Une des priorités sectorielles reprises dans le Plan stratégique 2020-2025 de l'APD concerne le respect de la réglementation relative à la protection des données à caractère personnel par les autorités publiques.

Les services publics traitent généralement de grandes quantités de données à caractère personnel - parfois sensibles - dans le cadre de l'exercice de leurs missions. On pense notamment ici à l'accès aux données reprises dans le Registre national, au traitement de données financières et des données relatives aux condamnations pénales. Les citoyens n'ont souvent pas le choix en ce qui concerne le partage de leurs données à caractère personnel, vu que le traitement se fait généralement sur la base d'une obligation légale ou qu'il est nécessaire à l'accomplissement d'une mission d'intérêt public.

L'APD estime que les autorités publiques doivent être irréprochables et que l'on doit pouvoir attendre d'elles qu'elles utilisent ces données scrupuleusement. Elles doivent en effet montrer l'exemple en matière de protection des données à caractère personnel ("lead by example”).

En 2020, les différentes directions de l'APD ont dès lors accordé une attention particulière aux activités de traitement de ces responsables du traitement du secteur public, et ce tant dans leur rôle de conseiller que dans leur rôle de contrôleur. 

À cet égard, l'APD s'est concentrée sur les thèmes suivants :


La licéité des traitements de données à caractère personnel par les autorités publiques (article 6 du RGPD)

Le traitement de données à caractère personnel par des services publics se fonde généralement sur l'article 6.1 c) (obligation légale) ou sur l'article 6.1 e) (mission d'intérêt public) du RGPD. À cet égard, tant le Centre de Connaissances dans ses avis que la Chambre Contentieuse dans ses décisions ont souligné l'importance de l'existence d'une norme législative qui encadre le traitement concerné de manière suffisamment claire et précise et dont l'application pour les personnes concernées est prévisible (article 6.3 du RGPD, lu conjointement avec l'article 22 de la Constitution et l'article 8 de la CEDH)

À cet égard, on peut se référer notamment aux avis36/2020, 42/2020, 44/2020, 46/2020, 52/2020 et 64/2020 du Centre de Connaissances, qui concernent entre autres certaines mesures prises par les autorités publiques dans le cadre de la lutte contre le Covid-19 (voir ci-dessus).


Le respect des principes relatifs au traitement de données à caractère personnel (article 5 du RGPD) et les principes de "protection des données dès la conception" et de "protection des données par défaut" (article 25 du RGPD)

Les principes précités constituent une des pierres angulaires du RGPD. L'APD souligne l'importance du respect de ces principes par les autorités publiques lors du traitement de données à caractère personnel et souligne en particulier l'importance de la mise en œuvre du principe de protection des données dès la conception ("data protection by design"), qui est censé veiller à ce que la garantie de la protection des données à caractère personnel et des droits des personnes concernées soit "intégrée" dans le traitement et que l'on ne traite pas plus de données que ce qui est strictement nécessaire pour les finalités envisagées ("minimisation des données").

À ce propos, on peut se référer à l'enquête que le Service d'Inspection de l'APD a menée d'initiative à l'égard du Service public fédéral Finances en raison de l'obligation de créer un compte Microsoft pour accéder à des informations fiscales via Fisconetplus. Cette enquête a été menée suite à une recommandation émise antérieurement sur le sujet par le Centre de Connaissances de l'APD.Dans cette affaire, le Service d'Inspection a eu recours pour la première fois à son pouvoir d'imposer des mesures provisoires (article 70 de la LCA) et a ordonné au SPF de cesser le transfert de données vers Microsoft. Il a en effet été jugé que le fait d'obliger des personnes concernées à divulguer des données à caractère personnel à un fournisseur de services tiers afin d'accéder à des informations publiques constituait une violation des principes traitement loyal et transparent et de minimisation des données (article 5.1 a) et c) du RGPD). La Chambre Contentieuse a confirmé cette position en novembre 2020 dans sa décision quant au fond.


Obligations de transparence et droits des personnes concernées (art. 12 e.s. du RGPD)

Dans sa décision 15/2020, la Chambre Contentieuse a souligné l'importance de respecter les obligations de transparence et de faciliter l'exercice des droits des personnes concernées par les autorités publiques. Dans cette décision, l'APD a en effet adressé une réprimande et une injonction de mise en conformité du traitement à une commune en raison du traitement de données à caractère personnel d'étudiants (obtenues via les bailleurs de kots d'étudiants) dans le cadre de la perception de taxes pour secondes résidences, sans en informer les personnes concernées de manière transparente (violation de l'art. 5 et des art. 12-14 du RGPD).
La transparence était également un point d'attention important dans les avis émis à l'attention du gouvernement au sujet des mesures prises dans le cadre de la crise du coronavirus. Vous trouverez plus d'informations à ce sujet dans le thème Covid-19.


L'accès à des données à caractère personnel reprises dans le Registre national et d'autres registres et le traitement de ces données par des autorités publiques

De nombreux services publics ont accès aux données reprises dans le Registre national en vertu de la loi du 8 août 1983 organisant un registre national des personnes physiques. En 2020, l'APD a reçu et traité diverses plaintes concernant l'utilisation de ce registre. À cet égard, on peut notamment se référer aux décisions quant au fond  19/2020 et 61/2020 de la Chambre Contentieuse dans lesquelles l'APD a imposé des mesures correctrices à des autorités publiques pour utilisation illicite du Registre national et l’absence de prise de mesures techniques et organisationnelles utiles afin de garantir la sécurité de (l'accès aux) données (articles 24 et 32 du RGPD).Parallèlement, l'APD a ouvert une enquête d'initiative en vertu de l'article 63, 1° de la LCA au sujet de l'utilisation de données à caractère personnel de la Banque-carrefour des véhicules ("BCV") en vue d'établir des offres d'assurance personnalisées par les assureurs. Cette enquête a donné lieu à la décision 34/2020 de la Chambre Contentieuse*, celle-ci ayant estimé que le transfert de données à des assureurs individuels était contraire aux principes de licéité et de limitation de finalité vu que cette finalité de traitement ne faisait pas partie des finalités d'intérêt public énumérées de manière exhaustive dans l'arrêté royal du 8 juillet 2013 portant exécution de la loi du 19 mai 2010 portant création de la Banque-Carrefour des Véhicules (art. 4). La Chambre Contentieuse s'est également prononcée dans ce cadre sur une délibération du Comité de sécurité de l'information. Elle a estimé que la promulgation de décisions contraignantes par ce comité concernant le traitement de données à caractère personnel était contraire à la philosophie et aux dispositions du RGPD, notamment au principe de responsabilité.


Le transfert de données de locataires de kots d'étudiants à une commune en Flandre

La Chambre Contentieuse a estimé que l'obligation dans un règlement communal pour les bailleurs de kots d'étudiants de transmettre certaines données de locataires à la commune, pour des finalités imprécises, était contraire au RGPD. Cette affaire est également importante car elle a donné à la Chambre Contentieuse l'occasion de se prononcer quant à la compétence de l'APD. La commune avait affirmé dans ses conclusions qu'elle n'était soumise qu'à la surveillance de la Vlaamse Toezichtscommissie (Commission de contrôle flamande, VTC). La Chambre Contentieuse a estimé que ce point de vue relevait d'une erreur de droit. Étant donné qu’il s’agit ici du respect de dispositions contraignantes du RGPD, seule la Chambre Contentieuse, en tant qu'organe de l'APD, est compétente pour statuer, tant en vertu du droit national qui régit l'organisation fédérale de la Belgique, qu'en vertu du droit de l'Union européenne.