ECLI:BE:GHCC:2025:ARR.119-FR

ECLI:BE:GHCC:2025:ARR. 119 Cour constitutionnelle Arrêt n ° 119/2025 du 18 septembre 2025 Numéro du rôle : 8317 En cause : le recours en annulation des articles 10, 18 et 20 de la loi du 25 décembre 2023 « modifiant la loi du 3 décembre 2017 portant création de l’Autorité de protection des données », introduit par l’ASBL « Ligue des droits humains ». La Cour constitutionnelle, composée des présidents Pierre Nihoul et Luc Lavrysen, et des juges Thierry Giet, Joséphine Moerman, Michel Pâques, Yasmine Kherbache, Danny Pieters, Sabine de Bethune, Emmanuelle Bribosia, Willem Verrijdt, Kattrin Jadin et Magali Plovie , assistée du greffier Nicolas Dupont , présidée par le président Pierre Nihoul, après en avoir délibéré, rend l ’arrêt suivant : I. Objet du recours et procédure Par requête adressée à la Cour par lettre recommandée à la poste le 30 août 2024 et parvenue au greffe le 2 septembre 2024, l’ASBL « Ligue des droits humains », assistée et représentée par Me Ronald Fonteyn, avocat au barreau de Bruxelles, a introduit un recours en annulation des articles 10, 18 et 20 de la loi du 25 décembre 2023 « modifiant la loi du 3 décembre 2017 portant c réation de l’Autorité de protection des données » (publiée au Moniteur belge du 1er mars 2024). Le Conseil des ministres, assisté et représenté par Me Evrard de Lophem, Me Sébastien Depré et Me Megi Bakiasi, avocats au barreau de Bruxelles, a introduit un mémoire, la partie requérante a introduit un mémoire en réponse et le Conseil des ministres, assisté et représenté par Me Sébastien Depré, Me Megi Bakiasi, Me Germain Haumont et Me Rebecca Mirzabekiantz, avocats au barreau de Bruxelles, a également introduit un mémoire en réplique. Par ordonnance du 21 mai 2025, la Cour, après avoir entendu les juges -rapporteures Emmanuelle Bribosia et Joséphine Moerman, a décidé que l’affaire était en état, qu’aucune audience ne serait tenue, à moins qu’une partie n’ait demandé, dans le délai de se pt jours suivant ECLI:BE:GHCC:2025:ARR. 119 2 la réception de la notification de cette ordonnance, à être entendue, et qu’en l’absence d’une telle demande, les débats seraient clos à l’expiration de ce délai et l’affaire serait mise en délibéré. Aucune demande d’audience n’ayant été introduite, l’affaire a été mise en délibéré. Les dispositions de la loi spéciale du 6 janvier 1989 sur la Cour constitutionnelle relatives à la procédure et à l’emploi des langues ont été appliquées. II. En droit - A - Quant à l’intérêt A.1. La partie requérante fonde son intérêt sur son but statutaire. Elle fait valoir que la Cour a reconnu à de nombreuses reprises son intérêt à agir. Elle soutient avoir été associée aux travaux préparatoires de la loi du 25 décembre 2023 « modifiant la loi du 3 décembre 2017 portant création de l’Autorité de protection des données » (ci-après : la loi du 25 décembre 2023), qui est attaquée. A.2. Selon le Conseil des ministres, la partie requérante ne justifie pas d’un intérêt direct au recours en ce qui concerne le deuxième grief formulé dans le cadre du deuxième moyen, selon lequel l’article 26 de la loi du 3 décembre 2017 « portant créati on de l’Autorité de protection des données » (ci -après : la loi du 3 décembre 2017), tel qu’il a été modifié par l’article 20 de la loi du 25 décembre 2023 , perturbe le fonctionnement de l’Autorité de protection des données, lequel est déjà affecté par l’absence des moyens requis et par la multiplication de ses missions légales. Le Conseil des ministres considère que le but statutaire de la partie requérante ne présente pas de lien direct avec une disposition susceptible de porter atteinte au fonctionnement interne de l’Autorité de protection des données. A.3. La partie requérante répond qu’elle et chacun de ses membres ont intérêt à la meilleure protection des personnes physiques en matière de traitement des données à caractère personnel. Cette protection est notamment garantie par la mise en place et pa r le bon fonctionnement des autorités de contrôle, et en particulier de l’Autorité de protection des données. Toute atteinte à ce fonctionnement peut entraîner une régression de la protection des droits dont cette Autorité assure la défense. Quant aux moyens En ce qui concerne le premier moyen A.4. Le premier moyen est pris de la violation, par l’article 11 de la loi du 3 décembre 2017 tel qu’il a été remplacé par l’article 10 de la loi du 25 décembre 2023, des articles 10, 11, 12, alinéa 2, 14, 22 et 30 de la Constitution, lus isolément ou en combinaison avec les articles 33, 34, 37, 108 et 160 de celle -ci, avec l’article 8 de la Convention européenne des droits de l’homme, avec les articles 7, 8, 20, 21, 41 et 51, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne (ci -après : la Charte), avec l’article 288, deuxième alinéa, du Traité sur le fonctionnement de l’Union européenne (ci -après : le TFUE), avec les articles 51, 52, 53, 54, 55, 57 et 58 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la li bre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) » (ci -après : le RGPD) et avec les principes de la primauté et de l’effectivité du droit de l’Union européenne. Le moyen est subdivisé en neuf griefs. ECLI:BE:GHCC:2025:ARR. 119 3 A.5.1. Par ses premier et deuxième griefs, la partie requérante soutient que l’habilitation conférée à l’Autorité de protection des données par l’article 11, § 1er, 1° et 4°, de la loi du 3 décembre 2017 pour déterminer elle -même, au moins partiellement, sa propre composition et les modalités d’établissement de la réserve d’experts, les profils des experts qui doivent en faire partie, les catégories de missions pour lesquelles ceux -ci peuvent être désignés ponc tuellement, les modalités de collaboration avec ces expert s et leur rémunération viole les articles 53 et 54, paragraphe 1, du RGPD. Il ressort de ces deux dispositions que les éléments précités doivent être réglés par la loi, étant donné que les experts doivent être considérés comme des membres de l’autorité de contrôle, à tout le moins des agents de celle -ci. L’Autorité de protection des données ne peut par ailleurs se voir attribuer la compétence de nommer ses propres membres. La partie requérante considère que la violation de ces dispositions entraîne celle de l’article 288, deuxième alinéa, du TFUE, des articles 22 et 34 de la Constitution, de l’article 8 de la Convention européenne des droits de l’homme et des articles 7, 8 et 51, paragraphe 1, de la Charte. A.5.2. Par ses troisième et quatrième griefs, la partie requérante fait valoir que la disposition qui habilite l’Autorité de protection des données à déterminer les règles complémentaires relatives à la recevabilité d’une plainte, d’un signalement ou d’une demande, à une procédure de médiation, au classement sans suite et aux considérations d’opportunité, à la position du plaignant dans la procédure, aux moyens de défense, à l’audition, à la représentation de parties, aux délais de la procédure, aux règle s concernant l’emploi des langues et au respect des mesures imposées par l’Autorité de protection des données viole les articles 57 et 58 du RGPD, dès lors que ces dispositions ne confèrent pas un pouvoir réglementaire aux autorités de contrôle. Partant, l a disposition attaquée viole l’article 288, deuxième alinéa, du TFUE, les articles 22 et 34 de la Constitution, l’article 8 de la Convention européenne des droits de l’homme et les articles 7, 8 et 51, paragraphe 1, de la Charte. A.5.3. La partie requérante soutient également que l’habilitation précitée prive, de manière discriminatoire, les administrés et les justiciables concernés de la garantie de l’intervention d’une assemblée délibérative démocratiquement élue , ou à tout le moins de l’intervention d’autorités administratives politiquement responsables devant une telle assemblée (septième grief), et qu’elle porte atteinte au principe de l’unicité du pouvoir réglementaire et aux articles 33, 37 et 108 de la Consti tution (huitiè me grief). A.5.4. Dans un cinquième grief, qui porte seulement sur une partie de l’habilitation contenue dans l’article 11, § 1er, 3°, de la loi du 3 décembre 2017, la partie requérante affirme que la compétence, attribuée à l’Autorité de protection des données, de déterminer des règles complémentaires relatives à « la recevabilité d’une plainte », à « un signalement », au « classement sans suite et [aux] considérations d’opportunité », aux « moyens de défense, [à] l’audition, [à] la représentation des parties, [et aux] délais de la procédure » viole le principe de légalité en matière pénale contenu dans les articles 12, alinéa 2, et 14 de la Constitution. A.5.5. Par un sixième grief, la partie requérante allègue que l’habilitation conférée à l’Autorité de protection des données pour déterminer des règles complémentaires relatives à l’emploi des langues viole l’article 30 de la Constitution et le principe de légalité qui s’en déduit. A.5.6. Par un neuvième grief, la partie requérante fait valoir que la disposition attaquée prive, sans qu’existe un fondement objectif, raisonnable et proportionné, les citoyens visés par le règlement d’ordre intérieur de l’Autorité de protection des données de la ga rantie d’ un avis de la section de législation du Conseil d’État, prévue à l’article 160, alinéa 2, de la Constitution. A.6.1. En ce qui c oncern e les deux premiers griefs, le Conseil des ministres considère que la partie requérante n’explique pas en quoi la disposition attaquée ferait naître une différence de traitement qui serait discriminatoire, de sorte que le moyen est irrecevable en ce qu’il est pris de la violation des articles 10 et 11 de la Constitution. Il fait également valoir que le moyen est irrecevable en ce qu’il est pris de la v iolation de l’article 34 de la Constitution, dès lors que cette disposition ne fa it pas partie des normes que la Cour est habilitée à contrôler et que la partie requérante n’expose pas en quoi elle serait violée. Le Conseil des ministres rappelle également que la Cour n’est pas compétente pour contrôler ladite disposition directement à l’aune des articles 53 et 54 du RGPD. À titre subsidiaire, le Conseil des ministres soutient que le RGPD distingue les membres de l’autorité de contrôle des agents et experts qui travaillent sous la direction de ces membres. Cette distinction ressort notamment de l’article 52, paragraphe 5, et du considérant 121 de ce règlement. La désignation des membres est soumise à ECLI:BE:GHCC:2025:ARR. 119 4 des règles strictes, tandis que les autorités de contrôle peuvent choisir leurs agents et les experts de manière autonome. Les experts ne disposent d’aucun pouvoir décisionnel. De surcroît, le législateur belge n’octroie pas , en la matière, une autonomie absolue à l’Autorité de protection des données, étant donné que le cadre du personnel, le statut et le mode de recrutement sont fixés par la Chambre des représentants, sur proposition de l’Autorité de protection des données (article 46 de la loi du 3 décembre 2017). L’article 18/1, § 3, de la loi du 3 décembre 2017 prévoit que la réserve d’experts « comprend une liste de vingt experts au maximum qui est soumise à l’approbation de la Chambre des représentants sur proposition du comité de direction . […] La motivation pour la désignation d’un expert supplémentaire en dehors de la réserve est transmise à la Chambre des représentants ». Le Conseil des ministres en déduit que l’habilitation conférée à l’Autorité de protection des données pour régler sa composition dans son règlement d’ordre intérieur porte sur des aspects limités d’organisation interne, qui ont pour but de compléter les garanties offertes par la loi. Selon lui, l’Autorité de protection des données est la mieux placée pour déter miner ces éléments, étant donné qu’elle sera amenée à collaborer avec ces experts pour des missions qu’elle détermine. Il s’ensuit que cette habilit ation est conforme aux conditions fixées par la légisprudence du Conseil d’État, ainsi qu’à la jurisprudence de la Cour relative au pouvoir réglementaire des autorités administratives indépendantes. A.6.2. En ce qui c oncern e les troisième et quatrième griefs, le Conseil des ministres soutient que le moyen est irrecevable en ce qu’il est pris de la violation de l’article 34 de la Constitution, dès lors que cette disposition ne fait pas partie des normes que la Cour est habilit ée à contrôler et que la partie requérante n’expose pas en quoi elle serait violée. En outre, le Conseil des ministres considère que l’autonomie de l’Autorité de protection des données pour établir son fonctionnement interne dans son règlement d’ordre inté rieur a été instaurée par l’article 11 de la loi du 3 décembre 2017. Dans la mesure où le moyen est dirigé contre le contenu des règles adoptées en 2017, les griefs sont irrecevables ratione temporis . Le Conseil des ministres affirme que les règles que l’Autorité de protection des données peut fixer par règlement d’ordre intérieur ne portent pas sur les « missions » ni sur les « pouvoirs » évoqués aux articles 57 et 58 du RGPD, mais sur des éléments d’e xécution de ces missions et pouvoirs. Il considère que ces articles du RGPD règlent les éléments essentiels des missions et des pouvoirs des autorités de contrôle, de sorte que l’habilitation attaquée ne peut concerner que des aspects limités d’organisatio n interne. Même s’il fallait considérer que la disposition attaquée attribue à l’Autorité de protection des données des « pouvoirs » au sens du RGPD, chaque État membre peut, en application de l’article 58, paragraphe 6, du RGPD, prévoir, par la loi, que son autorit é de contrôle dispose de pouvoirs additionnels à ceux qui sont visés aux paragraphes 1 à 3 de la même disposition. Enfin, le Conseil des ministres allègue, en réponse à l’observation de la section de législation du Conseil d’État, que les règles de procédure qui ont une incidence sur les droits des citoyens ont été réintroduites dans la loi. A.6.3. En ce qui concerne les septième et huitième griefs, le Conseil des ministres rappelle, à titre principal, que la Cour n’est pas compétente pour contrôler la disposition attaquée à l’aune des articles 33, 37 et 108 de la Constitution. À titre subsidiaire, il affirme que l e RGPD exige l ’indépendance des autorités de contrôle et que la Cour de Justice de l’Union européenne (ci -après la Cour de justice) a jugé que cette exigence était compatible avec le principe démocratique, dès lors que ces autorités sont soumises à la loi, sous le contr ôle des juridictions compétentes (CJUE, grande chambre, 9 mars 2010, C -518/07, Commission européenne c. République fédérale d’Allemagne , ECLI:EU:C:2010:125, points 40 à 46). La Cour constitutionnelle a fa it sienne cette jurisprudence (arrêts nos 130/2010, ECLI:BE:GHCC:2010:ARR.130, B.5, et 71/2016, ECLI:BE:GHCC:2016:ARR.071, B.9.1 à B.9.2). Selon le Conseil des ministres, l’Autorité de protection des données est soumise à un contrôle parlementaire suffisant, d’une part, en ce qui concerne ses membres, ses agents et ses experts, comme il ressort de la réponse du Conseil des min istres aux deux premiers griefs, et, d’autre part, en ce qui concerne ses missions et son budget, tels qu’ils ressortent de l’article 27, § 1er, alinéa 3, et des articles 49, 51 et 54 de la loi du 3 décembre 2017. ECLI:BE:GHCC:2025:ARR. 119 5 A.6.4. En ce qui concerne le cinquième grief, le Conseil des ministres fait valoir que la partie requérante n’expose pas en quoi la disposition attaquée viole les articles 12 et 14 de la Constitution. A.6.5. En ce qui concerne le sixième grief, le Conseil des ministres soutient que le principe de légalité en matière d’emploi des langues n’est pas absolu, de sorte que le législateur peut fixer des règles -cadres que le pouvoir exécutif peut compléter. Selon le Conseil des ministre s, le cadre législatif est fixé aux articles 74 et 99 de la loi du 3 décembre 2017, à l’article 31 de la loi du 15 juin 1935 « concernant l’emploi des langues en matière judiciaire » et à l’article 41 des lois sur l’emploi des l angues en matière administrative, coordonnées le 18 juillet 1966 . L’Autorité de protection des données ne peut qu’adopter des règles complémentaires de portée limitée, dès lors que l’essentiel est réglé par les dispositions précitées. A.6.6. En ce qui concerne le neuvième grief, le Conseil des ministres fait valoir, à titre principal, que la Cour n’est pas compétente pour contrôler la disposition attaquée à l’aune de l’article 160 de la Constitution. À titre subsidiaire, le Conseil des ministres affirme que la partie requérante, en prétendant que le règlement d’ordre intérieur ne sera pas considéré comme produisant des effets à l’égard de tiers de sorte que l’Autorité de protection des données ne soum ettra pas celui -ci à la section de législation du Conseil d’État, critique non pas la constitutionnalité de la disposition attaquée mais une potentielle violation du titre II des lois sur le Conseil d’État, coordonnées le 12 janvier 1973 , qui encadre la co mpétence de la section de législation de ce dernier, ce qui ne relève pas de la compétence de la Cour. A.7.1. La partie requérante répond que, dans l e cadre d es septième et neuvième griefs, elle expose en quoi les articles 10 et 11 de la Constitution sont violés. Elle fait valoir qu’elle n’a invoqué la violation de l’article 34 de la Constitution qu’en combinaison avec les articles 10, 11 et 22 de celle -ci. La violation de cette disposition se déduit de la violation du droit de l’Union européenne. A.7.2. En ce qui c oncern e les premier et deuxième