Affichage des arrêtés de police, toutes les mentions sont-elles admises ?
S’agissant de l’adoption des arrêtés de police en général et des arrêtés de police en matière de logement en particulier, la mention du destinataire figure toujours dans l’instrumentum de l’acte. Il s’agit d’une donnée à caractère personnel. Comme nous le savons, ces dernières ne peuvent être mentionnées à tout-va et ils convient d’être prudents dans leur traitement.
Ainsi, en matière de logement, les communes procèdent très souvent à l’affichage d’un arrêté interdisant l’accès d’un bâtiment ou déclarant son inhabitabilité. C’est alors que des questions se profilent au regard de la compatibilité d’une telle pratique avec le RGPD puisque la commune rend alors publiques des données à caractère personnel (le nom du destinataire de la mesure, sa titularité de droits réels ou personnels, son domicile et l’adresse de l’immeuble concerné par la mesure de police).
Cette pratique est-elle problématique ?
Le RGPD n’interdit pas en soi le traitement de données à caractère personnel. Il encadre les traitements et les soumet au respect de plusieurs principes fondamentaux dont celui de licéité[1]. Pour les autorités publiques, la licéité des traitements de données à caractère personnel repose essentiellement soit sur le respect d’une obligation légale à laquelle l’autorité publique est soumise soit sur l’exécution d’une mission d’intérêt public ou l’exercice de l’autorité publique dont est investie l’autorité publique[2]. En un mot comme en cent, derrière les traitements de données à caractère personnel effectués par une autorité publique, il y a nécessairement une réglementation qui les impose ou les permet.
La première question à se poser est donc celle de savoir si la loi impose ou non que l’arrêté soit affiché.
A priori, un arrêté de police « classique » fondé sur l’article 135 de la nouvelle loi communale est toujours notifié à son destinataire sans quoi il ne prend pas effet. Cette notification n’implique pas encore l’affichage.
L’arrêté interdisant l’accès d’une habitation ou déclarant son inhabitabilité pour sa part peut être flanqué de deux bases légales distinctes. Il peut être adopté sur base de l’article 135 de la nouvelle loi communale qui ne requiert aucun affichage spécifique mais ne l’empêche pas pour autant. Il peut également être adopté sur base du Code wallon de l’habitation durable qui, pour sa part, prévoit en son article 8 l’affichage d’une telle mesure sur les lieux.
Les dispositions en cause ne précisent pas si la commune est autorisée voire obligée d’afficher tout ou partie de l’arrêté en fonction notamment de la protection de la vie privée. En réalité, ces dispositions, comme beaucoup d’autres, ne tiennent pas compte de la protection des données à caractère personnel.
En l’absence de précisions textuelles, comment savoir si afficher l’entièreté de l’arrêté est conforme à la réglementation relative à la protection des données à caractère personnel ? Pour répondre à cette question, l’on pourrait avoir recours à un autre principe fondamental de la protection des données à caractère personnel, celui de la minimisation des données[3]. Selon ce principe, il ne faut traiter (ici afficher[4]) que les données à caractère personnel indispensables pour atteindre l’objectif fixé (la finalité du traitement). Autrement dit, est-il nécessaire d’afficher toutes les données à caractère personnel contenues dans l’arrêté d’insalubrité ou de police et, si oui, dans quelle mesure ?
L’arrêté adopté sur la base du Code wallon de l’habitation durable pourrait pour sa part être affiché sans autre forme de procès sans que ce traitement de données personnelles ne soit un problème au regard de la règlementation applicable en matière de droit à la vie privée. L’on privilégierait alors d’adopter une interprétation conciliante avec les textes et l’on considèrerait que si la norme appliquée prévoit la publicité d’un acte contenant des données personnelles, c’est qu’il en autorise implicitement mais sûrement le traitement. Cette lecture stricte de l’article 8 du Code wallon de l’habitation durable comporte toutefois l’inconvénient de ne pas se conformer au principe de minimisation des données. Ce principe voudrait en effet que l’on omette les données à caractère personnel non nécessaires à l’affichage, ce qui constitue toutefois une charge administrative non négligeable pour les administrations.
La mesure adoptée sur base de l’article 135 de la nouvelle loi communale implique selon nous un raisonnement différent puisque, comme nous l’avons mentionné plus haut, l’article 135 précité n’impose pas l’affichage de la mesure. Cet affichage est cependant parfois nécessaire et est alors le fait d’une décision de l’autorité en ce sens. Ainsi, il faut reconnaitre la légitimité d’une telle pratique dès lors qu’elle permet de protéger des candidats locataires d’une habitation frappée d’inhabitabilité en les informant de ce fait. Il aura dès lors pour effet de protéger l’ordre public et d’éviter toute forme de responsabilité communale.
Nous recommandons dans ce dernier cas d’une part, de mentionner dans le corps de l’arrêté qu’un affichage sur les lieux sera effectué ce qui légitimera le caractère nécessaire de l’affichage au regard de ce que requiert la bonne protection de l’ordre public. Nous recommandons, d’autre part, en l’absence de texte légal imposant ou autorisant cet affichage, que les mentions des données personnelles contenues dans l’arrêté et non nécessaires soient biffées.
[1] Art. 5, par. 1, a) et 6, par. 1 du RGPD.
[2] Art. 6, par. 1, c) et e) du RGPD.
[3] Art. 5, par. 1, c) et 25 du RGPD.
[4] La présente contribution n’aborde que la question de l’affichage et non de la rédaction formelle de la décision administrative.
Management de la donnée : Judith Duchêne - Vincent Palate - Marie-Laure Van Rillaer - Isabelle Dugailliez
Lire aussi en Management de la donnée
Formations - Management de la donnée
- Cybersécurité : mails, publicités frauduleuses, ... ne vous faites plus piéger
- En tant que DPO, comment mener le projet de protection des données à caractère personnel de mon organisation ?
- La gestion des données à caractère personnel : obligations et enjeux pour les administrations locales
- Open data : quels principes et quelles obligations pour les autorités publiques locales?
- Comment mettre en place le registre de traitement de mon organisation ?
- Comment garantir la protection des données sensibles de votre personnel ?
- Comment protéger les données à caractère personnel traitées par votre service Population/Etat civil ?
- Comment se préparer à un contrôle de l’Autorité de protection des données ?
- Comment veiller au respect de la réglementation RGPD dans vos contrats et conventions ?
- Focus sur l'analyse d’impact
- Que faire en cas de fuite de données à caractère personnel ?