ECLI:BE:GBAPD:2025:AVIS.20250410.1

Avis n° 24/2025 du 10 avril 2025 Objet: Demande d’avis concernant un projet de décret de la communauté germanophone portant des mesures en matière d’enseignement et de formation - 2025 (CO-A-2025-008) Mots-clés : Enseignement – Communauté germanophone – Prévisibilité – Responsable du traitement - Répétition inutile Version originale Introduction : L’avis concerne un projet de décret de la communauté germanophone portant des mesures en matière d’enseignement et de formation, lequel présente des lacunes importantes en termes de prévisibilité. L’Autorité relève l’absence totale d’explication relative à la protection des données dans le commentaire des articles et rappelle sa pratique d’avis en matière de détermination des éléments essentiels du traitement. Pour une liste exhaustive des observations, se rapporter au dispositif. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité ») ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, en particulier les articles 23 et 26 (ci-après « LCA ») ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD ») ; Pour les textes normatifs émanant de l’Autorité fédérale, de la Région de Bruxelles-Capitale et de la Commission communautaire commune, les avis sont en principe disponibles en français et en néerlandais sur le site Internet de l'Autorité. La « Version originale » est la version qui a été validée. Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD ») ; Vu la demande d'avis de Monsieur Jerôme Franssen, Ministre de la Communauté germanophone en charge de l’Enseignement, de la Formation et de l’Emploi (ci-après « le demandeur »), reçue le 6 février 2025 ; Émet, le 10 avril 2025, l'avis suivant : I. OBJET DE LA DEMANDE D’AVI 1. Le demandeur a sollicité l’avis de l’Autorité concernant les articles 20-22, 41-47, 78, 83-90, 93, 105-118 de l’avant-projet de décret portant des mesures en matière d’enseignement et de formation – 2025 (ci-après "le Projet"). 2. Les autres dispositions en projet n’étant pas soumises à l’examen de l’Autorité, il ne peut rien être déduit du silence gardé dans le présent avis sur ces dispositions. 3. L’Autorité rappelle au passage qu’elle a rendu l’avis 61/2021 au sujet de certaines des normes modifiées par le projet. Il y est renvoyé pour tout ce qui n’est pas expressément mentionné ci-après. II. EXAMEN DU PROJET 1. Observations générales 4. L’Autorité constate que pas la moindre disposition du commentaire des articles ne développe, contextualise ou exemplifie les dispositions relatives à la protection des données en projet. Or, à l’exception de la modification du décret du 31 mars 2014 relatif au centre pour le développement sain des enfants et des jeunes 1, comme il sera détaillé infra, les dispositions normatives en projet sont libellées de manière trop superficielles pour répondre à l’exigence de prévisibilité. 5. Il en résulte la nécessité de revoir le projet (et le commentaire des articles) en profondeur, en s’inspirant des dispositions modifiant le décret du 31 mars 2014 relatif au centre pour le développement sain des enfants et des jeunes ainsi que de la brochure relative à la pratique d’avis du SAA2. Responsable du traitement 6. Plusieurs dispositions en projet désignent le Gouvernement comme responsable du traitement. L’Autorité en profite pour rappeler que la désignation des responsables du traitement doit être adéquate au regard des circonstances factuelles 3. En d'autres termes, la désignation d'un responsable du traitement dans la réglementation doit concorder avec le rôle que cet acteur joue dans la pratique. Considérer le contraire non seulement contrarierait la lettre du texte du RGPD, mais pourrait également mettre en péril l’objectif qu’il poursuit d’assurer un niveau cohérent et élevé de protection des personnes physiques. Afin d’éviter toute ambiguïté quant à l’identité de la personne ou de l’entité qui doit être considérée comme responsable du traitement et de faciliter ainsi l’exercice des droits de la personne concernée tels que prévus aux articles 12 à 22 du RGPD, il est nécessaire de vérifier pour chaque traitement de données à caractère personnel qui poursuit la finalité pour laquelle elles sont traitées et dispose de la maîtrise des moyens utilisés pour atteindre cette finalité. 