ECLI:BE:GBAPD:2025:AVIS.20250227.15

Avis n° 09/2025 du 27 février 2025 Objet : Avis relatif à l’avant-projet de loi modifiant la loi du 15 décembre 1980 sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers en ce qui concerne les travailleurs hautement qualifiés et diverses dispositions (CO-A-2024-288) Mots-clés: demande de séjour - délai maximal de conservation des données des membres de la famille des travailleurs hautement qualifiés bénéficiant d’une autorisation de séjour - recommandation d’approbation de l’avant-projet de loi relatif aux traitements de données à caractère personnel par la Direction générale Office des étrangers - mention des catégories de données à caractère personnel pour le contrôle des points 5° à 10° de l’article 3, premier alinéa de la Loi sur les étrangers - relier les finalités à la mission Traduction Introduction Les dispositions de l’avant-projet de loi soumis pour avis visent l'harmonisation et l'actualisation conformément au cadre réglementaire européen actuellement en vigueur. À cette occasion, plusieurs dispositions sont modifiées sans que cela ait un impact considérable sur le cadre de protection des données existant. En la matière, la modification des dispositions suscite des remarques, à savoir : i) prévoir un lien entre les différentes normes qui définissent les finalités et l’arrêté royal du 14 janvier 2002 ; ii) désignation du responsable du traitement pour les traitements liés aux demandes de séjour de membres de la famille d’un ressortissant d’un pays tiers bénéficiant d’une autorisation de séjour dans le pays pour un travail hautement qualifié ; iii) le cas échéant, mention d’autres catégories de données à caractère personnel qui sont traitées pour le contrôle des situations définies aux points 5° à 10° de l’article 3, premier alinéa de la Loi sur les étrangers ; iv) le délai maximal de conservation pour les données des membres de la famille d’un ressortissant d’un pays tiers bénéficiant d’une autorisation de séjour dans le pays pour un travail hautement qualifié, comme cela est formulé dans le dispositif. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après "l’Autorité"), présent.e.s : Mesdames Cédrine Morlière et Griet Verhenneman et Messieurs Yves-Alexandre de Montjoye, Bart Preneel et Gert Vermeulen ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après "la LCA") ; Vu l’article 43 du Règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix ; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données, ci-après le "RGPD") ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après "la LTD") ; Vu la demande de Madame Nicole de Moor, Secrétaire d'État à l'Asile et la Migration (ci-après "le demandeur"), reçue le 5 décembre 2024 ; Émet, le 27 février 2025, l'avis suivant : I. OBJET DE LA DEMANDE D'AVI 1. Le 5 décembre 2024, le demandeur a sollicité l’avis de l’Autorité sur un avant-projet de loi modifiant la loi du 15 décembre 1980 sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers en ce qui concerne les travailleurs hautement qualifiés et diverses dispositions (ci-après : le Projet). 2. Le Projet modifie quelques dispositions de la loi du 15 décembre 1980 sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers (ci-après : la Loi sur les étrangers) en ce qui concerne les travailleurs hautement qualifiés et diverses dispositions, en vue de transposer la Directive 2021/1883 du Parlement européen et du Conseil du 20 octobre 2021 établissant les conditions d'entrée et de séjour des ressortissants de pays tiers aux fins d'un emploi hautement qualifié, et abrogeant la directive 2009/50/CE du Conseil (ci-après : la Directive 2021/1883). 3. Concernant le traitement de données, le Projet présente comme principale modification la spécification de la preuve (extrait de casier judiciaire, certificat médical et document de voyage) qui est requise dans le cadre d’une demande de séjour. Cela suppose ainsi un traitement de données à caractère personnel par le responsable du traitement afin de permettre un contrôle des conditions et une décision concernant la demande de séjour. II. EXAMEN QUANT AU FOND a. Base juridique 4. Rappel des principes : Chaque traitement de données à caractère personnel doit avoir une base juridique ou de licéité, comme le prévoit l’article 6, paragraphe 1 du RGPD. Les traitements de données qui sont instaurés par une mesure normative sont presque toujours basés sur l’article 6, paragraphe 1, point c) ou e) du RGPD1. Le lecteur est renvoyé à l’application de ces principes telle que définie ci-après. 