ECLI:BE:GBAPD:2025:AVIS.20250130.2

Avis n° 06/2025 du 30 janvier 2025 Objet : Avis concernant une proposition de loi relative à la sécurité dans les domaines récréatifs (les articles 14, 16, 20, 21, 25, 32, 33, 34) (CO-A-2024-282) Mots clés : domaines récréatifs - sanction administrative - interdiction de domaine - interdiction de périmètre - contrôle de l'accès - police - services de gardiennage - registre central des sanctions - mineurs - proportionnalité et minimisation des données Traduction Introduction La proposition de loi relative à la sécurité dans les domaines récréatifs qui est soumise pour avis s'inscrit dans le cadre de la gestion et du traitement des comportements inacceptables au sein et aux abords des domaines récréatifs et établit un cadre (légal) visant à punir ces comportements, basé sur la loi du 21 décembre 1998 relative à la sécurité lors des matches de football. Bien que l'Autorité comprenne en principe la présente problématique, elle constate néanmoins que plusieurs adaptations du projet s'imposent. La principale remarque à cet égard concerne la nécessité de déjà définir explicitement les modalités techniques et organisationnelles du contrôle de l'accès (et du système ‘hit’/ ‘no hit’) dans le projet de façon à ce qu'aucun couplage n'ait lieu entre le contrôle de l'identité proprement dit et le registre central des sanctions et qu'il ne soit en aucun cas possible pour les exploitants du domaine et leurs préposés d'avoir une vue directe sur les données (à caractère personnel) qui sont enregistrées dans ce registre. En outre, l'Autorité formule encore plusieurs remarques concernant la nécessité d'établir la qualité des exploitants de domaines, les définitions à appliquer pour certaines catégories de données à caractère personnel et (le moment où débutent) les délais de conservation des données à caractère personnel. Enfin, l'Autorité se pose des questions majeures sur la proportionnalité et la nécessité du périmètre maximal établi autour des domaines récréatifs et la possibilité d'y intervenir avec une grande sévérité envers des personnes. Pour une énumération exhaustive des remarques, l’Autorité renvoie au dispositif. Le Service d'Autorisation et d'Avis de l'Autorité de protection des données (ci-après "l'Autorité"), présent.e.s : Mesdames Juline Deschuyteneer, Cédrine Morlière, Nathalie Ragheno et Griet Verhenneman et Messieurs Yves-Alexandre de Montjoye, Bart Preneel et Gert Vermeulen ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après "la LCA") ; Vu l’article 43 du Règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix ; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données, ci-après le "RGPD") ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après "la LTD") ; Vu la demande d'avis de Monsieur Peter De Roover, Président de la Chambre des représentants, (ci-après : le demandeur), reçue le 4/11/2024 ; Émet, le 30 janvier 2025, l'avis suivant : I. OBJET DE LA DEMANDE D'AVI 1. Le 4 novembre 2024, le demandeur a sollicité l'avis de l'Autorité au sujet des articles 14, 16, 20 – 21, 25 et 32 – 34 de la proposition de loi relative à la sécurité dans les domaines récréatifs (ci-après : le projet). 2. Cette proposition de loi reprend partiellement le texte des propositions DOC 53 2224/001, DOC 54 373/001 et DOC 55 3434/001, en tenant compte en particulier des avis déjà recueillis concernant la proposition DOC 55 3434/001. Enfin, il faut également se référer à cet égard à l'avis n° 18/20231 de l'Autorité concernant une proposition de loi modifiant la nouvelle loi communale en vue de faciliter l’instauration d’une interdiction nationale d’accès aux domaines récréatifs, avec pour principales critiques l'absence de définition claire de la notion de "domaine récréatif", le manque de clarté quant à savoir à quelles conditions et dans quelles circonstances une personne peut être sanctionnée 2, l'encadrement insuffisant du rôle des exploitants de domaines récréatifs en matière de sanction et de contrôle des interdictions de domaine et des interdictions de périmètre et le nombre insuffisant de mesures prises pour garantir le respect du droit à la protection des données. Dans le présent avis, l'Autorité examine en particulier dans quelle mesure ces critiques ont été prises en compte. 3. Le projet se situe dans le cadre de la gestion et du traitement des comportements inacceptables au sein et aux abords des domaines récréatifs. Conformément aux développements du projet, le demandeur vise à instaurer un cadre obligeant les exploitants de domaines récréatifs à créer eux-mêmes une série de conditions de sécurité, telles que par exemple l'élaboration d’un règlement d’ordre intérieur3. Sont ensuite déterminés le champ d'application ratione temporis (les horaires durant lesquels il est possible d’infliger des sanctions administratives) et ratione materiae (les infractions passibles de sanctions). Concrètement en ce qui concerne les sanctions qui peuvent être infligées, l'on s'inspire de la loi du 21 décembre 1998 relative à la sécurité lors des matches de football (ci-après : la loi football), vu que le demandeur estime qu'il existe d'importantes similitudes entre les infractions visées dans les deux réglementations. 4 4. Le projet définit également les modalités pour l'infliction d’avertissements officiels et de sanctions effectives ainsi que les règles (particulières) pour la notification de la décision, la formation d'un recours ainsi que les délais à respecter et les exceptions à cet égard. 5. Enfin, le Titre 7 du projet définit les règles en matière de traitement de données et d'échange d'informations. Dans ce contexte la création d'un registre centralisé des personnes physiques ayant fait l'objet d'une ou plusieurs sanctions visées dans le projet est envisagée. Ce registre est accessible aux fonctionnaires désignés par le Roi qui sont chargés de l'infliction de ces sanctions et (de manière limitée) aux exploitants et aux responsables de la sécurité des domaines récréatifs ainsi qu'aux personnes qu'ils désignent qui sont chargées du contrôle de l'accès. II. EXAMEN QUANT AU FOND a. Base juridique 6. Rappel des principes : Toute norme régissant le traitement de données à caractère personnel (et constituant par nature une ingérence dans le droit à la protection des données à caractère personnel) doit être nécessaire et proportionnée et répondre aux exigences de prévisibilité et de précision dans le chef des personnes concernées. En vertu de l’article 6.3 du RGPD, lu en combinaison avec les articles 22 de la Constitution et 8 de la CEDH, une telle norme légale doit définir les éléments essentiels des traitements allant de pair avec l'ingérence de l'autorité publique. Dans ce cadre, il s'agit au moins : - de la (des) finalité(s) précise(s) et concrète(s) des traitements de données ; - de la désignation du (des) responsable(s) du traitement (à moins que cela ne soit clair) ; Toutefois, si les traitements de données à caractère personnel allant de pair avec l’ingérence de l’autorité publique représentent une ingérence importante dans les droits et libertés des personnes concernées, la norme légale doit également définir les éléments essentiels (complémentaires) suivants : - les (catégories de) données à caractère personnel traitées qui sont pertinentes et non excessives ; - les catégories de personnes concernées dont les données à caractère personnel seront traitées ; - les catégories de destinataires des données à caractère personnel ainsi que les circonstances dans lesquelles ils reçoivent les données et les motifs y afférents ; - le délai de conservation maximal des données à caractère personnel enregistrées ; - l'éventuelle limitation des obligations et/ou des droits visé(e)s aux articles 5, 12 à 22 et 34 du RGPD. 7. Application de ces principes : Dans le cas présent, au vu de la nature et de l'ampleur des traitements de données envisagés, des (catégories de) personnes concernées et des (catégories de) données à caractère personnel à traiter, il est indubitablement question d'une ingérence importante dans les droits et libertés des personnes concernées. Il est en effet question de traitements ayant lieu à des fins de surveillance ou de contrôle, à savoir la sanction de personnes, dont, le cas échéant, des mineurs, qui commettent des infractions au sens du projet. L'identité de ces personnes ainsi que l'infraction (les infractions) sont enregistrées dans un registre central afin de permettre aux fonctionnaires sanctionnateurs et aux exploitants de domaines récréatifs de faire appliquer les sanctions infligées (parmi lesquelles, par exemple, une interdiction de domaine ou de périmètre). Il est donc nécessaire que les éléments essentiels 'complémentaires' du traitement soient établis dans une norme légale formelle. b. Finalité 8. Conformément à l'article 5.1.b) du RGPD, le traitement de données à caractère personnel ne peut être effectué que pour des finalités déterminées, explicites et légitimes. 9. Il a déjà été clarifié ci-avant que le projet se situe dans le contexte de la sanction de comportements inacceptables au sein et aux abords des domaines récréatifs 5 et du contrôle effectif du respect des sanctions infligées. 10. Tout d'abord, l’article 33, § 2 du projet dispose ce qui suit : " § 2. Le traitement des données visé au paragraphe 1er vise à punir toute infraction éventuelle d’une sanction administrative.” L'article 34, §§ 1 - 2 du projet spécifie ensuite : "Toute décision imposant, en vertu de la présente loi, un avertissement, une amende administrative, une interdiction de domaine administrative, une interdiction de domaine judiciaire ou une interdiction de domaine à titre de mesure de sécurité est communiquée à un fonctionnaire désigné par le Roi, selon les modalités fixées par Lui par arrêté délibéré en Conseil des ministres. § 2. Le fonctionnaire visé au paragraphe 1er tient un seul fichier des personnes physiques qui ont fait l’objet d’une ou de plusieurs sanctions visées au paragraphe 1 er. (…) Ce fichier vise à assurer la gestion des sanctions.” Le paragraphe 5 de ce même article ajoute ce qui suit : "Pour le contrôle du respect de l’interdiction de domaine administrative ou judiciaire infligée ou de l’interdiction de domaine imposée à titre de mesure de sécurité, l’exploitant et le responsable de la sécurité d’un domaine récréatif ont accès aux données à caractère personnel du registre en vue d’obtenir un résultat “hit/no hit” concernant la présence ou l’absence d’une interdiction de domaine imposée (...). Il y a un résultat “hit” lorsque l’une des sanctions visées à l’alinéa 1 er a été infligée. En cas de résultat “hit”, la personne qui consulte le registre obtient la confirmation de l’existence d’un résultat “hit”, ainsi qu’une copie de la sanction infligée. Il y a un résultat “no hit” lorsqu’aucune sanction visée à l’alinéa 1er n’a été infligée. En cas de résultat “no hit”, la personne qui consulte le registre est informée qu’il y a un résultat “no hit”. La consultation a lieu au travers d’un accès électronique dont les modalités sont fixées par le Roi. 11. La finalité du traitement est donc double. Tout d'abord, les données à caractère personnel des contrevenants (potentiels) doivent être traitées afin de pouvoir constater les infractions et pouvoir ensuite les sanctionner (ou non)6. Ensuite, ces données seront enregistrées afin de permettre aux fonctionnaires sanctionnateurs et aux exploitants de domaines de contrôler effectivement le respect d'une interdiction de domaine ou de périmètre. 12. Bien que l'Autorité considère qu'il s'agit en principe de finalités déterminées, explicites et légitimes, elle estime néanmoins - malgré la délégation au Roi de préciser les modalités d'accès électronique au registre central des sanctions par les exploitants de domaines - qu'il convient de développer davantage ou de préciser les modalités du système 'hit/ no hit' dans le projet, ou du moins dans les développements. En effet, les modalités de mise en œuvre du contrôle touchent intrinsèquement au caractère légitime et à la proportionnalité espérée des finalités. Dans le présent contexte, il est particulièrement important de préciser à cet égard les modalités du contrôle et plus précisément, s'il aura lieu de façon purement aléatoire 7ou bien systématique 8 (l'aspect organisationnel). Sur le plan technique, le contrôle s'effectue par la présentation et la lecture de la carte d'identité du visiteur concerné afin de vérifier s'il figure dans le registre central et, plus précisément, si une interdiction de domaine ou de périmètre lui a été infligée. 13. Comme expliqué de manière circonstanciée dans l'avis n° 18/2023, il peut suffire à cet effet que le fonctionnaire désigné par le Roi mette le registre des sanctions à disposition sous la forme d'une liste reprenant les données d'identification hachées des personnes concernées, fournie avec un filtre Cuckoo. Un filtre Cuckoo est un fichier de filtrage généré régulièrement (par exemple quotidiennement ou hebdomadairement) sur la base des données d'identité hachées de toutes les personnes auxquelles une sanction a été infligée et qui peuvent se voir refuser l'accès au domaine récréatif. Lors du contrôle de l'accès, la carte d'identité de la personne concernée est croisée ou comparée avec le fichier filtre à l'aide d'un programme, ce qui produit un résultat 'hit' ou 'no hit'. Le filtre peut encore être affiné s'il était souhaitable d'afficher non seulement l'existence d'une sanction active, mais aussi la nature de la sanction 9 et le mois ou la semaine où la sanction expire. Compte tenu du fait que l'eID de la personne concernée doit de toute façon être présentée lors du contrôle de l'accès, l'Autorité estime que la mention de la nature de la sanction (et, le cas échéant, de son délai d'expiration) peut suffire, en cas de résultat 'hit', à vérifier la légitimité d'un refus d'accès par le contrôleur, mais aussi à le motiver à l'égard du visiteur refusé. 14. L'Autorité observe en outre que lors du contrôle de l'accès, aucune journalisation ne peut avoir lieu sur le dispositif qui lit la carte d'identité et transmet les informations au programme. 15. La méthode de travail décrite ci-dessus permet d'empêcher que le service qui gère le registre central des sanctions reçoive des informations relatives à l'identité des visiteurs d'un domaine récréatif, vu que la procédure de vérification s'effectue entièrement au niveau local et hors ligne (autrement dit, aucun couplage n'a lieu entre les résultats du contrôle de l'accès et le registre central). En outre, cette méthode permet d'éviter que l'exploitant du domaine (ou ses préposés) ai(en)t directement accès aux données à caractère personnel dans le registre (en effet, le programme permet uniquement de vérifier si un visiteur spécifique (dont les données sont connues) apparaît ou non sur la liste). Afin de permettre une certaine forme de contrôle ex post10, il est par contre acceptable que le programme rapporte au service (le responsable du traitement du registre) la fréquence d'utilisation (par jour ou par semaine) et le nombre de 'hits'. 16. À cet égard, il est encore recommandé de préciser la procédure à suivre lorsqu'il est constaté à l'entrée d'un domaine récréatif que le visiteur présente une eID qui ne lui appartient manifestement pas ou ne dispose pas d'une carte d'identité belge (par exemple les touristes). Il convient également de consacrer une attention particulière à la protection des données de journalisation des utilisateurs, par exemple lorsqu'un ticket d'entrée peut être acheté en ligne et qu'une vérification a déjà lieu à ce moment-là (via un lecteur d'eID ou itsme). Enfin, le projet doit prévoir une possibilité de contrôle en cas de suspicion d'enregistrement erroné dans le registre central des sanctions11 (ce qui donnerait lieu à un refus d'accès injustifié). L'existence d'une telle possibilité et ses modalités doivent être reprises dans le règlement d'ordre intérieur et doivent pouvoir être consultées à chaque endroit où un contrôle d'identité peut avoir lieu. 17. De manière générale, l'Autorité fait encore remarquer qu'un éventuel contrôle systématique de l'identité constituerait une ingérence dans les droits fondamentaux des personnes qui accèdent ou souhaitent accéder à un domaine récréatif et qu'il convient par conséquent de veiller en tout temps à l'équilibre entre l'importance de maintenir/garantir la tranquillité et l'ordre publics au sein des domaines récréatifs d'une part et les droits fondamentaux des personnes concernées en matière de respect de la vie privée et de protection des données, d'autre part. S'il s'agit par contre de contrôles sélectifs ou aléatoires, il convient de se montrer particulièrement attentif au risque accru de discrimination. À cette fin, il est nécessaire de prendre des dispositions au moins au niveau interne (le cas échéant, par le biais des lignes directrices internes de chaque domaine récréatif) afin de veiller à ce que le contrôle de l'accès repose sur une base objective et que son caractère aléatoire soit établi et démontrable. c. Responsable du traitement 18. Conformément à l’article 4.7) du RGPD, le responsable du traitement est toute personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre. Dans un souci d’exhaustivité, l’Autorité rappelle que la désignation du responsable du traitement doit être adéquate au regard des circonstances factuelles. Tant le Comité européen de la protection des données que l’Autorité ont insisté sur la nécessité d’approcher ces concepts dans une perspective factuelle. Il est donc nécessaire de désigner la ou les entités qui, dans les faits, poursui(ven)t la finalité du traitement visé et en assure(nt) la maîtrise. 19. L’Autorité fait également remarquer qu’en cas de responsabilité conjointe du traitement, l’article 26 du RGPD s’applique et pour les conséquences pratiques, elle renvoie au point 2 de la deuxième partie des lignes directrices 07/2020 établies le 2 septembre 2020 par le Comité européen de la protection des données concernant les notions de responsable du traitement et de sous-traitant dans le RGPD.12 Il conviendra notamment de définir de manière transparente qui est responsable pour répondre aux personnes concernées qui souhaitent exercer les droits qui leur sont conférés dans le cadre du RGPD (sans préjudice du fait que conformément à l’article 26.3 du RGPD, les personnes concernées peuvent exercer leurs droits dans le cadre du RGPD vis-à-vis de chacun des responsables conjoints du traitement). 20. Tout d'abord, l’article 33, § 3 du projet prévoit ce qui suit : "Le service du fonctionnaire visé à l’article 16, § 1er, alinéa 1er, est compétent pour le traitement de ces données à caractère personnel." Il s'agit notamment des données traitées par le fonctionnaire désigné par le Roi en vue de sanctionner d'éventuelles infractions au moyen d'une sanction administrative (le fonctionnaire sanctionnateur). Il ressort des développements que par analogie avec la loi football, ce service sera le SPF Intérieur. Il est possible que ce soit l'actuelle cellule football qui sera concrètement chargée de cette mission. 21. L’article 34, § 2 du projet dispose ensuite ce qui suit : "Le fonctionnaire visé au paragraphe 1er tient un seul fichier des personnes physiques qui ont fait l’objet d’une ou de plusieurs sanctions visées au paragraphe 1er. Le service pour lequel travaille le fonctionnaire est responsable du traitement de ce fichier." 22. À cet égard, l'Autorité estime qu'en ce qui concerne la constatation et la sanction des infractions, ainsi que l'enregistrement des infractions dans le registre central des sanctions, la désignation du service (SPF Intérieur) comme responsable du traitement correspond au rôle que cet acteur assumera dans la pratique. Néanmoins, il est recommandé de déjà y définir également la qualité concrète des exploitants de domaines. En vertu du projet, certaines obligations et compétences sont en effet imposées / attribuées aux exploitants de domaines. Les exploitants (ou leurs préposés) doivent élaborer un règlement d'ordre intérieur 13 et contrôler le respect des interdictions de domaines imposées, contrôle dans le cadre duquel ils doivent traiter certaines données de leurs visiteurs et, en outre, pouvoir accéder (de façon indirecte et limitée) au registre des sanctions, conformément à l'article 34, § 5 du projet. Pour ces finalités de traitement, il convient donc de vérifier s'il est question d'une responsabilité unique ou conjointe, ou bien d'une relation de sous-traitance au sens de l'article 28 du RGPD 14. En fonction de la qualification concrète, les dispositions respectives du RGPD devront être prises en compte. 23. Dans ce contexte, il convient de souligner que les dispositions du projet, et plus précisément la désignation du SPF Intérieur en tant que responsable du traitement pour la sanction d'éventuelles infractions et la gestion du registre des sanctions, n'affectent pas la responsabilité des agents de surveillance (externes), des services de police (locale) (les verbalisants) et, le cas échéant, du ministère public pour les traitements de données qu'ils effectuent dans le cadre de leurs missions légales. 24. Enfin (à titre plutôt rédactionnel), eu égard à la constatation selon laquelle le terme 'responsable du traitement' est utilisé à plusieurs reprises dans le projet, l'Autorité recommande de désigner explicitement le service concerné (à savoir le SPF Intérieur) en tant que responsable du traitement à l'article 33, § 3 du projet.15 Actuellement, il est simplement indiqué que le service précité est compétent pour les traitements de données visés. Cela occasionne des problèmes d'interprétation, en particulier à la lecture de l'article 34 du projet, en vertu duquel les exploitants de domaines doivent communiquer certaines données au "responsable du traitement". Dans ce contexte, il est donc crucial que l'identité du responsable du traitement soit établie sans ambiguïté. d. Proportionnalité/Minimisation des données 25. L'article 5.1.c) du RGPD prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités visées (principe de ‘minimisation des données’). 26. À cet égard, il convient de faire une distinction entre le traitement de données à caractère personnel de visiteurs et de (potentiels) contrevenants d'une part (tant en ce qui concerne l'infliction de sanctions en soi que la mention dans le registre central des sanctions) et le traitement de données à caractère personnel de certains collaborateurs des exploitants de domaines, d'autre part. 27. Tout d'abord, l'article 33, § 1er, alinéa 1er du projet, qui se rapporte aux traitements effectués en vue de sanctionner d'éventuelles infractions, dispose ce qui suit : "Dans le cadre de l’application de la présente loi, les données à caractère personnel suivantes peuvent être traitées : les données d’identification du contrevenant, notamment ses nom, prénoms et date de naissance, son lieu de résidence principal, son numéro de registre national, les données relatives à la capacité et à la représentation et les données relatives à la tutelle et la filiation. 28. En ce qui concerne les nom, prénoms, date de naissance et lieu de résidence principal, l'Autorité ne formule aucune remarque particulière. 29. En ce qui concerne le traitement du numéro de Registre national, l'Autorité reconnaît l'importance d'une identification correcte et du traitement de données qui répondent aux exigences de qualité et d'exactitude. Elle souligne toutefois que l’utilisation du numéro de Registre national en Belgique est strictement régie par l'article 8 de la loi du 8 août 1983 organisant un registre national des personnes physiques. L'Autorité rappelle également de manière générale que les numéros d'identification uniques bénéficient d'une protection particulière. L’article 87 du RGPD prévoit que les États membres qui définissent un numéro d’identification national doivent veiller à ce qu’il ne soit utilisé que sous réserve de garanties appropriées pour les droits et libertés de la personne concernée. Ainsi, la Commission de la protection de la vie privée, prédécesseur en droit de l'Autorité, a déjà attiré précédemment16 l'attention sur le respect des conditions suivantes en la matière : - l’utilisation d’un numéro d’identification général doit être limitée aux cas où il est strictement nécessaire étant donné que son utilisation implique des risques en termes d’interconnexion de fichiers ; - les finalités doivent être précisées clairement et explicitement afin que l’on puisse entrevoir/prévoir les types de traitements visés ; - la durée de conservation et les éventuelles communications à des tiers doivent également être encadrées ; - des mesures techniques et organisationnelles doivent encadrer adéquatement l’utilisation sécurisée ; et - le non-respect des dispositions encadrant l’utilisation doit être sanctionné au moyen de sanctions effectives, proportionnées et dissuasives. 30. À cet égard, l'Autorité se demande s'il n'est pas indiqué de mentionner également le numéro bis, étant donné que tous les contrevenants ne disposeront pas nécessairement d'un numéro de Registre national. 31. L'Autorité estime en outre qu'il est également nécessaire de clarifier ce que recouvre concrètement la notion de "capacité" et dans quel but cette information sera traitée. La capacité peut en effet être liée à l'âge (moins de quatorze ans, entre quatorze et dix-huit ans ou majeur), mais aussi à la capacité juridique (non liée à l'âge) de la personne concernée. Cette distinction est importante car si seule cette dernière catégorie est visée, il sera le cas échéant question d'un traitement de données à caractère personnel liées à la santé ou de données à caractère personnel autrement sensibles, qui bénéficient d'une protection particulière en vertu de l'article 9.1 du RGPD, et dont le traitement est uniquement possible à condition de pouvoir invoquer un des motifs d'exception visés à l'article 9.2 du RGPD. Dans le présent contexte, le traitement de telles données ne peut être légitime que s'il est absolument et manifestement nécessaire à l'appréciation concrète d'une situation particulière17. Par exemple, si l'incapacité juridique de la personne concernée a pour conséquence qu'il ne soit pas question d'une infraction au sens du projet, ou si elle donne lieu à des circonstances atténuantes. En tout état de cause, l'Autorité demande que les notions d' 'âge' et de 'capacité' soient reprises séparément dans le projet et que la manière dont la notion de 'capacité' doit être interprétée soit explicitement précisée, par exemple dans les développements. 32. Enfin, en ce qui concerne les 'données relatives à la tutelle et la filiation', l'Autorité estime nécessaire de préciser dans les développements que dans le présent contexte, 'filiation' se rapporte uniquement à l'établissement de la parentalité et d'ajouter, par analogie avec l'article 34, § 3, 1er alinéa du projet18, la partie de phrase suivante : “… dans le cas d'un mineur, les données relatives à la tutelle et à la filiation. ” 33. L'article 34, § 3, 1er alinéa du projet détermine ensuite quelles données sont reprises dans le registre central des sanctions : “§ 3. Ce fichier contient les données à caractère personnel et les informations suivantes : 1° les nom, prénoms et date de naissance, et la résidence principale des personnes qui font l’objet de sanctions ; s’il s’agit d’un mineur, les noms, prénoms et date de naissance, et la résidence de chaque titulaire qui exerce l’autorité parentale sur le mineur ; 2° la nature des faits commis ; 3° la nature de la sanction, ainsi que le jour où elle a été infligée ; 4° les sanctions qui ne sont plus susceptibles de recours." 34. Bien qu'à la lumière de ce qui a déjà été expliqué ci-dessus, les catégories de données susmentionnées n'appellent aucune remarque particulière (supplémentaire), l'Autorité estime que, en vue du contrôle ex post du respect des interdictions de domaine ou de périmètre, il est néanmoins nécessaire d'enregistrer également dans le registre le numéro de registre national ou le numéro bis du contrevenant. En effet, dans la mesure où ce contrôle s'effectue par la présentation et la lecture de la carte d'identité de la personne concernée, le numéro de Registre national ou le numéro bis constitue la donnée par excellence pour obtenir, après croisement avec le fichier central, un résultat 'hit / no hit'. Il convient de modifier utilement le projet en ce sens. Il paraît en outre indiqué de préciser que la photo de la personne concernée (sur la carte d'identité) peut également être traitée, notamment en vue du contrôle de l'accès (premièrement afin de pouvoir établir que la personne figurant sur la photo est la même que celle qui présente son eID pour le contrôle). 35. Deuxièmement, les données d'identification de certains collaborateurs des exploitants de domaines sont également traitées. À cet égard, l’article 34, § 5 du projet dispose ce qui suit : "§ 5. L’exploitant et le responsable de la sécurité d’un domaine récréatif peuvent déléguer aux personnes, nommément désignées par écrit et chargées du contrôle de l’accès, leur accès au registre. Cette délégation doit être motivée et justifiée par les nécessités du service. La liste de ces personnes nommément désignées doit être communiquée sans délai par l’exploitant et le responsable de la sécurité au responsable du traitement. La liste des personnes qui ont ainsi accès au registre doit être tenue à disposition de l’Autorité de protection des données par le responsable du traitement. Le responsable du traitement doit veiller à ce que les personnes désignées soient tenues au respect du caractère confidentiel des données concernées." 36. À cet égard, à des fins de journalisation et de suivi des contrôles d'identité, il semble justifié de tenir une liste des personnes chargées du contrôle de l'accès et de tenir cette liste à la disposition de l'Autorité. Ceci ne porte toutefois pas préjudice à ce qui est exposé au point 13, à savoir que l' 'accès' au registre central des sanctions par les exploitants de domaines ou leurs préposés doit rester limité aux données hachées des personnes concernées, où après lecture de l'eID, seul un résultat 'hit' avec mention de la nature de la sanction ou un résultat 'no hit' s'affiche. 37. Enfin - dans la mesure où le périmètre autour du domaine récréatif implique une zone au sein de laquelle les données à caractère personnel de toute personne pourraient être traitées en vue d'atteindre les finalités visées dans le projet -, l'Autorité exprime sa préoccupation plus générale concernant la légitimité et le caractère justifié de la possibilité, dans le contexte du projet, d'infliger des sanctions dans ce périmètre, lequel est fixé à un rayon maximal de 1.000 mètres à partir de l'enceinte du domaine récréatif. L'Autorité considère qu'un rayon aussi vaste est insuffisamment (lire : n'est pas) légitime et soulève donc, à plusieurs égards, des interrogations sur la proportionnalité de ces mesures, en particulier compte tenu de l'arrêt n° 44/2015 de la Cour constitutionnelle dans lequel la Cour a estimé - en ce qui concerne l'interdiction de lieu19 - que celle-ci n'est compatible avec la