Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel : l’avis de l’UVCW
A la demande de Mathieu Michel, Secrétaire d’Etat à la Protection de la vie privée, l’Union des Villes et Communes de Wallonie a remis un avis concernant la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Les membres de l’UVCW que sont les communes, les centres publics d’action sociale, les intercommunales, les sociétés de logement de service public, les zones de police et les zones de secours, brassent une multitude de données à caractère personnel dans de nombreux domaines et interagissent avec de nombreuses autres autorités publiques pour accomplir leurs missions de service public. Aussi les pouvoirs locaux sont-ils concernés par l’évaluation de cette loi.
1. Cadre réglementaire de la protection des données à caractère personnel dans le contexte des traitements effectués par des autorités publiques
L’UVCW constate quotidiennement que les difficultés liées au respect des réglementations relatives à la protection des données à caractère personnel par ses membres, en tant qu’autorités publiques, tiennent à des imprécisions, des absences ou des oublis dans les législations diverses que doivent respecter ses membres. Les difficultés tiennent essentiellement à la manière dont les réglementations mettant en œuvre des traitements de données ne « s’accommodent » pas du RGPD. Leur « remise à niveau réglementaire » tarde à se faire, quel que soit le niveau du pouvoir législatif ou réglementaire visé (fédéral, régional ou communautaire). L’UVCW déplore un manque d’attention des pouvoirs législatifs et exécutifs à la protection des données à caractère personnel.
L’UVCW remarque que, contrairement à ce qu’exigent le RGPD et l’Autorité de Protection de données, nombreuses sont les anciennes ou les nouvelles réglementations qui instituent des traitements sans pour autant en fixer les éléments essentiels. Certains de ces traitements doivent être effectués par les pouvoirs locaux sans que leur rôle (responsable de traitement (conjoint ou non) ou sous-traitant) ni les finalités précises ni les délais de conservation par exemple ne soient prévus. Ce manque de « remise à niveau » crée des insécurités juridiques et des confusions qui ne favorisent certainement pas les innovations en matière de données.
Pour le dire autrement encore, le cadre du RGPD suscite certainement des questionnements, mais les questions des membres de l’UVCW se situent actuellement plutôt au niveau des législations qui ne tiennent pas compte du RGPD et de ses implications.
Le courrier du Secrétaire d’Etat interroge l’UVCW sur la manière de renforcer la confiance et la transparence dans l’utilisation des données. Il paraît que la détermination des éléments essentiels des traitements dans les textes normatifs, ainsi qu’une meilleure implémentation du RGPD dans les diverses législations, renforceraient à la fois la transparence des traitements par les autorités publiques et la sécurité technique et juridique de ces traitements.
Certes, les autorités publiques fédérales ne sont pas seules responsables de toutes les normes prises dans notre Belgique fédérale, mais nous savons qu’un certain nombre de traitements effectués par les membres de l’UVCW le sont dans un contexte de réglementations fédérales. Nous songeons notamment à la réglementation relative au Registre national, aux registres de population (en ce compris le registre des étrangers). Aussi, l’UVCW salue positivement toute initiative améliorant les cadres réglementaires.
L’UVCW insiste d’ailleurs pour que cette remise à niveau se fasse davantage par voie législative ou réglementaire que par voie contractuelle (par protocole visé à l’article 20 de la loi dont question), car il paraît être un non-sens de régler toutes les questions de manière individuelle ou en supposant que chaque partie est libre de contracter, les missions de services publics, que supposent les traitements de données, étant souvent obligatoires.
Nous songeons aussi à la réglementation relative à la transparence administrative elle-même. Selon le cas, les membres de l’UVCW pourraient être amenés à appliquer la réglementation fédérale relative à la transparence administrative (mais les propos de l’UVCW visent évidemment aussi la réglementation régionale wallonne) et les membres de l’UVCW se plaignent de ne pas disposer de règles claires sur la mise en balance « protection de la vie privée vs. transparence administrative ». Le RGPD offrant une large mise en œuvre par le législateur national compétent, l’UVCW souhaiterait qu’une réflexion soit menée afin d’édicter des règles gagnant en précisions et en allègement des charges administratives au profit des autorités publiques. A cet égard, l’UVCW note que des discussions ont actuellement lieu au sein du Parlement wallon en vue de revoir la transparence administrative. La réutilisation des données du secteur public est évidemment concernée aussi, formant ainsi, avec la transparence administrative et la protection des données caractère personnel, trois matières permettant de renforcer la transparence de l’administration et la confiance envers les administrations.
