ECLI:BE:GBAPD:2025:AVIS.20250327.4

Avis n° 17/2025 du 27 mars 2025 Objet : Avis relatif à une proposition de loi modifiant diverses dispositions en vue d’étendre le contrôle à l’aide de moyens électroniques dans l’objectif d’assurer une meilleure protection aux victimes de violences domestiques (CO-A-2025-005) Mots clés : Maisons de justice - violences domestiques - surveillance électronique - interdiction de résidence, de lieu ou de contact - peines et mesures de sécurité - autorités judiciaires Traduction Introduction La proposition de loi modifiant diverses dispositions en vue d’étendre le contrôle à l’aide de moyens électroniques dans l’objectif d’assurer une meilleure protection aux victimes de violences domestiques qui est soumise pour avis étend les possibilités pour le juge d’imposer une interdiction de résidence, de lieu ou de contact et prévoit la possibilité de la faire contrôler à l'aide de moyens électroniques. À cet égard, l'Autorité considère que la possibilité proprement dite de faire contrôler ces sanctions ou ces mesures de sécurité à l'aide de moyens électroniques poursuit une finalité légitime, mais elle estime nécessaire de vérifier si une modification de la réglementation (communautaire) établissant les modalités de traitement pour les services compétents chargés de l'organisation et du contrôle de la surveillance électronique s'impose. L'Autorité constate que les dispositions relatives à l'établissement des finalités, à la désignation du responsable du traitement (Communauté française), aux catégories de données à caractère personnel à traiter et aux délais de conservation (maximaux) doivent être adaptées afin d'encadrer adéquatement les nouvelles compétences dans le chef des services compétents. Pour une énumération exhaustive des remarques, l’Autorité renvoie au dispositif. Le Service d'Autorisation et d'Avis de l'Autorité de protection des données (ci-après "l'Autorité"), présent.e.s : présent.e.s : Mesdames Cédrine Morlière, Nathalie Ragheno et Griet Verhenneman et Messieurs Yves-Alexandre de Montjoye, Bart Preneel et Gert Vermeulen ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après "la LCA") ; Vu l’article 43 du Règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix ; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données, ci-après "le RGPD") ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après "la LTD") ; Vu la demande d'avis de Monsieur Peter De Roover, Président de la Chambre des représentants, (ci-après : le demandeur), reçue le 27 janvier 2025 ; Émet, le 27 mars 2025, l'avis suivant : I. OBJET DE LA DEMANDE D'AVI 1. Le 27 janvier 2025, le demandeur a sollicité l'avis de l'Autorité concernant une proposition de loi modifiant diverses dispositions en vue d’étendre le contrôle à l’aide de moyens électroniques dans l’objectif d’assurer une meilleure protection aux victimes de violences domestiques (ci-après : le projet). 2. Le projet vise à étendre les possibilités d'imposer une interdiction de résidence, de lieu ou de contact et prévoit que cette interdiction peut être mise en œuvre en utilisant des moyens électroniques. Les auteurs du projets considèrent en effet que les victimes de violences domestiques ne sont pas suffisamment protégées à l’heure actuelle, ce qui peut parfois entraîner des situations dramatiques, ce alors que les avancées technologiques permettent d’imposer une interdiction dans certaines zones géographiques, à l’aide de moyens électroniques. 3. À cet effet, le projet modifie le Code pénal, la loi du 29 juin 1964 concernant la suspension, le sursis et la probation (ci-après : la loi probation), la loi du 20 juillet 1990 relative à la détention préventive (ci-après : la loi détention préventive), la loi du 17 mai 2006 relative au statut juridique externe des personnes condamnées à une peine privative de liberté et aux droits reconnus à la victime dans le cadre des modalités d'exécution de la peine (ci-après : la loi du 17 mai 2006), la loi du 5 mai 2014 relative à l'internement (ci-après : la loi internement) et enfin la loi du 15 mai 2012 relative à l'interdiction temporaire de résidence en cas de violence domestique (ci-après : la loi du 15 mai 2012). 