griefs, la partie requérante répond qu’elle soulève la violation des articles 53 et 54, paragraphe 1, du RGPD, lus en combinaison avec l’article 22 de la Constitution. Contrairement à ce qu’allègue le Conseil des ministres, ces dis positions n’évoquent pas la catégorie de s membres du comité de direction. L’article 54 du RGPD distingue les membres de l’autorité des agents de celle -ci. La disposition attaquée prévoit que l’Autorité de protection des données a dopte un règlement d’ordre intérieur qui détermine au moins la composition de l’Autorité. Il s’ensuit que ce règlement peut s’appliquer aux membres de l’Autorité, notamment aux membres du comité de direction. La partie requérante soutient que le règlement peut contenir des qualifications et des conditions d’éligibilité complémentaires, des règles et des procédures spécifiques à certains organes ou des conditions supplémentaires régissant les obligations du ou des membres, des incompatibilités relatives à leurs emplois et avantages, y compris après la fin de leur mandat, et des règles spécifiques régissant la cessation de l’emploi. En outre, il résulte de la lecture combinée des articles 7 et 11 de la loi du 3 décembre 2017 que l’Autorité de protection des données peut « décider de créer des organes internes supplémentaires ». La partie requérante estime dès lors que l’organisation interne de l’Autorité de protection des données pourrait largement échapper à la l oi. Le règlement d’ordre intérieur ne doit pas être approuvé par le Parlement et il n’est pas un acte administratif susceptible de faire l’objet d’un recours en annulation devant le Conseil d’État. La partie requérante considère qu e, le cas échéant, il appartiendra à la Cour d’interroger la Cour de justice sur la violation des articles 53 et 54 du RGPD. La partie requérante fait valoir qu’il ressort de l’article 124 du règlement d’ordre intérieur de l’Autorité de protection des données que les experts contribuent aux décisions de la Chambre contentieuse de cette Autorité en rédigeant des remarques finale s qui ne peuvent être discutées par les parties. Le règlement d’ordre intérieur comporte très peu de garanties quant à l’indépendance de ces experts. La partie requérante considère qu’en raison de l’intervention déterminante des experts, il y a lieu de considérer qu’ils sont des agents de l’autorité de contrôle au sens de l’article 54, paragraphe 1, f), du RGPD ou d’interroger la Cour de justice à ce propos. ECLI:BE:GHCC:2025:ARR. 119 6 A.7.3. En ce qui concerne les troisième et quatrième griefs, la partie requérante répond à l’exception d’irrecevabilité ratione temporis soulevée par le Conseil des ministres en faisant valoir que l’article 11 de la loi du 3 décembre 2017, dans sa version antérieure à l’entrée en vigueur de la disposition attaquée, n’habilitait le comité de direction ni à modifier l’organisation interne de l’Autorité de protection des données et sa composition, ni à prévoir des règles concernant la recevabilité d’une plai nte, d’un signalement ou d’une demande, ni à prévoir une procédure de médiation, le classement sans suite et les considérations d’opportunité, ni à déterminer la position du plaignant dans la procédure et les moyens de défense, ni à fixer les règles d’audition et de représentation des parties, les délais de la procédure et les règles concernant l’emploi des langues , ni à déterminer les règles relatives au respect des mesures imposées par l’Autorité de protection des données. Il n’habilitait pas davantage le comité de direction à déterminer les modalités d’établissement de la réserve d’experts, les profils des experts qui devaient en faire partie, les catégories de missions pour lesquelles ceux -ci pouvaient être désignés ponctuellement, les modalités de colla boration avec ces experts et leur rémunération. En outre, le règlement d’ordre intérieur était soumis à l’approbation de la Chambre des représentants et non à un simple visa de celle -ci. La partie requérante en conclut que les modifications apportées par la disposition attaquée à l’article 11 de la loi du 3 décembre 2017 sont manifestement substantielles, de sorte que le Conseil des ministres échoue à démontrer que les griefs porteraient sur le contenu de règles préexistantes. Elle fait valoir que la portée des règles que l’Autorité de protection des données peut adopter n’est pas limitée et que leur adoption n’est pas entourée des garanties prévues à l’article 58, paragraphe 4, du RGPD. La possibilité d’adopter des règles relatives au plaignant ne concerne en rien le fonctionnement interne de l’autorité. La partie requérante considère qu’il n’est pas établi que ces pouvoirs ont été confiés à l’Autorité de protection des données en application de l’article 58, paragraphe 6, du RGPD. En toute hypothèse, l’habilitation est contraire au principe de légalité e n droit belge. A.7.4. Concernant les septième et huitième griefs, la partie requérante affirme qu’elle ne remet pas en cause l’indépendance de l’Autorité de protection des données, mais le fait que l’habilitation attaquée porte sur la compétence d’adopter des règles ét rangères à l’organisation interne de celle -ci, qui affectent des tiers, à savoir des administrés et des justiciables. A.7.5. En ce qui concerne le cinquième grief, la partie requérante répond que la chambre contentieuse de l’Autorité de protection des données a la compétence d’infliger des amendes administratives. Elle considère qu’il s’agit d’une accusation en matière pénale au sens de la Convention européenne des droits de l’homme et qu’en conséquenc e, la loi doit respecter le principe de légalité en matière pénale. A.7.6. En ce qui concerne le sixième grief, la partie requérante répond que l’Autorité de protection des données n’est pas un organe du pouvoir exécutif et que la disposition attaquée ne saurait être qualifiée de « règle - cadre », dès lors qu’elle ne permet pas de déterminer quelle devrait être la teneur des règles complémentaires en matière d’emploi des langues qui pourraient être contenues dans le règlement d’ordre intérieur. A.7.7. En ce qui concerne le neuvième grief, la partie requérante répond que celui -ci ne porte pas sur l’application de la loi mais sur le fait que la loi autorise le règlement d’ordre intérieur à revêtir une portée réglementaire. A.8.1. En ce qui concerne les premier et deuxième griefs, le Conseil des ministres réplique qu’un règlement d’ordre intérieur est un acte attaquable devant le Conseil d’État. A.8.2. En ce qui concerne le cinquième grief, le Conseil des ministres réplique que la partie requérante se contente d’affirmer que les sanctions administratives prises par la chambre contentieuse sont des accusations en matière pénale, sans le démontrer. En toute hypothèse, le moyen n’est pas pris de la violation des articles 6 et 7 de la Convention européenne des droits de l’homme. En outre, la qualification d’accusation en mat ière pénale au sens de ces dispositions ne signifie pas que la sanction serai t de nature pénale au sens du droit constitutionnel belge. Enfin, à titre subsidiaire, le Conseil des ministres observe que le règlement d’ordre intérieur peut comprendre des règles relatives à la poursuite des infractions, mais qu’il ne peut pas prévoir de nouvelles peines ou de nouvelles ECLI:BE:GHCC:2025:ARR. 119 7 sanctions. Or, le principe de légalité en matière pénale n’oblige pas le législateur à régler lui -même chaque aspect de la poursuite des infractions. A.8.3. En ce qui concerne le neuvième grief, le Conseil des ministres réplique que la partie requérante a modifié la portée de celui -ci au stade du mémoire en réponse. Il considère également que les développements de la requête ne permettent pas d’identifier les catégories de personnes discriminées. Selon lui, le grief est par conséquent irrecevable. En ce qui concerne le deuxième moyen A.9. Le deuxième moyen est pris de la violation, par l’article 11, § 1er, 3°, de la loi du 3 décembre 2017 et par l’article 26 de la loi du 3 décembre 2017, tel qu’il a été remplacé par l’article 20 de la loi du 25 décembre 2023, des articles 10, 11 et 22 de la Constitution, lus en combinaison ou non avec les articles 7, 8, 20, 21, 41 et 51, paragraphe 1, et 52, paragraphe 1, de la Charte, avec l’article 288, deuxième alinéa, du TFUE, avec les articles 36, 52, paragraphe 4, 57, 58 et 96 du RGPD et avec le s principes de la primauté et de l’effectivité du droit de l’Union européenne. Le moyen est subdivisé en sept griefs. A.10.1. Par un premier grief, la partie requérante soutient que la compétence, attribuée à l’Autorité de protection des données, de fixer les délais de la procédure n’est pas prévue aux articles 57 et 58 du RGPD, qui fixent de manière exhaustive les missions et les po uvoirs des autorités de contrôle. Elle en déduit que ces dispositions sont violées et que, partant, l’article 288, deuxième alinéa, du TFUE, les articles 7, 8 et 51, paragraphe 1, de la Charte et l’article 34 de la Constitution le sont également. Elle cons idère par ailleurs que la disposition attaquée n’est pas compatible avec le principe de légalité qui découle de l’article 22 de la Constitution et de l’article 8 de la Convention européenne des droits de l’homme. A.10.2. Dans un deuxième grief, la partie requérante fait valoir que la réduction des délais dans lesquels l’Autorité de protection des données doit rendre son avis porte une atteinte disproportionnée tant à l’exercice effectif de ses missions par cette Autorité, en particulier de sa mission consultative visée à l’article 58, paragraphe 3, b), du RGPD, qu’à ses ressources techniques, au sens des articles 36 et 52, paragraphe 4, du même règlement. Selon elle, il s’ensuit que les dispositions attaquées port ent atteinte à la substance du droit à la protection de la vie privée et à la protection des données. Elle considère que cette atteinte n’est pas valablement motivée au sens de l’article 52, paragraphe 1, de la Charte. La partie requérante considère que l’ alignement des délais de communication de l’avis de l’Autorité de protection des données sur ceux du Conseil d’État empêchera l’Autorité de protection des données d’exercer pleinement sa compétence de contrôle préalable. Elle fait sienne la critique émise par cette Autorité, qui a fait valoir qu’un projet normatif doit être soumis à son avis avant d’être soumis à celui du Conseil d’État, de sorte que les deux procédures ne peuvent pas se dérouler en parallèle. En outre, les lois sur le Conseil d’État, coordonnées le 12 janvier 1973, permettent à ce dernier de limiter la portée de son avis en cas de réduction des délais, tandis que l’Autorité de protection des données ne peut pas limiter la portée de son avis, sauf à méconnaître le RGPD. L’Autorité de protect ion des données a également fait valoir qu’actuellement, le délai de 60 jours ne lui permet plus d’effectuer un contrôle in concreto , de sorte qu’en cas de réduction supplémentaire des délais, le droit belge violerait l’article 52, paragraphe 4, du RGPD. A.10.3. Dans ses troisième et quatrième griefs, la partie requérante affirme que l’article 26 de la loi du 3 décembre 2017, en ne prévoyant pas de manière transversale que le délai de communication de l’avis de l’Autorité de protection des données ne pre nd cours qu’à partir de la réception par cette autorité de l’ensemble des informations visées à l’article 36, paragraphe 3, a) à d), et f), du RGPD, et plus précisément à partir de la délivrance d’un accusé de réception électronique de demande d’avis compl ète, viole l’article 36, paragraphe s 3 et 4, du RGPD et porte atteinte à la substance du droit à la protection de la vie privée et à la protection des données. Ce faisant, l’article 26 de la loi du 3 décembre 2017, qui prévoit uniquement cette possibilité dans l’hypothèse où l’Autorité de pr otection des données doit rendre son avis dans un délai de 30 jours, fait naître une différence de traitement discriminatoire. La partie requérante estime que, le cas échéant, il appartiendra à la Cour d’interroger la Co ur de justice à titre préjudiciel à cet égard. A.10.4. Par ses cinquième et sixième griefs, la partie requérante considère que, d’une part, la possibilité de se dispenser de l’avis de l’Autorité de protection des données lorsque la demande d’avis porte sur un projet d’arrêté réglementaire et que l’Autorité de prot ection des données n’a pas communiqué d’avis dans les délais visés à ECLI:BE:GHCC:2025:ARR. 119 8 l’article 26, § 1er, alinéa 2, de la loi du 3 décembre 2017 et, d’autre part, l’impossibilité de solliciter ex post un avis de l’Autorité de protection des données après l’adoption urgente d’un arrêté réglementaire ne sont pas compatibles avec les articles 36, 52, paragraphe 4, 57 et 58 du RGPD et portent atteinte à la substance du droit à la protection de la vie privé e et à la protection des données à caractère personnel. Selon la partie requérante, ces questions se distinguent de celle de savoir si l’acte peut être adopté et produire ses effets avant que l’avis préalable soit rendu. Le RGPD permet tout au plus que l’avis soit rendu après que l’arrêté réglementaire a été pris. La partie requérante estime qu’il appartiendra le cas échéant à la Cour d’interro ger la Cour de justice à titre préjudiciel à cet égard. A.10.5. Par son septième grief, la partie requérante fait valoir que les dispositions attaquées entraînent un recul significatif de la protection des droits des personnes concernées qui résultait de la législation antérieure. Ce recul significatif est incompatible ave c l’obligation de standstill qui se déduit du droit de 1’Union européenne, en particulier de la Charte, lue en combinaison avec l’article 96 du RGPD, qui, selon l’Autorité de protection des données, contient également une obligation de stands till (APD, Chambre contentieuse, Décision quant au fond 61/2023 du 24 mai 2023). La partie requérante estime qu’il appartiendra le cas échéant à la Cour d’interroger la Cour de justice à titre préjudiciel à cet égard. A.11.1. En ce qui concerne le premier grief, le Conseil des ministres renvoie à sa réponse aux troisième et quatrième griefs du premier moyen. A.11.2. En ce qui concerne le deuxième grief , le Conseil des ministres renvoie , à titre principal, à ses observations relatives à la recevabilité du recours. À titre subsidiaire, il fait valoir que la réduction des délais dont dispose l’Autorité de protection des données pour donner son avis ne saurait être incompatible avec l’article 36 du RGPD, dès lors que les délais visés à l’article 26 de la loi du 3 décembre 2017 ne concernent pas les avis visés dans cet article du RGPD. En outre, la modification des délais répond à un objectif légitime, celui d’harmoniser ces délais avec ceux dont dispose la section de législation du Conseil d’État pour rendre son avis, afin d’accélérer les travaux législatifs. De surcroît, plusieurs hypothèses de prolongation du délai sont prévues. Il n’appartient pas à la Cour constitutionnelle de contrôler l’application de la loi. Enfin, la loi du 3 décembre 2017 prévoit que le cadre d u personnel est rempli en fonction de la mesure de la charge de travail, laquelle est notamment évaluée au regard de la capacité de l’Autorité à rendre ses avis dans les délais prévus à l’article 26 de cette même loi. A.11.3. En ce qui concerne les troisième et quatrième griefs, le Conseil des ministres affirme que la partie requérante n’identifie pas en vertu de quelle règle de droit le législateur aurait l’obligation de fixer dans la loi le point de départ du délai de communication des avis. L’ article 36 du RGPD ne contient pas une telle règle. En outre, aucun article du RGPD n’impose aux autorités de contrôle de communiquer un accusé de réception de demande d’avis complète. A.11.4. En ce qui concerne les cinquième et sixième griefs, le Conseil des ministres considère, à titre principal, que le recours est irrecevable ratione temporis , dès lors que la règle attaquée était déjà prévue dans l’article 26, § 2, de la loi du 3 décembre 2017 dès l’adoption de cette loi. À titre subsidiaire, le Conseil des ministres fait valoir que la consultation préalable n’équivaut pas à une autorisation préalable, de sorte qu’il est parfaitement concevable que le responsable du traitement qui commencerait le traitement sans disposer d ’un avis au terme des délais impartis n’enfreigne pas le RGPD. A.11.5. En ce qui concerne le septième grief, le Conseil des ministres allègue qu’il ne ressort pas clairement de la requête pour quelle raison l’article 96 du RGPD est invoqué. En toute hypothèse, cette disposition ne contient pas une obligation de standstill et la décision n° 61/2023 de l’Autorité de protection des données précitée ne reconnaît pas l’existence d’une telle obligation. A.12.1. La partie requérante répond en précisant que le deuxième grief ne concerne pas la compétence de rendre un avis à la suite d’une analyse d’impact identifiant un traitement à risque élevé, visée à l’article 36 du RGPD. La partie requérante renvoie à sa requête et rappelle que la loi du 25 décembre 2023 a été adoptée en dépit ECLI:BE:GHCC:2025:ARR. 119 9 d’un avis très critique de l’Autorité de protection des données. La partie requérante estime également que le Conseil des ministres ne répond pas à l’argument relatif à l’absence d ’une justification de la mesure, et que la référence à la volonté d’accélérer le travail législatif relève de la pétition de principe. A.12.2. En ce qui concerne le troisième grief, la partie requérante répond que cette disposition interdit dorénavant à l’Autorité de protection des données