ECLI:BE:GBAPD:2025:AVIS.20250227.9

Avis n° 15/2025 du 27 février 2025 Objet : Demande d’avis concernant un avant-projet de loi relatif à la planification d’urgence et à la gestion de crise (CO-A-2024-295) Mots-clés : Système d’enregistrement des personnes impliquées et disparues - Responsabilité conjointe du traitement – fonction de coordinateur dans le cadre de la planification d’urgence et de gestion de crise – carte d’identification - sécurité des données Version originale Introduction : L’avis concerne un avant-projet de loi relatif à la planification d’urgence et à la gestion de crise (ci-après « l’avant-projet »). Concernant la recevabilité, il convient de relever que c’est la deuxième fois que l’Autorité est saisie d’une demande d’avis portant sur un tel avant-projet. En application de l’article 46, §4, du nouveau règlement d’ordre intérieur de l’Autorité, le présent avis se limitera à examiner l’article 49 de l’avant-projet qui concerne l’octroi de cartes d’identification pour certains acteurs dans le cadre de la planification d’urgence et de la gestion de crise, lequel met en place des traitements de données qui n’étaient pas couverts par la version initiale de l’avant-projet soumise à l’Autorité. Concernant le fond, l’Autorité attire l’attention sur les points suivants : - formuler de manière exhaustive la finalité poursuivie par les cartes d’identification, - formuler de manière plus précise les données collectées afin de déterminer la langue dans laquelle les cartes d’identification doivent être émises ; - compléter l’avant-projet afin que chacun des traitements de données pour lesquels les services désignés sont responsables du traitement soit mentionné dans l’avant-projet. Pour une liste exhaustive des observations, se rapporter au dispositif. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité »), Présent.e.s : Mesdames Cédrine Morlière et Griet Verhenneman et Messieurs Yves-Alexandre de Montjoye, Bart Preneel et Gert Vermeulen; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après « LCA ») ; Vu l’article 43 du règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD ») ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD ») ; Vu la demande d'avis de Madame Annelies Verlinden, Ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique, reçue le 20 décembre 2024; Émet, le 27 février 2025, l'avis suivant : I. OBJET ET CONTEXTE DE LA DE MANDE D’AVI 1. En date du 20 décembre 2024, la ministre de l’Intérieur, des Réformes institutionnelles et du Renouveau démocratique a sollicité l’avis de l’Autorité concernant les articles 2, 29° et 30° ; 6, §4 ; 17 à 20 ; 35 à 39 ; 49 et 50 de l’avant-projet. . 2. Il convient de relever que ce n’est pas la première fois que l’Autorité est sollicitée pour rendre un avis sur un avant-projet de loi relatif à la planification d’urgence et à la gestion de crise. Elle s’est en effet déjà prononcée sur une première version d’un tel avant-projet de loi (ci-après la « version initiale de l’avant-projet ») dans son avis n° 32/2024 rendu le 22 mars 2024 1 (ci-après « l’avis n° 32/2024 »). 3. Pour rappel, la version initiale de l’avant-projet visait à préciser le cadre légal de trois types de traitements de données à caractère personnel déjà existants : • La collecte par les bourgmestres et gouverneurs de données relatives aux personnes à contacter reprises dans leurs plans d’urgence et d’intervention2 et l’encodage de ces données dans le portail de sécurité visé à l’article 50 de l’avant-projet ; • La mise en place d’un système d’enregistrement des personnes impliquées 3 et disparues4 par une situation d’urgence et de leurs proches5 ; • La mise en place d’un portail de sécurité : une plateforme en ligne de communication sécurisée, permettant notamment l’échange d’informations afin d’organiser la planification d’urgence et le suivi de grands événements ainsi que la gestion de situations d’urgence et de crises nationales. 