7. Or, l'Autorité n'est pas convaincue que le Gouvernement de la Communauté germanophone soit le responsable du traitement approprié pour tous les traitements pour lesquels il est désigné par les dispositions en projet. L’Autorité craint en particulier l’effet déresponsabilisant d’une telle désignation. Le commentaire des articles concernés devra donc démontrer, pour chaque traitement, qu’une vérification a été effectuée et pourquoi il en ressort que le responsable du traitement mentionné correspond bien à l’organe qui détermine les finalités et les moyens. Le cas échéant, les dispositions en projet devront donc être adaptées. Catégories de données et durée de conservation 8. De manière générale, les catégories de données sont libellées de manière extrêmement larges (par exemple « données relatives aux caractéristiques personnelles », « données relatives à la situation familiale », « données financières », « données relatives aux habitudes de vie », « données relatives aux suspicions et aux accusations », etc…). Le fait que ces catégories de données soient suivies du mot ‘notamment’ implique en outre que les données susceptibles d’être traitées ne sont pas suffisamment définies ni identifiables. Dès lors, les règles matérielles encadrant l’ingérence dans les droits des personnes concernées, garantis aux articles 7 et 8 de la Charte des droits fondamentaux, ne répondent pas à l’exigence de clarté et de précision4. De pareils exemples peuvent être bienvenus dans le commentaire des articles concernés (qui ne contient actuellement aucun élément explicatif), mais il n’en demeure pas moins que le projet doit être fondamentalement revu afin de définir ces catégories de manière exhaustive et avec une précision suffisante5. 9. Le caractère nécessaire et proportionné de ces catégories de données ET des durées maximales de conservation devra également être démontré de manière systématique pour chacune de ces catégories. Répétitions inutiles 10. Enfin, le projet comporte plusieurs répétitions inutiles de dispositions du RGPD (notamment en matière de minimisation des données pour la réalisation d’analyses et de statistiques, de droit d’accès et des mesures de sécurité). Or, en répétant simplement le principe de la minimisation des données personnelles, ces dispositions n'offrent aucune valeur juridique ajoutée par rapport au RGPD et viole, en outre, l'interdiction de retranscription du RGPD 6. Partant d’une bonne intention, ces dispositions doivent toutefois supprimées afin notamment d’éviter le risque de développer des interprétations divergentes en droit belge/européen. 2. Modification du décret du 16 décembre 1991 relatif à la formation et la formation continue dans les Classes moyennes et les PME (art. 20 et 21 du projet) 11. Les art. 20 et 21 en projet modifient les art. 34.4 et 34.6 du décret susmentionné afin d’intégrer les données relatives aux participants aux semaines de découverte dans le chapitre relatif à la confidentialité et à la protection des données de ce décret. Le commentaire de ces dispositions justifie cette modification comme suit : « Dans son avis no 65/2023 du 24 mars 2023 concernant l’arrêté du Gouvernement du 15 février 2024 relatif à la mesure d’orientation professionnelle « semaines de découverte » de l’Institut pour la formation et la formation continue dans les Classes moyennes et les PME, l’Autorité de protection des données critique le fait que les participants aux semaines de découverte ne sont pas considérés comme des apprenants ». 12. L’Autorité relève tout d’abord que l’avis 65/2023 est un avis standard qui - par définition – ne peut contenir une critique aussi spécifique. L’Autorité voit dans cette erreur une confirmation du fait que la pratique législative consistant à agréger de nombreux sujets au sein de projets de normes “portant des dispositions diverses” ne favorise pas a qualité du travail législatif, ce que tant l’Autorité que la section de législation du Conseil d’Etat n’ont d’ailleurs pas manqué de répéter à plusieurs reprises. Catégories de données 13. De plus, quand bien même cette critique aurait été formulée, sa seule mention ne dispense pas l’auteur du projet de justifier, dans les commentaires relatifs aux articles concernés : - en quoi il est nécessaire et proportionné de traiter le numéro de registre national ou le numéro bis du participant aux semaines découvertes ; - du choix de la référence aux « personnes chargées de l’éducation », de manière à permettre de comprendre s’il s’agit des parents et/ou tuteurs ou d’autres catégories de personnes ; et - du caractère nécessaire et proportionné du traitement des données relatives à la fréquentation scolaire. 