cas échéant, l’ONSS communique des informations relatives aux personnes concernées et à leurs collègues aux personnes désignées à cet effet auprès des services d’inspection compétents. Les données à caractère personnel relatives aux infections par le coronavirus (données relatives à la santé) sont traitées au sein de l’ONSS sous la surveillance d’un médecin responsable. 18. La communication ultérieure par l’ONSS aux diverses inspections de la santé se limite par cas index concerné (cas d’infection) à : - l’identité de l’entreprise où le cas index a travaillé au cours de la période de référence précitée (la dénomination, le numéro d’entreprise, l’adresse du siège social, l’adresse de l’établissement et le lieu de travail) ; - un tableau indiquant pour cette entreprise, pour chaque jour de la période de référence, le nombre de personnes qui y étaient effectivement occupées (le nombre de travailleurs sur le lieu de travail, le statut de ces personnes et le secteur) ; - l’identité des autres cas index éventuels au sein de la même entreprise (les autres personnes de la même entreprise chez lesquels une infection par le coronavirus Covid-19 a également été constatée) ; - l’identité des personnes sur le lieu de travail (le numéro d’identification de la sécurité sociale, le numéro d’entreprise/le numéro de chantier, la période ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 15/47 d’occupation, le code travailleur, le fait d’être ou non infecté, la date d’infection et le lieu de séjour). 19. Ces données à caractère personnel sont indispensables pour constater les relations de travail avec la personne infectée par le coronavirus Covid-19 et ensuite pour prendre les mesures nécessaires. Les inspections sanitaires des entités fédérées doivent connaître, par personne infectée, l’endroit où elle a travaillé pendant la période contagieuse ou doivent savoir s’il y avait, sur ce même lieu de travail, d’autres cas d’infection et avec quels autres travailleurs et/ou indépendants la personne concernée est éventuellement entrée en contact. Principe de limitation de la conservation 20. Les données à caractère personnel concernées par la présente demande seront conservées jusqu’au jour de la publication de l’arrêté royal déclarant la fin de la crise Covid-19. Elles seront ensuite détruites. 21. En ce qui concerne le traitement de données à caractère personnel dans le cadre du traçage des contacts : les numéros d’identification de la sécurité sociale et les données à caractère personnel des cas index reçus de Sciensano sont supprimés à l’ONSS au plus tard quatorze jours après la date de réception des données, étant donné qu’ils ne sont plus pertinents à ce moment. Principe d’intégrité et confidentialité 22. Conformément à l’article 14 de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale, la communication des données à caractère personnel visées aux points 6 et 7 (en vue de la prévention) s’effectue à 10 l’intervention de la Banque Carrefour de la sécurité sociale. Cette dernière n’intervient pas lors du traitement des données à caractère personnel visées aux points 4 et 8 (en vue du traçage des contacts), étant donné qu’elle ne peut offrir de plus-value en la matière. 23. Lors du traitement des données à caractère personnel il y a lieu de tenir compte de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la Sécurité sociale et de toute autre disposition légale ou réglementaire relative à la protection de la vie privée, plus particulièrement le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel Par ces motifs, la chambre sécurité sociale du comité de sécurité de l’information conclut que la communication de données à caractère personnel par la Banque carrefour de la sécurité sociale et le Service public fédéral Santé publique, Sécurité de la chaîne alimentaire et Environnement à l’Office national de sécurité sociale, en vue de la réalisation des quatre finalités précitées, telle que décrite dans la présente délibération est autorisée moyennant le respect des mesures de protection des données qui ont été définies (en particulier les mesures en matière de limitation de la finalité, de minimisation des données, de limitation de la durée de conservation des données et de sécurité de l’information) ». 11. Le 15 avril 2021, un Protocole d’accord est conclu entre l’État ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 16/47 fédéral, la Communauté flamande, la Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers en vue du traçage et de l’examen des clusters et collectivités, en vue de l’application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux de travail. Il est publié au Moniteur belge du 26 avril 2021. Il contient plusieurs éléments des traitements de données à caractère personnel effectués par l’ONSS en vue des finalités précitées et formalise l’accord intervenu entre l’État fédéral et les entités fédérées à ce sujet. L’article 6 précise ce qui suit : « Le présent protocole d’accord n’est pas un accord de coopération au sens de l’article 92bis de la loi spéciale de réformes institutionnelles du 8 août 1980. Les parties se proposent, sur la base des dispositions du présent protocole d’accord, de parvenir à un accord de coopération ». L’article 7 prévoit ce qui suit : « Le présent protocole d’accord entre en vigueur le jour de sa publication au Moniteur belge, à l’exception de l’article 4 qui produit ses effets à dater du 12 janvier 2021. Le présent protocole d’accord cesse de produire ses effets le jour où entre en vigueur un accord de coopération entre l’État fédéral, la Communauté flamande, la Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers en vue du traçage et de l’examen des clusters et collectivités, en vue de l’application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux de travail ». 6. Le 31 mai 2021, un accord de coopération est conclu entre l’État fédéral, la Communauté flamande, la Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers des données à caractère personnel en vue du traçage et de l’examen des clusters et collectivités, en vue de l’application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux de travail. Il est publié au Moniteur belge du 23 juin 2021. VI ‐ 21.999‐22.002 ‐ 17/47 Il contient des dispositions similaires au texte du protocole qu’il remplace, sauf les modifications y apportées à la suite notamment de l’avis n° 66/2021 donné le 6 mai 2021 par l’Autorité de protection des données sur le projet d’accord de coopération et de l’avis n° 69.336 donné le 17 mai 2021 par la section de législation du Conseil d’État sur l’avant-projet de loi d’assentiment de cet accord de coopération. L’article 7 de l’accord prévoit ce qui suit : « Le présent accord de coopération entre en vigueur le jour de la publication au Moniteur belge du dernier acte législatif portant assentiment du présent accord de coopération, à l’exception de l’article 2 qui produit ses effets à dater du 1er septembre 2020. Le présent accord de coopération produit ses effets jusqu’à sa révision ou sa révocation qui intervient le jour où le Secrétariat central du Comité de concertation a reçu l’accord écrit de toutes les parties pour mettre fin à l’accord de coopération et après la publication d’une communication confirmant cet accord écrit au Moniteur belge. Les mesures mises en place par le présent accord de coopération prendront fin le jour de la publication de l’arrêté royal proclamant la fin de l’épidémie du coronavirus Covid-19 ». Le décret régional wallon du 10 juin 2021, l’ordonnance de la Commission communautaire commune du 17 juin 2021, la loi du 20 juin 2021, le décret flamand du 25 juin 2021 et le décret de la Communauté germanophone du 28 juin 2021 ont porté assentiment à l’accord de coopération du 31 mai 2021 précité. 7. L’article 11 de l’arrêté ministériel du 27 juillet 2021 modifiant l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 abroge l’article 22 de l’arrêté ministériel du 28 octobre 2020. Cette abrogation est, en application de l’article 15 de l’arrêté ministériel du 27 juillet 2021, entrée en vigueur le 28 juillet 2021, jour de la publication au Moniteur belge de ce dernier arrêté ministériel. IV. Jonction des causes Les deux recours en annulation, enrôlés sous les numéros de rôles A. é.096/VI-21.999 et A. é.136/VI-22.002, sont dirigés contre le même acte. Les critiques de légalité formulées à l’appui des deux recours sont identiques. Dans un souci de bonne administration de la justice, il y a lieu de joindre les deux causes. VI ‐ 21.999‐22.002 ‐ 18/47 V. Mise hors de cause de la première partie adverse Il y a lieu de mettre hors de cause la chambre sécurité sociale et santé du Comité de sécurité de l’information qui est dépourvue de la personnalité juridique et agit comme un organe de l’État belge, lequel la représente en justice et supporte, le cas échéant, les dépens. VI. Recevabilité des recours VI.1. Thèse de la deuxième partie adverse Concernant la recevabilité ratione temporis des deux recours enrôlés sous les numéros de rôle A. é.096/VI-21.999 et A. é.136/VI-22.002, la deuxième partie adverse fait valoir que ceux-ci visent en réalité à contester la délibération n° 20/178 du 1er septembre 2020 par l’intermédiaire de sa version modifiée du 18 janvier 2021 alors que le délai pour l’introduction de recours contre la délibération n° 20/178 