4. En ce qui concerne la recevabilité de la présente demande d’avis, il y a lieu de rappeler que conformément à l’article 46, §4 du nouveau règlement d’ordre intérieur de l’Autorité (qui est entré en vigueur le 1er juin 2024) et en vue d’une mise en œuvre efficace de ses moyens, l’Autorité ne se prononce pas, en principe, une deuxième fois sur un projet normatif adapté pour répondre aux positions qu’elle a exprimées précédemment dans son avis, sauf si l’Autorité sollicite expressément d’être à nouveau consultée sur une version adaptée du projet normatif ou si elle réserve son analyse sur un questionnement soulevé par le projet normatif. Toutefois, si une nouvelle version du projet normatif soumise pour avis contient de nouvelles dispositions portant sur des traitements de données à caractère personnel qui n’étaient pas couverts par le projet normatif initial soumis à l’Autorité, la demande d’avis est recevable sur ces dispositions, à condition que ces nouvelles dispositions soient identifiées et que leur ajout par rapport à la première version du projet normatif soit motivé. 5. Il ressort du formulaire de demande d’avis que la version actuellement soumise pour avis à l’Auto-rité comporte des modifications de la version initiale de l’avant-projet afin de répondre aux recom-mandations émises par l’Autorité dans l’avis n° 32/2024 et qu’elle contient une nouvelle disposition portant sur des traitements de données à caractère personnel non couverts par la version initiale de l’avant-projet. Il s’agit de l’article 49 de l’avant-projet qui concerne l’octroi d’une carte d’identification à chaque personne désignée respectivement par le bourgmestre et le gouverneur, chargée de les assister conformément aux articles 4 et 5 de l’avant-projet. Sont visés les coordinateurs planification d’urgence6, les coordinateurs de l’information de la population7, les coordinateurs psychosociaux locaux8 et les coordinateurs de rétablissement9. Selon le commentaire de l’article 49 de l’avant-projet, il s’agit de répondre à un besoin régulièrement mis en avant par les acteurs du secteur de pouvoir identifier les personnes exerçant les fonctions de soutien des autorités compétentes au niveau local pour la planification d’urgence et la gestion de crise. Le commentaire de l’article se réfère à l’arrêté royal du 22 mai 2019 relatif à la planification d’urgence et la gestion de situations d’urgence à l’échelon communal et provincial et au rôle des bourgmestres et des gouverneures de province en cas d’événements et de situations de crise nécessitant une coordination ou une gestion à l’échelon national10, qui prévoit déjà l’octroi d’une telle carte pour certains acteurs. L’article 49 de l’avant-projet entend étendre la possibilité d’octroyer de telles cartes aux nouvelles fonctions introduites par l’avant-projet et fournir un fondement légal plus solide aux traitements de données à caractère personnel engendrés par l’octroi de ces cartes d’identification. 6. Dans ces conditions, dans la mesure où l’Autorité n’a pas demandé expressément dans son avis n° 32/2024 d’être à nouveau consultée sur une version adaptée de l’avant-projet et où elle n’a pas non plus réservé son analyse sur un questionnement soulevé par la version initiale de l’avant-projet, la demande d’avis est recevable uniquement pour ce qui concerne l’article 49 de l’avant-projet. 7. Cela étant dit, avant de procéder à l’analyse de l’article 49 de l’avant-projet, l’Autorité souhaite néanmoins émettre les commentaires suivants afin d’éviter toute mécompréhension quant aux observations formulées au point 34 de l’avis n° 32/2024 qui concerne l’article 36 de l’avant-projet. Et elle invite l’auteur de l’avant-projet à revoir la répartition des rôles entre le Service public fédéral Santé publique, Sécurité de la chaîne alimentaire et Environnement (ci-après « le SPF Santé publique ») et les services visés à l’article 36 de l’avant-projet pour les traitements de données à caractère personnel qui sont réalisés par ces acteurs dans le cadre du système d’enregistrement en vue de réaliser les missions d’intérêt public qui sont conférés audit système en vertu de l’article 35, §2 de l’avant-projet11. 8. L’article 36 de la version initiale de l’avant-projet désignait les services d’intervention concernant les secours médicaux, sanitaires et psychosociaux visés en tant que sous-traitant, qui traitent les données à caractère personnel reprises dans le système d’enregistrement des personnes impliquées et disparues lors d’une situation d’urgence et de leurs proches au nom du SPF Santé publique. Au point 34 de l’avis n° 32/2024, l’Autorité avait émis des doutes quant à la désignation desdits services de secours en tant que sous-traitant. Après avoir rappelé que la désignation des responsables du traitement doit être adéquate au regard des circonstances factuelles, elle s’est en effet demandé si les services de secours visés pouvaient être considérés comme des sous-traitants à la lumière, notamment, du projet d’article 38, §§2 et 3 en vertu duquel il revenait auxdits services de pouvoir accorder l’accès aux données enregistrées dans le système d’enregistrement aux destinataires qui y étaient mentionnés. Le demandeur avait dès lors été invité à revoir le projet d’article 36 à la lumière de cette observation. 