Wetsontwerp portant assentiment à l'Accord de coopération entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitem

31 août 2020 DE BELGIQUE SOMMAIRE Pages LE GOUVERNEMENT DEMANDE L’URGENCE CONFORMÉMENT À L’ARTICLE 51 DU RÈGLEMENT. portant assentiment à l’Accord de coopération entre l’État fédéral, la Communauté fl amande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d’inspection d’hygiène et par les équipes mobiles dans le cadre d’un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 se fondant sur une base de données auprès de Sciensano, conclu à Bruxelles le 25 août 2020 et retirant l’arrêté royal n° 18 du 4 mai 2020, l’arrêté royal n° 25 du 28 mai 2020 et l’arrêté royal n° 44 du 26 juin 2020 concernant une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19 PROJET DE LOI

N-VA : Nieuw-Vlaamse Alliantie Ecolo-Groen Ecologistes Confédérés pour l’organisation de luttes origi PS Parti Socialiste VB Vlaams Belang MR Mouvement Réformateur CD&V Christen-Democratisch en Vlaams PVDA-PTB Partij van de Arbeid van België – Parti du Travail de Belgi Open Vld Open Vlaamse liberalen en democraten sp.a socialistische partij anders cdH centre démocrate Humaniste DéFI Démocrate Fédéraliste Indépendant INDEP-ONAFH : Indépendant - Onafhankelijk

RÉSUMÉ

Le projet de loi d’assentiment a pour objet de permettre l’entrée en vigueur de l’accord de coopération du 25 août entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d’inspection d’hygiène et par les équipes mobiles dans le cadre d’un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 se fondant sur une base de données auprès de Sciensano.

Outre les exigences et principes techniques relatifs au traçage numérique des contacts, cet accord de coopération contient les règles relatives au traitement et à l’échange des données à caractère personnel, collectées au moyen des bases de données, établies par le présent accord ou existantes, dans le cadre du traçage manuel et numérique des contacts. Le projet de loi vise également à retirer l’arrêté royal n° 18 du 4 mai 2020, l’arrêté royal n° 25 du 28 mai 2020 et l’arrêté royal n° 44 du 26 juin 2020 concernant une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19

EXPOSÉ DES MOTIFS

MESDAMES, MESSIEURS

EXPOSÉ GÉNÉRAL Dans le cadre de la crise sanitaire COVID-19 en Belgique, une banque de données a été créée auprès de Sciensano, l’institut belge de santé publique, par l’arrêté royal n° 18 du 4 mai 2020. Celle-ci contient des données spécifiques, nécessaires pour rechercher et contacter les personnes concernées, pour la réalisation d’études scientifiques, statistiques et/ou d’appui à la politique et pour l’accomplissement des missions des services d’inspection sanitaire dans les communautés et régions dans le cadre d’initiatives visant à combattre la propagation des effets nocifs causés par les maladies infectieuses. Toutefois, l’arrêté royal n° 18 du 4 mai 2020 cessait ses effets le 4 juin 2020. Étant donné qu’il était très important pour la réalisation des objectifs susmentionnés que la banque de données puisse encore exister (temporairement) en tant que telle après cette date, l’arrêté royal n° 25 en et l’arrêté royal n° 44 ont été approuvé afin de la maintenir jusqu’au 30 juin 2020 et au 15 octobre respectivement. Dans son avis n° 67.425/3 du 26 mai 2020 sur une proposition de loi “portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19”, dont le contenu est quasi identique au contenu de l’arrêté royal n° 18, la section législation du Conseil d’État estime que la proposition de loi concerne à la fois des compétences fédérales et des compétences communautaires et qu’elle ne peut se concrétiser que si elle est transformée en un accord de coopération, pour lequel l’assentiment parlementaire est requis. La Conférence Interministérielle Santé publique a élaboré ensuite un Accord de coopération entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d’inspection d’hygiène et par les équipes mobiles dans le cadre d’un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 se fondant sur une base de données auprès de Sciensano.

Le présent projet de loi concrétise cet accord de coopération conclu à Bruxelles le 25 août 2020

COMMENTAIRE DES ARTICLES DE

L’ACCORD DE COOPERATION Article 1er L’article 1er contient un certain nombre de définitions (paragraphe 1er), énonce les finalités de l’accord de coopération (paragraphe 2), dispose qu’il n’est pas dérogé à la réglementation des autorités compétentes en matière de suivi des contacts pour le traçage de maladies infectieuses (paragraphe 3), exige des parties qu’elles prennent des mesures pour mettre en œuvre l’accord de coopération et pour harmoniser leurs initiatives existantes avec celui-ci (paragraphe 4), prévoit la possibilité de mettre en œuvre des accords de coopération d’exécution (paragraphe 5) et dispose que les prestataires de soins de santé et les personnes contactées sont déliées du secret professionnel (paragraphe 6).

Art. 2

Le paragraphe 1er de l’article 2 prévoit la création d’une base de données pour le traitement et l’échange de données, pour les finalités de traitement visées à l’article 3. Il s’agit de “la base de données centrale”, auprès de Sciensano, pour la lutte contre la propagation du coronavirus COVID-19 (Base de données I). L’article encadre également la base de données existante, auprès de Sciensano, utilisée pour la recherche scientifique (Base de données II) dans le cadre du présent accord de coopération (paragraphe 2).

Au paragraphe 3, il met en place la base de données contenant les instructions d’appel et les instructions pour le personnel du centre de contact (Base de données III) et la base de données contenant les coordonnées des collectivités (Base de données IV). Enfin, l’article désigne Sciensano comme responsable du traitement des Bases de données I et II (paragraphe 4) et prévoit que les entités fédérées désigneront les responsables du traitement des Bases de données III et IV (paragraphe 5).

Art. 3

L’article 3 régit les finalités du traitement en ce qui concerne la mise à disposition de données à caractère personnel par la Base de données I (paragraphe 1er), ainsi qu’en ce qui concerne le traitement de données à caractère personnel par les autorités ou les agences

compétentes (paragraphe 2) et par les équipes mobiles et les services d’inspection d’hygiène des entités fédérées (paragraphe 3). Une interdiction générale de traiter des données à caractère personnel à d’autres fins est prévue (paragraphe 4).

Art. 4

L’article 4 décrit les catégories de personnes dont les données à caractère personnel sont traitées dans le cadre du présent accord de coopération. Ces catégories sont déterminées à l’article 1er, § 1, 12° à 17°: — Personnes de catégorie I: les personnes pour lesquelles le médecin a prescrit un test de dépistage du coronavirus COVID-19 (ci-après, les “personnes avec une prescription”); — Personnes de catégorie II: les personnes sur lesquelles un test de dépistage du coronavirus COVID-19 a été effectué (ci-après, les “personnes testées”); — Personnes de catégorie III: les personnes dont le médecin a de sérieuses raisons de présumer qu’elles sont infectées, sans qu’un test de dépistage du coronavirus COVID-19 ait été effectué ou prescrit ou dont ce test de dépistage du coronavirus COVID-19 a révélé qu’elles n’étaient pas infectées (ci-après, les “personnes présumées infectées”); — Personnes de catégorie IV: les personnes avec lesquelles: i. les personnes testées, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu’elles étaient infectées (ci-après, les “personnes testées qui sont infectées”) ii. les personnes présumées infectées (collectivement “personnes index”) ont été en contact pendant une période de quatorze jours avant et après les premiers signes d’infection (ci-après, les “personnes en contact”); — Personnes de catégorie V: les médecins traitants des personnes avec une prescription, des personnes testées et personnes index (ci-après, les “médecins traitants”); — Personnes de catégorie VI: le médecin de référence ou, en l’absence de médecin de référence dans la collectivité concernée, le responsable administratif des collectivités avec lesquelles les personnes avec une prescription, les personnes testées et les personnes index

ont été en contact pendant une période de quatorze jours avant et quatorze jours après les premiers symptômes de l’infection (ci-après, les “médecins de référence ou responsables administratifs d’une collectivité”).

Art. 5

L’article 5 dispose que le traitement des données doit se faire conformément au Règlement Général sur la Protection des Données et à la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Art. 6

L’article 6 dispose que les déclarations obligatoires en vertu de la règlementation communautaire doivent être faites à la Base de données I (paragraphe 1). Il définit aux paragraphes 2 à 5 les catégories de données à caractère personnel traitées dans cette base de données, respectivement pour les personnes avec une prescription (Personnes de catégorie I), les personnes testées (Personnes de catégorie II), les personnes présumées infectées (Personnes de catégorie III) et les personnes en contact (Personnes de catégorie IV).

Le paragraphe 6 définit les données à caractère personnel complémentaires à traiter pour les catégories de personnes suivantes, collectées et fournies par les centres de contact compétents: — les personnes index (Personnes Catégorie II qui sont infectées et Personnes Catégorie III); — les personnes de contact (Personnes de caté gorie IV). Le paragraphe 7 définit les données à caractère personnel complémentaires à traiter pour les personnes appartenant à un cluster, collectées et fournies par les équipes mobiles ou les services d’inspection d’hygiène compétents.

Art. 7

L’article 7 définit les catégories de données à caractère personnel qui doivent être traitées dans la base de données des instructions d’appels et des instructions pour le personnel des centres de contact (Base de données III). Le paragraphe 1 prévoit que les données à caractère personnel sont communiquées par Sciensano aux centres de contact à partir de la Base de données

I. Le paragraphe 2 prévoit les catégories de données à

caractère personnel traitées pour les personnes index. Le paragraphe 3 prévoit les catégories de données à caractère personnel traitées pour les personnes de contact (Personnes de catégorie IV). Le paragraphe 4 prévoit les catégories de données à caractère personnel traitées pour les médecins de référence ou les responsables administratifs d’une collectivité (Personnes de catégorie VI).

Art. 8

L’article 8 définit les catégories de données à caractère personnel traitées dans la base de données en matière de collectivités (Base de données IV) concernant: — les médecins traitants (Personnes de catégorie V); — le médecin de référence ou le responsable administratif des collectivités (Personnes de catégorie VI).

Art. 9

Le paragraphe 1 de l’article 9 définit les catégories de données à caractère personnel traitées dans la Base de données II concernant les personnes avec une prescrip- (Personnes de catégorie II) et les personnes présumées infectées (Personnes de catégorie III). Le paragraphe 2 définit les catégories de données à caractère personnel traitées dans la Base de données II concernant les personnes de contact (Personnes de catégorie IV), après pseudonymisation.

Art. 10

L’article 10 régit l’accès des centres de contact (paragraphe 1), des équipes mobiles et des services d’inspection d’hygiène (paragraphe 2) à la Base de données I et régit le transfert des données à caractère personnel de la Base de données I à la Base de données II, après pseudonymisation (paragraphe 3). Dans les articles 6 à 10, pour chaque Base de données, les catégories de données à caractère personnel seront énumérées avec, pour chacune, la mention de la finalité de traitement pour laquelle elle est utilisée.

Art. 11

L’article 11 régit la délibération préalable du Comité de sécurité de l’information dans des cas déterminés

(paragraphes 1 et 2) et clarifie la compétence de ce dernier (paragraphe 3). Il prévoit également les modalités de certains aspects de l’accord de coopération dans un accord de coopération d’exécution (paragraphe 4).

