ECLI:BE:GBAPD:2025:AVIS.20250911.3

Avis n° 80/2025 du 11 septembre 2025 Objet : Demande d’avis concernant un projet de loi portant dispositions diverses en matière de protection de la santé (CO-A-2025-083) Version originale Mots-clés : Centralisation des données à caractère personnel – Principe de prévisibilité – Numéro d’identification du Registre national – Collecte de données sensibles (article 10 du RGPD) – Délégation au Roi Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité ») ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier ses articles 23 et 26 (ci-après « LCA ») ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD ») ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD ») ; Vu la demande d'avis de Frank Vandenbroucke, Ministre de la santé publique (ci-après « le demandeur »), reçue le 14 juillet 2025 ; Vu les informations complémentaires reçues le 31 juillet 2025 ; Émet, le 11 septembre 2025, l'avis suivant : I. Objet et contexte de la demande d’avis 1. Le demandeur sollicite l’avis de l’Autorité concernant un projet de loi portant dispositions diverses en matière de protection de la santé (ci-après, « le projet »). 2. Ce projet de loi vise à apporter diverses modifications à la loi du 24 janvier 1977 relative à la protection de la santé des consommateurs en ce qui concerne les denrées alimentaires et les autres produits (ci-après, « la loi du 24 janvier 1977 »). Cette dernière a pour objectif de protéger la santé des consommateurs en établissant un cadre réglementaire pour la mise sur le marché des denrées alimentaires et autres produits destinés à l’usage humain. Elle encadre notamment la composition, la fabrication, la présentation, l’emballage, l’étiquetage, la publicité, ainsi que les conditions de fabrication et de distribution de ces produits, tout en prévoyant des mécanismes de contrôle et de retrait en cas de non-conformité ou de risque sanitaire. 3. Le projet de loi soumis pour avis introduit plusieurs modifications à cette loi, qui portent principalement sur : - Le renforcement des contrôles d’âge, en prévoyant (1) l’obligation pour les vendeurs de produits de tabac et de cartouches métalliques de protoxyde d’azote de vérifier l’identité de toute personne paraissant avoir moins de 25 ans et (2) la possibilité pour eux d’exiger une preuve d’âge pour l’achat ou la consommation de boissons alcoolisées ; - L’élargissement des compétences de police administrative des bourgmestres ; - La désignation de d’avantage de fonctionnaires compétents pour proposer des amendes administratives ; - L’autorisation du recours au mystery shopping avec des mineurs pour contrôler la vente illicite de cartouches métalliques de protoxyde d’azote ; - La possibilité pour les contrôleurs et inspecteurs du Service d’Inspection de saisir des produits de tabac et des cartouches métalliques de protoxyde d’azote vendus à des mineurs ; - La mention selon laquelle les frais (de destruction, saisie, etc.) réclamés en cas de non- conformité doivent désormais être affectés au Fonds budgétaire des matières premières ; - La faculté de transmettre un procès-verbal directement au Procureur du Roi, sans proposition d’amende administrative préalable ; - L’insertion d’un nouvel article 23/1 en vue d’assurer la conformité de la loi avec le RGPD en encadrant les traitements de données à caractère personnel qui doivent ou peuvent être effectués dans le cadre de l’application de la loi du 24 janvier 1977. 4. Le présent avis de l’Autorité porte exclusivement sur l’article 7 du projet, lequel introduit l’article 23/1 qui vise donc à encadrer ces traitements de données à caractère personnel. II. Examen de la demande d’avis 5. L’article 7 du projet introduit une disposition prévoyant la création d’une base de données informatique destinée à centraliser une série de données à caractère personnel relatives aux différents acteurs concernés par la loi du 24 janvier 1977, à savoir les opérateurs économiques1, les producteurs de matières premières, les détaillants, les grossistes, les fabricants, les importateurs, les éditeurs et les imprimeurs. 6. Les données à caractère personnel des personnes susmentionnées ayant fait l’objet d’un contrôle sont enregistrées dans cette base de données afin de pouvoir mettre en œuvre les articles 11 à 19 de la loi du 24 janvier 1977. Ces dispositions encadrent les pouvoirs de contrôle, d’enquête et de sanction des autorités compétentes en matière de surveillance des denrées alimentaires et autres produits visés par la loi du 24 janvier 1977. Ces dispositions permettent notamment aux membres du personnel statutaire ou contractuel du SPF Santé publique, Sécurité de la Chaîne alimentaire et Environnement : - D’effectuer des inspections inopinées dans les lieux de fabrication, de stockage ou de commerce de ces produits, ainsi que de procéder à des contrôles de transport et à des auditions (article 11) ; - D’exiger la production de documents commerciaux, de recueillir des informations utiles à l’exercice de leur mission, y compris l’identification des personnes concernées par le biais de données telles que les numéros