de moduler les délais visés à l’article 26 de la loi du 3 décembre 2017. Elle considère que, pour donner effet utile à l’articl e 36, paragraphe 3, du RGPD, il convient de s’assurer que l’Autorité de protection des données a reçu les informations lui permettant de rendre son avis en connaissance de cause, ce qui n’est pas le cas lorsque le délai pour re ndre l’avis prend cour s à partir de la date de saisine de l’Autorité de protection des données, indépendamment du caractère complet du dossier de demande. En ce qui concerne le quatrième grief, la partie requérante affirme qu’il ressort du libellé du grief qu’il porte sur la violation des articles 10, 11 et 22 de la Constitution et que les catégories de personnes discriminées y sont clairement identifiées. Elle considère que l e Conseil des ministres ne répond pas à ce grief. A.12.3. En ce qui concerne les cinquième et sixième griefs, la partie requérante répond que la loi attaquée a modifié la portée de l’article 26, § 2, de la loi du 3 décembre 2017. C’est également ce qui ressort de la modification du premier paragraphe de cette disposition. En toute hypothèse, même si le contenu de la disposition était resté similaire, l’actuel article 26, § 2, de la loi du 3 décembre 2017 résulte rait d’une nouvelle manifestation de la volonté du législateur, de sorte que le recours est re cevable. La partie requérante allègue que le fait que le responsable du traitement ne viole pas le RGPD en commençant le traitement sans disposer d’un avis au terme des délais impartis ne signifie pas que le législateur belge peut prévoir une dispense d’avis. La partie requérante suggère d’interroger la Cour de Justice à titre préjudiciel à cet égard. A.12.4. En ce qui concerne le septième grief, la partie requérante répond que le fait qu’il existe une incertitude quant à l’existence d’une obligation de standstill résultant des dispositions invoquées au moyen ne signifie pas que le moyen est obscur. La partie requérante invite la Cour à interroger la Cour de Justice à titre préjudiciel. A.13.1. En ce qui concerne le deuxième grief, le Conseil des ministres réplique que le délai pour remettre un avis n’est pas imposé par le droit de l’Union européenne. Le texte législatif est clair et précis. Il fait valoir que l’objectif consistant à veiller au bon avancement des t ravaux législatifs relève de l’intérêt général. Selon lui, les enjeux liés à la cybersécurité et à la protection des données sensibles exigent une prise de décision rapide du législateur. Le délai de 30 jours laissé à l’Autorit é de protection des données garantit l’équilibre entre ces impératifs, d’une part, et la volonté de préserver l’indépendance et la capacité de contrôle de cette Autorité, d’autre part. A.13.2. En ce qui concerne les cinquième et sixième griefs, le Conseil des ministres réplique que l’absence d’un mécanisme d’avis ex post de l’Autorité de protection des données ne viole pas le RGPD. La protection des droits des personnes concernées est garantie par la possibilité de solliciter un contrôle juridictionnel après l’adoption du texte normatif et par l’application d’une éventuel le sanction en cas de violation du RGPD. Le Conseil des ministres fait également valoir que des mécanismes alternatifs tels que le droit d’accès, le droit de rectification et le droit de suppression des données ou encore le droit de porter plainte devant l’Autorité de protection des données existent. Enfin, il souligne que la possibilité d’une dispense d’avis existe aussi dans le cadre de l’avis du Conseil d’État. En ce qui concerne le troisième moyen A.14. Le troisième moyen est pris de la violation, par l’article 23, § 3, de la loi du 3 décembre 2017, tel qu’il a été inséré par l’article 18, alinéa 1er, 4°, de la loi du 25 décembre 2023, des articles 10, 11 et 22 de la Constitution, lus en combinais on ou non avec les articles 33 et 34 de celle -ci, avec les articles 7, 8, 20, 21, 41 et 51, paragraphe 1, de la Charte, avec l’article 288, deuxième alinéa, du TFUE, avec les articles 51, 52, 54, 55, 57 et 58 du RGPD et avec les principes de la primauté et de l’effectivité du droit de l’Union européenne. A.15. Selon la partie requérante, l’attribution au nouveau service d’autorisation et d’avis de l’Autorité de protection de données de la compétence d’autoriser l’accès aux métadonnées de communication relatives au trafic ECLI:BE:GHCC:2025:ARR. 119 10 ou à la localisation n’est pas compatible avec ses missions de contrôle et elle porte une atteinte substantielle à son indépendance, et, partant, au droit à la protection de la vie privée et à la protection des données. La partie requérante se réfère à l’avis rendu par l’Autorité de protection des données sur l’avant -projet de loi qui a donné lieu à la loi du 25 décembre 2023 ( Doc. parl ., Chambre, 2021 -2022, DOC 55-2793/001, pp. 261 et suiv.), dans lequel cette autorité considère que le législateur, en lui attribuant cette compétence, crée un risque que son impartialité soit remise en cause lorsqu’une personne dépose plainte contre un responsable du traitement qui dispos e d’une autorisation préalable octroyée par l’Autorit é de protection des données. La partie requérante fait valoir que l’objectif consistant à organiser une meilleure ligne de démarcation entre les organes internes de l’Autorité de protection des données ne permet pas de justifier l’atteinte à l’impartialité et à l’indépendance de cett e Autorité. A.16. Le Conseil des ministres fait valoir que le moyen est irrecevable en ce qu’il est pris de la violation des articles 10 et 11 de la Constitution, dès lors que la partie requérante n’identifie ni les catégories de personnes comparées ni la différence de traitement qu’elle soulève. Il rappelle que l’article 58, paragraphe 6, du RGPD permet aux États membres d’attribuer des compétences supplémentaires aux autorités de contrôle. En outre, l’Autorité de protection des données, elle -même, a considéré que l’accès aux métadonnées doit êtr e subordonné au contrôle préalable d’une juridiction ou d’une autorité administrative indépendante (APD, avis n° 108/2021 du 28 juin 2021 « concernant un avant -projet de loi relatif à la collecte et à la conservation des données d’identification, de trafic et de localisation dans le secteur des communications électroniques et à leur accès par les autorités et un projet d’arrêté royal modifiant l’arrêté royal du 19 septembre 2013 portant exécution de l’article 126 de la loi du 13 juin 2005 relative aux commu nications électroniques », § 155). Le Conseil des ministres soutient qu’en créant un nouveau service d’autorisation et d’avis et en traçant une ligne de démarcation claire entre les compétences de chaque organe de l’Autorité de protection des données, le législateur garantit l’indépendance et l’impartialité de cette Autorité. A.17. La partie requérante répond que la Cour de Justice a jugé qu’il découle de l’exigence d’indépendance des autorités de contrôle que, « lors de l’exercice de leurs missions, les autorités de contrôle doivent agir de manière objective et impartiale. À cet effet, elles doivent être à l’abri de toute influence extérieure » (CJUE, grande chambre, 9 mars 2010, Commission européenne c . République fédérale d’Allemagne , précité , point 25). A.18. Le Conseil des ministres réplique que les différents organes de l’Autorité de protection des données sont soumis au principe de la séparation des fonctions, de sorte que ceux -ci fonctionnent de manière autonome et qu’ils sont indépendants les uns des autres. En outre, le raisonnement de la Cour de justice dans l’arrêt C -518/07, précité, n’est pas transposable en l’espèce, dès lors que l’Autorité de protection des données ne subit aucune influence extérieure. - B - Quant à la loi attaquée et à la portée du recours en annulation B.1.1. Le recours en annulation concerne la loi du 25 décembre 2023 « modifiant la loi du 3 décembre 2017 portant création de l’Autorité de protection des données » (ci-après : la loi du 25 décembre 2023). ECLI:BE:GHCC:2025:ARR. 119 11 B.1.2. La loi du 3 décembre 2017 a été adoptée en exécution du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à l a libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) » (ci -après : le RGPD), qui impose aux États membres de l’Union européenne d’instituer des autorités de contrôle chargées de la surveil lance de l’application de ce règlement. Cette loi réforme la Commission pour la protection de la vie privée afin d’en faire une autorité de contrôle au sens du RGPD, à savoir l’« Autorité de protection des données » (Doc. parl. , Chambre, 2016 -2017, DOC 54-2648/001, pp. 3 et 5) . Selon les travaux préparatoires de la loi du 3 décembre 2017 : « les compétences de l’autorité de protection des données dont dispose la présente loi peuvent se résumer en quatre catégories, par ordre de priorité : 1) L’information et le conseil aux individus, aux responsables de traitement (et leurs sous - traitants) et aux décideurs politiques pour faire respecter ou pour respecter la législation en matière de protection des données. 2) L’accompagnement des responsables de traitement (et leurs sous -traitants) pour une utilisation maximale des outils de prévention prévus dans le RGPD tels que la certification, l’adhésion à des codes de conduite, le recours à un Officier de Protection des données ... 3) Le contrôle des responsables de traitement (et leurs sous -traitants) par un service d’inspection spécialement formé. 4) La sanction, dont le spectre large – allant de l’avertissement à la sanction financière – permettra de distinguer les situations et de leur réserver un traitement équitable et proportionné à la gravité des faits » (ibid., p. 4). B.1.3. Les règles relatives au traitement des données à caractère personnel sont quant à elles contenues dans la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel » (ci-après : la loi du 30 juillet 2018). Cette loi a fait l’objet d’une évaluation en 2021, conformément à son article 286. Ladite évaluation portait également sur les missions de l’Autorité de protection des données. Elle a donné lieu à plusieurs recommandations de réforme. En parallèle, la Cou r des comptes a réalisé un audit du fonctionnement de cette Autorité, suggérant plusieurs améliorations. Le projet de ECLI:BE:GHCC:2025:ARR. 119 12 loi qui a donné lieu à la loi du 25 décembre 2023 s’inscrivait dans le prolongement de ces recommandations ( Doc. parl ., Chambre, 2021 -2022, DOC 55-2793/001, pp. 3-5). La loi du 25 décembre 2023 a pour objectif de renforcer le fonctionnement, l’indépendance, l’approche pragmatique et l’expertise sectorielle de l’Autorité de protection des données ( ibid., p. 5). B.2.1. Dans sa requête, la partie requérante mentionne que le recours porte à titre principal sur la loi du 25 décembre 2023, à titre subsidiaire sur les articles 10, 18 et 20 de cette loi et à titre infiniment subsidiaire sur tout ou partie des disposit ions modifiées ou remplacées par ces articles. B.2.2. Il ressort des moyens développés par la partie requérante que ses griefs ne portent que sur l’article 11 de la loi du 3 décembre 2017, tel qu’il a été remplacé par l’article 10 de la loi du 25 décembre 2023, sur l’article 23, § 3, de la loi du 3 décembre 2017, tel qu’il a été inséré par l’article 18, alinéa 1er, 4°, de la loi du 25 décembre 2023 et sur l’article 26, § 1er, alinéa 2, et § 2, de la loi du 3 décembre 2017, tel qu’il a été remplacé par l’article 20 de la loi du 25 décembre 2023. La Cour limite son examen à ces trois dispositions. Quant à l’intérêt B.3. Le Conseil des ministres conteste l’intérêt de la partie requérante en ce que le recours est dirigé contre l’article 20 de la loi du 25 décembre 2023. B.4.1. Lorsqu’une association sans but lucratif qui n’invoque pas son intérêt personnel agit devant la Cour, il est requis que son but statutaire soit d’une nature particulière et, dès lors, distinct de l’intérêt général; qu’elle défende un intérêt collectif; que la norme attaquée soit susceptible d’affecter son but; qu’il n’apparaisse pas, enfin, que ce but n’est pas ou n’est plus réellement poursuivi. ECLI:BE:GHCC:2025:ARR. 119 13 B.4.2. Selon ses statuts, l’ASBL « Ligue des droits humains », partie requérante, a pour objet de « combattre l’injustice et toute atteinte arbitraire aux droits d’un individu ou d’une collectivité. Elle défend les principes d’égalité, de liberté, de solidarité et d’humanisme sur lesquels se fondent les sociétés démocratiques qui ont ét é proclamés notamment par la Constitution belge et la [ ...] Convention européenne pour la sauvegarde des droits de l’Homme [...] ». B.4.3. L’Autorité de protection des données a été créée pour garantir le droit au respect de la vie privée et le droit à la protection des données à caractère personnel. Toute atteinte au fonctionnement de cette Autorité peut entraîner une atteinte aux dr oits fondamentaux précités, de sorte que les dispositions attaquées sont susceptibles d’affecter le but statutaire de la partie requérante. B.4.4. La partie requérante justifie d’un intérêt au recours. Par ailleurs, lorsqu’une partie requérante a un intérêt à l’annulation des dispositions attaquées, elle ne doit pas, en outre, justifier d’un intérêt à chacun des moyens. Quant au fond En ce qui concerne les normes de référence B.5. La partie requérante invoque la violation de différentes dispositions nationales et internationales. B.6.1. Les articles 10 et 11 de la Constitution ont une portée générale. Ils interdisent toute discrimination, quelle qu’en soit l’origine : les règles constitutionnelles de l’égalité et de la non - discrimination sont applicables à l’égard de tous les dro its et de toutes les libertés, en ce compris ceux résultant des conventions internationales liant la Belgique. ECLI:BE:GHCC:2025:ARR. 119 14 B.6.2. Les articles 20 et 21 de la Charte des droits fondamentaux de l’Union européenne (ci-après : la Charte), qui garantissent le principe d’égalité et de non -discrimination, n’ajoutent rien, en l’espèce, aux articles 10 et 11 de la Constitution. B.7.1. L’article 22 de la Constitution dispose : « Chacun a droit au respect de sa vie privée et familiale, sauf dans les cas et conditions fixés par la loi. La loi, le décret ou la règle visée à l’article 134 garantissent la protection de ce droit ». B.7.2. L’article 8 de la Convention européenne des droits de l’homme dispose : « 1. Toute personne a droit au respect de sa vie privée et familiale, de son do micile et de sa correspondance. 2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien -être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui ». B.7.3. L’article 7 de la Charte dispose : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ». L’article 8 de la Charte dispose : « 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la conc ernant et d’en obtenir la rectification. 3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante ». ECLI:BE:GHCC:2025:ARR. 119 15 B.7.4. Le droit au respect de la vie privée a une portée étendue et englobe notamment la protection des données à caractère personnel et des informations personnelles (CEDH, 13 décembre 2022, Florindo de Almeida Vasconcelos Gramaxo c. Portugal , ECLI:CE:ECHR:2022:1213JUD002696816, §§ 95 -97) En outre, l’article 8 de la Charte garantit explicitement le droit à la protection des données à caractère personnel. Les articles 7 et 8 de la Charte ont, en ce qui concerne le traitement des données à caractère personnel, une portée analogue à celle de l’article 8 de la Convention européenne des droits de l’homme (CJUE, grande chambre, 9 novembre 2010, C -92/09 et C -93/09, Volker und Markus Schecke GbR et Hartmut Eifert , ECLI:EU:C:2010:662 ) et de l’article 22 de la Constitution. Ces dispositions forment un ensemble indissociable. B.7.5. Le droit au respect de la vie privée et le droit à la protection des données à caractère personnel que garantissent l’article 22 de la Constitution et l’article 8 de la Convention européenne des droits de l’homme ne sont pas absolus. Ils n’excluent pas une ingérence d’une autorité publique dans l’exercice du droit au respect de la vie privée, mais exigent que cette ingérence soit prévue par une disposition législative suffisamment précise, qu’elle réponde à un besoin social impérieux dans une société démocratique et qu’elle soit proportionnée à l’objectif légitime qu’elle poursuit. Ces dispositions engendrent de surcroît l’obligation positive, pour l’autorité publique, de prendre des mesures qui assurent le respect effectif de la vie p rivée, même dans la sphère des relations entre les individus (CEDH, 27 octobre 1994, Kroon e .a. c. Pays -Bas, ECLI:CE:ECHR:1994:1027JUD001853591 , § 31; grande chambre, 12 novembre 2013, Söderman c. Suède , ECLI:CE:ECHR:2013:1112JUD000578608, § 78). B.7.6. L’article 52, paragraphe 1, de la Charte dispose : « Toute limitation de l’exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont ECLI:BE:GHCC:2025:ARR. 119 16 nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui ». B.7.7. Le RGPD « établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données » (article 1er, paragraphe 1). Dans le système mis en place par le RGPD, un rôle important est dévolu aux autorités de contrôle. Une autorité de contrôle est une « autorité publique indépendante qui est instituée par un État membre » (article 4, 21 )) et qui est chargée de surveiller l’application du RGPD « afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union » (article 51, paragraphe 1). L’Autorité de protect ion des données est une autorité de contrôle au sens du RGPD et de l’article 