4. Les lois susmentionnées contiennent des dispositions similaires qui permettent au juge (d'instruction / de l'application des peines / de jugement) de décider que dans l'intérêt de la victime ou - dans le cas d'une interdiction temporaire de résidence - dans l’intérêt des personnes que l’interdiction vise à protéger, le respect des interdictions imposées doit être contrôlé à l’aide de moyens électroniques. Lorsque le respect de l’interdiction est contrôlé à l’aide de moyens électroniques, le service communautaire compétent (ci-après : le(s) service(s) compétent(s)) est chargé de l’élaboration et du suivi de cette procédure. Il s'agit du Vlaams Centrum Elektronisch Toezicht pour la Communauté flamande et de la Direction de la surveillance électronique pour la Communauté française. 5. Le respect de l'interdiction de contact ne peut être contrôlé à l’aide de moyens électroniques que si la victime y consent. Enfin, des procédures sont également instaurées permettant au ministère public de décider, d’office ou à la demande de la victime, de réviser, de lever ou de reprendre le contrôle de l'interdiction de contact à l'aide de moyens électroniques. II. EXAMEN QUANT AU FOND a. Remarque introductive 6. L'Autorité fait remarquer qu'en vertu de l'article 4, § 2 de la LCA, les traitements effectués par les autorités judiciaires (en ce compris le ministère public) dans l'exercice de leur fonction juridictionnelle, comme par exemple la décision d'imposer, de revoir ou de lever une interdiction de résidence, de lieu ou de contact - à titre de condamnation pénale ou de mesure de sécurité - ne relèvent pas de la compétence de contrôle de l'Autorité. 7. Néanmoins, l'Autorité rappelle, comme expliqué en détail aux points 7 - 14 de l'avis n° 77/20201 (et confirmé ensuite dans l'avis n° 163/20232), que "Cette exclusion de la compétence de l’autorité de contrôle à l’égard des traitements liés à la fonction juridictionnelle vise le "contrôle" des "traitements" en ce domaine et ce, en vue de garantir l’indépendance du pouvoir judiciaire, et non "toute compétence" de l’Autorité à l’égard généralement de la matière pénale. Autrement dit, elle n’exclut pas une compétence d’avis sur une législation, telle que celle en cause en l’espèce (...), se trouvant au cœur de la fonction juridictionnelle pénale." 8. La formulation d'avis ne porte en effet pas sur le contrôle du traitement de données à caractère personnel par le ministère public ou les cours et tribunaux, mais sur les actes posés par le pouvoir législatif, en exécution de sa fonction législative. En outre, l'exercice de cette compétence d'avis n'a pas d'impact sur l'indépendance du pouvoir judiciaire dans l'exercice de sa fonction juridictionnelle. 9. Cette remarque ne concerne toutefois que les traitements de données effectués par le ministère public ainsi que les cours et tribunaux qui relèvent du champ d'application du Titre 2 de la LTD, mais pas les traitements réalisés par les maisons de justice et les services compétents (décentralisés) qui sont chargés du suivi et de l'exécution de la surveillance électronique conformément, respectivement, au décret du 26 avril 2019 sur les maisons de justice et l'aide juridique de première ligne (Région flamande) (ci-après : le décret du 26 avril 2019) et le décret du 5 octobre 2023 introduisant le Code de la justice communautaire (Communauté française) (ci-après : le décret du 5 octobre 2023). Ces derniers ne constituent en effet pas des autorités judiciaires au sens de l'article 4, § 2 de la LCA et les traitements qu'ils effectuent relèvent du champ d'application du RGPD, et par conséquent de la compétence de contrôle de l'Autorité. 10. À cet égard cependant, l'Autorité se demande - à titre général - dans quelle mesure les compétences en matière de surveillance électronique ne relèvent pas en réalité de la Directive 2016/680/UE (LED) plutôt que du RGPD. Il s'agit en effet de traitements qui sensu stricto sont effectués "à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou surtout [– en l'espèce -] d'exécution de sanctions.” Dans la mesure où les maisons de justice (et les services qui leurs sont liés), à la lumière de l'article 5, § 1er, III de la loi spéciale de réformes institutionnelles du 8 août 1980, ont pour tâche principale de favoriser l'encadrement des personnes dans le cadre des procédures ou décisions judiciaires , il peut être admis que la surveillance électronique classique s'inscrit dans ce cadre, vu qu'elle constitue une alternative non privative de liberté à la détention (provisoire) et vise dès lors une meilleure (ré)insertion des personnes concernées. Les nouvelles formes de surveillance électronique - prévues par le projet - semblent par contre poursuivre une autre finalité, et plus précisément le