Avis, Autorité de protection des données, 2021-06-28
| Jurisdiction | Bélgica |
| Judgment Date | 28 juin 2021 |
| ECLI | ECLI:BE:GBAPD:2021:AVIS.20210628.2 |
| Link to Original Source | https://juportal.be/content/ECLI:BE:GBAPD:2021:AVIS.20210628.2 |
| Docket Number | 108/2021 |
| Court | Gegevensbeschermingsautoriteit,Autorité de protection des données |
1/81
Avis n° 108/2021 du 28 juin 2021
Objet : Demande d’avis concernant un avant-projet de loi relatif à la collecte et à la
conservation des données d’identification, de trafic et de localisation dans le secteur des
communications électroniques et à leur accès par les autorités et un projet d’arrêté royal
modifiant l’arrêté royal du 19 septembre 2013 portant exécution de l’article 126 de la loi
du 13 juin 2005 relative aux communications électroniques (CO-A-2021-099)
Le Centre de Connaissance de l’Autorité de protection des données (ci-après « l’Autorité »),
Présent.e.s : Madame Alexandra Jaspar et Messieurs Yves-Alexandre de Montjoie, Bart Preneel et
Frank Robben ;
Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier
les articles 23 et 26 (ci-après « LCA ») ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la
libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD ») ;
Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements
de données à caractère personnel (ci-après « LTD ») ;
Vu la demande d'avis du Ministre de la Justice, Monsieur Vincent Van Quickenborne, reçue le 7 mai
2021 ;
Vu les informations complémentaires transmises les 1er et 8 juin 2021 ;
Vu le rapport de Madame Alexandra Jaspar ;
Émet, le 28 juin 2021, l'avis suivant :
.
.
.
Avis 108/2021 - 2/81
I. OBJET ET CONTEXTE DE LA DEMANDE D’AVIS
1. Le Ministre de la Justice, Monsieur Vincent Van Quickenborne (ci-après « le demandeur ») a sollicité,
le 7 mai 2021, l’avis de l’Autorité concernant un avant-projet de loi relatif à la collecte et à la
conservation des données d’identification, de trafic et de localisation dans le secteur des
communications électroniques et à leur accès par les autorités (ci-après « l’avant-projet de loi ») et un
projet d’arrêté royal modifiant l’arrêté royal du 19 septembre 2013 portant exécution de l’article 126
de la loi du 13 juin 2005 relative aux communications électroniques (ci-après « le projet d’arrêté »).
2. L’avant-projet de loi vise, comme le souligne son Exposé des Motifs, « à répondre à l’annulation par la
Cour constitutionnelle dans son arrêt n° 57/2021 du 22 avril 2021 des articles 2, b), 3 à 11 et 14 de la
loi du 29 mai 2016 ‘relative à la collecte et à la conservation des données dans le secteur des
communications électroniques’ » (ci-après « la loi du 29 mai 2016 »).
3. Cette loi du 29 mai 2016 prévoyait, comme le rappelle l’Exposé des motifs de l’avant-projet,
« l’obligation pour les fournisseurs au public de services de téléphonie, en ce compris par internet,
d'accès à l'Internet et de courrier électronique par Internet (qu’ils soient opérateurs notifiés à l’IBPT
ou non) de conserver certaines catégories de données de localisation et de trafic pendant une durée
de 12 mois essentiellement afin que ces données soient disponibles pour des finalités répressives et
en particulier pour les enquêtes pénales ». Cette loi imposait ainsi une obligation de conservation
généralisée et indifférenciée de certaines données de trafic et de localisation. Elle a été annulée par la
Cour constitutionnelle en raison de sa contrariété avec l’article 15 de la Directive 2002/58/CE du
Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère
personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après
« la Directive ePrivacy »), lu à la lumière des articles 7 et 8, ainsi que de l’article 52 § 1 de la Charte
des droits fondamentaux de l’Union européenne, en combinaison avec les articles 10 et 11 de la
Constitution. L’annulation de la Cour constitutionnelle est très largement motivée par un renvoi à l’arrêt
que la Cour de justice de l’Union européenne (ci-après « la CJUE ») a rendu à la suite des questions
préjudicielles posées, notamment, par la Cour constitutionnelle concernant l’interprétation à donner à
l’article 15 de la Directive ePrivacy1.
4. L’avant-projet entend mettre en place un système de conservation des données de communication qui
respecte les exigences imposées par la CJUE. Pour ce faire, il entend modifier la loi du 13 juin 2005
relative aux communications électroniques (ci-après « la loi télécom »), le Code d’instruction criminelle
(ci-après « le CIC »), la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes
et des télécommunications belges (ci-après « la loi statut IBPT »), la loi du 5 août 1992 sur la fonction
1
CJUE, arrêt du 6 octobre 2020, aff. Jointes C-511/18, C-512/18 et C-520/18 (affaire dite de « La Quadrature du Net »). Cet
arrêt de la CJUE a été rendu à la suite notamment des questions préjudicielles posées par la Cour constitutionnelle dans son
arrêt n° 96/2018 du 19 juillet 2018.