8, paragraphe 3, de la Charte. B.7.8. En ce qui concerne le droit à la protection des données à caractère personnel, la Cour contrôle la compatibilité des dispositions attaquées avec les articles 10, 11 et 22 de la Constitution, lus en combinaison avec l’article 8 de la Convention européenne des droits de l’homme, avec les articles 7 et 8 de la Charte et avec les dispositions pertinentes du RGPD. En revanche, l’article 34 de la Constitution, l’article 288, deuxième alinéa, du Traité sur le fonctionnement de l’Union européenne (ci -après : le TFUE) et les principes de la primauté et de l’effectivité du droit de l’Union européenne n’ajoutent en l’espèce rien aux articles 7 et 8 de la Charte ni au RGPD, lus en combinaison avec les normes de référence sur la base desquelles la Cour exerce son contrôle . La Cour n’en tient pas compte dans son examen. B.8.1. L’article 30 de la Constitution dispose : « L’emploi des langues usitées en Belgique est facultatif; il ne peut être réglé que par la loi, et seulement pour les actes de l’autorité publique et pour les affaires judiciaires ». ECLI:BE:GHCC:2025:ARR. 119 17 B.8.2. L’article 30 de la Constitution réserve au législateur le pouvoir de régler l’emploi des langues pour les actes de l’autorité publique et pour les affaires judiciaires. Il garantit qu’une assemblée délibérante démocratiquement élue décide en cette matière. Bien que l’article 30 de la Constitution réserve ainsi la compétence normative relative à cette matière au législateur – qui doit en régler les éléments essentiels –, cet article n’exclut pas d’attribuer un pouvoir d’exécution limité. Une telle délégation n’est pas contraire au principe de légalité, pour autant que l’habilitation soit définie de manière suffisamment précise et porte sur l’exécution de mesures dont les éléments essentiels sont préalablement fixés par le législateur. B.9. L’article 41 de la Charte, qui prévoit notamment que toute personne a le droit de voir ses affaires traitées impartialement par les institutions, organes et organismes de l ’Union, n’est pas applicable aux autorités administratives des États membres de l’Union européenne (CJUE, 5 novembre 2014, C -166/13, Mukarubega , ECLI:EU:C:2014:2336, point 44). De surcroît, dans ce cadre, la partie requérante n’invoque pas un principe général de droit de l’Union. L’article 51, paragraphe 1, de la Charte définit le champ d’application de celle -ci. La requête ne permet pas de comprendre de quelle manière cette disposition pourrait être violée. Il s’ensuit que la Cour n’examine pas les dispositions attaquées à l’aune de ces dispositions du droit de l’Union européenne, lues en combinaison avec les normes de référence visées aux moyens. En ce qui concerne le premier moyen B.10.1. Le premier moyen est pris de la violation, par l’article 11 de la loi du 3 décembre 2017 tel qu’il a été remplacé par l’article 10 de la loi du 25 décembre 2023, des articles 10, 11, 12, alinéa 2, 14, 22 et 30 de la Constitution, lus isolément ou en combinaison avec les articles 37, 108 et 160 de celle -ci, avec les articles 7 et 8 de la Charte et avec les articles 51, 52, 53, 54, 55, 57 et 58 du RGPD. ECLI:BE:GHCC:2025:ARR. 119 18 Le moyen est subdivisé en neuf griefs. B.10.2. Pour satisfaire aux exigences de l’article 6 de la loi spéciale du 6 janvier 1989 sur la Cour constitutionnelle, les moyens de la requête doivent faire connaître, parmi les règles dont la Cour garantit le respect, celles qui seraient violées ainsi que les dispositions qui violeraient ces règles et exposer en quoi ces règles auraient été transgressées par ces dispositions. La requête n’expose pas en quoi la disposition attaquée violerait les articles 51 et 55 du RGPD, de sorte que la Cour n’en tient pas compte dans son examen. B.10.3. Les griefs portent sur l’article 11 de la loi du 3 décembre 2017, tel qu’il a été remplacé par l’article 10 de la loi du 25 décembre 2023, qui dispose : « § 1er. L’Autorité de protection des données adopte un règlement d’ordre intérieur couvrant au moins les domaines suivants : 1° sans préjudice des dispositions de la présente loi, l’organisation interne et la composition de l’Autorité de protection des données. Conformément à l’article 7, l’organisation interne et la composition reflètent au moins les missions et les pouvoirs de l’Autorité de protection des données mentionnés aux articles 57 et 58 du Règlement 2016/679; 2° les modalités pratiques du fonctionnement de l’Autorité de protection des données et en particulier les missions attribuées aux organes internes ainsi que les règles à observer quant au déroulement des réunions du comité de direction; 3° sans préjudice des dispositions de la présente loi, des règles de procédure complémentaires dans le cadre de l’exercice des missions et des pouvoirs en application des articles 57 et 58 du Règlement 2016/679. Le règlement d’ordre intérieur peut comprendre, entre autres, des règles concernant la recevabilité d’une plainte, d’un signalement ou d’une demande, une procédure de médiation, le classement sans suite et les considérations d’opportunité, la position du plaignant dans la procédure, les moyens de défense, l’audition, la représentation des parties, les délais d e la procédure, les règles concernant l’emploi des langues et le respect des mesures imposées par l’Autorité de protection des données; 4° sans préjudice de l’article 18/1, les modalités d’établissement de la réserve d’experts , les profils des experts qui doivent en faire partie, les catégories de missions pour lesquelles ils peuvent être désignés ponctuellement ainsi que les modalités de collaboration avec et la rémunération de ces experts; ECLI:BE:GHCC:2025:ARR. 119 19 5° les règles concernant la délégation des pouvoirs des membres du comité de direction ; 6° les canaux et les procédures pour le signalement interne et pour le suivi mentionnés à l’article 46, § 3; 7° les procédures internes d’accès au Registre national, comme mentionné à l’article 47. § 2. Le règlement d’ordre intérieur prévoit que le service d’inspection et la chambre contentieuse agissent de manière strictement séparée les uns des autres. § 3. Le comité de direction transmet le règlement d’ordre intérieur ainsi que toute modification ultérieure du règlement à la Chambre des représentants. Le règlement d’ordre intérieur ainsi que toute modification ultérieure est publié dans le Moniteur belge ». Il ressort de l’article 9, § 1er, alinéa 1er, 7°, de la loi du 3 décembre 2017 que le règlement d’ordre intérieur est adopté par le comité de direction. B.10.4. La partie requérante base une partie de son argumentation sur l’avis de la section de législation du Conseil d’État ainsi que sur l’avis de l’Autorité de protection des données relatif à l’avant -projet de loi qui a donné lieu à la loi du 25 décem bre 2023. Dans son avis, la section de législation du Conseil d’État a observé, en référence à la jurisprudence de la Cour, que le législateur peut et même doit conférer à une autorité indépendante un pouvoir réglementaire lorsque le droit européen attribue un tel pouvoir à titre exclusif aux « autorités de régulation nationales ». Elle considère que tel n’est en revanche pas le cas lorsque le droit européen prévoit l’intervention des États membres ou de l’autorité compétente, ou lorsqu’il laisse à l’État membre le choix de confier une compétence à « l’autorité de régulation » ou aux autorités compétentes. Elle affirme que le RGPD ne prévoit pas qu’un pouvoir réglementaire doit être attribué aux autorités de contrôle dans les domaines visés à l’article 11, § 1er, 3°, 4° et 6° , de la loi du 3 décembre 2017 (Doc. parl ., Chambre, 2021 - 2022, DOC 55-2793/001, pp. 71-72). La section de législation du Conseil d’État a observé : ECLI:BE:GHCC:2025:ARR. 119 20 « Il y a lieu de constater que les ‘ domaines ’ que l’avant -projet de loi examiné confie au règlement d’ordre intérieur de l’Autorité de protection des données ne relèvent pas toujours de la stricte organisation interne de cette dernière ou ne sont ni d’o rdre technique ni portant sur des questions de détail. Ainsi, aucune règle restreignant des droits du citoyen ou lui imposant des obligations ne peut faire l’objet d’un tel règlement. Or, par essence, les règles de procédure (notamment celles imposant la transmission de la constatation d’une infraction au pro cureur du Roi), les règles encadrant les lanceurs d’alerte ou celles fixant le statut des experts ont un tel objet. Elles doivent donc être adoptées en leurs éléments essentiels par le législateur, ce qui signifie que les 3°, 4° et 6° de l’article 11, § 1er, en projet de la loi du 3 décembre 2017 (article 10 de l’avant -projet) doivent être omis ou fondamentalement revus et que l’abrogation prévue à l’article 54 de l’avant -projet doit être reconsidérée » (ibid., p 72). En ce qui c oncern e les règles de procédure, l’Autorité de protection des données a rendu l’avis suivant : « V. DISPOSITIONS PROCÉDURALES ESSENTIELLES DEVANT FIGURER DANS LA LOI 35. L’APD, notamment le Service d’Inspection et la Chambre Contentieuse, a davantage besoin de plus de procédures dans la loi formelle que de moins de procédures. L’APD demande dès lors de reconsidérer les fondements de l’Avant -projet consistant à suppri mer les dispositions procédurales visant à protéger les citoyens et les responsables du traitement. En voici les raisons : [...] • Au profit des parties (surtout des plaignants et des responsables du traitement), concernant les principes de légalité et de sécurité juridique, la prévisibilité et les normes essentielles dans une loi formelle, voir les articles 47 de la Charte des dr oits fondamentaux de l’Union européenne et 6 de la CEDH. Les exigences minimales doivent figurer dans la loi proprement dite (‘ fair trial ’). 36. À cet égard, l’APD propose d’au moins régir les aspects procéduraux suivants dans la LCA. 37. Premièrement , une disposition liée à l’emploi des langues dans le cadre de procédures devant l’APD. L’actuel article 57 de la LCA est très général et cela donne lieu, dans la pratique, à des problèmes en ce qui concerne des procédures multilingues devant le Service d’ Inspection et la Chambre Contentieuse. En outre, il règne une imprécision et un désaccord concernant l’applicabilité d’une autre législation linguistique à la Chambre Contentieuse. 38. Deuxièmement , des dispositions liées au filtrage et à la déclaration de recevabilité des plaintes : l’APD renvoie à cet égard aux propositions de modification de la LCA introduites précédemment. Les conditions de recevabilité pour les plaintes reprises dans l’actuelle LCA (art. 58-60) sont très limitées et impliquent que de très nombreuses plaintes passent au travers ECLI:BE:GHCC:2025:ARR. 119 21 de ce filtre et sont transmises à la Chambre Contentieuse pour y être traitées, laquelle devra les classer sans suite ultérieurement. Il conviendrait à cet effet : • d’ajouter plusieurs conditions de recevabilité supplémentaires dans la LCA; • de prévoir une compétence plus large de filtrage et de faciliter le règlement (possibilité de convertir la plainte en médiation, adresser des mises en demeure, proposer des arrangements, etc.) pour le Service de Première Ligne ou - de préférence - pour le Service d’Inspection (voir la proposition de réforme de la procédure de plaintes telle que transmise précédemment par l’APD). [...] 40. Quatrièmement , préciser le rôle du plaignant dans la procédure auprès de l’APD. Actuellement, le plaignant a un rôle très important et très actif dans la procédure auprès de l’APD, ce qui complique la fluidité du traitement des dossiers. 41. Cinquièmement , la Chambre Contentieuse doit pouvoir apporter des considérations d’opportunité dans la décision. Cela doit être établi dans la loi afin d’éviter les discussions » (ibid., pp. 270-271). Concernant ces observations, l’exposé des motifs mentionne : « En réponse à cet argument, il convient de préciser que les dispositions de l’article 11, § 1, points 3°, 4° et 6°, visent uniquement à donner à l’APD une pleine autonomie pour déterminer les modalités d’exécution concernant les pouvoirs accordés par le droit européen à une autorité de contrôle indépendante au sens du Règlement 2016/679. L’APD n’a d’ailleurs soulevé aucune objection dans son avis au regard de l’article 11, § 1er, 4° et 6°; uniquement en ce qui concerne la suppression des règles de procédu re de fonctionnement du service d’inspection et de la chambre contentieuse. Le Conseil d’État n’est donc pas suivi quant à l’élaboration des modalités de la réserve d’experts pour laquelle la loi organique prévoit bien un cadre légal suffisant. Dans ce cadre, il faut cependant donner à l’APD l’autonomie, d’une part, de s’organise r pour pouvoir soumettre une proposition de réserve à la Chambre des représentants et, d’autre part, de déterminer les modalités de coopération avec les experts de telle sorte qu’elle réponde aux besoins que l’APD peut elle -même estimer. L’APD confirme d’a illeurs explicitement ce point de vue dans son avis. [...] Le Conseil d’État et l’APD (en partie en ce qui concerne l’APD) sont toutefois suivis dans leur critique de la suppression des règles de procédure. Selon le Conseil d’État, la loi doit contenir les règles qui restreignent les droits des citoyens ou leur im posent des obligations. Les règles de procédure spécifiques qui ont un impact sur les droits des citoyens ont donc été réintroduites. ECLI:BE:GHCC:2025:ARR. 119 22 Afin de répondre aux remarques de l’APD concernant une éventuelle interférence avec son fonctionnement indépendant, le règlement d’ordre intérieur sera désormais envoyé à la Chambre des représentants pour information plutôt que pour approbation » (ibid., pp. 13-14). Premier et deuxième griefs B.11. Les premier et deuxième griefs portent sur l’article 11, § 1er, 1° et 4°, de la loi du 3 décembre 2017 en ce qu’il habilite l’Autorité de protection des données à déterminer, d’une part, les modalités d’établissement de la réserve d’experts, les pro fils des experts qui la composent, les catégories de missions pour lesquelles ils peuvent être désignés ponctuellement, les modalités de collaboration avec ces experts et leur rémunération, et, d’autre part, sa propre composition. La Cour examine si cette habilitation est compatible avec l’article 22 de la Constitution, lu en combinaison avec l’article 8 de la Convention européenne des droits de l’homme, avec les articles 7 et 8 de la Charte et avec les articles 53 et 54, paragraph e 1, du RGPD. B.12. Le recours aux experts est encadré, notamment, par l’article 18/1 de la loi du 3 décembre 2017, qui dispose : « § 1er. Nonobstant le fait que l’Autorité de protection des données s’appuiera de préférence sur l’expertise interne pour accomplir ses tâches et exercer ses pouvoirs, elle peut faire appel à des experts. Elle établit une réserve d’experts à cette fin qui pe uvent être déployés pour des missions ponctuelles. Les experts agissent à titre personnel, ne font pas partie de l’Autorité de protection des données et ne peuvent ni la représenter ni la lier lors de l’exécution de leurs missions. § 2. La désignation d’experts doit permettre à l’Autorité de protection des données, entre autres de : 1° suivre de près et inclure dans ses activités les développements sociaux, éthiques, économiques et technologiques affectant la protection des données à caractère personnel, et 2° faire appel à une expertise technique et non purement juridique, complémentaire à sa propre expertise interne, en appui de l’exercice de ses missions légales. ECLI:BE:GHCC:2025:ARR. 119 23 § 3. La réserve d’experts visée au paragraphe 1er comprend une liste de vingt experts au maximum qui est soumise à l’approbation de la Chambre des représentants sur proposition du comité de direction. Cette réserve est valable pour deux ans et peut être prolongée, sur proposition du comité de direction. Deux tiers au maximum des personnes composant la réserve d’experts sont du même sexe. La réserve d’experts est rendue publique sur le site web de l’Autorité de protection des données et comprend pour chaque expert ses domaines d’expertise. En plus de cette réserve d’experts, l’Autorité de protection des données peut désigner des experts supplémentaires pour des missions ponctuelles dans la mesure où : - il y a une nécessité qui est dûment justifiée et; - l’expertise n’est pas disponible au sein de l’Autorité de protection des données ou dans la réserve d’experts. La motivation pour la désignation d’un expert supplémentaire en dehors de la réserve est transmise à la Chambre des représentants. § 4. Tous les experts doivent remplir les conditions énoncées à l’article 38, 1° à 6°. § 5. Les experts donnent leur avis par écrit, sur la base d’une mission d’avis bien définie, et peuvent être entendus par l’Autorité de protection des données si nécessaire. Ils ne participent pas aux délibérations de l’Autorité de protection des données ni aux discussions sur les projets d’avis et recommandations. Les personnes dont l’activité pourrait bénéficier directement ou indirectement des décisions ou prises de positions que peut prendre l’Autorité de protection des données ou ayant un intérêt direct ou indirect dans certains dossiers, ou dans lesquels leurs parents ou alliés jusqu’au troisième degré ont un intérêt personnel ou direct, ne peuvent pas être nommées en tant qu’experts en ce qui concerne ces dossiers. Les experts présentent, avant d’accepter la mission ponctuelle, une déclaration sur l’honneur indiquant qu’ils ne sont soumis à aucun conflit d’intérêts et qu’ils remplissent les conditions