ECLI:BE:GBAPD:2024:AVIS.20241129.8

Avis n° 104/2024 du 29 novembre 2024 Objet : Avis concernant un projet d'arrêté royal relatif à l'autorisation et au renouvellement d'autorisation des entreprises et services internes de recherche privée (CO-A-2024-270) Mots-clés : recherche privée - conditions d'autorisation - enquête sur les conditions de sécurité - missions et compétences légales - catégories de personnes concernées Traduction Introduction Le projet d'arrêté royal relatif à l'autorisation et au renouvellement d'autorisation des entreprises et services internes de recherche privée soumis pour avis vise à fixer les modalités (d'approbation) des demandes d'autorisation introduites par des entreprises ou services internes au sens de l'article 2, 16° ou 17° de la loi du 18 mai 2024 réglementant la recherche privée. En résumé, l'Autorité estime que les traitements de données prévus par le projet offrent suffisamment de garanties pour la protection des données à caractère personnel et qu'ils sont précis et prévisibles dans le chef des entreprises ou services internes qui souhaitent obtenir (un renouvellement de) leur autorisation, étant toutefois entendu qu'il convient de tenir compte des remarques contenues dans l'avis n° 93/2024 de l'Autorité. Le Service d'Autorisation et d'Avis de l'Autorité de protection des données (ci-après "l'Autorité"), présent.e.s : Mesdames Cédrine Morlière et Nathalie Ragheno et Messieurs Yves-Alexandre de Montjoye, Bart Preneel et Gert Vermeulen ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après "la LCA") ; Pour les textes normatifs émanant de l’Autorité fédérale, de la Région de Bruxelles-Capitale et de la Commission communautaire commune, les avis sont en principe disponibles en français et en néerlandais sur le site Internet de l'Autorité. La « Version originale » est la version qui a été validée collégialement. Vu l’article 43 du Règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix ; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données, ci-après le "RGPD") ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après "la LTD") ; Vu la demande d'avis de Madame Annelies Verlinden, Ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique (ci-après "le demandeur "), reçue le 10/10/2024 ; Émet, le 29 novembre 2024, l'avis suivant : I. OBJET DE LA DEMANDE D'AVI 1. Le 10/10/2024, le demandeur a sollicité l'avis de l'Autorité au sujet d'un projet d'arrêté royal relatif à l'autorisation et au renouvellement d'autorisation des entreprises et services internes de recherche privée (ci-après : le projet). 2. Le projet vise, en exécution des articles 7, 14 – 22 et 30 de la loi du 18 mai 2024 réglementant la recherche privée (ci-après : la loi du 18 mai 2024), à définir les modalités de la procédure de demande pour toute personne physique ou morale qui souhaite obtenir une autorisation (ou son renouvellement) en tant qu'entreprise ou service interne de recherche privée au sens respectivement de l'article 2, 16° ou 17° de la loi du 18 mai 2024. 3. Plus concrètement, le projet spécifie quelles pièces et renseignements doivent être repris dans la demande d'autorisation ainsi que les conditions auxquelles l'autorisation précitée peut être obtenue. 4. Dans ce contexte, l'Autorité s'est prononcée récemment sur la manière dont les personnes visées à l'article 29 de la loi du 18 mai 2024 (parmi lesquelles par exemple les personnes qui assurent la direction effective d'une entreprise ou d'un service interne de recherche privée, les personnes qui siègent au conseil d’administration d’une entreprise ou exercent le contrôle d'une entreprise au sens de l'article 1:14 du Code des sociétés et associations, ainsi que les enquêteurs privés) peuvent consentir à une enquête sur les conditions de sécurité visée à l'article 32 de la même loi (ci-après : l'enquête de sécurité)1. 5. Les constatations de l'avis susmentionné sont pertinentes dans la mesure où les conditions d'autorisation requièrent que le consentement relatif à l'enquête de sécurité pour certaines personnes qui dirigent une entreprise ou qui sont occupées par une entreprise ou un service interne de recherche privée doit être joint à la demande d'autorisation. II. EXAMEN QUANT AU FOND 6. Préalablement, l’Autorité rappelle que conformément à l’article premier du RGPD, lu à la lumière du considérant 14 du RGPD, la protection conférée par le RGPD concerne des personnes physiques et ne s’étend donc pas au traitement de données relatives à des personnes morales et, plus concrètement, à des entreprises constituées en tant que personnes morales. Dès lors, le présent avis concerne uniquement le traitement de données de personnes physiques qui sont concernées par les dispositions du projet, pour autant que ces traitements doivent être qualifiés de traitements de données à caractère personnel au sens des articles 2 et 3 du RGPD. Cela ne porte toutefois pas préjudice à la protection dont ces personnes morales bénéficient, le cas échéant, en vertu des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne 2. 