contrôle du respect des interdictions de résidence, de lieu ou de contact imposées aux personnes concernées dans le cadre de sanctions ou de mesures de sécurité. À ce titre, l'Autorité se demande si ces nouvelles compétences peuvent purement et simplement être intégrées au cadre juridique existant (pour les maisons de justice) et invite le demandeur à y réfléchir. Dans le prolongement de ce qui précède - sous réserve de remarques éventuelles du Conseil d'État à cet égard -, la question peut également se poser de savoir s'il s'agit effectivement de matières personnalisables incombant aux Communautés, ou si une structure fédérale n'est pas préférable (ne doit pas être préférée). Sans préjudice des considérations ci-dessus, l'Autorité procède dans ce qui suit à une analyse du projet sur le fond et de ses implications telles qu'elles se présentent actuellement. b. Examen quant au fond 11. Concrètement, les modifications suivantes sont apportées dans la législation citée au point 3 : - les modifications au Code pénal concernant la réglementation relative à la peine sous surveillance électronique (articles 37ter - 37quater) et la peine de probation autonome (articles 37octies - 37undecies) et prévoient la possibilité pour le juge, lorsqu'il impose une interdiction de résidence, de lieu ou de contact - à titre de peine principale ou de peine de probation autonome -, de décider que le respect d'une telle interdiction devra notamment être contrôlé à l’aide de moyens électroniques. Dans le cas d'une interdiction de contact, le contrôle à l’aide de moyens électroniques n'est possible que si la victime y consent. La possibilité est en outre prévue pour le ministère public de décider, d'office ou à la demande de la victime s'il s'agit d'une interdiction de contact, de faire contrôler le respect d’une interdiction imposée par le juge à l’aide de moyens électroniques, ainsi que de lever ce contrôle ou de le reprendre ; - dans la loi probation, l'article 1er, § 2bis est complété par deux alinéas qui prévoient la possibilité pour le juge, dans l'intérêt de la victime, d'imposer des conditions individualisées qui impliquent une interdiction de résidence, de lieu ou de contact et de faire contrôler leur respect à l’aide de moyens électroniques3. Par analogie avec le tiret précédent, il est également prévu qu'au cours de l’exécution de la suspension probatoire ou du sursis probatoire, le ministère public peut décider, d’office ou à la demande de la victime en cas d’interdiction de contact, de faire contrôler le respect de l'interdiction à l’aide de moyens électroniques, ainsi que de lever ce contrôle ou de le reprendre ; - les modifications à la loi détention préventive impliquent que si le mandat d’arrêt est exécuté par une détention sous surveillance électronique, le juge d’instruction peut soumettre l’inculpé à des conditions particulières individualisées qui impliquent une interdiction de résidence, de lieu ou de contact. La possibilité est également prévue pour le juge d'instruction de décider, d'office ou à la demande de la victime s'il s'agit d'une interdiction de contact, de faire contrôler le respect de l'interdiction à l’aide de moyens électroniques 4. Ces compétences valent également pour les juridictions d'instruction et de jugement pendant la période du maintien en détention préventive et lors du règlement de la procédure. Enfin, dans les cas où l'intéressé peut être laissé en liberté en lui imposant de respecter une ou plusieurs conditions, conformément à l'article 35, le juge peut décider de soumettre l’inculpé à une interdiction de résidence, de lieu ou de contact, dont le respect sera notamment contrôlé à l'aide de moyens électroniques ; - la loi du 17 mai 2006 prévoit que le juge de l'exécution des peines peut décider, d'office ou à la demande de la victime en cas d'interdiction de contact, que le respect des conditions particulières individualisées, impliquant une interdiction de résidence, de lieu ou de contact, doit être contrôlé à l’aide de moyens électroniques. Durant l’exécution des modalités de la peine, la victime peut demander au juge de l’application des peines d’accorder, de lever ou de reprendre le contrôle à l’aide de moyens électroniques du respect d’une interdiction de contact visé à l’article 40, § 1er, alinéa 2, et à l’article 56, § 1er, alinéa 2 ; - les modifications à la loi du 15 mai 2012 prévoient que le procureur du Roi peut décider que le respect d’une interdiction de résidence, de lieu ou