ECLI:BE:GBAPD:2025:AVIS.20250227.2

Avis n° 08/2025 du 27 février 2025 Objet : Demande d’avis concernant une proposition de loi modifiant diverses dispositions en vue de supprimer certains obstacles juridiques à l’exercice de missions non policières par des agents de gardiennage au bénéfice des services de police (CO-A-2024-289) Mots-clés : Tâches policières – sociétés de gardiennage – caméras – accueil – fonctions régaliennes Version originale Introduction La proposition à l’examen prévoit la possibilité de confier certaines tâches exécutées par les services de police à des sociétés privées de gardiennage. Ce faisant, et probablement involontairement, elle remet en cause des fondements constitutionnels et légaux justifiant jusqu’ici que ces tâches soient exclusivement exercées par des membres des services de police. L’Autorité se rallie à l’avis négatif émis par le COC au sujet de cette proposition. L’Autorité en profite pour mettre en évidence les principaux points à clarifier lors de la rédaction d’une norme opérant une révolution copernicienne telle que celle envisagée par ladite proposition. Pour une liste exhaustive des observations, se rapporter au dispositif. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité »), Présent.e.s : Mesdames Cédrine Morlière et Griet Verhenneman et Messieurs Yves-Alexandre de Montjoye, Gert Vermeulen et Bart Preneel; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après « LCA »); Vu l’article 43 du règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix; Pour les textes normatifs émanant de l’Autorité fédérale, de la Région de Bruxelles-Capitale et de la Commission communautaire commune, les avis sont en principe disponibles en français et en néerlandais sur le site Internet de l'Autorité. La « Version originale » est la version qui a été validée collégialement. Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »); Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD »); Vu la demande d'avis de Monsieur Peter De Roover, Président de la Chambre des représentants (ci- après « le demandeur »), reçue le 6 décembre 2024; Émet, le 27 février 2025, l'avis suivant : I. OBJET ET CONTEXTE DE LA DEMANDE D’AVIS . 1. Le demandeur a sollicité l’avis de l’Autorité concernant une proposition de loi modifiant diverses dispositions en vue de supprimer certains obstacles juridiques à l’exercice de missions non policières par des agents de gardiennage au bénéfice des services de police (ci-après « la proposition »). 2. Le texte de cette proposition est identique à celui de la proposition DOC 55 3992/001 déposée à la Chambre le 23 avril 2024 et aujourd’hui caduque. 3. Les dispositions que la proposition entend modifier sont : - les art. 3 et 115, 3°, a) et b) de la loi du 2 octobre 2017 « réglementant la sécurité privée et particulière »1 (ci-après « LSP) (art. 2 et 3 de la proposition) ; et - l’art. 25/5, §2 de la loi du 5 août 1992 sur la fonction de police 2 (ci-après « LFP ») (art. 4 de la proposition). 4. En janvier 2019, deux zones de police (ci-après « ZP ») ont publié un communiqué de presse annonçant la conclusion d’un accord de collaboration avec une société de gardiennage pour le soutien à l’exécution de tâches et notamment, du monitoring des réseaux de caméras, le call taking et l’accueil des visiteurs. Cette collaboration y était notamment justifiée par des difficultés de recrutement 3. La presse a relayé cette information en 20234. 5. Il est vrai qu’en 2004 déjà un rapport de la Cour des comptes relatif à la garantie d'un service minimum de police de base, dressait un portrait détaillé de la problématique liée au recrutement 5. 6. Suite à la couverture médiatique intervenue en 2023, une enquête a été diligentée par l’Organe de contrôle de l’information policière (ci-après le « COC »). Dans son rapport de contrôle du 9 novembre 2023, le COC indique avoir notamment constaté le traitement illicite d’informations et de données à caractère personnel relevant du Titre 2 LTD et de la LFP par des agents de gardiennage et a imposé qu’il y soit mis un terme. L’une des ZP concernée a indiqué que le collège de police avait procédé au recrutement de six nouveaux collaborateurs afin de ce conformer à la réglementation 6. L’Autorité observe toutefois que l’autre ZP concernée a indiqué à la presse ne pas avoir l’intention de mettre un terme à cette pratique7. 7. La proposition a l’examen entend remédier aux « difficultés juridiques » soulevées par le COC dans son rapport précité. Toutefois, ce faisant elle ajoute un acteur susceptible de traiter des données à caractère personnel qui étaient jusqu’ici exclusivement traitées par des membres des services de police. Ceci a pour effet d’accroitre l’ingérence dans les droits et libertés des personnes concernées. En outre – et vraisemblablement inconsciemment – la proposition remet en question l’essence même de ce qui relève de la force publique au sens de l’art. 184 de la Constitution 8 ainsi que la logique ayant conduit à considérer que les traitements de données à caractère personnel résultant de l’utilisation de caméras par les services de police, relevaient du Titre 2 LTD9. 8. Le COC a rendu un avis négatif au sujet de cette proposition 10. L’Autorité se rallie sans réserves aux observations formulées par le COC, à savoir, en substance, (i) que le demandeur part (à tort) du principe que le droit positif permettrait de distinguer les « tâches policières » des « tâches non-policières » et (ii) que le fait de faire exécuter les tâches en question par des agents de gardiennage n’implique pas que les tâches en question revêtiraient une finalité non-policière11, de sorte que, si l'on souhaite introduire une distinction à cet égard, cela mérite un débat parlementaire de fond. 9. Cependant, l’Autorité a entre-temps pris connaissance d’un passage de l'accord de coalition fédérale12 dans lequel figure l’intention de s’attaquer « aux obstacles juridiques qui empêchent actuellement des acteurs privés d’effectuer certaines tâches non policières en soutien aux services de police »13. L’Autorité juge donc nécessaire de rappeler ci-après les principales questions au sujet desquelles une norme doit nécessairement faire la clarté, en vue de valablement fonder un traitement de données à caractère personnel tel que celui qui est envisagé par la proposition à l’examen 14. II. EXAMEN DE LA PROPOSITION 10. L’introduction, dans la LFP, des dispositions relatives à la gestion de l’information policière par la loi du 18 mars 2014 relative à la gestion de l'information policière et modifiant la loi du 5 août 1992 sur la fonction de police, la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel et le Code d'instruction criminelle 15, a été l’occasion, pour le législateur, de rappeler que – bien avant l’adoption et l’entrée en vigueur du RGPD – l’obligation de « rendre prévisibles, pour tout un chacun, les intrusions de l’autorité dans la vie privée des individus et à délimiter clairement les conditions d’immixtion de celle-ci dans la sphère privée des individus (…) »16. 11. Perdant semble-t-il quelque peu ce constat de vue, la proposition à l’examen suscite, comme il sera expliqué ci-après, de nombreuses questions, largement laissées sans réponse. Il en découle une insuffisance manifeste en ce qui concerne le respect du principe de prévisibilité. 12. Afin de guider le législateur, l’Autorité relève les éléments devant être clarifiés en ce qui concerne la sous-traitance (II.1.), la responsabilité du traitement (II.2.), l’exigence de licéité des traitements (II.3.) et la volonté de remettre en cause le régime d’exception dont bénéficient les services de police en matière de vidéosurveillance de leurs propres locaux (II.4.). Le chapitre II.5 de l’avis contient une énumération des questions à clarifier dans une éventuelle version remaniée de la proposition. II.1. La sous-traitance 13. En vertu de l’art. 3.9. de la directive police (et de l’art. 4.8 du RGPD), le sous-traitant est « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». 14. L’art. 22 de la directive police énumère les obligations, relatives à la sous-traitance, devant figurer dans la législation nationale. Parmi ces obligations figurent le fait que le sous-traitant présente des garanties suffisantes, la nécessité de soumettre le recrutement d’un sous-traitant par le sous-traitant lui-même à une autorisation écrite et préalable du responsable du traitement et l’exigence de conclusion d’une contrat de sous-traitance. 15. Cependant, comme l’a souligné17 le Service des marchés publics de la Chancellerie du Premier Ministre au moment de l’entrée en vigueur du RGPD, il convient de distinguer : - le « sous-traitant » au sens de l’article 4 du RGPD (ou de l’art. 3 de la directive police), - de l’ « adjudicataire » visé à l’article 2, 16°, de la loi du 17 juin 2016 relative aux marchés publics (et du « sous-traitant » visé aux articles 12 et suivants de l’arrêté royal du 14 janvier 2013 établissant les règles générales d'exécution des marchés publics). 16. Il y a donc lieu de déterminer clairement lequel de ces cas de figure est envisagé, étant entendu que ces deux notions sont susceptibles de se recouper lorsque l’objet du marché est le traitement de données à caractère personnel pour le compte du responsable du traitement. 17. Si la question des garanties appropriées est relativement facile à résoudre lorsque le sous-traitant est membre d’un autre service de police, la situation est bien plus délicate lorsqu’il s’agit de permettre à une société privée de traiter des données pour le compte d’un service de police. 18. L’Autorité s’en remet à l’expertise du COC sur cette question et se contente de souligner que, si telle devait être l’intention du législateur, il y aurait lieu de démontrer clairement en quoi (et dans quels cas) le fait d’être membre des services de police (le cas échéant relevant d’un autre corps ou d’une autre zone) ne doit pas être considéré comme une condition sine qua non pour la désignation d’un sous-traitant. II.2. Responsables du traitement des banques de données policières 19. Si, comme la proposition ne semble pas l’exclure, le sous-traitant est susceptible d’enregistrer des données dans des banques de données policières, la question de l’autorisation préalable conduit à se poser la question de la conformité des responsable du traitement actuellement désignés par la LFP. 20. En effet, les art. 44/4 et sv. LFP désignent les Ministres de l’Intérieur et de la Justice comme responsable du traitement pour les banques de données policières18. Il leur appartient donc d’autoriser ou de s’opposer préalablement au traitement de données dans les banques de données dont ils sont responsables. Toutefois, comme l’art. 44/8 LFP le suggère en filigrane, il serait inconcevable de se passer de l’autorisation préalable des différentes autorités compétentes pour l’exécution des tâches des membres opérationnels des services de police lorsque ce sont ces derniers qui sont amenés à désigner un sous-traitant. 21. Ceci devrait conduire à s’interroger sur (1) la nécessité d’accorder une place aux autorités de police administrative et judiciaire parmi les responsables du traitement de certaines banques de données policières et (2) la possibilité de considérer que les tâches dévolues aux membres opérationnels des services de police ne peuvent jamais être déléguées à des sous-traitants-non policiers. II.3. Exigence de licéité des traitements 22. Enfin, même lorsque les notions de sous-traitant et d’adjudicataire ne se recoupent pas, à savoir lorsque l’adjudicataire est responsable du traitement et que des données qui lui sont communiquées par l’adjudicateur, il y a lieu de d’être attentif à l’exigence de licéité des traitements (figurant à l’art. 5.1.a) du RGPD). « L’exigence de licéité signifie que le traitement de données à caractère personnel doit se faire conformément à l’ensemble des règles légales applicables »19. Faute de quoi, la communication et/ou le traitement ultérieur pourrait revêtir un caractère illicite (contraire à l’article 5.1.a) du RGPD) et l’effacement des données pourrait être sollicité. En l’espèce, il conviendra d’être particulièrement attentif à ce que la proposition ne méconnaisse pas le principe de non-discrimination entre justiciables, dès lors que seules certaines zones de police (disposant de moyens financiers plus importants) pourraient avoir recours aux recours de sociétés de gardiennage. L’Autorité estime que l’avis de l’IFDH devrait être sollicité sur cette question. 23. Par conséquent, tout comme ce fut le cas lors des réformes précédentes, une réforme de l’ampleur de celle envisagée ne peut faire l’économie d’un débat parlementaire approfondi20, idéalement éclairé par des rapports d’experts. l’Autorité considère que le cadre de l’analyse d'impact relative à la protection des données qui est visé à l’article 35 du RGPD constitue une méthodologie adéquate pour examiner la proportionnalité du traitement de données à caractère personnel envisagé par une telle proposition. En l’occurrence, l’Autorité estime qu’il est nécessaire que cette analyse d’impact relative à la protection des données soit effectuée à ce stade du processus législatif. On ne peut en effet pas exclure que suite à cette analyse, des prescriptions spécifiques doivent être insérées dans la réglementation. II.4. Remise en cause du régime d’exception applicable à la vidéosurveillance des locaux de la police 24. Comme le relevait le rapport de la commission de l’Intérieur du Sénat en 2006 21, la vidéosurveillance dans les lieux publics requiert « une base légale claire et une approche intégrée », en d’autres termes, un cadre légal général. Dans la mesure où tout régime d’exception a pour effet de compliquer l’appréhension, par la personne concernée, des hypothèses dans lesquelles le législateur autorise une ingérence dans ses droits et libertés par le traitement de ses données, un tel régime doit être évité dans toute la mesure du possible. 