14. Par conséquent, le commentaire relatif aux articles 20 et 21 (ainsi que, si lorsque le caractère nécessaire et proportionné du traitement de ces données ne peut être démontré, ces articles eux-mêmes) doi(ven)t être fondamentalement revu(s). 3. Modification de l’arrêté du Gouvernement de la Communauté germanophone du 9 novembre 1994 relatif à l’interruption de la carrière professionnelle dans l’enseignement et les centres psycho-médico-sociaux (art. 41 à 47) et modification du CHAPITRE II du décret du 25 mai 2009 portant sur des mesures en matière d’enseignement et de formation pour 2009 (art. 85 à 90) 15. L’arrêté susmentionné a été adopté sans être soumis à la section de législation du Conseil d’Etat. Depuis lors, chaque avis de la section de législation portant sur un projet de modification de cet arrêté est l’occasion de rappeler que la détermination d’éléments essentiels par arrêté pose un problème de compatibilité avec l’art. 24, §5 de la Constitution. Le commentaire des articles précise que, pour pallier à cet écueil, toutes les adaptations de cet arrêté se font, depuis lors, par voie de décret. Catégories particulières de données 16. Les articles 41 à 47 entendent à présent insérer les art. 12.3 à 12.9 nouveaux, déterminant les éléments essentiels relatif aux traitements de données à caractère personnel, dans l’arrêté. L’art. 12.3 nouveau désigne « le Gouvernement et toute personne physique ou morale impliquée dans l’exécution du présent décret et de ses dispositions » comme responsable du traitement pour la collecte et le traitement des données à caractère personnel en vue de l’exercice de leurs missions légales ou décrétales7. L’art. 12.4 nouveau dispose que « le traitement de données relatives à la santé en vue de justifier les absences et d’informer de l’existence d’une grossesse se fait sous la responsabilité du Gouvernement ». Or, le traitement de catégories particulières de données à caractère personnel au sens des articles 9 et 10 du RGPD requiert la mise en place de mesures de sécurité plus strictes. Les articles 9 et 10, § 2 de la LTD indiquent quelles mesures de sécurité supplémentaires8 devront au moins être prévues (mais pas nécessairement dans la loi) en cas de traitement de ce type de données: - désigner les catégories de personnes ayant accès aux données à caractère personnel, avec une description précise de leur fonction par rapport au traitement des données visées ; - tenir la liste des catégories des personnes ainsi désignées à la disposition de l'Autorité ; - veiller à ce que ces personnes désignées soient tenues par une obligation légale ou statutaire, ou par une disposition. 17. L’Autorité invite également le demandeur à justifier, dans le commentaire de l’article concerné, du caractère nécessaire et proportionné du traitement de données de santé en vue de justifier d’une absence, dès lors que la seule production d’un certificat attestant de l’incapacité de travail, sans mention de la maladie, paraît suffisante. Catégories de données, finalités et personnes concernées 18. L’art. 12.5, §1er nouveau énumère les catégories de données susceptibles d’être traitées par le Gouvernement et précise qu’en ce qui concerne les membres du personnel des établissements d’enseignement, pourront être traitées toutes les données appropriées, utiles et proportionnées en vue de l’exercice de leurs missions légales ou décrétales et dans le cadre des interruptions de carrière, en ce compris les données de santé justifiant d’une absence ou de l’existence d’une grossesse. Les catégories de données énumérées sont à chaque fois précisées à la suite de la mention « dont notamment ». L’Autorité renvoie au commentaire formulé supra. 