ECLI:BE:GBAPD:2025:AVIS.20250227.12

Avis n° 10/2025 du 27 février 2025 Objet : un projet d'arrêté royal régissant la communication de données à caractère personnel par des institutions de sécurité sociale à la Cour des comptes sans l'intervention de la Banque Carrefour de la sécurité sociale (CO-A-2024-290) Mots clés : Cour des comptes - institutions de sécurité sociale - BCSS - tiers de confiance Traduction Introduction : L'avis concerne un projet d'arrêté royal devant exécuter l'article 14, premier alinéa, 5° de la loi BCSS. Cet article prévoit l'intervention de principe de la BCSS pour les communications de données sociales à caractère personnel par ou à des institutions de sécurité sociale mais donne toutefois la possibilité au Roi de soustraire certaines communications à cette intervention de la BCSS. Le projet d'arrêté royal entend recourir à cette possibilité pour les communications de données sociales à caractère personnel à la Cour des comptes. L'Autorité recommande une reformulation du projet d'arrêté royal où il conviendra, entre autres, de mentionner la réglementation et les dispositions concrètes établissant les missions de contrôle et d'analyse de la Cour des Comptes qui peuvent donner lieu à un traitement de données sociales à caractère personnel, et où il sera explicitement fait référence au principe de proportionnalité. L'Autorité souligne également le besoin et l'importance de l'intervention d'un tiers de confiance de qualité pour l'anonymisation et la pseudonymisation de données à caractère personnel provenant de différentes institutions de sécurité sociale ainsi que de la consolidation dans un cadre normatif approprié du statut de ce tiers de confiance. Pour la liste complète des remarques, il est renvoyé au dispositif. Le Service d'Autorisation et d'Avis de l'Autorité de protection des données (ci-après "l'Autorité"), Présent.e.s : Mesdames Cédrine Morlière et Griet Verhenneman et Messieurs Yves-Alexandre de Montjoye, Bart Preneel et Gert Vermeulen ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après "la LCA") ; Vu l’article 43 du Règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix ; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données, ci-après "le RGPD") ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après "la LTD") ; Vu la demande d'avis de Monsieur Frank Vandenbroucke, Ministre des Affaires sociales et de la Santé publique (ci-après "le demandeur"), reçue le 9 décembre 2024 ; Vu les pièces complémentaires, reçues le 12 décembre 2024 ; Vu les explications complémentaires quant au contenu, reçues le 20 décembre 2024 ; le 10 janvier 2025 et le 14 janvier 2025 ; Émet, le 27 février 2025, l'avis suivant : I. OBJET DE LA DEMANDE D'AVI 1. Le demandeur sollicite l'avis de l'Autorité concernant un projet d'arrêté royal régissant la communication de données à caractère personnel par des institutions de sécurité sociale à la Cour des comptes sans l'intervention de la Banque Carrefour de la sécurité sociale (ci-après "le projet d'arrêté royal"). Contexte 2. La Cour des comptes a pour mission légale de réaliser des audits externes 1 des recettes et des dépenses de l'État fédéral, des communautés et des régions, des organismes qui en dépendent et des provinces. La Cour des comptes effectue ses contrôles d'initiative. En outre, dans le but d'améliorer leur information, les parlements peuvent charger la Cour des comptes de missions spécifiques de contrôle. La Cour des comptes est également investie d’une mission juridictionnelle à l’égard des comptables fédéraux et régionaux si leurs comptes présentent un déficit et s’ils sont cités à comparaître devant la Cour des comptes par les ministres compétents 2. 3. La mission légale susmentionnée de la Cour des comptes s'étend également à la (aux institutions de) sécurité sociale, ce qui peut nécessiter une communication / un traitement de données sociales à caractère personnel3. 