visées à l’article 38, 1° à 6°. Les déclarations sont conservées par le secrétariat de l’Autorité de protection des données et elles sont placées en ligne. En cas de conflit d’intérêts, l’Autorité de protection des données constate qu’un expert ne peut pas être consulté. Si des circonstances nouvelles susceptibles de générer un conflit d’intérêt [sic] ou d’impliquer le non -respect d’une ou plusieurs conditions visées à l’article 38, 1° à 6°, les experts sont tenus d’en informer la Chambre sans délai. ECLI:BE:GHCC:2025:ARR. 119 24 § 6. Sans préjudice des paragraphe [s] 1er et 3, l’Autorité de protection des données peut solliciter l’analyse de tout organisme public ou privé. Ces analyses sont rendues au nom de l’institution sollicitée et ne sont pas contraignantes ». Il ressort de la lecture combinée de cette disposition et de l’article 38, 1° à 6°, de la même loi que les experts doivent être citoyens d’un État membre de l’Union européenne, jouir de leurs droits civils et politiques, ne pas être membres du Parlement européen, des chambres législatives, d’un parlement de communauté ou de région, ni être employés par ces parlements, ne pas être membres d’un gouvernement fédéral, d’un gouvernement de communauté ou de région, ne pas exercer une fonction dans une cellule stratégique ministérielle, ne pas être mandataires publics, administrateurs publics ou gestionnaires publics au sens de l’article 2 de la loi du 6 janvier 2014 « portant création d’une Commission fédérale de déontologie et contenant le Code de déontologie des mandataires publics ». B.13.1. L’article 22 de la Constitution réserve au législateur compétent le pouvoir de fixer dans quels cas et à quelles conditions il peut être porté atteinte au droit au respect de la vie privée. Il garantit ainsi à tout citoyen qu’aucune ingérence dan s l’exercice de ce droit ne peut avoir lieu qu’en vertu de règles adoptées par une assemblée délibérante, démocratiquement élue. Il réserve également au législateur la mission de garantir la protection de ce droit. Une délégation à une autre autorité n’est toutefois pas contraire au principe de légalité, pour autant que l’habilitation soit définie de manière suffisamment précise et qu’elle porte sur l’exécution de mesures dont les éléments essentiels ont été fixés préalablement par le législateur. B.13.2. L’article 53 du RGPD dispose : « 1. Les États membres prévoient que chacun des membres de leurs autorités de contrôle est nommé selon une procédure transparente par : - leur parlement; - leur gouvernement; - leur chef d’État; ou - un organisme indépendant chargé de procéder à la nomination en vertu du droit de l’État membre. ECLI:BE:GHCC:2025:ARR. 119 25 2. Chaque membre a les qualifications, l’expérience et les compétences nécessaires, notamment dans le domaine de la protection des données à caractère personnel, pour l’exercice de ses fonctions et de ses pouvoirs. 3. Les fonctions d’un membre prennent fin à l’échéance de son mandat, en cas de démission ou de mise à la retraite d’office, conformément au droit de l’État membre concerné. 4. Un membre ne peut être démis de ses fonctions que s’il a commis une faute grave ou s’il ne remplit plus les conditions nécessaires à l’exercice de ses fonctions ». B.13.3. L’article 54, paragraphe 1, du RGPD dispose : « Chaque État membre prévoit, par la loi, tous les éléments suivants : a) la création de chaque autorité de contrôle; b) les qualifications et les conditions d’éligibilité requises pour être nommé membre de chaque autorité de contrôle; c) les règles et les procédures pour la nomination du ou des membres de chaque autorité de contrôle; d) la durée du mandat du ou des membres de chaque autorité de contrôle, qui ne peut être inférieure à quatre ans, sauf pour le premier mandat après le 24 mai 2016, dont une partie peut être d’une durée plus courte lorsque cela est nécessaire pour protéger l ’indépendance de l’autorité de contrôle au moyen d’une procédure de nominations échelonnées; e) le caractère renouvelable ou non du mandat du ou des membres de chaque autorité de contrôle et, si c’est le cas, le nombre de mandats; f) les conditions régissant les obligations du ou des membres et des agents de chaque autorité de contrôle, les interdictions d’activités, d’emplois et d’avantages incompatibles avec celles -ci, y compris après la fin de leur mandat, et les règles régissant la cessation de l’emploi ». B.13.4. Le considérant 121 du RGPD mentionne : « Les conditions générales applicables au(x) membre(s) de l’autorité de contrôle devraient être fixées par la loi dans chaque État membre et devraient prévoir notamment que ces membres sont nommés, selon une procédure transparente, par le parlement, le go uvernement ou le chef d’État de cet État membre, sur proposition du gouvernement ou d’un membre du gouvernement, ou du parlement ou d’une chambre du parlement, ou par un organisme indépendant qui en a été chargé en vertu du droit d’un État membre. Afin de garantir l’indépendance de l’autorité de contrôle, il convient que le membre ou les membres de celle -ci agissent avec intégrité, s’abstiennent de tout acte incompatible avec leurs fonctions et n’exercent, pendant la durée de leur mandat, aucune act ivité professionnelle incompatible, rémunérée ou non. Chaque autorité ECLI:BE:GHCC:2025:ARR. 119 26 de contrôle devrait disposer de ses propres agents, choisis par elle -même ou un organisme indépendant établi par le droit d’un État membre, qui devraient être placés sous les ordres exclusifs du membre ou des membres de l’autorité de contrôle ». B.13.5. L’article 52, paragraphe 4, du RGPD impose aux États membres de veiller « à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières [...] nécessaires à l’exercice effectif de ses missions et de ses pouvoirs ». Le paragraphe 5 du même article dispose : « Chaque État membre veille à ce que chaque autorité de contrôle choisisse et dispose de ses propres agents, qui sont placés sous les ordres exclusifs du ou des membres de l’autorité de contrôle concernée ». B.14.1. Comme le relève le Conseil des ministres, le RGPD distingue les membres de l’autorité de contrôle des agents de celle -ci. En Belgique, les membres de l’autorité de contrôle au sens du RGPD sont les membres du comité de direction. Pour être qualifiée d’« agent de l’autorité de contrôle », une personne doit être placée « sous les ordres exclusifs du ou des membres de l’autorit é de contrôle concernée » (article 52, paragraphe 5, précité). Il ressort de l’article 18/1, §§ 1er et 5, de la loi du 3 décembre 2017 que les experts, visés à l’article 11 de cette loi , ne sont ni des membres ni des agents de l’Autorité de protection des données. En effet, les experts « agissent à titre personnel, ne font pas partie de l’Autorité de protection des données et ne peuvent ni la représenter ni la lier lors de l’exécution de l eurs missions » (article 18/1, § 1er, de la loi du 3 décembre 2017). Ils sont déployés pour des missions d’avis ponctuelles et bien définies. Ils ne participent pas aux délibérations de l’Autorité de protection des données ni aux discussions sur les projet s d’avis et recommandations (article 18/1, § 5, de la loi du 3 décembre 2017). Ils ne sont donc pas des membres du personnel placés exclusivement sous les ordres des membres du comité de direction. ECLI:BE:GHCC:2025:ARR. 119 27 Il s’ensuit que les exigences des articles 53 et 54, paragraphe 1, du RGPD ne sont pas applicables aux experts. B.14.2. Dès lors que l’interprétation correcte du RGPD s’impose avec une telle évidence qu’elle ne laisse place à aucun doute raisonnable (CJ CE, 6 octobre 1982, C -283/81, CILFIT , ECLI: EU:C:1982:335, point 21 ; CJUE grande chambre, 6 octobre 2021, C -561/19, Consorzio Italian Management et Catania Multiservizi SpA , ECLI:EU:C:2021:799, points 39-49), la question préjudicielle relative au champ d’application de l’article 54, paragraphe 1, f), du RGPD, qui est suggérée par la partie requérante, ne doit pas êtr e posée à la Cour de justice. B.14.3. Les experts font toutefois partie des « ressources humaines » dont l’Autorité de protection des données doit disposer en application de l’article 52, paragraphe 4, du RGPD afin que son indépendance soit garantie. Le législateur a pu considérer qu’afin de garantir cette indépendance, il était souhaitable d’attribuer à l’Autorité de protection des données une certaine autonomie quant à la désignation des experts, à leur mission, aux modalités de collaboration et à le ur rémunération, de sorte que l’attribution d’un pouvoir réglementaire à l’Autorité de protection des données peut se justifier dans le cadre de la mise en œuvre du RGPD. L’autonomie dont dispose l’Autorité de protection des données quant à ces éléments pe ut être considérée comme un accessoire de l’autonomie dont elle doit disposer quant à la désignation et à la gestion de son personnel. En outre, dès lors qu’en ce qui concerne les experts, le règlement d’ordre intérieur traite d’ éléments de portée limitée que l’Autorité de protection des données est la mieux placée pour déterminer, que les experts ne disposent pas du pouvoir de prendre des décisions susceptibles de lier les tiers et que leur désignation et les missions qui peuvent leur être confiées sont encadrées par l’article 18/1 de la loi du 3 décembre 2017, l’habilitation attaquée ne viole pas le principe de légalité contenu dans l’article 22 de la Constitution. B.15.1. Les griefs portent également sur l’article 11, § 1er, 1°, de la loi du 3 décembre 2017 en ce qu’il prévoit que l’Autorité de protection des données peut déterminer sa propre composition dans son règlement d’ordre intérieur. ECLI:BE:GHCC:2025:ARR. 119 28 B.15.2. Cette compétence est attribuée à l’Autorité de protection des données « sans préjudice des dispositions de la loi », lesquelles fixent les règles relatives à la composition du comité de direction et à la désignation de ses membres (articles 8 et 3 6 à 42), ainsi que plusieurs règles relatives aux organes internes qui composent l’Autorité de protection des données (article 7) et à la composition du secrétariat général (article 21), du service d’inspection (articles 29 et 30) et de la chambre contenti euse (articles 33, 34, 36, § 4). En outre, l e cadre du personnel, le statut et le mode de recrutement du personnel sont fixés par la Chambre des représentants, sur proposition de l’Autorité de protection des données (article 46, § 1er). Le règlement d’ordre intérieur ne peut déroger à ces dispositions. Lorsque le législateur délègue une compétence à une autorité, il faut supposer, sauf indication s contraire s, qu’il entend exclusivement habiliter le délégué à faire de son pouvoir un usage conforme à la Constitution et au droit européen. Il s’ensuit que le comité de direction, qui est compétent pour adopter le règlement d’ordre intérieur (article 9, § 1er, alinéa 1er, 7°), n’est pas habilité à déterminer des règles complémentaires relatives à sa propre composition en violation des article s 53 et 54 du RGPD ni, de manière plus générale, à violer ce règlement. La Cour n’est pas compétente pour se prononcer sur la manière dont le comité de direction de l’Autorité de protection des données exerce les habilitations qui lui ont été conférées par le législateur. C’est au juge compétent qu’il appartiendra de vérifier si l’Autorité de protection des données a exercé ses compétences d’une manière qui ne viole pas les dispositions visées au moyen. Il s’ensuit que la disposition en cause ne viole pas les normes de référence visées au moyen. Eu égard aux développements qui précèdent, l’interprétation correcte du RGPD s’impose avec une telle évidence qu’elle ne laisse place à aucun doute raisonnable. La question préjudicielle relative à l’interprétation des articles 53 et 54 du RGPD, suggérée par la partie requérante, ne doit pas être p osée à la Cour de justice. B.16. Le premier moyen, en ce qui concerne les deux premiers griefs, n’est pas fondé. ECLI:BE:GHCC:2025:ARR. 119 29 Troisième à septième griefs B.17. Les griefs portent sur l’article 11, § 1er, 3°, de la loi du 3 décembre 2017 en ce qu’il habilite l’Autorité de protection des données à déterminer les règles complémentaires relatives à la recevabilité d’une plainte, d’un signalement ou d’une dema nde, à une procédure de médiation, au classement sans suite et aux considérations d’opportunité, à la position du plaignant dans la procédure, aux moyens de défense, à l’audition, à la représentation de parties, aux délais de la procédure, aux règles conce rnant l’emploi des langues et au respect des mesures imposées par l’autorité de protection des données. Dans ses troisième et quatrième griefs, la partie requérante soutient en substance, d’une part, que la disposition attaquée viole l’article 22 de la Constitution, lu en combinaison avec son article 34 et avec les articles 57 et 58 du RGPD, dès lors que ce s dernières dispositions ne prévoient pas que les autorités de contrôle disposent des pouvoirs réglementaires que la disposition attaquée attribue à l’Autorité de protection des données, et, d’autre part, qu’elle viole le principe de légalité contenu dans l’article 22 de la Constitution, lu en combinaison avec l’article 8 de la Convention européenne des droits de l’homme. Dans un sixième grief, la partie requérante fait valoir que l’habilitation, conférée à l’Autorité de protection des données, pour déterminer des règles complémentaires relatives à l’emploi des langues viole le principe de légalité contenu dans l’article 30 de la Constitution. Dans son septième grief, la partie requérante allègue que la disposition attaquée prive de manière discriminatoire les administrés et les justiciables concernés de la garantie de l’intervention d’une assemblée délibérative démocratiquement élue ou de l’int ervention d’autorités administratives politiquement responsables devant pareille assemblée. Enfin, dans un cinquième grief, la partie requérante affirme que l’habilitation, conférée à l’Autorité de protection des données, pour déterminer des règles complémentaires relatives à « la recevabilité d’une plainte » ou « d’un signalement », au « classement sans suite et [aux] ECLI:BE:GHCC:2025:ARR. 119 30 considérations d’opportunité », aux « moyens de défense, [à] l’audition, [à] la représentation des parties [et aux] délais de la procédure », viole le principe de légalité en matière pénale contenu dans les articles 12, alinéa 2, et 14 de la Constitution. B.18.1. Le Conseil des ministres considère que l’autonomie de l’Autorité de protection des données pour établir son fonctionnement interne dans son règlement d’ordre intérieur a été instaurée , dès l’origine, par l’article 11 de la loi du 3 décembre 2017. Dans la mesure où le moyen est dirigé contre le contenu des règles adoptées en 2017, les griefs seraient irrecevables ratione temporis . B.18.2. L’article 11 de la loi du 3 décembre 2017, dans sa version ayant précédé l’entrée en vigueur de l’article 10 de la loi du 25 décembre 2023, disposait : « Le comité de direction établit le règlement d’ordre intérieur de l’Autorité de protection des données dans les deux mois de son installation. Ce règlement contient les règles essentielles relatives au fonctionnement des organes ainsi que les délais dans lesquels les informations, avis et approbations visés à l’article 20, § 1er, doivent être fournis. Le comité de direction soumet le règlement d’ordre intérieur ainsi que les modifications ultérieures au règlement pour approbation à la Chambre des représentants ». B.18.3. Cette disposition n’a pas habilité l’Autorité de protection des données à prévoir des règles relatives aux matières visées à l’article 11, § 1er, 3°, de la loi du 3 décembre 2017, tel qu’il a été remplacé par l’article 10 de la loi du 25 décembre 2023, de sorte que la disp osition attaquée crée une nouvelle règle de droit. B.18.4. L’exception d’irrecevabilité est rejetée. B.19. Dans un premier temps, la Cour examine la disposition attaquée à l’aune de l’article 22 de la Constitution, lu en combinaison avec les articles 57 et 58 du RGPD (troisième grief), et, dans un second temps, à l’aune du principe de légalité contenu da ns l’article 22 de la Constitution (quatrième grief) et dans l’article 30 de la Constitution (cinquième grief). ECLI:BE:GHCC:2025:ARR. 119 31 B.20. L’article 57 du RGPD définit les missions de l’autorité de contrôle, sans préjudice des autres missions prévues par le RGPD. L’article 58 détermine les pouvoirs dont doit disposer l’autorité de contrôle. Contrairement à ce qu’allègue la partie requérante, ces articles ne définissent pas de manière exhaustive les missions et les pouvoirs de l’autorité de contrôle. L’article 58, paragraphe 6, prévoit expressément que l’État membre peut attribuer des pouvoirs additionnels à l’autorité de contrôle. B.21. Il s’ensuit que le premier moyen, en ce qui concerne le troisième grief, n’est pas fondé. B.22. Toutefois, si l’attribution d’une compétence réglementaire à l’Autorité de protection des données est compatible avec le RGPD, elle doit également l’être avec les exigences du droit constitutionnel belge. B.23. En ce que, aux termes de l’article 11, § 1er, 3°, de la loi du 3 décembre 2017, il peut contenir des règles de procédure complémentaires concernant « la recevabilité d’une plainte, d’un signalement ou d’une demande, une procédure de médiation, le classement sans suite et les considérations d’opportunité, la position du plaignant dans la procédure, les moyens de défense, l’audition, la représentation des parties, les délais de la procédure, les règles concernant l’emploi