ECLI:BE:GBAPD:2025:AVIS.20250227.11

Avis n° 11/2025 du 27 février 2025 Objet : Avis relatif à une proposition de loi relative au traitement de données à caractère personnel lors de la participation à une concertation organisée sur la base de l’article 458ter du Code pénal (CO-A-2024-296) Mots-clés : principe de légalité – concertation de cas – article 458ter du Code pénal – services de police et de renseignements – ministère public Traduction Introduction La proposition de loi relative au traitement de données à caractère personnel lors de la participation à une concertation organisée sur la base de l’article 458ter du Code pénal qui est soumise pour avis vise la création d'une base juridique générale pour tous les traitements de données qui peuvent intervenir dans le contexte de la concertation de cas au sens de l'article 458ter du Code pénal. En résumé, l'Autorité estime que l'utilisation ou la rédaction de dispositions ou de normes ‘catch-all’ est contraire au principe de légalité et à l'exigence de précision et de prévisibilité de la réglementation dans le chef des personnes concernées, étant donné qu'une telle méthode ne permet de tirer aucune conclusion concernant les éléments essentiels du traitement à l'égard d'un traitement de données à caractère personnel déterminé. Étant donné que les finalités pour lesquelles une concertation de cas peut être organisée sont particulièrement larges, sachant en outre que la concertation de cas constitue une ingérence considérable dans les droits et libertés des personnes concernées, il est tout simplement nécessaire de définir une base juridique spécifique pour chaque finalité distincte. À titre secondaire, l'Autorité estime qu'il est toutefois éventuellement possible de définir de manière générale les aspects techniques et organisationnels de la concertation de cas, à condition toutefois que ces aspects soient communs à toutes les formes de la concertation de cas au sens de l'article 458 ter du Code pénal. Le Service d'Autorisation et d'Avis de l'Autorité de protection des données (ci-après "l'Autorité"), présent.e.s : Mesdames Cédrine Morlière et Griet Verhenneman et Messieurs Yves-Alexandre de Montjoye, Bart Preneel et Gert Vermeulen ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après "la LCA") ; Vu l’article 43 du Règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix ; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données, ci-après "le RGPD") ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après "la LTD") ; Vu la demande d'avis de Monsieur Peter De Roover, Président de la Chambre des représentants, (ci-après : le demandeur), reçue le 23/12/2024 ; Émet, le 27 février 2025, l'avis suivant : I. OBJET DE LA DEMANDE D'AVI 1. Le 23/12/2024, le demandeur a sollicité l'avis de l'Autorité au sujet d'une proposition de loi relative au traitement de données à caractère personnel lors de la participation à une concertation organisée sur la base de l’article 458ter du Code pénal (ci-après : le projet). 2. L'article 458ter du Code pénal prévoit la possibilité, en vertu d'une loi, d'un décret ou d'une ordonnance, ou moyennant une autorisation du procureur du Roi, d'organiser une concertation où les participants peuvent échanger des informations relevant d'un secret professionnel. Une telle concertation n'est possible qu'en vue de protéger l'intégrité physique et psychique de la personne ou de tiers, ou en vue de prévenir des infractions terroristes ou les délits commis dans le cadre d'une organisation criminelle. 3. La loi, le décret ou l'ordonnance, ou l'autorisation motivée du procureur du Roi déterminent au moins qui peut participer à la concertation, avec quelle finalité et selon quelles modalités la concertation aura lieu. 4. Lors de la préparation de la concertation de cas, pendant la concertation elle-même et lors de son suivi, un traitement de données à caractère personnel a nécessairement lieu. Cette proposition de loi, qui se fonde en grande partie sur le décret du 30 juin 2023 relatif au traitement des données à caractère personnel dans le cadre d'une collaboration multidisciplinaire lors de la participation à une concertation de cas sur la base de l'article 458ter du Code pénal , vise la création d'une base juridique pour tous les traitements de données à caractère personnel ayant lieu dans le cadre d'une concertation de cas, et s'applique à toutes les formes de concertation organisées en vertu de l'article 458ter du Code pénal. II. EXAMEN QUANT AU FOND a. Remarques préliminaires 5. L'Autorité rappelle que sa compétence de vérification se limite aux dispositions du RGPD et aux traitements de données qui y sont visés. 