19. L’Autorité constate tout d’abord que, contrairement à ce qui a été fait pour les autres normes modifiées, les finalités spécifiques des traitements de données ne sont pas déterminées par le projet. Ceci rend l’analyse de proportionnalité impossible et le projet doit donc impérativement être adapté sur ce point. Les dispositions du projet modifiant le décret du 31 mars 2014 relatif au centre pour le développement sain des enfants et des jeunes peuvent utilement guider le demandeur dans cette démarche. 20. Outre l’utilisation du terme « notamment » (indicatif d’une énumération non exhaustive) et l’absence de démonstration du caractère nécessaire et proportionné du traitement des catégories de données énumérées9, l’Autorité constate qu’il est fait mention des « participants », ce qui est susceptible de laisser sous-entendre, que les personnes concernées sont à la fois les membres du personnel et « les participants ». Or, la notion de participant, n’est pas davantage expliquée dans le commentaire de l’article concerné. La disposition devra donc être reformulée et, le cas échéant, il conviendra d’intégrer une explication à ce sujet dans le commentaire de l’article concerné. 21. Les mêmes observations valent pour l’art. 12.5, §2 nouveau, qui énumère de manière similaire les catégories de données relatives aux membres du personnel de leurs établissements d’enseignement, susceptibles d’être traitées par un pouvoir organisateur ou, selon le cas, un chef d’établissement dans l’enseignement communautaire. Echange de données 22. L’art. 12.6 nouveau prévoit l’échange de données de santé relatives aux membres du personnel « nécessaire(s) dans l’intérêt des membres du personnel et que les informations transmises sont appropriées, utiles et proportionnées » entre le Gouvernement et les administrations ou l’organisme public de sécurité sociale. 23. Cette disposition est problématique à plusieurs égards. En effet, son libellé est susceptible d’être interprété comme imposant des obligations aux organismes fédéraux de sécurité sociale, ce qu’un décret communautaire ne peut pas faire. Si telle devait être la volonté du demandeur, il y aurait lieu de conclure un accord de coopération. En outre, telle que libellée, cette disposition ne permet pas de savoir si des sources seront simplement consultées, croisées ou enregistrées. Il convient donc de reformuler cette disposition10 et de démontrer le caractère nécessaire et proportionné de ce traitement, dans le commentaire de l’article concerné. Analyses et statistiques 24. L’art. 12.7 nouveau prévoit que le Gouvernement recourt « en principe » à des données anonymes pour établir des analyses et statistiques en ce qui concerne l’exercice de ses missions. Lorsque seul le recours à des données pseudonymisées permet de maintenir l’utilité des données pour la réalisation de ces analyses et statistiques, l’art. 12.7, al. 3 nouveau impose d’en indiquer les raisons dans la déclaration de traitements. 25. Outre la problématique de la répétition inutile11, l’Autorité insiste pour que les finalités pour lesquelles des analyses et statistiques sont réalisées, soient explicitement mentionnées dans le dispositif du projet12 et entourées des explications nécessaires dans le commentaire de l’article concerné. Durée de conservation 26. L’art. 12.8 nouveau prévoit une durée de conservation de 30 ans à compter de la démission « du service ». 27. L’Autorité estime que le caractère nécessaire et proportionné de cette durée doit être dé-montré dans le commentaire de l’article concerné, que cette durée doit être modalisée en fonc-tion des catégories de données et des finalités spécifiques13 et que les différentes durées doivent être formulées sous forme de maximum. Cette disposition doit donc être fondamen-talement revue. Habilitation au Gouvernement 28. L’art. 12.9 nouveau dispose que « le Gouvernement fixe les mesures de sécurité nécessaires pour le traitement des données à caractère personnel prévu par la présente section ». 