Le Centre de Connaissances a pour mission d’émettre, soit d'initiative, soit sur demande des gouvernements ou des parlements :

  • des avis sur toute question relative aux traitements de données à caractère personnel (en ce compris dans le cadre de la rédaction de projets de textes normatifs) ; et
  • des recommandations relatives aux développements sociétaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel.

Le Centre de Connaissances se compose d’une directrice et de six membres externes nommés par la Chambre sur la base de leur expertise particulière.

Avis

En 2021, le Centre de Connaissances a publié 249 avis, à savoir presque le double  par rapport à 2020. Un volume d’avis émis jamais égalé dans l’histoire de l’Autorité.

Outre des avis concernant des mesures liées à la lutte contre le COVID-19, le Centre de Connaissances a dû s’exprimer sur des sujets variés comme par exemple la conservation des  métadonnées de télécommunications, la statistique publique  ou encore l’accès élargi aux données bancaires des Belges. Dans ses analyses, le Centre de Connaissances rappelle fréquemment l’importance des principes de nécessité et de proportionnalité du traitement des données à caractère personnel, tels que décrits dans le Règlement Général sur la protection des données.

Les avis du Centre de Connaissances sont disponibles sur le site web de l’APD, vous en trouverez ci-dessous un aperçu pour l’année 2021.


Avis 46/2021 relatif à la mise en œuvre et au suivi de la surveillance électronique

Cet avant-projet vise à organiser la gestion de placement des mandats de surveillance électronique par le service compétent. Ce projet a été élaboré suite à la communautarisation de cette compétence, et organise l’entrée en vigueur des dispositions (de la loi du 17 mai 2006) relatives au nouveau régime de surveillance électronique des justiciables condamnés à une ou plusieurs peines privatives de liberté moins de trois ans. Ce projet fait suite à la disparition des mécanismes (fédéraux) qui permettaient jusqu’à présent de gérer les placements sous surveillance électronique en fonction des possibilités effectives de placement.

Le projet dresse des listes des finalités, des personnes concernées et des données mais omet de les relier aux traitements de données envisagés. Il en résulte une  impossibilité d’appréhender ce qui sera fait concrètement avec ces données, ce qui laisse théoriquement la porte ouverte à des dérives comme, par exemple, le traitement des données relatives à l’origine ethnique ou à l’orientation sexuelle des intervenants de services sociaux impliqués.

L’Autorité rappelle donc qu’il est indispensable de distinguer, pour chaque finalité, quels traitements peuvent être réalisés sur quelle catégorie de donnée et par quel responsable du traitement, et ce, pour (i) permettre au citoyen de comprendre les traitements de données qui sont envisagés et ainsi assurer la prévisibilité de ces traitements, et pour (ii) permettre à l’Autorité d’analyser la légitimité et la proportionnalité de ces traitements.


Avis 184/2021 relatif à l’analyse de la menace

Le projet soumis pour avis au Centre de Connaissances concernait les règles régissant l’échange de données (y compris, les demandes d’évaluation communes de la menace) entre l’Organe de Coordination pour l’Analyse de la Menace (OCAM) et, notamment, ses services d’appui (la Trésorerie, le Centre de crise, le Service Laïcité et Cultes du SPF Justice, etc.), dans le cadre de la lutte contre l’extrémisme et le terrorisme.

Dans les limites de sa compétence, l’Autorité a considéré que les traitements de données prévus par le projet engendraient une ingérence particulièrement importante dans les droits et libertés des personnes concernées :

des catégories particulières de données sont traitées à long terme, dans un contexte en grande partie secret où les droits des personnes concernées sont significativement limités, et ce en vue d’établir une évaluation - un profil – de la menace que peuvent représenter des personnes concernées. Cette évaluation sera ensuite communiquée à des autorités publiques autres que les services de renseignement et de sécurité. Si elle est mal réalisée et/ou mal utilisée, cette même évaluation est susceptible d’entraîner une atteinte irrémédiable aux droits et libertés des personnes concernées.

En substance, notamment compte-tenu de l’extension envisagée de la mission de l’OCAM, l’Autorité a considéré que le projet prévoyait une possibilité, tantôt disproportionnée, tantôt insuffisamment prévisible, d’échanges d’informations entre les institutions concernées. Un projet de loi en la matière doit identifier clairement les éléments essentiels des traitements de données que peut impliquer la collaboration entre l’OCAM et ses services d’appui, et les garanties appropriées que nécessitent notamment le traitement de données à caractère personnel révélant les opinions politiques et les convictions religieuses ou philosophiques, dans un contexte secret. 


