ECLI:BE:GBAPD:2025:AVIS.20250123.4

Avis n° 04/2025 du 23 janvier 2025 Objet: Demande d’avis concernant un projet d’arrêté royal modifiant l’arrêté royal du 23 mai 2018 relatif aux conditions en matière de formation, d'expérience et d’aptitude professionnelles et aux conditions en matière d’examen psychotechnique pour l’exercice d’une fonction dirigeante, d’exécution ou commerciale dans une entreprise de gardiennage, un service interne de gardiennage ou un organisme de formation et leur organisation (CO-A-2024-287) Mots-clés : Sécurité privée – casier judiciaire – répétition inutile – responsable du traitement Version originale Introduction L’avis concerne un projet d’AR modifiant les dispositions relatives aux traitements de données en matière de formation, d'expérience et d’aptitude professionnelles et de vérification des conditions en matière d’examen psychotechnique pour l’exercice d’une fonction dirigeante, d’exécution ou commerciale dans une entreprise de gardiennage, un service interne de gardiennage ou un organisme de formation et leur organisation. Il ne comporte pas de critiques fondamentales et s’inscrit dans la continuité par rapport à l’avis 25/2022 du 16 février 2022. Il est constitue l’occasion de rappeler la position habituelle de l’Autorité en matière d’utilisation du numéro de registre national, de traitement des données figurant sur les extraits de casier judiciaire, de répétition de normes supérieures et de désignation du responsable du traitement. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité »), Présent.e.s : Mesdames Cédrine Morlière, Nathalie Ragheno et Griet Verhenneman et Messieurs Yves- Alexandre de Montjoye, Bart Preneel et Gert Vermeulen; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après « LCA »); Vu l’article 43 du règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »); Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD »); Vu la demande d'avis de Madame Annelies Verlinden, Ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique (ci-après « la demanderesse »), reçue le 5 décembre 2024; Émet, le 23 janvier 2025, l'avis suivant : I. OBJET ET CONTEXTE DE LA DEMANDE D’AVI 1. Le demanderesse a sollicité l’avis de l’Autorité concernant un projet d’arrêté royal modifiant l’arrêté royal du 23 mai 2018 relatif aux conditions en matière de formation, d'expérience et d’aptitude professionnelles et aux conditions en matière d’examen psychotechnique pour l’exercice d’une fonction dirigeante, d’exécution ou commerciale dans une entreprise de gardiennage, un service interne de gardiennage ou un organisme de formation et leur organisation (ci-après « le projet ») et plus particulièrement les articles 27, 28, 29, 31 et 32. 2. La loi du 10 avril 1990 règlementant la sécurité privée et particulière a été abrogée et remplacée par la loi du 2 octobre 2017 réglementant la sécurité privée et particulière 1. Cette dernière habilite le Roi à arrêter (notamment) : - les conditions de formation et d'expérience professionnelles pour l’exercice d’une fonction au sein d’une entreprise de gardiennage (art. 60, 4°) ; - les profils de fonction des personnes qui exercent des activités de gardiennage ainsi qu’à fixer les compétences requises pour ces fonctions, les matières à enseigner, leurs objectifs finaux et les critères auxquels les chargés de cours doivent satisfaire (art. 147) ; - les conditions et les procédures qui ont trait à l'organisation des formations, des examens et des tests psychotechniques (art. 150). 3. Ces habilitations sont aujourd’hui2 mises en œuvre par l’arrêté royal du 23 mai 2018 relatif aux conditions en matière de formation, d'expérience et d’aptitude professionnelles et aux conditions en matière d’examen psychotechnique pour l’exercice d’une fonction dirigeante, d’exécution ou commerciale dans une entreprise de gardiennage, un service interne de gardiennage ou un organisme de formation et leur organisation (ci-après « l’AR de 2018 ») que le projet entend modifier. 4. L’Autorité précise que son avis n°25/20223 est applicable mutatis mutandis à ce projet et y renvoie pour tout ce qui n’est pas expressément visé par le présent avis. II. EXAMEN DU PROJET 1) Art. 27 à 31 – Données communiquées à la Direction générale Sécurité et Prévention, Direction Sécurité privée, du SPF Intérieur (« l’administration ») 5. L’art. 27 en projet modifie l’art. 89, al. 1er, 1° de l’AR de 2018 en vue de préciser quelles données à caractère personnel concernant les participants aux formations doivent être communiquées à l’administration par l’organisme de formation. 6. La finalité poursuivie par la communication de ces données est de permettre à l’administration de vérifier le respect par les élèves des conditions de formation définies par le projet, conditions requises conformément à l’article 61.4° de la loi de 2017, pour pouvoir exercer une fonction dans une entreprise de gardiennage. Cette finalité est légitime, déterminée et explicite, conformément à l’article 5.1.b) du RGPD. 7. Les données traitées à cette fin paraissent adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité, conformément au principe de minimisation. 8. Les nom, prénom et numéro de Registre national, ou à défaut, le numéro bis sont des données pertinentes et nécessaires pour identifier de manière univoque et certaine les personnes qui se sont inscrites à une formation, l’ont suivie et l’ont réussie. L’Autorité attire néanmoins l'attention sur le fait que l'utilisation du numéro de Registre national ne peut avoir lieu que si la/les instance(s) concernée(s) dispose(nt) de l'autorisation requise conformément à l'article 8, § 1, alinéa 3 de la loi du 8 août 1983 organisant un registre national des personnes physiques. Cette autorisation d'utiliser le numéro de Registre national est accordée par le ministre de l'Intérieur aux conditions énoncées aux articles 5 et 8 de la même loi, sauf si l'utilisation est prévue explicitement par ou en vertu d’une loi, ce qui est le cas en l’espèce. 9. La même remarque vaut pour la modification des art. 90, 91 et 96 de l’AR de 2018, prévue par les art. 28, 29 et 31 en projet. 10. En ce qui concerne le « numéro bis », à l’occasion de l’introduction de la demande ayant donné lieu à l’avis 25/2022 précité, le fonctionnaire délégué avait indiqué qu’« il se peut qu’un élève n’ait ni numéro de registre national ni numéro bis car il ne travaille pas encore en Belgique. Or, nous devons pouvoir l’identifier avec certitude. C’est pourquoi nous avons prévu la communication d’un numéro unique, uniquement pour le cas où l’intéressé n’a ni numéro de RN ni numéro bis ». L’Autorité présume que qu’il en va de même dans le cadre du présent projet. 2) Art. 32 – Gestion des données et documents et responsables du traitement 11. L’art. 32 en projet entend insérer les art. 97.1 et 97.2 nouveaux dans l’AR de 2018. 12. L’art. 97.1 nouveau énumère les « mesures de protection » devant être prises par les centres de formations dans le cadre du traitement des données reprises dans les extraits de casiers judiciaires qui leur sont transmis. 13. Le traitement des données figurant sur des extraits de casiers judiciaires est nécessaire à la vérification de l’une des conditions d’exercice d’une fonction dans une entreprise de gardiennage visée à l’art. 61, 1° de la loi de 2017. 14. L’Autorité rappelle4 cependant qu’en application du principe de minimisation du RGPD, les extraits du casier judiciaire doivent uniquement révéler si oui ou non les personnes concernées répondent à l’absence de condamnations pénales visées (sans indication de l’infraction sanctionnée) pour exercer la profession en question. L’Autorité estime qu’il convient d’adapter la loi de 2017 sur ce point, à l’occasion d’une prochaine modification. 15. A l’occasion de ses avis 238/20215 et 25/20226, l’Autorité avait déjà relevé la similitude des mesures particulières par rapport aux obligations découlant de l’application directe du RGPD. Cette fois, l’art. 97.1 en projet contient surtout des répétitions inutiles de l’art. 10, §2 LTD. L’Autorité estime qu’il convient, soit de remplacer ces dispositions par une référence à l’art. 10 LTD, soit de les formuler de manière plus précise et plus adaptées aux réalités des centres de formations qui auront à les mettre ne œuvre. 16. L’art. 97.2 nouveau désigne quant à lui le SPF Intérieur et les organismes de formation, comme responsables du traitement, pour les finalités qu’il détermine. L’Autorité relève à cet égard qu’à l’occasion de la mise en état ayant abouti à l’avis 25/2022 précité, le fonctionnaire délégué avait indiqué que le responsable du traitement serait la DG Sécurité et Prévention du SPF Intérieur. L’Autorité estime qu’un tel degré de précision correspond davantage au caractère factuel de la notion de responsable du traitement et est de nature à faciliter l’exercice de leurs droits par les personnes concernées. Il convient donc de modifier le projet en ce sens. PAR CES MOTIFS, L’Autorité estime que : - les extraits du casier judiciaire doivent uniquement révéler si oui ou non les personnes concernées répondent à l’absence de condamnations pénales visées (sans indication de l’infraction sanctionnée) pour exercer la profession visée (point 14) ; - il convient de s’abstenir de répéter inutilement l’art. 10, §2 LTD (point 15) ; - il convient de privilégier la désignation de la DG par rapport au SPF en tant que responsable du traitement (point 16). Pour le Service d’Autorisation et d’Avis, (sé) Cédrine Morlière - Directrice Document PDF ECLI:BE:GBAPD:2025:AVIS.20250123.4