ECLI:BE:GBAPD:2024:AVIS.20241219.7

Avis n° 117/2024 du 19 décembre 2024 Objet: Demande d’avis concernant un projet d’arrêté royal relatif à la plateforme électronique pour l'échange de données à caractère personnel entre la Direction chargée de l'Évaluation de l’Intégrité pour les Pouvoirs publics et les communes, qui sont traitées lors de la consultation du Registre Central des Enquêtes d'Intégrité, lors de la demande et de la délivrance d’avis (CO-A-2024-284) Mots-clés : screening – enquête d’intégrité – criminalité déstabilisante – communes – catégories de données – formulaires Version originale Introduction Le Projet soumis pour avis exécute la Loi du 15 janvier 2024 relative à l’approche administrative communale, à la mise en place d’une enquête d’intégrité communale et portant création d’une Direction chargée de l’Évaluation de l’Intégrité pour les Pouvoirs publics , en prévoyant la mise en œuvre d’une plateforme informatisée permettant la communication de données entre les communes et la « Direction chargée de l’Evaluation de l’Intégrité pour les Pouvoirs publics » du SPF Intérieur, et notamment en déterminant les données qui doivent être communiquées par la commune lorsqu’elle consulte le Registre Central des Enquêtes d’Intégrité et lorsqu’elle demande un avis à cette Direction. Dans le présent avis, l’Autorité se réfère à des commentaires émis antérieurement au sujet de la Loi précitée et qui restent d’actualité à la suite de l’adoption de la Loi. Elle invite par ailleurs le demandeur à, principalement, préciser les informations (données, motivation, etc.) qui doivent être communiquées par la commune lorsque celle-ci demande à la Direction précitée du SPF Intérieur un avis dans le cadre d’une enquête d’intégrité. Ces précisions sont en relation directe avec la Loi et les traitements de données que celle-ci permet au niveau des communes. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité »), Présent.e.s : Mesdames Cédrine Morlière et Nathalie Ragheno et Messieurs Yves-Alexandre de Montjoye et Bart Preneel; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après « LCA »); Vu l’article 43 du règlement d’ordre intérieur selon lequel les décisions du service d’autorisation et d’avis sont adoptées à la majorité des voix; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »); Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD »); Vu la demande de la ministre de l’Intérieur, des Réformes institutionnelles et du Renouveau démocratique, Madame Annelies Verlinden (ci-après, « le demandeur »), reçue le 19 novembre 2024; Vu la demande d’informations complémentaires adressée au demandeur le 27 novembre 2024 ; Vu la réponse communiquée par le demandeur le 10 décembre 2024 ; Émet, le 19 décembre 2024, l'avis suivant : I. Objet et contexte de la demande d’avis 1. Le demandeur a introduit auprès de l’Autorité une demande d’avis concernant un projet d’arrêté royal . relatif à la plateforme électronique pour l'échange de données à caractère personnel entre la Direction chargée de l'Évaluation de l’Intégrité pour les Pouvoirs publics et les communes, qui sont traitées lors de la consultation du Registre Central des Enquêtes d'Intégrité, lors de la demande et de la délivrance d’avis (CO-A-2024-284) (ci-après, « le Projet »). 2. Le Projet exécute la Loi du 15 janvier 2024 relative à l’approche administrative communale, à la mise en place d’une enquête d’intégrité communale et portant création d’une Direction chargée de l’Évaluation de l’Intégrité pour les Pouvoirs publics (ci-après, « la Loi »), dont il vise les articles 14, § 3, 22, § 2 et 25, § 4, dernier alinéa, et § 5. II. Examen Le présent avis est structuré comme suit : II.1. La Loi et les avis récents de l’Autorité ................................................................................... 3 II.2. Le Projet en général et son fondement légal ......................................................................... 6 II.3. Annexe 3 du Projet : données communiquées par la commune à la DEIPP dans le cadre d’une demande de consultation du RCEI ............................................................................................... 9 II.4. Annexe 2 du Projet : données communiquées par la commune à la DEIPP dans le cadre d’une demande d’avis à la DEIPP .........................................................................................................10 II.4.1. Secteur économique, activité économique, sous-activité concernée (facultatif). ............10 II.4.2. Données concernant les personnes à qui l’enquête d’intégrité est étendue ...................12 II.4.3. Bases de données communales et services pertinents propres ....................................16 II.4.4. Consultation du casier judiciaire central .....................................................................19 II.4.5. Banques de données accessibles au public et sources ouvertes consultées ...................20 II.4.6. Autres sources ou services ........................................................................................21 II.4.7. Proportionnalité, subsidiarité et accountability ............................................................22 II.4.8. Varia .......................................................................................................................25 II.1. La Loi et les avis récents de l’Autorité 3. L’Autorité s’est prononcée à propos du projet qui a donné lieu à l’adoption de la Loi dans son avis n° 245/2022 du 21 octobre 2022 concernant un avant-projet de loi relative à l’approche administrative communale, à la mise en place d’une enquête d’intégrité communale et portant création d’une Direction chargée de l’Evaluation de l’Intégrité pour les Pouvoirs publics (CO-A-2022-248) (ci-après « l’Avis de 2022 » de l’Autorité). Elle se réfère à cet avis concernant le contexte de la Loi et les principes qu’elle consacre. L’Autorité ne se réfèrera à cette Loi et aux suites éventuellement données à son Avis de 2002 que dans la mesure nécessitée par l’analyse du Projet soumis pour avis. Le silence de l’Autorité au sujet de la Loi en général ou de dispositions particulières de celles-ci est par conséquent sans préjudice des commentaires exprimés par l’Autorité dans son Avis de 2022 qui resteraient le cas échéant d’application. 4. Pour rappel, la Loi a pour objectif de permettre aux communes la mise en œuvre d’ « enquêtes d’intégrité » en vue de lutter contre une certaine forme de criminalité (la « criminalité déstabilisante ») et de recourir, dans ce contexte, à l’éventuel appui d’une nouvelle autorité administrative : la « Direction chargée de l’Evaluation de l’Intégrité pour les Pouvoirs publics » (ci-après, « la DEIPP ») instituée auprès du SPF Intérieur. La Loi consacre à cette fin un nouvel article 119ter de la Nouvelle loi communale (ci-après, « NLC »). L’issue d’une enquête d’intégrité peut aboutir au refus, à la suspension ou à l'abrogation d’un permis d'implantation ou d'exploitation, ou encore, à la fermeture d'un établissement. Principalement, sur le plan juridique, la possibilité pour une commune de mettre en œuvre de telles enquêtes est conditionnée d’une part, par l’adoption d’un arrêté royal délibéré en Conseil des ministres déterminant les secteurs et activités économiques pour lesquels une ordonnance de police communale peut être adoptée conformément à l’article 119ter de la NLC 1, et d’autre part, par l’adoption au niveau communal, d’une ordonnance de police communale en vue d’empêcher la criminalité déstabilisante2. 