29. Cette habilitation au Gouvernement insérée par décret dans un arrêté a pour conséquence que les traitements sont susceptibles de débuter avant que lesdites mesures ne soient déterminées par le Gouvernement. Il convient donc, soit de déterminer ces mesures 14 par décret, soit de prévoir que les traitements de données ne peuvent avoir lieu tant que les mesures n’ont pas été fixées par le Gouvernement. 30. L’ensemble des observations formulées ci-avant valent mutatis mutandis pour les dispositions modifiant le CHAPITRE II du décret du 25 mai 2009 portant sur des mesures en matière d’enseignement et de formation pour 2009 (art. 85 à 90). L’Autorité relève simplement, que l’art. 13.7 nouveau, comporte un §1er et 3, mais pas de §2. 4 . Modification du décret du 31 mars 2014 relatif au centre pour le développement sain des enfants et des jeunes (art. 104 à 118) 31. L’Autorité observe qu’à l’exception du commentaire des articles, les dispositions relatives à cette partie du projet ont été rédigées avec un soin particulier de sorte que, sous réserve des quelques observations suivantes, celles-ci peuvent être considérées comme répondant à l’exigence de prévisibilité. Banque de données relative aux vaccinations 32. L’art. 104 en projet (dont l’examen n’avait pourtant pas été sollicité) modifie l’art. 3.20, §2 du décret susmentionné, en vue d’y prévoir que les vaccinations pratiquées mentionnées dans le dossier intégré de suivi de l'enfant ou du jeune sont enregistrées dans une base de données relative aux vaccinations. Le projet y ajoute que l’enregistrement est effectué par le centre. 33. L’Autorité relève que l’encadrement des banques de données est une bonne pratique et que cette disposition gagnerait à déterminer les éléments essentiels de cette banque de donnée que sont la (les) finalité(s) précise(s) et concrètes 15, l’identité du (des) responsable(s) du traitement (sauf si c’est évident), les (catégories) de données qui sont nécessaires à la réalisation de cette (ces) finalité(s), le délai de conservation des données 16, les catégories de personnes concernées dont les données seront traitées, les destinataires ou catégories de destinataires auxquels les données seront communiquées17 et les circonstances dans lesquelles elles seront communiquées, la limitation éventuelle des obligations et/ou des droits mentionnés aux articles 5, 12 à 22 et 34 du RGPD. Répétition inutile 34. L’art. 105 en projet remplace l’art. 4.1 du décret portant sur le dossier intégré de suivi et l’art. 107 en projet remplace le droit de regard consacré à l’art. 4.3. du décret par un droit d’accès. 35. Comme indiqué supra, cette disposition n’apporte rien de neuf par rapport à l’art. 15 du RGPD et doit donc être doit modalisée, soit supprimée. Catégories de données 36. L’art. 4.5. et suivants du décret sont remplacés en vue de désigner le centre comme responsable du traitement des données, de prévoir que les données relatives à la santé sont traitées sous la responsabilité d’un professionnel des soins de santé et d’étendre très fortement les catégories de données susceptibles d’être traitées, en distinguant en fonction des personnes concernées. 37. Comme indiqué supra, l’utilisation du terme « notamment » ne permet pas de rencontrer le degré de prévisibilité requis. Il convient donc de reformuler ces catégories de manière précise et exhaustive (le cas échéant, une habilitation au Gouvernement peut toutefois être prévue, pour autant que celle-ci ne soit pas libellée de manière trop large). Une précision toute particulière devra être apportée en ce qui concerne les données relatives à des enquêtes, à des suspicions et à des accusations. En outre, le caractère nécessaire et proportionné des différentes catégories de données doit être démontré dans le commentaire de l’article concerné. Ici encore, une attention toute particulière devra être accordée à cette démonstration en ce qui concerne les catégories particulières de données18. A titre d’exemple, l’Autorité ne perçoit pas en quoi les opinions politiques, l’origine culturelle ou l’orientation sexuelle (même s’il est précisé « pour autant que cette information joue un rôle dans le processus de recherche d’identité ») des mineurs de plus de 13 ans, devraient être traitées par le centre. Echange de données 38. L’art. 4.8. du décret est remplacé en vue de prévoir la communication de données entre le Gouvernement, les communes et le centre. 