de contact imposée dans le contexte d'une interdiction temporaire de résidence en cas de violences domestiques peut être contrôlé à l’aide de moyens électroniques. Lorsqu'il s'agit d'une interdiction de contact, le consentement de la victime est nécessaire à cette fin ; - enfin, la loi internement est modifiée de manière à ce que la chambre de protection sociale puisse décider, d'office ou à la demande de la victime, s'il s'agit d'une interdiction de contact, que le respect des conditions particulières individualisées, nécessaires dans l’intérêt de la victime et qui impliquent une interdiction de résidence, de lieu ou de contact, sera notamment contrôlé à l’aide de moyens électroniques. 12. Les traitements (indirectement) visés par le projet s'articulent en deux parties. Premièrement, des données doivent être traitées afin de permettre aux autorités judiciaires de décider de façon raisonnée qu'une interdiction de résidence, de lieu ou de contact qu'elles ont imposée doit être contrôlée à l'aide de moyens électroniques. Dans le présent contexte, l'Autorité estime que, compte tenu des garanties procédurales inscrites dans la loi, le contrôle de telles interdictions à l'aide de moyens électroniques est en principe justifié et poursuit une finalité légitime. Elle considère en outre que les modifications n'ont pas d’incidence substantielle sur la manière dont le juge prend la décision d'imposer une sanction ou une mesure de sécurité déterminée. Bien que les compétences du juge soient quelque peu étendues, il n'est pas pour autant question d'un traitement plus conséquent de données à caractère personnel l'égard du condamné ou de l'inculpé 5. Les raisons sous-jacentes pour lesquelles la surveillance à l'aide de moyens électroniques a été ordonnée n'ont pas non plus d'influence sur les modalités de la surveillance électronique.6 Dès lors, il n'est pas très utile d'évaluer les cadres législatifs dans ce contexte (et plus particulièrement la réglementation modifiée) à l'aune du droit à la protection des données, d'autant plus que le contrôle des décisions en soi - tel qu'expliqué ci-dessus - a été entièrement soustrait à la compétence de l'Autorité. Il incombe seulement au juge de motiver sa décision d'imposer une interdiction de résidence, de lieu ou de contact et de soumettre celle-ci à un contrôle à l'aide de moyens électroniques. En outre, le contrôle du respect d'une interdiction de contact à l'aide de moyens électroniques n'est possible qu'avec le consentement de la victime. 13. Deuxièmement, les données à caractère personnel du condamné ou de l'inculpé et, le cas échéant, de la (des) victime(s) seront traitées par les services compétents afin de contrôler le respect de l'interdiction de résidence, de lieu ou de contact (à l'aide de moyens électroniques). Comme déjà expliqué ci-avant, il s'agit ici du Vlaams Centrum Elektronisch Toezicht pour la Communauté flamande et de la Direction de la surveillance électronique pour la Communauté française. Il s'agit de services décentralisés qui relèvent des maisons de justice et qui sont par conséquent soumis respectivement au décret du 26 avril 2019 et au décret du 5 octobre 2023, à propos desquels l'Autorité a déjà formulé les avis suivants : n° 52/2019 concernant une proposition de décret relatif aux maisons de justice et à l'aide juridique de première ligne7, n° 46/2021 concernant un avant-projet de décret de la Fédération Wallonie-Bruxelles relatif à la mise en œuvre et au suivi de la surveillance électronique 8 et n° 76/2023 concernant un avant-projet de décret de la Fédération Wallonie-Bruxelles introduisant le Code de la justice communautaire.9 14. Ici aussi, les modifications apportées par le projet n'ont en principe aucune incidence sur les modalités de traitement des données du condamné ou de l'inculpé par les services compétents dans le cadre d'une surveillance électronique (même si au sens strict, cette surveillance électronique poursuit une autre finalité, à savoir le contrôle du respect d'une interdiction de résidence, de lieu ou de contact 10). Cela ne s'applique pas nécessairement au traitement de données à l'égard de la (des) victime(s), dans les cas où le respect de l'interdiction de contact doit être contrôlé à l'aide de moyens électroniques. Dans ce contexte, le fait que ceci n'est possible que si la victime y consent peut être pris en compte. Bien que cette déclaration d'accord ne constitue pas un consentement au sens de l'article 4, 11) du RGPD et ne