du 1er septembre 2020 est arrivé à son terme le 31 octobre 2020. Elle indique que puisque les requêtes sont introduites les 3 et 9 mars 2021, il y a lieu de constater le dépassement du délai pour l’introduction des deux recours. Selon elle, il serait contraire au caractère d’ordre public de la règle et à l’objectif de sécurité juridique qu’elle poursuit que, sous le couvert d’une modification pas même substantielle, les parties requérantes bénéficient d’un délai de recours supplémentaire. Elle soutient qu’en tout état de cause, ce nouveau délai ne pourrait concerner que les éléments nouveaux de l’acte attaqué, donc les éléments qui ne figuraient pas dans la délibération n° 20/178 en sa version du 1er septembre 2020 de sorte que toute critique portée sur un élément qui n’aurait pas été inclus dans la délibération lors de sa modification du 18 janvier 2021 doit être déclarée irrecevable. La deuxième partie adverse conteste également l’intérêt à agir des parties requérantes dans le cadre des deux recours. S’agissant du recours enrôlé sous le numéro de rôle A. é.096/VI- 21.999, elle indique ne pas percevoir l’intérêt de la partie requérante au présent recours. Elle expose que l’acte attaqué est une délibération qui ne constitue pas une base juridique pour la collecte ou les traitements initiaux des données à caractère VI ‐ 21.999‐22.002 ‐ 19/47 personnel par l’instance fournisseuse des données ni des traitements finaux par l’instance destinatrice qui doit disposer de bases juridiques pour ce faire. Elle souligne ainsi que les délibérations du Comité de sécurité de l’information ont uniquement pour objet de :  vérifier si les parties concernées disposent d’une base juridique pour les traitements des données à caractère personnel initial et final ;  vérifier que la communication respecte les mesures de limitation de la finalité, de minimisation des données, de limitation de la conservation et de sécurité de l’information ;  préciser les mesures de sécurité de l’information que doivent respecter les acteurs d’une communication ;  et évaluer de manière préventive s’il n’y a pas plus de données à caractère personnel qui sont communiquées à l’organisme acquéreur que celles qui lui sont strictement nécessaires pour atteindre des finalités de traitement légitimes. Elle en déduit que l’acte attaqué ne cause aucun préjudice direct et personnel à la partie requérante puisqu’il a pour seul effet d’autoriser une communication de données dont le traitement est déjà autorisé sur la base d’un autre fondement légal. S’agissant du recours enrôlé sous le numéro de rôle A. é.136/VI- 22.002, la deuxième partie adverse soutient que l’association requérante ne démontre pas l’existence d’un quelconque intérêt à agir et relève que sur les septante-cinq pages que compte la requête, pas un mot n’est consacré à cette question. Selon elle, l’association requérante ne dispose pas de l’intérêt requis puisque le recours concerne l’autorisation de la communication de données à caractère personnel de personnes physiques. La deuxième partie adverse s’explique difficilement comment de telles communications, insusceptibles de concerner une personne morale (qui pourrait difficilement contracter le virus…), pourraient ainsi être attaquées par l’association requérante, dès lors qu’elles ne sont absolument pas de nature à lui causer grief. Elle rappelle aussi que, selon la jurisprudence, l’intérêt d’une personne morale de droit privé doit s’apprécier en tenant compte de son objet social, de sorte que la partie requérante doit se prévaloir d’une atteinte portée par l’acte attaqué aux intérêts collectifs spécifiques, distincts de l’intérêt général, qu’elle poursuit de manière durable en raison de son objet social et que ce n’est que dans la mesure où une décision affecte cet intérêt collectif spécifique qu’elle peut agir en justice, dès ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 20/47 lors qu’elle n’est pas le mandataire de ses membres et ne peut les représenter pour contester un acte lésant seulement leurs intérêts individuels et non son intérêt collectif spécifique. La deuxième partie adverse estime que le fait que l’intérêt de l’association requérante ait été reconnu à certaines occasions ne suffit évidemment pas à justifier l’existence d’un intérêt en l’espèce puisque, d’une part, le Conseil d’État n’a pas systématiquement reconnu l’existence d’un intérêt à agir dans le chef de cette association et que, d’autre part, s’agissant de l’intérêt à agir du pendant néerlandophone de l’ASBL Ligue des droits humains, la VZW Liga voor Mensenrechten, le Conseil d’État a estimé qu’il doit, pour chaque affaire qui lui est soumise, vérifier si la partie requérante dispose d’un intérêt au sens de l’article 19 des lois coordonnées. Selon la deuxième partie adverse, le simple fait, comme serait tentée de l’affirmer l’association requérante, que l’acte attaqué serait susceptible de porter une atteinte aux droits des individus, d’une collectivité ou aux principes défendus par l’association ne permettrait pas de démontrer que cet acte est susceptible d’affecter son objet social, celui-ci étant défini très largement. Elle ajoute que rien ne permet de distinguer l’inconvénient subi par l’association requérante de celui subi par toute personne à laquelle les actes attaqués s’appliquent. S’agissant des deux recours enrôlés sous les numéros de rôle A. é.093/VI-21.999 et A. é.136/VI-22.002, la deuxième partie adverse relève encore que les cinq premiers moyens d’annulation soulevés par les parties requérantes concernent l’article 8 de l’arrêté ministériel du 12 janvier 2021 modifiant l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 et que celles-ci souhaitent qu’au travers des prétendues illégalités dont serait entachée cette disposition, le Conseil d’État annule l’acte attaqué. Elle indique que, compte tenu de l’approbation d’un accord de coopération concernant des traitements particuliers en vue du traçage et de l’examen des clusters et collectivités, en vue de l’application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux de travail et de l’adoption du décret wallon portant assentiment à cet accord et de la future loi portant assentiment au même accord, l’article 8 de l’arrêté VI ‐ 21.999‐22.002 ‐ 21/47 ministériel du 12 janvier 2021 sera abrogé prochainement. Elle estime que, si cette abrogation devait arriver avant la fin de la présente procédure, il y aurait lieu d’en tirer toutes les conséquences légales et procédurales qui s’imposent et, le cas échéant, constater que les parties requérantes ne disposent pas de l’intérêt requis au présent recours en ce qu’il critique l’article 8 précité au travers de l’acte attaqué, ou, à tout le moins, qu’elles n’ont pas intérêt aux cinq premiers des moyens des requêtes, l’article 8 en question n’étant évidemment plus de nature à leur causer un quelconque préjudice. Dans le dernier mémoire qu’elle a déposé dans le cadre du recours enrôlé sous le numéro de rôle é.096/VI-21.999, la deuxième partie adverse s’en réfère à son mémoire en réponse « ainsi qu’au rapport de madame le premier auditeur », laquelle est toutefois d’avis que le recours est recevable. Dans le cadre du recours enrôlé sous le numéro de rôle A. é.136/VI- 22.002, la deuxième partie adverse soulève encore une exception d’irrecevabilité tenant à l’absence de dépôt des statuts de l’association requérante. Elle rappelle que lorsqu’elle est une personne morale, la partie requérante est tenue, en vertu de l’article 3, 4°, de l’arrêté du Régent du 23 août 1948 déterminant la procédure devant la section du contentieux administratif du Conseil d’État, de joindre à sa requête une copie de ses statuts publiés et de ses statuts coordonnés en vigueur. Elle constate que la production d’une copie des statuts constitue une condition à l’enrôlement d’une affaire. Or, elle souligne qu’en l’espèce, les statuts de l’ASBL requérante n’ont pas été joints à la requête, que ceux-ci ne figurent pas dans l’inventaire ni dans le dossier électronique accessible sur la plateforme électronique du Conseil d’État. Elle en déduit que l’article 3, 4°, précité, est violé et qu’il faut rayer l’affaire du rôle. VI.2. Appréciation du Conseil d’État Quant à l’absence de dépôt de mémoires en réplique dans les deux recours Dans le cadre des deux recours, les parties requérantes se sont abstenues de déposer des mémoires en réplique après avoir pris connaissance, le 24 juin 2021, des mémoires en réponse déposés par la deuxième partie adverse. Elles ont cependant déposé des mémoires ampliatifs, les 22 et 24 septembre 2021, dans le délai requis, à la suite de la notification par le greffier en chef, le 26 août 2021, de VI ‐ 21.999‐22.002 ‐ 22/47 l’absence de mémoires en réponse déposés par la première partie adverse. L’article 21 des lois sur le Conseil d’État, coordonnées le 12 janvier 1973, dispose, en son alinéa 2, que « lorsque la partie requérante ne respecte pas les délais prévus pour l’envoi du mémoire en réplique ou du mémoire ampliatif, la section statue sans délai, les parties entendues à leur demande, en constatant l’absence de l’intérêt requis ». Dans sa version applicable à la date de l’introduction des deux recours, l’article 14bis de l’arrêté du Régent du 23 août 1948 déterminant la procédure devant la section du contentieux administratif du Conseil