7. Sans préjudice de ce qui précède, bien que le traitement de données d’entreprises constituées en personnes morales ne relève pas du champ d’application du RGPD, il faut tenir compte du fait que pour l’application du droit économique, des personnes physiques peuvent également être qualifiées d’entreprise (auquel cas, le RGPD s’applique bel et bien). 8. Par ailleurs, l'Autorité fait remarquer que dans la mesure où le projet concerne l'exécution des articles 7, 14 – 22 et 30 de la loi du 18 mai 2024, le présent avis se limite à l'analyse des dispositions précitées (lues conjointement avec les dispositions du projet) et ne concerne donc pas les autres traitements de données à caractère personnel qui peuvent découler de la norme susmentionnée. a. Base juridique 9. À titre général, l’Autorité rappelle que toute norme régissant le traitement de données à caractère personnel (et constituant par nature une ingérence dans le droit à la protection des données à caractère personnel) doit être nécessaire et proportionnée et répondre aux exigences de prévisibilité et de précision dans le chef des personnes concernées. En vertu de l’article 6.3 du RGPD, lu en combinaison avec les articles 22 de la Constitution et 8 de la CEDH, une telle norme légale doit définir les éléments essentiels des traitements allant de pair avec l'ingérence de l'autorité publique. Vu la nature des activités de traitement visées par le projet, à savoir la définition des modalités de la demande d'autorisation (et la manière dont les décisions à cet égard doivent être prises), en tenant compte du fait que les conditions d'autorisation proprement dites 3, les ‘conditions concernant les personnes (physiques) 4’ et les modalités de l'enquête de sécurité5 sont régies par la loi du 18 mai 2024, l'Autorité estime qu'il peut suffire à cet égard que seule la finalité du traitement et (à moins que cela ne soit clair) le(s) responsable(s) du traitement soient définis dans une norme légale formelle. Les autres éléments essentiels6 du traitement peuvent, comme en l'espèce, être définis dans un arrêté d'exécution (à condition qu'il existe à cet effet une délégation au Roi suffisamment précise). 10. Cette analyse peut en outre être étayée par le fait de savoir que les traitements de données à caractère personnel auxquels le projet donne lieu sont raisonnablement prévisibles dans le chef tant des entreprises ou services internes visés que des enquêteurs privés eux-mêmes7, en particulier au vu de la nature des services qu'ils souhaitent proposer, de la qualité professionnelle attendue et du caractère volontaire8 de la procédure de demande. b. Finalité 11. Conformément à l'article 5.1.b) du RGPD, le traitement de données à caractère personnel ne peut être effectué que pour des finalités déterminées, explicites et légitimes. 12. En premier lieu, il convient d'attirer l'attention sur l'article 7 de la loi du 18 mai 2024 qui prévoit ce qui suit : "Nul ne peut offrir les services d'une entreprise ou d'un organisme de formation ou organiser ceux d'un service interne de recherche privée s'il n'y a pas été préalablement autorisé par le ministre qui a l'Intérieur dans ses attributions. Nul ne peut se faire connaître comme entreprise, organisme de formation ou service interne de recherche privée sans avoir reçu au préalable une autorisation du ministre qui a l'Intérieur dans ses attributions." 13. Les articles 149 – 22 de la même loi décrivent ensuite les conditions d'autorisation que l'entreprise ou le service interne de recherche privée doit respecter pendant toute la durée d'autorisation. 14. À la lumière des éléments précités, les articles 2 – 6 et 7 – 9 du projet définissent les modalités concernant respectivement les demandes d'autorisation et de renouvellement d'autorisation, et les décisions concernant les demandes d'autorisation et les demandes de renouvellement d'autorisation ainsi que les signalements de modification de la situation de l'entreprise ou du service interne. 