ECLI:BE:GBAPD:2024:AVIS.20241219.10

Avis n° 112/2024 du 19 décembre 2024 Objet: Demande d’avis concernant un projet d’arrêté royal relatif à la publication des listes des entreprises et services internes autorisés à offrir et/ou exercer des activités visées dans la loi réglementant la sécurité privée et particulière (CO-A-2024-283) Mots-clés : publication sur le site Internet du SPF Intérieur – données d’identification – activités de gardiennage Version originale Introduction : L’avis concerne un projet d’arrêté royal qui prévoit la publication, sur le site Internet du SPF Intérieur, des listes des entreprises et services internes autorisés à offrir et/ou exercer des activités visées dans la loi réglementant la sécurité privée et particulière (ci-après le « projet »). L’Autorité n’émet aucune remarque particulière sur le projet. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité »), Présent.e.s : Mesdames Cédrine Morlière, Nathalie Ragheno et Griet Verhenneman et Messieurs Yves- Alexandre de Montjoye, Bart Preneel et Gert Vermeulen; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après « LCA »); Vu l’article 43 du règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix ; Pour les textes normatifs émanant de l’Autorité fédérale, de la Région de Bruxelles-Capitale et de la Commission communautaire commune, les avis sont en principe disponibles en français et en néerlandais sur le site Internet de l'Autorité. La « Version originale » est la version qui a été validée collégialement. Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »); Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD »); Vu la demande d'avis de Madame Annelies Verlinden, Ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique (ci-après « la demanderesse ») reçue le 12 novembre 2024; Vu les informations complémentaires transmises le 2 décembre 2024 ; émet, le 19 décembre 2024, l’avis suivant : I. OBJET ET CONTEXTE DE LA DEMANDE D’AVI 1. En date du 12 novembre 2024, la Ministre de l’Intérieur, des Réformes institutionnelles et du Renouveau démocratique a sollicité l’avis de l’Autorité concernant le projet. 2. Le projet porte exécution de l’article 31 de la loi du 2 octobre 2017 réglementant la sécurité privée et particulière (ci-après la « loi du 2 octobre 2017 »), qui confère au Roi la compétence de déterminer les règles précises et procédures relatives à l'octroi, au renouvellement, au refus et au retrait des autorisations des entreprises désireuses d’offrir et/ou d’exercer les activités de sécurité privée et particulière visées. 3. La loi du 2 octobre 2017 prévoit en effet que les entreprises doivent être préalablement autorisées par le ministre de l’Intérieur avant de pouvoir offrir et/ou exercer des activités de sécurité privée et particulières visées1. L’article 17 de la même loi prévoit que nul ne peut avoir recours aux prestations de service d'une entreprise non autorisée. 4. C’est dans ce cadre que le projet prévoit la publication sur le site Internet de la Direction générale Sécurité et Prévention du SPF Intérieur de la liste des entreprises et des services internes autorisés à offrir et/ou exercer des activités visées dans la loi du 2 octobre 2017. 5. En vertu de l’article 2, 2° de la loi du 2 octobre 2017, est une « entreprise » au sens de ladite loi « toute personne morale ou physique exerçant ou offrant des activités consistant à fournir des services à des tiers, de manière permanente ou occasionnelle, ou qui se fait connaître comme telle ». Selon les informations complémentaires transmises, dans la pratique, les entreprises autorisées sont tant des personnes morales que des personnes physiques qui exercent une activité professionnelle à titre d’indépendant. 6. L’Autorité rappelle que le RGPD ne s’applique pas aux traitements de données relatives aux personnes morales, ces données n’étant pas couvertes par la définition que le RGPD donne de la notion de donnée à caractère personnel 2. Le présent avis portera donc sur l’examen de la publication envisagée par le projet, dans la mesure où celle-ci engendre un traitement de données à caractère personnel au sens du RGPD et concerne donc une personne physique. 7. Par souci de complétude, l’Autorité rappelle que si l’entreprise autorisée est une personne morale, et que par conséquent, la publication envisagée ne tombe pas dans le champ du RGPD, la personne morale concernée peut toutefois se prévaloir de la protection des articles 7 et 8 de la Charte dans la mesure où le nom légal de la personne morale identifie une ou plusieurs personnes physiques3. II. EXAMEN DE LA DEMANDE D’AVI 8. En termes de données à caractère personnel, l’article 1er , alinéa 1er, du projet prévoit que la Direction générale Sécurité et Prévention du SPF Intérieur a la possibilité de publier sur son site Internet : - Une liste des entreprises de gardiennage autorisées, avec mention du numéro d’entreprise, de la dénomination officielle, de l’éventuelle abréviation officielle, de l’éventuel nom commercial, du siège social de l’entreprise et des activités de gardiennage pouvant être offertes et exercées ; - Une liste des entreprises qui sont autorisées à organiser un service interne de gardiennage, avec mention du numéro d’entreprise, de la dénomination officielle, de l’éventuelle abréviation officielle, de l’éventuel nom commercial ou de toute autre dénomination mentionnée dans l’arrêté d’autorisation, du siège social et des activités de gardiennage pouvant être exercées ; - Une liste des entreprises de systèmes d’alarme autorisées, avec mention du numéro d’entreprise, de la dénomination officielle, de l’éventuelle abréviation officielle, de l’éventuel nom commercial et du siège social de l’entreprise ; - Une liste des entreprises de systèmes caméras autorisées, avec mention du numéro d’entreprise, de la dénomination officielle, de l’éventuelle abréviation officielle, de l’éventuel nom commercial et du siège social de l’entreprise. 9. L’article 1er, alinéa 2 du projet prévoit également la possibilité de mentionner sur les listes visées à l’alinéa 1er précité les éventuels certificats de compétences que l’entreprise a acquis et qui figurent sur la liste des certificats pertinents, telle que déterminée par le ministre en exécution de l’article 234 de la loi du 2 octobre 2017. 10. La finalité poursuivie par la publication envisagée est, ainsi que cela ressort de manière claire et sans équivoque des articles 16, 17 et 23 de la loi du 2 octobre 2017, de permettre aux citoyens de pouvoir identifier aisément quelles sont les entreprises et services internes autorisés à offrir et/ou à exercer des activités de sécurité privée et particulière visées par ladite loi, afin de leur permettre de recourir légalement aux prestations offertes dans ce domaine et le cas échéant, de recourir à des entreprises compétentes dans un domaine en particulier. Il s’agit d’une finalité déterminée, explicite et légitime, conformément à l’article 5.1.b) du RGPD. 11. En ce qui concerne les données publiées, il convient de constater que ne sont concernées que des données d’identification, la mention du siège social de l’entreprise, les activités de gardiennage pouvant être offertes et exercées ainsi que le cas échéant, les certificats de compétence visés à l’article 23 de la loi du 2 octobre 2017. Cela n’appelle pas de commentaire particulier dès lors que de telles données paraissent pertinentes, adéquates et limitées à ce qui est nécessaire pour atteindre la finalité poursuivie, conformément à l’article 5.1.c) du RGPD. 12. De plus, il y a lieu de constater que la publication des listes des entreprises, telle qu’envisagée par le projet, concerne les entreprises qui sont « autorisées » à offrir et/ou exercer des activités de sécurité privée et particulière visées par la loi du 2 octobre 2017. Il s’ensuit que les entreprises dont l’autorisation sera arrivée à échéance ou aura été retirée ne seront plus mentionnées sur les listes précitées dès l’arrivée de l’échéance ou le retrait de l’autorisation. En d’autres termes, les données à caractère personnel ne sont pas publiées plus longtemps que cela est nécessaire afin d’atteindre la finalité poursuivie, ce qui est conforme au principe de minimisation des données. Cela étant dit, l’Autorité en profite pour souligner que les données qui sont publiées sur Internet peuvent en principe être collectées et conservées par des tiers (par exemple dans les archives Internet https://archive.org/), de sorte qu’elles peuvent rester disponibles pendant longtemps, même si elles ne sont plus publiées. 13. L’article 2 du projet désigne le SPF Intérieur comme responsable du traitement pour ce qui concerne la publication des listes visées à l’article 1er du projet. Cette disposition n’appelle pas de commentaire particulier. PAR CES MOTIFS, L’Autorité estime que le projet n’appelle pas de remarque particulière. Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2024:AVIS.20241219.10 Publication(s) liée(s) précédé par: ECLI:BE:GBAPD:2024:DEC.20240906.1 ECLI:BE:GBAPD:2024:DEC.20240906.4