6. À cet égard, l'Autorité fait remarquer que les traitements de données qui ont lieu dans le cadre de de la prévention, la détection, la poursuite d'infractions pénales ou de l'exécution de sanctions pénales par certains services publics fédéraux, dont la police et le parquet, ne relèvent pas du champ d'application du RGPD, mais bien de la Directive 2016/680/UE du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (directive Police et Justice) et du Titre 2 de la LTD. 7. Le traitement de données à caractère personnel visé au Titre 3 de la LTD ne relève pas non plus de la compétence d'avis de l'Autorité. 8. Le présent avis concerne donc uniquement le traitement de données à caractère personnel qui relèvent du champ d'application du RGPD. En vertu de l'article 5.2 du RGPD (principe de responsabilité), il incombe aux responsables du traitement de vérifier si les traitements qu'ils réalisent sont ou non soumis aux dispositions du RGPD. b. Examen du projet 9. Tout d'abord, l’Autorité répète par souci d'exhaustivité que le traitement de données à caractère personnel constitue une ingérence dans le droit à (au respect de) la vie privée (incluant le droit à la protection des données), consacré à l’article 8 de la CEDH et à l’article 22 de la Constitution. Ce droit n'est toutefois pas absolu et peut être limité à condition qu'il existe à cet effet une disposition légale suffisamment précise qui répond à un intérêt social général et à condition que le traitement soit proportionnée à l’objectif légitime poursuivi. 10. En vertu de l’article 6.3 du RGPD, lu en combinaison avec les articles 8 de la CEDH et 22 de la Constitution, une telle norme légale doit décrire les éléments essentiels du traitement allant de pair avec l'ingérence de l'autorité publique. Il s’agit notamment des éléments suivants1 : - la (les) finalité(s) précise(s) et concrète(s) des traitements de données ; - la désignation du (des) responsable(s) du traitement (à moins que cela ne soit clair) ; - les (catégories de) données à caractère personnel traitées qui sont pertinentes et non excessives ; - les catégories de personnes concernées dont les données à caractère personnel seront traitées ; - les catégories de destinataires des données à caractère personnel ainsi que les circonstances dans lesquelles ils reçoivent les données et les motifs y afférents ; - le délai de conservation maximal des données à caractère personnel enregistrées ; - l'éventuelle limitation des obligations et/ou des droits visé(e)s aux articles 5, 12 à 22 et 34 du RGPD. 11. À ce principe de légalité ‘formel’ s'ajoute un principe de légalité matériel qui implique que, dans la mesure où les modalités du traitement de données à caractère personnel supposent des limitations du droit au respect de la vie privée et du droit à la protection des données à caractère personnel, l'ingérence dans ces droits doit être formulée dans des termes clairs et suffisamment précis de sorte que les personnes concernées puissent appréhender de manière prévisible les hypothèses dans lesquelles le législateur autorise une telle ingérence. Cela signifie concrètement qu'il doit être prévu de manière suffisamment précise dans quelles circonstances les traitements de données à caractère personnel sont autorisés, les données dont il s'agit, les personnes qui sont concernées et les conditions et finalités du traitement. 