15. Le traitement de données en question vise donc à permettre à l'administration (le SPF Intérieur) de prendre des décisions concernant les demandes d'autorisation d'entreprises ou de services internes de recherche privée au sens de la loi du 18 mai 2024. L’Autorité estime qu’il s’agit d’une finalité déterminée, explicite et légitime. c. Responsable du traitement 16. Conformément à l’article 4.7) du RGPD, le responsable du traitement est toute personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre. 17. Il ressort explicitement des dispositions du projet que le SPF Intérieur (la Direction générale Sécurité et Prévention, Direction de la Sécurité privée, au sein de ce SPF) se charge du traitement des demandes d'autorisation et de renouvellement de l'autorisation en tant qu'entreprise ou service interne de recherche privée qui sont introduites auprès de lui (d'elle). L'article 10, deuxième alinéa du projet désigne le SPF Intérieur comme responsable du traitement pour les traitements qu'il réalise dans ce cadre. L’Autorité en prend acte. 18. L'article 10, premier alinéa du projet dispose en outre que la personne physique ou morale qui souhaite obtenir une autorisation en tant qu'entreprise ou service interne de recherche privée est le responsable du traitement pour ce qui concerne les données qu'elle récolte et traite en exécution de l'arrêté (et plus particulièrement les données des personnes visées à l'article 3 (e.s.) du projet). L'Autorité constate que cette désignation correspond au rôle que cet acteur assume dans la pratique et ne formule dès lors aucune remarque particulière à cet égard. d. Proportionnalité/Minimisation des données 19. L'article 5.1.c) du RGPD prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités visées (principe de ‘minimisation des données’). 20. Il convient tout d'abord de se référer aux articles 3 – 6 du projet dont on peut déduire que les catégories de personnes concernées suivantes font l'objet d'un traitement de données dans le cadre de l'obtention ou du renouvellement d'une autorisation : (1) les personnes qui assurent la direction effective d'une entreprise ou d'un service interne de recherche privée, (2) les personnes qui, sans assurer la direction effective d'une entreprise, soit siègent au conseil d’administration d’une entreprise, soit exercent le contrôle d'une entreprise au sens de l'article 1:14 du Code des sociétés et associations, (3) les enquêteurs privés et (4) le délégué à la protection des données (interne ou externe). 21. À l'exception du délégué à la protection des données, ces personnes doivent, conformément à l'article 19, deuxième alinéa de la loi du 18 mai 2024 " satisfaire aux conditions relatives aux personnes, telles que visées aux articles 29 à 42." En ce qui concerne à cet égard l'enquête de sécurité (les articles 31 – 42 de la même loi), l'Autorité renvoie à l'avis n° 93/2024 et répète, par souci d'exhaustivité, qu'il est nécessaire de spécifier dans la loi du 18 mai 2018 quelles instances se chargeront concrètement de quels aspects de l'enquête de sécurité, afin de préciser quelles possibilités d'enquête peuvent être utilisées par les services de renseignement et de sécurité, et, à l'article 173, § 2, a) de la loi du 18 mai 2024 (dans le cadre de la limitation des droits des personnes concernées), de remplacer les termes ‘de façon illimitée dans le temps’ par les termes ‘pendant la durée de l’enquête sur les conditions de sécurité’. Les aspects de l'enquête de sécurité en soi ne seront dès lors pas abordés plus avant, en particulier eu égard au fait que pour (le renouvellement de) l'autorisation, seul le formulaire de consentement pour l'enquête de sécurité doit être soumis par les personnes concernées. 22. L'article 30 de la loi du 18 mai 2024 dispose que les personnes visées à l'article 29 de la même loi ne peuvent pas avoir été condamnées, "même avec sursis, à une quelconque peine correctionnelle ou criminelle, telle que visée à l'article 7 du Code pénal, ou à une peine similaire à l'étranger, à l'exception des condamnations pour infraction à la réglementation relative à la police de la circulation routière et des condamnations pour infraction visée à l'article 420, alinéa 2, du Code pénal et des condamnations pour des infractions à la réglementation portant des mesures d'urgence pour limiter la propagation du coronavirus COVID-19." Par ailleurs, il est requis, pour les personnes concernées, d'être "ressortissant d'un État membre de l'Espace économique européen ou de la Confédération suisse et avoir leur résidence principale dans un État membre de l'Espace économique européen ou dans la Confédération suisse 10", d'être "âgé d'au moins vingt-et-un ans" et de "ne pas avoir été radié du Registre national des personnes physiques sans laisser de nouvelle adresse". Enfin, l'article 30 de la loi du 18 mai 2024 (repris en annexe 2 du projet) énumère une série de fonctions dont l'exercice est incompatible avec l'exercice simultané d'activités de recherche privée11. 