des langues et le respect des mesures imposées par l’Autorité de protection des données », le règlement d’ordre intérieur est susceptible de lier les tiers. Il ne se limite pas à fixer des règles d’organisation ou de fonctionnement interne. Il fixe les conditions dans lesquelles ces tiers peuvent revendiquer devant l’Autorité de protection des données la protection de leur droit au respect de la vie privée et des règles relatives à l’emploi des langues dans les procédures devant cette institutio n. Par conséquent, la loi doit elle -même fixer les éléments essentiels de ces règles, comme le relève la section de législation du Conseil d’État. En outre, l’attribution de compétence s à l’Autorité de protection des données doit être suffisamment précise. De surcroît, sa portée doit être limitée, étant donné que l’Autorité de protection de données est une autorité administrative autonome. Cette conclusion n’est pas remise en cause par le fait que la loi du 3 décembre 2017 exécute le RGPD, dès lors que ni les articles 57 et 58 ni aucune autre disposition de ce dernier ECLI:BE:GHCC:2025:ARR. 119 32 n’imposent aux États membres de confier aux autorités de contrôle une compétence réglementaire relative aux matières précitées. L’article 58, paragraphe 6, du RGPD se borne à autoriser les États membres à attribuer des pouvoirs additionnels aux autorités d e contrôle, sans l’imposer. B.24. Il convient dès lors d’examiner si le législateur a fixé les éléments essentiels des règles visées à l’article 11, § 1er, 3°, de la loi du 3 décembre 2017 et si l’habilitation que confère cette disposition est suffisamment précise. B.25.1. La loi du 3 décembre 2017 fixe les éléments essentiels concernant : - la recevabilité d’une demande d’autorisation : l’article 23, § 3, alinéa 2, fixe de manière exhaustive les conditions de recevabilité de la demande et l’article 22, § 1er, rend le service de première ligne compétent pour examiner la recevabilité; - l’audition et la représentation des parties : les articles 66, § 1er, 2°, 72, 74, 75 déterminent à quel stade de la procédure devant le service d’inspection des auditions peuvent avoir lieu, les personnes qui peuvent être entendues, la présence de témoins, d’experts, des services de police, l’emploi des langues, le déroulement de l’audition, les droits de la personne entendue, la possibilité de se faire assister d’un conseil et les modes de preuve admissibles , et l’article 99 fixe le stade de la procédure auquel l’audition peut avoir lieu, la possibilité de l’organiser d’initiative ou à la demande des parties, la possibilité pour celles -ci de se faire assister ou représenter par un avocat et l’emploi des langues; et - les délais de la procédure : les articles 23, § 3, alinéa 3, 70, alinéas 2 et 3, 71, alinéa 2, 75, § 1er, 5°, 90, alinéa 2, 91, § 3, 95, § 3, 100, § 2, 102, alinéa 2, et 108, § 1er, alinéa 1er, § 3, alinéa 1er, fixent la durée des différents délais applicables à la procédure ainsi que le moment auquel ceux -ci prennent cours. En outre, en vertu de la disposition attaquée, l’Autorité de protection des données peut uniquement instaurer des règles « complémentaires » dans ces matières. En d’autres termes, les règles contenues dans le règlement d’ordre intérieur doivent s’articule r directement avec celles ECLI:BE:GHCC:2025:ARR. 119 33 qui sont prévues par la loi, de manière à ce que les dispositifs mis en place par celle -ci puissent fonctionner adéquatement. Il en résulte, entre autres, que l’Autorité de protection des données ne peut pas fixer des conditions supplémentaires de recevabi lité des demandes d’autorisation qui n’ont pas de lien avec celles qui sont prévues par la loi ni restreindre les hypothèses dans lesquelles les parties peuvent demander une audition devant la chambre contentieuse. Elle ne peut pas davantage fixer de nouve aux délais ni modifier le moment auquel les délais visés dans la loi prennent cours. B.25.2. En revanche, la loi du 3 décembre 2017 ne fixe pas l’ensemble des éléments essentiels concernant : - la recevabilité d’un signalement : hormis l’article 11, § 1er, 3°, aucune autre disposition de la loi ne porte sur le signalement; - la procédure de médiation : l’article 22, § 1er, 2°, l’évoque sans donner de plus amples précisions ; - le classement sans suite et les considérations d’opportunité : les articles 91, § 2 , 94, § 1er, alinéa 2, 6°, 95, § 1er, 3°, et 100, § 1er, 1°, se bornent à confier à l’inspecteur général et à la chambre contentieuse la compétence de classer sans suite une affaire ou d’y réserver d’autres suites; - la position du plaignant dans la procédure et les moyens de défense : l’article 75 décrit uniquement les moyens de défense au cours de l’audition devant le service d’inspection, l’article 98, alinéa 1er, se limite à évoquer la possibilité de transmettre à la chambre contentieuse des conclusions, de demander à être entendu et d’ajouter les pièces utiles au dossier , et l’article 99, alinéa 2, se réfère aux « moyens de défense » dans le cadre de l’audition devant cette chambre, sans plus de précision; et - le respect des mesures imposées par l’Autorité de protection des données : l’article 108, § 1er, alinéa 2, se borne à préciser que la décision de la chambre contentieuse est exécutoire par provision. ECLI:BE:GHCC:2025:ARR. 119 34 Dès lors que l’assise qu’elle peut trouver dans la loi est lacunaire, la compétence de l’Autorité de protection des données n’est pas limitée à l’exécution des éléments essentiels des règles concernées , et l’habilitation, qui lui est conférée, pour adopter les règles complémentaires à celles qui sont contenues dans la loi n’est pas suffisamment précise ni n’encadre adéquatement son pouvoir réglementaire. Il s’ensuit que cette institution dispose en la matière d’une marge de manœuvre à ce point importante que la disposition attaquée viole le principe de légalité contenu dans l’article 22 de la Constitution. B.25.3. En ce qui concern e la recevabilité des plaintes, l’article 60 de la loi du 3 décembre 2017, tel qu’il a été remplacé par l’article 43 de la loi du 25 décembre 2023, dispose : « Le service de première ligne examine la recevabilité de la plainte, entre autres sur base des critères de recevabilité suivants : - la plainte est rédigée dans l’une des langues nationales; - la plainte contient un exposé des faits ainsi que les indications nécessaires pour identifier le traitement sur lequel elle porte; - la plainte relève de la compétence de l’Autorité de protection des données; - l’intérêt procédural du plaignant; - la preuve du pouvoir de représentation si la plainte est déposée au nom et pour le compte d’une autre personne; - les coordonnées du responsable du traitement; - l’exercice préalable des droits lorsque le plaignant s’adresse d’abord au responsable du traitement, si possible; - l’existence d’autres procédures en cours pour les mêmes faits, le cas échéant. Le service de première ligne peut inviter le plaignant ou le demandeur à préciser sa plainte ou sa requête ». Les travaux préparatoires mentionnent : « Les conditions de recevabilité prévues par la loi actuelle sont très limitées et entraînent le transfert d’un nombre très élevé de plaintes à la chambre contentieuse pour examen. Il est donc jugé opportun d’inclure dans la loi des conditions d’admissibilit é supplémentaires non exhaustives » (Doc. parl ., Chambre, 2021 -2022, DOC 55-2793/002, p. 14). ECLI:BE:GHCC:2025:ARR. 119 35 Il s’ensuit que les conditions de recevabilité des plaintes ne sont pas fixées de manière exhaustive par la loi du 3 décembre 2017, de sorte que l’Autorité de protection des données pourrait faire usage de l’habilitation que lui confère l’article 11, § 1er, 3°, de cette loi pour fixer des conditions de recevabilité supplémentaires et, de ce fait, restreindre l’accès des titulaires de droits fondamentaux à la procédure devant elle. Le législateur n’a dès lors pas réglé lui -même les éléments essentiels des règles en matière de recevabilité des plaintes . B.25.4.1. En ce qui concerne les règles relatives à l’emploi des langues , l’article 57 de la loi du 3 décembre 2017 , qui porte tant sur la procédure devant le service d’inspection que sur la procédure devant la chambre contentieuse, dispose : « L’Autorité de protection des données emploie la langue dans laquelle la procédure est menée selon les besoins propres à l’affaire ». L’exposé des motifs de cette disposition mentionne : « Cet article fixe la règle relative à la langue de procédure pour l’exercice des compétences de recherche et de contrôle de l’Autorité de protection des données » (Doc. parl. , Chambre, 2016 -2017, DOC 54-2648/001, p. 39). L’article 60, alinéa 1er, premier tiret, charge le service de première ligne de vérifier que la plainte est rédigée dans l’une des langues nationales. L’article 74, alinéa 2, prévoit que l’audition devant le service d’inspection est conforme à l’article 31 de la loi du 15 juin 1935 « concernant l’emploi des langues en matière judiciaire ». B.25.4.2. Par son arrêt n° 144/2024 du 28 novembre 2024 (ECLI:BE:GHCC:2024:ARR.144) , la Cour a jugé : « B.8.1. En vertu de l’article 57 de la loi du 3 décembre 2017, l’Autorité de protection des données dispose, en ce qui concerne la détermination et la modification de la langue de la procédure, d’un pouvoir discrétionnaire qui n’est limité que par un cri tère, formulé en des termes généraux, selon lequel la langue est déterminée en fonction des besoins propres à l’affaire. Ce critère n’est précisé ni délimité nulle part . Par ailleurs, il n’est pas davantage précisé comment l’Autorité de protection des donn ées doit mettre en balance différents besoins ou intérêts les uns avec les autres. La disposition en cause confère ainsi à l’Autorité de protection des données une importante marge de manœuvre en matière d’emploi des langues dans les procédures devant le s ervice d’inspection et la Chambre contentieuse. ECLI:BE:GHCC:2025:ARR. 119 36 B.8.2. L’Autorité de protection des données a, au demeurant, effectivement élaboré une politique linguistique. Le 7 janvier 2021, elle a publié une ‘ Note relative à la politique linguistique de la Chambre Contentieuse ’, dont la nécessité est justifiée comme suit : ‘ L’article 57 de la loi du 3 décembre 2017 portant création de l’Autorité de protection des données (ci -après : loi APD) reprend une règle générale quant à l’emploi des langues et définit ainsi la politique linguistique propre aux divers services de l’AP D. L’article de loi proprement dit dispose que : “ L’Autorité de protection des données emploie la langue dans laquelle la procédure est menée selon les besoins propres à l’affaire ”. Il s’agit d’une règle de nature très générale qui ne garantit dès lors pas suffisamment de clarté ni de sécurité juridique dans la pratique. Pour cette raison, la présente note définit plus clairement la politique linguistique de la Chambre Contentieuse ’. B.8.3. Il résulte de ce qui précède que, dans l’article 57 de la loi du 3 décembre 2017, le législateur n’a pas lui -même réglé les éléments essentiels. Cette disposition n’est dès lors pas compatible avec l’article 30 de la Constitution ». B.25.4.3. Cet arrêt a été rendu en réponse à une question préjudicielle qui portait sur une affaire dans laquelle la loi du 3 décembre 2017 était applicable dans sa version antérieure à l’entrée en vigueur de la loi du 25 décembre 2023. Toutefois, les articles 57, 60, alinéa 1er, premier tiret, et 74, alinéa 2, de la loi du 3 décembre 2017 n’ont pas été modifiés par la loi du 25 décembre 2023. Cette loi a modifié l’article 99, alinéa 3, de la loi du 3 décembre 2017, qui dispose désormais que l es débats lors de l’audition devant la chambre contentieuse « ont lieu dans la langue de la procédure, telle que choisie par les parties, dans les limites fixées par l’article 41 des lois coordonnées du 18 juillet 1966 sur l’emploi des langues en matière a dministrative ». En outre, l’article 11, § 1er, 3°, attaqué, tel qu’il a été modifié par la loi du 25 décembre 2023 habilite l’Autorité de protection des données à fixer les règles de procédure complémentaires en matière d’emploi des langues. L’argumentation de la Cour concernant l’article 57 de la loi du 3 décembre 2017 vaut également pour la disposition attaquée, dès lors que l’article 99, alinéa 3, de cette loi se limite à régler la question de l’emploi des langues dans le cadre de l’auditi on devant la chambre contentieuse. ECLI:BE:GHCC:2025:ARR. 119 37 Il ressort des considérations qui précèdent que la loi du 3 décembre 2017, telle qu’elle a été modifiée par la loi du 25 décembre 2023, ne fixe pas les éléments essentiels des règles relatives à l’emploi des langues dans le cadre de la procédure de plaint e devant l’Autorité de protection des données. B.25.5. Contrairement à ce qu’allègue le Conseil des ministres, les éléments essentiels des règles relatives aux matières visées en B.25.2 à B.25.4 ne sont pas davantage fixées dans le RGPD. B.26. Il s’ensuit que le premier m oyen, en ce qui concerne les quatrième et sixième griefs, est fondé , en ce que l’article 11, § 1er, 3°, de la loi du 3 décembre 2017 habilite l’Autorité de protection des données à adopter un règlement d’ordre intérieur qui porte sur la recevabilité d’une plainte ou d’un signalement, sur la procédure de médiation, sur le classement sans suite et les considérations d’opportunité, sur la position du plaignant dans la procédure et les moyens de défense, sur l’emploi des langues et le respect des mesures imposées par l’Autorité de protection des données . B.27. Les cinquième et septième griefs ne peuvent aboutir à une annulation plus étendue de la disposition attaquée, de sorte qu’ils ne doivent pas être examinés. B.28.1. Étant donné que la violation constatée porte uniquement sur l’article 22 de la Constitution et non sur les normes du droit de l’Union européenne invoquées au moyen, il appartient à la Cour, en vertu de l’article 8, alinéa 3, de la loi spéciale du 6 janvier 1989 sur la Cour constitutionnelle, d’indiquer ceux des effets des dispositions annulées qui doivent être considérés comme définitifs ou maintenus provisoir ement pour le délai qu’elle détermine. B.28.2. Le principe de légalité a notamment pour objectif de garantir la sécurité juridique. Afin de déterminer s’il convient de maintenir les effets des dispositions annulées, la Cour vérifie notamment si une annulation non modulée, fondée sur la violat ion du principe de légalité, aurait pour effet de porter une atteinte déraisonnable à la sécurité juridique. ECLI:BE:GHCC:2025:ARR. 119 38 B.28.3. Le 25 avril 2024, le comité de direction de l’Autorité de protection des données a approuvé le règlement d’ordre intérieur, en exécution de l’article 11, § 1er, 3°, de la loi du 3 décembre 2017, tel qu’il a été remplacé par l’article 10 de la loi du 25 décembre 2023. Il a été publié au Moniteur belge du 31 mai 2024 et est entré en vigueur le 1er juin 2024. La disposition attaquée a donc reçu exécution et elle était et est appliquée, de sorte qu’une annulation non modulée de l’article 11, § 1er, 3° , de la loi du 3 décembre 2017 risquerait d’engendrer une insécurité juridique dans le cadre des procédures de plainte, de signalement, de médiation et de recours pendantes devant l’Autorité de protection des données, de retarder le déroulement de ces proc édures et de conduire à une remise en cause des procédures clôturées. Elle risquerait également d’entraver le fonctionnement de cette Autorité. En outre, il y a lieu de donner au législateur le temps nécessaire pour régler tous les éléments essentiels qui portent sur la recevabilité d’une plainte ou d’un signalement, la procédure de médiation, le classement sans suite et les considérations d’oppo rtunité, la position du plaignant dans la procédure et les moyens de défense, les règles en matière d’emploi des langues et le respect des mesures imposées par l’Autorité de protection des données, sans que, dans l’intervalle, le règlement d’ordre intérieu r et les applications qui en ont été données ou en sont données puissent être remis en cause. Par conséquent, il y a lieu de maintenir les effets de la disposition attaquée comme il est indiqué dans le dispositif. Huitième grief B.29.1. La partie requérante soutient que l’habilitation contenue dans l’article 11, § 1er, 3°, de la loi du 3 décembre 2017 porte atteinte au principe de l’unicité du pouvoir réglementaire et aux articles 33, 37 et 108 de la Constitution. B.29.2. La Cour n’est pas compétente pour contrôler la disposition attaquée à l’aune des articles 33, 37 et 108 de la Constitution et du principe de l’unicité du pouvoir réglementaire, de sorte que le moyen, en ce qui concerne le huitième grief, est irrecevable. ECLI:BE:GHCC:2025:ARR. 119 39 Neuvième grief B.30. Le neuvième grief porte sur la violation, par l’article 11 de la loi du 3 décembre 2017, des articles 10 et 11 de la Constitution, lus en combinaison avec son article 160, alinéa 2, en ce que la disposition attaquée prive, sans justification raison nable, les citoyens visés par le règlement d’ordre intérieur de la garantie de l’avis de la section de législation du Conseil d’État. B.31. La différence de traitement alléguée ne trouve pas son origine dans l’article 11 de la loi du 3 décembre 2017. C’est l’article 3 des lois sur le Conseil d’État, coordonnées le 12 janvier 1973, qui détermine les projets d’arrêtés réglementaires soumis à l’obligation d’obtenir l’avis du Conseil d’État. Le premier moyen, en ce qui concerne le neuvième grief, n’est pas fondé. En ce qui concerne le deuxième moyen B.32. Le deuxième