de téléphone ou adresses IP (articles 11 et 11/1) ; - De sceller des appareils non conformes, de fermer temporairement des établissements ou de retirer des contenus en ligne non conformes (articles 11 et 11/1) ; - De saisir, de mettre hors d’usage ou de détruire des denrées alimentaires ou autres produits gâtés ou nuisibles (article 18) ; 7. En outre, ces articles prévoient les modalités de collecte d’échantillons et leur analyse par les laboratoires agréés (article 12). Ils listent également les différentes sanctions administratives ou pénales (telles que des amendes, peines d’emprisonnement ou mesures de fermeture) prévues en cas d’infraction (articles 13 à 16), ainsi que les modalités de transmission du dossier au Procureur du Roi dans certaines circonstances (article 19). 8. La mise en place d’une telle base de données appelle plusieurs observations de la part de l’Autorité. 9. Tout d’abord, l’Autorité relève que ni le projet ni la note au Conseil des Ministres ne précisent en quoi la centralisation des données à caractère personnel permettrait d’exercer plus efficacement les missions de contrôle, d’enquête et de sanction, en comparaison avec le système actuellement en place. Si les missions des entités identifiées dans la loi du 24 janvier 1977 requièrent la centralisation des données à caractère personnes des opérateurs mentionnés à l’article 7 du projet, une telle nécessité doit être clairement démontrée et justifiée. 10. Par ailleurs, le projet prévoit que les données à caractère personnel « peuvent être traitées », ce qui constitue une formulation facultative, peu compatible avec le principe de prévisibilité. Afin de garantir un encadrement légal clair, le projet devrait prévoir que les données à caractère personnel seront effectivement traitées. 11. L’Autorité constate également que l’article 7 du projet regroupe dans une même disposition plusieurs paragraphes énumérant les finalités du traitement (à savoir la mise en œuvre des articles 11 à 19 de la loi du 24 janvier 1977), les catégories de données à caractère personnel traitées, les entités ayant accès à ces données ainsi que les durées de conservation applicables, sans établir de liens explicites entre ces différents éléments. Cette structure, qui s’apparente à une disposition fourre-tout, nuit à la lisibilité du texte et à la prévisibilité des traitements de données pour les personnes concernées, dans la mesure où celles-ci ne peuvent clairement comprendre quelles données sont traitées, pour quelles finalités spécifiques, dans quelles circonstances et par quels acteurs. En outre, cette disposition peut, de manière injustifiée, donner l’impression que les responsables du traitement pourraient légitimement traiter l’ensemble des données relatives à toutes les personnes concernées énumérées pour chaque finalité visée. 12. Le manque de clarté et de précision dans la détermination des éléments essentiels du traitement et en particulier l’absence de lien entre les finalités à atteindre et les catégories de données à caractère personnel à traiter à ces fins rendent difficile pour l’Autorité de vérifier le respect des principes de protection des données. Il est dès lors nécessaire de reformuler cette disposition de manière à articuler de façon cohérente les finalités poursuivies avec les données strictement nécessaires à leur réalisation, en identifiant clairement les personnes ayant accès à ces données pour chaque finalité2. Il est en effet essentiel de veiller à ce que le projet mette en place un cadre légal pour le traitement des données à caractère personnel qui soit prévisible et précis. 13. L’article 7 du projet énumère une série de données à caractère personnel qui seront rassemblées dans la base de données, à savoir le prénom ; le nom de famille ; l’adresse physique ; le pays ; le numéro de téléphone ; l’adresse mail ; le numéro de Registre national ; le numéro de TVA et le numéro d’entreprise. Afin d’éviter toute ambigüité, il serait utile de préciser si la mention du pays fait référence au pays de résidence ou au pays d’établissement. 14. Il est également précisé dans cet article que « la saisie du numéro de Registre national permet d’accéder aux données du registre national pour une gestion efficace des bases de données du Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement ». Cette formulation appelle plusieurs remarques. 15. L’Autorité relève tout d’abord que l’expression « la saisie du numéro de registre national » est ambigüe ; il n’est pas clair s’il s’agit de l’encodage de ce numéro dans la base de données, de son enregistrement ou de son utilisation pour interagir avec d’autres bases de données. Il convient de reformuler ce passage afin de lever cette ambiguïté. 