4. La Banque Carrefour de la sécurité sociale (ci-après la "BCSS") a été créée au sein du secteur social pour veiller à un enregistrement décentralisé et à un échange bien organisé et sécurisé des données entre les institutions de sécurité sociale 4. La loi BCSS charge la BCSS entre autres : - "de soutenir les institutions de sécurité sociale afin de leur permettre au moyen des nouvelles technologies d'exécuter d'une manière effective et efficace leurs missions au profit des utilisateurs de leurs services" (voir l'article 3bis de la loi BCSS) ; - “(elle) recueille des données sociales auprès des institutions de sécurité sociale, les enregistre, procède à leur agrégation et les communique à des personnes qui en ont besoin pour la réalisation de recherches pouvant être utiles à la connaissance, à la conception et à la gestion de la protection sociale - (...) - Pour l'application du présent article, la Banque-carrefour est considérée comme une organisation intermédiaire au sens d'une organisation autre que le responsable du traitement de données à caractère personnel non pseudonymisées, qui est chargée de leur pseudonymisation" (voir l'article 5, §§ 1er et 3 de la loi BCSS) ; - "(elle) communique, d'initiative ou à leur demande, des données sociales aux personnes qui en ont besoin pour l'exécution des missions qui leur sont accordées par ou en vertu d'une loi, d'un décret ou d'une ordonnance ou pour l'accomplissement des tâches d'intérêt général qui leur sont confiées par ou en vertu d'une loi, d'un décret ou d'une ordonnance " (voir l'article 13 de la loi BCSS). 5. Dans ce contexte, l'article 14, premier alinéa, 5° de la loi BCSS dispose ce qui suit : "La communication de données sociales à caractère personnel par ou à des institutions de sécurité sociale se fait à l'intervention de la Banque-Carrefour, sauf s'il s'agit d'une communication respectivement aux ou par les personnes suivantes : (…) 5° dans les cas déterminés par le Roi, les institutions de sécurité sociale, leurs préposés ou mandataires ainsi que ceux qu'elles autorisent expressément (à les traiter) en vue de remplir leurs missions. " (soulignement par l’Autorité) 6. Le projet d'arrêté royal vise à recourir à cette possibilité (à savoir la communication de données sociales à caractère personnel sans l'intervention de la BCSS) pour des communications de données à la Cour des comptes en vue de la réalisation de ses missions légales et dispose en son article 1er : "La communication de données sociales à caractère personnel par une institution de sécurité sociale, ses préposés ou mandataires et les personnes qu’elle autorise expressément à traiter les données sociales à caractère personnel, à la Cour des comptes, en vue de la réalisation de ses missions telles que prévues dans la réglementation, intervient sans l’intervention de la Banque Carrefour de la sécurité sociale." 7. À la lumière de ses missions susmentionnées, en tant que force motrice et coordinatrice de l'e-government et de la gestion des données au sein de la sécurité sociale, la BCSS dispose d'une structure pour organiser un échange automatisé et sécurisé de données (sociales) (à caractère personnel), sans avoir accès aux données elles-mêmes. Comme expliqué sur son site Internet5, cette structure repose sur 5 éléments : - le réseau de la sécurité sociale qui relie les différentes institutions de sécurité sociale ; - le répertoire des références qui indique par personne quels types de données sont tenues dans quels régimes ou institutions de sécurité sociale et peuvent être obtenues ; - les échanges de données qui répondent à des modalités précises ; - la communication automatique des modifications et - l'identification unique des citoyens et des entreprises. Comme décrit sur le site Internet6 de la BCSS, cette structure offre les avantages suivants : - traitement rapide et correct des dossiers ; - simplification administrative ; - un portail comme point d'accès ; - protection des données ; - attribution automatique de droits et - aide à la recherche et à la politique sociale. 8. Interrogé en la matière par l'Autorité, le demandeur explique l'impact concret de l'intervention de la BCSS sur les communications de données par des institutions de sécurité sociale en ces termes : "L'intégration dans le répertoire des références de la BCSS vise : - un contrôle préventif des accès ; - l'acheminement des informations ; - une communication automatisée des données modifiées. [NdT : tous les passages issus du dossier cités dans le présent document ont été traduits librement par le Service traduction de l’Autorité, en l’absence de traduction officielle] Le demandeur observe cependant à cet égard que même sans l'intervention de la BCSS pour la communication de données sociales à caractère personnel par une (des) institution(s) de sécurité sociale "La communication de données à caractère personnel dans le cadre d’un contrôle et d'un audit fait toutefois encore intégralement l'objet d'une délibération du comité de sécurité de l'information (en mentionnant entre autres les données à caractère personnel demandées), dans laquelle la conformité avec le (RGPD) est vérifiée." 