9. L’article 36 de l’avant-projet désigne désormais « les services qui participent à la mise en œuvre de l’aide médicale urgente et à l’assistance psychosociale en cas de situation d’urgence conformément à la loi du 8 juillet 1964 relative à l’aide médicale urgente, l’arrêté royal du 2 avril 1965 déterminant les modalités d’organisation de l’aide médicale urgente et portant désignation des communes comme centres du système d’appel unifié et au plan monodisciplinaire d’intervention de la discipline 2 » (ci-après les « services visés à l’article 36 ») comme des sous-traitants qui traitent les données à caractère personnel pour le compte du SPF Santé publique, qui est le responsable du traitement. L’avant-projet ne permet plus à ces services de pouvoir accorder l’accès aux données enregistrées dans le système d’enregistrement aux destinataires qui y sont mentionnés, cet accès ne pouvant être accordé que par le SPF Santé publique. 10. L’Autorité souhaite rappeler que les notions de responsable du traitement et de sous-traitant sont des concepts fonctionnels. En d’autres termes, ils visent à répartir les responsabilités en fonction des rôles/activités réel(le)s des acteurs qui interviennent dans une activité de traitement de données à caractère personnel. La détermination par la loi du ou des responsable(s) du traitement participe également à la prévisibilité de la loi et à l’effectivité des droits des personnes concernées consacrés par le RGPD. 11. L’objectif de la définition large du concept de responsable du traitement 12 est d’assurer une protection efficace et complète des personnes concernées 13. Selon les faits, une responsabilité conjointe de traitement peut lier plusieurs acteurs, la personne concernée pouvant alors exercer ses droits à l’égard de et contre chacun d’entre eux 14. Toutefois, « l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente [… et a]u contraire, [l]es opérateurs peuvent être impliqués à différents stades du traitement de données et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce »15. C’est dans « le cadre de ses responsabilités, de ses compétences et de ses possibilités » que le coresponsable veillera à la conformité de son activité aux règles de protection des données 16. 12. Il s’ensuit que la désignation dans l’avant-projet du ou des responsables du traitement (exclusifs ou conjoints) doit être adéquate au regard des circonstances factuelles 17. En d’autre termes, il est nécessaire de vérifier pour chaque traitement de données à caractère personnel, quelle entité/organisme, dans les faits, poursuit la finalité du traitement et dispose de la maitrise des moyens essentiels utilisés pour atteindre cette finalité. 13. Lorsque les finalités de traitements de données sont déterminées par voie législative, il convient d’avoir égard aux missions de service public et/ou obligations légales pour la réalisation ou l’exécution desquelles les traitements de données à caractère personnel sont nécessaires pour identifier les rôles au regard du RGPD. En effet, par nature, c’est l’entité/l’organisme qui est titulaire de telles missions ou débiteur de telles obligations qui est responsable du traitement desdits traitements de données. 14. En l’occurrence, il ressort de l’avant-projet que les services visés à l’article 36 de l’avant-projet se voient imposer les obligations suivantes afin de permettre au système d’enregistrement de poursuivre les missions d’intérêt public qui lui sont confiées en vertu de l’article 35, §2 de l’avant-projet18 : • la collecte et l’enregistrement des données à caractère personnel des personnes impliquées et disparues ainsi que de leurs proches dans le but de constituer un dossier individuel les concernant (visés à l’article 35, §3, 1° de l’avant-projet); • l’élaboration des listes des personnes impliquées, disparues et des proches (visée à l’article 35, §3, 2° de l’avant-projet). A cet égard, l’Autorité relève que l’article 36, alinéa 1 de l’avant-projet prévoit que les services visés sont « chargés d’établir et de gérer les listes des personnes impliquées ». Il conviendra de veiller à ce que les obligations incombant aux services visés soient formulées de manière cohérente, à des fins de prévisibilité. 