12. C'est à cet égard que l'Autorité estime que le projet présente d'importants manquements et est fondamentalement contraire à l'esprit tant du principe (matériel) de légalité et des exigences du RGPD, que de l'article 458ter du Code pénal. Le projet vise à établir les éléments essentiels pour toutes les formes possibles de concertation de cas et toutes les situations dans lesquelles une telle concertation peut avoir lieu (sans que toutes ces situations soient à ce jour déterminées ou déterminables), et vise donc à prévoir un encadrement normatif de tous les traitements de données à caractère personnel qui peuvent être mis en œuvre par les participants à la concertation de cas en exécution des 'obligations' qui leur sont imposées ou de droits attribués à cet égard. Dans ce contexte, il est extrêmement important de tenir compte du fait que le concept de concertation de cas a/peut avoir de lourdes conséquences tant pour les personnes faisant l'objet d'une telle concertation2, que pour les participants à cette concertation, notamment lorsque, dans des circonstances normales, ils sont tenus au secret professionnel. 3 13. Dans la jurisprudence constante de ses avis, l'Autorité insiste toujours sur le fait que la création de telles dispositions ou normes ‘catch-all’ manquent pratiquement toujours leur but, à savoir le fait de prévoir (dans le chef des personnes concernées, et en l'espèce aussi des participants à la concertation) un cadre de traitement de données prévisible et précis dont la lecture permet d'avoir une idée claire des données qui peuvent être ou seront traitées pour la réalisation de quelles finalités et sous quelles conditions. 14. Par facilité, l'Autorité cite l'article 458ter du Code pénal afin de pouvoir démontrer la raison pour laquelle la méthode utilisée dans le projet ne peut pas être considérée comme conforme au principe de légalité et au droit à la protection des données en vigueur :"§ 1. Il n'y a pas d'infraction lorsqu'une personne qui, par état ou par profession, est dépositaire de secrets, communique ceux-ci dans le cadre d'une concertation organisée soit par ou en vertu d'une loi, d'un décret ou d'une ordonnance, soit moyennant une autorisation motivée du procureur du Roi. Cette concertation peut exclusivement être organisée soit en vue de protéger l'intégrité physique et psychique de la personne ou de tiers, soit en vue de prévenir les délits visés au Titre Iter du Livre II ou les délits commis dans le cadre d'une organisation criminelle, telle qu'elle est définie à l'article 324bis. La loi, le décret ou l'ordonnance, ou l'autorisation motivée du procureur du Roi, visés à l'alinéa 1er, déterminent au moins qui peut participer à la concertation, avec quelle finalité et selon quelles modalités la concertation aura lieu. § 2. Les participants sont tenus au secret relativement aux secrets communiqués durant la concertation. Toute personne violant ce secret sera punie des peines prévues à l'article 458. Les secrets qui sont communiqués pendant cette concertation, ne peuvent donner lieu à la poursuite pénale que des seuls délits pour lesquels la concertation a été organisée." 15. Les finalités de la concertation de cas sont prévues au deuxième alinéa de l'article précité et concernent la protection de l'intégrité physique ou psychique de personnes, la prévention d'infractions terroristes ou d'infractions commises dans le cadre d'une organisation criminelle. La première finalité peut en particulier être interprétée de façon tellement large qu'il n'est aucunement possible de soumettre, de manière générale, toutes les situations possibles à une réglementation uniforme 4. La prévisibilité et la précision de la réglementation doivent en effet être évaluées à la lumière de chaque finalité distincte, et plus précisément selon la manière dont la nécessité et la proportionnalité (entre autres) des catégories de données à caractère personnel faisant l'objet d'un traitement, des (catégories de) personnes concernées et des délais de conservation maximaux des données à caractère personnel peuvent être démontrées à l'égard de cette finalité spécifique. 