5. Un arrêté du 22 avril 2024 relatif aux secteurs et activités économiques sur la base duquel une ordonnance de police peut être adoptée conformément à l'article 119ter de la Nouvelle Loi communale détermine les secteurs et activités économiques concernés 3. Interrogé à propos de la consultation de l’Autorité au sujet du projet de cet arrêté, le demandeur a répondu ce qui suit: « Er werd voor het koninklijk besluit van 22 april 2024 betreffende de economische sectoren en activiteiten op basis waarvan een politieverordening kan worden uitgevaardigd overeenkomstig artikel 119ter van de Nieuwe Gemeentewet geen adviesaanvraag ingediend bij de Gegevensbeschermingsautoriteit. Het koninklijk besluit van 22 april 2024 vindt zijn grondslag in de wet van 15 januari 2024 betreffende de gemeentelijke bestuurlijke handhaving, de instelling van een gemeentelijk integriteitsonderzoek en houdende oprichting van een Directie Integriteitsbeoordeling voor Openbare Besturen (artikel 6, §3, eerste lid). Deze wet biedt de wettelijk grondslag voor de gegevensverwerking en werd dan ook voorgelegd voor advies aan de Gegevensbeschermingsautoriteit » (mis en gras par l’Autorité). 6. L’Autorité prend acte de la réponse du demandeur. Elle relève cependant que sur le plan de la protection des données, cet arrêté est déterminant à plus d’un titre : il participe directement à la détermination des (catégories) de données et de personnes concernées (en effet, seules les personnes impliquées dans les secteurs et activités économiques identifiés sont susceptibles d’être impliquées dans des enquêtes d’intégrité) et il est décisif quant à la vérification de la conformité du dispositif prévu par la Loi, aux principes de finalité et de proportionnalité (par exemple, viser une activité économique sans relation avec la criminalité déstabilisante serait disproportionné et partant illicite, à défaut de pouvoir rencontrer la finalité poursuivie par la Loi)4. 7. La Loi prévoit en outre la mise en place d’un Registre Central des Enquêtes d’intégrité (ci-après, « le RCEI »)5. D’une part, la DEIPP doit y introduire les décisions de refus, de suspension ou d'abrogation de permis d'implantation ou d'exploitation, ou de fermeture d’établissements, conformément à l'article 119ter, §§ 8 et 9, de la NLC. Ces décisions lui sont transmises par les communes6. D’autre part, ces dernières doivent systématiquement consulter le RCEI dans le cadre des enquêtes d’intégrité7. L’article 12 de la Loi détermine les données qui doivent être introduites lors de la consultation du RCEI par la commune. 8. Un arrêté royal du 26 avril 2024 relatif [à] l'enregistrement, l'accès aux données et la consultation du Registre Central des Enquêtes d'intégrité a déjà été adopté. Et l’Autorité s’est prononcée à propos du projet de cet arrêté dans son avis n° 16/2024 du 23 février 2024 concernant un projet d’arrêté royal « relatif de l’enregistrement, l’accès aux données et la consultation du Registre Central des Enquêtes d'intégrité (CO-A-2023-543). 9. Dans le cadre de l’exécution des enquêtes d’intégrité enfin, la commune concernée peut également demander un avis à la DEIPP, et y est même obligée lorsqu’elle entend refuser, suspendre ou abroger un permis d’implantation ou d’exploitation ou fermer un établissement 8. II.2. Le Projet en général et son fondement légal 10. Dans son visa, le Projet vise les articles 14, § 3 (pouvoir du Roi de « préciser davantage les catégories de données à caractère personnel qui sont traitées », notamment dans le cadre de la consultation du RCEI par la commune conformément à l’article 11 de la Loi), 229, § 2 (pouvoir du Roi de « préciser davantage les catégories de données à caractère personnel qui sont traitées », notamment les données auxquelles a accès la commune en vertu de l’article 23 de la Loi10 - délivrance de son avis par la DEIPP et communication des données à caractère personnel nécessaires à la commune) et 25, § 4, dernier alinéa (pouvoir du Roi de prévoir les mesures techniques et organisationnelles complémentaires appropriées dans le cadre du traitement de données à caractère personnel par la DEIPP), et § 5 (pouvoir du Roi de préciser davantage les catégories de données à caractère personnel qui sont traitées). 11. L’Autorité invite le demandeur à vérifier et selon, adapter, les fondements légaux de son Projet. En effet premièrement, l’Annexe 2 du Projet (demande d’avis à la DEIPP) semble plutôt fondée sur l’article 20 de la Loi et le pouvoir général du Roi d’exécuter les lois, notamment en ce que concrètement, elle explicite ce que constitue la « description » de l’enquête d’intégrité déjà menée par la commune en exécution de l’article 119ter, § 6, de la NLC. Certes, cette disposition ne prévoit pas d’habilitation particulière du Roi. Mais ce dernier dispose du pouvoir général d’exécution des lois comme cela vient d’être rappelé. En outre et en l’occurrence, conformément au principe de finalité, il est bien nécessaire, afin qu’elle puisse exécuter sa mission légale en se prononçant en toute connaissance de cause, que la DEIPP dispose des informations (données) sur la base desquelles la commune se fonde dans le cadre de son enquête. 12. Deuxièmement, d’une part, l’Autorité attire l’attention du demandeur sur le fait que l’article 22, § 1er, de la Loi, contrairement à ce qu’indique sa première phrase (en visant les données auxquelles a accès la commune sur la base de l’article 23), ne vise que des données auxquelles a accès la DEIPP dans la cadre de l’article 21 de la Loi 11 (soit des consultations de données liées à la réalisation de l’avis demandé). D’autre part, le Projet ne régit pas « plus » que la Loi, la communication de données par la DEIPP à la commune à la suite de la délivrance de l’avis. Bien que la plateforme dont il prévoit la mise en place porte à la fois sur la demande et la délivrance d’avis, le Projet ne détaille que la communication de données par la commune, dans le cadre de la demande d’avis, et de la consultation du RCEI par la commune. Or de surcroît, cette dernière ne peut impliquer que la prise de connaissance de décisions d’autres communes12. 13. Troisièmement enfin, d’une part, l’article 12, al. 3, de la Loi prévoit bien que la consultation du RCEI « a lieu par le biais d’un accès électronique dont les modalités sont déterminées par le Roi ». Le Projet porte sur ce sujet mais ne se réfère toutefois pas à cette disposition de la Loi. Et d’autre part, il vise l’article 14, § 3, de la Loi permettant au Roi de préciser les catégories de données communiquées à la commune à partir du RCEI, alors qu’il ne précise rien en la matière. 14. Quant au système d’information concerné, l’article 3 du Projet prévoit la mise en place d’une « plateforme électronique » à disposition des communes pour le transfert des données dans le cadre de la demande et de la délivrance d’avis. L’article 5 concerne la mise en place d’une « plateforme électronique » à la disposition des communes pour le transfert de données dans le cadre de la consultation du RCEI. Et l’article 6 du Projet prévoit que « L'accès à l'outil électronique est régi par l'arrêté royal du 26 avril 2024 relatif à l'enregistrement, à l'accès aux données et à la consultation du Registre Central des Enquêtes d'Intégrité ». 15. L’Autorité a interrogé le demandeur quant à la question de savoir si l’objectif du Projet était bien la mise en place d’un seul et même système d’information à partir duquel la commune et la DEIPP peuvent échanger leurs informations en exécution de la Loi. Celui-ci a répondu ce qui suit : « Het klopt inderdaad dat het koninklijk besluit tot doel heeft om een informatiesysteem/communicatiesysteem op poten te zetten voor de informatieoverdracht tussen de gemeenten en de DIOB. In eerste instantie wordt getracht om te werken met een elektronisch platform in de vorm van een webapplicatie (conform Hoofdstuk 3 en Hoofdstuk 4 van het ontwerp van koninklijk besluit). Er wordt echter ook meteen in back-up systemen voorzien, met name door het gebruik van een beveiligd communicatiemiddel, en indien dat niet mogelijk is, door het gebruik van aangetekende zendingen (conform Hoofdstuk 5) » (mis en gras par l’Autorité). 