5. En plus de devoir être nécessaire et proportionnée, toute norme régissant le traitement de données à caractère personnel (et constituant par nature une ingérence dans le droit à la protection des données à caractère personnel) doit répondre aux exigences de prévisibilité et de précision afin que les personnes concernées au sujet desquelles des données sont traitées aient une idée claire du traitement de leurs données. En vertu de l’article 6.3 du RGPD, lu en combinaison avec les articles 22 de la Constitution et 8 de la CEDH, une telle norme doit décrire les éléments essentiels des traitements allant de pair avec l'ingérence de l'autorité publique : - la (les) finalité(s) précise(s) et concrète(s) des traitements de données ; - la désignation du (des) responsable(s) du traitement (à moins que cela ne soit clair). Si les traitements de données à caractère personnel allant de pair avec l'ingérence de l'autorité publique représentent une ingérence importante dans les droits et libertés des personnes concernées, conformément aux principes de légalité et de prévisibilité, la disposition légale en la matière doit également comprendre les éléments essentiels (complémentaires) suivants :2 - les (catégories de) données à caractère personnel traitées qui sont pertinentes et non excessives ; - les catégories de personnes concernées dont les données à caractère personnel seront traitées ; - les (catégories de) destinataires des données à caractère personnel ainsi que les circonstances dans lesquelles ils reçoivent les données et les motifs y afférents ; - le délai maximal de conservation des données à caractère personnel enregistrées ; - l'éventuelle limitation des obligations et/ou des droits visé(e)s aux articles 5, 12 à 22 et 34 du RGPD. 6. Application concrète : le traitement de données à caractère personnel auquel le Projet donne lieu repose sur l’article 6.1.e) du RGPD3. Considérant que le Projet implique un traitement de données à caractère personnel : i) qui concerne des personnes vulnérables ; ii) qui a lieu à des fins de surveillance ou de contrôle ; iii) dans le cadre duquel les données sont communiquées ou rendues accessibles à des tiers ; iv) qui peut entraîner des conséquences négatives pour les personnes concernées, , l’Autorité estime qu’il s’agit, en l’occurrence, d’une ingérence importante. 7. L’Autorité vérifie ci-après dans quelle mesure le Projet répond à ces conditions. b. Finalités 8. Conformément à l'article 5.1.b) du RGPD, le traitement de données à caractère personnel ne peut être effectué que pour des finalités déterminées, explicites et légitimes. 9. À cet égard, le formulaire de demande précise : " Ces finalités sont précisées dans le projet de loi, cela s’applique à tous les traitements réalisés par l’Office des étrangers " [NdT : tous les passages issus du dossier cités dans le présent document ont été traduits librement par le Service traduction de l’Autorité de protection des données, en l’absence de traduction officielle]. 10. Après que l’Autorité ait demandé davantage de précisions, le demandeur a indiqué ce qui suit : "Il s’agit du projet de loi qui avait déjà été approuvé en Conseil des ministres, mais n’avait reçu en affaires courantes qu’un avis du Conseil d’État. Il n’avait pas encore pu être soumis au Parlement mais le prochain gouvernement de plein exercice pourra s’en charger aussitôt. Le projet de loi et l’avis de l’Autorité de protection des données sont joints à cette communication en guise d’explication. Ce projet régit les aspects de protection des données pour tous les traitements réalisés par l’Office des étrangers.” 11. Comme il ressort également du point10, l’Autorité s’est déjà prononcée sur l’avant-projet de loi relatif aux traitements de données à caractère personnel par la Direction générale Office des étrangers qui y est mentionné, à savoir dans l’avis n° 166/2022. 12. En vue du principe de légalité et du principe de prévisibilité ainsi qu’en vue de la sécurité juridique, il est vivement recommandé d’approuver l’avant-projet de loi, en tenant compte des recommandations de l’avis n° 166/2022. 13. Dans le cas contraire, la réglementation légale existante reste d’application, à savoir la Loi sur les étrangers, étant donné que le Projet en est une modification. On peut déduire de ce cadre que les dispositions du Projet en matière de traitement de données à caractère personnel concernent deux aspects : • les conditions de preuve pour l’octroi d’une autorisation de séjour de plus de trois mois ;4 et • la décision pour la demande de séjour dans le cadre d’une demande d’autorisation de travail ou du renouvellement de cette autorisation, afin d’occuper un travail hautement qualifié, dans le cadre de la carte bleue européenne 5. 14. Dans la mesure où le Projet revoit également les règles dans le cadre de la transposition de la Directive 2021/1883, il faut aussi renvoyer à l’accord de coopération du 2 février 2018 et à l’accord de coopération du 5 mars 2021 portant exécution de l’accord de coopération du 2 février 20186. Ce dernier a été soumis à l’appréciation de l’Autorité dans l’avis n° 130/2020 7. 