9. L'article 15 de la loi BCSS prévoit en effet entre autres que : "Toute communication de données sociales à caractère personnel par la Banque-carrefour de la sécurité sociale ou une institution de sécurité sociale à une autre institution de sécurité sociale, ou à une instance autre qu'un service public fédéral, un service public de programmation ou un organisme fédéral d'intérêt public doit faire l'objet d'une délibération préalable de la chambre sécurité sociale de santé du comité de sécurité de l'information.” (soulignement par l'Autorité) Concernant ces délibérations, l'article 46, § 2 de la loi BCSS précise notamment ce qui suit : "Les délibérations du comité de sécurité de l'information ne peuvent pas être contraires aux normes juridiques supérieures et les parties qui participent à la communication des données à caractère personnel respectent les mesures contenues dans la délibération. Les délibérations du comité de sécurité de l'information ont une portée limitée et technique et décrivent pour une situation déterminée et pendant une période déterminée l'application des éléments essentiels du traitement, qui sont définis dans les bases juridiques visées à l'article 6 du (RGPD).” (soulignement par l'Autorité) Dans ce contexte, l'Autorité souhaite également rappeler son avis n° 268/2022 7, en particulier sa conclusion : "Afin que l’encadrement normatif des communications de données à caractère personnel qui doivent faire l’objet d’une délibération du CSI respecte le principe de légalité consacré par l’article 22 de la Constitution8, l’Autorité estime que l’avant-projet de loi doit préciser l’étendue de l’habilitation conférée au CSI de la manière suivante : Dans le cadre de ses délibérations, le CSI contrôle préalablement à la communication de données envisagée que celle-ci est conforme au cadre normatif en vigueur. Ce faisant, il ne peut déterminer aucune modalité essentielle de la communication de données 9, mais il est néanmoins habilité, si cela s’avère nécessaire pour assurer une protection des données dès la conception et par défaut, à fixer des modalités techniques de la communication de données, pour autant que la détermination de ces modalités techniques emporte uniquement l’exercice d’une compétence discrétionnaire restreinte." 10. L'Autorité vérifiera ci-après si et dans quelle mesure le projet d'arrêté royal respecte les principes de protection des données tels qu'ils découlent du RGPD et de la LTD, en particulier. II. EXAMEN DE LA DEMANDE D'AVI 1. Remarque préalable générale concernant les principes de légalité et de prévisibilité 11. L’Autorité rappelle que chaque traitement de données à caractère personnel doit disposer d’une base de licéité figurant à l’article 6.1 du RGPD. Les traitements de données qui sont instaurés par une mesure normative sont presque toujours basés sur l’article 6, paragraphe 1, point c) ou e) du RGPD10. 12. En vertu de l’article 22 de la Constitution, de l'article 8 de la CEDH et de l’article 6, paragraphe 3 du RGPD, de tels traitements doivent être prévus par une réglementation claire et précise, dont l’application doit être prévisible pour les personnes concernées11. En d’autres termes, la réglementation qui encadre des traitements de données ou dont la mise en œuvre implique des traitements de données doit répondre aux exigences de prévisibilité et de précision, de telle sorte qu’à sa lecture, les personnes concernées puissent comprendre clairement les traitements qui seront faits à l'aide de leurs données et les circonstances dans lesquelles ces traitements sont autorisés. En outre, selon l’article 22 de la Constitution, il est nécessaire que les "éléments essentiels" du traitement de données soient définis au moyen d’une norme légale formelle. 