16. L’Autorité est d’avis que la formulation du Projet devrait être adaptée afin qu’il s’en dégage clairement qu’un seul système d’information est mis en place. 17. Le Projet consacre ensuite des dispositions transitoires. L’article 7, § 1er, du Projet prévoit que dans « l’attente de la plateforme électronique telle que visée à l’article 3 », la DEIPP doit mettre à disposition des communes un « moyen de communication sécurisé » dans le cadre des demandes et délivrances d’avis. Il prévoit ensuite subsidiairement, le recours au « courrier recommandé », en l’absence d’un tel moyen de communication. Dans ce contexte, l’Annexe 2 du Projet reprend le formulaire à utiliser. L’article 7, § 3, prévoit également une disposition transitoire similaire, en l’absence cette fois, de la plateforme visée à l’article 5 du Projet (qui est supposée être le même système d’information). Un « formulaire électronique » doit être mis à disposition par la DEIPP à cette fin, et dans l’attente d’un tel formulaire, la commune doit recourir au formulaire repris en Annexe 3 du Projet. 18. L’article 8 du Projet règle le cas où « la plateforme électronique ne fonctionne pas correctement ». Est alors prévu de recourir au moyen de communication sécurisé ou au courrier recommandé si ce moyen ne fonctionne pas non plus correctement. 19. Ces dispositions n’appellent pas de commentaire particulier de la part de l’Autorité. 20. Cependant, à l’aune de ce qui est prévu dans les Annexes 2 (demande d’avis) et 3 (consultation du RCEI) du Projet et compte-tenu des commentaires de l’Autorité à ce sujet, le Projet devrait également prévoir quelles données doivent être communiquées par la commune dans le cadre de la plateforme électronique. II.3. Annexe 3 du Projet : données communiquées par la commune à la DEIPP dans le cadre d’une demande de consultation du RCEI 21. L’Annexe 3 du Projet concerne les données qui doivent être communiquées par la commune à la DEIPP dans le cadre d’une demande de consultation du RCEI. L’Autorité est d’avis que si c’est à juste titre que l’Annexe demande à la commune de communiquer « Pour quel dossier interne ‘enquête d’intégrité’ » le RCEI est consulté, il conviendrait également de demander à la commune d’identifier la référence unique de ce dossier. 22. Par ailleurs, contrairement à l’Annexe 2 du Projet (concernant les données à communiquer dans le cadre d’une demande d’avis à la DEIPP), l’Annexe 3 du Projet n’exige pas que la commune mentionne l’article applicable de l’ordonnance de police communale en vertu duquel l’enquête d’intégrité est menée, ni n’impose de joindre cette ordonnance de police communale (en ce compris la dernière modification). Or au titre de l’exécution du principe d’accountability, l’Autorité est d’avis que la demande de consultation du RCEI devrait également être à tout le moins accompagnée d’une référence à l’ordonnance de police concernée et à son article pertinent, ainsi qu’au(x) moyen(s) disponibles pour y accéder. Il s’agit d’informations décisives pour que la DEIPP puisse évaluer la licéité des consultations du RCEI. 23. Enfin, l’Annexe 1 du Projet pose à la commune la question suivante : « Pourquoi effectuez-vous cette recherche dans la base de données RCEI » ? Or dans le cadre d’une enquête d’intégrité, la commune est systématiquement obligée de consulter le RCEI, en exécution de l’article 119ter, § 6, 1°, de la NLC. Sur ce point d’ailleurs, l’article 12, al. 2, deuxième tiret de la Loi apparaît contradictoire et semble plutôt viser la motivation d’une demande d’avis à la DEIPP 13. L’Autorité a interrogé le demandeur à ce sujet et celui-ci a répondu ce qui suit : « De DIOB verwacht van de gemeente dat zij onder het puntje “Motivering” kort uitlegt dat ze een integriteitsonderzoek voert naar een betrokkene en in het kader daarvan een consultatie van het Centraal Register van Integriteitsonderzoeken heeft uitgevoerd. Zoals in de Memorie van Toelichting bij artikel 12 van de wet van 15 januari 2024 staat gestipuleerd, dient in het kader van een eventuele post-factum controle (bijvoorbeeld door de gemeente zelf, door de Gegevensbeschermingsautoriteit, of enige andere bevoegde instantie) te worden gemotiveerd waarom de raadpleging van het Centraal Register van Integriteitsonderzoeken noodzakelijk is in het kader van het verdere integriteitsonderzoek » (mis en gras par l’Autorité). 24. L’Autorité est d’avis que la communication des éléments évoqués aux considérants nos 21- 22 ainsi que le lien (juridique) concret entre la personne concernée et l’activité économique concernée14 devraient suffire à justifier la consultation (obligatoire en vertu de la Loi) du RCEI par la commune concernée. En tout état de cause, l’Autorité ne perçoit pas de nécessité de communiquer à cette occasion à la DEIPP, des données à caractère personnel additionnelles relatives à la personne concernée par l’enquête d’intégrité. L’Annexe 1 doit être clarifiée à ce sujet afin qu’aucun doute ne subsiste du point de vue de la commune. II.4. Annexe 2 du Projet : données communiquées par la commune à la DEIPP dans le cadre d’une demande d’avis à la DEIPP 25. L’Annexe 2 du Projet appelle les commentaires suivants, notamment à propos des données à compléter dans le formulaire de demande d’avis. II.4.1. Secteur économique, activité économique, sous-activité concernée (facultatif). 26. La « sous-activité » est une donnée qui n’est ni visée par la Loi, ni définie par celle-ci. L’arrêté du 22 avril 2024 relatif aux secteurs et activités économiques sur la base duquel une ordonnance de police peut être adoptée conformément à l'article 119ter de la Nouvelle Loi communale ne vise pas non plus ce concept. Sans préjudice de tout commentaire à son égard, son article 2 liste les « activités économiques sensibles à la criminalité déstabilisante ». Et l’article 1er de l’arrêté prévoit que l’ordonnance de police communale concernée doit identifier les secteurs économiques visés ainsi que les activités économiques visées en relation avec ces secteurs. L’Autorité a interrogé le demandeur à ce sujet et également quant à la motivation de la communication d’une « sous-activité ». Celui-ci a répondu ce qui suit : « Overeenkomstig het Verslag aan de Koning bij het koninklijk besluit van 22 april 2024 kunnen de gemeenten de economische activiteiten in de politieverordening verder opdelen of concretiseren, in het bijzonder aan de hand van de voorbeelden die in dat verslag worden aangehaald. (Verslag aan de Koning, Bespreking van de artikelen, artikel 2, tweede alinea). Bijgevolg moet het voor de Directie Integriteitsbeoordeling voor Openbare Besturen (DIOB) mogelijk zijn om op te vragen welke onderverdelingen een gemeente heeft gemaakt, om daarna te kunnen nagaan of de adviesaanvraag wel degelijk stoelt op een economische activiteit die onder het toepassingsgebied van de politieverordening van de gemeente valt » (mis en gras par l’Autorité). 27. L’Autorité prend acte de cette explication. Toutefois, et toujours sans se prononcer à propos de l’arrêté royal du 22 avril 2024, l’Autorité observe que le dispositif de cet arrêté ne prévoit pas de possibilité de « concrétiser » ou « subdiviser » autrement les activités qu’il identifie 15 (et qui peuvent déjà, selon les cas, être d’un certain niveau de précision, sans préjudice des questions que poseraient par ailleurs cette liste)16. Il convient de rappeler à cet égard l’importance reconnue par le législateur lui-même, d’assurer que le recours aux enquêtes d’intégrité ne soit pas discriminatoire. A fortiori, le dispositif de l’arrêté ne prévoit pas non plus de critères sur la base desquels procéder à une concrétisation ou subdivision de ces mêmes activités. Enfin, pour rappel, il est notamment question de la détermination des catégories de données et personnes concernées 17. 