25. Le régime distinct applicable aux services de police se justifie par le fait que le traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces, relève du Titre II LTD transposant la directive (UE) 2016/680. En revanche, la vidéosurveillance de locaux – même s’il s’agit d’un commissariat de police – par une société de gardiennage privée doit nécessairement être régie par la loi caméras et s’inscrire dans les limites de ce cadre général (qui peut cependant, au besoin, être adapté). 26. L’Autorité attire l’attention du demandeur sur le fait qu’en prévoyant que la surveillance par caméras des bâtiments et bureaux de police peut être effectuée par des acteurs privées, le législateur suscite de nouvelles interrogations. Une telle réforme indiquerait en effet que pareille surveillance est effectuée à des fins étrangères aux missions de police administrative ou judiciaire (comme c’est le cas pour toute autre autorité, école, hôpital, banque, etc…). Le cas échéant, ceci ne manquerait pas d’entrainer la nécessité de reconsidérer le fait que la vidéosurveillance de ces locaux, même lorsqu’elle est effectuée par des membres des services de police, soit susceptible de relever du régime dérogatoire de la LFP. II.5. Principales questions auxquelles un projet de norme ayant un objet similaire à celui de la proposition devrait répondre 27. L’Autorité estime qu’à défaut de s’abstenir de poursuivre l’adoption de la proposition, la version remaniée de cette proposition devrait en tout état de cause permettre de démontrer clairement que : - la compétence éventuellement déléguée à un adjudicataire ne relève pas des pouvoirs régaliens de l’Etat ; - la proposition ne déroge pas à la détermination uniforme un service de police minimal sur l’ensemble du territoire ; - les relations entre les principaux acteurs que sont les entreprises de gardiennage, les services de police, les responsables du traitement des banques de données concernées (et en particulier les Ministres), les autorités de police administrative et les autorités judiciaires ont été prises en compte (en déterminant quelles tâches requièrent l’autorisation de qui pour faire l’objet d’une délégation et comment cet accord peut se manifester) ; - la prise de connaissance des données par le responsable du traitement ou son sous-traitant est légalement fondée ; - des mesures ont été prises pour éviter le risque de confusion, aux yeux du grand public, entre les acteurs privés et les services de police, en particulier quant aux limites de leurs compétences respectives ; - l’hypothèse de la prise de connaissance d’images traumatisantes, que les limites des missions confiées aux sociétés de sécurité privée ou leurs compétences techniques ne leur permettra peut-être pas de traiter « utilement » voire de manière licite, a été prise en compte et comment le législateur entend éviter ce problème ; - l’enregistrement dans des banques de données est bien limité aux banques de données auxquelles le responsable du traitement ou le sous-traitant a légalement accès ; - des garanties s’opposant à un accès illicite et assurant la qualité des données enregistrées (notamment l’exigence de formations d’un niveau équivalent à celui requis pour les membres des services de police pouvant accéder à ces banques de données) ont été prévues. PAR CES MOTIFS, L’Autorité estime que : - la proposition ne rencontre pas les exigences de prévisibilité (point 11) ; - il convient d’indiquer clairement si le projet vise une possibilité de sous-traitance au sens de la directive police ou un adjudicataire (point 16) ; - il convient de démontrer en quoi le fait d’être membre des services de police ne doit pas être considéré comme une garantie incontournable pour la désignation d’un sous-traitant (point 18 et 21) ; - la proposition implique la nécessité d’accorder une place aux autorités de police administrative et judiciaire parmi les responsables du traitement de certaines banques de données policières (point 21) ; - la proposition et en particulier la question du respect du principe de non-discrimination entre justiciables, devrait être soumise à l’IFDH pour avis (point 22) ; - une AIPD devrait être réalisée au stade législatif (point 23) ; - le fait de prévoir que la surveillance par caméras des bâtiments et bureaux de police peut être effectuée par des acteurs privées devrait conduire à s’interroger sur la nécessité de reconsidérer le fait que la vidéosurveillance de ces locaux soit susceptible de relever du régime dérogatoire de la LFP (points 25 et 26) ; - un projet de norme ayant un objet similaire à celui de la proposition devrait tenir compte des éléments énumérés au point 27 du présent avis. Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2025:AVIS.20250227.2