Art. 12

L’article 12 détermine les modalités que le Comité de sécurité de l’information peut adopter (paragraphe 1er) et régit l’accès au Registre national et aux registres de la Banque Carrefour de la sécurité sociale (paragraphe 2), ainsi que la délibération préalable au sein du Comité de sécurité de l’information sur la communication de données à caractère personnel provenant d’autres sources authentiques (paragraphe 3).

Art. 13

L’article 13 concerne les mesures de sécurité que Sciensano doit adopter afin d’assurer un niveau de sécurité adapté au risque.

Art. 14

L’article 14 décrit la finalité des applications numériques de traçage des contacts (paragraphes 1er et 7) et régit les restrictions au traitement des données à caractère personnel par ces applications (paragraphe 2), ainsi que les conditions minimales pour ces applications (paragraphe 3). Les applications doivent respecter les principes énoncés aux articles 5 et 25 du Règlement Général sur la Protection des Données (paragraphe 4) et doivent être installées sur une base volontaire (paragraphe 5).

La durée de conservation des données relatives aux contacts est régie (paragraphe 6), et il est stipulé qu’une analyse d’impact relative à la protection des données doit être établie et publiée (paragraphe 8). Finalement, il est également prévu que certains aspects relatifs au fonctionnement ultérieur de l’application numérique de traçage des contacts et au traitement des données utile dans ce contexte peuvent être régis par un accord de coopération d’exécution (paragraphe 9).

Art. 15

L’article 15 régit la durée maximale de conservation des données à caractère personnel pour les Bases de données

I,

III, IV et V (paragraphe 1) et II (paragraphe 2).

Le paragraphe 3 détermine qu’ à l’exception des données des Bases de données II et IV, les Bases de

données et leur fonctionnement des Bases de données seront en tout cas arrêtées ou supprimées ou effacées par le responsable du traitement au plus tard 5 jours après le jour de la publication de l’arrêté royal proclamant la fin de l’épidémie du coronavirus COVID-19.

Art. 16

En vertu de cet article, Sciensano a l’obligation, en tant que responsable du traitement, de prendre les mesures appropriées concernant la communication des droits des personnes concernées (paragraphe 1er), de créer et de maintenir un site web (paragraphe 2), de maintenir et d’exploiter un système pour l’exercice des droits définis par le Règlement Général sur la Protection des Données (paragraphe 3) et de conclure un protocole d’accord avec les entités fédérées compétentes et leurs agences concernant leurs responsabilités en matière d’exercice des droits des personnes concernées et de fourniture d’informations (paragraphe 4).

Art. 17

L’article 17 régit le règlement des litiges entre les parties par une juridiction de coopération.

Art. 18

L’article 18 charge la Conférence interministérielle santé publique de contrôler la mise en œuvre et le respect des dispositions de l’accord de coopération et d’y proposer des ajustements.

Art. 19

Compte tenu des circonstances, et notamment du fait que l’arrêté royal n° 18 du 4 mai 2020 est déjà appliqué dans la pratique, un effet rétroactif est accordé à l’accord de coopération jusqu’au 4 mai 2020, à savoir le jour où l’arrêté royal n° 18 est entré en vigueur. DE LA LOI PORTANT ASSENTIMENT Par cet article, assentiment est donné à l’Accord de coopération conclu le 25 août 2020 entre l’État fédéral, la Communauté flamande, la Région wallonne, la

Communauté germanophone et la Commission com-

Art. 3, 4 et 5

Les arrêtés royaux n° 18, 25 et 44 ont été adoptés en urgence, vu qu’il était d’une vitale importance pour la santé publique et pour éviter une résurgence de l’épidémie COVID-19, que Sciensano dispose d’une base de données permettant de rechercher et contacter les contacts des personnes infectées. Compte tenu de l’assentiment prévue par ce projet, à un cadre légal plus stable, à savoir l’accord de coopération qui se voit attribuer un effet rétroactif au 4 mai 2020 et au 29 juin en ce qui concerne l’article 14 ainsi que les dispositions relatives aux applications numériques de traçage des contacts, ces arrêtés doivent être retirées.

La ministre des Affaires sociales et de la Santé publique, et de l’Asile et la Migration, Maggie DE BLOCK

AVANT-PROJET DE LOI

soumis à l’avis du Conseil d’État Avant-projet de loi portant assentiment à l’Accord de coopération entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d’un suivi des contacts des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d’une base de données auprès de Sciensano, conclu à Bruxelles le 2 juillet 2020 et retirant l’arrêté royal n° 18 du 4 mai 2020, l’arrêté royal n° 25 du 28 mai 2020 et l’arrêté royal n° 44 du 26 juin 2020 concernant une banque de données auprès de Sciensano dans le COVID-19 La présente loi règle une matière visée à l’article 74 de la Constitution. Assentiment est donné à l’Accord de coopération entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d’un suivi des contacts des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d’une base de données auprès de Sciensano, conclu à Bruxelles le 2 juillet 2020, annexé à la présente loi. L’arrêté royal n° 18 du 4 mai 2020 portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19, est retiré. L’arrêté royal n° 25 du 28 mai 2020 modifiant l’arrêté royal n° 18 du 4 mai 2020 portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19, est retiré.

L’arrêté royal n° 44 du 26 juin 2020 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d’un suivi des contacts COVID-19 sur la base d’une base de données auprès de Sciensano, est retiré. La présente loi entre en vigueur le jour de sa publication au Moniteur belge.

Analyse d'impact de RiA- :: Remplissez de préférence le for :: Contactez le Helpdesk si nécess :: Consultez le manuel, les FAQ, e Fiche sign Auteur .a. Membre du Gouvernement compétent Contact cellule stratégique (nom, email, tél.) Etienne Maerie Administration compétente Sciensano Contact administration (nom, email, tél.) Johan Van Buss Projet .b. Titre du projet de réglementation - Projet d’acco Communauté germanophon concernant le les centres de compétentes inspections sa d'un suivi des le coronavirus auprès de Scie projet de loi p XX juillet 2020 Région wallon Commission c traitement co contact désign les agences co équipes mobi personnes (pr sur la base d'u Bruxelles le XX mai 2020, l’ar xx du xx juin 2 Sciensano dan coronavirus CO Description succincte du projet de réglementation en mentionnant l'origine réglementaire (traités, directive, accord de Dans le cadr causée par C

coopération, actualité, …), les objectifs poursuivis et la mise en œuvre. Sciensano s responsable santé des pa soins ouorg cadre de ses et de les trai un accord d fédéral, la C Communaut conjoint de d contact dési inspections le cadre d'un (présumées) la base d'un Analyses d'impact déjà réalisées ܆ Oui ܈ Non Consultations sur le projet de réglementation .c. Consultations obligatoires, facultatives ou informelles : / Sources utilisées pour effectuer l’analyse d’impact .d.

Statistiques, documents de référence, organisations et personnes de référence : Date de finalisation de l’analyse d’impact .e. 25/06/20

Quel est l’impact du projet de rég > Un projet de réglementation aura génér Une liste non-exhaustive de mots-clés es S’il y a des impacts positifs et / ou négat indiquez les mesures prises pour alléger Pour les thèmes 3, 10, 11 et 21, des que Consultez le manuel ou contactez le help Lutte contre la pauvreté .1. Revenu minimum conforme à la dignité humaine, accès à des services d compris chez les mineurs), illettrisme, fracture numérique. ܆ Impact positif ܆ Impact négatif љ Expliquez. _ _ Égalité des chances et cohésion sociale .2.

Non-discrimination, égalité de traitement, accès aux biens et services, a effectivité des droits civils, politiques et sociaux (en particulier pour les handicapées et les minorités). Égalité entre les femmes et les hommes .3. Accès des femmes et des hommes aux ressources : revenus, travail, resp éducation/savoir/formation, mobilité, temps, loisirs, etc. Exercice des droits fondamentaux par les femmes et les hommes : droit 1.

Quelles personnes sont directement et indirectement conc ce(s) groupe(s) de personnes ? Si aucune personne n’est concernée, expliquez pourquoi.

љ Si des personnes sont concernées, répondez à la que

2. Identifiez les éventuelles différences entre la situatio relative au projet de réglementation.

S’il existe des différences, répondez aux questio

3. Certaines de ces différences limitent-elles l’accè femmes ou des hommes (différences problémat

4. Compte tenu des réponses aux questions précéd l’égalité des femmes et les hommes ?

S’il y a des impacts négatifs, répondez à la

5. Quelles mesures sont prises pour alléger /

Santé .4. Accès aux soins de santé de qualité, efficacité de l’offre de soins, espéra (maladies cardiovasculaires, cancers, diabètes et maladies respiratoires alimentation, pollution), qualité de la vie. ܈ Impact positif Limitation de la propagation du coronavirus COVID-19 Emploi .5. Accès au marché de l’emploi, emplois de qualité, chômage, travail au no bien-être au travail, accidents de travail, maladies professionnelles, équ possibilités de formation professionnelle, relations collectives de travail Modes de consommation et production .6.

Stabilité/prévisibilité des prix, information et protection du consommat externalités (environnementales et sociales) tout au long du cycle de vie Développement économique .7. Création d’entreprises, production de biens et de services, productivité compétitivité, accès au marché et à la profession, transparence du marc internationales, balance des importations/exportations, économie sout minérales et organiques.

Investissements .8. Investissements en capital physique (machines, véhicules, infrastructure et humain, niveau d’investissement net en pourcentage du PIB. Recherche et développement .9. Opportunités de recherche et développement, innovation par l’introduc pratiques d’entreprises ou de nouveaux produits et services, dépenses d

PME .10.

Impact sur le développement des PME. Quelles entreprises sont directement et indirectement conc Détaillez le(s) secteur(s), le nombre d’entreprises, le % de P travailleurs). Si aucune entreprise n’est concernée, expliquez pourquoi.

Si des PME sont concernées, répondez à la question 2

Identifiez les impacts positifs et négatifs du projet sur N.B. les impacts sur les charges administratives doiven

S’il y a un impact négatif, répondez aux question

Ces impacts sont-ils proportionnellement plus lo expliquez

Ces impacts sont-ils proportionnels à l'objectif po

Quelles mesures sont prises pour alléger / comp

Charges administratives .11. Réduction des formalités et des obligations administratives liées directem droit, d’une interdiction ou d’une obligation. Si des citoyens (cf. thème 3) et/ou des entreprises (cf. thèm Identifiez, par groupe concerné, les formalités et les obligat S’il n’y a aucune formalité ou obligation, expliquez pourquo

a. _ _réglementation actuelle*

S’il y a des formalités et des obligations dans la réglementation actuelle*, répondez aux questions 2a à 4a.

Quels documents et informations chaque groupe conc

_ _*

Comment s’effectue la récolte des informations et des

Quelles est la périodicité des formalités et des obligat

Quelles mesures sont prises pour alléger / compenser

Énergie .12. Mix énergétique (bas carbone, renouvelable, fossile), utilisation de la bio d’énergie de l’industrie, des services, des transports et des ménages, séc Mobilité .13. Volume de transport (nombre de kilomètres parcourus et nombre de véh maritime et fluviale pour les transports de marchandises, répartitions de Alimentation .14. Accès à une alimentation sûre (contrôle de qualité), alimentation saine e Changements climatiques .15.