15. En la matière, on observe que le champ d’application personnel du cadre réglementaire mentionné au point 14 concerne le traitement de données de ressortissants d’un pays tiers qui introduisent une demande de séjour dans le cadre d’un emploi. Les finalités sont reprises à l’article 9 de l’accord de coopération du 5 mars 2021 et ont également été jugées déterminées, explicites et légitimes dans l’avis n° 130/2020 (points 7 à 11 inclus). Dans la mesure où les dispositions du Projet s’inscrivent dans le cadre de l’accord de coopération, cela peut être approuvé. 16. Toutefois, l’accord de coopération du 5 mars 2021 ne s’étend pas au traitement de données à caractère personnel dans le cadre des demandes de séjour de membres de la famille d’un ressortissant d’un pays tiers bénéficiant d’une autorisation de séjour dans le pays pour un travail hautement qualifié. Dès lors, les finalités pour le traitement de données de cette catégorie de personnes découlent uniquement du Projet et de la Loi sur les étrangers, lus conjointement avec l’arrêté royal du 14 janvier 2002 portant création du Service public fédéral Intérieur (ci-après : l’arrêté royal du 14 janvier 2002), qui encadre la mission du traitement de données (principe de spécialité)8. 17. Tout bien considéré, on peut donc affirmer que : i) les finalités des traitements mentionnés dans les dispositions modifiées ou remplacées de la Loi sur les étrangers doivent être lues conjointement avec l’arrêté royal du 14 janvier 2002 ; ii) un détour est nécessaire pour parvenir du Projet aux finalités de l’accord de coopération ; et iii) l’accord de coopération du 5 mars 2021 ne s’étend pas aux traitements de données à caractère personnel dans le cadre des demandes de séjour de membres de la famille de travailleurs hautement qualifiés. 18. Dans ce contexte, il est recommandé, à titre principal, d’approuver l’avant-projet de loi mentionné au point 12, en tenant compte des recommandations découlant de l’avis n° 166/2022. Prévoir un seul cadre réglementaire peut favoriser la sécurité juridique et permet d’éviter un casse-tête à travers plusieurs normes. En attendant, il convient de prévoir, de préférence dans le Projet et au moins dans l’Exposé des motifs, un lien entre les différentes normes qui définissent les finalités et l’arrêté royal du 14 janvier 2002. c. Minimisation des données/Proportionnalité 19. L'article 5.1.c) du RGPD prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités visées (principe de ‘minimisation des données’). 20. L’Autorité souhaite avant tout formuler une remarque sur le traitement de données dans le cadre de l’exigence que les personnes concernées ne se trouvent pas dans une des situations définies à l’article 3, premier alinéa, 5° à 10° de la Loi sur les étrangers. Comme cela est exposé ci-après, plusieurs données spécifiques sont traitées à cet égard, notamment l’extrait de casier judiciaire 9 et un certificat médical. En ce qui concerne l’extrait de casier judiciaire en lien avec n’importe quel délit, l’Autorité estime ce critère très large par rapport à la finalité, qui découle du moins indirectement de l’article 3, premier alinéa, point 7° de la Loi sur les étrangers : "[...] l’entrée peut être refusée à l'étranger qui se trouve dans l'un des cas suivants : […] 7° s'il est considéré comme pouvant compromettre la tranquillité publique, l'ordre public, la sécurité nationale ou la santé publique." Bien qu’il s’agisse en soi de notions larges, il est néanmoins possible de ne faire porter l’extrait de casier judiciaire que sur les délits pour lesquels une condamnation aurait pour conséquence que l’étranger ne peut pas satisfaire à la condition susmentionnée. Il est recommandé d’expliquer la notion d’ ‘extrait de casier judiciaire’ en conséquence. En outre, l’Autorité se prononce de manière critique à l’égard des données non spécifiées qui sont traitées. Vu que les catégories de données à traiter constituent un élément essentiel dans le cadre du principe de légalité, il est demandé de mentionner explicitement toutes les catégories de données qui seront traitées pour évaluer les situations définies à l’article 3, y compris celles qui ne doivent pas être fournies par la personne concernée. 21. Pour le reste (à l’exception de l’extrait de casier judiciaire), l’Autorité souhaite préciser que ni les catégories de données à caractère personnel mentionnées dans le Projet, ni les catégories de personnes dont des données sont traitées ne donnent lieu à une remarque particulière. Dès lors, les points suivants servent uniquement d’explications du raisonnement qui conduit à cette conclusion. 