moyen est pris de la violation des articles 10, 11 et 22 de la Constitution, lus isolément ou en combinaison avec les articles 7, 8, et 52, paragraphe 1, de la Charte, et avec les articles 36, 52, paragraphe 4, 57, 58 et 96 du RGPD. Le moyen est subdivisé en sept griefs. Premier grief B.33. Le premier grief porte sur l’article 11, § 1er, 3°, de la loi du 3 décembre 2017. La partie requérante fait valoir que la compétence, attribuée à l’Autorité de protection des données, de fixer les délais de la procédure n’est pas prévue aux articles 57 et 58 du RGPD, qui fixeraient de manière exhaustive les missions et les pouvoirs des autorités de contrôle, et qu’elle viole le principe de légalité, qui découle notamment de l’article 22 de la Constitution. ECLI:BE:GHCC:2025:ARR. 119 40 B.34. Il ressort de ce qui est dit en B.19 à B.25.2 en réponse aux troisième et quatrième griefs du premier moyen que le deuxième moyen, en ce qui concerne le premier grief, n’est pas fondé. Deuxième à quatrième griefs B.35. Les griefs portent sur la réduction des délais dont dispose le service d’autorisation et d’avis de l’Autorité de protection des données pour rendre son avis en application de l’article 26 de la loi du 3 décembre 2017, tel qu’il a été remplacé par l ’article 20 de la loi du 25 décembre 2023. Dans son deuxième grief, la partie requérante fait valoir que la réduction de ces délais porte une atteinte disproportionnée aux articles 36, 52, paragraphe 4, et 58, paragraphe 3, b), du RGPD ainsi qu’au droit à la protection de la vie privée et à la protection des données à caractère personnel . Dans ses troisième et quatrième griefs, la partie requérante critique le fait que, dans certains cas, le délai dans lequel l’Autorité de protection des données rend son avis prend cours avant qu’elle dispose de l’ensemble des informations pertinente s et qu’elle délivre un accusé de réception de demande d’avis complète. B.36.1. Avant l’entrée en vigueur de la loi du 25 décembre 2023, l’article 26, § 1er, alinéa 2, de la loi du 3 décembre 2017 prévoyait que l’avis de l’Autorité de protection des données devait être rendu dans les soixante jours, sauf si la loi en dispos ait autrement. Ce délai ne prenait cours qu’après communication à l’Autorité de protection des données de toutes les informations qui lui étaient nécessaires pour qu’elle rende son avis. En outre, lorsque l’avis était requis par ou en vertu d’une loi, d’un décret ou d’une ordonnance, le directeur du centre de connaissances de l’Autorité de protection des données pouvait réduire le délai à quinze jours, dans les cas d’urgence spécialement motivés. B.36.2. Dorénavant, l’article 26, § 1er, alinéa 2, de la loi du 3 décembre 2017, tel qu’il a été remplacé par l’article 20 de la loi du 25 décembre 2023, dispose : ECLI:BE:GHCC:2025:ARR. 119 41 « L’examen des demandes d’avis s’ouvre dans l’ordre de leur présentation, excepté : 1° lorsque l’autorité qui saisit l’Autorité de protection des données réclame la communication de l’avis dans un délai de soixante jours; 2° lorsque l’autorité qui saisit l’Autorité de protection des données réclame la communication de l’avis dans un délai de trente jours. Ce délai est prolongé de plein droit de quinze jours lorsqu’il prend cours du 15 juillet au 31 juillet ou lorsqu’il expire entre le 15 juillet et le 15 août. L’Autorité de protection des données délivre un accusé de réception électronique au demandeur d’avis au moment où elle considère que la demande d’avis est complète. 3° en cas d’urgence spécialement motivée dans la demande, lorsque l’autorité qui saisit l’Autorité de protection des données réclame la communication de l’avis dans un délai de cinq jours ouvrables compris comme tous les jours autres que le samedi, le dimanch e et les jours fériés légaux . Lorsque, par application de l ’alinéa 2, 3°, l ’urgence est invoquée pour un avis sur un projet d’arrêté réglementaire, la motivation de l ’urgence figurant dans la demande est reproduite dans le préambule de l ’arrêté ». En outre, le paragraphe 2, alinéa 1er, de cet article dispose : « Lorsque la demande d’avis porte sur un avant -projet ou une proposition de loi, de décret ou d’ordonnance ou sur un amendement à un tel projet ou à une telle proposition, l’Autorité de protection des données communique un avis, dans les délais visés au pa ragraphe 1er, alinéa 2, ou dans un délai supplémentaire accordé par le demandeur d’avis avant l’expiration de ceux -ci ». Il s’ensuit que, lorsque l’autorité concernée en fait la demande, le délai dont dispose l’Autorité de protection des données est réduit à 30 jours, voire à cinq jours en cas d’urgence spécialement motivée. B.36.3. L’Autorité de protection des données a rendu un avis d’initiative relatif au projet de loi qui a donné lieu à la loi du 25 décembre 2023, dans lequel elle observe : « 17. L’article 52.4 du RGPD impose aux États membres de s’assurer que les autorités de contrôle disposent des moyens nécessaires à l’exercice effectif de leurs missions et pouvoirs. ECLI:BE:GHCC:2025:ARR. 119 42 18. L’APD doit donc disposer, entre autres, du temps nécessaire pour émettre sur demande des avis (article 36.4 du RGPD) et exercer son pouvoir d’émettre, de sa propre initiative ou sur demande, des avis à l’attention des Parlements et des Gouvernements s ur tout projet normatif se rapportant à des traitements de données à caractère personnel (article 58.3.b) du RGPD). Le projet de loi ne prévoit pas suffisamment de temps pour permettre à l’APD d’exercer efficacement sa mission de contrôle préalable et est dès lors contraire au RGPD. 19. Or, force est de constater qu’à l’heure actuelle, même en disposant d’un délai de 60 jours, l’APD n’est plus en mesure de faire une analyse in concreto de tous les projets normatifs qui lui sont soumis pour avis. Une réduction des délais dans lesquels l’APD doit rendre ses avis augmentera encore le nombre de projets que l’APD ne pourra pas examiner in concreto . Une telle situation est incompatible avec les articles 36.4, 57.1.c) et 58.3.b) du RGPD, lus à la lumière de l’article 52.4 du RGPD et des pri ncipes de la primauté du droit européen et d’effectivité du droit européen. 20. Par ailleurs, la réduction des délais envisagée par le projet de loi est accompagnée d’une suppression de la suspension des délais pour la durée nécessaire à l’obtention de toutes les informations nécessaires pour permettre à l’APD d’exercer sa missi on de contrôle préalable. Or, l’APD ne peut exercer efficacement sa mission de contrôle préalable que si elle dispose de toutes les informations nécessaires pour lui permettre d’apprécier la nécessité et la proportionnalité des traitements de données envis agés (y compris le respect du principe de minimisation des données). Cela implique, notamment, de disposer des éléments concrets de terrain relatifs au traitement de données encadré par le projet de norme soumis pour avis. En ne suspendant pas les délais j usqu’à la réception des informations nécessaires, l’APD sera très souvent dans l’impossibilité d’exercer correctement son contrôle préalable et devra se borner à dire qu’elle n’a pas pu analyser la proportionnalité ou le caractère nécessaire des données traitées; ce qui est contraire au RGPD » (APD, Avis d’initiative du 13 septembre 2022 sur le projet de loi « modifiant la loi du 3 décembre 2017 portant création de l’Autorité de protection des données », p. 6/13). B.37. Comme le relève le Conseil des ministres, l’article 36, paragraphes 1 à 3, du RGPD concerne les avis qui sont demandés à l’autorité de contrôle lorsqu’une analyse d’impact relative à la protection des données a fait apparaître que le traitement des données présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer celui - ci. Ces demandes sont traitées par le secrétariat général de l’Autorité de protection des données (article 20, § 1er, 3°, de la loi du 3 décembre 2017). Il s’agit d’une procédure distincte de celle qui est visée à l’article 26, attaqué, de la loi du 3 décembre 2017. Il s’ensuit que, dans le cadre de son examen, la Cour ne tient pas compte de l’article 36, paragraphes 1 à 3, du RGPD. ECLI:BE:GHCC:2025:ARR. 119 43 B.38. Sans qu’il soit nécessaire d’examiner si les délais de trente et de cinq jours ouvrables imposés à l’Autorité de protection des données pour communiquer son avis constituent des restrictions du droit au respect de la vie privée et à la protection des données contenu dans l’article 22 de la Constitution, lu en combinaison avec les articles 7 et 8 de la Charte des droits fondamentaux et avec les articles 52, paragraphe 4, et 58, paragraphe 3, du RGPD, il suffit de constater qu’ils pou rsuivent des objectifs légitimes et qu’ils ne produisent pas des effets disproportionnés. B.39. Il ressort des travaux préparatoires de la loi du 25 décembre 2023 que la possibilité de demander un délai de trente jours a été considérée comme étant justifiée par un double objectif, consistant, d’une part, à harmoniser ces délais avec ceux qui s’imposent à la section de législation du Conseil d’État pour rendre son avis et, d’autre part, à accélérer les travaux légis latifs ( Doc. parl ., Chambre, 2021 -2022, DOC 55-2793/001, p. 19). Il s’agit d’objectifs légitimes. B.40. En outre, réduire les délais dans lesquels l’Autorité de protection des données doit se prononcer sur les demandes d’avis permet d’atteindre les buts recherchés. B.41. En ce qui concerne la proportionnalité de la durée du délai imparti à l’Autorité de protection des données, il convient de constater que la réduction des délais que dénonce la partie requérante n’est pas automatique. Il ressort de l’article 26, § 1er, alinéa 2, de la loi du 3 décembre 2017 que l’autorité n’est pas tenue de demander que l’avis soit remis dans un délai particulier. Si aucun délai ne lui est imparti, l’Autorité de protection des données examine les demandes d’avis dans l’ordre de leur présentation. En outre, si l’autorité demanderesse impartit un délai particulier à l’Autorité de protection des données, ce délai peut être supérieur à trente jours. En effet, l’article 26, § 1er, alinéa 2, de la loi du 3 décembre 2017 prévoit explicitement la possibilité de demander que l’avis soit remis à l’autorité demanderesse dans un délai de soixante jours. ECLI:BE:GHCC:2025:ARR. 119 44 Dans l’hypothèse où l’autorité demande que l’avis soit remis dans un délai de trente jours, celui -ci est prolongé de plein droit de quinze jours lorsqu’il prend cours du 15 juillet au 31 juillet ou lorsqu’il expire entre le 15 juillet et le 15 août. De surcroît, le délai ne prend cours qu’à partir du moment où l’Autorité de protection des données délivre un accusé de réception électronique attestant du fait que la demande d’avis est complète. L’Autorité de protection des données est tenue de rendre son avis dans un délai de cinq jours ouvrables à condition que l’urgence soit spécialement motivée. Cette motivation est reproduite dans le préambule des arrêtés réglementaires (article 26, § 1er, alinéa 3). Par ailleurs, lorsque la demande d’avis porte sur un avant -projet ou une proposition de loi, de décret ou d’ordonnance , sur un amendement (article 26, § 2, alinéa 1er) ou sur un arrêté réglementaire (article 26 § 2, alinéa 2), le demandeur de l’avis peut accorder un délai supplémentaire à l’Autorité de protection des données avant l’expiration du délai initial. Enfin, il appartient à l’autorité compétente de veiller à ce que l’Autorité de protection des données dispose du personnel nécessaire pour traiter les demandes d’avis en trente jours et les demandes d’avis urgentes en cinq jours ouvrables (article 52, paragraphe 4, du RGPD). B.42. En ce qui concerne la proportionnalité du début du délai dans lequel l’Autorité de protection des données rend son avis, il ressort de l’article 26, § 1er, alinéa 2, de la loi du 3 décembre 2017 que le délai de trente jours imparti à l’Autorité de protection des données prend cours à partir du jour où cette Autorité délivre à l’autorité demanderesse un accusé de réception attestant du fait que sa demande est complète. Cette règle relative à la prise de cours du délai n’ est pas prévue lorsque l’autorité demanderesse réclame que l’avis soit rendu dans un délai de soixante jours ou dans un délai de cinq jours ouvrables. Il s’ensuit que, dans ces hypothèses, tout ou partie du délai dont dispose l’Autorité de protection des données pour rendre son avis pourrait s’écouler avant que celle -ci reçoive les documents pertinents pour pouvoir procéder à son examen. ECLI:BE:GHCC:2025:ARR. 119 45 Une lecture cohérente de la disposition mentionnée requiert que l’Autorité de protection des données délivre toujours un accusé de réception électronique au demandeur d’avis au moment où elle considère que la demande d’avis est complète, de sorte que le dé lai de soixante jours et de cinq jours ouvrables ne prend raisonnablement cours qu’à compter du jour de la délivrance de cet accusé de réception. B.43. Le deuxième grief et, sous réserve de l’interprétation mentionnée en B.42, les troisième et quatrième griefs ne sont pas fondés. Cinquième et sixième griefs B.44. Par ses cinquième et sixième griefs, la partie requérante considère que, d’une part, la possibilité de se dispenser de l’avis de l’Autorité de protection des données lorsque la demande d’avis porte sur un projet d’arrêté réglementaire et que cette Autorité n’a pas communiqué son avis dans les délais visés à l’article 26, § 1er, alinéa 2, de la loi du 3 décembre 2017 et, d’autre part, l’absence d’une possibilité de solliciter ex post un avis de l’Autorité de protection des données après l’adoption urgente d’un arrêté réglementaire ne seraient pas compatibles avec les articles 36, 52, paragraphe 4, 57 et 58 du RGPD , et qu’elles portent de ce fait atteinte à la substance du droit au respect de la vie privée et à la protection des données. B.45. Le Conseil des ministres soutient qu’en ce qu i concerne ces deux griefs, le recours est irrecevable ratione temporis , dès lors que la règle attaquée était déjà prévue à l’article 26, § 2, de la loi du 3 décembre 2017 dès l’adoption de celle -ci. B.46. Pour satisfaire aux exigences de l’article 3, § 1er, de la loi spéciale du 6 janvier 1989, un recours en annulation doit être introduit dans le délai de six mois suivant la publication de la norme attaquée. Lorsque, dans une législation nouvelle, le législateur reprend une disposition ancienne et s’approprie de cette manière son contenu, un recours peut être introduit contre la disposition reprise, dans les six mois de sa publication. ECLI:BE:GHCC:2025:ARR. 119 46 Toutefois, lorsque le législateur se limite à une intervention purement légistique ou linguistique ou à une coordination de dispositions existantes, il n’est pas censé légiférer à nouveau et les griefs sont irrecevables ratione temporis , en ce qu’ils sont en réalité dirigés contre des dispositions qui existaient déjà antérieurement. B.47. Avant sa modification par la loi du 25 décembre 2023, l’article 26, § 2, de la loi du 3 décembre 2017 disposait : « Dans les cas où l’avis de l’Autorité de protection des données est requis par ou en vertu d’une loi, d’un décret ou d’une ordonnance, il peut être passé outre cette exigence lorsque l’avis n’a pas été rendu dans les délais visés au paragraphe 1er, alinéa 2 ». Depuis cette modification, l’article 26, § 2, alinéa 2, de la loi du 3 décembre 2017 dispose : « Lorsque la demande d’avis porte sur un projet d’arrêté réglementaire et que l’Autorité de protection des données n’a pas communiqué d’avis dans les délais visés au paragraphe 1er, alinéa 2, ou dans un délai supplémentaire accordé par le demandeur d’avis avant l’expiration de ceux -ci, il peut être passé outre l’exigence d’un avis. Dans le préambule de l’arrêté, il est fait mention de l’absence de la communication de l’avis dans le délai ». Outre que le champ d’application et le contenu de la disposition attaquée ont été modifiés, il ressort de l’article 26, § 1er, de la même loi, cité en B.36.2, que les délais auxquels renvoie cette disposition peuvent être sensiblement plus courts que ceux auxquels renvoyait la même disposition dans sa version antérieure . Il s’ensuit que le législateur a à nouveau légiféré en cette matière. B.48. Le recours est dès lors recevable ratione temporis , en ce qu’il concerne l’article 26, § 2, alinéa 2, de la loi du 3 décembre 2017. B.49. L’article 36, paragraphe 4, du RGPD dispose : « Les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rappor te au traitement ». ECLI:BE:GHCC:2025:ARR. 119 47 Cette disposition serait dénuée d’effet utile s’il fallait l’interpréter comme imposant aux États membres de simplement demander l’avis de l’autorité de contrôle. Elle n’autorise pas les États membres à se dispenser de prendre en considération l’avis de l’Autorité de protection des données lorsque celui -ci n’est pas rendu dans le délai que l’autorité demanderesse a choisi d’impartir à cette Autorité. Le cas échéant, l’autorité concernée doit encore et toujours prendre en compte l’avis reçu tardivement et, si nécessaire, adapter l’arrêté déjà pris. L’application correcte du RGPD s’imposant avec une telle évidence qu’elle ne laisse place à aucun doute raisonnable (CJ CE, 6 octobre 1982, CILFIT , précité , point 21; CJUE, grande chambre, 6 octobre 2021, Consorzio Italian Management et Catania Multiservizi SpA , précité , points 39-49), la question préjudicielle relative à la portée de l’article 36, paragraphe 4, du RGPD, suggérée par la partie requérante, ne doit pas être posée à la Cour de justice. B.50. Le deuxième moyen, en ce