ECLI:BE:GBAPD:2024:AVIS.20241129.4

Avis n° 107/2024 du 29 novembre 2024 Objet: Demandes d’avis concernant un projet de loi relatif au traitement de données dans le cadre du registre de transparence du gouvernement fédéral (CO-A-2024-259) Mots-clés : Transparence – Registre des lobbies Version originale Introduction L’Autorité est consultée au sujet d’un projet de loi relatif au traitement des données dans le cadre du registre de transparence du gouvernement fédéral. Cependant, la norme appelée à encadrer des contacts entre les représentants d’intérêts et les membres du gouvernement fédéral et les membres de leurs organes stratégiques n’a pas encore été adoptée. Ce faisant, l’énumération des éléments essentiels est purement théorique et l’Autorité ne peut que constater que le projet ne peut en aucun cas fonder un traitement de données à caractère personnel. L’Autorité en profite pour formuler diverses recommandations. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité »), Présent.e.s : Mesdames Cédrine Morlière et Nathalie Ragheno et Messieurs Yves-Alexandre de Montjoye, Bart Preneel et Gert Vermeulen; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après « LCA »); Vu l’article 43 du règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »); Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD »); Vu la demande d’avis de Monsieur Alexander De Croo, Premier Ministre (ci-après « le demandeur »), reçue le 30 septembre 2024 ; Vu les informations complémentaires reçues le 25 octobre 2024 ; Émet, le 29 novembre, l'avis suivant : I. OBJET ET CONTEXTE DE LA DEMANDE D’AVI 1. Le demandeur a sollicité l’avis de l’Autorité concernant un projet de loi relatif au traitement de données dans le cadre du registre de transparence du gouvernement fédéral (ci-après le « projet »). 2. Il ressort de la note au gouvernement ainsi que des compléments d’informations communiqués par le fonctionnaire délégué, que l’encadrement des contacts entre les représentants d’intérêts et les membres du gouvernement fédéral et les membres de leurs organes stratégiques est appelé à figurer dans un arrêté royal qui n’a pas encore été adopté par le Conseil des Ministres. 3. Pour rappel, la Belgique est membre du Groupe d'Etats contre la corruption (ci-après « GRECO ») du Conseil de l’Europe depuis la création de cet organe en 1999. Depuis lors, la Belgique a fait l’objet de cinq cycles d’évaluation portant sur différents thèmes en rapport avec la prévention et la lutte contre la corruption1. 4. Le rapport d’évaluation de la Belgique, adopté à l’occasion du quatrième cycle (relatif à la prévention de la corruption des parlementaires), indique que le groupe d’experts du GRECO « juge clairement souhaitable de réglementer et d’encadrer les relations avec les tiers (par exemple avec une obligation de déclaration des contacts), mais aussi d’institutionnaliser les relations des parlementaires avec les personnes ou groupes défendant des intérêts spécifiques et sectoriels : par exemple avec la tenue d’un registre pour l’enregistrement obligatoire des lobbyistes, une obligation pour les élus de publier les contacts tenus avec des tiers en dehors des réunions en commission et en relation avec des projets législatifs, des règles de conduite pour les tiers concernés et les parlementaires etc. »2. 5. Ce même rapport3 illustre le fait que « les contacts avec les tiers susceptibles d’influer sur les travaux parlementaires constituent un domaine marqué par l’opacité et qui génère sinon des risques pour l’intégrité de l’activité parlementaire, du moins des polémiques parfois vives », par les circonstances de l’introduction, en avril 2011, des amendements controversés sur la « transaction pénale »4 et plus particulièrement par les poursuites à l’encontre d’un homme d’affaires belgo-kazakh poursuivi pour faux en écriture et blanchiment5 et celles à l’encontre d’une firme diamantaire anversoise soupçonnée d’avoir modifié les certificats d’origine des diamants importés d’Angola et de RDC entre 2003 et 2008, qui se sont toutes deux soldées par une transaction pénale 6. 6. Dans son rapport, la commission chargée d’enquêter sur les circonstances ayant conduit à l’adoption et l’application de la loi du 14 avril 2011 portant des dispositions diverses a notamment constaté, en ce qui concerne l’élaboration de la loi de 2011, que « l’élaboration de la loi relative à la transaction pénale s’est faite dans les conditions de forme prévues par la Constitution »7 et que « la manière dont le texte a été examiné tant à la Chambre qu’au Sénat n’est pas contraire au règlement des deux chambres »8. La commission d’enquête a toutefois formulé des recommandations en matière de transparence9, de procédure législative10, de lobbyisme11 et d’auditions d’experts12. En revanche, en ce qui concerne, l’application de la loi 13, la commission a estimé « qu’il est inacceptable que des autorités étrangères s’immiscent, de quelque manière que ce soit, dans une instruction judiciaire en cours en Belgique »14 et « qu’il n’est pas déontologiquement acceptable que le Vice-Président du Sénat de l’époque (…) se soit permis de solliciter une intervention du ministre de la justice de l’époque (…), afin que ce dernier intervienne dans un dossier judiciaire en cours »15. 7. En 201816, le Règlement de la Chambre a été modifié pour y insérer un chapitre III ter intitulé « Le registre des lobbies »17. 8. L’année suivante18, le rapport du GRECO relatif au cinquième cycle d’évaluation (relatif à la prévention de la corruption et à la promotion de l’intégrité au sein des gouvernements centraux) est adopté. En guise de contexte, le rapport rappelle que la Belgique a été touchée « ces dernières années par certains scandales politico-financiers », citant aux côtés du Kazakhgate, « l’affaire du gel des avoirs libyens19, dans laquelle les dividendes de ces fonds gelés auraient servi à financer des milices libyennes responsables de trafic d’êtres humains »20. Ce rapport qualifie en outre l’absence d’un code de déontologie applicable aux ministres et aux membres des organes stratégiques de « claire lacune, sans doute révélatrice de l’absence de priorité accordée aux questions d’intégrité des hauts responsables de l’exécutif en Belgique »21. 9. Par ailleurs, le rapport 2022 de la Commission européenne sur l’Etat de droit en Belgique avait recommandé à la Belgique d’« achever la réforme législative sur le lobbying, en établissant un cadre comprenant un registre de transparence et une empreinte législative applicables à la fois aux députés et aux membres du gouvernement »22. 10. Une circulaire concernant le Code de Déontologie pour les membres du gouvernement a été adoptée le 20 juin 202323. Celle-ci contient une obligation d’indépendance et de transparence des contacts avec les représentants d’intérêts24. De plus, la loi du 6 janvier 2014 a été modifiée 25 en vue de rendre les obligations du code de déontologie des mandataires publics opposables à tous les collaborateurs de cabinets. 11. Le projet faisant l’objet du présent avis entend créer une base légale spécifique permettant « le traitement » des données appelées à être enregistrées et mises à jour dans une base de données, par la Chancellerie du Premier Ministre. La note au gouvernement précise que la réglementation du traitement des données, par le projet à l’examen, vise à « se conformer aux obligations de l’APD ». 12. Le projet définit le registre de transparence comme « une liste », par membre du gouvernement, reprenant, pour les représentants d’intérêts « qui se sont enregistrés et qui ont eu un contact » avec un membre du gouvernement ou d’un organe stratégique, le nom de la personne morale, du groupe, de l’association ou du réseau, les données d’identification de la personne de contact, le domaine d’activité du représentant d’intérêt et la date de l’enregistrement (art. 2 et 6). 13. Les finalités du traitement des données à caractère personnel visé par le projet sont le renforcement de la transparence des relations entre les représentants d’intérêts et les membres des organes stratégiques, d’une part, et la prévention des conflits d’intérêts d’autre part (art. 3). 14. Le SPF Chancellerie du Premier Ministre est désigné responsable du traitement pour les traitements nécessaires à l’établissement et à la mise à jour du registre de transparence (art. 4). 15. Le projet cite les représentants d’intérêts et les membres du gouvernement, en tant que catégories de personnes concernées (art. 6), mais omet de mentionner les membres des organes stratégiques et les personnes physiques représentant les représentants d’intérêts. 16. Le projet prévoit un accès aux données pour les membres du gouvernement fédéral et les membres des organes stratégiques ainsi que pour « les citoyens », via un portail accessible en ligne (art. 7). 17. La durée de conservation des données prévue est particulièrement brève 26 puisqu’il est prévu que lesdites données soient détruites 30 jours à partir de la cessation d’activité du représentant d’intérêt ou, dans tous les cas, au moment de la prestation de serment d’un nouveau gouvernement fédéral (art. 8). II. EXAMEN DU PROJET 1. Observation générale 18. L’Autorité accueille très favorablement un projet visant à encadrer les traitements de données qu’implique la tenue d’un registre de transparence. Toutefois, un tel encadrement ne peut être dissocié - et encore moins précéder - l’encadrement des contacts entre les représentants d’intérêts et les membres du gouvernement fédéral et les membres de leurs organes stratégiques. En effet, les traitements de données ne seront pleinement déterminables qu’après l’adoption d’une norme déterminant : - qui collecte les données, - auprès de qui, - quels sont les droits et obligations découlant de l’enregistrement, - quelles sont les conséquences d’un défaut d’enregistrement (en termes de refus d’accès par exemple), - comment l’exactitude des données est assurée, et - imposant une vérification du respect de l’obligation d’enregistrement vérifiable par la journalisation de l’accès27. 19. Par conséquent, à ce stade, les éléments essentiels visés par le projet ne peuvent qu’être déterminés de manière théorique et, dès lors que ni l’Autorité, ni le responsable du traitement appelé à mettre en œuvre les traitements, ni les personnes concernées ne peuvent actuellement évaluer le respect des principes de proportionnalité et de minimisation des données, il y a lieu de considérer que le projet ne rencontre pas la prévisibilité requise. En d’autres termes, l’Autorité estime que le projet ne peut être adopté en l’état. 2. Recommandations législatives 20. La base de licéité du traitement doit être clairement identifiable. En l’espèce, la collecte et l’enregistrement des données doivent être nécessaires à l’exécution d’une obligation légale. Le projet remanié veillera donc à prévoir une obligation d’enregistrement préalablement à tout contact et/ou accès et s’abstiendra de viser les représentants « qui se sont enregistrés et qui ont eu un contact ». 21. En outre, l’Autorité constate que l’absence d’enregistrement n’est pas sanctionné. Interrogé à ce sujet, le fonctionnaire délégué a confirmé qu’il ne s’agissait pas d’un oubli. Or, l’Autorité rappelle qu’une mesure ne peut être considérée comme nécessaire que si elle est effective au regard de l’objectif poursuivi. 22. Les finalités doivent être formulées de manière précises et viser chacun des traitements, en ce compris l’accès aux données. La finalité de contrôle doit donc également être prévue. 23. L’Autorité constate qu’en désignant un SPF en tant que responsable du traitement, le système mis en œuvre tendra nécessairement à s’apparenter à de l’auto-contrôle.. 24. L’ensemble des catégories de personnes concernées doivent être énumérées et non simplement sous-entendues. 25. L’Autorité relève l’importance d’une détermination claire des titulaires de l’obligation légale d’alimentation du registre transparence et rappelle à ce sujet que le respect du principe de nécessité par le législateur implique que cette détermination atteigne l’objectif d’intérêt général poursuivi. A ce titre, il est indiqué que le législateur développe plus amplement la description dudit objectif afin qu’un contrôle adéquat de cette détermination puisse être réalisé par l’Autorité. En tout état de cause, il est indiqué que les développements préalables au projet normatif qui déterminera cette obligation légale justifient suffisamment les choix opérés en la matière. 26. Si l’intention est de limiter l’accès aux citoyens belges, il y a lieu, d’une part, de justifier le caractère nécessaire et proportionné de cette limitation et, d’autre part, d’assortir l’accès de modalités d’identification et d’authentification strictes. En revanche, si telle n’est pas la volonté des auteurs, il y a lieu de d’omettre cette mention et de préciser que le registre sera librement accessible en ligne. 27. Bien qu’il ne soit pas possible d’évaluer la durée de conservation aux finalités concrètes de l’encadrement des contacts, l’Autorité estime qu’une finalité de contrôle de l’indépendance des membres du gouvernement et des organes stratégiques s’accommode mal d’une « destruction » des données dès la nomination d’un gouvernement ou la cessation des activités d’un représentant. Un alignement sur le délai de prescription des poursuites pénales semble être davantage approprié. 28. Par ailleurs, il y a lieu de préciser que la destruction interviendra « sans préjudice des exceptions légales telles que les dispositions relatives à l’archivage » 28. 29. Enfin, l’Autorité en profite pour rappeler29 que, bien que la pratique ne soit pas comparable à du lobbying et qu’elle n’ait en soi rien d’illégale, certaines normes prévoyant des traitements de données (telles que, par exemple, la digitalisation des données du dossier médical du patient) sont susceptibles d’être adoptées, notamment dans le but « d’exploiter les financements de l’Union européenne »30. Or, lorsque les sources européennes ne sont pas des normes dont la transposition s’impose aux Etats membres31, leur mention ne s’impose pas au législateur belge lors de l’adoption de normes. Ce qui est indéniablement source d’opacité et complique fortement le contrôle de la balance d’intérêt. 30. Par conséquent, dans un souci de transparence, l’Autorité estime qu’une initiative législative telle que la présente pourrait constituer une opportunité pour imposer de mentionner explicitement dans l’exposé des motifs, lorsqu’une mesure imposée est susceptible d’ouvrir le droit à un financement externe, dans le chef du niveau de pouvoir concerné. PAR CES MOTIFS, L’Autorité estime que le projet ne peut être considéré comme de nature à fonder un traitement de données à caractère personnel. L’Autorité recommande de soumettre également le projet fusionné et/ou fondamentalement remanié à l’Institut fédéral des droits humains pour avis. Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2024:AVIS.20241129.4 Publication(s) liée(s) précédé par: ECLI:BE:GBAPD:2024:DEC.20240823.1 ECLI:BE:GBAPD:2024:DEC.20240823.2