Le Centre de Connaissances a pour mission d’émettre, soit d'initiative, soit sur demande des gouvernements ou des parlements :

  • des avis sur toute question relative aux traitements de données à caractère personnel (en ce compris dans le cadre de la rédaction de projets de textes normatifs) ; et
  • des recommandations relatives aux développements sociétaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel.

Le Centre de Connaissances se compose d’une directrice et de six membres externes nommés par la Chambre sur la base de leur expertise particulière.

Avis

En 2022, le Centre de Connaissances a publié 278 avis. Le nombre de demandes d’avis législatifs a donc encore augmenté par rapport à 2021 (249).

Le Centre de Connaissances s’est penché sur de nombreux projets impactant la vie quotidienne des citoyens tels qu’un projet d’arrêté du Gouvernement wallon relatif aux compteurs communicants, ou un avant-projet d’ordonnance visant la mise en œuvre et le suivi de la politique de sécurité routière en lien avec le plan de mobilité bruxellois « good move ».

Le Centre de Connaissances est régulièrement conduit à attirer l’attention des demandeurs concernant l’imprécision de projets de législations, notamment quant aux finalités de traitement de données d’origine publique ou privée. Ainsi par exemple, le Centre de Connaissances a examiné un projet de création au niveau régional flamand d’une entreprise d’utilité publique visant à faciliter la mise à disposition et l’interopérabilité de données d’origine diverses  (« Datanutsbedrijf »). Le Centre de Connaissances s’est notamment interrogé sur l’intention déclarée d’évoluer vers une entreprise axée sur la revente de données sur le marché commercial, dans un cadre insuffisamment balisé, en l’état du texte tel que soumis.

Le Centre de Connaissances s’est exprimé sur des projets normatifs visant à déployer des traitements de données algorithmiques par des autorités publiques, comme par exemple, les projets de coups de sonde automatisés du SPF Finances à des fins de contrôle de fraude au domicile.

Enfin, le Centre de Connaissances s’est montré critique par rapport à un projet de norme visant à organiser la conservation des données d’identification et des métadonnées par les fournisseurs de services de communications électroniques, en vue de la transmission de ces données à des autorités publiques, à des fins répressives ou en vue de l’accomplissement de missions de services de renseignement et de sécurité.

Les avis du Centre de Connaissances sont disponibles sur le site web de l’APD, vous en trouverez ci-dessous un aperçu pour l’année 2022.

Avis 247/2022 relatif à la planification, la mise en œuvre et le suivi de la politique de mobilité et de sécurité routière

Le Centre de Connaissances a rendu un avis sur un avant-projet d’ordonnance instituant un cadre en matière de planification, de mise en œuvre et de suivi de la politique de mobilité et de sécurité routière, sollicité par le Ministre bruxellois de la Mobilité. Ce projet fait suite au plan de mobilité « Good move ». Il a notamment pour but d’encadrer les traitements de données nécessaires à la réalisation d’enquêtes et d’analyses, qui permettront de mettre en place des outils en termes de mobilité.

  • La préoccupation fondamentale exprimée par le Centre de Connaissances concerne le manque de précision et de prévisibilité des traitements de données envisagés, lesquels présentent une ingérence importante dans le droit à la protection des données à caractère personnel dès lors qu’ils impliquent, entre autres, des croisements de données (y compris de données « sensibles » telles que des données relatives à la santé, à des infractions ou encore des données de localisation) provenant de différentes sources.
  • Par exemple, en termes de données visées, il n’était pas possible de comprendre quelles « données de localisation » seraient traitées : des données relatives à l’emplacement de voiture dans les parkings de la Région bruxelloise, des données relatives à l’utilisation de service Uber ou d’une trottinette Lime ou à la localisation de la puce GPS des voitures partagées, des données issues de caméras  ANPR ?
  • En termes de croisements de données, il n’était pas non plus possible d’anticiper, à la lecture de l’avant-projet, quelles données seront couplées avec quelles autres données (et dans quelle mesure) et surtout quelle(s) finalité(s) concrète(s) sont/seront poursuivies par chaque couplage. Par exemple, l’avant-projet ne permettait pas de déterminer si les données des caméras ANPR seraient couplées avec les données fiscales relatives aux avantages en nature en lien avec la mobilité.
  • Le Centre de Connaissances a recommandé au législateur de procéder à une analyse du caractère nécessaire et proportionné de chaque couplage de données au regard de la finalité poursuivie.

Le COC (Organe de contrôle de l’information policière) a également rendu un avis sur cet avant-projet qui concerne les traitements de données à caractère personnel effectués par les services de Police intégrés.