Émissions de gaz à effet de serre, capacité d’adaptation aux effets des ch d’énergies renouvelables, utilisation rationnelle de l’énergie, efficacité é carbone. Ressources naturelles .16. Gestion efficiente des ressources, recyclage, réutilisation, qualité et cons qualité et utilisation du sol (pollution, teneur en matières organiques, ér déforestation. Air intérieur et extérieur .17. Qualité de l’air (y compris l’air intérieur), émissions de polluants (agents NOx, NH3), particules fines.

Biodiversité .18. Niveaux de la diversité biologique, état des écosystèmes (restauration, c des habitats, biotechnologies, brevets d’invention sur la matière biologiq écosystèmes (purification de l’eau et de l’air, …), espèces domestiquées o

Nuisances .19. Nuisances sonores, visuelles ou olfactives, vibrations, rayonnements ioni Autorités publiques .20. Fonctionnement démocratique des organes de concertation et consultat mesures d’exécution, investissements publics. Cohérence des politiques en faveur du développement .2 Prise en considération des impacts involontaires des mesures politiques Identifiez les éventuels impacts directs et indirects du proje

ӑ sécurité alimentaire ӑ santé et accès aux médicaments ӑ travail décent ӑ commerce local et international ӑ revenus et mobilisa ӑ mobilité des perso ӑ environnement et propre) ӑ paix et sécurité

Expliquez si aucun pays en développement n’est concerné.

S’il y a des impacts positifs et/ou négatifs, répondez à

Précisez les impacts par groupement régional ou écon

S’il y a des impacts négatifs, répondez à la questio

Quelles mesures sont prises pour les alléger / com

Indien er personen betrokken zijn, beantwoord dan v

Indien er verschillen zijn, beantwoord dan vrage

Identificeer de positieve en negatieve impact va rekening houdend met de voorgaande antwoord

Indien er een negatieve impact is, beantwo

Welke maatregelen worden genomen om

Indien er kmo’s betrokken zijn, beantwoord dan vraag

Indien er een negatieve impact is, beantwoord d

Is deze impact verhoudingsgewijs zwaarder voor

_ _huidige regelgeving*

Indien er formaliteiten en/of verplichtingen zijn in de huidige* regelgeving, beantwoord dan vragen 2a tot 4a.

Welke documenten en informatie moet elke betrokke

Hoe worden deze documenten en informatie, per bet

Welke is de periodiciteit van de formaliteiten en verpl

Welke maatregelen worden genomen om de eventue

ӑ voedselveiligheid ӑ gezondheid en toegang tot geneesmiddelen ӑ waardig werk ӑ lokale en internationale handel ӑ inkomens en m ӑ mobiliteit van p ӑ leefmilieu en k ӑ vrede en veilig

Indien er geen enkelen ontwikkelingsland betrokken is, leg

Indien er een positieve en/of negatieve impact is, bean

Verduidelijk de impact per regionale groepen of econo

Indien er een negatieve impact is, beantwoord da

Welke maatregelen worden genomen om de neg

AVIS DU CONSEIL D’ÉTAT

N° 67.719/VR DU 15 JUILLET 2020 Le 3 juillet 2020, le Conseil d’État, section de législation, a été invité par la ministre de la Santé publique à communiquer un avis, dans un délai de cinq jours ouvrables, prorogé à huit jours ouvrables1(*), sur un avant-projet de loi “portant assentiment à l’Accord de coopération entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d’un suivi des contacts des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d’une base de données auprès de Sciensano, conclu à Bruxelles le 2 juillet 2020 et retirant l’arrêté royal n° 18 du 4 mai 2020, l’arrêté royal n° 25 du 28 mai 2020 et l’arrêté royal n° 44 du 26 juin 2020 concernant une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19”. L’avant-projet a été examiné par les chambres réunies le 10 juillet 2020. Les chambres réunies étaient composées de Jo BAERT, président de chambre, président, Martine BAGUET, président de chambre, Jeroen VAN NIEUWENHOVE, Luc CAMBIER, Bernard BLERO et Koen MUYLLE, conseillers d’État, Jan VELAERS et Sébastien VAN DROOGHENBROECK, assesseurs, et Annemie GOOSSENS, greffier, et Charles-Henri VAN HOVE, greffier assumé. Le rapport a été présenté par Cedric JENART et Anne-Stéphanie RENSON, auditeurs adjoints. La concordance entre la version française et la version néerlandaise de l’avis a été vérifiée sous le contrôle de Martine BAGUET, président de chambre, et Jeroen VAN NIEUWENHOVE, conseiller d’État. L’avis, dont le texte suit, a été donné le 15 juillet 2020. * 1. Suivant l’article 84, § 1er, alinéa 1er, 3°, des lois “sur le Conseil d’État”, coordonnées le 12 janvier 1973, la demande d’avis doit spécialement indiquer les motifs qui en justifient le caractère urgent. En l’espèce, l’urgence est motivée “Het verzoek om spoedbehandeling is gemotiveerd door de omstandigheid dat dit voorontwerp betrekking heeft op (*) Cette prorogation résulte de l’article 84, § 1er, alinéa 1er, 3°, des lois “sur le Conseil d’État”, coordonnées le 12 janvier 1973, qui dispose que le délai de cinq jours ouvrables est prorogé à huit jours ouvrables dans le cas où l’avis est donné par les chambres réunies en application de l’article 85bis

HISTORIQUE ET PORTÉE DE

L’AVANT-PROJET DE LOI ET DE L’ACCORD DE COOPÉRATION 3. L’arrêté royal n° 18 du 4 mai 2020 “portant création d’une lutte contre la propagation du coronavirus COVID-19” prévoyait la création d’une banque de données auprès de Sciensano3 dans le cadre de la lutte contre le COVID-19 afin de recueillir des données de personnes testées au COVID-19 ou dont le diagnostic du COVID-19 a été confirmé, de personnes pour lesquelles il existe une présomption d’infection et de personnes avec lesquelles ces personnes ont été en contact.

La durée de validité de cet arrêté – jusqu’au 4 juin 2020 – a été prolongée jusqu’au 30 juin 2020 par l’arrêté royal n° 25 du 28 mai 2020 “modifiant l’arrêté royal n° 18 du 4 mai 2020 portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19”. A suivi l’arrêté royal n° 44 du 26 juin 2020 “concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d’un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d’une base de données auprès de Sciensano”, qui a reproduit telle quelle la substance du régime de l’arrêté royal n° 18 du 4 mai 2020 et qui est toujours en vigueur4.

Aucun de ces arrêtés n’a été soumis à l’avis de la section de législation du Conseil d’État. Le contenu de l’arrêté royal n° 18 du 4 mai 2020 a été quasi intégralement reproduit dans une proposition de loi “portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19”5 qui, ainsi qu’un certain nombre d’amendements à celle-ci6, a été soumise au Conseil d’État pour avis.

Dans l’avis nos 67.425/3-67.426/3-67.427/3 du 26 mai 20207, le Conseil d’État a constaté que la banque de données visée dans la proposition, le traitement des données à caractère personnel qui l’accompagne ainsi que les dispositions relatives aux missions et au fonctionnement du centre de contact portent sur le dépistage et la prévention d’infections au COVID-19. Dès lors, la proposition de loi se rapporte en grande partie à la Sciensano est une institution publique dotée de la personnalité juridique qui assume notamment un certain nombre de missions en matière de santé et de soutien à la politique de santé (voir les articles 3 et 4 de la loi du 25 février 2018 “portant création de Sciensano”).

Conformément à son article 17 “[l’arrêté] cesse ses effets le jour où entre en vigueur un accord de coopération entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d’un suivi des contacts des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d’une base de données auprès de Sciensano” et au plus tard le 15 octobre 2020.

Doc. parl., Chambre, 2019-2020, n° 55-1249/001. Ibidem, nos 55-1249/002 et 55-1249/003. Ibidem, n° 55-1249/006.

compétence des communautés concernant le dépistage et la lutte contre les maladies contagieuses et sociales en tant que composante de leurs compétences en matière de médecine préventive8, de sorte que le Conseil d’État a recommandé de transformer la proposition de loi en un accord de coopération pour lequel l’assentiment parlementaire est requis. Le Conseil d’État a réitéré cette conclusion dans l’avis n° 67.482/3 du 3 juin 20209 sur un autre amendement10 à la même proposition de loi.

4. Une proposition de loi “relative à l’utilisation d’applications numériques de traçage de contacts par mesure de prévention contre la propagation du coronavirus COVID-19 parmi la population”11 a également été soumise à l’avis du Conseil d’État en même temps que la proposition de loi précitée. Le 26 mai 2020, le Conseil d’État a donné à ce sujet l’avis 67.424/312, dans lequel il a constaté que les applications numériques de traçage de contacts réglées dans la proposition et le traitement des données à caractère personnel y afférent se rapportent au dépistage et à la prévention des contaminations par le COVID-19.

Dès lors, la proposition de loi se rapporte dans une large mesure à la compétence des communautés concernant le dépistage et la lutte contre les maladies contagieuses et sociales en tant que composante de leurs compétences en matière de médecine préventive. Dans ce cas également, le Conseil d’État a recommandé de transformer la proposition de loi en un accord de coopération pour lequel l’assentiment parlementaire est requis.

5. L’avant-projet de loi soumis pour avis a pour objet de porter assentiment à un accord de coopération qui remanie fondamentalement le dispositif contenu dans les deux propositions de loi précitées. Les parties à cet accord de coopération sont l’autorité fédérale, la Région wallonne, la Communauté flamande, la Communauté germanophone et la Commission communautaire commune. 5.1. L’accord de coopération crée auprès de Sciensano quatre bases de données (Bases de données

I,

III, IV et V),

à côté de la base de données existante, dont les modalités sont définies au regard de la lutte contre le COVID-19 (Base de données II). L’article 1er, § 1er, 5° à 9°, de l’accord de coopération décrit ces cinq bases de données. Article 5, § 1er, I, alinéa 1er, 8°, de la loi spéciale du 8 aout 1980 “de réformes institutionnelles”. Voir également Doc. parl., Sénat, 1979- 80, n° 434/2, p. 125 et Doc. parl., Chambre, 1979-80, n° 627/10, p. 52. Cette compétence a été implicitement confirmée dans l’avis C.E. 34.339/AG du 29 avril 2003 sur un avant-projet devenu le décret de la Communauté flamande et de la Région flamande du 21 novembre 2003 “betreffende het preventieve gezondheidsbeleid”, Doc. parl., Parl. fl., 200203, n° 1709/1, pp. 147-155, ainsi que expressément dans les avis C.E. 38.381/3 du 7 juillet 2005 sur un projet d’arrêté royal “établissant les mesures prophylactiques et la déclaration obligatoire à la cellule de vigilance sanitaire de pathologies présentant un caractère épidémique” et C.E. 53.018/ VR du 13 mai 2013 sur un projet d’arrêté royal “relatif au contrôle sanitaire du trafic international”. Doc. parl., Chambre, 2019-2020, n° 55-1249/009. Ibidem, n° 55-1249/004. Doc. parl., Chambre, 2019-2020, n° 55-1251/001. Ibidem, n° 55-1251/003.