d’État dispose comme il suit : « § 1er. Pour l’application de l’article 21, alinéa 2, des lois coordonnées, le greffier en chef, à la demande du membre de l’auditorat désigné, notifie aux parties que la chambre va statuer en constatant l’absence de l’intérêt requis à moins que dans un délai de quinze jours, l’une des parties ne demande à être entendue. Si aucune des parties ne demande à être entendue, la chambre statue en constatant l’absence de l’intérêt requis. Si une partie demande à être entendue, le président ou le conseiller désigné convoque les parties à comparaître à bref délai. Entendu les parties et le membre de l’auditorat désigné en son avis, la chambre statue sans délai sur l’absence de l’intérêt requis. § 2. Lors de la notification du mémoire en réponse à la partie requérante ou lorsqu’il lui notifie qu’un tel mémoire n’a pas été déposé dans le délai prescrit, le greffier en chef fait mention de l’article 21, alinéa 2, des lois coordonnées ainsi que du paragraphe premier du présent article ». En l’espèce, les dépôts des mémoires en réponse de la deuxième partie adverse ont eu lieu le 21 juin 2021. Des notifications ont été faites le 23 juin 2021 au conseil des parties requérantes avec mention du délai de soixante jours pour déposer un mémoire en réplique et des conséquences que la loi attache au défaut d’un tel dépôt. C’est en principe à partir du dépôt de cette première pièce émanant d’une partie adverse dans cette phase de la procédure que se calcule le délai de soixante jours dans lequel la partie requérante doit introduire son mémoire en réplique ou ampliatif afin de maintenir son intérêt. Toutefois, dans le cadre des deux recours, des lettres du greffe ont été déposées sur la plateforme électronique du Conseil d’État, le 26 août 2021, portant à ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 23/47 la connaissance des parties requérantes que la première partie adverse n’avait pas introduit de mémoire en réponse et les avertissant de la possibilité d’introduire un mémoire ampliatif dans un délai de soixante jours. Les parties requérantes n’ont pas réagi dans le délai de soixante jours du dépôt des mémoires en réponse de la deuxième partie adverse, premiers mémoires d’une partie adverse à avoir été déposés sur la plateforme électronique. Elles ont en revanche déposé des mémoires ampliatifs les 22 et 24 septembre 2021, soit dans le délai de soixante jours indiqué dans la seconde notification. En déposant leurs mémoires ampliatifs dans le délai indiqué lors de la seconde notification, elles n’ont pas manqué de diligence au cours de cette phase de la procédure et elles n’ont pas perdu leur intérêt. Quant à la recevabilité ratione temporis des deux recours En vertu de l’article 4, § 1er, alinéa 3, de l’arrêté de l’arrêté du Régent du 23 août 1948 déterminant la procédure devant la section du contentieux administratif du Conseil d’État, « [l]es recours visés à l’article 14, §§ 1er et 3 des lois coordonnées sont prescrits soixante jours après que les actes, règlements ou décisions incriminés ont été publiés ou notifiés » et « [s]’ils ne doivent être ni publiés ni notifiés, le délai court à dater du jour où le requérant en aura eu connaissance ». En l’espèce, dans sa version applicable à l’adoption de l’acte attaqué, le Règlement d’ordre intérieur du comité de sécurité de l’information du 12 novembre 2018, publié au Moniteur belge le 27 novembre 2018, dispose, en son article 11, ce qui suit : « Les délibérations du Comité de sécurité de l’information sont publiées sur les sites internet respectifs du service public fédéral Stratégie et Appui, de la Banque Carrefour de la sécurité sociale et de la plateforme eHealth, conformément à l’article 35/1 de la loi du 15 août 2012 relative à la création et à l’organisation d’un intégrateur de services fédéral et à l’article 46 de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale […] ». Si la délibération n° 20/178 a bien été publiée comme mentionné par la disposition précitée, la consultation des sites internet concernés ne permet pas de déterminer avec une date certaine et opposable à tous la date de mise en ligne. VI ‐ 21.999‐22.002 ‐ 24/47 L’impression de la page internet comprenant cette décision ne renseigne aucune date. Rien ne permet donc de savoir à quelle date le délai de recours de soixante jours a commencé à courir à l’encontre de la délibération n° 20/178 du 1er septembre 2020. La partie adverse ne démontre donc pas que la requête a été introduite hors délai. Par ailleurs, la deuxième partie adverse ne peut être suivie lorsqu’elle affirme que la délibération du 18 janvier 2021 n’apporterait aucune modification substantielle à la délibération n° 20/178 du 1er septembre 2020. Dans son rapport, la Banque Carrefour indique que la nouvelle délibération doit élargir, sous plusieurs aspects, l’autorisation délivrée le 1er septembre 2020. De fait, il apparaît que cette première délibération ne régissait que deux types de traitements de données en vue de la réalisation des seules finalités « prévention » et « traçage de contacts ». Elle ne concernait, par ailleurs, que les « travailleurs étrangers » qui « sont au préalable identifiés par l’ONSS ». La délibération du 18 janvier 2021 régit quatre types de traitements en vue de la réalisation des finalités de « prévention », « appui du traçage des contacts », « appui du contrôle par des inspecteurs sociaux » et « établissement de statistiques » et concerne potentiellement tous les « travailleurs salariés et indépendants sur le sol belge ». Elle vise, par ailleurs, davantage de données à caractère personnel (voir, par exemple, l’énumération des données du PLF) et de nouveaux destinataires finaux (en particulier les services d’inspection sociale visés à l’article 17, § 2, du Code pénal social). En toute hypothèse, il convient de constater que la délibération n° 20/178 a été publiée, dans son entièreté, après sa modification du 18 janvier 2021. Cette nouvelle délibération constitue une nouvelle expression de la volonté de la chambre de sécurité sociale et santé du Comité de sécurité de l’information. Ceci est d’ailleurs confirmé par la phrase du préambule qui indique que « [l]a chambre sécurité sociale et santé du Comité de sécurité de l’information émet, après délibération, la décision suivante, le 18 janvier 2021 ». L’exception d’irrecevabilité – qui tient à la prétendue tardiveté des deux recours introduits – ne peut être retenue. Quant à l’intérêt à agir de la partie requérante dans le recours enrôlé sous le numéro de rôle A. é.096/VI-21.999 Aux termes de l’article 19, alinéa 1er, des lois sur le Conseil d’État, VI ‐ 21.999‐22.002 ‐ 25/47 coordonnées le 12 janvier 1973, un recours en annulation au sens de l’article 14, § 1er, de ces lois peut être porté devant la section du contentieux administratif du Conseil d’État par toute partie justifiant d’une lésion ou d’un intérêt. Une partie requérante dispose de cet intérêt requis en droit si deux conditions sont remplies : tout d’abord, l’acte administratif attaqué doit lui causer un préjudice personnel, direct, certain, actuel et lésant un intérêt légitime ; ensuite, l’annulation de cet acte qui interviendra éventuellement doit lui procurer un avantage direct et personnel, si minime soit-il. Il appartient au Conseil d’État d’apprécier si chaque partie requérante qui le saisit justifie d’un intérêt à son recours. Sous réserve des dispositions de droit international directement applicables, l’article 19, alinéa 1er, des lois coordonnées fait ainsi obstacle à l’action populaire qui serait introduite par n’importe quelle personne, qu’elle soit physique ou morale. Le Conseil d’État doit toutefois veiller à ce que la condition de l’intérêt ne soit pas appliquée d’une manière exagérément restrictive ou formaliste. L’intérêt à attaquer devant le Conseil d’État une disposition réglementaire est plus étendu que lorsqu’il s’agit d’actes individuels. Les actes réglementaires sont, en effet, susceptibles d’être attaqués par toutes les personnes auxquelles ils ont vocation à s’appliquer et dont ils peuvent modifier défavorablement la situation ainsi que par celles qui, sans y être à proprement parler soumises, en subissent directement des effets qui leur font grief. L’intérêt doit par ailleurs non seulement exister au moment de l’introduction du recours, mais également perdurer jusqu’à la clôture des débats. Une partie requérante n’est pas soumise à l’obligation de définir ou de préciser son intérêt au recours. Toutefois, si cet intérêt est mis en doute, il lui appartient de fournir des éclaircissements à cet égard dès qu’elle en a l’occasion dans le cadre de la procédure et d’étayer son intérêt. Si elle s’exécute en ce sens, la partie requérante circonscrit alors également les motifs de sa demande et le Conseil d’État doit tenir compte des limites du débat juridictionnel qu’elle fixe. En l’espèce, la deuxième partie adverse conteste, dans son mémoire en réponse, l’intérêt de la partie requérante à obtenir l’annulation de la délibération attaquée, au motif que cette dernière « ne constitue pas une base juridique pour la collecte ou les traitements initiaux des données à caractère personnel par l’instance VI ‐ 21.999‐22.002 ‐ 26/47 fournisseur des données ni des traitements finaux par l’instance destinatrice qui doit disposer de