Avis 127/2021 relatif à la statistique publique

Dans son avis 127/2021, l’Autorité a relevé plusieurs points d’amélioration à apporter à la loi de 1962 relative à la statistique publique afin d’assurer une détermination claire de la statistique publique, la mise en place de mesures appropriées pour la sauvegarde des droits et libertés des personnes concernées et la préservation du secret statistique. Il s’agit notamment des points suivants :

  • régler le défaut d’encadrement législatif des missions de service public confiées à l’Institut national de statistique (INS ou Statbel) afin de contribuer à la description claire, déterminée et explicite des finalités des traitements de données qu’il réalise dans ce cadre ;
  • mise en place des conditions légales et organisationnelles requises pour permettre à l’INS d’assumer son rôle de responsable du traitement;
  • nécessaire mise en adéquation avec le RGPD de l’article 2 de cette loi de 1962 qui autorise actuellement l’INS à communiquer confidentiellement à des départements ministériels ou services intéressés de l’Etat (à l’exception des administrations fiscales) des statistiques sous une forme qui permet de révéler des situations individuelles ;
  • mise en évidence de l’obligation pour l’INS de traiter des données anonymisées à des fins d’étude statistique et de mettre à disposition de telles données pour la réalisation de recherches scientifiques, lorsque de telles données suffisent ;
  • ajout dans la loi de 1962 de garanties concernant l’utilisation des clefs de pseudonymisation permettant de retrouver l’identification des personnes à propos desquelles l’INS traite des informations ;
  • précision dans la loi de 1962 que l’INS ne peut mettre des données d’études pseudonymisées à disposition des services publics fédéraux ou organismes d’intérêt public dépendant de l’Etat, des départements ministériels des entités fédérées et des administrations provinciales et communales que pour des fins de statistiques publiques et soumission desdits organismes au respect des principes de statistique publique édictés à l’article 1bis de la loi de 1962 (principe de licéité et de loyauté, principe de finalité, principe de proportionnalité, principe d’impartialité, d’objectivité et d’indépendance professionnelle) ;
  • encadrement plus adéquat des accès aux données de l’INS à des fins de recherche scientifique en prévoyant qu’il ne peut s’agir que d’entités de recherche reconnues, et détermination, par voie législative ou réglementaire, des critères sur base desquels cette reconnaissance peut avoir lieu ;
  • constat du caractère disproportionné d’une disposition en projet de la loi de 1962 permettant la conservation illimitée par l’INS de toutes les données qu’il collecte à des fins d’étude statistique ou de recherche scientifique ;
  • imposition à l’INS de l’obligation de vérifier, avant toute communication de données pseudonymisées, que la réidentification des personnes concernées à propos desquelles des informations sont communiquées ne peut raisonnablement se faire qu’à l’aide de la clef de pseudonymisation ;
  • préservation des dispositions légales protectrices des personnes ayant refusé de répondre aux enquêtes statistiques ;
  • adaptation de la loi de 1962 afin qu’elle ne confère pas au délégué à la protection des données de l’INS des missions qui le mettent en situation de conflit d’intérêt au regard des missions qui sont les siennes en vertu du RGPD.

Avis 108/2021 relatif à la collecte et à la conservation des données diverses dans le secteur des communications électroniques et à leur accès par les autorités

L’APD a été amenée à se prononcer sur avant-projet de loi relatif à la collecte et à la conservation des données d’identification, de trafic et de localisation dans le secteur des communications électroniques, et à leur accès par les autorités. Cet avant-projet de loi vise à répondre à l’annulation de la loi du 29 mai 2016 « relative à la collecte et à la conservation des données dans le secteur des communications électroniques » par la Cour constitutionnelle (CC). La loi du 29 mai 2016 a été annulée pace qu’elle reposait, dans son principe, sur une obligation de conservation généralisée et indifférenciée des données de trafic et de localisation des utilisateurs de moyens de communications électroniques, et la CC a jugé, à la suite de la Cour de justice de l’Union européenne (CJUE), que l’obligation de conservation des données relatives aux communications électroniques doit être l’exception, et non la règle.

L’avant-projet de loi vise à mettre en place un système de conservation des métadonnées de communication qui respecte les exigences imposées par le droit européen. Mais, dans son avis, l’APD a relevé que l’avant-projet de loi n’opérait pas réellement le changement de perspective exigé par la CJUE et la CC. En effet, l’avant-projet de loi entend imposer de nouvelles mesures de conservation des données de trafic et de localisation qui pourraient aboutir à réintroduire, de facto, des obligations de conservation généralisée et indifférenciée des données, tout en opérant une extension des possibilités d’accès à ces données. L’APD a insisté dans son avis pour que l’avant-projet de loi soit profondément remanié afin de respecter toutes les exigences imposées par la CJUE et la CC.  Une nouvelle annulation de la loi par la CC serait, en effet, de nature à entacher la confiance des citoyens dans les institutions démocratiques.

Par ailleurs dans son avis l’APD a constaté, avec inquiétude, que l’avant-projet de loi prévoyait d’obliger les opérateurs qui mettent en place un système d’encryptage à rendre possible les mesures d’interception légale. L’APD a rappelé qu’il existait, depuis les années 1990, un consensus dans la communauté scientifique pour considérer que l’insertion de « portes dérobées » (« backdoors ») dans les systèmes de cryptographie présentait plus de risques pour la vie privée des personnes concernées et les intérêts supérieurs des Etats que d’avantages en termes de lutte contre la criminalité grave. L’APD s’est aussi inquiétée de l’introduction d’obligations de collecte de données par des services, tels que des messageries encryptées, qui, pour des raisons légitimes de sécurité et de protection de la vie privée, ont jusqu’à présent évité de collecter ces données.


Avis 186/2021 relatif à la taxe kilométrique de la Région Bruxelles Capitale

Le 8 octobre 2021, le Centre de Connaissances de l’Autorité a rendu un avis sur l’avant-projet d’ordonnance du gouvernement bruxellois établissant une taxe de lutte contre la congestion du trafic automobile. Cet avant-projet vise à établir une taxe kilométrique reflétant l’utilisation réelle du réseau routier bruxellois afin de lutter contre les embouteillages.

L’avis s’est limité à analyser le caractère nécessaire et proportionné du système de taxation : un examen des dispositions de l’avant-projet semblait prématuré eu égard au caractère disproportionné du système tel qu’envisagé.

Dans ce cadre, le Centre de Connaissances a notamment :

  • constaté que l’établissement d’une telle taxe est disproportionné en soi eu égard à la granularité excessivement fine prévue pour le calcul de cette taxe, mais aussi que la mise en œuvre d’un tel système de taxation est démesurée eu égard aux mesures particulièrement intrusives qu’une telle mise en œuvre implique (enregistrement des trajets et communication des données y relatives à l’administration fiscale) ;
  • identifié que le système tel qu’envisagé était disproportionné en ce qui concerne les 5 éléments suivants: (i) l’alternative proposée entre la taxe kilométrique et la taxe forfaitaire ; (ii) le caractère très privé des données relatives au trajet; (iii) le caractère très intrusif de l’enregistrement des trajets au moyen d’un équipement embarqué, y  compris  lorsque  l’équipement  embarqué  est  une  application  pour  smartphone; (iv) la difficulté de contester sérieusement et raisonnablement le calcul de la taxe kilométrique et (v) les délais de conservation des données enregistrées.

Dans ces conditions, l’Autorité a considéré que les inconvénients causés par les traitements de données engendrés par le système tel qu’envisagé sont démesurés par rapport à l’objectif poursuivi.


Avis 249/2021 relatif aux services de taxi – « uber »

Le 23 décembre 2021, le Centre de Connaissances de l’APD a rendu un avis, selon la procédure en urgence (délai de 15 jours), sur un avant-projet d’ordonnance de la Région de Bruxelles-Capitale relative aux services de taxi et aux services de transport de personnes à caractère événementiel. Cet avant-projet vise à abroger l’ordonnance du 27 avril 1995 qui régit ce secteur, et à créer un nouveau cadre légal pour les différents intervenants du secteur (exploitants de services de taxis, chauffeurs,  gestionnaires de plateformes et exploitants de services de transport de personnes à caractère événementiel), adapté au monde numérique d’aujourd’hui. Dans ce cadre, l’avant-projet instaure notamment un statut unique et commun pour les taxis « classiques » et les taxis « de rue » qui utilisent des plateformes de réservation, telle qu’Uber.

L’APD a notamment épinglé que l’avant-projet implique le traitement de données sensibles au sens du RGPD, à savoir des données relatives à des condamnations pénales concernant des infractions aux conditions de moralité. Afin d’éviter une collecte de ces données non pertinentes et excessives, il a recommandé d’établir une liste exhaustive des condamnations considérées comme ne respectant pas la condition de  moralité nécessaire  à  la  prestation correcte de services de taxi et/ou empêchant légitimement d’exercer une activité d’exploitation de taxi ou de gestion d’une plateforme de réservation.

L’APD a encore estimé que l’avant-projet doit indiquer clairement les finalités pour lesquelles les exploitants d’un service de taxis, les gestionnaires de plateforme de réservation et les exploitants d’un service de transport de personnes à caractère événementiel doivent communiquer ou donner l’accès à Bruxelles Mobilité à certaines données relatives aux chauffeurs et à leurs courses. Elle a en outre recommandé à l’auteur de l’avant-projet d’apprécier de façon rigoureuse la nécessité et la proportionnalité d’établir de tels accès et communications à des fins de gestion administrative et de contrôle.


Avis relatif aux règles facilitant l’utilisation d’informations financières et d’une autre nature aux fins de la prévention ou de la détection de certaines infractions pénales, ou des enquêtes ou des poursuites en la matière

En 2021, l'APD a émis un avis au sujet d'un avant-projet de loi transposant la Directive (UE) 2019/1153 fixant les règles facilitant l’utilisation d’informations financières et d’une autre nature aux fins de la prévention ou de la détection de certaines infractions pénales, ou des enquêtes ou des poursuites en la matière.

L'Autorité y a réitéré les critiques qu'elle avait déjà formulées sur l'obligation de notification excessivement étendue au PCC (Point de Contact Central des comptes et contrats financiers de la Banque Nationale de Belgique), où sont désormais aussi enregistrés les soldes des comptes bancaires et de paiement et les montants périodiques globalisés de contrats financiers. En vertu de l'avant-projet de loi soumis pour avis, ces montants sont en outre désormais accessibles à l'OCSC belge (Organe Central pour la Saisie et la Confiscation) ainsi qu'à ses homologues européens, ce qui dépasse l'échange d'informations tel que prescrit par la Directive européenne en la matière. L'obligation de notification étendue au PCC et l’élargissement de son accès ont été traités dans plusieurs avis en 2021, à savoir l'avis 214/2021 dont il est question ici, mais aussi les avis 80/2021, 87/2021 et 14/2021.


Avis concernant des dispositions diverses en matière de santé

distincts d'un avant-projet de loi portant des dispositions diverses en matière de santé. Outre une série de remarques et de points d'attention ponctuels, c'était surtout le dossier multidisciplinaire du patient et (dans une moindre mesure) la base de données centrale unique pour les prescriptions qui posaient davantage de problèmes fondamentaux sur le plan de la transparence et de la prévisibilité du cadre légal. Concernant la base de données des prescriptions, l’APD s’était déjà prononcée précédemment de manière critique dans l’avis n° 23/2021, dont les remarques n’ont été que partiellement prises en compte.

Le dossier multidisciplinaire du patient, qui introduit un traitement très étendu des données (de santé) les plus sensibles et intimes (tant physiques, que psychiques, cognitives, comportementales, ...) des patients les plus vulnérables, suscite de sérieuses questions.

Tout d'abord, l'avant-projet ne délimite pas du tout clairement les éléments essentiels du traitement (finalité, données, personnes concernées, délai de conservation, responsable du traitement et destinataires tiers), empêchant ainsi d’évaluer si l’instauration d’un tel dossier multidisciplinaire du patient est bel et bien une mesure nécessaire (répondant à un réel besoin sociétal dans une société démocratique) et proportionnelle.

Ensuite, avec l’introduction de ce dossier multidisciplinaire du patient, l’avant-projet vide de sa substance le contrôle/le pouvoir des patients sur le partage de leurs données de santé - tel que prévu dans la section 12 de la loi du 22 avril 2019 relative à la qualité de la pratique des soins de santé pour le dossier de patient ‘ordinaire’.

En tant que source de données pour le dossier multidisciplinaire du patient, la banque de données BelRAI suscite également de grandes inquiétudes au sein de l’APD en raison de l’absence de cadre légal précis et solide. BelRAI est un instrument d’évaluation multidisciplinaire qui définit, selon certains algorithmes, les risques possibles pour la santé de patients vulnérables ainsi que des scores sur plusieurs échelles de soins (voir https://www.belrai.org/fr), et regroupe ces informations dans une banque de données centrale. En la matière, l’APD a également rappelé l’importance et la nécessité de mener une AIPD pour chaque traitement à grande échelle de catégories particulières de données à caractère personnel, comme notamment les données de santé.


Réalisations en chiffres

En 2021, le Centre de Connaissances a publié au total 249 avis sur des projets de textes normatifs et réglementaires. Une recommandation en matière de données biométriques a également été publiée.

Type de dossier Résultat Nombre
Avis Statut : publié 249
Recommendation Statut : publié 1
Total   250