— La Base de données I est la base de données centrale générale créée auprès de Sciensano pour le traitement et l’échange de données aux fins de traitement fixées dans l’accord de coopération. Cette base de données centrale prévoit l’échange de données avec les bases de données créées pour soutenir les centres de contact des communautés. — La Base de données II est la base de données existante auprès de Sciensano créée en exécution d’un accord de coopération conclu avec l’Institut national d’assurance maladie-invalidité (ci-après: INAMI) afin d’augmenter les connaissances épidémiologiques, cliniques et autres13.

Les données, fournies dans le cadre du suivi manuel des contacts, doivent permettre aux institutions de recherche, dont Sciensano, d’effectuer des études scientifiques ou statistiques en rapport avec la propagation du coronavirus COVID-19 et de soutenir la politique de lutte contre le coronavirus par l’échange des données avec la Base de données I. — La Base de données III est la base de données des demandes d’appel et des demandes pour le personnel du centre de contact. — La Base de données IV est la base de données contenant les coordonnées des collectivités. — La Base de données V est le journal central des enregistrements qui permet de contrôler le fonctionnement de l’application numérique de traçage des contacts et qui, au sein de Sciensano, est séparée des Bases de données I et

II. Une application numérique de traçage des contacts sur la base du DP3T14 se compose en effet d’une application mobile qui peut être, sur une base volontaire, installée et utilisée par l’utilisateur en local sur son appareil, et d’un journal central des enregistrements conservé dans la Base de données V. 5.2. Le chapitre Ier de l’accord de coopération contient des dispositions générales. L’article 1er comporte un certain nombre de définitions (paragraphe 1er), mentionne les objectifs de l’accord de coopération (paragraphe 2), indique qu’il n’est pas porté préjudice à la réglementation des autorités compétentes en matière de suivi des contacts pour la détection des maladies contagieuses (paragraphe 3), requiert que les parties doivent prendre les mesures nécessaires à la mise en œuvre de l’accord de coopération et à l’harmonisation de leurs initiatives existantes avec cet accord (paragraphe 4), prévoit la possibilité d’accords de coopération d’exécution (paragraphe 5) et dispose que les prestataires des soins de santé et les personnes contactées sont relevées de leur secret professionnel (paragraphe 6).

L’article 2 crée la Base de données I (paragraphe 1er), inscrit la Base de données II dans le cadre de cet accord de coopération (paragraphe 2), crée les Bases de données III et IV (paragraphe 3), désigne Voir l’article 22, 20°, de la loi “relative à l’assurance obligatoire soins de santé et indemnités”, coordonnée le 14 juillet 1994, ajouté par la loi du 10 avril 2014. DP3T est l’abréviation du protocole ouvert “Decentralised Privacy- Preserving Proximity Tracing” (voir https://en .wikipedia .org /wiki /Decentralized_Privacy -Preserving_Proximity_Tracing).

Sciensano comme responsable du traitement des Bases de données I et II (paragraphe 4) et dispose que les entités fédérées désigneront les responsables du traitement des Bases de données III et IV (paragraphe 5). Le chapitre II contient l’article 3, qui règle les finalités du traitement concernant la mise à disposition des données à caractère personnel par la Base de données I (paragraphe 1er), ainsi que le traitement des données à caractère personnel par les autorités ou les agences compétentes (paragraphe 2) et par les équipes mobiles et les inspections d’hygiène des communautés (paragraphe 3).

Une interdiction générale de traitement des données à caractère personnel à d’autres fins est énoncée (paragraphe 4). Le chapitre III contient l’article 4, qui définit les catégories de personnes dont les données à caractère personnel sont traitées dans le cadre de l’accord de coopération à l’examen. Ces catégories sont définies à l’article 1er, § 1er, 12° à 17°. — Personnes de catégorie I: les personnes pour lesquelles le médecin a prescrit un test de dépistage du COVlD-19; — Personnes de catégorie II: les personnes qui ont été soumises à un test de dépistage du COVID-19; — Personnes de catégorie III: les personnes que le médecin soupçonne sérieusement d’être infectées, sans qu’un test de dépistage du COVID-19 ait été effectué ou prescrit, ou dont le test de dépistage du COVID-19 a révélé qu’elles n’étaient pas infectées; — Personnes de catégorie IV: les personnes avec lesquelles soit (i) les Personnes de catégorie II dans la mesure où le test de dépistage du COVID-19 a révélé qu’elles sont infectées, soit (ii) les Personnes de catégorie III ont été en contact pendant une période de quatorze jours avant et après les premiers signes d’infection; — Personnes de catégorie V: les médecins traitants des Personnes de catégories I, II et III; — Personnes de catégorie VI: le médecin de référence ou – en l’absence d’un médecin de référence au sein de la collectivité concernée – le responsable administratif des collectivités avec lesquelles les Personnes des catégories

I, II et III ont été en contact pendant une période de quatorze jours avant et après les premiers symptômes de l’infection. Le chapitre IV détermine les catégories de données à caractère personnel qui sont traitées dans le cadre de l’accord de coopération. L’article 5 prescrit que le traitement des données doit être effectué conformément au RGPD15 et à la loi du 30 juillet 2018 “relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel”.

L’article 6 requiert que les déclarations obligatoires Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 “relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)”.

en vertu de la réglementation communautaire soient faites auprès de la Base de données I (paragraphe 1er) et définit les catégories de données à caractère personnel qui sont traitées dans cette base de données, respectivement, pour les Personnes de catégorie I, les Personnes de catégorie II, les Personnes de catégorie III et les Personnes de catégorie IV (paragraphes 2 à 5). Les paragraphes 6 et 7 définissent les données à caractère personnel supplémentaires à traiter pour certaines catégories de personnes et de clusters, qui sont collectées ou fournies par les équipes mobiles ou les inspections d’hygiène compétentes.

L’article 7 définit les catégories de données à caractère personnel qui sont traitées dans la Base de données III, à savoir les données à caractère personnel qui sont communiquées par Sciensano à partir de la Base de données I aux centres de contact (paragraphe 1er), les données à caractère personnel pour la Base de données III en ce qui concerne les Personnes de catégorie II qui, après avoir effectué un test de dépistage du COVID-19, se sont avérées infectées, et les Personnes de catégorie III (paragraphe 2), les Personnes de catégorie IV (paragraphe 3) et les Personnes de catégorie VI (paragraphe 4).

L’article 8 définit traitées dans la Base de données IV en ce qui concerne les Personnes de catégorie V et de catégorie

VI. L’article 9 définit

les catégories de données à caractère personnel qui, après pseudonymisation, sont traitées dans la Base de données II en ce qui concerne les Personnes de catégorie I, de catégorie II et de catégorie III (paragraphe 1er) et les Personnes de catégorie IV (paragraphe 2). Le chapitre V comporte l’article 10 qui règle l’accès aux données à caractère personnel par les centres de contact (paragraphe 1er) et par les équipes mobiles et les services d’inspection d’hygiène (paragraphe 2) ainsi que la transmission des données à caractère personnel, après pseudonymisation, de la Base de données I à la Base de données II (paragraphe 3). Le chapitre VI concerne la compétence du Comité de sécurité de l’information16. L’article 11 règle la délibération préalable, dans certains cas, au sein de ce comité (paragraphes 1er et 2) et la compétence de ce comité de préciser des données (paragraphe 3). Il est également prévu de régler certains aspects de l’accord de coopération dans un accord de coopération d’exécution (paragraphe 4). L’article 12 définit les modalités que le Comité de sécurité de l’information peut fixer (paragraphe 1er) et règle l’accès au Registre national et aux registres de la Banque-carrefour de la sécurité sociale (paragraphe 2), ainsi que la délibération préalable au sein du Comite de sécurité de l’information pour la communication de données à caractère personnel provenant d’autres sources authentiques que la Base de données I (paragraphe 3). Le chapitre VII contient l’article 13, qui concerne les mesures de sécurité que Sciensano doit prendre afin de garantir un niveau de sécurité adapté au risque. Créé par la loi du 5 septembre 2018 “instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE”.

Le chapitre VIII concerne les applications numériques de traçage des contacts. L’article 14 définit leur objectif (paragraphe 1er) et règle les limites du traitement des données à caractère personnel au moyen de ces applications (paragraphe 2), ainsi que les conditions minimales auxquelles ces applications doivent répondre (paragraphe 3). Celles-ci doivent respecter les principes énoncés à l’article 5 du RGPD (paragraphe 4) et doivent se faire sur une base volontaire (paragraphe 5).

Le délai de conservation des données relatives aux contacts est réglé (paragraphe 6), ainsi que les objectifs du traitement des données (paragraphe 7). Une analyse d’impact relative à la protection des données doit être établie et publiée (paragraphe 8). Il est également prévu de préciser certains aspects des applications numériques de traçage des contacts dans un accord de coopération d’exécution (paragraphe 9).

Le chapitre IX contient l’article 15, qui règle le délai de conservation maximal des données à caractère personnel pour les Bases de données

I,

III, IV et V (paragraphe 1er) et II

(paragraphe 2). Le chapitre X concerne la transparence et les droits des personnes concernées. L’article 16 énonce l’obligation pour Sciensano en tant que responsable du traitement de prendre des mesures appropriées en matière de communication des droits des personnes concernées (paragraphe 1er), créer et à assurer la maintenance d’un site internet (paragraphe 2), gérer et assurer la maintenance d’un système pour l’exercice des droits prévus dans le RGPD (paragraphe 3) et conclure un accord avec les autorités compétentes et leurs agences en ce qui concerne leurs responsabilités en matière d’exercice des droits des personnes concernées et la fourniture d’informations (paragraphe 4). Le chapitre VIII (lire: XI) contient diverses dispositions finales. L’article 17 organise le règlement des litiges entre les parties par une juridiction de coopération. L’article 18 charge la Conférence interministérielle Santé publique de surveiller la mise en œuvre et le respect des dispositions de l’accord de coopération, et de proposer des adaptations. L’article 19 règle l’entrée en vigueur rétroactive de l’accord de coopération (paragraphe 1er) et prévoit la possibilité de sa résiliation par un nouvel accord de coopération (paragraphe 2)

COMPÉTENCE

6. Ainsi qu’il a déjà été exposé dans les observations 3 et 4, les avis nos 67.425/3-67.426/3-67.427/3 et n° 67.424/3 avaient conclu à la nécessité de conclure un accord de coopération entre l’autorité fédérale et les communautés pour les dispositifs visés en matière de traitement des données à caractère personnel relatifs au traçage manuel et numérique des contacts. Même si l’accord de coopération auquel on entend porter assentiment remanie en profondeur le contenu des deux propositions de loi qui ont fait l’objet de ces avis, la conclusion reste cependant identique en ce qui concerne les compétences, et ce sous réserve de ce qui suit.

6.1. Par le décret spécial du 3 avril 2014 et les décrets des 4 et 11 avril 2014 “relatif[s] aux compétences de la Communauté

française dont l’exercice est transféré à la Région wallonne et à la Commission communautaire française”, la Communauté française, la Commission communautaire française et la Région wallonne ont respectivement décidé d’un commun accord, conformément à l’article 138 de la Constitution, que la Région wallonne et la Commission communautaire française exercent, notamment, la compétence de la Communauté française en matière de politique de santé, visée à l’article 5, § 1er, I, de la loi spéciale du 8 aout 1980 “de réformes institutionnelles”, dont la compétence communautaire en matière d’établissements de soins, y compris les hôpitaux (à l’exception des hôpitaux universitaires) et en matière de médecine préventive (à l’exception notamment “des activités et services de médecine préventive destinés aux nourrissons, aux enfants, aux élèves et aux étudiants” et “de ce qui relève des missions confiées à l’Office de la Naissance et de l’Enfance (ONE)”)17.