bases juridiques pour ce faire » et qu’une telle délibération n’aurait qu’un objet particulièrement limité. Cette affirmation – si elle était vérifiée – pourrait effectivement conduire à mettre en doute l’intérêt à agir de la partie requérante. Le Comité de sécurité de l’information a été créé par l’article 2, § 1er, de la loi du 5 septembre 2018 instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Il s’agit d’un organisme public fédéral indépendant chargé d’autoriser la communication de données à caractère personnel dans le secteur social et des soins de santé et de promouvoir la protection des données et la sécurité de l’information. Il n’est considéré ni comme responsable des traitements ni comme une autorité de contrôle au sens du RGPD (Doc. parl., Chambre, 2017-2018, DOC 54-3185/001, pp. 8-10). Conformément à l’article 2, § 2, de la loi du 5 septembre 2018, le Comité de sécurité de l’information est constitué de deux chambres : une chambre « sécurité sociale et santé » et une chambre « autorité fédérale ». Suivant la délibération attaquée, adoptée le 18 janvier 2021 par la chambre sécurité sociale et santé du Comité de sécurité de l’information, « le fondement légal permettant à l’ONSS de procéder [aux] traitement[s] de données [à caractère personnel] est contenu dans l’article 22 de l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19, modifié en dernier lieu par l’arrêté ministériel du 12 janvier 2021 ». Dans sa version applicable au moment de l’adoption de la délibération attaquée, l’article 22 dispose comme il suit : « Dans le cadre de la lutte contre le coronavirus Covid-19, l’Office national de sécurité sociale peut, en qualité de sous-traitant pour le compte de tous les services et institutions chargés de la lutte contre la propagation du coronavirus Covid-19, ainsi que de tous les services ou institutions chargés de surveiller le respect des obligations prévues dans le cadre des mesures d’urgence prises pour limiter la propagation du coronavirus Covid-19, collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la santé relatives au coronavirus Covid-19, des données de contact, d’identification, de travail et de résidence relatives aux travailleurs salariés et travailleurs ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 27/47 indépendants, en vue de soutenir le traçage et l’examen des clusters et des collectivités. Les données à caractère personnel qui résultent du traitement visé à l’alinéa 1er sont conservées dans le respect de la protection des données à caractère personnel, et pas plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées et seront détruites au plus tard le jour de l’entrée en vigueur de l’arrêté ministériel proclamant la fin de la phase fédérale concernant la coordination et la gestion de la crise coronavirus Covid-19 ». La disposition précitée est, à ce point vague et peu précise, qu’il est particulièrement difficile de déterminer les collectes et traitements de données à caractère personnel qu’elle autorise. La délibération attaquée, adoptée le 18 janvier 2021 par la chambre de sécurité sociale et santé du Comité de sécurité de l’information, identifie cependant différents types de traitements réalisés par l’ONSS suivant quatre finalités distinctes : prévention, appui du traçage des contacts, appui du contrôle par les inspecteurs sociaux et établissement de statistiques. Il ressort également de la délibération attaquée que l’ONSS enrichit des bases de données existantes avec d’autres données (qu’il gère lui-même dans ses propres banques de données ou qu’il recherche dans d’autres banques de données) et communique ensuite le résultat de ces collectes et traitements (y compris via le datamining et le datamatching) à des services et instances, qualifiés par la deuxième partie adverse de destinataires finaux. Les opérations de collectes et de traitements réalisées par l’ONSS génèrent ainsi de nouvelles données à caractère personnel qui sont ensuite communiquées à d’autres services et instances. Contrairement à ce qu’affirme la deuxième partie adverse, ces collectes, traitements et nouvelles données sont distincts des traitements réalisés par les instances qui fournissent à l’ONSS certaines données (Sciensano, Banque carrefour de la sécurité sociale, SPF Santé publique, etc.) et des traitements ultérieurs des données communiquées par l’ONSS aux destinataires finaux (entités fédérées, inspecteurs sociaux, etc.). La délibération attaquée indique que la chambre sécurité sociale et santé du Comité de sécurité de l’information autorise la communication des données à caractère personnel (1) issues de la Banque carrefour de la sécurité sociale, en vertu de l’article 15, § 1er, alinéa 1er, de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale, (2) issues de Saniport par le SPF Santé publique, Sécurité de la chaîne alimentaire et Environnement, en vertu de l’article 42, § 2, 3°, de la loi du 13 décembre 2006 portant dispositions diverses en matière de santé, et (3) relatives aux infections par le même SPF, en vertu des articles 11 et 12 de l’accord de coopération du 25 août 2020 conclu entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 28/47 germanophone et la Commission communautaire commune concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d’un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus Covid-19 sur la base d’une base de données auprès de Sciensano. La chambre sécurité sociale et santé du Comité de sécurité de l’information intervient également pour autoriser la communication des données à caractère personnel qui résultent des traitements réalisés par l’ONSS aux inspections sanitaires respectives des entités fédérées. Comme le relève la délibération attaquée, toutes ces communications doivent faire l’objet de « délibérations de principe » qui sont adoptées par la chambre sécurité sociale et santé du Comité de sécurité de l’information. Dans sa version applicable au moment de l’adoption de l’acte attaqué, l’article 46, § 2, alinéa 1er, de la loi du 15 janvier 1990 précitée dispose comme il suit : « § 2. Les délibérations du comité de sécurité de l’information ont une portée générale contraignante entre les parties et envers les tiers et elles ne peuvent pas être contraires aux normes juridiques supérieures ». Selon les travaux préparatoires de la loi du 5 septembre 2018, ces délibérations « ont valeur normative (loi au sens matériel), conformément à l’ordre constitutionnel et peuvent être contestées par les voies de recours en vigueur si elles sont contraires aux normes juridiques supérieures » (ibid., p. 8). Dans ses arrêts n° 110/2022 du 22 septembre 2022 (considérant B.38.2) ( ECLI:BE:GHCC:2022:ARR.110 ) et n° 84/2023 du 1er juin 2023 (considérant B.30.2) (ECLI:BE:GHCC:2023:ARR.84), la Cour constitutionnelle relève, quant à elle, que « les délibérations du Comité de sécurité de l’information ont une portée contraignante notamment pour les personnes dont le traitement des données personnelles est autorisé par ce Comité ». Dans de nombreux avis donnés sur des avant-projets de loi prévoyant l’intervention de la chambre sécurité sociale et santé du Comité de sécurité de l’information pour autoriser, par le biais de délibérations de principe, la communication de données à caractère personnel, et réglementer certains aspects de ce traitement, la section de législation du Conseil d’État confirme qu’il s’agit bien ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 29/47 d’attribuer un pouvoir réglementaire à cette chambre (voy. avis n° 63.202 du 26 avril 2018 sur l’avant-projet de loi devenu la loi du 5 septembre 2018 précité, avis n° 67.719 du 15 juillet 2020 sur un avant-projet de loi devenu la loi du 9 octobre 2020 portant assentiment à l’accord de coopération du 25 août 2020 précité, avis n° 68.844 du 18 février 2021 sur l’avant-projet de loi devenu la loi du 2 avril 2021 portant assentiment à l’accord de coopération du 12 mars 2021 entre l’État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement de données relatives aux vaccinations contre la Covid-19). La portée réglementaire de la décision attaquée n’est, en l’occurrence, pas contestée par la deuxième partie adverse, qui confirme d’ailleurs celle-ci, à plusieurs endroits, dans son mémoire en réponse. La délibération litigieuse indique elle-même qu’elle « régit le traitement de données à caractère personnel pour quatre finalités ». Non seulement elle autorise la communication (et donc le traitement) de certaines données à caractère personnel, mais elle fixe également les règles à suivre pour ces traitements, afin de respecter les principes de limitation de la finalité, de minimisation des données et de limitation de la durée de conservation des données et de sécurité de l’information. Sur le vu de l’article 22 de l’arrêté ministériel du 28 octobre 2020 dont les termes sont particulièrement vagues et peu précis et, plus vraisemblablement, du contenu de la demande dont l’ONSS l’a saisie, la chambre sécurité sociale et santé du Comité de sécurité de l’information définit, dans la délibération attaquée, les différents types de traitements qui sont réalisés en vue de quatre finalités qu’elle identifie. Elle détermine, selon la finalité poursuivie, les bases de données dans lesquelles les données sont extraites pour les coupler ensuite avec d’autres données, la