peut donc pas servir de base juridique pour le traitement de données, la déclaration d'accord contribue néanmoins à la prévisibilité des traitements à l'égard de la victime, à condition que leurs implications et leur portée soient précisément expliqués. Néanmoins, l'Autorité s'interroge à propos de l'intention implicite de suivre la localisation de la victime en temps réel 11. Les modalités de mise en œuvre d'une telle mesure doivent faire l'objet d'une attention particulière. Dans ce contexte, il est au minimum requis qu'il ne peut pas être possible pour les collaborateurs du service compétent de consulter à tout moment la localisation de la victime sans conditions. 15. Dans la mesure donc où le projet a pour conséquence l'élargissement de la mission des services compétents, il semble recommandé d'évaluer les modifications à l'aune de la réglementation (communautaire) existante, afin de vérifier si une révision du décret du 26 avril 2019 et/ou du décret du 5 octobre 2023 s'impose12. Communauté flamande 16. Les traitements de données qui sont effectués par le Vlaams Centrum voor Elektronisch Toezicht (le service compétent) sont régis par le décret du 26 avril 2019. L'article 6 du décret susmentionné spécifie que le centre en question fait partie des maisons de justice, en tant que service décentralisé. 17. En ce qui concerne les finalités des traitements réalisés par le service compétent à l'égard tant de la personne qui fait l'objet d'une interdiction que de la victime, l'Autorité estime qu'elles découlent suffisamment clairement de la législation modifiée par le projet et de l'article 9, § 1er du décret du 26 avril 2019. L'article 5 du même décret dispose en outre que les maisons de justice effectuent leurs missions dans le cadre d'une procédure judiciaire ou en exécution d'une décision judiciaire, conformément à l'article 5, § 1er, III de la loi spéciale du 8 août 1980 de réformes institutionnelles et assurent l'encadrement coordonné et intégré des personnes suspectes, accusées, prévenues, inculpées, condamnées ou internées, ainsi que la protection de l'intégrité physique et psychique de personnes. Enfin, les dispositions modifiées par le projet prévoient toujours que le contrôle du respect d'une interdiction imposée soit assuré par le service compétent. 18. Ensuite, l'Autorité prend acte de la désignation de l'Agentschap Justitie en Handhaving en tant que responsable du traitement, conformément à l'article 7, alinéa 4 du décret du 26 avril 2019. 19. Vis-à-vis des victime, dans le cadre d'une demande d'informations complémentaires, le demandeur a attiré l'attention sur un projet de décret modifiant le décret du 26 avril 2019 sur les maisons de justice et l'aide juridique de première ligne 13 en ce qui concerne l'optimisation des processus de travail du Vlaams Centrum Elektronisch Toezicht et des maisons de justice [NdT : les citations extraites de ce projet de décret ont été traduites librement par le Service Traductions de l'Autorité, en l'absence de traduction officielle]. L'article 5, dernier alinéa de ce projet prévoit qu'au paragraphe 2, alinéa 2 de l'article 9 du décret du 26 avril 2019, la partie de phrase suivante est ajoutée : "et, si celles-ci ont été placées sous protection à l'aide de moyens de surveillance électronique, des données de localisation." L'Autorité souligne à nouveau qu'il est extrêmement important d'informer les victimes de manière exhaustive à propos des implications de la surveillance du respect d'une interdiction de contact à l'aide de moyens électroniques et plus précisément à propos de ce que cette surveillance impliquera pour elles, du matériel qui sera utilisé à cette fin et de l'endroit où il sera placé, de qui à accès à quel moment à leurs données de localisation, de quelles démarches seront entreprises au moment où l'on constate que l'interdiction de contact n'est pas ou n'a pas été respectée14, et de la manière dont elles en seront informées, de la manière de demander de mettre fin à la surveillance électronique ou d'en revoir la nécessité ... Il semble indiqué d'intégrer cette obligation d'information au moins indirectement (par exemple) dans les Développements du projet de décret précité. En outre, il est nécessaire de limiter le traitement des données de localisation de la victime à un minimum et de veiller à ce qu'il ne soit aucunement possible pour les collaborateurs du service compétent de suivre les victimes en temps réel. Les données de localisation peuvent en