23. À la lumière de la nature de la mission ainsi que du professionnalisme et de la compétence attendus des personnes qui assurent la direction (effective) d'une entreprise ou d'un service interne de recherche privée, ainsi que des enquêteurs privés eux-mêmes, l'Autorité estime que les conditions relatives à la condamnation à une peine correctionnelle ou criminelle sont justifiées. Les autres conditions relatives aux personnes ne donnent pas non plus lieu à des remarques particulières en matière de proportionnalité des traitements envisagés. 24. En ce qui concerne spécifiquement l'introduction d'une demande d'autorisation, il ressort des articles 3 – 6 du projet que les données à caractère personnel suivantes des personnes visées au point 20 seront traitées : le nom, le prénom et le numéro de Registre national 12, ou, en l'absence d'un numéro de Registre national, le numéro bis 13. Par ailleurs, dans la mesure où l'entreprise doit remzs=%Mêtre qualifiée de personne physique, les données à caractère personnel suivantes sont également traitées : le numéro d'entreprise, le numéro de téléphone, l'adresse de contact électronique de l'entreprise, ainsi que les données découlant de l'annexe 1 du projet14. 25. À cet égard, l'Autorité estime que les données à caractère personnel qui doivent faire l'objet d'un traitement, y compris le formulaire de consentement pour l'enquête de sécurité, la déclaration sur l'honneur concernant les fonctions incompatibles (annexe 2), ainsi que, le cas échéant, la déclaration sur l'honneur concernant les obligations de l'entreprise, sont adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités envisagées. Cela n'affecte toutefois en rien les remarques de l'Autorité au sujet des traitements concrets dans le cadre de l'enquête de sécurité, telles que formulées dans l'avis n° 93/2024. e. Délai de conservation 26. En vertu de l'article 5.1.e) du RGPD, les données à caractère personnel ne peuvent pas être conservées sous une forme permettant l’identification des personnes concernées pendant une durée excédant celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. 27. En ce qui concerne le délai de conservation, le formulaire de demande renvoie à l’article 174 de la loi du 18 mai 2024 qui dispose ce qui suit : "Sauf disposition légale explicite contraire en matière de conservation des données à caractère personnel qui proviennent d’une autorité compétente visée au titre 2 de la loi sur le traitement des données à caractère personnel, ou d’un service de renseignement et de sécurité visé au titre 3 de la même loi, le délai de conservation pour les données à caractère personnel traitées par l’administration dans le cadre de ses missions légales en matière d’application de la surveillance et du contrôle du respect de la présente loi, s’élève à maximum dix ans à compter de la date du dernier traitement de nouvelles informations concernant la personne concernée. À l’expiration de ce délai, les dossiers sont, selon les règles en vigueur en matière d’archivage dans l’intérêt général, transférés aux Archives du Royaume ou détruits définitivement." 28. Dans le contexte de la loi du 18 mai 2024 et des actes qui y sont visés, compte tenu également de l’Exposé des motifs de la loi précitée15, l’Autorité estime que le délai de conservation maximal est en principe justifié 16. Cela ne doit toutefois pas empêcher le responsable du traitement d'appliquer un délai de conservation plus court lorsque cela s'avère approprié à la lumière des circonstances factuelles. Cela s’applique en particulier lorsque dans le cadre d’un litige, tous les recours seraient épuisés, avant expiration du délai maximal de conservation de dix ans. f. Limitation des droits des personnes concernées 29. Comme déjà exposé dans l'avis n° 93/2024, le demandeur peut invoquer valablement, en vertu de l'article 174 de la loi du 18 mai 2024, plusieurs motifs d'exception mentionnés à l'article 23.1 du RGPD. L'Autorité reprend mutatis mutandis ses remarques et constatations conformément au point 15 de l'avis précité. PAR CES MOTIFS, l’Autorité, estime, moyennant la prise en compte des remarques formulées dans l'avis n° 93/2024, que le projet offre en principe suffisamment de garanties en matière de protection des données. Pour le Service d’Autorisation et d’Avis, Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2024:AVIS.20241129.8