16. Ensuite, la finalité avancée pour l’utilisation de ce numéro, à savoir « la gestion efficace des bases de données » ne constitue pas une finalité déterminée, explicite et légitime, conformément à l’article 5.1.b) du RGPD. Le projet ne précise ni le contenu, ni la structure, ni les objectifs des bases de données visées. Il n’est dès lors pas possible de comprendre de quelles bases de données il s’agit, quelles données elles contiennent, quels acteurs y ont accès, ainsi que pourquoi (à quelles fins) et comment elles seraient reliées à la base de données créée par le projet. Si l’intention de l’auteur du projet est de permettre un lien entre cette base de données et d’autres bases de données du Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement, cela doit être clairement précisé, en justifiant la finalité et la nécessité d’un tel croisement. Il convient également d’identifier les bases de données concernées, leurs finalités respectives, les catégories de données échangées ainsi que les modalités et garanties encadrant ces interactions. 17. L’article 7 du projet prévoit que les données à caractère personnel seront conservées pour un délai de maximum dix ans : 1° « après la constatation définition qu’aucune infraction n’a été commise par la personne concernée ; 2° lorsqu’il est constaté que l’avertissement visé à l’article 11bis de la présente loi a été respecté, à partir du moment où la régularisation a été constatée ; 3° à partir de constatation du paiement volontaire de la somme visée à l’article 19 de la présente loi ; 4° à partir du moment où une décision administrative définitive a été prise, en particulier celle visée à l’article 18 ; 5° à partir du moment où il est fait application de la transaction visée à l’article 216bis du Code d’instruction criminelle ou de la médiation pénale visée à l’article 216ter du même Code, ou de toute autre procédure judiciaire. En cas de procédure judiciaire, le délai de conservation maximum de dix ans visé à l’alinéa 1 er est prolongé, le cas échéant, jusqu’à cessation définitive de cette procédure. Ces données sont ensuite éliminées ou anonymisées » 18. Il ressort des informations complémentaires communiquées que la durée de conservation est justifiée « par la nécessité de pouvoir (re)contrôler les personnes ayant commis une infraction, afin de vérifier l’absence de récidive. Inversement, cette durée permet également d’éviter de soumettre trop rapidement à un nouveau contrôle les personnes qui respectent la législation ». L’Autorité en prend note. 19. Comme précisé aux considérants 11 et 12 du présent avis, le projet doit indiquer de manière explicite quelles données sont conservées et à l’égard de quelles catégories de personnes. Il ne suffit pas d’énumérer les différents points de départ des délais de conservation. A cet égard, l’article 7 doit être revu. 20. En ce qui concerne les éléments déclenchant le point de départ des délais de conservation, l’Autorité a interrogé le demandeur sur les types de données effectivement conservées dans la base de données. Il ressort des explications complémentaires fournies que des données relatives à des infractions, à des paiements volontaires, à des décisions administratives ou encore à des mesures pénales seront conservées dans la base de données. 21. La rédaction actuelle du texte ne permet pas de comprendre que ces données sont conservées, ce qui n’est pas conforme au principe de prévisibilité. Parmi ces données figurent des données à caractère personnel relatives à des condamnations pénales, relevant d’une catégorie particulière de données au sens de l’article 10 du RGPD, pour lesquelles une interdiction de traitement de principe s’applique. Le traitement de données appartenant à cette catégorie de données ne peut être effectué que sous le contrôle de l’autorité publique ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un Etat membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées 3. 22. Il est dès lors primordial de strictement encadrer le traitement de ces données à caractère personnel et de le limiter à ce qui est nécessaire à l’accomplissement de finalités clairement définies. Or, en l’espèce, le lien entre les finalités poursuivies et les données collectées n’est pas suffisamment établi dans le projet. Il est donc difficile d’évaluer la nécessité de conserver de telles données dans la base de données et de vérifier le respect des principes de minimisation et de proportionnalité. Si l’objectif est uniquement de déterminer les points de départ des délais de conservation, cette finalité ne suffit pas, en l’état, à justifier une conservation des données pendant une durée de 10 ans. D’autant que le texte prévoit que plusieurs acteurs auront accès à ces données, sans encadrement précis de ces accès, et laisse entrevoir une interaction avec d’autres bases de données du Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement. Ce manque de clarté n’est pas acceptable. 