39. L’Autorité estime que cette disposition est susceptible d’être interprétée comme imposant des obligations aux communes, ce qu’un décret communautaire ne peut pas faire. Si telle devait être la volonté du demandeur, il y aurait lieu de conclure un accord de coopération. En outre, telle que libellée, cette disposition ne permet pas de savoir si des sources seront simplement consultées, croisées ou enregistrées. Il convient donc de reformuler cette disposition 19 et de démontrer le caractère nécessaire et proportionné de ce traitement, dans le commentaire de l’article concerné. Finalités 40. L’art. 4.9. du décret est remplacé en vue de de déterminer les finalités du traitement par catégorie de données. Cette disposition n’appelle pas d’observations particulières. 41. L’art. 4.10. du décret est remplacé en vue de préciser les finalités visées par les analyses et statistiques. L’Autorité accueille favorablement ce libellé. Tout au plus gagnerait-il à faire l’objet de quelques explications dans le commentaire de l’article concerné. Répétition inutile 42. Pour le surplus, la disposition prévoit que le Gouvernement recourt « en principe » à des données anonymes pour établir des analyses et statistiques en ce qui concerne l’exercice de ses missions. Lorsque seul le recours à des données pseudonymisées permet de maintenir l’utilité des données pour la réalisation de ces analyses et statistiques, l’art. 4.10, al. 4 nouveau impose d’en indiquer les raisons dans la déclaration de traitements. 43. Comme indiqué supra, l’Autorité estime qu’il s’agit d’une répétition inutile et qu’il convient donc d’omettre cette disposition. Communication et durée de conservation 44. L’art. 4.11. du décret est remplacé et identifie les destinataires et les finalités de la communication des données. L’art. 4.12 nouveau détermine la durée de conservation maximale des données en fonction des catégories de données. 45. L’Autorité estime que le caractère nécessaire et proportionné de ces traitements doit être démontré dans les commentaires respectifs de ces dispositions 20. Par ailleurs, il convient à tout le moins de mettre en évidence les données que le centre est « tenu » d’échanger en vertu du décret susmentionné et de les distinguer de celles qu’il est simplement susceptible d’échanger si d’autres normes le prévoient. Répétition inutile 46. L’art. 4.13 nouveau dispose que « le centre veille à ce que des mesures de sécurité appropriées soient appliquées, dans le respect des critères mentionnés à l’article 32 du règlement général sur la protection des données » et ajoute à l’alinéa 2 que « le centre veille à ce que les données traitées conformément à l’article 4.7 ne soient respectivement traitées que par les personnes chargées directement de la mise en œuvre de la mission correspondante ». 47. Comme indiqué supra, l’alinéa 1er de cette disposition constitue une répétition inutile et devrait être supprimé. PAR CES MOTIFS, L’Autorité est d’avis que : - il convient de vérifier pour chaque traitement qui poursuit la finalité et les moyens (points 6 et 7) ; - le projet doit définir les catégories de données de manière exhaustive et avec une précision suffisante (point 8, 20 et 37) ; - le caractère nécessaire et proportionné des catégories de données susceptibles d’être traitées et de la durée de conservation doit être démontré (points 9, 13, 20, 27, 37 et 45) ; - les répétitions inutiles doivent être omises (point 10, 35, 43 et 47) ; - des mesures de sécurité minimales doivent être prévues (point 16) ; - les finalités spécifiques des traitements de données doivent être déterminées (points 19 et 25) ; - la notion de participant doit être clarifiée (point 20) ; - la nécessité de conclure un accord de coopération doit être envisagée (points 23 et 39) ; - l’habilitation au Gouvernement insérée par décret dans un arrêté doit être assortie d’une disposition transitoire (point 29) ; - les éléments essentiels de la banque de données des vaccinations doivent être déterminés (point 33). Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2025:AVIS.20250410.1