Dans la mesure où la réglementation inscrite dans l’accord de coopération comporte également des obligations pour les établissements de soins, parmi lesquels les hôpitaux18, il s’impose qu’outre les parties actuelles à l’accord de coopération, la Communauté française et la Commission communautaire française y soient également associées en tant que parties. La Communauté française a en effet conservé l’exercice de sa compétence de principe pour imposer des obligations aux hôpitaux universitaires établis dans la région de langue française et aux hôpitaux universitaires établis dans la région bilingue de Bruxelles-Capitale qui, en raison de leur organisation, doivent être considérés comme appartenant exclusivement à la Communauté française19.

Pour sa part, la Commission communautaire française exerce la compétence de principe pour imposer des obligations aux hôpitaux privés établis dans la région bilingue de Bruxelles-Capitale qui, en raison de leur organisation, doivent être considérés comme appartenant exclusivement à la Communauté française20. À ce sujet, les délégués21 ont déclaré ce qui suit: “[T]ijdens verschillende [interkabinettenwerkgroepen] heeft de Franse Gemeenschapscommissie zelf aangegeven dit deel Gemeenschapscommissie te willen regelen.

Hierdoor is de Franse Gemeenschapscommissie uiteindelijk geen partij meer digd door de Gemeenschappelijke Gemeenschapscommissie”. Article 3, 6°, des décrets précités. Voir les articles 2, § 1er, et 6, § 3, alinéa 2, de l’accord de coopération. Voir l’article 128, § 2, de la Constitution, ainsi que l’article 3, 6°, des décrets précités. La mention “les délégués” vise ici (et également dans la suite du présent avis) les délégués qui ont été désignés dans la demande d’avis sur l’avant-projet de loi d’assentiment, qui a donné lieu à l’avis n° 67.719/VR.

Les règles répartitrices de compétences sont des règles de droit contraignantes d’ordre public qui ne se prêtent pas à des mécanismes, tels que la renonciation ou la représentation par accord mutuel entre autorités. Il faut dès lors en conclure qu’il y a lieu d’appeler tant la Communauté française que la Commission communautaire française à être parties à l’accord de coopération. S’il en résulte que des adaptations de fond sont apportées à la réglementation portée par l’accord de coopération, les avant-projets de textes d’assentiment à l’accord de coopération adapté devront à nouveau être soumis pour avis au Conseil d’État.

6.2. Tant l’intitulé que le dispositif de l’accord de coopération font systématiquement référence aux “autorités régionales”. L’expression “autorités régionales” ne permet toutefois pas de désigner valablement les autorités communautaires qui sont (ou sont appelées) à être parties à l’accord de coopération. Il convient dès lors d’omettre le mot “régionales” de l’intitulé et du dispositif de l’accord de coopération

FORMALITÉS PRÉALABLES

7.1. L’article 14 de l’accord de coopération, qui concerne les applications de traçage numérique des contacts, comporte un certain nombre de règles techniques au sens de l’article premier, paragraphe 1, f), de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 “prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information”, et plus particulièrement des règles relatives aux services de la société de l’information au sens de l’article premier, paragraphe 1, e), de cette directive.

Conformément à l’article 5 de la directive (UE) 2015/1535, de telles règles techniques doivent être notifiées à la Commission européenne. Dans ce cas, un délai d’attente de trois mois (au moins) s’applique avant que la proposition de loi puisse être adoptée, conformément à l’article 6 de la directive. Toutefois, conformément à l’article 6, paragraphe 7, ce délai d’attente ne s’applique pas lorsqu’un État membre, pour des raisons urgentes tenant à une situation grave et imprévisible qui a trait à la protection (notamment) de la santé des personnes, doit élaborer à très bref délai des règles techniques pour les arrêter et les mettre en vigueur aussitôt, sans qu’une consultation soit possible.

Dans ce cas, la communication à la Commission est toujours requise; la communication doit mentionner le motif qui justifie l’urgence. La Commission se prononce ensuite sur la communication dans les plus brefs délais. Par conséquent, la proposition doit être notifiée à la Commission européenne, l’urgence de son adoption pouvant alors être exposée pour justifier le non-respect du délai d’attente prescrit22.

7.2. La question se pose en outre de savoir si l’article 14 de l’accord de coopération relève du champ d’application de Voir dans le même sens l’avis n° 67.424/3, observation 10.

la directive “services”23. La mise à disposition d’une application numérique de traçage de contacts doit être considérée comme un service qui peut éventuellement être fourni contre rémunération, que cette rémunération émane de l’autorité ou – éventuellement par voie de recettes publicitaires – de l’utilisateur. L’accord de coopération ne garantit nullement que les applications sont proposées en tant que service non économique d’intérêt général24.

L’exception pour les services de soins de santé25 ne peut non plus être invoquée, dès lors que les applications ne concernent pas des activités réservées à une profession de santé réglementée dans l’État membre où le service est fourni26. Il est dès lors possible que la directive “services” s’applique27, de sorte que la disposition précitée de l’accord de coopération doit être examinée au regard des articles 14 et 15 de cette directive en ce qui concerne les exigences prévues pour l’exercice d’une activité de service sur le territoire de la Belgique28.

À première vue, l’accord de coopération ne semble pas contenir d’exigences interdites au sens de cet article 14, ni d’exigences non discriminatoires au sens de cet article 15, paragraphe 2. Le Conseil d’État ne dispose toutefois pas des connaissances techniques requises concernant les exigences spécifiques relatives aux applications numériques de traçage de contacts pour pouvoir apprécier ce point de manière concluante.

Le cas échéant, une notification à la Commission européenne, conformément à l’article 15, paragraphe 7, de la directive “services” pourrait être néanmoins encore requise29

EXAMEN DE

L’ACCORD DE COOPÉRATION OBSERVATIONS GÉNÉRALES A. Version allemande authentique de l’accord de coopération 8. Il n’existe pas encore de version allemande authentique de l’accord de coopération signée par toutes les parties. Les délégués ont déclaré que cette version était encore en préparation au moment où la demande d’avis a été introduite. Les versions authentiques en français et en néerlandais de l’accord de coopération ayant été signées, notamment, par le ministre-Président et le ministre compétent de la Communauté germanophone, et compte tenu de l’urgence de la réglementation contenue dans l’accord de coopération, le Conseil d’État peut exceptionnellement admettre que l’absence de la version Directive n° 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 “relative aux services dans le marché intérieur”.

Voir l’article 2, paragraphe 2, a), de la directive “services”. Voir l’article 2, paragraphe 2, f), de la directive “services”. Manuel relatif à la mise en œuvre de la directive “services”, Commission européenne, 2007, p. 12. Voir également le considérant 22 de la directive “services”. Les motifs d’exception prévus à l’article 2, paragraphe 2, c) et i), ne semblent en tout cas pas non plus s’appliquer en l’espèce.

Puisqu’un régime d’autorisation n’est en effet pas prévu, il n’y a pas lieu d’effectuer un contrôle au regard des articles 9 à 13 de la directive “services”. Voir dans le même sens l’avis n° 67.424/3, observation 11.

allemande authentique de l’accord de coopération ne porte pas atteinte à la recevabilité de la demande d’avis.

B. Compatibilité avec la norme supérieure en matière de protection des données à caractère personnel 9. L’accord de coopération à l’examen envisage des traitements de données à caractère personnel qui constituent des ingérences dans le droit au respect de la vie privée des personnes concernées, garanti notamment par l’article 22 de la Constitution et l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (ci-après: CEDH).

Pour être admissible au regard des dispositions précitées, l’ingérence dans l’exercice du droit au respect de la vie privée doit être définie en des termes clairs et suffisamment précis qui permettent d’appréhender de manière prévisible les hypothèses dans lesquelles le législateur autorise une pareille ingérence. Toute ingérence dans le droit au respect de la vie privée doit, en outre, reposer sur une justification raisonnable et être proportionnée aux buts poursuivis par le législateur30.

Si les ingérences prévues par l’accord de coopération à l’examen poursuivent un objectif légitime, à savoir la protection de la santé ainsi que la protection des droits et libertés d’autrui31, il convient de vérifier le respect des exigences de légalité, de pertinence et de proportionnalité tant pour le traçage manuel que pour le traçage numérique des contacts que règle l’accord de coopération. 1. Le principe de légalité inscrit à l’article 22 de la Constitution 10.1.

Conformément à l’article 22 de la Constitution, tout traitement de données à caractère personnel et, plus généralement, toute atteinte au droit à la vie privée, sont soumis au respect d’un principe de légalité. En réservant au législateur compétent le pouvoir de fixer dans quels cas et à quelles conditions il peut être porté atteinte au droit au respect de la vie privée, l’article 22 de la Constitution garantit à tout citoyen qu’aucune ingérence dans l’exercice Avis n° 63.192/2 donné le 19 avril 2018 sur l’avant-projet devenu la loi du 30 juillet 2018 “relative à la protection des personnes personnel”, Doc. parl., Chambre, 2017-2018, n° 54-3126/1, pp.

402 à 456, http://www .raadvst -consetat .be /dbx /avis /63192 .pdf; avis n° 63.202/2 donné le 28 avril 2018 sur l’avant-projet devenu la loi du 5 septembre 2018 “instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE”, Doc. parl., Chambre, 2017-2018, n° 54- 3185/1, pp.

120 à 145, http://www .raadvst -consetat .be /dbx /avis /63202 .pdf. Article 8, § 2, de la CEDH.

de ce droit ne peut avoir lieu qu’en vertu de règles adoptées par une assemblée délibérante, démocratiquement élue. Une délégation à un autre pouvoir n’est toutefois pas contraire au principe de légalité, pour autant que l’habilitation soit définie de manière suffisamment précise et porte sur l’exécution de mesures dont les éléments essentiels sont fixés préalablement par le législateur32. 10.2. Par conséquent, les éléments essentiels des traitements de données à caractère personnel doivent être fixés dans la loi elle-même33.

10.3. Le principe de légalité en matière de traitement des données à caractère personnel s’oppose à une définition trop vague des éléments essentiels du régime en la matière figurant dans l’accord de coopération. Un certain nombre de dispositions de l’accord de coopération font état de données qui sont “nécessaires” pour établir le contact avec les personnes qui y sont mentionnées34 ou d’informations ou de critères qui sont “pertinent(e)s” pour certaines situations35.

Compte tenu notamment de l’importance d’un fonctionnement rapide et adéquat du traçage des contacts et du traitement des données y afférent, il peut être admis que les données concernées ne soient pas énumérées de manière exhaustive dans l’accord de coopération même. L’article 9, § 1er, 13°, de l’accord de coopération fait mention des “données communiquées au centre de contact, en ce compris les symptômes, la date des premiers symptômes, les déplacements, le suivi des mesures d’isolement et d’hygiène”.

Une telle définition des données à traiter, qui implique que toutes les données communiquées peuvent faire l’objet d’un traitement, est trop large et doit être expressément limitée aux données qui sont pertinentes pour le traçage des contacts. La circonstance que ces données sont pseudonymisées 36 ne change rien à cette constatation. 32 Jurisprudence constante de la Cour constitutionnelle: voir notamment C.C., 18 mars 2010, n° 29/2010, B.16.1; C.C., 20 février 2020, n° 27/2020, B.17.

Voir notamment l’avis n° 64.879/4 donné le 4 février 2019 sur un avant-projet devenu le décret de la Région wallonne du 2 mai 2019 “modifiant le Code wallon de l’action sociale et de la santé en ce qui concerne la prévention et la promotion de la santé” Doc. parl., Parl. wall., 2018-2019, n° 1332/1, pp. 25 à 35, http://www .raadvst -consetat .be /dbx /avis /64879 .pdf et l’avis n° 66.443/1/V donné le 29 aout 2019 sur un projet devenu l’arrêté royal du 9 février 2020 “relatif à l’enregistrement des déclarations de volonté concernant le prélèvement de matériel corporel humain, y compris les organes, après le décès”, http://www .raadvst -consetat .be /dbx /avis /66443 .pdf.

Voir l’article 6, § 4, 12°, et § 5, 7°, l’article 7, § 2, 6°, et § 3, 7°, l’article 9, § 2, 8°, et l’article 14, § 4, alinéa 2, de l’accord de Voir l’article 6, § 5, 9° et 10°, l’article 7, § 3, 9° et 10°, et l’article 9, § 2, 9°, de l’accord de coopération. Voir l’article 9, § 1er, phrase introductive, de l’accord de coopération.

10.4.1. Certaines délégations contenues dans l’accord de coopération à l’examen concernent des éléments essentiels dont le règlement est réservé au législateur par l’article 22 de la Constitution. Tel est en particulier le cas: — de l’habilitation contenue à l’article 11, § 4, de l’accord de coopération, dans la mesure où elle délègue la compétence de “modifier ou compléter les catégories de données à caractère personnel traitées dans les bases de données”; — des articles 11, § 3, et 12, § 1er, de l’accord de coopération qui habilitent la Chambre “Sécurité sociale et Santé” du Comité de la sécurité de l’information, à définir et préciser les données à caractère personnel spécifiques pouvant être traitées et communiquées, pour chaque finalité de traitement, ainsi que les modalités en la matière37.

En effet, comme la section de législation l’a déjà fait observer dans son avis nos 67.425/3-67.426/3-67.427/3: “Dans la mesure où les délégations proposées se rapportent à des catégories supplémentaires de données à caractère personnel ou à des finalités supplémentaires de traitement de telles données, les catégories et finalités visées doivent être réglées dans le texte de la proposition et elles ne peuvent pas être déléguées par le législateur.

Par contre, s’il s’agit uniquement de poursuivre la concrétisation de catégories et de finalités déjà définies dans la proposition, ladite concrétisation peut être déléguée38”. L’accord de coopération sera revu en conséquence. 10.4.2. En outre, certains aspects de la délégation faite par l’article 14, § 9, de l’accord de coopération à un accord de coopération d’exécution pour ce qui concerne les modalités de fonctionnement de l’application numérique de traçage des contacts touchent également à des éléments essentiels devant être réglés par le législateur conformément à l’article 22 de la Constitution.

Ainsi, des éléments comme la description des traitements résultant de l’utilisation de l’application numérique de traçage des contacts (§ 9, 2°), les modes d’information des utilisateurs (§ 9, 6°) et la procédure de contrôle (§ 9, 7°) devraient être mieux encadrés dans l’accord de coopération à l’examen. L’accord de coopération sera par conséquent adapté et complété à cet égard. Voir par ailleurs l’observation particulière sous les articles 11 et 12.

Note de bas de page n° 15 de l’avis cité: Comparer avec C.C., 4 avril 2019, n° 49/2019, B.46.7 et B.47.2.

applications. En effet, conformément au principe de minimisation des données, ce traitement doit être limité à ce qui est nécessaire pour atteindre les objectifs visés. Il importe donc de concilier ce principe de nécessité avec un taux de couverture suffisamment élevé. À cet égard, il faut également relever l’analyse d’impact relative à la protection des données que le responsable du traitement doit effectuer avant le début des opérations de traitement, conformément à l’article 35 du RGPD, “[l]orsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques”.

Tel est également le cas en l’espèce41, comme le confirme d’ailleurs l’article 14, § 8, de l’accord de coopération, de sorte que cette analyse d’impact devra de toute façon être effectuée, de préférence préalablement à l’assentiment parlementaire. Contrairement à la proposition de loi citée dans l’observation 4, l’accord de coopération ne prévoit pas d’évaluation de la réglementation portée par l’accord de coopération lui-même.

L’avis 67.424/3 a souligné l’importance d’une telle évaluation, “[d]ès lors qu’il s’agit en l’occurrence d’une nouvelle technologie et eu égard à l’importance d’un suivi minutieux de la mise en balance précitée entre un taux de couverture suffisamment élevé et le principe de nécessité du traitement de données à caractère personnel accompagnant les applications”. Les délégués ont justifié l’absence d’une telle obligation d’évaluation dans l’accord de coopération comme suit: “Aangezien het samenwerkingsakkoord slechts een algemeen kader voorziet voor de contactopsporingsapplicatie, immers moeten plaatsvinden op het niveau van de deelstaten. de gehele aanpak van deze crisis zal gebeuren, derhalve het inzetten van een digitale contactopsporingsapplicatie”.

11.4. Par ailleurs, au regard du respect du principe minimisation des données, se pose la question de savoir comment assurer le respect de la réglementation en matière de traçage numérique des contacts. L’accord de coopération à l’examen se contente de déléguer à un accord de coopération d’exécution le soin de prévoir “la procédure de contrôle du bon fonctionnement de l’application de traçage des contacts”42.

À cet égard, la section de législation a déjà fait observer que: “Mieux vaut sans doute prévoir des sanctions administratives ou pénales pour la mise à disposition d’applications non conformes”43. Voir en ce sens également l’avis n° 34/2020 du 28 avril 2020 de l’Autorité de protection des données, observations 23 et 48. Article 14, § 9, 7°, de l’accord de coopération. Avis n° 67.424/3, observation 15.2.

11.5. La question de la fin du traçage numérique des contacts se pose également au regard du respect du principe de minimisation des données. À cet égard, l’article 14, § 3, 10°, de l’accord de coopération dispose que “Le journal central des enregistrements de la Base de données V est en tout cas désactivé dès qu’il est établi par un accord de coopération d’exécution visé à l’article 92bis, § 1er, troisième alinéa de la loi spéciale du 8 aout 1980 de réformes institutionnelles que ces enregistrements ne sont plus nécessaires pour gérer la fin de la stratégie de déconfinement; le journal central des enregistrements est désactivé automatiquement au plus tard après 1 an, sauf s’il est décidé par un accord de coopération d’exécution qu’une prolongation de cette période est indispensable”.

Les auteurs de l’accord de coopération doivent être en mesure d’expliquer pourquoi la désactivation prévue ne concerne que le journal central des enregistrements et non l’application numérique de traçage des contacts dans son entièreté. De manière plus générale, afin de satisfaire à l’exigence de proportionnalité, il convient de prévoir une fin de validité précise pour l’ensemble des mesures prévues par l’accord de coopération44.

3. Le principe d’intégrité et de confidentialité 12. Le respect du principe d’intégrité et de confidentialité (article 5, paragraphe 1, f), du RGPD) exige enfin que des garanties suffisantes soient mises en place pour prévenir tout abus de cette ingérence dans la vie privée. L’accord de coopération contient plusieurs garanties pour éviter tout abus, telles la publication du code source, l’utilisation volontaire de l’application numérique, l’absence de désavantage en cas de non-utilisation de celle-ci et la nonidentification des utilisateurs.

La question se pose toutefois de savoir si ces différentes garanties sont suffisantes pour prévenir tout abus et limiter autant que possible l’ingérence. L’accord de coopération impose le recours au protocole “DP3T”. Le commentaire général indique que ce système “devrait permettre de minimiser l’ingérence dans la sphère privée”. Comme le souligne l’Autorité de protection des données, il conviendrait toutefois de compléter ce commentaire par des explications quant aux “composantes essentielles du protocole DP3T, des garanties qu’il offre, des risques subsistant et des raisons pour lesquelles il faut conclure au caractère néanmoins proportionné des traitements de données qui seraient effectués”45.

Voir l’observation particulière sous l’article 19. Avis n° 43/2020, p. 16.

Outre les difficultés que le procédé soulève au regard du principe de légalité46, la section de législation relève que l’accord de coopération laisse à un futur accord de coopération d’exécution le soin de définir diverses garanties: la description du système de traçage, les définitions des concepts importants tels que le contact à risque, le code d’autorisation, la clé sécurisée et le numéro de série temporaire non personnalisé47, les garanties spécifiques pour limiter le risque de réidentification et la manière dont les personnes seront informées du fonctionnement de l’application numérique et la procédure de contrôle du bon fonctionnement de celle-ci (article 14, § 9, de l’accord de coopération à l’examen).

Il s’ensuit que la section de législation n’est pas en mesure d’évaluer à ce stade si des garanties suffisantes existeront pour éviter tout abus lors de l’utilisation des applications numériques de traçage des contacts.

C. Correspondance entre les textes français et

néerlandais de l’accord de coopération 13. Le texte de l’accord de coopération contient de nombreuses négligences sur le plan linguistique. L’accord de coopération doit dès lors encore faire l’objet d’un contrôle approfondi sur le plan de la rédaction et de la correction de la langue, en particulier en ce qui concerne la correspondance entre les textes français et néerlandais. À titre d’exemple, on peut relever ce qui suit: — dans le texte français de l’article 2, § 5, de l’accord de coopération, on remplacera chaque fois la mention “41ompétente sou” par “compétentes ou”; — à la fin du texte néerlandais de l’article 3, § 1er, 3°, de l’accord de coopération, on visera l’article 10, § 2, au lieu de l’article 11, § 2; — dans le texte néerlandais de l’article 10, § 3, de l’accord de coopération, il convient d’écrire “Gegevensbank I” au lieu de “Gegevensbank”. Voir ci-avant l’observation relative au respect du principe de légalité. À cet égard, l’Autorité de protection des données a également fait remarquer que “[p]ar ailleurs, le principe de minimisation du RGPD implique de ne traiter que des données strictement nécessaires et pertinentes pour la finalité poursuivie. Dès lors, au vu de la définition des contacts à haut risque déterminée par le SPF Santé publique et le Centre de crise (contact de moins de 1,5 mètres avec une personne contaminée pendant plus de 15 minutes), l’Autorité considère que seuls ces contacts (le cas échéant avec une marge d’erreur acceptable du type “contact de moins de 4 mètres de distance pendant plus de 10 minutes”) doivent être captés (d’autant plus que la technologie Bluetooth permet de capter les contacts jusqu’à 100 mètres, ce qui est manifestement disproportionné pour la finalité poursuivie). La rédaction de la finalité devra être revue sur cette base et une définition de la notion de “contact à risque” conforme aux recommandations officielles sera utilement intégrée à l’article 3 de la proposition de loi par souci de sécurité juridique” (avis n° 43/2020, point 27)

OBSERVATIONS PARTICULIÈRES PRÉAMBULE

14. Dès lors qu’il est étranger au fondement juridique de l’accord de coopération, l’alinéa 3 sera omis ou déplacé sous la forme d’un considérant. 15. L’alinéa 10 sera omis dès lors qu’il est redondant avec l’alinéa 4. 16. L’alinéa 15 sera omis dès lors que l’arrêté royal n° 18 du 4 mai 2020 “portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19” a cessé de produire ses effets le 30 juin 2020

DISPOSITIF

17.1. Dans la définition de “cluster”, à l’article 1er, § 1er, 2°, de l’accord de coopération, les mots “des collectivités ou des communautés” seront remplacés par les mots “des collectivités”, le terme “communauté” figurant déjà dans la définition de “collectivité” à l’article 1er, § 1er, 3°. 17.2. L’article 1er, § 1er, 6°, de l’accord de coopération fait état d’un accord de coopération conclu entre l’INAMI et Sciensano.

Les délégués ont déclaré que, ce faisant, il est fait référence à la base de données créée auprès de Sciensano en exécution d’une convention de collaboration avec l’INAMI, visée à l’article 22, 20°, de la loi “relative à l’assurance obligatoire soins de santé et indemnités”, coordonnée le 14 juillet 199448. Par souci de clarté, mieux vaudrait faire référence à cette disposition législative. Cette observation vaut également pour l’article 3, § 1er, 4°, et l’article 15, § 2, de l’accord de coopération.

18. L’article 1er, § 6, alinéa 2, de l’accord de coopération prévoit que “par dérogation à l’article 458 du Code pénal, les personnes contactées sont relevées de leur obligation de garder le secret dans le cadre du présent accord de coopération”. Au regard du principe de légalité en matière pénale, il conviendrait d’indiquer plus précisément de quelles personnes il s’agit. Les délégués ont en tout cas fait savoir qu’il s’agit des personnes contactées par les centres de contact, à savoir les Personnes de catégorie II dans la mesure où le test de dépistage du COVID-19 a révélé qu’elles sont infectées, de même que les Personnes de catégorie III.

19. L’article 3, § 2, 2°, B, de l’accord de coopération fait mention des Personnes de catégorie V et VI, alors que son Ajouté par la loi 10 avril 2014 “portant des dispositions diverses en matière de santé”.

article 7, § 4, auquel il est renvoyé, mentionne uniquement les Personnes de catégorie

VI. Les délégués ont reconnu qu’il

s’agit d’une erreur matérielle, qui sera rectifiée. 20. Tel qu’il est formulé, l’article 3, § 3, de l’accord de coopération donne à penser que les équipes mobiles et les inspections d’hygiène compétentes ne peuvent pas traiter les données à caractère personnel des Personnes de catégorie

IV. Les auteurs de l’accord de coopération vérifieront si telle est l’intention et, le cas échéant, adapteront la disposition concernée. 21. À l’article 5, § 4, de l’accord de coopération, il y a probablement lieu d’écrire “Base de données III” au lieu de “Base de données I”. 22. L’article 6, §§ 2 et 4, de l’accord de coopération renvoie au numéro NISS ainsi qu’au numéro d’identification du Registre national.

Le choix d’utiliser ces numéros d’identification49 est justifié dans le commentaire général de l’accord de coopération comme suit: “En vue de l’identification sans équivoque des personnes concernées (c’est-à-dire les patients hospitalisés, les personnes infectées ou les personnes gravement suspectées d’être infectées) et de la mise en relation des données collectées, il est absolument indispensable de conserver également le numéro d’identification de sécurité sociale des personnes concernées dont les données sont traitées dans la Base de données I et de permettre un accès général au registre national.

Cela soulage également les médecins, les hôpitaux et les laboratoires qui mettent les informations à disposition (c’est-à-dire les informateurs), car ils n’ont à fournir que les données qui ne se trouvent pas dans le registre national. Étant donné que l’ensemble du système de soins de santé en Belgique repose sur l’utilisation du numéro du registre national pour identifier effectivement un patient, ce numéro est également essentiel pour le traitement dans le cadre du suivi manuel des contacts, en vue d’identifier correctement la personne index ainsi que les personnes avec lesquelles la personne index a été en contact”.

Les délégués ont encore apporté la précision complémentaire suivante: de sociale zekerheid als uniek identificatienummer in de gezondheidssector is overigens geregeld door artikel 8 van de wet van 21 augustus 2008 houdende oprichting en organisatie arrest 29/2010 van 18 maart 2010 geoordeeld dat “rekening Voir aussi la critique formulée dans l’avis n° 42/2020 de l’Autorité de protection des données du 25 mai 2020, observation 19.

houdend met de waarborgen waarin de wet van 21 augustus 2008 voorziet met betrekking tot de vertrouwelijkheid van de persoonlijke gezondheidsgegevens gedurende de verwerking ervan door het eHealth-platform, is de keuze om gebruik te maken van het rijksregisternummer, als identificatiesleutel, in redelijkheid verantwoord””. Ainsi que les délégués l’ont eux-mêmes suggéré, mieux vaudrait faire figurer cette explication complémentaire dans le commentaire général précité.

23. L’article 6, § 5, 7°, de l’accord de coopération mentionne comme l’une des catégories de données à caractère personnel à traiter dans la Base de données I “les données nécessaires permettant au centre de contact et aux équipes mobiles de prendre tous autres contacts utiles avec la personne visée au présent paragraphe et la liste des personnes avec lesquelles la personne visée au présent paragraphe a eu des contacts, en ce compris le code postal et la langue, ainsi que le risque estimé de contagion de la personne visée au présent paragraphe”.

On n’aperçoit toutefois pas clairement le rapport entre les coordonnées des personnes concernées et le risque estimé d’infection. En outre, cette dernière donnée semble faire double emploi avec ce que mentionne l’article 6, § 5, 9°, de l’accord de coopération. Cette observation s’applique mutatis mutandis également à l’article 7, § 3, 7° et 9°, de l’accord de coopération. 24. L’article 8, 1°, de l’accord de coopération fait état du “numéro d’identification provenant d’une source authentique”.

Les délégués ont déclaré que l’on vise ainsi le Registre national et la Banque-carrefour de la sécurité sociale. Mieux vaudrait le préciser. 25. Les délégués ont confirmé que l’article 10, § 1er, de l’accord de coopération fait erronément référence aux Personnes de catégorie

V. Dès lors la mention de cette catégorie sera

omise. 26. Les délégués ont également confirmé que la mention générale de “maladies infectieuses” à l’article 10, § 2, de l’accord de coopération est erronée et qu’il y a spécifiquement lieu de faire mention du COVID-19.

Art. 11 et 12

27. Les articles 11, § 3, et 12, § 1er, de l’accord de coopération prévoient une délégation de pouvoir réglementaire à la chambre “Sécurité sociale et Santé” du Comité de sécurité de

l’information, en ce qui concerne certains aspects de la réglementation du traitement des données à caractère personnel. L’attribution d’un pouvoir réglementaire à un organisme public, comme le Comité de sécurité de l’information50, n’est en principe pas conforme aux principes généraux de droit public en ce qu’il est ainsi porté atteinte au principe de l’unité du pouvoir réglementaire et qu’un contrôle parlementaire direct fait défaut.

En outre, les garanties dont est assortie la réglementation classique, telles que celles en matière de publication, de contrôle préventif exercé par le Conseil d’État, section de législation, et de rang précis dans la hiérarchie des normes, sont absentes. Pareilles délégations ne se justifient dès lors que dans la mesure où elles sont très limitées et ont un caractère non politique, en raison de leur portée secondaire ou principalement technique.

Les organismes qui doivent appliquer la réglementation concernée doivent être soumis à cet égard tant à un contrôle juridictionnel qu’à un contrôle politique51. Par ailleurs, le Comité de sécurité de l’information est un organisme fédéral et une délégation de pouvoir réglementaire à un tel organisme s’analyse comme un abandon de compétences de la part des entités fédérées qui sont parties à l’accord de coopération.

En conclusion, les délégations visées accordées au Comité de sécurité de l’information doivent être transformées en délégations à un accord de coopération d’exécution, à l’instar de l’article 14, § 9, de l’accord de coopération, pour autant du moins qu’il ne règle aucun nouvel élément essentiel du traitement des données à caractère personnel, mais concrétise tout au Voir d’ailleurs à cet égard la critique qu’avait déjà formulée le Conseil d’État en la matière dans son avis C.E. 63.202/2 du 26 avril 2018 sur un avant-projet devenu la loi du 5 septembre 2018 “instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE”, Doc. parl., Chambre, 2017-18, n° 54-3185/001, pp. 140-142.

Comparer avec les critères d’évaluation qu’utilise la Cour constitutionnelle pour apprécier les délégations de pouvoir réglementaire par le législateur à une autorité administrative autonome ou à un organisme public décentralisé; voir C.C., 11 juin 2015, n° 86/2015, B.22.4 et C.C., 9 juin 2016, n° 89/2016, B.9.6.4: “Les articles 33, 105 et 108 de la Constitution ne s’opposent pas à ce que, dans une matière technique déterminée, le législateur confie des compétences exécutives spécifiques à une autorité administrative autonome soumise tant au contrôle juridictionnel qu’au contrôle parlementaire et n’interdisent pas au législateur d’accorder des délégations à un organe exécutif, pour autant qu’elles portent sur l’exécution de mesures dont le législateur compétent a déterminé l’objet, en particulier dans les matières techniques et complexes”; voir C.C., 9 novembre 2015, n° 162/2015, B.8.4: “L’article 33 de la Constitution et l’article 20 de la loi spéciale du 8 aout 1980 ne s’opposent pas à ce que le législateur confie des compétences exécutives spécifiques à un organisme public décentralisé qui est soumis à une tutelle administrative et à un contrôle juridictionnel”.

plus ce qui découle déjà de l’actuel accord de coopération. Si cela ne s’avère pas possible, cet accord de coopération sera d’abord complété. 28. Outre les observations qui précèdent, la portée de l’article 11 de l’accord de coopération gagnerait à être clarifiée. En effet, la section de législation se demande, tout comme l’Autorité de protection des données, ce qu’il faut entendre par “Dans la mesure où cela n’est pas repris dans le présent accord de coopération, tant la communication de données à caractère personnel à Sciensano pour traitement dans la Base de données I que la communication ultérieure de ces données à caractère personnel par Sciensano à des tiers ont toujours lieu après délibération de la Chambre “Sécurité sociale et Santé” du Comité de sécurité de l’information […]”.

Comme le relève l’Autorité de protection des données, “Chaque prestataire de soin (y compris donc chaque médecin) ou organisation de la santé ou de soin doit-il systématiquement soumettre chacune de ses communications à une délibération du Comité de sécurité de l’information? Cette approche semble très lourde administrativement. Ou s’agit-il d’une délibération par catégorie de source et quelles sont alors les différentes catégories?”52.

Par souci de sécurité juridique, la formulation de l’article 11 sera revue. 29. L’article 12, § 3, de l’accord de coopération impose une délibération de la Chambre Sécurité sociale et Santé du Comité de sécurité de l’information “dans la mesure où la communication de ces données à caractère personnel supplémentaires est nécessaire aux finalités de traitement définies à l’article 3”. Ainsi formulée, la disposition manque de clarté.

Si telle est l’intention, elle sera revue afin d’énoncer que l’autorisation ne peut être accordée qu’à la condition que la communication des données à caractère personnel supplémentaires soit nécessaire aux finalités de traitement définies à l’article 3. 30. Dans un souci de sécurité juridique, la terminologie utilisée à l’article 14 de l’accord de coopération pour désigner “l’application numérique de traçage des contacts” sera uniformisée.

Avis n° 36/2020, point 36.

la “couche application”. La formulation de cette disposition sera par ailleurs revue. 34. L’article 14, § 5, alinéa 1er, dispose que l’installation, l’utilisation et la désinstallation de l’application numérique de traçage des contacts par un utilisateur se font exclusivement de manière volontaire. À cet égard, la section de législation a déjà fait observer ce qui suit: “La question se pose toutefois de savoir si cette disposition, dans sa formulation générale, tient compte suffisamment de l’article 8 du RGPD, qui fixe des conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information et qui prescrit que pour les enfants âgés de moins de 16 ans (ou qui éventuellement ne sont pas âgés de moins de 13 ans)55, le consentement doit être donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Compte tenu des moyens technologiques disponibles, le responsable du traitement doit raisonnablement s’efforcer de vérifier que ce consentement requis est donné (ou autorisé). Bien que la disposition réglementaire précitée soit directement applicable et qu’elle soit dès lors contraignante pour le responsable du traitement, il peut néanmoins être envisagé de compléter la proposition de loi par des dispositions qui concrétisent cette obligation pour l’application concernée”56.

Pareille observation peut être réitérée. 35. L’article 14, § 5, alinéa 2, dispose que “l’installation ou non, l’utilisation ou non et la désinstallation ou non de l’application mobile de l’application numérique de traçage des contacts ne peuvent donner lieu à […] aucun avantage ou désavantage”. “Il est probablement impossible de définir de manière concluante les termes “quelconque avantage ou désavantage” dans le texte de la proposition même, mais il n’en demeure pas moins que sur la base du texte actuel et de ses développements, on n’aperçoit pas clairement si, par exemple, l’application peut être liée à d’autres applications intéressantes pour l’utilisateur ou si certaines réductions peuvent être associées à l’utilisation de l’application, etc.

Il est dès lors conseillé de développer quelque peu la casuistique dans le cadre des débats parlementaires”57. Interrogés à cet égard, les délégués ont apporté les précisions suivantes: verplichten om de contactopsporingsapplicatie te installeren. Note de bas de page n° 29 de l’avis cité: Si l’on choisit d’appliquer un âge inférieur à 16 ans, conformément à l’article 8, paragraphe 1, deuxième alinéa, du RGPD.

Avis n° 67.424/3. Ibidem.

om een duidelijke communicatie ten aanzien van de burger de applicatie”. Si telle est l’intention, l’article 14, § 7, alinéa 2, sera omis. 38. Il convient de compléter l’article 14 afin de préciser qui est chargé de décider quelle(s) application(s) seront mises à disposition du public, après vérification de leur conformité aux règles édictées dans l’accord de coopération59 et qui sera par la suite chargé de leur désactivation à l’échéance de la période de validité d’utilisation de celle(s)-ci60.

39.1. À l’instar de ce qui figure dans le commentaire général de l’accord de coopération s’agissant du délai de soixante jours retenu pour les données de la Base de données centrale, il conviendrait de justifier le choix des délais de conservation des données à caractère personnel retenus pour les autres Bases de données. En particulier, l’article 15, § 1er, alinéa 1er, de l’accord de coopération prévoit que les données à caractère personnel de la Base de données IV sont soit mises à jour tous les dix ans, soit supprimées.

Interrogés à cet égard, les délégués ont répondu ce qui suit: “Na een termijn van 10 jaar worden de gegevens ofwel gewist, ofwel nagekeken op hun accuraatheid en indien nodig geüpdatet. Indien in geval van niet-accurate gegevens updaten onmogelijk is of niet opportuun, zullen de gegevens tiviteiten. In geval van uitbraken van andere infectieziekten, zal dit immers zeer nuttig zijn”. Cette absence de délai maximal de conservation pour ces données à caractère personnel n’est toutefois pas conforme à l’article 5, paragraphe 1, e), du RGDP, qui prescrit que “les données à caractère personnel doivent être […] conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées”61.

Voir dans le même sens l’avis de l’Autorité de protection des données n° 43/2020, point 21. Ibidem, point 35. Voir également l’avis nos 37 748 et 37.749/AG donné le 23 novembre 2004 sur un avant-projet devenu la loi du 3 mai 2005 “modifiant la loi du 11 décembre 1998 relative à la classification et aux habilitations de sécurité” (37.748/AG) et sur un avant-projet devenu la loi du 3 mai 2005 “modifiant la loi du 11 décembre 1998 portant création d’un organe de recours en matière d’habilitation de sécurité” (37.749/AG), Doc. parl., Chambre, 2004-2005, nos 51-1598/1 et 51-1599/1, pp.

45 à 77, http://www .raadvst -consetat .be /dbx /avis /37748 .pdf.

één partij optreedt als een single point of contact die alle verzoeken van de betrokkenen behandeld”. Les responsabilités respectives de Sciensano, des autorités et agences compétentes concernées en ce qui concerne l’exercice des droits de la personne concernée et la fourniture d’information ne peuvent pas être fixées par le biais d’un règlement conclu entre Sciensano, les entités fédérées et les agences.

Un tel instrument peut certes être utile pour harmoniser et coordonner la politique, mais les accords qu’il contient doivent être traduits dans des règles de droit formelles, d’autant plus qu’il s’agit précisément de l’exercice des droits des particuliers et de leur information. 42.1. Il convient de mentionner l’intitulé complet de la loi spéciale du 8 aout 1980 “de réformes institutionnelles”. 42.2. Comme en ont convenu les délégués, conformément à l’article 92bis, § 5, alinéas 4 et 8, de la loi spéciale du 8 aout 1980, l’accord de coopération sera complété par le règlement du mode de désignation des membres de la juridiction autres que le président et par le règlement des frais de fonctionnement de la juridiction62.

43. Conformément à l’article 19, § 1er, de l’accord de coopération, celui-ci entre en vigueur (lire: produit ses effets) le 4 mai 2020. La non-rétroactivité des règles au niveau hiérarchique d’une norme législative est une garantie ayant pour but de prévenir l’insécurité juridique. Cette garantie exige que le contenu du droit soit prévisible et accessible, de sorte que le justiciable puisse prévoir, à un degré raisonnable, les conséquences d’un acte déterminé au moment où cet acte est accompli.

La rétroactivité peut uniquement être justifiée lorsqu’elle est indispensable à la réalisation d’un objectif d’intérêt général63. En l’occurrence, la rétroactivité poursuit un objectif d’intérêt général, à savoir le maintien d’un cadre juridique offrant une sécurité juridique suffisante pour lutter contre la pandémie de COVID-19. Ainsi qu’il a déjà été exposé dans les avis Voir Y. PEETERS, De plaats van samenwerkingsakkoorden in het constitutioneel kader, Bruges, die Keure, 2016, pp.

329-330. 63 Jurisprudence constante de la Cour constitutionnelle, voir notamment: C.C., 21 novembre 2013, n° 158/2013, B.24.2; C.C., 19 décembre 2013, n° 172/2013, B.22; C.C., 29 janvier 2014, n° 18/2014, B.10; C.C., 9 octobre 2014, n° 146/2014, B.10.1; C.C., 22 janvier 2015, n° 1/2015, B.4; C.C., 7 mai 2015, n° 54/2015, B.12; C.C., 14 janvier 2016, n° 3/2016, B.22; C.C., 3 février 2016, n° 16/2016, B.12.1; C.C., 28 avril 2016, n° 58/2016, B.9.2; C.C., 9 février 2017, n° 15/2017, B.9.2.

67.425/3-67.427/3 et 67.424/3, un effet rétroactif peut, dans ces circonstances, être conféré aux dispositions de l’accord de coopération, qui correspondent sur le fond à la réglementation portée par l’arrêté royal n° 18 du 4 mai 2020, avec effet à la date d’entrée en vigueur de cet arrêté, soit le 4 mai 2020. Cette justification ne vaut cependant pas pour les nouveaux éléments qui ont été ajoutés à l’accord de coopération par rapport à l’arrêté royal n° 18 du 4 mai 2020.

Pour ce motif, il serait préférable de compléter l’article 19, § 1er, de l’accord de coopération comme suit: “, en ce qui concerne les dispositions qui correspondent sur le fond à l’arrêté royal n° 18 du 4 mai 2020 portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19, tel qu’il était applicable à partir du 4 mai 2020”. Cette justification ne s’applique pas non plus à l’article 14 de l’accord de coopération, qui porte sur les applications numériques de traçage de contacts, dès lors que de telles applications n’ont pas encore été mises en service et qu’un effet rétroactif à cette fin est donc inutile.

Il convient par conséquent d’exclure cet article de la rétroactivité

EXAMEN DE

L’AVANT-PROJET DE LOI 44. Il convient de compléter l’intitulé de l’avant-projet et l’article portant assentiment à l’accord de coopération par la date à laquelle l’accord de coopération a été signé. 45. L’article 6 de l’avant-projet comporte une disposition d’entrée en vigueur. Pareille disposition dans un texte d’assentiment n’a guère de sens et peut même être source d’insécurité juridique, dès lors que les effets dans le temps de l’accord de coopération sont réglés à l’article 19, § 1er, de l’accord de coopération proprement dit et que celui-ci ne peut pas entrer en vigueur avant le jour de la publication de l’acte d’assentiment publié en dernier lieu64.

Par conséquent, il y a lieu d’omettre l’article 6.

Le greffier, Le président,

Annemie GOOSSENS Jo BAERT 64 Y. PEETERS, De plaats van samenwerkingsakkoorden in het constitutioneel kader, o.c., pp. 268-269.

PHILIPPE

ROI DES BELGES, À tous, présents et à venir, SALUT. Sur la proposition de la ministre des Affaires sociales et de la Santé publique, et de l’Asile et la Migration, NOUS AVONS ARRÊTÉ ET ARRÊTONS: La ministre des Affaires sociales et de la Santé publique, et de l’Asile et la Migration est chargée de préle projet de loi dont la teneur suit: Article 1er La présente loi règle une matière visée à l’article 74 l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d’inspection d’hygiène et par les équipes mobiles dans le cadre d’un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 se fondant sur une base de données auprès de Sciensano, conclu à Bruxelles le 25 août 2020, annexé à la présente loi. L’arrêté royal n° 18 du 4 mai 2020 portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19, est retiré. royal n° 18 du 4 mai 2020 portant création d’une banque de données auprès de Sciensano dans le cadre de la

lutte contre la propagation du coronavirus COVID-19, est retiré. L’arrêté royal n° 44 du 26 juin 2020 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d’un suivi des contacts des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d’une base de données auprès de Sciensano, est retiré. Donné à Bruxelles, le 28 août 2020 PHILIPPE PAR LE ROI: