ECLI:BE:GBAPD:2024:AVIS.20241107.3

Avis n° 103/2024 du 7 novembre 2024 Objet : Projet d’Arrêté royal portant exécution de la loi du 8 novembre 1993 protégeant le titre de psychologue en ce qui concerne l’organisation des élections (CO-A-2024-256) Mots-clés : accès aux listes des électeurs Version originale Introduction : La demande d’avis concerne un projet d’Arrêté royal portant exécution de la loi du 8 novembre 1993 protégeant le titre de psychologue en ce qui concerne l’organisation des élections. Cet Arrêté royal fixe les modalités des élections de l’Assemblée des Représentants de la Commission des psychologues et encadre l’organisation d’élections électroniques. Dans ce contexte, le projet d’Arrêté royal traite les données à caractère personnel des électeurs, à savoir les personnes habilitées à porter le titre de psychologue selon la loi du 8 novembre 1993. L’Autorité formule une remarque concernant l’accès aux listes des électeurs qui ont participé au scrutin et des électeurs qui n’y ont pas participé. L’Autorité estime qu’il est nécessaire d’identifier explicitement dans la disposition les personnes ayant accès à ces listes. Cet accès devrait être limité aux seuls membres du Bureau et au Conseil d’état (en cas de recours). En outre, l’Autorité attire l’attention du demandeur sur l’importance d’une bonne gestion des utilisateurs et des accès. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité »), Présent.e.s : Mesdames Cédrine Morlière, Nathalie Ragheno et Griet Verhenneman et Messieurs Yves- Alexandre de Montjoye, Gert Vermeulen et Bart Preneel ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, en particulier les articles 23 et 26 (ci-après « LCA ») ; Vu l’article 43 du Règlement d’ordre intérieur de l’Autorité selon lequel les décisions du Service d’autorisation et d’avis sont adoptées à la majorité des voix ; Pour les textes normatifs émanant de l’Autorité fédérale, de la Région de Bruxelles-Capitale et de la Commission communautaire commune, les avis sont en principe disponibles en français et en néerlandais sur le site Internet de l'Autorité. La « Version originale » est la version qui a été validée collégialement. Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD ») ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD ») ; Vu la demande d’avis de Monsieur David Clarinval, Ministre des Classes moyennes (ci-après « le Ministre » ou « le demandeur »), reçue le 20 septembre 2024 ; Émet, le 7 novembre 2024, l'avis suivant : I. Objet et contexte de la demande d’avis 1. Le Ministre des Classes moyennes a sollicité l’avis de l’Autorité concernant un projet d’Arrêté royal portant exécution de la loi du 8 novembre 1993 protégeant le titre de psychologue en ce qui concerne l’organisation des élections (ci-après dénommé, « le projet »). 2. Le projet exécute les articles 4, §2et 8/7 de la loi du 8 novembre 1993 protégeant le titre de psychologue (ci-après dénommée, « la loi du 8 novembre 1993 »). Ces articles prévoient que « le Roi fixe la date et les modalités des élections des membres de l’Assemblée des Représentants, ainsi que les conditions de leur éligibilité » et que le Roi détermine « 1° le nombre de membres effectifs et suppléants des Conseils visés aux articles 8/2 et 8/4 ; 2° les conditions de leur éligibilité ; 3° les règles de leur élection ; 4° leurs indemnités ; 5° les règles de fonctionnement desdits Conseils ». 3. Le projet fixe les modalités des élections de l’Assemblée des Représentants de la Commission des psychologues et encadre l’organisation d’élections électroniques. 4. La loi du 8 novembre 1993 a été modifiée et adaptée par la loi du 16 mai 2024 1, et un article 3/1 a été inséré dans la loi afin d’encadrer le traitement des données à caractère personnel nécessaires à l’exercice des missions de la Commission des psychologues. A la suite d’un nombre exceptionnellement élevé d’avis reçus et d’un manque d’effectif, l’Autorité s’est prononcée par le biais d’un « avis standard » sur le projet de loi2, en rappelant les principales exigences auxquelles toute norme régissant un traitement de données à caractère personnel doit satisfaire. 5. L’Autorité examinera ci-dessous si et dans quelle mesure le projet d’Arrêté royal est conforme aux principes de protection des données tels qu’ils découlent du RGPD. II. Examen de la demande d’avis 6. Comme déjà indiqué, le projet d’Arrêté royal précise les modalités pratiques des élections de l’Assemblée des Représentants de la Commission des psychologues et encadre l’organisation d’élections électroniques. Dans ce contexte, les données à caractère personnel visées par le projet sont la civilité de l’électeur, les nom et prénoms de l’électeur, ainsi que son domicile et adresse mail3. De plus, selon l’article 12 du projet, l’électeur s’identifie sur le système informatique au moyen de sa carte d’identité électronique ou via Itsme ou CSam ou tout autre système équivalent, afin de vérifier son identité et de s’assurer qu’il n’a pas encore voté. De surcroît, le système informatique génère la liste des électeurs qui ont participé au scrutin et la liste des électeurs qui n’ont pas participé au scrutin. 7. Il résulte du projet que le traitement de ces données est nécessaire en vue de l’organisation des élections et du vote électronique à distance. Il ressort des explications du Ministre que « d’une part, il faut s’assurer que ces personnes sont bien inscrites sur la liste des psychologues tenue par la Commission des psychologues, et donc en droit de voter. D’autre part, même si leur identité est rendue secrète par le système informatique utilisé pour les élections par voie électronique, il faut pouvoir lier cette identité au vote que les électeurs émettent, et ainsi permettre à un électeur de vérifier que son vote a bien été pris en compte ». 8. L’Autorité estime que la finalité décrite ci-avant peut être considérée comme déterminée, explicite et légitime au sens de l’article 5.1.b) du RGPD 4. En outre, l’Autorité considère que les données identifiées au paragraphe 5 sont pertinentes et non excessives au regard de la finalité visée5. 9. L’article 21 du projet prévoit que le système informatique génère la liste des électeurs qui ont participé au scrutin et la liste des électeurs qui n’ont pas participé au scrutin. L’Autorité estime qu’il serait nécessaire de préciser, dans cette disposition, les personnes ayant accès à ces listes. L’accès à ces informations sera-t-il réservé uniquement aux membres du Bureaux ou les électeurs, ainsi que des tiers, pourront-ils également y accéder ? L’Autorité considère que cet accès devrait être limité aux seuls membres du Bureau, ainsi qu’au Conseil d’état (en cas de recours). Il convient de modifier la disposition en ce sens. 10. L’Autorité rappelle que les articles 5.1.f), 24.1 et 32 du RGPD obligent le responsable du traitement à prendre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel. Ces mesures doivent assurer un niveau de sécurité approprié, compte tenu, d’une part, de l’état des connaissances en la matière et des coûts qu’entraine l’application de ces mesures et, d’autre part, de la nature des données à protéger et des risques potentiels. 11. L’Autorité constate que le demandeur a fourni des efforts afin de définir les modalités de fonctionnement du système informatique. Toutefois, afin d’accroître la sécurité du contenu de ce système, l’Autorité attire l’attention du demandeur sur l’importance d’une bonne gestion des utilisateurs et des accès. En effet, afin d’assurer la confidentialité, l’intégrité et la disponibilité des données, le responsable du traitement doit limiter l’accès aux seules personnes qui en justifient le besoin par l’exercice de leur fonction ou du service. L’Autorité rappelle6 qu’il est essentiel que seules les personnes ou organisations habilitées disposent d’un accès à la plateforme et qu’elles ne puissent consulter que les informations auxquelles elles sont autorisées à accéder. Un système de gestion des utilisateurs et des accès permet de s’assurer que seules les catégories de personnes concernées identifiées de façon certaine et dont l’identité a été vérifiée par un processus d’authentification accéderont aux seules parties de la plateforme auxquelles elles ont le droit d’accéder au vu de leur fonction. 12. Pour plus d’informations, l’Autorité renvoie à sa recommandation relative à la gestion des accès et des utilisateurs dans le secteur public7. PAR CES MOTIFS, L’Autorité estime qu’il convient de modifier l’article 21 du projet afin de préciser les personnes ayant accès aux listes et de limiter cet accès aux seuls membres du Bureau et au Conseil d’état (cons. 9). En outre, l’Autorité attire l’attention du demandeur sur l’importance d’une bonne gestion des utilisateurs et des accès (cons. 11). Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2024:AVIS.20241107.3 Publication(s) liée(s) précédé par: ECLI:BE:GBAPD:2024:DEC.20240814.1 ECLI:BE:GBAPD:2024:DEC.20240814.2