Avis 108/2021 - 3/81
de police (ci-après « la loi sur la fonction de police »), la loi du 30 novembre 1998 organique des
services de renseignement et de sécurité (ci-après « la loi sur les services de renseignement »), la loi
du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers (ci-après « la
loi FSMA »), la loi du 24 janvier 1977 relative à la protection de la santé des consommateurs en ce qui
concerne les denrées alimentaires et les autres produits (ci-après « la loi relative à la protection de la
santé des consommateurs ») et la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux
et des systèmes d'information d'intérêt général pour la sécurité publique (ci-après « la loi NIS »).
5. Le projet d’arrêté, pour sa part, exécute certaines habilitations législatives contenues dans l’avant-
projet.
II. EXAMEN DE LA DEMANDE D’AVIS
6. Dans son avis, l’Autorité commence par identifier les dispositions de la Directive ePrivacy qui sont
transposées par l’avant-projet de loi (A). Elle poursuit en présentant le « système » que l’avant-projet
de loi entend mettre en place concernant la conservation des données de trafic et de localisation par
les opérateurs et leur accès par différentes autorités (B). L’Autorité rappelle, ensuite, les exigences
auxquelles doivent répondre les normes qui prévoient une conservation des données de trafic et/ou
de localisation (et leur communication éventuelle aux autorités) (C). Enfin, l’Autorité examine la
conformité de l’avant-projet de loi et du projet d’arrêté avec ces exigences (D).
7. À toutes fins utiles, l’Autorité souligne qu’elle se prononce uniquement sur les dispositions pour
lesquelles elle est compétente, à l’exclusion des dispositions qui relèvent de la compétence exclusive
d’une autre autorité de contrôle. Pour rappel, c’est l’Organe de contrôle de l’information policière (ci-
après « le COC ») qui est compétent pour l’examen des dispositions prévoyant des traitements de
données à caractère personnel effectués par la police intégrée et c’est le Comité permanent de contrôle
des services de renseignement et de sécurité (ci-après « le Comité R ») qui est compétent pour
l’examen des dispositions qui prévoient des traitements de données effectués par les services de
renseignement et de sécurité.
A. LES DISPOSITIONS PERTINENTES DE LA DIRECTIVE ePRIVACY
8. La directive ePrivacy, qui précise et complète le RGPD en ce qui concerne le traitement des données à
caractère personnel dans le secteur des communications électroniques, entend protéger les utilisateurs
des services de communications électroniques contre les dangers pour leurs données à caractère
personnel et leur vie privée résultant des nouvelles technologies.
Avis 108/2021 - 4/81
9. L’avant-projet de loi transpose certaines dispositions de cette directive, et en particulier ses articles 5,
6, 9 et 15. À des fins de lisibilité et de clarté, l’Autorité reprend ces dispositions ci-dessous.
10. L’article 5.1 de la Directive ePrivacy impose aux Etats de garantir « la confidentialité des
communications effectuées au moyen d'un réseau public de communications et de services de
communications électroniques accessibles au public, ainsi que la confidentialité des données relatives
au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d'écouter,
d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les
soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs
concernés sauf lorsque cette personne y est légalement autorisée, conformément à l'article 15,
paragraphe 1. Le présent paragraphe n'empêche pas le stockage technique nécessaire à
l'acheminement d'une communication, sans préjudice du principe de confidentialité »2.
11. L’article 6.1 de la Directive ePrivacy rappelle et précise la portée du principe de la
confidentialité des données relatives au trafic : « Les données relatives au trafic concernant les
abonnés et les utilisateurs traitées et stockées par le fournisseur d'un réseau public de communications
ou d'un service de communications électroniques accessibles au public doivent être effacées ou
rendues anonymes lorsqu'elles ne sont plus nécessaires à la transmission d'une communication sans
préjudice des paragraphes 2, 3 et 5, du présent article ainsi que de l'article 15, paragraphe 1 »3.
12. L’article 6.2 de la Directive ePrivacy autorise le traitement des données relatives au trafic « qui
sont nécessaires pour établir les factures des abonnés et les paiements pour interconnexion. Un tel
traitement n'est autorisé que jusqu'à la fin de la période au cours de laquelle la facture peut être
légalement contestée ou des poursuites engagées pour en obtenir le paiement »4.
13. L’article 6.3 de la Directive ePrivacy autorise le fournisseur d’un service de communications
électronique accessible au public à traiter les données relatives au trafic « dans la...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI