ECLI:BE:GBAPD:2025:AVIS.20250327.2

Avis n° 18/2025 du 27 mars 2025 Objet: Demande d’avis concernant un avant-projet d’arrêté du gouvernement modifiant l’arrêté du gouvernement du 23 avril 2015 réglant le remboursement de frais dans certaines institutions de la Communauté germanophone (CO-A-2025-004) Introduction : L’avis porte sur un avant-projet d’arrêté du gouvernement modifiant l’arrêté du gouvernement du 23 avril 2015 réglant le remboursement de frais dans certaines institutions de la Communauté germanophone. L’article de l’avant-projet faisant l’objet de la demande d’avis concerne la procédure de remboursement de frais de restaurant avancés par les agents de certaines institutions de la Communauté germanophone. Plus particulièrement, cet article requiert que l’agent qui introduit une demande de remboursement fournisse systématiquement le nom des convives qui ont participé au repas sur lequel porte la demande (les personnes concernées). Cette information s’ajoute à une série d’informations que l’agent doit déjà fournir en vertu de l’arrêté du gouvernement du 23 avril 2015. L’Autorité estime que le traitement envisagé ne répond pas aux exigences du principe de légalité dès lors qu’il n’est pas fondé sur une norme à valeur législative. L’Autorité formule également des observations relatives aux principes de nécessité et proportionnalité. Pour une liste exhaustive des observations, se rapporter au dispositif. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité »), Présent.e.s : Mesdames Cédrine Morlière, Nathalie Ragheno, Griet Verhenneman et Messieurs Bart Preneel, Yves-Alexandre de Montjoye et Gert Vermeulen; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après « LCA »); Vu l’article 43 du règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »); Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD »); Vu la demande d'avis de Monsieur Oliver Paasch, ministre président, ministre des collectivités locales, de l'aménagement du territoire et des finances (ci-après « le demandeur »), reçue le 20 janvier 2025; Vu les informations complémentaires reçues le 13 et le 20 février 2025 ; Émet, le 27 mars 2025, l'avis suivant : I. OBJET ET CONTEXTE DE LA DEMANDE 1. En date du 20 janvier 2025, le demandeur a sollicité l’avis de l’Autorité en ce qui concerne un avant- projet d’arrêté du gouvernement modifiant l’arrêté du gouvernement du 23 avril 2015 réglant le remboursement de frais dans certaines institutions de la Communauté germanophone (l’ « avant-projet »). 2. L’arrêté du gouvernement du 23 avril 2015 réglant le remboursement de frais dans certaines institutions de la Communauté germanophone (l’ « arrêté du 23 avril 2015 »), que l’avant-projet propose de modifier, établit les conditions dans lesquelles les agents de certaines institutions de la Communauté germanophone1 peuvent prétendre au remboursement de certains frais 2. En particulier, l’article 19 de cet arrêté prévoit la procédure pour obtenir le remboursement de frais de restaurant. Cette disposition est rédigée comme suit : « Art. 19 - Remboursement des frais de restaurant Le remboursement des frais encourus pour des repas de travail s’effectue sous la forme d’un remboursement des dépenses justifiables. Outre les pièces justificatives originales, les informations suivantes seront jointes au décompte introduit par l’agent : 1° nom et localisation du restaurant; 2° date du repas de travail; 3° nombre de personnes présentes; 4° justification. » 3. L’article 2 de l’avant-projet, sur lequel la demande d’avis porte, prévoit la modification de l’article 19, al 2, 3° de l’arrêté du 23 avril 2015 afin qu’il y soit ajouté que l’agent doit également communiquer le nom des personnes présentes au repas pour lequel l’agent demande un remboursement de frais. En réponse à une question de l’Autorité à ce sujet, le demandeur a indiqué, par e-mail du 13 février 2025, qu’il fallait comprendre que la notion de nom recouvrait le prénom et le nom de famille des convives. II. EXAMEN DE LA DEMANDE D’AVI a. Principe de légalité 4. Aux termes de l’article 22 de la Constitution, lu en combinaison avec l’article 8 de la CEDH et 6.3 du RGPD, une norme de rang législatif doit déterminer dans quelles circonstances un traitement de données est autorisé. Conformément aux principes de légalité et de prévisibilité, cette norme législative doit ainsi, en tout cas, fixer les éléments essentiels du traitement. Dans ce contexte, l’Autorité s’est posée la question de déterminer quelle norme législative fixait les éléments essentiels du traitement prévu à l’article 2 de l’avant-projet. Interrogé sur la question, le demandeur a indiqué qu’il s’agirait d’une question concernant le statut des agents de la Communauté germanophone et qu’elle devait à ce titre être réglée par le pouvoir exécutif et non législatif. 