effet contenir des données sensibles permettant de déduire (notamment) la confession religieuse ou l'état de santé. Dans ce contexte, l'Autorité attire l'attention sur la responsabilité dans le chef du responsable du traitement, conformément à l'article 5.2 du RGPD, et sur les principes de la protection des données dès la conception et par défaut, conformément à l'article 25 du RGPD. Pour le reste, à condition que la victime soit suffisamment informée et que sur cette base, elle ait consenti à ce qu'une interdiction de contact imposée soit contrôlée à l'aide de moyens électroniques, l'Autorité estime que la réglementation modifiée par le projet et le décret du 26 avril 2019 contiennent des garanties suffisantes en ce qui concerne la proportionnalité du traitement. À cet égard, il va de soi qu'il est nécessaire d'adopter le projet de décret visé le plus rapidement possible, afin que le décret du 26 avril 2019 précise effectivement que les données de localisation de la victime peuvent être traitées par le service compétent. Les autres données de la victime qui peuvent être traitées en vertu de l'article 9, § 2, alinéa 2 du décret du 26 avril 2019 ne donnent lieu à aucune remarque particulière. 20. En ce qui concerne les délais de conservation (maximaux) des données à caractère personnel, le demandeur se réfère à l'article 8, dernier alinéa du décret du 26 avril 2019, qui prévoit ce qui suit : "Les maisons de justice ne conservent pas les données à caractère personnel qu'ils [NdT : il convient de lire "elles"] traitent lors de l'exercice de leurs missions plus longtemps que nécessaire pour l'exercice de ces missions. Le Gouvernement flamand, après avis de l'autorité de contrôle compétente, prévoit par finalité de traitement des délais de conservation ou des critères de délimitation spécifiques pour les délais de conservation." Cet article a déjà été (partiellement) exécuté à l'article 5 de l'arrêté du Gouvernement flamand du 18 mars 2022 portant exécution des dispositions relatives aux maisons de justice du décret du 26 avril 2019 sur les maisons de justice et l'aide juridique de première ligne, qui dispose ce qui suit : "Les données à caractère personnel traitées conformément à l'article 9, § 1er, 1°, 2°, 3° et 8° du décret du 26 avril 2019 sont conservées dans un dossier électronique et sont disponibles et consultables jusqu'à dix ans après leur dernier traitement. À l'issue de la période précitée, les données à caractère personnel sont effacées ou anonymisées pour un objectif tel que visé à l'article 7, alinéa premier, 2° à 5°, du décret du 26 avril 2019. (…).” 21. L'Autorité rappelle toutefois que le délai de conservation (maximal) des données à caractère personnel constitue un élément essentiel du traitement et conformément à l'article 6.3, lu conjointement avec l'article 22 de la Constitution et l'article 8 de la CEDH, doit être défini dans une norme légale formelle, en particulier lorsque le traitement constitue une ingérence importante dans les droits et libertés de la personne concernée. La définition du délai de conservation dans une norme exécutive - comme en l'espèce - est donc contraire au principe formel de légalité. 22. Par ailleurs, l'Autorité souligne encore que le délai de conservation "fourre-tout" qui est actuellement établi pose question quant à sa proportionnalité, en particulier lorsqu'il s'applique tant à l'égard des données plutôt administratives (dont par exemple les données d'identification et de contact, les données relatives à l'âge, au sexe, à la nationalité, à l'état civil, des données policières et judiciaires, ...) que des données de localisation concrètes ayant été obtenues au moyen de matériel de surveillance électronique. De façon plus générale, il paraît donc difficilement acceptable que vu les différentes finalités qui sont poursuivies par les maisons de justice et les services décentralisés, un seul délai de conservation soit établi pour l'ensemble des données à caractère personnel qui sont traitées par les entités susmentionnées. 