2. Mutualisation des délégués à la protection des données
La désignation d’un délégué à la protection des données est obligatoire dans le chef des membres de l’UVCW, en raison de leur qualité d’autorité publique, à tout le moins au sens de la LTD. Le RGPD lui-même autorise la mutualisation des délégués à la protection des données. Compte tenu de la complexité et de la diversité des tâches incombant aux délégués à la protection des données et des exigences de leur fonction, les délégués à la protection des données sont une denrée rare, spécialement au niveau local. La mutualisation des délégués à la protection des données est donc une nécessité pour les membres de l’UVCW.
En 2018 déjà, dans un avis remis à propos de l’avant-projet de loi de ce qui allait être la LTD, l’UVCW réclamait un cadre réglementaire facilitant la mutualisation des délégués. Ce cadre ne serait pas le propre des pouvoirs locaux (et ne relèverait donc pas de la compétence du Ministre wallon des Pouvoirs locaux), mais pourrait bénéficier à tous les responsables de traitement et sous-traitants, tant publics que privés. L’UVCW a attiré l’attention du Secrétaire d’Etat sur le fait que les membres de l’UVCW sont, en outre et contrairement au secteur privé, confrontés aux contraintes des autorités administratives (lois de service public, transparence, motivation formelle, patere legem quam ipse fecisti, etc.), ce qui rend plus complexe l’engagement de personnel.
L’UVCW réclame donc, à nouveau, un cadre réglementaire facilitant la mutualisation des délégués à la protection des données. Deux options peuvent être envisagées : soit la possibilité de créer un service commun de protection des données, par analogie à ce qui existe dans le Code de bien-être au travail en ce concerne la prévention et la protection au travail, soit l’adaptation de la réglementation relative à la mise à disposition de personnel.
3. Exonération des autorités publiques des amendes administratives
Le RGPD permet aux Etats membres de déterminer si et dans quelle mesure ils exonèrent les autorités publiques des amendes administratives. L’article 221, § 2, de la LTD exonère partiellement les autorités publiques telles que définies par la LTD. Cette exonération a fait l’objet de nombreuses discussions au sein du Parlement fédéral. Elle a aussi été contestée devant la Cour constitutionnelle, qui ne l’a pas annulée. L’UVCW est favorable à une telle exonération pour de nombreuses raisons et avait fait entendre son point de vue en intervenant dans l’affaire portée devant la Cour constitutionnelle. L’UVCW constate une interprétation très stricte de la notion d’autorité publique par la Chambre contentieuse de l’APD, s’écartant ainsi de la notion d’autorité publique telle que définie dans la LTD. Si les contours de l’exonération devaient être rediscutés, l’UVCW souhaiterait que l’exonération (même partielle) soit maintenue et clarifiée, par exemple, grâce à l’énumération des autorités publiques visées. L’UVCW pourrait, le cas échéant, contribuer à cette énumération.
4. Paysage institutionnel de l’e-gouvernement (sources authentiques, intégrateurs de services et autorités de contrôle)
Le courrier du Secrétaire d’Etat interroge l’UVCW sur le renforcement de la confiance et de la transparence dans l’utilisation des données à caractère personnel, ainsi que sur la stimulation de l’innovation en matière de données. Comme indiqué ci-dessus, les pouvoirs locaux sont grands détenteurs, utilisateurs ou collecteurs de données pour leurs besoins propres, pour les missions que d’autres niveaux de pouvoir leur confient, mais aussi pour d’autres pouvoirs publics. A cet égard, l’UVCW a souhaité formuler deux considérations qui semblent particulièrement importantes.