3 L’Autorité n’est pas convaincue par cette position dans la mesure où le traitement envisagé dépasse le cadre strict du statut : il s’agit en effet de données qui concernent des personnes tierces, à savoir, les convives, qui ne sont à ce titre pas nécessairement soumises au statut des agents de la Communauté germanophone. Dans ce contexte, l’Autorité considère qu’à défaut de pouvoir invoquer une base légale à valeur normative pouvant fonder le traitement envisagé à l’égard de ces personnes, ce traitement ne peut être mis en œuvre au moyen de l’avant-projet. 5. Pour le surplus, dans l’hypothèse où une base légale à valeur normative existerait ou serait mise en place, l’Autorité souhaite attirer l’attention du demandeur sur les points qui sont repris dans les paragraphes suivants. b. Nécessité et proportionnalité du traitement 6. L’Autorité comprend, à la lecture de l’arrêté du 23 avril 2015 et des réponses que le demandeur a fournies par e-mail 13 février 2025, que l’article 2 de l’avant-projet entend renforcer le contrôle effectué sur les frais de restaurant pour lesquels les agents de certaines institutions de la Communauté germanophone demandent un remboursement afin d’éviter les abus (en particulier, que l’argent public soit utilisé pour couvrir des dépenses qui sont en réalité privées). Le demandeur a par ailleurs expliqué que les données nom et prénom seraient utilisées à des fins de contrôles aléatoires en cas d'anomalies, ces données permettant de mieux retracer le contexte. 4 Le demandeur a également expliqué qu’il était prévu que ces données soient conservées pendant 11 ans conformément au plan de classement et d'archivage : 1 an dans le bureau de l'agent et 10 ans dans les archives. 7. Si l’Autorité considère que la finalité poursuivie par le demandeur, à savoir le contrôle des dépenses de l’argent public, est une finalité légitime, déterminée et explicite (comme le requiert l’article 5, 1.b) du RGPD), l’Autorité s’interroge sur la nécessité et la proportionnalité de la mesure envisagée et en particulier de son caractère systématique. En effet, contrairement à l’encadrement des contacts entre les représentants d’intérêts et les membres du gouvernement et/ou les parlementaires, qui est susceptible d’impliquer la communication systématique des données d’identification des représentants d’intérêts pour une finalité de transparence5, la finalité de contrôle des dépenses ne peut en aucun cas justifier une mesure susceptible de permettre d’identifier précisément (ou de reconstituer) l’ensemble des contacts professionnels d’un membre du personnel. 8. Dans son avis 96/2021 du 14 juin 2021, l’Autorité a rappelé de façon claire les contours des principes de nécessité et proportionnalité en ces termes : « […] un traitement de données à caractère personnel est considéré comme étant nécessaire s’il constitue la mesure la moins attentatoire pour atteindre l’objectif (d’intérêt général) qu’il poursuit. Il faut donc : - Premièrement, que le traitement de données permette effectivement d’atteindre l’objectif poursuivi. Il faut donc démontrer, sur base d’éléments factuels et objectifs, l’efficacité du traitement de données à caractère personnel pour atteindre l’objectif recherché ; - Deuxièmement, que ce traitement de données à caractère personnel constitue la mesure la moins intrusive au regard du droit à la protection de la vie privée. Cela signifie que s’il est possible d’atteindre l’objectif recherché au moyen d’une mesure moins intrusive pour le droit au respect de la vie privée ou le droit à la protection des données à caractère personnel, le traitement de données initialement envisagé ne pourra pas être mis en place. Il faut, à cette fin, détailler et être en mesure de démontrer, à l’aide d’éléments de preuve factuels et objectifs, les raisons pour lesquelles les autres mesures moins intrusives ne sont pas suffisantes pour atteindre l’objectif recherché. Si la nécessité du traitement de données à caractère personnel est démontrée, il faut encore démontrer que celui-ci est proportionné (au sens strict) à l’objectif qu’il poursuit, c’est-à-dire qu’il faut démontrer qu’il existe un juste équilibre entre les différents intérêts en présence, droits et libertés des personnes concernées. En d’autres termes, il faut qu’il y ait un équilibre entre l’ingérence dans le droit au respect de la vie privée et à la protection des données à caractère personnel et l’objectif que poursuit – et permet effectivement d’atteindre – ce traitement. Les avantages qui découlent du traitement de données en question doivent donc être plus importants que les inconvénients qu’il génère pour les personnes concernées. À nouveau, il faut être en mesure de démontrer que cette analyse a bien été réalisée avant la mise en œuvre du traitement ».6 9. En l’espèce, rien ne garantit que le fait de fournir systématiquement les noms et prénoms des convives ayant participé au repas pour lequel un remboursement est demandé permettra utilement de renforcer le contrôle contre les demandes abusives de remboursement de frais de restaurant. Pour que cette mesure soit efficace, il faudrait que la personne en charge du contrôle puisse tirer, des noms et prénoms des convives, des conclusions quant au caractère public ou privé de la dépense pour laquelle un remboursement est demandé, ce qui n’est pas acquis. Si l’objectif est d’établir le caractère privé ou public d’une dépense de restaurant, il semblerait a priori plus utile de requérir d’autres données, moins intrusives, concernant les convives comme l’établissement pour lequel ils travaillent (et éventuellement leur service) ou, lorsque cette donnée n’est pas pertinente, la qualité en laquelle ils ont été conviés au repas. 10. Interrogé sur le caractère adéquat, pertinent et proportionné du traitement envisagé, le demandeur a reconnu par e-mail du 20 février 2025 que « les noms seuls ne donnent pas toujours un lien avec le contexte professionnel du repas de travail », tout en précisant qu’à son sens cette donnée permet de « se renseigner de manière ciblée ». Le demandeur a également ajouté, en réponse à la question de l’Autorité qui lui demandait s’il ne serait pas plus pertinent de collecter des données moins intrusives et plus pertinentes, comme l’établissement (et éventuellement le service) pour lequel le convive travaille que : « […] la seule désignation d'une entreprise ou d'une administration ne suffit pas non plus à exclure toute possibilité de fraude. On pense maintenant effectivement à demander une combinaison du nom des convives et de leur établissement ». 11. L’Autorité convient qu’une combinaison du nom et de l’établissement pour lequel travaillent les convives permettrait de contrôler de façon plus adéquate le caractère privé ou public des frais de restaurant. Cependant, comme indiqué supra, l’Autorité considère qu’une telle mesure ne serait pas proportionnée compte tenu de l’objectif poursuivi. L’Autorité souhaite rappeler à cet effet que : (i) les agents sont déjà requis de fournir une série d’informations à propos des frais de restaurant en vertu de l’article 19 de l’arrêté du 23 mai 2015 (voir ci-dessus, §.2) et (ii) le demandeur a indiqué que les données seraient utilisées à des fins de contrôles aléatoires en cas d’anomalies (voir ci-dessus, §. a). 12. L’Autorité considère que, dans ce contexte, il serait plus approprié, afin d’atteindre l’objectif poursuivi tout en respectant au mieux le droit au respect de la vie privée et à la protection des données à caractère personnel des convives, de prévoir la communication systématique de l’établissement et du service au sein de cet établissement pour lequel travaillent les convives ou lorsque cela n’est pas pertinent, la qualité en laquelle les convives ont été invités ET d’établir un système de contrôle en deux temps, en vertu duquel les données d’identification (nom et prénom) des convives ne devraient pas être divulguées systématiquement pour toute demande de remboursement de frais de restaurant, mais seulement lorsque le contrôle des informations que l’agent doit fournir en vertu de l’actuel article 19 de l’arrêté du 23 mai 2015 révèle une suspicion de fraude et, seulement dans la mesure où les données relatives aux convives seraient de nature à confirmer / infirmer cette suspicion. Il s’agirait dans ce cas de prévoir une période raisonnable maximum (à motiver en fonction des besoins de contrôle interne et externe) durant laquelle l’agent qui demande un remboursement de frais de restaurant doit conserver les données relatives aux convives. Par souci de complétude, l’Autorité souligne que : (i) à l’issue de la période de conservation, les données devront être supprimées et, (ii) avant suppression, les données devront être conservées de façon sécurisée. c. Période de conservation des données 13. Pour le surplus, même s’il ne s’agit pas d’un élément qui doit obligatoirement figurer dans l’avant- projet, l’Autorité souhaite attirer l’attention du demandeur sur le fait qu’une période de conservation des données des convives de 11 ans (1 an dans le bureau de l'agent et 10 ans dans les archives) est disproportionnée. L’Autorité comprend en effet que les données doivent servir à l’établissement du caractère privé ou public des frais de restaurant, ce qui doit se faire dans un délai relativement proche du moment où la dépense a été effectuée. Si l’Autorité comprend qu’un délai additionnel raisonnable peut être nécessaire dans le cas où une fraude serait détectée, par exemple, parce que ces données sont utilisées dans le cadre d’une procédure disciplinaire contre l’agent, une période de conservation de 11 ans (dont 10 années dans les archives) n’est néanmoins pas justifiée. PAR CES MOTIFS, L’Autorité estime que : - le traitement de données à caractère personnel tel qu’envisagé à l’article 2 de l’avant-projet ne répond pas aux exigences du principe de légalité dès lors qu’il n’est pas fondé sur une norme à valeur législative (§. 4) ; et - pour le surplus, le traitement de données à caractère personnel tel qu’envisagé à l’article 2 de l’avant-projet ne répond pas aux exigences des principes de nécessité et proportionnalité (§§.6 à 12). Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2025:AVIS.20250327.2