15. Par conséquent, dans ce contexte, l’Autorité considère que lesdits services ont une responsabilité du traitement pour les traitements de données précités nécessaires au respect des obligations légales qui leur incombent en vertu de l’avant-projet. En tant que responsable du traitement, ils doivent en effet notamment veiller à ce que soient collectées et enregistrées dans le système d’enregistrement des données exactes, adéquates, pertinentes et limitées à ce qui est nécessaire, conformément aux principes d’exactitude et de minimisation des données, consacrés respectivement à l’article 5.1.d) et c) du RGPD. Il s’ensuit que la désignation des services visés à l’article 36 de l’avant-projet en tant que sous-traitants au sens du RGPD devrait être omise. 16. Il y lieu également de relever que les traitements de données cités au point 14 ci-dessus (qui peuvent potentiellement être effectués à différents niveaux de la chaîne d’aide médicale et psychosociale urgente) sont nécessaires à la réalisation des missions d’intérêt public confiées au système d’enregistrement en vertu de l’avant-projet, missions qui sont donc poursuivies conjointement par le SPF Santé publique et lesdits services. Il peut dès lors être considéré que les services de secours visés à l’article 36 et le SPF Santé publique assument une responsabilité conjointe au regard de ces traitements de données dans le cadre du système d’enregistrement visé. 17. Afin de faciliter l’exercice des droits consacrés par le RGPD aux personnes concernées et à des fins de prévisibilité, il est tout à fait possible de désigner dans l’avant-projet le SPF Santé publique comme point de contact pour l’exercice des droits de personnes concernées. 18. Dans ces conditions, l’auteur de l’avant-projet est invité à revoir l’avant-projet afin de désigner le SPF Santé publique et les services visés à l’article 36 en tant que responsables conjoints du traitement pour les traitements de données réalisés par ces services dans le cadre du système d’enregistrement visé à l’article 35 de l’avant-projet, en veillant à allouer leur responsabilité de manière cohérente au regard des missions d’intérêt public et des obligations légales leur incombant respectivement en vertu de l’avant-projet. Il conviendrait également d’y indiquer que le SPF Santé publique est le point de contact pour l’exercice des droits de personnes concernées. II. EXAMEN DE LA DEMANDE 19. L’article 49 de l’avant-projet met en place des nouveaux traitements de données à caractère personnel afin d’octroyer une carte d’identification aux coordinateurs planification d’urgence, coordi nateurs de l’information de la population, coordinateurs psychosociaux locaux et coordinateurs de rétablissement qui sont désignés respectivement par le bourgmestre ou le gouverneur compétent, pour les assister conformément aux articles 4 et 5 de l’avant-projet. Il revient au bourgmestre et au gouverneur, ou à leurs délégués, d’introduire la demande d’octroi d’une telle carte auprès du ministre compétent (à savoir, selon le cas, le ministre qui a l’Intérieur ou la Santé publique dans ses attributions). 1. Finalités 20. Il ressort de manière certaine de l’article 49, §2 de l’avant-projet que la finalité poursuivie par la carte d’identification est d’attester que son titulaire exerce la fonction, selon les cas, de coordinateur planification d’urgence, de coordinateur de rétablissement, de coordinateur de l’information de la population ou de coordinateur psychosocial local, afin de pouvoir assister le bourgmestre ou le gouverneur qui l’a désigné, conformément aux articles 4 et 5 de l’avant-projet. Une telle finalité poursuivie par la carte d’identification peut être considérée comme déterminée, explicite et légitime conformément à l’article 5.1.b) du RGPD. 21. Il ressort également du commentaire de l’article19 que la carte d’identification permet à son titulaire de s’identifier dans son rôle auprès des autres services compétents dans le cadre de la planification d’urgence et de la gestion