23. En ce qui concerne ensuite le délai de conservation (concret), l'Autorité considère que la partie de phrase 'après leur dernier traitement' ne permet aucunement de déterminer quand ce dernier traitement a lieu et donc quand le délai de conservation de dix ans commence à courir. Il est par contre recommandé d'utiliser la fin de la surveillance électronique comme point de départ. Bien que l'Autorité admette en principe que le délai de conservation de dix ans est légitime afin d'éviter que les données soient effacées ou anonymisées avant que toutes les voies de recours soient épuisées, elle s'interroge néanmoins sur le caractère légitime de ce délai lorsqu'il s'agit de données (de localisation)15, ou lorsque la surveillance électronique est organisée à la suite d'un jugement ou d'un arrêt passés en force de chose jugée 16. Sauf clarification pouvant justifier le délai de conservation choisi dans ces cas, une révision du délai de conservation s'impose. 24. En résumé, l'Autorité estime donc que, compte tenu de la finalité spécifique et délimitée de la surveillance électronique, il n'est en aucun cas insurmontable et qu'il est en outre nécessaire de définir les délais de conservation applicables dans ce contexte à l'égard tant de l'inculpé ou du condamné que de la victime de façon granulaire et distincte dans le décret du 26 avril 2019. Communauté française 25. Les traitements de données effectués par la Direction de la surveillance électronique ( le service compétent) sont quant à eux régis par le décret du 5 octobre 2023. Contrairement au décret du 26 avril 2019, le décret du 5 octobre 2023 prévoit un livre spécifique (Livre V) pour ce qui concerne la mise en œuvre et le suivi de la surveillance électronique. Comme cela ressort au moins indirectement des remarques ci-avant concernant les délais de conservation dans la réglementation flamande, une telle méthode de travail est toujours préférable, car elle permet de définir les éléments essentiels du traitement de données à l'égard d'une finalité déterminée 17, à savoir l'organisation et le contrôle de la surveillance électronique. À la lumière de ce qui précède, il semble nécessaire de compléter le Livre V du décret du 5 octobre 2023 conformément à ce qui suit, vu que - contrairement à ce que le demandeur a expliqué dans le cadre d'une demande d'informations complémentaires18 - l'Autorité estime que les dispositions du Livre IV ne peuvent pas être déclarées applicables telles quelles à la nouvelle compétence du service compétent à l'égard des victimes. Le Livre IV concerne en effet (entre autres) la mission d'accueil, d'accompagnement et d'orientation des maisons de justice, laquelle vise en soi une autre finalité (et une finalité en outre plus étendue) que le contrôle du respect d'une interdiction de contact à l'aide de moyens électroniques. 26. L'article V.12 du décret du 5 octobre 2023 contient une énumération claire des finalités poursuivies par le service compétent. Bien qu'en principe, l'Autorité considère que ces finalités sont déterminées, explicites et légitimes, elle estime néanmoins que l'article précité doit être complété afin de refléter les compétences supplémentaires du service compétent à l'égard de la victime (dans le cas où une interdiction de contact doit être contrôlée à l'aide de moyens électroniques). Dans contexte, il semble également utile d'également compléter l'article V.10, (2°) du même décret (qui concerne l'enregistrement et la gestion des incidents) afin que la violation d'une interdiction de contact soit également qualifiée d'incident. 27. En ce qui concerne le responsable du traitement, l'Autorité rappelle que sa désignation dans la réglementation doit correspondre au rôle que cet acteur assume dans la pratique et au contrôle qu'il exerce sur les éléments essentiels mis en œuvre pour le traitement. Tant le Comité européen de la19 protection des données20 que l’Autorité ont insisté sur la nécessité d’approcher ces concepts dans une perspective factuelle. En outre, la désignation correcte du responsable du traitement est cruciale, vu que ce dernier fait office de point de contact central pour les personnes concernées dans le cadre de l'exercice de leurs droits. Il est donc nécessaire de désigner la ou les entités qui, dans les faits, poursui(ven)t la finalité du traitement visé et en assure(nt) la maîtrise. À la lumière de ce qui précède, l'Autorité estime que la désignation conformément à l'article II.16 du décret du 5 octobre 2023 du Ministère de la Communauté française en tant que responsable du traitement ne réussit pas ce test21. Il est nécessaire de revoir et d'affiner cette désignation comme il se doit. À cet égard, on peut par exemple penser à l’Administration générale des Maisons de Justice. 