nature exacte des données personnelles qui peuvent être collectées, traitées et ensuite communiquées, les catégories des personnes concernées, les destinataires auxquels les données sont communiquées ainsi que les mesures visant à garantir un traitement licite et loyal des données à caractère personnel (ex. : la durée maximale de conservation des données à caractère personnel enregistrées). Le caractère normatif de la décision attaquée ne fait, en l’occurrence, aucun doute. La deuxième partie adverse ne pourrait, pour contester le caractère réglementaire de la décision attaquée, invoquer l’effet rétroactif de l’accord de coopération du 31 mai 2021 conclu entre l’État fédéral, la Communauté flamande, la VI ‐ 21.999‐22.002 ‐ 30/47 Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers des données à caractère personnel en vue du traçage et de l’examen des clusters et collectivités, en vue de l’application de la quarantaine et du test de dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux de travail, en affirmant que la délibération attaquée ne contiendrait finalement plus aucune règle susceptible de causer grief à la partie requérante. Comme il a été jugé dans l’arrêt n° 260.090 du 12 juin 2024 rendu ce jour ( ECLI:BE:RVSCE:2024:ARR.260.090 ), la finalité « prévention » et le type de traitements qu’implique cette dernière ne sont pas repris dans l’accord de coopération du 31 mai 2021, alors qu’ils sont clairement visés par la délibération attaquée. De plus, seul l’article 2 de l’accord de coopération rétroagit à la date du 1er septembre 2020, soit antérieurement à l’adoption de la délibération attaquée. En revanche, l’article 4 de l’accord, comme les autres dispositions de celui-ci, à la seule exception de l’article 2, est entré en vigueur le jour de la publication au Moniteur belge du dernier acte législatif portant assentiment de l’accord de coopération, soit le 12 juillet 2021, c’est-à-dire plusieurs mois après l’adoption de la délibération attaquée (date de la publication au Moniteur belge du décret du 28 juin 2021 de la Communauté germanophone portant assentiment de l’accord de coopération du 31 mai 2021). L’article 4 de l’accord étant dépourvu de tout effet rétroactif, les traitements de données à caractère personnel effectués par l’ONSS qui ont eu lieu avant le 11 juillet 2021 (veille de l’entrée en vigueur de l’article 4 de l’accord de coopération), en vue du contrôle sur les lieux du travail par les inspecteurs sociaux, ne peuvent trouver leur fondement juridique dans l’accord de coopération du 31 mai 2021. Enfin, pour ce qui concerne les traitements de données à caractère personnel, en vue de la finalité visée à l’article 2 de l’accord de coopération, lequel est entré en vigueur rétroactivement le 1er septembre 2020, avant l’entrée en vigueur de la délibération attaquée, les données de santé, du travail et d’identification sont plus largement définies dans la délibération attaquée qu’à l’article 2 de l’accord de coopération du 31 mai 2021. Il apparaît, par exemple, que la chambre sécurité sociale et santé du Comité de sécurité de l’information a, à la demande de l’ONSS, permis à ce dernier d’accéder aux données de santé relatives à la date de début des symptômes des personnes testées positives à la Covid-19, aux données du travail relatives au statut des travailleurs et aux données d’identification relatives à la date de naissance des personnes concernées, alors que ces données ne sont pas visées à l’article 2 de l’accord de coopération. Par ailleurs, cette disposition ne permet pas de VI ‐ 21.999‐22.002 ‐ 31/47 coupler les données issues de la Base de données I de Sciensano avec les données de résidence de la personne concernée alors que, dans la délibération attaquée, une telle combinaison est, à la demande de l’ONSS, autorisée. Quant au protocole d’accord du 15 avril 2021 conclu entre l’État fédéral, la Communauté flamande, la Communauté germanophone, la Région wallonne et la Commission communautaire commune concernant des traitements particuliers en vue du traçage et de l’examen des clusters et collectivités, en vue de l’application de la quarantaine et du dépistage obligatoire et en vue de la surveillance par les inspecteurs sociaux du respect des mesures pour limiter la propagation du coronavirus Covid-19 sur les lieux du travail, il s’agit d’un texte au contenu plus vague et moins précis. Celui-ci ne définit, par exemple, pas les données d’identification, de contact, de travail et de résidence. Il ne permet pas, à lui seul, de se faire une idée claire des traitements qui peuvent être réalisés. En toute hypothèse, ce protocole d’accord n’est que la formalisation d’un accord politique intervenu entre plusieurs autorités dans l’attente de la conclusion d’un accord de coopération au sens de l’article 92bis de la loi spéciale du 8 août 1980 de réformes institutionnelles. Pareil protocole ne peut servir de base légale à un traitement de données à caractère personnel. Conformément à l’article 92bis, § 1er, précité, l’accord de coopération qui porte sur des matières réglées par la loi ou par décret ou qui lie les Belges individuellement n’a lui-même d’effet qu’après avoir reçu l’assentiment par la loi ou par décret. Il ne peut être question de reconnaître plus d’effet à un protocole d’accord qu’à un accord de coopération qui n’a pas encore reçu l’assentiment des législateurs concernés. En toute hypothèse, la délibération attaquée est nécessaire à la communication (et donc au traitement) de données à caractère personnel par l’ONSS. Sans délibération positive de la chambre sécurité sociale et santé du Comité de sécurité de l’information, la communication de données n’est pas possible. Une telle décision est contraignante à l’égard des tiers et susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Comme l’a relevé l’Autorité de protection des données dans son avis n° 66/2021 du 6 mai 2021 donné sur le projet d’accord de coopération devenu l’accord de coopération du 31 mai 2021 précité, le traitement de données à caractère personnel par l’ONSS est « un traitement à grande échelle de données à caractère personnel à des fins de surveillance et de contrôle, impliquant le croisement et le couplage de données à caractère personnel issues de différentes sources et pouvant, VI ‐ 21.999‐22.002 ‐ 32/47 le cas échéant, mener à une décision ayant des conséquences négatives pour les personnes concernées ». Ainsi, « les traitements de données […] s’accompagnent d’une évaluation systématique de personnes physiques qui est fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ». Pareil traitement constitue une ingérence importante dans le droit fondamental au respect de la vie privée et plus précisément du droit au respect de la protection des données à caractère personnel. Compte tenu de l’ampleur du traitement réalisé par l’ONSS, il ne peut être exclu que la partie requérante a, en tant que personne physique, pu être affectée par l’autorisation de communication qu’elle attaque dans son recours. Il ne peut, en revanche, pas lui être reproché de ne pas démontrer qu’elle aurait subi concrètement les effets de cette délibération. Cette preuve est, dans la plupart des cas, impossible à rapporter, puisque, d’une part, la personne concernée n’est pas nécessairement mise au courant du traitement effectif par l’ONSS de données personnelles qui se rapportent à elle et que, d’autre part, toute trace de ce traitement est supprimée après une durée déterminée. Il reste que la collecte et le traitement de données à caractère personnel affectent nécessairement la personne concernée ; ils constituent une atteinte importante au droit au respect de sa vie privée, en sorte qu’elle dispose d’un intérêt à contester la légalité de telles opérations et des délibérations de principe qui les autorisent. Cet aspect de l’intérêt à agir de la partie requérante n’est pas contesté par la deuxième partie adverse dans son mémoire en réponse. Dans son dernier mémoire, la deuxième partie adverse se réfère d’ailleurs « au rapport de Madame le Premier auditeur qui confirme [la] recevabilité [du recours] ». Dans ce rapport, le premier auditeur reproduit l’article 46, § 2, de la loi du 15 janvier 1990 précitée et en déduit que « le requérant – qui doit être considéré comme un tiers – peut contester une délibération du Comité de sécurité de l’information s’il considère, notamment, qu’elle est contraire aux normes juridiques supérieures ». Dans un tel contexte, l’exception d’irrecevabilité soulevée par la deuxième partie adverse – qui tient au défaut d’intérêt à agir de la partie requérante – ne peut être retenue. En outre, l’argumentation de la deuxième partie adverse, selon laquelle VI ‐ 21.999‐22.002 ‐ 33/47 les cinq premiers moyens d’annulation soulevés par la partie requérante concernent l’article 8 de l’arrêté ministériel du 12 janvier 2021 modifiant l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 qui devrait être abrogé, vise à contester l’intérêt de la partie requérante à ces cinq moyens et non la recevabilité du recours en tant que tel. Quant à l’intérêt à agir de la partie requérante dans le recours enrôlé sous le numéro de rôle A. é.136/VI-22.002 Les associations peuvent agir devant le Conseil d’État dans les mêmes conditions exigées de toutes les personnes physiques ou morales. En particulier, le