22. En la matière, l’Autorité constate que concernant les données à caractère personnel, le Projet mentionne : • (une copie d’)10 un document de voyage valable ;11 • un titre de séjour valable ;12 • la preuve que l'étranger rejoint dispose de moyens de subsistance stables, réguliers et suffisants ;13 • (une copie d’) une carte bleue européenne valable ; 14 • un extrait de casier judiciaire ou un document équivalent, et le cas échéant sa traduction légalisée, délivré par le pays d’origine ou le pays de sa dernière résidence, datant de moins de six mois, et attestant qu’il n’a pas été condamné pour des crimes ou des délits de droit commun, ainsi que ;15 • un certificat médical d’où il résulte que le membre de la famille n’est pas atteint d’une des maladies énumérées à l’annexe de la présente loi ; 16 • une assurance maladie17. 23. En ce qui concerne le document de voyage valable, il ressort de l’Exposé des motifs de l’article 3 que les termes "document de voyage" sont utilisés afin de rester conforme à la terminologie européenne. Ces termes renvoient aux documents qui sont conformes à la Décision n° 1105/2011/UE du Parlement européen et du Conseil du 25 octobre 2011 relative à la liste des documents de voyage permettant à leur titulaire le franchissement des frontières extérieures et susceptibles d'être revêtus d'un visa, et relative à l'instauration d'un dispositif pour établir cette liste. L’Autorité en prend acte mais - vu l’intention visée par l’utilisation de ces termes - suggère de le spécifier/définir dans la loi de base et d’étendre l’utilisation de ces termes 18. 24. L’exigence consistant à présenter un titre de séjour valable, la preuve que l’on dispose de moyens de subsistance suffisants, la copie de la carte bleue européenne et un certificat médical en vue de prouver que l’on n’est pas atteint de certaines maladies est conforme à la Loi sur les étrangers et à l’accord de coopération du 5 mars 2021. Cette exigence ne donne pas lieu à d’autres remarques 19. L’Autorité en prend acte. 25. En ce qui concerne l’assurance maladie, on peut affirmer que ce traitement est pertinent. Concernant le point 6° inséré à l’article 13, § 4 de la Loi sur les étrangers par l’article 5, 3° du Projet, le demandeur a précisé ce qui suit : " Le contrôle de l’existence d’une assurance maladie se fait au moment de l’introduction de la première demande et par la suite, lors de l’introduction de chaque demande de prolongation du séjour. En dehors de ces moments de transmission de preuves, par la personne concernée elle-même, il n’y a pas d’autre flux de données vers l’Office des étrangers concernant la fin éventuelle du statut d’assuré ". L’Autorité en prend acte. 26. Enfin, en ce qui concerne les catégories de personnes auxquelles se rapportent ces données, il ressort clairement du Projet qu’il s’agit d’une part du traitement de données de ressortissants d’un pays tiers qui introduisent une demande de séjour dans le cadre d’un emploi et d’autre part des membres de leur famille. 27. Tout bien considéré, à l’exception du point 20, les modifications ne donnent lieu à aucune remarque particulière. d. Responsable(s) du traitement 28. La désignation du responsable du traitement doit correspondre au rôle que cet acteur jouera dans la pratique et au contrôle qu’il a sur les finalités et les moyens qui seront mis en œuvre pour le traitement20. Dans la pratique, ceci doit être vérifié pour chaque traitement de données à caractère personnel. 29. L’Autorité fait remarquer en la matière que le rôle du responsable du traitement n’est pas abordé dans le Projet. À cet égard, le formulaire de demande précise que " Les responsables du traitement sont définis aux articles 6 et 7 de l’Accord de coopération du 5 mars 2021 concernant le permis unique.” 30. En conséquence, tout comme pour les finalités exposées aux points 13 à 17 inclus, l’accord de coopération du 5 mars 2021 ne s’applique qu’au traitement de données de ressortissants d’un pays tiers qui introduisent une demande de séjour dans le cadre d’un travail. De cette façon, le rôle de responsable du traitement est réellement attribué aux articles 6 et 7 de l’accord de coopération du 5 mars 2021. • C’est l’Office des étrangers le responsable du traitement pour l’examen des demandes d’autorisation de séjour. • En ce qui concerne l’examen des demandes d’autorisations de travail, c’est l’autorité régionale qui est responsable du traitement des données à caractère personnel. • Concernant les traitements dans le cadre de la plateforme électronique, il s’agit d’une responsabilité conjointe entre l’Office des étrangers et les autorités régionales 21. • En outre, l’ONSS est responsable du développement technique, du fonctionnement et de la maintenance de la plateforme électronique22. Ces éléments ont déjà été soumis à l'appréciation de l’Autorité dans l’avis n° 130/2020 et n’ont donné lieu à aucune remarque particulière. 