16. Il va de soi qu'un tel test ne peut avoir lieu dans le cas présent. Il convient de souligner avant tout les premier, deuxième et troisième alinéas du § 2 de l'article 2 du projet, qui désignent les personnes concernées et les catégories de données à caractère personnel faisant l'objet d'un traitement. Il s'agit plus concrètement de toutes les personnes qui peuvent être concernées par une concertation de cas, ainsi que de toutes les relations et contacts de ces personnes. Pour ces personnes, outre toutes les catégories particulières de données telles que décrites aux articles 9.1 et 10 du RGPD ainsi que les données décrites à l'article 2, § 2, premier alinéa, 1° - 15° du projet, toutes les ‘autres données nécessaires pour atteindre l’objectif de la concertation de cas ’ peuvent également être traitées. Il va sans dire que cette méthode n'offre aucune sécurité juridique supplémentaire, au contraire, elle la vide davantage de sa substance 5. Indépendamment du fait que l'utilisation de telles dispositions (‘toutes les données nécessaires pour atteindre l’objectif’) ne tient absolument pas compte du principe de proportionnalité et du principe de minimisation des données, il n'est à ce stade pas possible pour l'Autorité (ni pour les personnes concernées ou les participants à la concertation de cas) de vérifier sur la base de cet article quelles données (et de quelles personnes) peuvent ou seront traitées dans un contexte déterminé. 17. Ensuite, par analogie avec ce qui précède, la détermination des délais de conservation maximaux des données donne lieu à des remarques importantes concernant la protection des données à caractère personnel. À cet égard, l'article 2, § 3, 4° du projet dispose ce qui suit : "les données obtenues dans le cadre d’une concertation de cas ne sont pas conservées au-delà du délai nécessaire pour atteindre l’objectif du traitement des données visé à l’article 458ter, § 1 er, alinéa 2, du Code pénal. Le délai maximal de conservation ne pourra jamais excéder trente ans après la clôture du dossier, à moins que certaines dispositions en vigueur ne prévoient un autre délai de conservation." De nouveau, le manque de granularité concernant les différentes finalités pour la concertation de cas implique que les délais de conservation concrets dans un cas précis ne peuvent pas être déduits du projet. À la lumière du constat selon lequel un délai de prescription de 30 ans s'applique pour les crimes les plus graves, et que certaines infractions supplémentaires (comme le meurtre terroriste) sont même imprescriptibles, l'Autorité estime que le délai de conservation maximal de 30 ans n'est pas inacceptable en soi, mais elle souligne qu'à la lumière de l'article 5.1.e) du RGPD j° l'article 6.3 du RGPD, une définition explicite du fondement de la durée de conservation s'impose, compte tenu des finalités concrètes et des catégories de données faisant l'objet d'un traitement. 18. Enfin, la désignation des responsables du traitement (ainsi que des destinataires des données) soulève également certaines questions. L’Autorité répète que la désignation du (des) responsable(s) du traitement doit concorder avec le rôle que cet (ces) acteur(s) joue(nt) dans la pratique. En outre, en cas de responsabilité conjointe (ce qui ne peut être exclu dans le présent contexte), l'article 26 du RGPD doit être respecté. Pour les conséquences pratiques à cet égard, l'Autorité renvoie au point 2 de la partie 2 des Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD.6 Plus concrètement, il convient (entre autres) de déterminer de manière transparente qui est chargé de s'adresser aux personnes concernées souhaitant exercer leurs droits conformément au RGPD. À cet égard, on peut renvoyer à l'article 3, § 1er, premier alinéa du projet qui dispose ce qui suit : "Quelle que soit l’instance qui met à disposition le dossier commun, chaque participant est responsable du traitement des données à caractère personnel qu’il y introduit." Bien que l'Autorité ne conteste pas en soi cette désignation, elle estime néanmoins que cette disposition n'est pas concluante quant à la relation entre les participants à la concertation de cas. Dans le présent contexte, il ne semble en effet pas illogique qu'il soit question d'une responsabilité conjointe pour toutes les données qui sont présentes à un moment donné dans l'environnement de dossier (commun). Le constat selon lequel chaque participant ne serait responsable que des données qu'il introduit lui-même semble en outre peu compatible avec la possibilité de continuer à traiter des données à caractère personnel partagées dans le propre environnement de dossier conformément à l'article 4 du projet. L'article 4, deuxième alinéa du projet dispose uniquement à cet égard que "Chaque participant (…) est responsable de la qualité et de l’actualisation des données à caractère personnel enregistrées dans son propre dossier." Cette responsabilité est bien plus étroitement définie que la notion de responsabilité du traitement au sens du RGPD, alors qu'il n'y a en principe aucune raison d'exclure la responsabilité du destinataire quant au traitement à l'égard des données reçues dès que ces données sont enregistrées dans ses systèmes internes. 19. À la lumière des ces éléments, l'Autorité estime que les modalités et les éléments essentiels de la concertation de cas doivent être définis dans des normes distinctes et spécifiques permettant de déduire une finalité déterminée. Pour illustrer ses propos, l'Autorité renvoie à la loi du 30 juillet 2018 portant création de cellules de sécurité intégrale locales en matière de radicalisme, d'extrémisme et de terrorisme (lue conjointement avec le décret du 21 mai 2021 portant l'autorisation des participants flamands et réglant les modalités de participation aux cellules de sécurité intégrale locales en matière de radicalisme, d'extrémisme et de terrorisme et le décret du 8 juin 2023 organisant la participation des services relevant des compétences de la Communauté française aux cellules de sécurité intégrale locales en matière de radicalisme, d'extrémisme et de terrorisme), ainsi qu'à la proposition de décret modifiant le décret du 12 juillet 2013 relatif à l'aide intégrale à la jeunesse, en ce qui concerne la concertation de cas dans le cadre de l’aide intégrale à la jeunesse sur laquelle l'Autorité s'est prononcée récemment dans l'avis n° 47/2024 7. Sans préjudice des remarques formulées dans cet avis, l'Autorité souligne que seule une telle méthode permet de vérifier la licéité et la proportionnalité sensu lato de la concertation de cas, et que seule une norme établie en tant que telle peut servir de base juridique pour la concertation de cas au sens de l'article 458ter du Code pénal. Dans ce contexte, il a en effet été expressément établi dans quels cas une concertation de cas peut être organisée, ce qui permet ensuite de déterminer, uniquement à l'égard de ces finalités, les personnes concernées, les catégories de données à caractère personnel faisant l'objet d'un traitement, les responsables du traitement (les participants) et les délais de conservation maximaux. 20. L'Autorité ne peut se défaire de l'impression que telle était également l'intention du législateur. L'article 458ter, § 1er, troisième alinéa du Code pénal dispose en effet explicitement que la loi, le décret ou l'ordonnance qui prévoit la possibilité de la concertation de cas doit déterminer au moins qui peut participer à la concertation, avec quelle finalité et selon quelles modalités la concertation aura lieu. Toute autre interprétation – comme en l'espèce – est incompatible avec l'explication du principe de légalité conformément à la jurisprudence constante de la Cour constitutionnelle et aux avis (préalables) formulés par le Conseil d'État et l'Autorité. Ceci peut aussi être déduit (indirectement) de la circulaire n° 04/2018 du Collège des procureurs généraux près les Cours d'appel concernant la ‘Concertation de cas et le secret professionnel' qui dispose ce qui suit en ce qui concerne la finalité de la concertation de cas : "Les larges concepts que sont l’intégrité physique et psychique sont également utilisés dans l’article 458bis du Code pénal. Il s’agit de concepts connus qui ont soutenu le test de la Cour constitutionnelle 8. Ces termes sont suffisamment spécifiques pour décrire précisément la finalité de l’organisation de la concertation concrète dans la loi, le décret, l’ordonnance ou l’autorisation motivée du procureur du Roi." La protection de l'intégrité physique et psychique offre ainsi un cadre à partir duquel une finalité spécifique doit être distillée, qui doit ensuite être explicitement établie dans une norme légale (ou une autorisation motivée du procureur du Roi). 21. À titre de directive générale, il est recommandé de tenir compte d'ores et déjà des éléments suivants dans le futur. Premièrement, l'Autorité souligne que l'énumération des catégories de données telle que figurant dans le projet doit toujours être évitée. En particulier, des dispositions dans le sens de ‘autres données nécessaires (…)’, ainsi que les notions de ‘comportements’ ou ‘données comportementales’, ‘mode de vie’ et ‘contexte social’ sont tellement vagues (surtout lorsqu'en outre, aucune explication complémentaire n'est donnée) qu'elles ne permettent absolument pas de vérifier que les données à caractère personnel sont adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités envisagées. Deuxièmement, dans la mesure où la participation des services de police à la concertation de cas est prévue, l'Autorité se réfère à l'arrêt n° 52/2021 de la Cour constitutionnelle dont il découle, à tout le moins indirectement, que la participation des services de police n'est possible que si une finalité claire et un encadrement sont prévus (dans le cas présent, les cellules de sécurité intégrale locales en matière de radicalisme, d'extrémisme et de terrorisme, ou CSIL-R). Définir de manière générale que les services de police peuvent participer à toute forme de concertation de cas est donc contraire aux articles 21 et 23 de la Constitution. 22. Toujours en ce qui concerne la manière dont les modalités (du traitement de données lors) de la concertation de cas doivent être établies, et à la lumière des règles de répartition de compétences, l'Autorité renvoie à l'avis n° 68.557/3 du Conseil d'État du 28 janvier 20219, dont il découle que lorsque tant les autorités fédérales que locales peuvent être impliquées dans une concertation de cas, certains aspects du mode de participation à la concertation de cas et du traitement de données à caractère personnel dans ce cadre doivent de préférence être régis par la conclusion d'un accord de coopération entre toutes les autorités impliquées dans la concertation de cas, en appliquant l'article 92bis de la loi spéciale du 8 août 1980 de réformes institutionnelles, de manière à éviter que les autorités impliquées dans la concertation ne promulguent unilatéralement des règlements potentiellement conflictuels. À cet égard, il convient toutefois de rappeler qu'un tel accord de coopération ne peut pas en soi servir de base juridique pour les traitements de données à caractère personnel qui y sont expliqués ou précisés. 23. En conclusion, l'Autorité estime qu'il est éventuellement possible de régler uniquement les aspects techniques ou organisationnels communs à (quasiment) toutes les formes de la concertation de cas, comme par exemple l'organisation de la responsabilité des participants, les modalités d'échange de données, le fonctionnement concret et les implications de l'environnement de dossier commun, les mesures en matière de sécurité et de confidentialité, les éventuelles particularités concernant l'exercice des droits des personnes concernées (le cas échéant à la lumière d'une limitation justifiée de ces droits conformément à l'article 23 du RGPD), … En revanche, en ce qui concerne l'intention avancée dans le projet de créer une base juridique générale qui s'applique, sans aucune précision des finalités, à toutes les formes concevables de concertation de cas, l'Autorité la déconseille résolument, étant donné que, comme démontré ci-dessus, elle ne peut en aucun cas être considérée comme conforme au principe matériel de légalité, et plus concrètement à l'exigence de précision et de prévisibilité de la réglementation à l'égard des personnes concernées. PAR CES MOTIFS, l’Autorité, estime que dans sa forme actuelle, le projet n'est pas conforme au principe matériel de légalité étant donné qu'il ne permet pas de vérifier, à l'égard d'une finalité de traitement déterminée, qui sont les personnes concernées, quelles données peuvent être traitées, qui interviendra en tant que responsable du traitement et quels sont les délais de conservation (maximaux) en vigueur. À titre secondaire, elle estime que l'utilisation de dispositions ‘catch-all’ n'est appropriée que pour régler les aspects techniques et organisationnels ou des mesures qui sont communes à toutes les formes de la concertation de cas. Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2025:AVIS.20250227.11