Premièrement, l’accès aux données dont les autorités publiques disposent doit demeurer gratuit. Les membres de l’UVCW collectant des données essentielles au bon fonctionnement de tout notre Etat, l’UVCW estime qu’ils ne doivent pas payer lorsqu’ils doivent accéder à « leurs » propres données ou à celles d’autres. L’UVCW souhaite que soit garantie la gratuité de l’accès aux sources authentiques pour ses membres.
Deuxièmement, le rôle des intégrateurs de service est primordial dans la configuration actuelle du fonctionnement de la collecte, de l’utilisation et du partage des données entre les autorités publiques, en Belgique. Or, à défaut de financement suffisant par le Gouvernement wallon de l’intégrateur de services wallon au profit des membres de l’UVCW, ce système d’e-gouvernement est sérieusement mis à mal. Depuis la création de la Banque-Carrefour d’Echange de Données en 2013, l’intégrateur de services régional wallon n’a pas pu disposer des moyens suffisants pour œuvrer en faveur des pouvoirs locaux wallons. Le fonctionnement de l’e-gouvernement tel qu’il est envisagé dans l’accord de coopération du 26 août 2013 paraît compromis puisque déséquilibré.
L’UVCW craint une sorte de favorisation ou de restriction sérieuse de l’accès aux sources authentiques, l’absence d’intervention de la BCED reportant la charge sur les prestataires informatiques (ou sur le niveau fédéral selon le cas). Ceci a pour conséquence de mettre à mal les principes de simplification administrative de collecte unique et de réutilisation maximale des données ainsi que l’efficacité attendue en e-gouvernement en ce 21e siècle. Or, nous savons que de sérieux défis attendent les pouvoirs publics en termes d’e-gouvernement (notamment : ebox ou single digital gateway). L’UVCW espère pouvoir compter sur l’intérêt du Secrétaire d’Etat à soutenir les principes fondateurs d’un l’e-gouvernement belge équilibré pour tous les intervenants. Il convient de noter, pour le surplus, que la Commission Wallonie-Bruxelles de contrôle des échanges de données n’a pas vu le jour et que la Wallonie ne dispose donc pas d’autorité de contrôle.
5. Rôle de l’Autorité de Protection des Données
L’UVCW a tenu à saluer positivement le travail mené par l’Autorité de Protection des Données, jeune entité dont le rôle préventif paraît primordial. L’UVCW a insisté sur l’importance de fournir les ressources nécessaires à l’APD afin qu’elle conseille les intervenants en amont des traitements ou avant toute procédure contentieuse. Le RGPD proposant de nombreux outils d’aide à la mise en conformité ou de démonstration de conformité, il semble logique de permettre aux responsables de traitement et aux sous-traitants de profiter de ces outils. Nous songeons particulièrement aux codes de conduite, aux clauses-types contractuelles et mécanismes de certification. Nous pensons aussi aux missions de conseil à destination des autorités publiques. Aussi, l’UVCW souhaite que l’APD dispose des moyens suffisants pour maintenir et développer ses missions, davantage axées sur le préventif que le répressif. Le respect de la protection des données à caractère personnel est une tâche complexe et ardue dans le domaine des autorités publiques. L’UVCW est convaincue que le développement d’outils et de la mission de conseils par l’APD améliorerait la maturité de conformité des autorités publiques au RGPD.
Management de la donnée : Vincent Palate - Judith Duchêne - Marie-Laure Van Rillaer - Isabelle Dugailliez
Lire aussi en Management de la donnée
Formations - Management de la donnée
- Cybersécurité : mails, publicités frauduleuses, ... ne vous faites plus piéger
- En tant que DPO, comment mener le projet de protection des données à caractère personnel de mon organisation ?
- La gestion des données à caractère personnel : obligations et enjeux pour les administrations locales
- Open data : quels principes et quelles obligations pour les autorités publiques locales?
- Comment mettre en place le registre de traitement de mon organisation ?
- Comment garantir la protection des données sensibles de votre personnel ?
- Comment protéger les données à caractère personnel traitées par votre service Population/Etat civil ?
- Comment se préparer à un contrôle de l’Autorité de protection des données ?
- Comment veiller au respect de la réglementation RGPD dans vos contrats et conventions ?
- Focus sur l'analyse d’impact
- Que faire en cas de fuite de données à caractère personnel ?