31. En ce qui concerne la désignation du responsable du traitement pour les données à caractère personnel des membres de la famille, le demandeur a spécifié que : " Les données des membres de la famille ne sont en effet pas traitées en application de l’accord de coopération. En ce qui concerne les membres de la famille, le responsable du traitement sera explicitement désigné par le Projet de loi relatif à la protection des données, cité précédemment, qui doit encore être soumis au vote : ‘Art. 5. L’Office des étrangers, représenté par le Directeur général, est le responsable des traitements de données à caractère personnel effectués par l’Office des étrangers.’ Actuellement, les données fournies dans les demandes de visas en vue d’un regroupement familial sont traitées en application du Règlement sur les visas n° 810/2009, conformément au Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). En tant qu’autorité compétente en matière de migration, l’Office des étrangers est le responsable du traitement.” 32. La désignation du responsable du traitement renforce la prévisibilité des traitements de données visés et permet aux personnes concernées d’identifier aisément (ou du moins plus aisément) la personne ou l’institution à laquelle elles doivent s’adresser pour exercer les droits que le RGPD leur confère, ce qui participe à renforcer l’effectivité de ces droits. À la lumière de ces éléments, conformément à la recommandation formulée aux points 12 et 18, en vue de la sécurité juridique et de la prévisibilité, il est vivement préconisé d’adopter l’avant-projet de loi mentionné aux points 10 et 11. Entre-temps, il convient de spécifier dans le Projet, ou dans l’Exposé des motifs, que l’Office des étrangers est désigné comme responsable du traitement. e. Délai de conservation 33. En vertu de l'article 5.1.e) du RGPD, les données à caractère personnel ne peuvent pas être conservées sous une forme permettant l’identification des personnes concernées pendant une durée excédant celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. 34. Bien que le Projet ne mentionne rien à ce sujet, le formulaire de demande stipule : " Les délais de conservation sont les délais de conservations habituels pour les données communiquées dans une demande de séjour. Un autre délai de conservation n’est pas à l’ordre du jour .” 35. À la demande de l’Autorité, le demandeur a précisé "que les délais de conservation actuels en matière de demandes de travailleurs hautement qualifiés (au moyen du traitement sur le Guichet unique) sont spécifiés à l’article 25 de l’accord de coopération du 5 mars 2021 joint en annexe .” 36. Compte tenu du fait que cet article a déjà été évalué par l’Autorité, à savoir dans l’avis n° 130/2020, points 22 à 24 inclus, et que cela n’a donné lieu à aucune objection, l’Autorité adhère à cet avis en ce qui concerne le délai de conservation maximal de données de ressortissants d’un pays tiers qui introduisent une demande de séjour dans le cadre d’un travail. 37. Toutefois, comme cela a été exposé précédemment, cela ne s’applique pas aux membres de la famille. Dès lors, il est demandé de prévoir un délai de conservation maximal dans le Projet jusqu’à ce que l’avant-projet de loi mentionné au point 12 soit adopté et applicable, en tenant compte des remarques de l’avis n° 166/2022, points 55 à 61 inclus. PAR CES MOTIFS, l’Autorité, formule les remarques suivantes concernant le Projet (dispositif) : - prévoir l’approbation de l’avant-projet de loi mentionné au point 12, en tenant compte des recommandations qui découlent de l’avis n° 166/2022. En attendant, il faut prévoir, de préférence dans le Projet et au moins dans l’Exposé des motifs, un lien entre les différentes normes qui définissent les finalités et l’arrêté royal du 14 janvier 2002 (points 11-18) ; - limiter l’extrait de casier judiciaire aux délits qui pourraient avoir pour conséquence que l’étranger serait considéré comme pouvant compromettre la tranquillité publique, l'ordre public, la sécurité nationale ou la santé publique (point 20) ; - si, outre les données mentionnées dans le Projet, d’autres catégories de données seront également traitées pour le contrôle des situations définies à l’article 3, premier alinéa, 5° à 10° de la Loi sur les étrangers, il est demandé de les reprendre explicitement dans le Projet (point 20) ; - prévoir la désignation du responsable du traitement pour le traitement de données à caractère personnel de membres de la famille, ce qui est garanti par l’approbation de l’avant-projet de loi mentionné au point 12 (points 29-32) ; - prévoir un délai de conservation maximal des données des membres de la famille (points 35-37). Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2025:AVIS.20250227.15