qui concerne le cinquième grief, n’est pas fondé. B.51. En ce qui c oncern e l’absence d’une possibilité de demander un avis après l’adoption urgente d’un arrêté réglementaire, il suffit de constater que l’article 26, § 1er, alinéa 2, de la loi du 3 décembre 2017 ne dispense pas l’autorité de demander l’avis de l’Autorité de prote ction des données en cas d’urgence. L’article 36, paragraphe 4, du RGPD n’interdit pas aux États membres d’impartir à l’autorité de contrôle des délais plus courts en cas d’urgence, pour autant que l’autorité de contrôle soit en m esure d’effectuer adéquatement ses missions. Il ne leur impose pas davantage de permettre à l’autorité demanderesse de demander un second avis, après l’adoption de la norme concernée. B.52. Le deuxième moyen, en ce qui concerne le sixième grief, n’est pas fondé. Septième grief B.53. Par son septième grief, la partie requérante fait valoir que les dispositions attaquées entraînent un recul significatif du degré de protection des droits des personnes concernées qui ECLI:BE:GHCC:2025:ARR. 119 48 était garanti par la législation antérieure. Elle affirme que les dispositions attaquées sont incompatibles avec l’obligation de standstill qui se déduit du droit de 1’Union européenne, et en particulier de la Charte, lue en combinaison avec l’article 96 du RGPD. B.54. Pour satisfaire aux exigences de l’article 6 de la loi spéciale du 6 janvier 1989, les moyens de la requête doivent faire connaître, parmi les règles dont la Cour garantit le respect, celles qui seraient violées ainsi que les dispositions qui viole raient ces règles et exposer en quoi ces règles auraient été transgressées par ces dispositions. La requête ne permet pas de comprendre en quoi les dispositions attaquées violeraient une obligation de standstill qui se déduirait de la Charte ou du RGPD. B.55. Le deuxième moyen , en ce qui concerne le septième grief , est irrecevable. En ce qui concerne le troisième moyen B.56. Le troisième moyen est pris de la violation, par l’article 23, § 3, de la loi du 3 décembre 2017, tel qu’il a été inséré par l’article 18, alinéa 1er, 4°, de la loi du 25 décembre 2023, des articles 10, 11 et 22 de la Constitution, lus isolément ou en combinaison avec les articles 7 et 8 de la Charte et avec les articles 51, 52, 54, 55, 57 et 58 du RGPD. La partie requérante soutient que l’attribution au service d’autorisation et d’avis de l’Autorité de protection de données de la compétence d’autorisation d’accès aux métadonnées de communication relatives au trafic ou à la localisation porterait une atte inte substantielle à l’indépendance et à l’impartialité de cette Autorité, et par conséquent au droit au respect de la vie privée et à la protection des données. B.57. Le Conseil des ministres allègue que le moyen est irrecevable en ce qu’il est pris de la violation des articles 10 et 11 de la Constitution, dès lors qu’il n’identifie ni les catégories de personnes comparées ni la différence de traitement. ECLI:BE:GHCC:2025:ARR. 119 49 Lorsqu’une partie requérante dénonce, dans le cadre d’un recours en annulation, la violation des articles 10 et 11 de la Constitution, combinés avec d’autres dispositions constitutionnelles ou internationales ou avec d’autres principes généraux du droit g arantissant un droit fondamental, la violation alléguée résulte de la différence de traitement instaurée , parce qu’une catégorie de personnes est privée de ce droit fondamental, alors que ce droit est garanti à toute autre personne. Il s’ensuit que le moyen est recevable. B.58. Pour satisfaire aux exigences de l’article 6 de la loi spéciale du 6 janvier 1989, les moyens de la requête doivent faire connaître, parmi les règles dont la Cour garantit le respect, celles qui seraient violées ainsi que les dispositions qui violer aient ces règles et exposer en quoi ces règles auraient été transgressées par ces dispositions. B.59. La requête n’expose pas en quoi les articles 54, 55, 57 et 58 du RGPD seraient violés par l’article 23, § 3, de la loi du 3 décembre 2017 , de sorte que la Cour n’effectue pas son examen à l’aune de ces dispositions. B.60. L’article 23, § 3, de la loi du 3 décembre 2017, tel qu’il a été inséré par l’article 18, alinéa 1er, 4°, de la loi du 25 décembre 2023 , dispose : « Dans le cadre de l’application de la loi du 13 juin 2005 relative aux communications électroniques et de lois particulières et sans préjudice des pouvoirs des autorités de contrôle visées aux titres 2 et 3 de la loi du 31 juillet 2018 relative à la protect ion des personnes physiques à l’égard des traitements de données à caractère personnel et de ceux de la commission administrative chargée de la surveillance des méthodes spécifiques et exceptionnelles de recueil de données par les services de renseignement et de sécurité créée par l’article 43/1 de la loi du 3 décembre 2017 du 30 novembre 1998 des services de renseignement et de sécurité, le service d’autorisation et d’avis émet des autorisations d’accès aux métadonnées de communication relatives au trafic ou à la localisation pour les institutions compétentes, pour les finalités qui ne relèvent pas : - de l’exercice des missions de prévention, de recherche, de détection ou de poursuite d’un fait qui constitue une infraction pénale, ou; - de la recherche des personnes disparues, ou; ECLI:BE:GHCC:2025:ARR. 119 50 - de la sécurité nationale. Pour être complète, la demande d’autorisation contient les éléments suivants : 1° l’identification de l’institution demanderesse; 2° la base légale permettant à cette institution de demander auprès des opérateurs des métadonnées de communication relatives au trafic ou à la localisation; 3° l’exercice de la mission, dont les finalités ne relèvent pas de l’une des matières énumérées à l’alinéa 1er, premier à troisième tirets, justifiant de la nécessité et du caractère proportionnel de la demande; 4° le cas échéant, la motivation de l’urgence ou de l’extrême urgence; 5° la signature de la personne apte à engager l’institution demanderesse. Lorsque la demande d’autorisation est complète, la décision de l’Autorité de protection des données est rendue au plus tard dans les dix jours ouvrables compris comme tous les jours autres que le samedi, le dimanche et les jours fériés légaux. La décision de l’Autorité de protection de données est motivée ». B.61.1. L’article 52 du RGPD dispose : « 1. Chaque autorité de contrôle exerce en toute indépendance les missions et les pouvoirs dont elle est investie conformément au présent règlement. 2. Dans l’exercice de leurs missions et de leurs pouvoirs conformément au présent règlement, le ou les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’accept ent d’instructions de quiconque. 3. Le ou les membres de chaque autorité de contrôle s’abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n’exercent aucune activité professionnelle incompatible, rémunérée ou non. [...] ». Le considérant 129 du RGPD mentionne : « Les pouvoirs des autorités de contrôle devraient être exercés conformément aux garanties procédurales appropriées prévues par le droit de l’Union et le droit des État[s] membres, d’une manière impartiale et équitable et dans un délai raisonnable ». B.61.2. Par son arrêt C-518/07, la Cour de justice a jugé : ECLI:BE:GHCC:2025:ARR. 119 51 « La garantie d’indépendance des autorités nationales de contrôle vise à assurer l’efficacité et la fiabilité du contrôle du respect des dispositions en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel e t doit être interprétée à la lumière de cet objectif. Elle a été établie non afin de conférer un statut particulier à ces autorités elles-mêmes ainsi qu’à leurs agents, mais en vue de renforcer la protection des personnes et des organismes qui sont concern és par leurs décisions. Il s’ensuit que, lors de l’exercice de leurs missions, les autorités de contrôle doivent agir de manière objective et impartiale. À cet effet, elles doivent être à l’abri de toute influence extérieure, y compris celle, directe ou in directe, de l’État ou des Länder, et pas seulement de l’influence des organismes contrôlés » (CJUE, grande chambre, 9 mars 2010, C -518/07, Commission européenne c . République fédérale d’Allemagne , ECLI: ECLI:EU:C:2010:125 , point 25). La garantie d’indépendance contient donc une exigence d’impartialité. B.62. Bien que, comme il est dit en B.9, l’article 41 de la Charte ne soit pas applicable aux autorités nationales, la Cour tient compte de la jurisprudence de la Cour de justice relative à cette disposition et au principe général de droit de l’Union cor respondant, afin d’interpréter l’exigence d’impartialité contenue dans l’article 52 du RGPD. Il en découle que « l’autorité nationale doit offrir des garanties suffisantes pour exclure tout doute légitime d’un éventuel préjugé » (CJUE, 8 mai 2014, C -604/12, H. N., ECLI:EU:C:2014:302, point 52). B.63.1. Dans son avis relatif à l’avant -projet de loi ayant donné lieu à la loi du 25 décembre 2023, l’Autorité de protection des données a observé : « 43. L’Avant -projet attribue des tâches actuelles de directions existantes (surtout le Secrétariat Général et le Centre de Connaissances) au nouveau service d’autorisation et d’avis. 44. Deux nouvelles tâches de ce service d’autorisation et d’avis, à savoir émettre des autorisations préalables concernant des traitements de données effectués par un responsable du traitement du secteur public dans le cadre de ses missions d’intérêt publ ic et autoriser l’accès aux métadonnées de communications relatives au trafic ou à la localisation, sont problématiques :  l’utilité de confier de telles tâches à l’APD n’est pas démontrée; ECLI:BE:GHCC:2025:ARR. 119 52  les responsables du traitement, tant du secteur public que du secteur privé, peuvent déjà consulter préalablement l’APD concernant des traitements à risques via une analyse d’impact relative à la protection des données;  ces tâches sont incompatibles avec les missions de contrôle de l’APD : un plaignant mettra en cause l’impartialité de l’APD s’il s’avère que le responsable du traitement en question invoque une autorisation d’un organe de cette même APD;  un traitement ultérieur présentant un risque grave pour les droits et libertés (communication de métadonnées) requiert que le législateur régisse l’accès aux données de manière adéquate (principe de légalité : quelles données, pour quelle finalité, anony mes ou non, pseudonymisées ou non) plutôt que d’élaborer un système d’autorisation;  l’APD n’a actuellement ni les connaissances, ni les moyens de remplir cette mission d’autorisation » (Doc. parl., Chambre, 2021 -2022, DOC 55 -2793/001, p. 272). B.63.2. L’exposé des motifs du projet de loi répond aux objections de l’Autorité de protection des données : « Dans le passé, il s’est avéré que la ligne de démarcation entre le secrétariat général et le centre de connaissances n’était pas claire. C’est pourquoi il est maintenant décidé d’attribuer les compétences résiduelles en matière d’avis et d’autorisation au nouveau service d’autorisation et d’avis. [...] Suite à la récente modification de la loi du 13 juin 2005 sur les communications électroniques, une compétence est également ajoutée à l’Autorité de protection des données dans l’article 19, § 3, de la loi du 3 décembre 2017. Dans le cadre de son avis n° 198/2021 du 28 juin 2021 sur l’avant -projet de loi relatif à la collecte et à la conservation des données d’identification, de trafic et de localisation dans le secteur des communications électroniques et à leur accès par les autorités et un projet d’arrêté royal modifiant l’arrêté royal du 19 septembre 2013 portant exécution de l’article 126 de la loi du 13 juin 2005 relative aux communications électroniques, l’Autorité de protection des données a insisté sur le fait que l’acc ès aux métadonnées de communication doit être subordonné à une autorisation préalable par une juridiction ou par une entité administrative indépendante. Sur la base de cet avis de l’APD, le législateur a conséquemment donné à l’Autorité de Protection des données qui revêt bien entendu la qualité d’autorité administrative indépendante une nouvelle mission, à savoir, la réalisation d’un contrôle préalable p ortant sur l’accès aux données, de trafic ou de localisation pour les autorités compétentes dans les matières non pénales. Comme la Cour constitutionnelle l’a récemment rappelé dans son arrêt n° 158/2021 du 18 novembre 2021, pour ce qui concerne les donnée s d’identification, un tel contrôle préalable externe par une juridiction ou une autorité administrative indépendante n’est pas nécessaire. ECLI:BE:GHCC:2025:ARR. 119 53 Au terme de ce contrôle, l’APD pourra autoriser ou refuser l’accès. Concrètement, lorsque par exemple, le CCB ou l’IBPT dans le cadre des analyses qu’ils effectuent en matière de sécurité des réseaux doivent accéder aux données de trafic et de localisation , ils devront préalablement demander l’autorisation de l’APD. L’article 19, § 3 prévoit également la procédure de cette demande d’autorisation. [...] Dans son avis, l’APD s’oppose à l’extension des compétences du service d’autorisation et d’avis. L’utilité de ces tâches n’aurait pas été démontrée. En réponse à cela, on peut affirmer que, en ce qui concerne les pouvoirs résiduels accordés à l’article 19, § 2, l’intention est d’organiser une meilleure ligne de démarcation entre les organes internes de l’APD. En effet, dans le passé, il est apparu qu’il y avait trop d’ambiguïté concernant les tâches et les compétences qui n’étaient pas explicitement attrib uées par la loi au secrétariat général ou au centre de connaissances. Il est désormais remédié à cette situation. La répartition incohérente des tâches et la fragmentation pouvant avoir un effet paralysant sur le fonctionnement d’une autorité, la suggestio n de l’APD de répartir le pouvoir d’émettre des recommandations sur le comité de direction et le service d’autorisation et d’avis n’a pas non plus été retenue. Le pouvoir d’autoriser l’accès aux métadonnées est, quant à lui, un choix opportun de la part du législateur qui ne devrait être testé que pour sa compatibilité avec les tâches d’une autorité de contrôle indépendante. En ce sens, il peut être fait référence à l’article 58, § 6, du Règlement 2016/679 qui prévoit que les États membres peuvent accorder des pouvoirs supplémentaires » (ibid., pp. 17-19). B.64.1. L’article 58, paragraphe 6, du RGPD autorise les États membres à conférer des pouvoirs additionnels aux autorités de contrôle, mais il n’autorise pas ces autorités à exercer ces pouvoirs en violation de l’exigence d’impartialité objective. B.64.2. Il ressort de la loi du 3 décembre 2017 que le service de première ligne est chargé d’examiner la recevabilité des plaintes (articles 22, § 1er, 1°, 60 et 61), que le service d’inspection dispose des compétences d’enquête (articles 28 et 66 à 91) et que la chambre contentieuse es t l’organe de contentieux administratif, chargé, notamment, de se prononcer sur les plaintes recevables (articles 32 et 92 à 108). Ces services et cet organe sont structurellement autonomes par rapport au service d’autoris ation et d’avis. Il leur incombe de traiter une plainte dans le respect du RGPD et des principes de bonne administration, en particulier du principe d’impartialité. Afin de se conformer à l’exigence d’impartialité objective, il convient que l’Autorité de protection des do nnées s’assure qu’en cas de transfert d’un agent du service des autorisations et avis vers un autre service ou organe, les agents qui ont traité la demande d’autorisation d’accès aux métadonnées ne soient pas impliqués dans le traitement de la plainte. Auc une disposition de la loi du 3 décembre 2017 n’empêche ECLI:BE:GHCC:2025:ARR. 119 54 l’Autorité de protection des données de prendre les mesures appropriées pour respecter le principe d’impartialité. Il s’ensuit que le dispositif législatif mis en place ne viole pas les normes de référence invoquées au moyen. Pour le surplus, il appartient aux juridictions compétentes de contrôler la manière dont l’Autorité de protection des données applique le RGPD, la loi du 3 décembre 2017 et les principes de bonne administration. B.65. Le troisième moyen n’est pas fondé. ECLI:BE:GHCC:2025:ARR. 119 55 Par ces motifs, la Cour - annule l’article 11, § 1er, 3°, de la loi du 3 décembre 2017 « portant création de l’Autorité de protection des données », tel qu’il a été remplacé par l’article 10 de la loi du 25 décembre 2023 « modifiant la loi du 3 décembre 2017 portant création de l’Autorit é de protection des données », en ce qu’il habilite l’Autorité de protection des données à adopter un règlement d’ordre intérieur qui porte sur la recevabilité d’une plainte, sur la recevabilité d’un signalement, sur la procédure de médiation, sur le class ement sans suite et les considérations d’opportunité, sur la position du plaignant dans la procédure et les moyens de défense, sur l’emploi des langues et sur le respect des mesures imposées par l’Autorité de protection des données; - maintient les effets de la disposition annulée jusqu’à l’entrée en vigueur d’une norme législative réglant les éléments essentiels portant sur les aspects mentionnés plus haut , et au plus tard jusqu’au 31 décembre 2026; - sous réserve de l’interprétation mentionnée en B.42, rejette le recours pour le surplus. Ainsi rendu en langue française, en langue néerlandaise et en langue allemande, conformément à l’article 65 de la loi spéciale du 6 janvier 1989 sur la Cour constitutionnelle, le 18 septembre 2025. Le greffier, Le président, Nicolas Dupont Pierre Nihoul