Avis Nº 65/2019. Commission pour la Protection de la Vie Privýe, 2019-02-27

Date de Résolution:27 février 2019
 
EXTRAIT GRATUIT
1/37
Avis n° 65/2019 du 27 février 2019
Objet: Demande d’avis relative à un projet d’accord de coopération modifiant l’accord de coopération
du 23 mai 2013 entre la Région wallonne et la Communauté française portant sur le développement
d’une initiative commune en matière de partage de données et sur la gestion conjointe de cette
initiative (CO-A-2019-014 + CO-A-2019-044)
L’Autorité de protection des données (ci-après « l’Autorité »);
Vu la loi du 3 décembre 2017
portant création de l'Autorité de protection des données
, en particulier
les articles 23 et 26 (ci-après « LCA »);
Vu le règlement (UE) 2016/679
du Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la
libre circulation de ces données, et abrogeant la directive 95/46/CE
(ci-après « RGPD »);
Vu la loi du 30 juillet 2018
relative à la protection des personnes physiques à l'égard des traitements
de données à caractère personnel
(ci-après « LTD »);
Vu la demande d'avis de la Vice-Présidente et Ministre de l’Action sociale, de la Santé, de l’Egalité des
chances, de la Fonction publique et de la Simplification administrative du Gouvernement Wallon, Alda
Greoli, reçue le 3 janvier 2019;
Avis 65/2019 - 2/37
Vu la demande d'avis du Ministre du Budget, de la Fonction publique et de la Simplification
administrative du Gouvernement de la Fédération Wallonie-Bruxelles, André Flahaut, reçue le 10
janvier 2019;
Vu le rapport de Debeuckelaere Willem et Verschuere Stefan;
Émet, le 27 février 2019, l'avis suivant :
I. OBJET DE LA DEMANDE ET CONTEXTE
1. La Vice-Présidente et Ministre de l’Action sociale, de la Santé, de l’Egalité des chances, de la
Fonction publique et de la Simplification administrative du Gouvernement Wallon et le Ministre du
Budget, de la Fonction publique et de la Simplification administrative du Gouvernement de la
Fédération Wallonie-Bruxelles consultent l’Autorité pour avis à propos d’un projet d’accord de
coopération modifiant l’accord de coopération du 23 mai 2013 entre la Région wallonne et la
Communauté française portant sur le développement d’une initiative commune en matière de partage
de données et sur la gestion conjointe de cette initiative [le projet]. La Commission de la Protection
de la Vie Privée s’est déjà prononcée dans ce contexte, lors du processus d’adoption de l’accord de
coopération du 23 mai 2013
1
.
2. Pour rappel, cet accord de coopération organise entre autorités publiques, le partage, via la
Banque-Carrefour d’échange de données [BCED], de données provenant de sources authentiques de
données et de banques de données issues de sources authentiques de données en Région wallonne
et en Communauté française.
3. Des termes de la note rectificative au Gouvernement wallon, le projet a en substance pour
objectif d’adapter le texte d’origine de l’accord de coopération afin que celui-ci corresponde mieux
avec la réalité de terrain, de prendre en compte le RGPD et le droit belge y afférent, et de mettre en
place une autorité de contrôle au sens du RGPD, à savoir la Commission Wallonie-Bruxelles de contrôle
des échanges de données [CCED].
4. Remarques : l’Autorité a tout d’abord réalisé son analyse sur la base de la version coordonnée
du texte où apparaissent les modifications apportées, version à laquelle est d’ailleurs relatif l’exposé
des motifs et qui comporte des articles numérotés de 1 à 38. Ensuite, afin d’alléger le texte du présent
avis, l’Autorité utilise en général les termes « sources authentiques de données » comme incluant les
1
Avis de la Commission de la Protection de la Vie Privée n° 29/2012 du 12 septembre 2012.
.
.
.
.
.
.
Avis 65/2019 - 3/37
« banques de données issues de sources authentiques de données », et procède à la distinction des
concepts lorsque celle-ci est utile au propos.
II. EXAMEN DU PROJET
II.1. Principes de transparence et de légalité, et traitement ultérieur de donné es
II.1.1. Transparence et légalité
5. En vertu des principes de transparence et légalité consacrés dans les articles 8 de la CEDH et
22 de la Constitution, un décret doit prévoir clairement dans quelles circonstances un traitement de
données à caractère personnel est autorisé
2
, et en conséquence déterminer quelles sont les données
traitées, les personnes concernées, les conditions et finalités dudit traitement, la durée de conservation
des données
3
et les personnes y ayant accès
4
. L’Autorité a jà eu l’occasion de rappeler ces principes
5
.
Lorsque le fondement du traitement repose sur une base juridique de droit national, l’article 6, 3., du
RGPD exige également spécifiquement que les finalités soient définies cette base.
6. Dans ce contexte, une délégation au Roi ou en l’occurrence, aux Gouvernements, « n’est pas
contraire au principe de légalité, pour autant que l’habilitation soit définie de manière suffisamment
précise et porte sur l’exécution de mesures dont les éléments essentiels sont fixés préalablement par
le législateur »
6
.
7. Les principes juste exposés doivent être appliqués en prenant en compte la nature générale
et abstraite du projet qui en substance, fixe un cadre pour l’échange en Wallonie entre autorités
publiques de données à partir de sources authentiques de données en permettant une collecte unique
auprès des citoyens et des entreprises, et pour le contrôle des traitements de données réalisés par
ces autorités, sans prévoir directement des traitements de données particuliers (à quelques nuances
près toutefois, voir
infra
, points n° 24). Ainsi, au-delà de cette finalité générale, le projet ne fixe pas
lui-même les finalités déterminées et explicites des traitements des données provenant des sources
authentiques, celles-ci ressortant d’autres textes le cas échéant futurs. Au regard des principes de
transparence et de légalité, le projet appelle les commentaires suivants.
2
En ce sens récemment, lire Cour constitutionnelle, arrêt n° 29/2018 du 15 mars 2018, points B.9 et s. et point B.13.3 en
particulier.
3
La Cour Constitutionnelle a admis que le « le législateur pouvait régler de manière générale les conditions de conservation des
données à caractère personnel, ainsi que la durée de cette conservation », arrêt n° 29/2018 du 15 mars 2018, point B.23.
4
Lire par exemple, Cour constitutionnelle, arrêt n° 29/2018 du 15 mars 2018, point B.18, et Cour Constitutionnelle, arrêt n°
44/2015 du 23 avril 2015, points B.36.1 et s.
5
Voir Avis de l’APD n° 110/2018 du 17 octobre 2018, points 7-9.
6
Voir Cour Constitutionnelle : arrêt n° 29/2010 du 18 mars 2010, point B.16.1 ; arrêt n° 39/2013 du 14 mars 2013, point B.8.1 ;
arrêt n° 44/2015 du 23 avril 2015, point B.36.2 ; arrêt n° 107/2015 du 16 juillet 2015, point B.7 ; arrêt n° 108/2017 du 5
octobre 2017, point B.6.4 ; arrêt n° 29/2018 du 15 mars 2018, point B.13.1 ; arrêt n° 86/2018 du 5 juillet 2018, point B.7.2.

Pour continuer la lecture

SOLLICITEZ VOTRE ESSAI