de crise, comme par exemple les services d’intervention. La finalité d’un traitement de données étant un élément essentiel dudit traitement – duquel découle notamment les données à caractère personnel qui doivent être traitées à cette fin-, il convient de veiller à ce que celle-ci soit formulée de manière exhaustive dans l’avant-projet afin de répondre au mieux aux principes de prévisibilité et de légalité. Le demandeur est dès lors invité à compléter l’article 49, §2 de l’avant-projet afin qu’y soit mentionnée la finalité d’identification du titulaire de la carte auprès des autres services compétents dans le cadre de la planification d’urgence et de la gestion de crise. 22. Il ressort également de manière certaine de l’article 49, §7 de l’avant-projet que les traitements de données réalisés par les services désignés par les ministres compétents (à savoir, le ministre qui a l’Intérieur ou la Santé publique dans ses attributions) en vue d’octroyer les cartes d’authentification visent à authentifier les demandes d’octroi des cartes d’identification et à fabriquer, distribuer, gérer la restitution et la destruction desdites cartes. Il s’agit de finalités déterminées, explicites et légitimes au sens de l’article 5.1.b) du RGPD. 2. Principe de minimisation 23. L’article 49, §3 de l’avant-projet liste les données figurant sur la carte d’identification. Il s’agit des nom et prénom, de la photo et de la fonction (à savoir, selon les cas, coordinateur planification d’urgence, coordinateur psychosocial local, coordinateur de l’information de la population ou coordinateur de rétablissement) du titulaire de la carte d’identification ainsi que l’autorité ou les autorités auprès de laquelle ou desquelles le titulaire de la carte d’identification exerce sa fonction (à savoir, selon les cas, la ou les commune(s)20, la province ou le cas échéant, l’arrondissement administratif de Bruxelles-capitale) et le numéro de série de la carte d’identification. 24. Ces données n’appellent pas de commentaires particuliers excepté la remarque suivante en ce qui concerne la collecte et le traitement de la photo. L’Autorité rappelle qu’en vertu de l’article 4.14 du RGPD, une photo peut constituer une donnée biométrique (qui est une catégorie particulière de données visée à l’article 9.1 du RGPD) si elle est utilisée selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Il ressort du commentaire de l’article que telle n’est pas l’intention de l’auteur de l’avant-projet : il s’agirait uniquement de traiter la photo afin de l’imprimer sur la carte et non de l’analyser par des logiciels, des algorithmes ou des technologies d’intelligence artificielle à des fins d’identification ou d’authentification. L’Autorité en prend note. 25. L’article 49, §7, alinéa 2, de l’avant-projet mentionne les données à caractère personnel que les services désignés par le ministre compétent sont autorisés à traiter aux fins de l’authentification des demandes de cartes d’identification relevant de leur compétence respective, de la fabrication, de la distribution, de la gestion de la restitution et de la destruction desdites cartes. Il s’agit : 1) En ce qui concerne le bourgmestre ou le gouverneur qui introduit une demande de carte d’identification, ou leurs délégués : les « nom et prénom du demandeur de la carte d’identification », le « mandat ou la fonction du demandeur de la carte d’identification », la « commune, la province ou l’arrondissement administratif pour lequel le demandeur remplit sa fonction ou son mandat », « les données de contact professionnelles du demandeur de carte d’identification », « la signature du demandeur de carte d’identification » ; 2) En ce qui concerne le titulaire de la carte d’identification : les « données à caractère personnel visées au paragraphe §3 » et les « données de contact professionnelles » ; 3) « Les informations nécessaires afin de déterminer la langue dans laquelle la carte d’identification doit être établie ». 26. Ces données semblent pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités poursuivies, conformément au principe de minimisation consacré à l’article 5.1.c) du RGPD. Elles n’appellent donc pas de commentaires particuliers, à l’exception des observations émises ci-dessous en ce qui concerne les données reprises au point 3). 