Avis 165/2022 du 19 juillet 2022 relatif à un projet d’arrêté du Gouvernement wallon relatif aux compteurs communicants

Ce projet d’arrêté visait à régir le déploiement des compteurs intelligents . Le Centre de Connaissances a souligné que le placement d’un compteur intelligent/communicant, même s’il fait suite à une demande en ce sens de l’utilisateur du réseau, implique des traitements de données à caractère personnel qui constituent une ingérence importante dans les droits et libertés des personnes concernées. Tel que libellé, ce projet d’arrêté conférait au gestionnaire de réseau de distribution (ci-après le « GRD ») la compétence de déterminer les modalités de la demande de placement d’un compteur communiquant.

  • Le Centre de Connaissances a soulevé que les données ou catégories de données qui seront collectées devaient être indiquées dans le projet d’arrêté afin de répondre à l’exigence de prévisibilité et de légalité.  Il ne peut pas être laissé à la libre appréciation du GRD de déterminer les données qui seront pertinentes et nécessaires afin de traiter les demandes de placement d’un compteur communicant.
  • Le Centre de Connaissances a également estimé qu’il convenait d’encadrer la fréquence de collecte des données – non précisée – afin d’éviter que le GRD ne puisse collecter les données de manière excessive.

Le Centre de Connaissances a invité le législateur à préciser clairement qu’une telle plateforme peut afficher les données de prélèvement et les données d’injection pour autant que le port de sortie du compteur communicant soit activé et qu’une demande ait été faite en ce sens par l’utilisateur.

Avis 11/2022 relatif à un projet de décret portant la création d’une entreprise d’utilité publique pour les données (« Vlaams Datanutsbedrijf ») par le gouvernement flamand

Le Centre de Connaissances a émis un avis concernant un projet de décret portant création d’une entreprise flamande d'utilité publique pour les données (« Vlaams Datanutsbedrijf »). Cette entreprise d'utilité publique pour les données vise à permettre un flux rapide et sûr des données en vue de stimuler une économie de données régionale flamande, en ce compris, rendre les données disponibles et opérables, faciliter la collaboration au niveau des données, accroître la valeur des données, élaborer une infrastructure de données et des compétences en matière de données et enfin, soutenir et réaliser le développement d'écosystèmes axés sur les données (dont des coffres-forts de données) et prévoyant une gestion active du consentement du citoyen au traitement de ses données.

  • Le Centre de Connaissances s’est interrogé sur le statut de cette entreprise d'utilité publique pour les données vu l'intention d'exercer des tâches d’intérêt public et d’évoluer parallèlement vers une entreprise entièrement axée sur le marché et donc purement commerciale, dans un cadre insuffisamment balisé. Ainsi par exemple, en ce qui concerne le développement d’un système de gestion de l’identité digitale, le Centre de Connaissances se demande concrètement à quel niveau et dans quel cadre un tel traitement de données était envisagé (régional ? eID ? Itsme ?).
  • Les formulations larges et abstraites des finalités du projet n’ont pas permis au Centre de Connaissances de se forger une idée claire des activités qui seraient développées par l'entreprise d'utilité publique pour les données, ni d'avoir une vision compréhensible des traitements de données qui en découleraient.

Le Centre de Connaissances, dont la mission est d’évaluer la qualité de la loi soumise, a conclu qu’en l’état, le projet n'offrait pas suffisamment de garanties au niveau de la protection des données si bien que le texte ne pouvait constituer une base légale pour des traitements de données concrets. Le Centre de Connaissances a donc invité le demandeur à revoir le projet en profondeur à la lumière des remarques formulées.

Avis 231/2022 du 29 septembre 2022 concernant un avant-projet de loi portant des dispositions fiscales et financières diverses, Titre 9 - Modifications de la loi du 16 décembre 2015 réglant la communication des renseignements relatifs aux comptes financiers, par les institutions financières belges et le SPF Finances, dans le cadre d'un échange automatique de renseignements au niveau international et à des fins fiscales

Le Centre de Connaissances a examiné un avant-projet de loi relatif à la communication de renseignements relatifs aux comptes financiers, par les institutions financières belges, dans le cadre d’échanges automatiques de renseignements au niveau international, à des finalités de lutte contre la fraude au domicile dans un cadre international.