23. L’Autorité invite le demandeur à démontrer et à justifier la nécessité de collecter et d’enregistrer ces données à caractère personnel. Elle rappelle que la détermination des délais ne constitue pas une finalité justifiant en soi le traitement de données sensibles. Si la collecte de ces données s’avère justifiée, le projet doit prévoir un cadre juridique clair : il doit ressortir explicitement du texte quelles données sont collectées, à quelles fins, pendant combien de temps et pour quelles catégories de personnes. L’article 7 doit donc être revu en ce sens. 24. Le dernier alinéa du §4 de l’article 7 prévoit que les données seront soit éliminées, soit anonymisées à l’issue de la durée de conservation. Cependant, ni le projet de loi, ni la note au Conseil des Ministres ne contiennent d’information complémentaire quant aux modalités d’anonymisation envisagées ni quant à la raison pour laquelle des données anonymisées seraient conservées. Interrogée à ce sujet, la déléguée du Ministre a répondu qu’à la suite des concertations avec les experts concernés, il apparaît plus approprié de ne maintenir que l’obligation de suppression des données à l’issue du délai de conservation. L’Autorité en prend acte et, en conséquence, invite l’auteur du projet à adapter la rédaction du dernier alinéa du §4 de l’article 7, afin de ne viser que la suppression des données, à l’exclusion de leur anonymisation. 25. La seconde remarque de l’Autorité porte sur les accès aux données à caractère personnel. Le §3 de l’article 7 liste les organises et autorités ayant accès aux données à caractère personnel, à savoir : 1° « le SPF Santé publique, Sécurité de la Chaîne alimentaire et en ce compris les membres du personnel statutaire ou contractuel visés à l’article 11 de la présente loi ; 2° l’Agence fédérale pour la Sécurité de la Chaîne alimentaire ; 3° les laboratoires agréés aux tâches déterminées par l’article 12, conformément aux conditions déterminées par le Roi, 4° Le Procureur du Roi en application de l’article 19 de la présente loi ; 5° la police ». 26. Ce paragraphe n’appelle pas de commentaire particulier de la part de l’Autorité. Toutefois, l’Autorité relève que le §6 de cet article prévoit, parmi les délégations conférées au Roi, la possibilité pour ce dernier d’établir la liste des tiers ayant accès aux données visées au §1er, ainsi que les modalités et les finalités de cet accès. 27. L’Autorité rappelle que les destinataires des données à caractère personnel 4 constituent un des éléments essentiels du traitement (ici la collecte, la centralisation et la conservation des données) qui doit, en principe, figurer dans une norme de rang législatif en application du principe de légalité consacré par l’article 22 de la Constitution. 28. La délégation prévue dans le projet de loi, en ce qu’elle autorise le Roi à déterminer les tiers pouvant accéder aux données ainsi que les finalités de cet accès, ne satisfait pas aux exigences de légalité et de prévisibilité. La rédaction actuelle confère une marge d’appréciation trop large au pouvoir exécutif, sans encadrement suffisant. Une telle délégation constitue un « chèque en blanc », ce qui n’est pas admissible5, d’autant que le projet porte sur des données sensibles. Le projet devrait à minima préciser les (catégories de) destinataires des données, ainsi que les circonstances dans lesquelles les données pourront être communiquées ou rendues accessibles à ces tiers et les motifs y afférents6 (raisons et finalités pour lesquelles ces données pourraient être ré-utilisées), afin de permettre aux personnes concernées d’avoir une compréhension claire des utilisations potentielles de leurs données à caractère personnel. PAR CES MOTIFS, L’Autorité est d’avis qu’il convient de : - Démontrer la nécessité de centraliser les données à caractère personnel pour permettre d’exercer plus efficacement les missions de contrôle, d’enquête et de sanction prévues par la loi du 24 janvier 1977 (cons. 9) ; - Indiquer clairement que les données seront effectivement traitées et non qu’elles « peuvent » l’être (cons. 10) ; - Lier explicitement les données traitées, les finalités, les circonstances du traitement et les acteurs impliqués (cons. 11 et 12) ; - Préciser si la mention du pays fait référence au pays de résidence ou au pays d’établissement (cons. 13) ; - Clarifier l’expression « saisie du numéro de registre national » (cons. 15) ; - Revoir la finalité invoquée pour l’utilisation du numéro de Registre national et identifier les bases de données concernées du Service public fédéral Santé publique, Sécurité de la Chaîne alimentaire et Environnement, leurs finalités respectives, les catégories de données échangées ainsi que les modalités et garanties encadrant les interactions entre les bases de données (cons. 16) ; - Justifier la nécessité de collecter et d’enregistrer les informations relatives à des infractions, à des paiements volontaires, à des décisions administratives ou encore à des mesures pénales. Si cette nécessité est avérée, le projet doit encadrer clairement cette collecte : quelles données, pour quelles finalités et pour quel délai (cons. 19 à 23) ; - Adapter la rédaction du dernier alinéa du §4 de l’article 7, afin de ne viser que la suppression des données, à l’exclusion de leur anonymisation (cons. 24) ; - Revoir l’habilitation au Roi afin de l’encadrer de manière plus rigoureuse et conforme aux principes de légalité et de prévisibilité (cons. 26 à 28). Pour le Service d’Autorisation et d’Avis, (sé) Alexandra Jaspar, Directrice Document PDF ECLI:BE:GBAPD:2025:AVIS.20250911.3 Publication(s) liée(s) précédé par: ECLI:BE:GBAPD:2025:DEC.20250424.1