13. Conformément aux principes de légalité et de prévisibilité susmentionnés, la norme législative doit clarifier les éléments essentiels du traitement, en particulier la (les) finalité(s) précise(s) et concrète(s) et l'identité du (des) responsable(s) du traitement (à moins que cela ne soit clair). Si les traitements de données envisagés représentent une ingérence importante dans les droits et libertés des personnes concernées12, la norme législative doit également comprendre les éléments (essentiels) complémentaires du traitement suivants : - les (catégories de) données qui sont nécessaires à la réalisation de cette (ces) finalité(s) ; - les catégories de personnes concernées dont les données seront traitées ; - le délai maximal de conservation des données ; - les (catégories de) destinataires auxquels les données seront communiquées et les circonstances dans lesquelles elles le seront, ainsi que les motifs y afférents ; - le cas échéant, et dans la mesure où cela est nécessaire, la limitation des obligations et/ou droits mentionné(e)s aux articles 5, 12 à 22 et 34 du RGPD. 14. L'article 22 de la Constitution interdit au législateur de renoncer à la possibilité de définir lui-même les ingérences qui peuvent venir restreindre le droit au respect de la vie privée 13. Dans ce contexte, une délégation au pouvoir exécutif "n’est pas contraire au principe de légalité, pour autant que l’habilitation soit définie de manière suffisamment précise et porte sur l’exécution de mesures dont les éléments essentiels sont fixés préalablement par le législateur ”14. 2. Remarque préalable concernant la portée de la délégation au Roi 15. L'article 14, premier alinéa, 5° de la loi BCSS prévoit que la communication de données sociales à caractère personnel par ou à des institutions de sécurité sociale sans l’intervention de la BCSS est possible, entre autres dans le cas d'une communication de données aux ou par les personnes suivantes : “dans les cas déterminés par le Roi, , les institutions de sécurité sociale, leurs préposés ou mandataires ainsi que ceux qu'elles autorisent expressément à les traiter, en vue de remplir leurs missions”. (soulignement par l'Autorité) 16. L'Autorité a interrogé le demandeur sur la portée de cette délégation, en particulier sur la mesure dans laquelle les mots "leurs missions" repris au point 5° précité renvoient à des missions de 'sécurité sociale' dans le chef d' 'institutions de sécurité sociale' et la mesure dans laquelle ceci implique également 'les missions de la Cour des comptes', pour lesquelles l'article 1 er du projet d'arrêté royal veut utiliser cette délégation. 17. Le demandeur répond comme suit : "Les institutions de sécurité sociale doivent répondre aux demandes de la Cour des comptes (cela relève également de leurs missions)" et se réfère à cet égard, à titre d'exemple, à l'article 5bis de la loi du 29 octobre 1846 relative à l'organisation de la Cour des comptes (qui souligne l'obligation de répondre à la Cour des comptes pour les organismes soumis à son contrôle). 18. Le demandeur fournit également un extrait de l'Exposé des motifs de l'article 14, premier alinéa, 5° de la loi BCSS, qui précise entre autres ce qui suit : "Afin de ne pas menacer inutilement le fonctionnement flexible du système de sécurité sociale, le transfert de données par les institutions de sécurité sociale sans l'intervention de la Banque-carrefour est néanmoins autorisé dans un certain nombre de cas définis de manière limitative. Il s'agit de la communication de données aux destinataires suivants : (...) 5° pour autant que cette communication soit nécessaire à l'accomplissement de leurs tâches, et uniquement dans les cas déterminés par le Roi, les institutions de sécurité sociale (...) ; l'échange direct de données entre des institutions de sécurité sociale, sans passer par la Banque- carrefour, serait par exemple justifié si des quantités massives de données devaient à intervalles réguliers être transmises sur bande magnétique pour la tenue à jour de comptes ou à des fins de contrôle, données dont la transmission on-line par le biais de la Banque-carrefour serait susceptible de paralyser le centre du réseau."15 19. L'Autorité n'est pas totalement convaincue que cet article 1 er du projet d'arrêté royal s'inscrive effectivement dans les limites de la délégation décrite à l'article 14, premier alinéa, 5° de la loi BCSS (telle qu'expliquée dans l'Exposé des motifs et sur le site Internet de la BCSS) mais laisse au Conseil d'État le soin de procéder à une analyse plus approfondie en la matière. 20. Sous réserve de la position que le Conseil d'État adoptera à cet égard, l'Autorité attire encore l'attention du demandeur sur ce qui suit. 3. Encadrement des communications de données sociales à caractère personnel à la Cour des comptes 21. L'article 1er du projet d'arrêté royal dispose notamment que "La communication de données sociales à caractère personnel par une institution de sécurité sociale (…) à la Cour des comptes, en vue de la réalisation de ses missions telles que prévues dans la réglementation, intervient sans l’intervention de la Banque Carrefour de la sécurité sociale.". 22. L'Autorité a tout d'abord interrogé le demandeur à propos de la portée/l'interprétation du passage suivant de l'article 1er précité : "La communication de données sociales à caractère personnel par une institution de sécurité sociale". L'Autorité a posé au demandeur la question de savoir, en particulier, s'il fallait en déduire que cet article 1er vise uniquement l'accomplissement de missions de la Cour des comptes requérant la communication d'une seule institution de sécurité sociale (sans que cela nécessite de compilation/de couplage de données provenant de plusieurs institutions (de sécurité sociale)). On peut déduire des explications fournies à ce sujet par le demandeur que le nouvel article 1er susmentionné doit permettre que toute communication à la Cour des comptes puisse s'effectuer sans l'intervention de la BCSS, même lorsque la communication implique un couplage de données provenant de différentes institutions (de sécurité sociale). 23. Une reformulation de ce passage s'impose afin d'éviter toute confusion ou imprécision à cet égard. 24. L'Autorité a ensuite interrogé le demandeur à propos du passage suivant : "missions telles que prévues dans la réglementation” de la Cour des comptes. Le demandeur se réfère à cet égard : - à l'article 180 de la Constitution16; - aux articles 517 et 5bis18 de la loi du 29 octobre 1846relative à l'organisation de la Cour des comptes et - à l’article 10 de la loi du 16 mai 2003 fixant les dispositions générales applicables aux budgets, au contrôle des subventions et à la comptabilité des communautés et des régions, ainsi qu'à l'organisation du contrôle de la Cour des comptes19. 25. À la lumière du principe de prévisibilité susmentionné (voir les points 11 e.s. du présent avis), l'Autorité estime en tout état de cause indiqué de reprendre également à l'article 1 er du projet d'arrêté royal un renvoi à la réglementation et aux dispositions concrètes établissant les missions de la Cour des comptes qui peuvent donner lieu à un traitement de données sociales à caractère personnel, disponibles auprès des institutions de sécurité sociale. 26. Dans ce contexte, l'Autorité relève que la Cour des comptes, conformément aux dispositions précitées, est dotée de compétences extrêmement étendues à des fins 'de contrôle et d'analyse (à la demande ou non de la Chambre des Représentants) de la bonne gestion et du bon emploi des deniers publics (selon les critères d’économie, d’efficacité et d’efficience) et ce à tous les niveaux de pouvoir et à cet effet, la Cour des comptes peut 'recueillir tous documents, tous renseignements et toutes pièces comptables (de quelque nature que ce soit)'. 27. L'Autorité comprend et a d'ailleurs déjà reconnu précédemment que délimiter de façon stricte les missions de surveillance, d'analyse et de contrôle, et en particulier les traitements de données y afférents, conformément aux principes de légalité et de prévisibilité n'est pas évident20. Elle a toutefois indiqué à cette occasion que, dans un tel cas, le respect du principe de proportionnalité devrait être explicitement inscrit dans la réglementation. Dans le cadre de l'exercice de ses missions de contrôle et d'analyse, la collecte de données à caractère personnel par la Cour des comptes doit rester exclusivement limitée aux données nécessaires pour pouvoir procéder au contrôle et à l'analyse des comptes, des budgets et de la comptabilité de ses comptables (y compris les institutions de sécurité sociale) et pour pouvoir constater et démontrer d’événtuelles irrégularités et anomalies. À cet égard, elle ne dispose d'ailleurs pas d'autres compétences que celles mentionnées ci-dessus (voir le point 24 du présent avis)21. 28. Étant donné que les dispositions attribuant les fonctions et compétences à la Cour des comptes ne font pas l'objet de la présente demande d'avis, l'Autorité recommande (provisoirement et dans l'attente d'une éventuelle future modification de la loi en la matière22) que l'article 1er du projet d'arrêté royal fasse également explicitement référence au principe de proportionnalité dans le sens précité. 29. L'Autorité note que quoi qu’il en soit, indépendamment de ses missions de contrôle et d'analyse, formulées de manière extrêmement large, la Cour des comptes doit à tout moment respecter les principes de protection des données, notamment la ‘limitation des finalités’ (article 5.1.b) du RGPD), la ‘minimisation des données’ (article 5.1.c) du RGPD), la ‘limitation de la conservation’ (article 5.1.e) du RGPD) et la ‘sécurité appropriée des informations’ (articles 5.1.f) et 32 du RGPD). 30. Le principe de minimisation des données implique non seulement que le nombre de variables doit être limité au minimum nécessaire, mais aussi qu'il convient d'utiliser de préférence des données anonymes/anonymisées et que, pour autant que ceci ne permettrait pas de réaliser le contrôle ou l'analyse visés, des données à caractère personnel pseudonymisées peuvent être traitées et, en dernier recours, pour autant que le traitement de données à caractère personnel pseudonymisées ne permette pas de réaliser le contrôle ou l'analyse visés, des données à caractère personnel brutes (non pseudonymisées). 31. Ceci implique que les données sociales à communiquer à la Cour des comptes doivent être pseudonymisées ou anonymisées (selon le cas) préalablement à la mise à disposition. En principe, cela devrait être fait par l'institution de sécurité sociale à l'origine de la communication23 ou, en particulier lorsqu'un couplage entre des données provenant de plusieurs institutions (de sécurité sociale) est également nécessaire pour réaliser la mission de contrôle ou d'analyse de la Cour des comptes, par un tiers de confiance ou une organisation intermédiaire24. 32. Interrogé sur les raisons de l’abandon de l'intervention obligatoire de la BCSS 25 pour les communications de données sociales à caractère personnel par une (des) institution(s) de sécurité sociale à la Cour des comptes, le demandeur explique ce qui suit : " Le délai de procédure pour l'obtention de données avec l'intervention de la BCSS est proportionnellement plus long (avec pour conséquence des retards dans la réalisation des analyses de la Cour des comptes - au sein de la BCSS, il convient en effet toujours de vérifier, compte tenu de ses priorités, quel rôle elle doit jouer dans un projet déterminé). En outre, les analyses engendrent parfois de nouvelles perspectives qui requièrent également de nouvelles données, ce qui nécessite l'introduction d'une nouvelle demande (si la BCSS intervient dans la communication, sans pouvoir offrir de valeur ajoutée, cela peut à nouveau entraîner des retards). Le délai dépend en outre de la disponibilité des données (qui sont évidemment plus rapidement disponibles auprès des institutions de sécurité sociale elles-mêmes, qui sont les sources authentiques)." 33. L'Autorité attire toutefois l'attention sur le fait que l'éventuel abandon de l'intervention obligatoire de la BCSS ne dispense aucunement la Cour des comptes de se conformer aux principes de protection des données susmentionnés, dont le principe de minimisation des données. 34. L'Autorité a déjà fait valoir précédemment 26 que d’un point de vue strict de protection des données, un organisme intermédiaire qui procède à l’anonymisation ou à la pseudonymisation de données (dans le cas d'un couplage de données provenant de différentes sources ) est un tiers de confiance qui (par analogie avec l'article 203 de la LTD) est soumis au secret professionnel, est indépendant et dispose également de l'expertise nécessaire dans le domaine des techniques de protection des données. L’implication d’un tel tiers de confiance constitue une garantie pour les personnes concernées, étant donné que le risque de dépseudonymisation est moindre vu que le secret de la pseudonymisation est gardé par ce tiers de confiance. Comme le prédécesseur en droit de l’Autorité l’a déjà indiqué, un tel tiers de confiance ne peut pas utiliser les données qu’il collecte pour prester ses services de confiance (pseudonymisation, couplage, anonymisation) pour d’autres finalités que les finalités spécifiques de couplage et de pseudonymisation ou d’anonymisation qui lui ont été confiées et dès que les couplages pour des tiers ont été réalisés, les données doivent être détruites27. 35. Dans ce contexte, l'Autorité rappelle la recommandation qu'elle a déjà formulée en la matière au point 45 de son avis n° 115/2023 du 18 juillet 2023, à savoir : " En outre, l’Autorité recommande l’intervention du législateur pour consolider ce statut de tiers de confiance en encadrant adéquatement ce type de prestataires de services. Un minimum d’obligations spécifiques doit en effet leur être imposées au titre de garanties pour les droits et libertés des personnes concernées vu les risques spécifiques pour la protection des données que ces activités de couplages de bases de données variées et de traitements à grande échelle engendrent ainsi que pour garantir la qualité des services qu’ils prestent dans ce cadre."28 36. En matière d’anonymisation et de pseudonymisation, l’Autorité renvoie, comme d'habitude, à l’avis 05/2014 du Groupe de travail Article 29 sur la protection des données, prédécesseur du Comité européen de la protection des données, sur les Techniques d’anonymisation29. Il convient toutefois de souligner que ces lignes directrices sont en cours de révision, ce qui pourrait avoir un impact significatif sur les caractéristiques ou propriétés minimales requises pour pouvoir considérer des données comme pseudonymisées ou anonymisées30, sachant que la jurisprudence de la Cour de justice concernant la notion de données à caractère personnel sera également particulièrement prise en compte 31. 37. Dans ce contexte, l'Autorité souligne également l'importance de la transparence en ce qui concerne la stratégie d'anonymisation utilisée et l'analyse des risques liés à une réidentification ; il s'agit en effet d'éléments qui contribuent à une approche réfléchie du processus d'anonymisation. 38. Les données anonymisées ne peuvent plus, par aucun moyen raisonnable, être attribuées à une personne précise. Seules ces données ne constituent plus des données à caractère personnel et sont donc, conformément au considérant 26 du RGPD 32, exclues de son champ d'application. Eu égard à la définition de la notion de 'donnée à caractère personnel' telle qu'elle figure à l’article 4. 1) du RGPD33, il convient donc de veiller à ce que - lorsqu'un traitement ne peut porter que sur des données anonymisées - le standard élevé requis pour l'anonymisation est bien atteint 34. À défaut, les données traitées devront encore être considérées comme des données à caractère personnel. 39. En revanche, lorsqu'il est question d'un traitement de données à caractère personnel pseudonymisées35, il convient tout d’abord de se référer aux rapports de l'Agence européenne pour la cybersécurité relatifs aux techniques et meilleures pratiques de pseudonymisation 36. Ce traitement devra en outre être encadré par toutes les garanties requises et respecter les principes en vigueur en la matière37. PAR CES MOTIFS, l’Autorité, estime qu'au minimum les adaptations suivantes s'imposent en outre dans le projet d’arrêté royal : - reformulation de l'article 1er de façon à ce qu'il ne puisse exister aucune confusion concernant le fait que cet article doit permettre que toute communication à la Cour des comptes puisse s'effectuer sans l'intervention de la BCSS (même lorsque la communication implique un couplage de données provenant de différentes institutions (de sécurité sociale)) (voir les points 22 et 23) ; - renvoi à la réglementation et aux dispositions concrètes établissant les missions de la Cour des comptes qui peuvent donner lieu à un traitement de données sociales à caractère personnel (voir le point 25) ; - renvoi explicite au principe de proportionnalité, notamment au fait que la collecte de données à caractère personnel par la Cour des comptes dans le cadre de l'exercice de ses missions de contrôle et d'analyse doit rester exclusivement limitée aux données qui sont nécessaires à cet effet (voir les points 27 et 28) ; souligne l'importance de l'élément suivant : - l'intervention d'un tiers de confiance de qualité pour l'anonymisation et la pseudonymisation de données sociales à caractère personnel ainsi que la consolidation dans un cadre normatif approprié du statut de ce tiers de confiance (voir les points 34 et 35). Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2025:AVIS.20250227.12