28. En conclusion, l’Autorité est d’avis que c’est au dispositif de l’arrêté royal délibéré en Conseil des ministres qu’il appartient de définir avec la précision et la clarté nécessaires, les différentes activités et secteurs économiques qui peuvent faire l’objet d’enquêtes d’intégrité, sans préjudice de toute position qu’exprimerait l’Autorité à propos de l’arrêté du 22 avril 2024 relatif aux secteurs et activités économiques sur la base duquel une ordonnance de police peut être adoptée conformément à l'article 119ter de la Nouvelle Loi communale. II.4.2. Données concernant les personnes à qui l’enquête d’intégrité est étendue 29. S’agissant de l’extension de l’enquête d’intégrité à d’autres personnes 18, l’Autorité a notamment émis dans son Avis de 2022 les commentaires suivants, aux considérants nos 40 à 45 : « […] la disposition en projet soulève notamment les questionnements suivants. 32° les barbiers et salons de coiffure ; 33° les studios de manucure ; 34° les salons de beauté ; 35° les établissements de jeux de hasard ». Le rapport au Roi précise par exemple que, « Peuvent être considérés comme exemple des descriptions sous 1° à 3 inclus : - Les restaurants exotiques ; - Les restaurants de luxe ; - Les cafés ; - Les bars à chicha et bars lounge ; - Les takeaways ». Premièrement, en lien avec le commentaire juste émis, la disposition en projet ne comprend aucun critère (si ce n’est la commission de faits punissables) objectif permettant de déterminer quand ses hypothèses sont rencontrées : • Quelles sont les hypothèses visées par « exercer des fonctions de direction » sur une personne ? S’agit-il de viser potentiellement tous les anciens employés (lien de subordination lié au contrat de travail) de l’exploitant concerné ? ; • Concernant la position dominante, sur la base de quels critères sera évaluée la satisfaction de cette condition ? Un tiers peut toujours « inciter » quelqu’un à commettre un acte, ce qui serait déterminant étant que l’incitation soit déterminante dans le passage à l’acte de l’exploitant ; mais comment l’établir ? En tout état de cause, une telle condition permet en théorie de s’intéresser à tout l’entourage (professionnel, privé) de l’exploitant. Qu’est-ce en outre qu’une position dominante « en droit » ? ; • De la fourniture de quels « avoirs » est-il question ? S’agit-il de biens légaux, illégaux, les deux, à partir de quelle quantité ou qualité de biens la condition est-elle considérée comme rencontrée ? A partir de quand un avoir en possession de l’exploitant sera-t-il considéré comme obtenu « indirectement » de la personne concernée ? S’agit-il de la fourniture d’avoir à titre gratuit, onéreux, de manière frauduleuse ou non ? ; • Dans quels cas une personne est-elle considérée comme « impliquée en droit » dans l’exploitation concernée ? S’agit-il de viser les employés, les associés, des actionnaires, les fournisseurs (prestataires de services), etc. Interrogé quant à ce que constituait une personne « impliquée en droit », le demandeur a répondu ce qui suit : « Bijvoorbeeld geldschieters, UBO (Ultimate Benificial Owners), (minderheids)aandeelhouders: personen die niet in een dominante positie t.a.v. de ondernemer staan, maar wel mogelijk bijdragen aan de ondermijnende criminaliteit » (souligné par l’Autorité). […] Troisièmement, le Projet n’identifie pas à partir de quelles données la commune pourra s’interroger au sujet d’autres personnes du réseau de l’exploitant : s’agit-il de rechercher ces personnes dans les faits punissables liés à l’exploitant ? ; ou la recherche de ces autres personnes précèdera-t-elle l’identification/la recherche de faits punissables ? Ce questionnement a un impact important et direct sur la mesure de l’ingérence réalisée par la commune, s’agissant de répondre à la question de savoir sur quelle base celle-ci peut rechercher le réseau de l’exploitant. Sur le plan du principe de proportionnalité à cet égard, l’Autorité est d’avis qu’a priori, sauf justification contraire liée aux données communiquées à la commune par la police (y compris la CIEAR) ou par les autorités judiciaires, l’initiation de l’éventuelle extension de l’enquête d’intégrité à d’autres personnes concernées devrait être fondée dans des faits concrets, vérifiables, réellement existants, pertinents et établis avec la diligence requise, qui sont indicatifs de la commission de faits punissables auxquels l’exploitant lui-même est impliqué[…], [19]. Quatrièmement enfin, ce qui est à lier aux développements relatifs à l’âge des données/des faits pris en considération, la disposition en projet ne précise rien quant au moment, quant à l’époque, de la relation prise en considération (dirigeant/dirigé ; dominant/dominé ; fournisseur d’avoirs/receveur d’avoirs ; impliqué en droit). En principe, celle-ci devrait à tout le moins être actuelle. En conclusion, bien que les concepts utilisés doivent être pris en considération dans le contexte criminel visé par la finalité du Projet, l’Autorité est d’avis que les notions utilisées sont trop floues et laissent une place trop importante à la subjectivité, de telle sorte qu’en l’état, la disposition en projet manque de prévisibilité et apparaît disproportionnée. Concrètement en outre, ne fût-ce que pour identifier à qui pourrait être étendue l’enquête d’intégrité, la disposition en projet ouvre la porte à une enquête sur l’identification de l’ensemble de l’entourage de l’exploitant : entourage à la fois privé et professionnel, mais encore, passé et présent[…]. La disposition en projet doit être retravaillée à l’aune des commentaires précédents » (modification de la numérotation des notes de bas de page dans le présent avis). 30. L’Autorité observe que dans la Loi, l’article 119quater, § 2, de la NLC a été adapté et prévoit désormais en son alinéa 2 que toutes les données à caractère personnel émanant des instances et des bases de données que la commune peut consulter dans le cadre de la mise en œuvre d’une enquête d’intégrité peuvent uniquement concerner les faits punissables visés à l’article 119ter, § 10, al. 5, de la NLC 20. 31. Autrement dit, en relation avec le commentaire émis par l’Autorité au considérant n° 43 de son Avis de 2022 (cité ci-avant), l’Autorité considère qu’en exécution de la Loi et particulièrement compte-tenu de l’article 119quater, § 2, al. 5, de la NLC, l’initiation de l’éventuelle extension de l’enquête d’intégrité à d’autres personnes concernées doit être fondée dans des faits concrets, vérifiables, réellement existants, pertinents et établis avec la diligence requise, qui sont indicatifs de la commission de faits punissables dans lesquels l’exploitant lui-même est impliqué (de manière cela va sans dire, pertinente compte-tenu de la finalité de la Loi, soit la lutte contre la criminalité déstabilisante). 32. L’Autorité est d’avis que cette précision importante devrait être explicitée dans l’Annexe 2 du Projet, à l’attention des communes concernées. Celles-ci ne peuvent ainsi d’emblée, rechercher à l’égard d’un exploitant toutes les personnes susceptibles d’avoir une position dominante à son sujet, de lui avoir fourni des avoirs, etc. Une telle recherche ne pourra être menée qu’à partir de faits punissables impliquant l’exploitant de manière pertinente compte-tenu de la finalité de la Loi (lutte contre la criminalité déstabilisante). Une fois de tels faits identifiés, la commune pourra évaluer la nécessité d’étendre l’enquête d’intégrité aux autres personnes impliquées dans ces faits, compte-tenu de la relation qu’elles entretiennent avec l’exploitant (sans préjudice du commentaire ci-après, à ce sujet). 33. Pour le reste, s’agissant de l’identification des personnes à qui l’enquête d’intégrité peut être étendue, nonobstant certaines précisions ou illustrations non exhaustives apportées dans l’exposé des motifs21, le dispositif de la Loi ne répond pas aux considérations précitées au sujet desquelles l’Autorité attire de nouveau l’attention du demandeur. 34. Sans préjudice du commentaire précédent, l’Annexe 2 du Projet ne peut se limiter à prévoir l’énumération des personnes concernées par la commune. Encore convient-il que la commune demanderesse motive sur quelles bases juridique et factuelle les relations concernées sont imputées aux personnes à qui l’enquête d’intégrité est étendue, à savoir : l’exercice actuel ou passé de « fonctions de direction » ; le fait « [d’occuper] une position dominante vis-à-vis de la personne qui est ou sera chargée en droit ou en fait de l’exploitation » ; le fait de « [fournir ou avoir fourni] directement ou indirectement des avoir à la personne qui est ou sera chargée en droit ou en fait de l’exploitation » ; et le fait pour une personne d’être « impliquée en droit dans l’implantation ou l’exploitation ». 35. Par ailleurs, l’Autorité invite le demandeur à reformuler la question posée concernant la motivation de l’extension de l’enquête d’intégrité. Ainsi, plutôt que de demander « Pourquoi l’enquête d’intégrité de cette personne ou ces personnes a-t-elle été étendue concrètement ? », il s’agit de se demander « Pourquoi, concrètement, l’enquête d’intégrité a-t-elle été étendue à cette ou ces personnes ». II.4.3. Bases de données communales et services pertinents propres 36. En ce qui concerne la consultation des banques de données communales et des services communaux qui ont été consultés22, l’Annexe 2 du Projet prévoit trois hypothèses : « Crimiscan », « GEO- IT/GEOWeb » et « Autre : veuillez indiquer ci-dessous les autres banques de données et services consultés ». 37. Avant tout à ce sujet, l’Autorité réitère le considérant n° 96 de son Avis de 2022 selon lequel : « L’Autorité n’est pas en mesure de déterminer si les banques de données en question sont pertinentes au regard des catégories de données qui peuvent être traitées en vertu du projet et ne poursuit pas son analyse sur ce point. Il en est de même concernant la consultation des autres services communaux[23]. Il et par conséquent demandé d’identifier les banques de données dont il est question ou [à] tout le moins les (catégories de) données traitées par la commune dans le cadre de ses missions qui peuvent être consultées dans ce contexte » (numérotation des notes de bas de page et mise en gras modifiées dans le présent Avis). 38. L’Autorité rappelle que conformément aux principes de prévisibilité et de légalité consacrés dans les articles 22 de la Constitution et 8 de la CEDH, il incombe en l’occurrence à la Loi de déterminer les catégories de données qui peuvent être traitées par la commune. L’Autorité est d’avis que la Loi ne répond pas à cette exigence. Cette dernière met en outre en place un traitement ultérieur de données qui doit répondre aux exigences consacrées dans l’article 6 du RGPD. Le dispositif de la Loi n’a pas été adapté à l’aune du commentaire de l’Autorité24. 39. L’exposé des motifs de la Loi précise que les catégories de données sont suffisamment précisées à l’article 119quater, § 2, de la NLC. L’Autorité s’était exprimée de manière critique à propos de la version initiale de cette disposition, aux considérants nos 68 à 72 de son Avis de 2022, disposition qui entre-temps, a été adaptée dans la Loi. L’Autorité accueille favorablement certaines adaptations qui ont été apportées à l’article 119quater, § 2, de la NLC 25, étant entendu que certains commentaires émis par l’Autorité dans son Avis de 2022 restent pertinents 26. 40. L’article 119quater, § 1er, al. 1er, 3°, et al. 2, de la NLC prévoit que la commune peut traiter les données par « une consultation des propres bases de données communales et services, pour autant que la commune puisse traiter ces données » (mis en gras par l’Autorité), et que « La communication, l’utilisation et le traitement de de ces données se font conformément à la législation qui s’applique au service concerné » (mis en gras par l’Autorité). Dans l’exposé des motifs, il est indiqué qu’à « la suite de l’avis de l’Autorité de protection des données du 21 octobre 2022 (numéro 102), il est souligné que cela n’oblige pas les services concernés à adapter leur réglementation. Les éléments essentiels du traitement des données sont définis dans le présent projet de loi. Par ailleurs, le transfert de données est fondé sur d’autres dispositions légales existantes »27. Au considérant n° 102 de son avis de 2022, l’Autorité expliquait ce qui suit : « Enfin, l’article 119quater, § 1er, al. 2, en projet de la NLC (article 36 du Projet) dispose que « La communication, l’utilisation et le traitement de ces données se font conformément la législation qui s’applique au service concerné » (soit la source des données concernée). L’Autorité invite le demandeur à clarifier la portée réservée à cette disposition. En effet, le Projet lui-même est également appliqué aux flux de données concernés (voir exclusivement, s’il en détermine tous les éléments essentiels). Comme cela vient d’être rappelé[…], les éléments essentiels des traitements de données envisagés doivent se dégager du Projet et le cas échéant, du cadre normatif applicable au service public tiers concerné. Mais en tout état de cause, le Projet doit être clair quant à la question de savoir s’il porte à lui seul (ce qui est permis), une obligation à charge des services concernés, ou s’il entend également refléter cette obligation dans les législations organiques applicables à ces services, auquel cas ces législations doivent encore être adaptées à cet effet (ce qui n’est pas nécessaire si le Projet est complet quant aux éléments essentiels des traitements envisagés) » (mise en gras modifiée dans le présent avis). 41. Comme l’Autorité vient de le rappeler, la Loi met en place un traitement ultérieur de données. Mais elle ne permet pas d’identifier quelles données traitées initialement par les communes (et surtout, dans le cadre de quelles missions de ces communes) sont susceptibles d’être traitées ultérieurement dans le cadre des enquêtes d’intégrité, de telle sorte que les éléments essentiels des traitements de données envisagés ne se dégagent pas clairement de la Loi. Il n’est pas suffisant de se référer globalement à l’ensemble des données qui peuvent être traitées par une commune dans l’exécution de l’ensemble de ses missions légales. 42. Sans préjudice de ce commentaire, l’Autorité a interrogé le demandeur quant à ce que constituaient les systèmes « Crimiscan » et « GEO-IT/GEOWeb », et quant à l’identification de leurs fondements légaux. Le demandeur a répondu ce qui suit : « - Crimiscan: een applicatie van het bedrijf Graydon Creditsafe dat bedrijven scant op mogelijke indicaties van malafide en criminele praktijken. De tool zoekt bedrijven op via openbare bronnen zoals de gegevensbanken van het KBO, de Nationale Bank en uitspraken van de handelsrechtbank en geeft dan een score aan het bedrijf van 0 tot 10 (hoe afwijkend zijn deze bedrijven ten opzichte van de processen en praktijken van legitieme en bonafide bedrijven). Een vergunningsaanvraag waarin een ondernemer aangeeft zowel horeca-uitbater als autohandelaar te willen worden, wordt bijvoorbeeld als afwijkend gezien. Deze score kan gebruikt worden door gemeenten of politiezones als leidraad om gerichte controles uit te voeren. - GEOIT/GEOWEB: o Geo-IT is een Belgisch softwarebedrijf met specialisatie in CAD, BIM en GIS. Geo-IT adviseert en coacht zowel beginnende als ervaren gebruikers om de steeds evoluerende technologieën optimaal in te zetten voor hun werkzaamheden. o GEOWEB is een Nederlands softwarebedrijf dat onder andere GIS software aanbiedt. o GIS (geografische informatiesystemen) is een open-source softwaresysteem dat gebruikt kan worden om data te visualiseren op kaarten. - Wettelijke basis: De wet van 15 januari 2024 voorziet in het nieuwe artikel 119ter §6, eerste lid, 3° van de Nieuwe Gemeentewet dat de gemeente in het kader van een integriteitsonderzoek een consultatie kan verrichten van alle eigen relevante gemeentelijke gegevensbanken en diensten. De gemeente kan uiteraard ook open bronnen raadplegen (cf. artikel 119ter, §6, 5°). o Zowel Crimiscan als GEOIT/GEOWEB zijn voorbeelden van gegevensbanken die gebruikt kunnen worden door de gemeente, en gebaseerd zijn op open bronnen » (mis en gras par l’Autorité). 43. L’Autorité prend acte de cette réponse et ne se prononce pas au sujet de « Criminscan » et « GEO-IT/GEO-Web ». Néanmoins, à l’aune de la réponse communiquée par le demandeur, ces services ne semblent manifestement pas constituer des banques de données communales, et à supposer qu’il puisse y être licitement recouru par les communes (ce que l’Autorité n’évalue pas ici ; voir en outre le considérant n° 48), ils devraient a priori plutôt être renseignés au titre des banques de données accessibles au public (ou sources ouvertes). 44. Sans préjudice des commentaires précédents, l’Autorité est d’avis que l’Annexe 2 devrait imposer à la commune d’indiquer le fondement légal du système d’information consulté et, à moins que cela ne ressorte clairement de ce fondement, les missions dans le cadre desquelles la commune est autorisée par le droit applicable à collecter les données concernées. II.4.4. Consultation du casier judiciaire central 45. S’agissant de la consultation du casier judiciaire central, l’Annexe 2 du Projet permet de sélectionner que « Non », le casier judiciaire central n’a pas été consulté. L’Autorité a interrogé le demandeur quant à la question de savoir si le casier judiciaire central ne devait pas systématiquement être consulté dès lors que l’enquête d’intégrité a trait à des faits punissables et qu’en la matière, cette source de données apparaît incontournable compte-tenu des données qui y sont traitées. Par ailleurs, quant à la proportionnalité des moyens de collecte de données mis en œuvre aux fins de la réalisation de l’enquête d’intégrité, il n’est pas exclu qu’une recherche dans le casier judiciaire central puisse suffire à la conclusion de l’enquête d’intégrité, sans que d’autres collectes de données doivent être mises en œuvre (extension de l’enquête, etc.). Le demandeur a répondu ce qui suit : « Op dit moment is het niet verplicht dat de gemeente het strafregister consulteert in het kader van een integriteitsonderzoek. De enige verplichte stap die de gemeente moet ondernemen, is de consultatie van het Centraal Register van Integriteitsonderzoeken. Het is aan haar eigen beoordelingsbevoegdheid om te bepalen of een consultatie van het strafregister nuttig is. Indien de gemeente het strafregister niet heeft geconsulteerd, zal de DIOB zelf het centraal strafregister consulteren conform artikel 21, §1, 4° van de wet bestuurlijke handhaving, vermits dit steeds nuttige informatie kan betreffen ». 46. L’Autorité prend acte de cette explication. Cependant, conformément au principe de finalité, de proportionnalité (subsidiarité) et de qualité des données, il lui semblerait en principe, que la commune doive procéder initialement et systématiquement à une interrogation du casier judiciaire central, exclusivement à propos des faits punissables (d’actualité pertinente28) visés par la Loi. Il appartient au demandeur de motiver les hypothèses convaincantes dans lesquelles tel ne devrait pas être le cas, et en informer les communes via l’Annexe 2. Pour rappel, il va de soi qu’en l’occurrence, la commune ne peut être amenée, via l’interrogation du casier judiciaire central, à prendre connaissance de faits qui ne seraient pas des faits punissables, sauf à méconnaître les articles 5, 1., a) et c), et 6, 1., e), du RGPD. II.4.5. Banques de données accessibles au public et sources ouvertes consultées 47. L’article 119ter, § 6, 5°, de la Loi prévoit que l’enquête d’intégrité implique que la commune « peut procéder à une consultation de toutes les bases de données accessibles au public, y compris les données rendues publiques sur les réseaux sociaux ». L’Autorité s’est exprimée à ce sujet aux considérants nos 89 à 94 de son Avis de 2022, dans les termes suivants : « En substance, l’Autorité est d’avis qu’une telle disposition soulève de nombreuses questions (sans préjudice des autres commentaires émis ailleurs dans le cadre du présent avis). Premièrement et concrètement, notamment en assimilant « les réseaux sociaux » à une base de données accessible au public, la disposition en projet donne un blanc-seing à la commune pour recourir à l’open source intelligence comme pouvoir d’investigation (peu important la source des données – privée, publique, anonyme, etc.)[29]. Deuxièmement, la disposition en projet ne précise rien quant à ce qui est entendu par « accessibles au public » alors que via internet, et notamment dans le cadre des « réseaux sociaux », cette expression[30] est susceptible de revêtir des réalités très diverses : par exemple, des informations sont accessibles sans la moindre contrainte via internet, des sites nécessitent une inscription préalable, d’autres encore peuvent nécessiter une inscription et un paiement, etc. L’accessibilité du site en question a un impact sur la proportionnalité du traitement de données. En l’occurrence, l’Autorité est d’avis que seules peuvent être concernées les données qui sont réellement accessibles au large public (celui, indéterminé, des utilisateurs de l’internet). Il ne peut être question d’autoriser la commune, par la disposition en projet, à s’infiltrer dans un réseau limité de personnes (par exemples, des personnes entretenant une relation d’ « amitié » - compte-tenu des réserves liées à la compréhension de ce concept dans les réseaux sociaux) afin d’y collecter des données accessibles à celles-ci uniquement. De surcroît troisièmement, le concept de « réseaux sociaux » n’est pas défini par le Projet. Quatrièmement, le Projet ne précise pas la justification du recours à un tel moyen de traitement de telle sorte que selon ses termes, ce sont toutes les (catégories de) données que la commune est susceptible de pouvoir traiter qui doivent pouvoir y être recherchées, sans non plus, qu’une condition de subsidiarité soit précisée (par rapport aux autres possibilités de collecte de données). Cinquièmement enfin, le projet ne prévoit pas de mesures et garanties concernant la méthode de collecte des données dans les banques de données accessibles au public (notamment) en ligne (méthodes de consultation, de rapportage, d’évaluation des sources, de constatation/d’extraction des données, etc.), ni n’habilite le Roi à cet effet. L’exposé des motifs[…] se limite à énoncer ce qui suit « L’enquête d’intégrité implique que la commune peut procéder à une consultation des bases de données accessibles au public (par exemple la BCE, le Moniteur belge) et des réseaux sociaux (avec la prudence nécessaire étant donné que les informations qui y figurent ne sont pas toujours objectives), […] » (souligné par l’Autorité). Remarque : Ce commentaire ne vaut pas pour ce qui concerne la consultation de données à caractère personnel à partir de sources « authentiques » fournies par des autorités publiques telles que la BCE et le Moniteur belge. L’Autorité relève au passage par exemple, que si le Registre National est une source authentique pour l’adresse et la date de naissance, la profession qui y est renseignée n’est pas fiable » (numérotation des notes de bas de page modifiée dans le présent avis). 48. Nonobstant les précisions apportées par l’exposé des motifs de la Loi 31, ces considérations ne sont pas prises en compte dans le dispositif de la Loi et l’Autorité attire de nouveau l’attention du demandeur à leur sujet. L’Autorité rappelle à cette occasion que la commune devra, préalablement à la collecte de données via ce type de moyens, s’assurer en tant que responsable du traitement, que ces données sont légalement collectées, traitées et mises à disposition du public par le responsable du traitement initial (voir précédemment en particulier, les considérants nos 42-43). II.4.6. Autres sources ou services 49. L’Annexe 2 du Projet interroge la commune quant à la question de savoir si d’autres sources ou services ont été contactés en prévoyant tout d’abord de répondre oui, notamment… » ou non. Dans l’affirmative, la commune doit indiquer à quelle date et quels sont les résultats. L’Autorité a interrogé le demandeur quant au fondement légal de ce traitement de données. Celui-ci a répondu ce qui suit : « Zie artikel 119ter, §1, 3° en 5° van de wet (bv. andere gemeentelijke diensten) ». 50. Les 3° et 5° de l’article 119ter de la NLC sont déjà visés par ailleurs dans l’Annexe 2 du Projet (ainsi que les développements précédents) de telle sorte que la mention « d’autres sources ou services » doit en être omise. II.4.7. Proportionnalité, subsidiarité et accountability Age des données et des faits concernés 51. S’agissant de l’âge des données concernées (ou l’âge des faits concernés) que peut collecter la commune, l’article 119quater, § 1er, al. 2, prévoit que « Seules les données collectées au cours de la période de cinq ans précédant le début de l’enquête d’intégrité peuvent être traitées ». Aux considérants nos 63 à 67 et de son Avis de 2022, l’Autorité avait critiqué l’approche suivie par le projet de Loi concernant la détermination d’une limite de temps quant aux catégories de données qui peuvent être traitées. Ces commentaires restent pertinents. L’Autorité réitère à ce sujet que le dispositif de la Loi devrait retenir une approche claire et univoque quant à l’ « âge » des données qui peuvent être collectées dans le cadre d’une enquête d’intégrité, qui doivent être en relation avec des faits punissables présentant généralement une certaine actualité. 52. S’agissant des données collectées par la DEIPP (non concernées par le Projet), l’exposé des motifs de la Loi32 indique en réponse à l’Avis de 2022 qu’ « il est souligné qu’aucune utilisation ne peut être faite des données à caractère personnel liées à des faits datant de plus de 5 ans à la date de la demande d’avis » (mis en gras par l’Autorité). Il s’agit d’une clarification déterminante qui nécessiterait d’être intégrée au dispositif de la Loi. 53. S’agissant toutefois des données collectées par la commune, l’exposé des motifs de la Loi 33 indique qu’à la suite du considérant n° 67 de l’Avis de 2022 de l’Autorité, « il est souligné qu’aucune utilisation ne peut être faite des données à caractère personnel liées à des faits commis dans la période de cinq ans précédant le début de l’enquête d’intégrité » (mis en gras par l’Autorité). L’Autorité a interrogé le demandeur au sujet de ce passage de l’exposé des motifs qui semble manifestement en contradiction avec la logique de la Loi et paraît être une erreur. Elle a également interrogé le demandeur quant à la raison pour laquelle le dispositif de la Loi n'explicite pas que les faits punissables ne peuvent pas être âgés de plus de cinq ans à la date de la demande d’avis à la DEIPP (ou à la date de début de l’enquête d’intégrité). Celui-ci a répondu ce qui suit : « De formulering in de Memorie van Toelichting kan aanleiding geven tot verwarring. Artikel 119quater, §1, 3de lid van de Nieuwe Gemeentewet (ingevoerd door artikel 36 van de wet bestuurlijke handhaving) vermeldt duidelijk dat alleen de gegevens die verzameld zijn in de periode van vijf jaar voorafgaand aan de aanvang van het integriteitsonderzoek kunnen worden verwerkt ». 54. L’Autorité est d’avis que la réponse communiquée par le demandeur semble indiquer que l’exposé des motifs, exprimant l’intention du législateur à la suite de l’Avis de l’Autorité de 2022, apparaît en contradiction avec le dispositif du Projet. La Loi doit être clarifiée sur ce point. 55. Particulièrement compte-tenu des commentaires précédents, et en tout état de cause, l’Autorité est d’avis que l’Annexe II du Projet doit prévoir, au titre de la mise en œuvre du principe d’accountability, que la commune doit indiquer à la fois la date de collecte initiale des données qu’elle consulte, par le responsable du traitement auprès duquel ces données sont consultées (s’agissant d’exécuter le dispositif de la Loi), ainsi que la date (le cas échéant, supposée) de commission des faits concernés. Subsidiarité 56. S’agissant de la subsidiarité dans la mise en œuvre des collectes de données par la commune, l’Autorité avait relevé qu’aucune condition de subsidiarité n’était prévue quant au recours aux données issues des réseaux sociaux34. Sur ce point, l’exposé des motifs de la Loi stipule que « Pour le reste, il est souligné que la condition de subsidiarité en matière de consultation des réseaux sociaux découle déjà du [RGPD] ». Il est en effet vrai que conformément au RGPD notamment, le traitement de données à caractère personnel devant être nécessaire à l’accomplissement de la finalité poursuivie, la commune ne pourra recourir à ses facultés de collectes de données que si cela est nécessaire, en veillant à limiter au maximum l’ingérence dans les droits et libertés des personnes concernées. 57. Cela étant dit, compte-tenu des possibilités offertes par la Loi, les choix à poser ne sont pas nécessairement évidents. La Loi aurait pu hiérarchiser (ordonner) les collectes de données susceptibles d’être mises en œuvre par la commune afin de garantir le respect du principe de proportionnalité, de limiter le risque de discrimination et de renforcer la sécurité juridique de l’action des communes. Sur ce point, quant aux principes, la Loi se limite à prévoir que l’enquête d’intégrité n’est pas discriminatoire, est claire, explicite et objective, et est réalisée de manière transparente 35, et se borne à imposer la consultation du RCEI36. 58. Quoi qu’il en soit, l’Autorité est d’avis que conformément au principe d’ accountability, l’Annexe 2 du Projet devrait imposer à la commune de justifier du respect du principe de subsidiarité dans la mise en œuvre des collectes de données mises en œuvre par elle. Proportionnalité et faits punissables 59. L’Autorité ne revient pas ici dans le détail des considérations développées dans son Avis de 2022 concernant la finalité poursuivie par la Loi, à savoir la lutte contre la criminalité déstabilisante. Bien qu’elle ne soit pas saisie à propos de la Loi, l’Autorité relève néanmoins que l’article 2, 6°, de la Loi soulève une difficulté supplémentaire par rapport au projet de Loi, en ce que cet article définit désormais la criminalité déstabilisante comme la « criminalité qui trouve son origine dans les faits punissables visés à l'article 119ter, § 10, alinéa 5, de la Nouvelle Loi communale et qui, de ce fait, porte atteinte ou peut porter atteinte aux structures sociales ou à la confiance qu'elles inspirent et qui, de ce fait, entraîne ou peut entraîner une perturbation sociale et/ou économique » (mis en gras et souligné par l’Autorité). Alors qu’originellement, était visée la criminalité « qui trouve son origine dans les faits punissables visés à l’article 119ter, §10, alinéa 5, de la Nouvelle Loi communale et qui porte atteinte ou peut porter atteinte aux structures sociales ou à la confiance qu’elles inspirent et qui entraîne ou peut entraîner une perturbation sociale et/ou économique » (mis en gras et souligné par l’Autorité). Il s’agit d’un changement significatif dans le dispositif de la Loi (touchant à la proportionnalité du dispositif mis en place) qui doit notamment être mis en relation avec les considérants nos 33 et 60 de l’Avis de 2022. 60. L’Autorité a interrogé le demandeur quant à cette modification. Celui-ci a répondu ce qui suit : « De regering beoogde de definitie van ondermijnende criminaliteit te verduidelijken. Het is overigens evident dat de strafbare feiten opgesomd in artikel 119ter, §10 vijfde lid van de Nieuwe Gemeentewet maatschappelijke structuren of het vertrouwen daarin kunnen schaden ». 61. L’Autorité prend acte de cette explication et se limite à renvoyer à son Avis de 2022. 62. En tout état de cause, elle est d’avis que l’Annexe 2 du Projet doit explicitement prévoir, en ses endroits pertinents (justification concrète de l’extension de l’enquête d’intégrité ; résultats des consultations des banques de données et services communaux consultés ; résultats de la consultation du casier judiciaire central ; résultat des consultations de banques de données accessibles au public et sources ouvertes ; résultats de la consultation des autorités judiciaires ; résultats de la consultation des autres sources ou services sans préjudicie, du commentaire relatif à la consultation de ces sources ou services37), que la commune doit indiquer les faits punissables concernés par l’enquête en cause au moment de la demande d’avis à la DEIPP. II.4.8. Varia 63. De la même manière que dans le cas de l’Annexe 3 du Projet38, l’Autorité est d’avis que la demande d’avis adressée par la commune devrait indiquer le numéro de référence unique de l’enquête d’intégrité qui est concernée. 64. Enfin, si l’enquête d’intégrité au niveau communal est réalisée par des membres du personnel de la commune désignés par le bourgmestre 39, la demande d’avis à la DEIPP doit être introduite par « le bourgmestre ou son délégué ». Par conséquent, l’Autorité est d’avis que l’Annexe 2 du Projet doit prévoir la signature du formulaire de demande d’avis par le bourgmestre ou son délégué et en outre, prévoir selon, l’identification du bourgmestre ou de son délégué, comme doit être identifié la personne en charge de l’exécution de l’enquête d’intégrité (Nom, Prénom, courriel professionnel, et numéro du Registre National du délégué si celui-ci est une personne autre que celles qui sont visées par l’Annexe 1 du Projet). Par ces motifs, L’Autorité est d’avis que 1. Le demandeur doit vérifier et selon, adapter les fondements légaux de son Projet (considérants nos 10-13) ; 2. La formulation du Projet devrait être adaptée afin de clarifier qu’un seul système d’information est mis en place (considérants nos 14-16). À l’aune de ce qui est prévu dans les Annexes 2 et 3 du Projet et compte-tenu des commentaires de l’Autorité à ce sujet, le Projet devrait également prévoir quelles données doivent être communiquées par la commune dans le cadre de la plateforme électronique (considérant n° 20) ; 3. L’Annexe 3 du Projet devrait identifier la référence unique du dossier concerné et la demande de consultation du RCEI (comme dans le cadre de l’Annexe 2 du Projet) devrait également être à tout le moins accompagnée d’une référence à l’ordonnance de police concernée et à son article pertinent, ainsi qu’au(x) moyen(s) disponibles pour y accéder (considérants nos 21-22) ; 4. L’Annexe 1 du Projet doit être adaptée de manière telle que la communication des éléments évoqués aux considérants nos 21-22 ainsi que le lien ( juridique) concret entre la personne concernée et l’activité économique concernée devraient suffire à justifier la consultation (obligatoire en vertu de la Loi) du RCEI par la commune concernée. En tout état de cause, l’Autorité ne perçoit pas de nécessité de communiquer à cette occasion à la DEIPP, des données à caractère personnel additionnelles relatives à la personne concernée par l’enquête d’intégrité (considérants nos 23-24) ; 5. C’est au dispositif de l’arrêté royal délibéré en Conseil des ministres qu’il appartient de définir avec la précision et la clarté nécessaires les activités économiques qui peuvent faire l’objet d’enquêtes d’intégrité, sans préjudice de toute position qu’exprimerait l’Autorité à propos de l’arrêté du 22 avril 2024 relatif aux secteurs et activités économiques sur la base duquel une ordonnance de police peut être adoptée conformément à l'article 119ter de la Nouvelle Loi communale (considérants nos 26-28) ; 6. S’agissant de l’extension de l’enquête d’intégrité à d’autres personnes, il convient de se référer de nouveau aux commentaires émis dans l’Avis de 2022, aux considérants nos 40 à 45 (considérants nos 29 et 33) ; 7. En relation avec le commentaire émis par l’Autorité au considérant n° 43 de son avis de 2022 et compte-tenu de l’article 119quater, § 2, de la NLC, l’Annexe 2 doit également requérir la motivation de l’extension de l’enquête d’intégrité aux autres personnes concernées, notamment en renseignant les faits punissables concernés dans lesquels l’exploitant est impliqué. La question posée à ce sujet dans l’Annexe 2 devrait être reformulée s’agissant de se demander pourquoi l’enquête d’intégrité a été étendue aux autres personnes concernées (considérants nos 30-32 et 34) ; 8. Le dispositif de la Loi doit être adapté concernant l’accès aux différentes bases de données communales (considérants nos 36-41). Sans préjudice de ce commentaire, et sans se prononcer entre autres quant à la licéité du recours éventuel à « Crimiscan » et « GEO-IT/GEOWeb », ces services ne sont pas des banques de données communales (considérants nos 42-43). En outre, l’Annexe 2 doit prévoir l’indication du système d’information consulté par la commune ainsi que le fondement légal de ce dernier (considérant n° 44) ; 9. La commune devrait en principe procéder initialement et systématiquement à une interrogation du casier judiciaire central à la recherche exclusive de faits punissables (considérants nos 45-46) ; 10. S’agissant des banques de données accessibles au public et sources ouvertes, le demandeur doit de nouveau se référer aux considérants nos 89 à 94 de l’Avis de 2022. La commune devra, préalablement à la collecte de données via ce type de moyens (voir précédemment en particulier, les considérants nos 42-43), s’assurer en tant que responsable du traitement, que ces données sont légalement collectées, traitées et mises à disposition du public par le responsable du traitement initial (considérants nos 47-48) ; 11. L’Annexe 2 du Projet doit omettre la possibilité de consulter d’autres sources ou services (considérants nos 49-50) ; 12. S’agissant de l’âge des données (ou des faits punissables concernés), il convient de se référer de nouveaux aux considérants nos 63-67 de l’Avis de 2022. Sans préjudice de ces commentaires, l’annexe 2 du Projet doit prévoir que la commune doit indiquer à la fois la date de collecte initiale des données qu’elle consulte, par le responsable du traitement auprès duquel ces données sont consultées (s’agissant d’exécuter le dispositif de la Loi), ainsi que la date (supposée) de commission des faits concernés (considérant nos 51-55) ; 13. l’Annexe 2 du Projet devrait imposer à la commune de justifier du respect du principe de subsidiarité dans la mise en œuvre des collectes de données mises en œuvre par elle (considérants nos 56-58) ; 14. L’Annexe 2 doit requérir l’indication des faits punissables concernés dans chaque champ pertinent du formulaire (considérants nos 59-62) ; 15. L’Annexe 2 du Projet devrait prévoir l’indication du numéro de référence unique du dossier et doit prévoir la signature du formulaire de demande d’avis par le bourgmestre ou son délégué et en outre, prévoir selon, l’identification du bourgmestre ou de son délégué, comme doit être identifié la personne en charge de l’exécution de l’enquête d’intégrité (considérants nos 63-64). Pour le Service d’Autorisation et d’Avis, ( sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2024:AVIS.20241219.7 Publication(s) liée(s) précédé par: ECLI:BE:GBAPD:2024:DEC.20240909.1 ECLI:BE:GBAPD:2024:DEC.20240909.2