27. Il ressort en effet du commentaire de l’article21 que les « informations nécessaires afin de déterminer la langue dans laquelle la carte d’identification doit être établie » ne sont pertinentes que dans des cas particuliers, à savoir pour les coordinateurs concernés qui sont recrutés dans une des communes de la région bilingue de Bruxelles-Capitale ou qui doivent exercer leurs activités sur l’ensemble du territoire de la région de Bruxelles-capitale. 28. Dans ces conditions, il parait plus approprié de se référer à la « langue ou le cas échéant, aux informations nécessaires afin de déterminer la langue dans laquelle la carte d’identification doit être établie », en lieu et place de se référer seulement aux « informations nécessaires afin de déterminer la langue dans laquelle la carte d’identification doit être établie ». Il est dès lors recommandé à la demanderesse d’adapter l’avant-projet en ce sens. 29. L’article 49, §5 de l’avant-projet confère au Roi la compétence d’arrêter le format, ainsi que les modalités de demande, de distribution, de restitution et de destruction des cartes d’identification des coordinateurs planification d’urgence, des coordinateurs de l’information de la population et des coordinateurs de rétablissement. L’Autorité constate que la délégation au Roi ne vise pas le coordinateur psychosocial local et invite l’auteur de l’avant-projet à s’assurer que telle est bien l’intention qui est poursuivie. 3. Responsable(s) du traitement 30. L’article 49, §7, alinéa 1er, de l’avant-projet prévoit que les services désignés par le ministre compétent conformément à l’article 49, §6 de l’avant-projet sont « les responsables de traitement pour l’authentification des demandes visées au paragraphe 1er, la fabrication et la distribution des cartes d’identification, chacun pour ce qui concerne les cartes d’identification qu’ils ont la charge de délivrer ». 31. Comme rappelé ci-dessus, la détermination par la loi du ou des responsable(s) du traitement participant à la prévisibilité de la loi et à l’effectivité des droits des personnes concernées consacrés par le RGPD, il convient de s’assurer que chacun des traitements de données pour lesquels les services désignés sont responsables du traitement soit mentionné dans l’avant-projet. Or, l’article 49, §7, alinéa 1er de l’avant-projet ne se réfère pas aux traitements de données résultant de la gestion de la restitution et de la destruction des cartes d’identification. Il découle en effet de l’article 49, §7, alinéa 2 de l’avant-projet que lesdits services sont autorisés à traiter les données y mentionnées, chacun pour ce qui concerne les cartes d’identification qu’ils ont la charge de délivrer, non seulement aux fins de l’authentification des demandes de carte d’identification et de la fabrication, la distribution mais aussi à des fins de gestion de la restitution et de destruction des cartes d’identification. Dans ces conditions, il y aurait lieu de compléter l’alinéa 1er de l’article 49, §7 afin qu’il se réfère aussi aux traitements de données résultant de la gestion de la restitution et de la destruction des cartes d’identification. 4. Délai de conservation 32. L’article 49, §7, alinéa 3 de l’avant-projet prévoit que les données à caractère personnel visées à l’alinéa 2 ne sont pas conservées plus de trois mois après la fin de validité de la carte d’identification par les services désignés par le ministre compétent et que la validité de la carte d’identification prend fin à la date d’expiration de la carte d’identification. 33. En vertu de l'article 5.1.e) du RGPD, les données à caractère personnel ne peuvent pas être conservées sous une forme permettant l’identification des personnes concernées pendant une durée excédant celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. 34. L’Autorité ne saisit pas a priori la raison pour laquelle il serait nécessaire de conserver les données visées jusqu’à trois mois après la fin de la validité de la carte d’identification et pourquoi elles ne pourraient pas être supprimées directement au terme de la validité de ladite carte. Le commentaire de l’article n’expose rien à cet égard. Il est dès lors recommandé à l’auteur de l’avant-projet de justifier dans le commentaire de l’article la nécessité de conserver les données visées jusqu’à trois mois après la fin de validité de la carte d’identification. A défaut d’une telle justification, les données devront être supprimées à la date d’expiration de la carte d’identification. 5. Sécurité des données 35. Il ressort de l’avant-projet qu’il entend permettre au titulaire de la carte d’identification d’attester de l’exercice de la fonction, selon les cas, de coordinateur de planification d’urgence, de coordinateur de rétablissement, de coordinateur de l’information de la population ou de coordinateur psychosocial local et de pouvoir identifier son rôle auprès des autres services compétents dans le cadre de la planification d’urgence et de la gestion de crise. Une carte d’identification, telle que celle envisagée par l’avant-projet, permet, par nature, d’attester de la présence physique nécessaire de son titulaire sur les lieux de la situation d’urgence ou de gestion de crise et permet donc l’accès du titulaire sur des lieux qui peuvent être considérés comme sensibles. Dans ce contexte, l’émission d’une carte d’identification, telle qu’envisagée par l’avant-projet, qui implique la gestion notamment de la fabrication, de la restitution ou encore du remplacement des cartes d’identification perdues ou volées peut présenter des risques en termes de sécurité pour les données à caractère personnel des titulaires de ces cartes (tels que l’utilisation malveillante ou la falsification de telles cartes). L’Autorité estime qu’actuellement, eu égard à l’évolution des technologies, la finalité d’identification visée pourrait être atteinte par le biais de l’utilisation d’un support digital, tel que par exemple, la délivrance d’un certificat d’attribut indiquant qu’une personne dispose d’une certaine fonction, dans le cadre du EU Digital Identity Wallet, prévu par le règlement eIDAS 2.0. Une telle approche permettrait une gestion plus rationnelle et sûre de l’émission des cartes d’identification et de limiter les risques précités en termes de sécurité. 36. Dans ces conditions, l’auteur de l’avant-projet est invité, préalablement à la mise en place d’un système d’octroi de carte d’identification, tel qu’envisagé, à réfléchir aux risques en termes de sécurité pour les données à caractère personnel concernées et à s’assurer du caractère nécessaire de la mise en place d’un tel système au regard des finalités concrètes qui sont poursuivies. PAR CES MOTIFS, L’Autorité estime qu’il convient de : 1. revoir l’avant-projet afin de désigner le SPF Santé publique et les services visés à l’article 36 en tant que responsables conjoints du traitement pour les traitements de données réalisés par ces services dans le cadre du système d’enregistrement visé à l’article 35 de l’avant-projet, en veillant à allouer leur responsabilité de manière cohérente au regard des missions d’intérêt public et des obligations légales leur incombant respectivement en vertu de l’avant-projet (point 18); 2. d’indiquer dans l’avant-projet que le SPF Santé publique est le point de contact pour l’exercice des droits de personnes concernées (point 18) ; 3. compléter l’article 49, §2 de l’avant-projet afin qu’y soit mentionnée la finalité d’identification du titulaire de la carte auprès des autres services compétents dans le cadre de la planification d’urgence et de la gestion de crise (point 21) ; 4. se référer, à l’article 49, §7, alinéa 2, 3° de l’avant-projet, à la « langue ou le cas échéant, aux informations nécessaires afin de déterminer la langue dans laquelle la carte d’identification doit être établie », en lieu et place de se référer seulement aux « informations nécessaires afin de déterminer la langue dans laquelle la carte d’identification doit être établie » (point 28) ; 5. compléter l’alinéa 1er de l’article 49, §7 afin qu’il se réfère aussi aux traitements de données résultant de la gestion de la restitution et de la destruction des cartes d’identification (point 31) ; 6. justifier dans le commentaire de l’article la nécessité de conserver les données visées jusqu’à trois mois après la fin de validité de la carte d’identification (point 34) ; 7. réfléchir, préalablement à la mise en place d’un système d’octroi de carte d’identification, tel qu’envisagé, aux risques en termes de sécurité pour les données à caractère personnel concernées et de s’assurer du caractère nécessaire de la mise en place d’un tel système au regard des finalités concrètes qui sont poursuivies (points 35 et 36). Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2025:AVIS.20250227.9