liberté de circulation personnelle que dans la mesure où le périmètre en question n'est pas plus vaste que nécessaire pour empêcher ou mettre un terme aux troubles de l'ordre public. Une interdiction de périmètre qui peut s'étendre jusqu'à 1.000 mètres au-delà des limites extérieures du domaine récréatif va bien au-delà de ce qui est nécessaire pour "éviter que les troubles ne se déplacent en dehors des limites du domaine récréatif" - une finalité qui peut d'ailleurs tout aussi bien être poursuivie en recourant aux compétences de police normales dont disposent les bourgmestres en vertu de la Nouvelle loi communale.20 38. Premièrement, l'Autorité estime qu'en l'espèce, il ne peut y avoir aucune comparaison entre la loi football d'une part et la sécurité des domaines récréatifs, d'autre part. En effet, les mesures relatives au périmètre prévues dans la loi football visent (en premier lieu) à protéger des ((dizaines de) milliers de) supporters et les membres des forces de l'ordre qui se trouvent à proximité d'un stade avant ou après un match de football, ou à intercepter à temps les bus organisés transportant des hooligans pour établir l'identité de leurs occupants. L'interdiction de périmètre dans la loi football est en outre beaucoup plus limitée dans le temps : elle s'applique à partir de cinq heures avant le début du match de football et se termine cinq heures après 21. Ces finalités ne peuvent donc pas être invoquées mutatis mutandis comme motif de justification dans le présent contexte. Il va également de soi que la simple mention dans les développements de l'article 2 du projet que "les incidents observés au cours des dernières années dans les domaines récréatifs se sont également produits à l’extérieur de l’enceinte de ces domaines " peut difficilement justifier la portée de certaines mesures. 39. Deuxièmement - compte tenu à nouveau du périmètre particulièrement vaste qui est établi -, l'Autorité se demande comment le fonctionnaire verbalisateur doit démontrer le lien entre les infractions visées aux articles 6 (le jet d'objets) et 11 (l'incitation à la haine ou à la violence) du projet et le maintien de la sécurité dans les domaines récréatifs. De telles infractions peuvent en effet déjà être sanctionnées actuellement, sans qu'il soit nécessaire que le contrevenant concerné agisse avec l'intention de semer la pagaille au sein ou aux abords du domaine récréatif. Dans la mesure où à la suite de tels faits, une interdiction de domaine ou de périmètre serait imposée, le rapport avec le domaine (la sécurité du domaine) récréatif doit être indubitablement établi et démontrable. 40. Troisièmement, l'Autorité attire l'attention sur les conditions strictes qui, en vertu du chapitre 3 de la loi du 2 octobre 2017 réglementant la sécurité privée et particulière , s'appliquent aux services internes de gardiennage. À cet égard, l'Autorité rappelle que conformément à l'article 24, quatrième alinéa j° l'article 115, 2° de la même loi, sur la voie publique (lisez : dans le périmètre du domaine récréatif), les agents de gardiennage de tels services (agréés) peuvent uniquement exercer des activités de gardiennage relatives au gardiennage d'événements. Ceci est difficilement compatible avec l'article 8 du projet, qui dispose ce qui suit : "(...) peut encourir une ou plusieurs sanctions visées aux articles 12 et 13, quiconque ne respecte pas dans le domaine récréatif ou le périmètre les directives ou injonctions données par un agent de gardiennage ou un membre du service interne de gardiennage dans l’exercice de ses tâches (...)" Un tel pouvoir nécessiterait en effet (au minimum) que l'agent de gardiennage concerné (du service interne) soit en mesure de faire produire aux personnes des documents d'identité (en dehors du cadre du contrôle de l'accès) ou de s'en saisir et, en attendant l'arrivée de la police, de les empêcher de s'enfuir. Il est donc évident que l'article 8 du projet doit être modifié en profondeur, en fonction des prescriptions de la loi précitée. 41. En résumé, l'Autorité estime qu'il est nécessaire de revoir en profondeur à la fois l'étendue du périmètre ainsi que la nature et la gravité des sanctions possibles à cet égard et de les motiver explicitement dans les développements. En effet, à l'heure actuelle, l'Autorité se voit contrainte de donner un avis résolument négatif sur cet aspect du projet. e. Délai de conservation 42. En vertu de l'article 5.1.e) du RGPD, les données à caractère personnel ne peuvent pas être conservées sous une forme permettant l’identification des personnes concernées pendant une durée excédant celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. 43. Tout d'abord, l’article 33, § 4 du projet prévoit ce qui suit : " Les données à caractère personnel sont conservées pendant une période qui, au maximum, est égale au délai de conservation des données dans le registre conformément à l’article 34.22Les données à caractère personnel sont conservées au maximum pendant la période durant laquelle une sanction administrative peut être infligée conformément à l’article 2323. Si une sanction administrative est effectivement infligée, les délais de conservation de l'article 34 sont appliqués. En tout état de cause, les données à caractère personnel ne peuvent être conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées.24” 44. L’article 34, § 3, alinéa 2 du projet dispose à son tour ce qui suit : "Les données visées à l’alinéa 1er sont conservées pendant cinq ans à compter du jour où la sanction a été infligée. Passé ce délai, elles sont soit détruites, soit anonymisées." 45. L'Autorité estime qu'un tel délai se justifie à la lumière de la durée maximale d'une interdiction de domaine ou de périmètre (à savoir cinq ans) et du délai de conservation actuellement en vigueur pour les sanctions administratives communales. Néanmoins, il paraît indiqué dans ce cas de faire débuter le délai de conservation à partir du moment où la sanction est coulée en force de chose jugée (après l'expiration du délai de recours, ou après épuisement de toutes les voies de recours), afin qu'aucune confusion ne subsiste quant au moment où la sanction a été infligée. 46. Un tel délai de conservation ne porte toutefois pas préjudice au fait qu'après l'expiration d'une interdiction de domaine, il ne peut en aucun cas être possible pour l'exploitant de domaine ou ses préposés de prendre connaissance de l'existence de cette interdiction de domaine25. 47. Pour les données qui sont traitées par la police et la justice, on peut évidemment renvoyer aux délais de conservation qui leur sont applicables, conformément à leur législation-cadre respective. 48. Deuxièmement, l'Autorité constate qu'aucun délai de conservation n'est établi pour les données d'identification des préposés au contrôle de l'accès. Il est nécessaire de fixer un délai de conservation maximal pour ces données également. Ce délai de conservation ne peut en aucun cas être plus long que les délais de conservation établis pour les données de journalisation ( infra)). 49. Enfin, l'Autorité formule plusieurs remarques concernant les délais de conservation établis pour les données de journalisation en vertu respectivement des articles 33, § 5 et 34, § 6 du projet : - vu que les traitements de données visés à l'article 33 du projet concernent en premier lieu la constatation et la sanction effectives des infractions, l'Autorité se demande quelles consultations doivent faire l'objet de la journalisation prescrite 26. Il est recommandé de préciser cet aspect. L'Autorité se demande également quel est le motif de justification pour le délai de conservation de cinq ans, à compter de l'expiration du délai de conservation visé à l'article 33, § 4 du projet. L'expiration de ce dernier délai implique en effet qu'aucune sanction n'a été imposée, ou que la sanction en question a été exécutée, qu'il n'existe plus la moindre voie de recours et que les données à caractère personnel concernées ont été détruites ou anonymisées. En tant que tel, l'Autorité ne voit pas quelle est la valeur ajoutée de ce délai de conservation supplémentaire pour les données de journalisation et demande qu'il soit raccourci de manière appropriée27; - en ce qui concerne le délai de conservation des fichiers de journalisation visés à l'article 34, 1er alinéa, 2° du projet28, l'Autorité estime également que des précisions s'imposent. Actuellement, on a l’impression que les fichiers de journalisation seront conservés indéfiniment, tant que le registre central des sanctions est tenu, ce qui permet difficilement de réussir le test de proportionnalité. Par analogie avec les arguments développés au tiret précédent, l'Autorité estime qu'un délai de conservation (pour les fichiers de journalisation) de deux ans maximum après la suppression définitive d'un dossier du fichier central peut largement suffire. PAR CES MOTIFS, l’Autorité, estime que les modifications suivantes s'imposent dans le projet : - préciser davantage les modalités du système ‘ hit / no hit’ conformément à ce qui est exposé aux points 12 – 17 ; - définir la qualité de l'exploitant de domaine dans le cadre du contrôle de l'accès et de la 'consultation' du registre central des sanctions 22) ; - désigner explicitement le service qui est responsable du traitement (point 24) ; - outre le numéro de Registre national, mentionner également le numéro bis (point 30) ; - préciser la notion de ‘capacité’ (point 31) ; - préciser que la notion de ‘filiation’ concerne uniquement l'établissement de la parentalité (point 32) ; - reprendre également le numéro de Registre national et le numéro bis, ainsi que la photo de la personne concernée dans les catégories de données à caractère personnel qui seront traitées (point 34) ; - revoir l'étendue du périmètre ainsi que la nature et la sévérité des sanctions qui peuvent être infligées au sein du périmètre, à la lumière de ce qui est exposé aux points 37 – 41 ; - préciser que le délai de conservation pour les données à caractère personnel débute au moment où la sanction est coulée en force de chose jugée (point 45) ; - établir un délai de conservation (maximal) pour la liste des personnes chargées du contrôle de l'accès 48 ; - revoir les dispositions en matière de délais de conservation pour les fichiers de journalisation conformément à ce qui est exposé au point 49. Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2025:AVIS.20250130.2