  • Le Centre de Connaissances a relevé que l’analyse des risques en vue d’identifier les contribuables à contrôler était fondée sur du « datamining », défini comme une recherche avancée d’informations dans de gros fichiers de données.
  • Le projet de texte soumis se limitait à prévoir l’application d’un algorithme existant aux données concernées pour détecter la fraude. Le Centre de Connaissances a invité le législateur à encadrer un tel traitement de manière appropriée. En particulier, le projet soumis ne permettait pas d’évaluer dans quelle mesure la sélection des données pour contrôle ultérieur serait en tout ou partie automatisée, et dans quelle mesure une intervention humaine serait liée au processus décisionnel initié par l’algorithme.
  • Le Centre de Connaissances a rappelé que des mesures appropriées doivent être mises en œuvre en vue de sauvegarder les droits et libertés des personnes concernées lorsqu’il est envisagé de fonder une décision (ex. de contrôle) exclusivement sur un traitement automatisé de données. Ainsi notamment, afin d’assurer la proportionnalité du traitement envisagé et la qualité des données traitées, il est préconisé de vérifier que les paramètres et leur combinaison présentent une corrélation significative avec la fraude recherchée.
  • Le Centre de Connaissances a également conseillé de réaliser une analyse d’impact préalable sur base de critères adéquats et pertinents prédéterminés, et une phase de tests adéquate, préalablement à la mise en œuvre du traitement.

Avis 66/2022 relatif à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électronique (« data retention ») et à la fourniture de ces données aux autorités

Le Centre de Connaissances a examiné un nouveau cadre légal proposé relatif à la conservation des données d’identification et de métadonnées par les fournisseurs de services de communications électroniques, en vue de la communication de ces données à des autorités, à des fins répressives ou en vue de l’accomplissement de missions de services de renseignement et de sécurité.

  • Parmi les très nombreuses remarques formulées, le Centre de Connaissances a relevé que le futur cadre légal visait à rendre impossible – ou en tout cas très difficile – toute correspondance anonyme sur Internet. Il était question de permettre d’identifier de manière indirecte les utilisateurs des service de messagerie, comme Signal ou WhatsApp, mais aussi (potentiellement) de les localiser et donc de suivre tous leurs déplacements. Ceci constitue un véritable changement de paradigme par rapport aux règles de confidentialités imposées par la Directive 2002/58/CE ou Directive ePrivacy.
  • Le Centre de Connaissances a invité le législateur à en prendre la mesure et à tenir un débat parlementaire approfondi sur les implications d’un tel changement, notamment, au regard du droit à la vie privée et du droit à la liberté d’expression. Le Centre de Connaissances a invité le législateur à  s’assurer que les ingérences causées dans les droits et libertés sont effectivement nécessaires et proportionnées.

Gestion des priorités – avis standard

La tâche prioritaire du Centre de Connaissances consiste en l’émission d’avis préalables et obligatoires relatifs à tous les textes législatifs ou réglementaires de portée générale qui créent, adaptent ou mettent en œuvre des traitements de données à caractère personnel. La loi astreint le Centre de Connaissances à des délais pour l’émission et la publication de ces avis.
Le respect de ces délais constitue un défi pour le Centre de Connaissances en raison d’éléments divers tels que :

  • la quantité d’avis concomitants à rendre ;
  • la nécessaire mise en état de la plupart des demandes d’avis (échange de questions-réponses avec les auteurs du texte) ;
  • la complexité et la variété des matières en jeu ;
  • les demandes d’avis urgents pour lesquelles le champ d’analyse du Centre de Connaissances est inchangé par rapport à celui des demandes d’avis sollicitées dans le délai normal ;
  • et enfin, les contraintes temporelles et d’organisation rencontrées lors de l’adoption interne des avis dans le contexte du caractère collégial du
    Centre de Connaissances (fixation de séances à échéances fixes pour la tenue de discussions orales préparées par échanges écrits, intervention des membres « externes », anticipation desdites séances par l’envoi des projets) ;
  • le peu de ressources du service en comparaison avec d’autres autorités de protection des données, malgré l’extension de cadre accordée fin 2022 à l’ensemble de l’APD et qui bénéficiera pour partie au Centre de Connaissances en 2023. Pour rappel, à titre de comparaison, en novembre dernier, l’APD a exposé dans sa demande budgétaire qu’à la CNIL (APD française), 32 juristes sont affectés à la rédaction d’avis préalables et à la préparation d’auditions parlementaires (contre 8 à l’APD), avec le support d’une douzaine d’ingénieurs du service de l’expertise technologique. En 2021, la CNIL a adopté 121 avis et a été auditionnée 22 fois au Parlement. En 2021, l’APD a donc émis près de deux fois plus d’avis que la CNIL (249) avec seulement un quart du personnel de la CNIL. Des difficultés similaires ont été rencontrées en 2022.

Face à l’impossibilité de traiter l’ensemble des demandes d’avis législatifs dont elle est saisie, le Centre de Connaissances n’a d’autre choix que de rendre des « avis standards » pour les projets ne présentant manifestement pas d’ingérence importante dans les droits et libertés des personnes concernées, ou lorsque ses ressources humaines ne permettent pas d’examiner in concreto les demandes présentant prima facie une ingérence moins importante. Dans de tels cas, le Centre de Connaissances émet un avis standard récapitulant de manière générale les bonnes pratiques en matière de rédaction de normes législatives. Une telle réponse est apportée lorsque le demandeur n'indique pas que le projet soumis pourrait occasionner des risques élevés pour les droits et libertés des personnes concernées et lorsque les informations fournies par celui-ci dans le formulaire ne permettent pas non plus de déduire que de tels risques existeraient.

La fourniture d’avis standards implique un travail administratif substantiel dans la mesure où les pièces y relatives doivent être soumises à l’approbation du Centre de Connaissances en tant qu’organe collégial. Cette pratique d’avis standard s’est imposée depuis mai 2022.  205 avis de fond et 73 avis standards ont été remis en 2022.

A cet égard, le Centre de Connaissances souligne que dans un tel contexte, la responsabilité de décrire la portée de son projet législatif incombe in fine au demandeur.

  • A défaut de fournir une appréciation correcte des risques, ou à défaut pour le Centre de Connaissances de pouvoir remettre un avis in concreto dans les cas où l’avis législatif présente un risque d’ingérence pour les droits et libertés des personnes concernées, l’organe public chargé d’appliquer la législation peut être exposé à des plaintes (par exemple devant la Chambre Contentieuse), ou des recours ultérieurs contre la norme adoptée, le cas échéant, sans tenir suffisamment compte de contraintes liées au règles de protection des données personnelles. 
  • Les avis du Centre de Connaissances, non contraignants, visent en effet à éclairer le législateur et attirer son attention sur les éventuelles problématiques liées à la qualité de la législation proposée au regard des règles de protection des données personnelles (ex. prévisibilité de la norme en termes de finalité de traitement de données, catégories de données traitées, base légale adéquate, etc.).  Le Centre de Connaissances se réjouit du fait que l’extension de cadre accordée à l’ensemble de l’APD fin 2022,  bénéficiera en partie à ses activités d’avis législatif en 2023.

Enfin, en 2022, le Centre de Connaissances de l’APD a également mis à jour son formulaire de demande d’avis relatif à un projet de texte normatif, ainsi que sa note explicative. Le  formulaire actualisé précise que la décision d’approbation du projet normatif concerné par le conseil des ministres/gouvernement doit être ajoutée au dossier de demande d’avis dans tous les cas où le projet normatif doit être soumis au conseil des ministres / gouvernement, et ce, afin d’éviter au Centre de Connaissances de travailler sur des textes non définitifs.

Recommandations

Dans le contexte où ses ressources en 2022 ne suffisaient pas à examiner in concreto  l’ensemble des demandes d’avis législatif, le Centre de Connaissances a dû concentrer ses efforts sur le tri et la fourniture de tels avis en 2022. Parallèlement, le Centre de Connaissances a participé à la rédaction de recommandations, en participant aux travaux de l’EDPB (Comité Européen de la Protection des Données).

  • Le Centre de Connaissances a notamment pris le lead dans l’élaboration de lignes directrices de l’EDPB concernant la révision et mise à jour des recommandations et bonnes pratiques en matière de techniques d’anonymisation de données personnelles.
  • Le Centre de Connaissances participe également aux travaux relatifs aux lignes directrices en matière de pseudonymisation. Ces deux techniques – anonymisation et pseudonymisation - sont fréquemment confondues, ce qui n’est pas sans conséquence dès lors que seule l'anonymisation permet de faire échapper les données traitées au champ d’application du RGPD . Dans le contexte où les règles du RGPD imposent des limites substantielles à tout projet impliquant le traitement de données personnelles (ex. exigence de minimisation ou proportionnalité des données traitées), le Centre de Connaissances entend ainsi apporter sa contribution à la recherche de solutions à travers une réflexion sur les techniques de faciliter la mise en œuvre de projets impliquant le traitement de ce type de données.

Réalisations en chiffres

En 2022, le Centre de Connaissances a publié au total 278 avis sur des projets de textes normatifs, dont 73 avis standards.