recours en annulation formé par une association est recevable lorsqu’elle se prévaut, pour agir, d’une atteinte portée par l’acte attaqué aux intérêts collectifs spécifiques, distincts de l’intérêt général et des intérêts individuels de ses membres, qu’elle poursuit de manière durable en raison de son objet social. Dans leur version applicable à la date de l’introduction du présent recours, l’article 3 des statuts de l’association requérante dispose comme il suit : « L’association a pour objet de combattre l’injustice et toute atteinte arbitraire aux droits d’un individu ou d’une collectivité. Elle défend les principes d’égalité, de liberté, de solidarité et d’humanisme sur lesquels se fondent les sociétés démocratiques qui ont été proclamés notamment par la Constitution belge et la Déclaration universelle des droits de l’Homme du 10 décembre 1948, complétées par les Pactes internationaux relatifs aux droits civils et politiques ainsi qu’aux droits économiques, sociaux et culturels de 1966, la Convention européenne pour la sauvegarde des droits de l’Homme et des libertés fondamentales de 1950, la Charte sociale européenne de Turin de 1961, révisée en 1966, ainsi que la Charte des droits fondamentaux de l’Union européenne de 2000, ainsi que les traités, pactes, conventions et protocoles annexes y afférents présents et à venir. Elle soutient toute initiative tendant à la formation et à la promotion des droits et libertés. L’association poursuit ses objectifs en dehors de tout engagement partisan ou confessionnel ». L’association requérante se présente comme une organisation de défense des droits fondamentaux d’un individu ou d’une collectivité, combattant toute atteinte arbitraire à ceux-ci. La délibération attaquée autorise la communication à l’ONSS (et donc le traitement par celui-ci) de données à caractère personnel issues de différentes instances fédérales dans le cadre de la lutte contre la propagation du coronavirus Covid-19 et la gestion de la crise sanitaire vis-à-vis des travailleurs salariés et VI ‐ 21.999‐22.002 ‐ 34/47 indépendants. Elle fixe également les règles à suivre pour ces traitements par l’ONSS. Comme il a déjà été exposé, ceux-ci sont réalisés à des fins de suivi et de contrôle, impliquant le croisement et le couplage à grande échelle de données à caractère personnel issues de différentes sources et pouvant, le cas échéant, mener à une décision ayant des conséquences négatives pour les personnes concernées. Un tel acte constitue une ingérence importante dans le droit fondamental des personnes concernées au respect de leur vie privée. La délibération attaquée affecte manifestement l’objet social de l’association requérante qui est réellement poursuivi. Elle peut se prévaloir d’une atteinte portée par l’acte attaqué à l’intérêt collectif qu’elle défend et dispose d’un intérêt à contester la légalité de celui-ci pour faire cesser l’atteinte portée par cet acte à son objet social. L’exception d’irrecevabilité soulevée par la deuxième partie adverse – qui tient au défaut d’intérêt à agir de l’association requérante – ne peut être retenue. En outre, l’argumentation de la deuxième partie adverse, selon laquelle les cinq premiers moyens d’annulation soulevés par la requérante concernent l’article 8 de l’arrêté ministériel du 12 janvier 2021, modifiant l’arrêté ministériel du 28 octobre 2020 portant des mesures d’urgence pour limiter la propagation du coronavirus Covid-19 qui devrait être abrogé, vise à contester l’intérêt de l’association requérante à ces cinq moyens et non la recevabilité du recours en tant que tel. Quant au respect de la formalité du dépôt des statuts (recours enrôlé sous le numéro de rôle A. é.136/VI-22.002) Les articles 3 et 3bis de l’arrêté du Régent du 23 août 1948 déterminant la procédure devant la section du contentieux administratif du Conseil d’État prévoient ce qui suit : « Article 3. La partie requérante joint à sa requête : […] 4° dans les cas où la partie requérante est une personne morale, une copie de ses statuts publiés et de ses statuts coordonnés en vigueur […] Article 3bis. La requête n’est pas enrôlée lorsque : 1° émanant d’une personne morale, elle n’est pas accompagnée des documents énumérés à l’article 3, 4° ; […] En cas d’application de l’alinéa 1er, le greffier en chef adresse un courrier à la partie requérante précisant la cause du non-enrôlement et l’invitant à régulariser sa requête dans les quinze jours. VI ‐ 21.999‐22.002 ‐ 35/47 La partie requérante qui régularise sa requête dans les quinze jours de la réception de l’invitation visée à l’alinéa 2 est censée l’avoir introduite à la date de son premier envoi. Une requête non régularisée ou régularisée de manière incomplète ou tardive est réputée non introduite ». Le défaut de production d’une copie des statuts publiés et des statuts coordonnés en vigueur à l’appui de la requête introduite par une personne morale ne constitue pas une cause d’irrecevabilité, mais bien une cause de non-enrôlement. En l’espèce, la requête a été enrôlée sans qu’il soit constaté que les statuts de l’association requérante n’y avaient pas été joints et, donc, sans avoir fait application de la disposition de l’article 3bis précité. L’association requérante produit toutefois ses statuts avec son dernier mémoire. Il serait d’un formalisme excessif d’ordonner la biffure de l’affaire du rôle, d’inviter l’association requérante à déposer ses statuts et de procéder à un nouvel enrôlement alors que la réglementation prévoit le principe de la régularisation, laquelle opère de manière rétroactive à la date de l’introduction de la requête. L’exception d’irrecevabilité du recours enrôlé sous le numéro é.136/VI-22.002 – qui tient à l’absence de production des statuts de l’ASBL requérante – ne peut être retenue. VII. Huitièmes moyens dans les deux recours VII.1. Thèses des parties A. Requêtes Les parties requérantes prennent, dans les deux recours, un huitième moyen « d’ordre public » de la violation « des articles 10, 11 et 22 de la Constitution, de la violation de l’article 36.4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 36/47 personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (« RGPD ») et des articles correspondants de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, de la violation de l’article 23 de la loi du 3 décembre 2017 portant création de l’Autorité de protection des données, de la violation des articles 2 et 3 de la loi du 29 juillet 1991 relative à la motivation formelle des actes administratifs, de l’illégalité de l’acte quant aux motifs et de l’erreur manifeste d’appréciation ». Elles font valoir, dans leurs requêtes, que l’acte attaqué n’a pas été soumis à la consultation préalable de l’Autorité de protection des données alors que l’article 36.4 du RGPD et l’article 23 de la loi du 3 décembre 2017 portant création de l’Autorité de protection des données impliquaient pareille consultation. B. Mémoires en réponse La deuxième partie adverse soutient tout d’abord que le moyen est irrecevable. Elle affirme que l’acte attaqué ne constitue qu’une version sommairement modifiée de la délibération n° 20/178 publiée le 1er septembre 2020 et qu’il a été adopté dans un contexte pratiquement identique à celui de sa modification, c’est-à-dire à la suite de l’adoption de l’arrêté ministériel du 22 août 2020 modifiant celui du 30 juin 2020, lesquels se fondaient sur les mêmes dispositions que l’arrêté ministériel du 12 janvier 2021. Or, elle estime que les critiques relatives à l’absence de consultation de l’Autorité de protection des données ne résultent pas de la modification de la délibération n° 20/178 apportée le 18 janvier 2021. Elle indique ne pas comprendre les raisons pour lesquelles les parties requérantes se sont abstenues d’introduire un recours en annulation contre la délibération critiquée telle que publiée le 1er septembre 2020 ni les raisons qui motivent la nécessité d’entreprendre pareille action à l’égard des modifications apportées, le 18 janvier 2021, à cette délibération. Elle ajoute que le moyen n’expose pas en quoi les articles 10, 11 et 22 de la Constitution seraient violés et qu’il est donc irrecevable en tant qu’il invoque la violation de ces dispositions. VI ‐ 21.999‐22.002 ‐ 37/47 Elle fait valoir que les dispositions de la loi du 29 juillet 1991 relative à la motivation formelle des actes administratifs ne s’appliquent manifestement pas en l’espèce, comme le confirme expressément l’article 1er de cette loi, dès lors que les parties requérantes n’attaquent pas un acte juridique unilatéral « de portée individuelle ». Elle estime que les parties requérantes ne disposent d’aucun intérêt au moyen puisqu’elles se limitent à indiquer que « l’acte attaqué n’a pas été soumis à la consultation préalable de l’Autorité de protection des données », sans préciser les conséquences de cette prétendue irrégularité, surtout à l’égard de leur situation. Elle ajoute qu’aucune des hypothèses visées à l’article 14, § 1er, alinéa 2, des lois coordonnées sur le Conseil d’État ne trouve à s’appliquer en l’espèce. Elle rappelle que le moyen, au sens de l’article 2, § 1er, 3°, de l’arrêté du Régent du 23 août 1948 déterminant la procédure devant la section du contentieux administratif du Conseil d’État, consiste en l’indication d’une irrégularité qui doit, selon la partie requérante, entraîner l’annulation de l’acte attaqué, ce qui suppose qu’à peine d’irrecevabilité, il comporte à tout le moins l’indication des dispositions légales ou réglementaires qui auraient été violées ainsi que l’indication de la manière dont elles auraient été méconnues. Or, selon elle, les parties requérantes restent en défaut d’établir dans quelle mesure les dispositions qu’elles invoquent seraient applicables à l’acte attaqué. La deuxième partie adverse conteste ensuite le bien-fondé du moyen. Elle affirme que le RGPD n’oblige pas les États membres de l’Union européenne à soumettre pour avis, toute initiative législative ou réglementaire relative aux données personnelles à l’autorité de contrôle, que cette dernière doit conseiller l’autorité législative ou réglementaire « conformément au droit de l’État membre » et qu’en d’autres termes, le RGPD permet aux États membres d’organiser en droit interne l’exercice du pouvoir de conseil par l’autorité de contrôle. Elle expose qu’en Belgique, le pouvoir consultatif de l’Autorité de protection des données est réglementé par les articles 23 et suivants de la loi du 3 décembre 2017, desquels il ressort qu’il faut distinguer deux cas dans lesquels le Centre de connaissances de l’Autorité de protection des données donne des avis sur des initiatives législatives ou réglementaires : VI ‐ 21.999‐22.002 ‐ 38/47 - d’une part, il formule des avis non contraignants, d’initiative ou à la demande de l’autorité législative ou réglementaire ; - d’autre part, il fournit des avis dans les cas où ceux-ci sont requis par ou en vertu d’une loi, d’un décret ou d’une ordonnance et, dans ce cas, il est possible de déroger à ce préalable à défaut d’avis au terme d’un délai de soixante jours après communication à l’Autorité de protection des données de toutes les informations nécessaires à cet effet. Elle soutient qu’en l’espèce, l’obligation de consulter l’Autorité de protection des données ne résulte ni de l’article 36.4 du RGPD ni de l’article 23 de la loi du 3 décembre 2007. Elle fait en particulier valoir ce qui suit : « […] l’article 23 précité ne vise que les avis demandés par le gouvernement, les Chambres législatives, les Gouvernements de communauté ou de région, les Parlements de communauté ou de région, le Collège réuni ou l’Assemblée réunie visés à l’article 60 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloises. Comme le rappelle le site de l’Autorité de protection des données, “cette procédure n’est donc pas applicable aux provinces, villes et communes ou à d’autres organismes publics ou privés”. Sur la base de l’article 23 de la loi du 3 décembre 2017, l’Autorité de protection des données peut toutefois émettre d’initiative des avis sur toute question relative aux traitements de données à caractère personnel ainsi que formuler des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel. En outre, conformément à l’article 57, 1, c) du Règlement général sur la protection des données, la législation nationale de chaque État membre régit la manière selon laquelle une autorité de contrôle, telle l’Autorité de protection des données, conseille les organes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement. L’article 46, § 2, alinéa 2, de la loi relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale et l’article 35/1, § 4, alinéa 2, de la loi relative à la création et à l’organisation d’un intégrateur de services fédéral (modifiés tous deux par la loi du 5 septembre 2018 instituant le Comité de sécurité de l’information) prévoient ce qui suit à ce propos : “L’Autorité de protection des données peut, à tout moment, confronter toute délibération du comité de sécurité de l’information aux normes juridiques supérieures, quel que soit le moment où elle a été rendue. Sans préjudice de ses autres compétences, elle peut demander au comité de sécurité de l’information, lorsqu’elle constate de manière motivée qu’une délibération n’est pas conforme à une norme juridique supérieure, de reconsidérer cette délibération sur les points qu’elle a indiqués, dans un délai de quarante-cinq jours et exclusivement pour le futur. Le cas échéant, le comité de sécurité de l’information soumet la délibération modifiée pour avis à l’Autorité de protection des données. Dans la mesure où cette dernière ne formule pas de remarques supplémentaires dans un délai de quarante-cinq jours, la délibération modifiée est censée être définitive”. VI ‐ 21.999‐22.002 ‐ 39/47 En conséquence, l’absence de consultation de l’Autorité de protection des données ne peut, en l’espèce, donner lieu à une annulation de l’acte attaqué ». C. Mémoires ampliatifs Les parties requérantes s’en réfèrent à leurs requêtes originaires. D. Derniers mémoires des parties requérantes Les parties requérantes relèvent que l’article 36.4 du RGPD, dont elles soulèvent la violation, est d’application directe et impose la consultation préalable de l’Autorité de contrôle pour toute mesure réglementaire se rapportant au traitement de données à caractère personnel. Elle affirme que la délibération attaquée revêt bien un caractère réglementaire, en sorte qu’elle aurait dû être soumise à la consultation préalable de l’Autorité de protection des données. Elles précisent que la Cour constitutionnelle a adopté la même position (arrêt n° 84/2023, considérant B.31). E. Dernier mémoire de la deuxième partie adverse (recours enrôlé sous le numéro de rôle A. é.096/VI-21.999) La deuxième partie adverse fait valoir les éléments suivants : « En ce qui concerne le huitième moyen, la partie adverse s’en réfère au rapport de Madame le Premier Auditeur pour conclure que l’article 23 de la loi du 3 décembre 2017 n’impose à la partie adverse de soumettre les délibérations de la Chambre “Sécurité sociale et santé” du Comité de sécurité de l’information à l’avis de l’A.P.D. La partie adverse rappelle, du reste, que conformément à l’article 57, § 1er, c), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 : “1. Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire : (…) c) conseille, conformément au droit de l’État membre, le parlement national, le gouvernement et d’autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement”[…] C’est donc la législation nationale de chaque État membre qui régit la manière selon laquelle une autorité de contrôle, telle l’A.P.D., conseille les organes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement. Sur la base de l’article 23 de la loi du 3 décembre 2017 portant création de l’Autorité de protection des données, l’A.P.D. peut émettre d’initiative des avis sur toute question relative aux traitements de données à caractère personnel ainsi que formuler des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel. Quant à l’extrait cité de l’arrêt n° 84/2023 du 1er juin 2023 de la Cour constitutionnelle (B.31), celui-ci concerne le “contrôle parlementaire”, et non le ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 40/47 contrôle de l’A.P.D., de sorte qu’il ne peut être transposé au cas d’espèce […] ». VII.2. Appréciation du Conseil d’État Quant à la recevabilité du moyen Pour les raisons qui ont déjà été exposées à l’occasion de l’examen de la recevabilité des deux recours, il n’est pas exact d’affirmer, comme le fait la deuxième partie adverse, que la délibération attaquée ne serait qu’une « version sommairement modifiée de la délibération 20/178 du 1er septembre 2020 ». L’acte attaqué élargit sensiblement, sur de nombreux aspects, l’autorisation délivrée le 1er septembre 2020 : nouvelles finalités des traitements par l’ONSS (appui du contrôle par des inspecteurs sociaux et établissement de statistiques), nouvelles catégories de personnes concernées (non plus seulement les « travailleurs étrangers » qui « sont au préalable identifiés par l’ONSS », mais potentiellement tous les « travailleurs salariés et indépendants sur le sol belge »), nouvelles données traitées (voir, par exemple, l’énumération des données du PLF) et nouveaux destinataires finaux (en particulier les services d’inspection sociale visés à l’article 17, § 2, du Code pénal social). En toute hypothèse, il faut considérer que la délibération attaquée, qui a été publiée dans son entièreté, après sa modification du 18 janvier 2021, constitue une nouvelle expression de la volonté de la chambre sécurité sociale et santé du Comité de sécurité de l’information. Les parties requérantes sont recevables à diriger leur grief contre tous les aspects de cette nouvelle délibération, sans devoir exposer les raisons pour lesquelles elles se sont abstenues d’attaquer la délibération initiale du 1er septembre 2020. Le moyen est cependant irrecevable en tant qu’il invoque la violation des articles 10, 11 et 22 de la Constitution, les articles 2 et 3 de la loi du 29 juillet 1991 précitée, les « articles correspondants de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel » ainsi que « l’illégalité de l’acte quant aux motifs et […] l’erreur manifeste d’appréciation », à défaut d’indiquer précisément en quoi ces dispositions légales auraient été méconnues, les motifs de l’acte attaqué seraient irréguliers et cet acte procéderait d’une erreur manifeste d’appréciation. En vertu de l’article 14, § 1er, alinéa 2, des lois sur le Conseil d’État, coordonnées le 12 janvier 1973, une partie requérante présente un intérêt procédural à invoquer un moyen lorsque celui-ci dénonce une irrégularité qui, soit a été susceptible d’influencer le sens de l’acte attaqué, soit l’a privée d’une garantie, soit a ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 41/47 eu pour effet d’affecter la compétence de l’auteur de l’acte. Les parties requérantes invoquent notamment la violation de l’article 36.4 du règlement (UE) 2016/679 du 27 avril 2016 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE, en ce que l’acte attaqué n’a pas été soumis à la consultation préalable obligatoire prévue par cette disposition. Le grief est, à cet égard, suffisamment précis et répond au prescrit de l’article 2, § 1er, 3°, de l’arrêté du Régent du 23 août 1948 déterminant la procédure devant la section du contentieux administratif du Conseil d’État, dans sa version applicable au moment de l’introduction du recours. L’article 1er du RGPD énonce l’objet du règlement et les objectifs qu’il poursuit ; il établit, entre autres, les « règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel » et vise à « protége[r] les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel ». L’article 36.4 du RGPD impose la consultation préalable suivante : « Les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement ». Le considérant 96 du préambule expose, à ce propos, ce qui suit : « L’autorité de contrôle devrait également être consultée au stade de la préparation d’une mesure législative ou réglementaire qui prévoit le traitement de données à caractère personnel, afin d’assurer que le traitement prévu respecte le présent règlement et, en particulier, d’atténuer le risque qu’il comporte pour la personne concernée ». Les parties requérantes ont un intérêt à invoquer la violation de l’exigence de consultation préalable de l’autorité de contrôle. En effet, la consultation prescrite n’est pas prévue dans le seul intérêt des législateurs et régulateurs nationaux concernés, mais vise aussi à s’« assurer que le traitement prévu respecte le règlement et, en particulier, [à] atténuer le risque qu’il comporte pour la personne concernée ». La méconnaissance de cette formalité prive les intéressées d’une garantie visant à assurer le traitement régulier de leurs données ECLI:BE:RVSCE:2024:ARR.260.091 VI ‐ 21.999‐22.002 ‐ 42/47 personnelles. Par ailleurs, l’irrégularité invoquée a pu exercer une influence sur le sens de la délibération attaquée. Les parties requérantes justifient bien d’un intérêt à leur critique. Le moyen est recevable. Quant au caractère fondé du moyen L’article 36 du RGPD, qui a pour intitulé « consultation préalable », impose, en son paragraphe 4, aux États membres de consulter l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative à adopter par un parlement national ou d’une mesure réglementaire fondée sur celle-ci, qui se rapporte au traitement. Cette exigence de consultation est confirmée dans le considérant 96 du préambule du règlement. Elle est un préalable obligatoire à l’adoption de toute mesure législative ou réglementaire qui se rapporte au traitement de données à caractère personnel. S’agissant d’une disposition d’un règlement de l’Union européenne, l’article 36.4 est directement applicable dans l’ordre juridique belge. La disposition est claire et précise. Elle ne renvoie pas au droit de l’État membre et ne requiert l’adoption d’aucune mesure d’application pour assurer son exécution. L’article 57 du RGPD – auquel la deuxième partie adverse se réfère – énonce les missions de l’autorité de contrôle, parmi lesquelles la mission de « conseille[r] conformément au droit de l’État membre, le parlement national, le gouvernement et d’autres institutions et organismes au sujet de mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement » (article 57, 1, c). La disposition précise toutefois que ces missions s’exercent « sans préjudice des autres missions prévues au titre du présent règlement » et donc sans préjudice de l’exigence claire et précise de « consultation préalable » visée à l’article 36.4 du même règlement. La deuxième partie adverse se réfère également à diverses dispositions légales de droit interne. L’article 23 de la loi du 3 décembre 2017 portant création de l’Autorité de protection des données prévoit que le centre de connaissances de l’Autorité de protection des données émet, soit d’initiative, soit sur demande de certaines VI ‐ 21.999‐22.002 ‐ 43/47 autorités, « des avis sur toute question relative aux traitements de données à caractère personnel » et « des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel ». Les articles 26 et 27 de la même loi envisagent également les hypothèses d’avis qui sont requis « par ou en vertu d’une loi, d’un décret ou d’une ordonnance ». Dans leur version applicable au moment de l’adoption de la délibération attaquée, l’article 46, § 2, alinéa 2, de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale et l’article 35/1, § 4, alinéa 2, de la loi du 15 août 2012 relative à la création et à l’organisation d’un intégrateur de services fédéral prévoient, quant à elles, que « [l]’Autorité de protection des données peut, à tout moment, confronter toute délibération du comité de sécurité de l’information aux normes juridiques supérieures, quel que soit le moment où elle a été rendue ». Contrairement à ce que soutient la deuxième partie adverse, il ne résulte pas des dispositions légales précitées que l’Autorité de protection des données ne devrait pas être consultée conformément à l’article 36.4 du RGPD. Comme il vient d’être exposé, cette disposition est claire et ne laisse aucun choix quant à la consultation préalable qu’elle impose. Pour les raisons qui ont déjà été exposées dans le cadre de l’examen de la recevabilité du recours, la délibération attaquée est réglementaire ; elle en a le caractère normatif, obligatoire, impersonnel et général. Il n’est pas non plus contesté qu’elle se rapporte au traitement de données à caractère personnel. Le moyen est fondé dans la mesure où il invoque la méconnaissance de l’exigence de consultation préalable prévue par l’article 36.4 du RGPD. Celle-ci justifie l’annulation de la délibération attaquée. Il n’y a pas lieu d’examiner les autres moyens invoqués dans les deux requêtes qui ne sont pas de nature à conduire à une annulation plus étendue. VIII. Dépersonnalisation sollicitée dans le recours Dans le cadre du recours enrôlé sous le numéro de rôle A. é.096/VI- 21.999, la partie requérante sollicite la dépersonnalisation de l’arrêt à intervenir. Selon l’article 2, alinéa 1er, de l’arrêté royal du 7 juillet 1997 relatif à la VI ‐ 21.999‐22.002 ‐ 44/47 publication des arrêts et des ordonnances de non-admission du Conseil d’État, toute personne physique partie à un litige porté devant le Conseil d’État peut requérir dans la requête et, le cas échéant, jusqu’à la clôture des débats que, lors de la publication de l’arrêt ou de l’ordonnance, l’identité des personnes physiques ne soit pas mentionnée. Rien ne s’oppose à cette demande. IX. Indemnité de procédure et autres dépens Les parties requérantes sollicitent, dans leurs écrits de procédure, une indemnité de procédure de 770 euros. Il y a lieu de faire droit à ces demandes. Les autres dépens doivent être mis à la charge de la deuxième partie adverse. PAR CES MOTIFS, LE CONSEIL D’ÉTAT DÉCIDE : Article 1er. Les affaires A. é.096/VI-21.999 et A. é.136/VI-22.002 sont jointes. Article 2. La chambre sécurité sociale et santé du Comité de la sécurité de l’information est mise hors de cause. Article 3. La délibération n°20/178 du 1er septembre 2020 modifiée le 18 janvier 2021 (CSI/CSSS/21/036) de la chambre sécurité sociale et santé du Comité de sécurité de l’information autorisant la communication de données à caractère personnel par la Banque carrefour de la sécurité sociale et le Service public fédéral VI ‐ 21.999‐22.002 ‐ 45/47 Santé publique, Sécurité de la chaîne alimentaire et Environnement à l’Office national de sécurité sociale dans le cadre de la lutte contre la propagation du coronavirus Covid-19 et la gestion de la crise sanitaire sur les lieux du travail, en vue de la réalisation des quatre finalités prévention, appui du traçage des contacts, appui du contrôle par les inspecteurs sociaux et établissements de statistiques et moyennant le respect des mesures de protection des données qui ont été définies (en particulier les mesures en matière de limitation de la finalité, de minimisation des données, de limitation de la durée de conservation des données et de sécurité de l’information) est annulée. Article 4. Lors de la publication du présent arrêt, l’identité de la partie requérante dans l’affaire A. é.096/VI-21.999 ne sera pas mentionnée. Article 5. Le présent arrêt sera publié par extrait dans les mêmes formes que la délibération annulée. Article 6. La partie adverse supporte les dépens, à savoir les droits de rôle de 400 euros, les contributions de 40 euros et les deux indemnités de procédure de 770 euros chacun accordée à la partie requérante. VI ‐ 21.999‐22.002 ‐ 46/47 Ainsi prononcé à Bruxelles le 12 juin 2024, par la VIe chambre du Conseil d’État, composée de : Florence Piret, conseillère d’État, présidente f.f., Michèle Belmessieri, conseillère d’État, Xavier Close, conseiller d’État, Adeline Schyns, greffière. La Greffière, La Présidente, Adeline Schyns Florence Piret VI ‐ 21.999‐22.002 ‐ 47/47