28. L'article V.13 du décret du 5 octobre 2023 spécifie ensuite les catégories de données à caractère personnel à traiter à l'égard des différents intéressés. L'Autorité estime nécessaire de compléter l'article V.13 du décret du 5 octobre 2023 afin de prévoir que dans le cadre de ses (nouvelles) compétences, le service compétent puisse traiter des données de la victime, y compris des données de localisation, lorsque cela est nécessaire au contrôle du respect d'une interdiction de contact. À cet effet, l'Autorité reprend intégralement ses remarques conformément au point 19 ci-dessus. 29. Le délai de conservation des données à caractère personnel qui sont traitées dans le cadre de la surveillance électronique est établi à l'article V.12, § 2 de l' Arrêté du Gouvernement de la Communauté française du 21 décembre 2023 portant exécution du Code de la justice communautaire (ci-après : l'arrêté du 21 décembre 2023) : “Les données visées au paragraphe 1er peuvent être conservées pendant cinquante ans à partir de la clôture du mandat ou jusqu'au décès de la personne concernée.” 30. Tout d'abord, l'Autorité répète que vu que le délai de conservation (maximal) constitue un élément essentiel du traitement de données, il doit nécessairement être défini dans une norme légale formelle. Étant donné que la finalité des traitements dans le cadre de la surveillance électronique est clairement délimitée, l'Autorité estime qu'il n'est aucunement insurmontable de transférer les dispositions relatives aux délais de conservation vers le décret du 5 octobre 2023 (voir aussi ci-avant le point 21). 31. Par analogie avec ce qui est expliqué au point 25 ci-dessus, l'Autorité estime que, contrairement à ce qu'indique le demandeur, les délais de conservation définis à l'article IV.6, § 2 de ce même décret ne peuvent pas être déclarés applicables tels quels aux données à caractère personnel des victimes qui sont traitées par le service compétent dans le cadre du contrôle du respect d'une interdiction de contact. L'Autorité demande de définir dans le Livre V du décret du 5 octobre 2023 des délais de conservation tant pour les données des personnes ayant été placées sous surveillance électronique que pour les données des victimes. 32. Sur le fond, l'Autorité se pose d'importantes questions concernant le délai de cinquante ans après la fin de la surveillance. Un tel délai n'est absolument pas justifiable à la lumière des finalités pour lesquelles les données sont traitées, en particulier à l'égard des victimes. Une réduction du délai de conservation s'impose, en prêtant une attention particulière aux données de localisation. L'Autorité se réfère mutatis mutandis à ce qui a été expliqué ci-avant aux points 23 – 24 (en ce compris les notes de bas de page 15 – 16). 33. Enfin, l'Autorité exhorte à harmoniser autant que possible la réglementation communautaire adoptée à cet égard. PAR CES MOTIFS, l’Autorité, estime que les modifications suivantes s'imposent dans la réglementation relative à la surveillance électronique : - Communauté flamande : o prévoir que les données de localisation de la victime puissent également être traitées par le service compétent lorsque le respect d'une interdiction de contact doit être contrôlé à l'aide de moyens électroniques, en veillant à exprimer suffisamment l'obligation d'information à l'égard de la victime (au besoin dans les Développements) et en limitant le traitement de ces données à un minimum (point 19 j° 14) ; o transférer les dispositions qui définissent les délais de conservation (maximaux) vers le décret du 26 avril 2019 (point 21 j° 24) ; o revoir les délais de conservation proprement dits conformément aux points 22 – 23). - Communauté française : o compléter les articles V.10 et V.12 du décret du 5 octobre 2023 conformément à la nouvelle mission attribuée aux services compétents (point 26) ; o revoir la désignation du responsable du traitement conformément à ce qui est expliqué au point 27 ; o compléter l'article V.13 du décret du 5 octobre 2023 afin de prévoir que les données à caractère personnel de la victime puissent également être traitées et également le modifier afin de mieux délimiter les situations où des catégories particulières de données à caractère personnel peuvent être traitées (point 28) ; o transférer les dispositions qui définissent les délais de conservation (maximaux) vers le décret du 5 octobre 2023 (point 30) ; o revoir les délais de conservation proprement dits conformément à ce qui est expliqué aux points 31 – 32. Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2025:AVIS.20250327.4 Publication(s) liée(s) précédé par: ECLI:BE:GBAPD:2025:DEC.20250127.1