/

La protection de la vie privée lors des activités des services communaux

  • Session : 2019-2020
  • Année : 2020
  • N° : 67 (2019-2020) 1

2 élément(s) trouvé(s).

  • Question écrite du 02/01/2020
    • de CORNILLIE Hervé
    • à DERMAGNE Pierre-Yves, Ministre du Logement, des Pouvoirs locaux et de la Ville
    Plusieurs mandataires locaux m'ont fait état de questions qui leur ont été adressées ou qui se sont imposées à eux en lien avec la protection de la vie privée lors de la prestation de leurs différents services.

    Fournir des éclaircissements à propos de ce qui est permis ou pas, par et pour les services communaux, vis-à-vis de la protection de la vie privée me semble indispensable.

    Quelles dispositions législatives en place régulent la protection de la vie privée au sein des prestations des services communaux ? Monsieur le Ministre peut-il rappeler le cadre d'action ?

    Dans quelle mesure un service communal peut-il consulter et utiliser la liste des habitants pour envoyer un mailing proposant des activités organisées par ledit service ?

    La question est sans doute également valable pour les autres supports ?

    Quels sont les critères entrant en ligne de compte pour l'utilisation du fichier des habitants ?

    Existe-t-il des restrictions relatives à l'âge ? (Ex : courrier à propos d'une crèche destinée aux jeunes parents ou encore un courrier du service des sports aux jeunes de 6 à 18 ans de la commune).

    C'est une problématique qui, au sein des communes, ne concerne pas seulement les prestataires publics, mais aussi ceux du secteur associatif.

    De nombreuses associations sollicitent les communes : les comités de jeunes (pour, par exemple, des colis aux aînés), les associations de quartiers (pour les fêtes des voisins, par exemple)…

    Pour ce secteur, les questions posées auparavant se posent également.

    Existe-t-il une régulation relative à la protection de la vie privée pour ce dernier ?

    Des dispositions spécifiques s'appliquent-elles à ces acteurs ?

    Comment les communes peuvent-elles agir dans le respect de la loi tout en accédant aux demandes du secteur associatif dont l'action présente une réelle plus-value pour la population locale ?

    Les associations peuvent-elles consulter le listing communal (ou en obtenir une partie) pour envoyer des informations concernant leur activité à leur public-cible ?
    Si oui, à quelles conditions ?
  • Réponse du 20/01/2020
    • de DERMAGNE Pierre-Yves
    Il convient tout d’abord de rappeler que les textes de référence relatifs à la protection des données sont :
    - la loi du 3 décembre 2017 portant création de l’Autorité de protection des données ;
    - le règlement général sur la protection des données (RGPD). Celui-ci comprend aussi bien les droits et obligations de la personne dont les données sont traitées que les droits et obligations du responsable du traitement (et du sous-traitant). Le RGPD régit également les missions et différents rôles de l’Autorité de protection des données ;
    - la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Cette loi-cadre prévoit l’exécution des dispositions ouvertes du RGPD, la transposition de la directive 2016/680 sur le traitement de données à caractère personnel dans la chaîne de droit pénal et la création de l’Organe de contrôle de l’information policière (COC).

    Le principe est que seuls les services communaux et les services dépendant du CPAS peuvent consulter le registre de la population, et uniquement à des « fins internes ». Aucune précision formelle n’a été apportée par le législateur fédéral sur cette notion de « fins internes » ce qui crée, à ce jour, une certaine insécurité juridique.

    Néanmoins, l’Autorité chargée de la bonne exécution de la législation relative à la protection de la vie privée se montre constructive, en reconnaissant que la commune doit pouvoir disposer de certaines données pour remplir ses missions en tant qu’administration publique. En attendant une éventuelle description ou délimitation des « fins internes », l’Autorité estime que les finalités qui s’inscrivent dans le cadre des compétences régaliennes des communes peuvent être qualifiées d’internes.

    En contrepartie de ces facilités de consultation, il est nécessaire que les communes mettent au point une bonne politique de sécurité de l’information, sous la surveillance et le contrôle d’un conseiller ad hoc. Cela implique, notamment, que chaque consultation des registres de la population doit être journalisée de manière à toujours pouvoir vérifier qui a consulté quoi, quand et pourquoi dans les registres de la population et ce, afin de pouvoir détecter une consultation de données réalisée à des fins non internes ou personnelles. Cela requiert également l’élaboration d’une bonne gestion des accès et des utilisateurs. L’Autorité estime que la consultation des registres de la population doit toujours être couverte par une décision du collège communal, ce qui permet de contrôler l’objet de la consultation.

    Le respect de la vie privée est également d’application puisqu’il y a un traitement de données à caractère personnel via une consultation à des fins internes. Dans cette hypothèse, la commune doit respecter le principe de proportionnalité : elle doit s’abstenir de réaliser un traitement de données à caractère personnel si elle peut accomplir sa mission d’une manière moins intrusive dans la vie privée.

    Au-delà des consultations à des fins internes, l’administration communale ne peut pas fournir des listes de personnes à des tiers, sauf s’il s’agit d’une autorité ou d’une institution publique habilitée à obtenir de telles listes par ou en vertu de la loi.

    La réglementation prévoit toutefois deux exceptions majeures à cette interdiction de principe. Sur demande écrite mentionnant l’usage qui en sera fait, de telles listes peuvent être fournies à des partis politiques, exclusivement à des fins électorales et pour la durée de la campagne électorale, et à des organismes de droit belge qui accomplissent des missions d’intérêt général et qui ne disposent pas d’une autorisation d’accéder au Registre national.

    Dans ce dernier cas, qu’entend-on par « organismes de droit belge » et « l’accomplissement d’une tâche d’intérêt général » ?

    La première notion regroupe les personnes morales de droit public ou privé poursuivant un but caritatif, culturel ou philanthropique, à l’exclusion de tous les organismes poursuivant un but commercial ou lucratif. Une personne physique, une association ou organisation de fait, un comité, et cetera ne répondent pas à ce critère. On ne peut, par conséquent, leur fournir de liste.

    La deuxième notion - l’accomplissement d’une tâche d’intérêt général - est clairement l’élément déterminant. Un organisme ne peut en principe réclamer les données que pour des missions d’intérêt général qui s’inscrivent dans son objet social.

    L’organisme souhaitant obtenir des données à caractère personnel du registre de la population doit adresser une demande écrite (accompagnée des pièces justificatives nécessaires) au collège communal, en mentionnant la finalité pour laquelle les données sont demandées. Cette finalité doit s’inscrire dans l’objet social du demandeur.

    Lorsque la demande est acceptée, seules peuvent être fournies les données proportionnelles à la finalité indiquée, c’est-à-dire pas davantage de données que celles nécessaires à la réalisation de cette fin.

    Le collège communal doit signaler au demandeur qu’il ne peut pas fournir les données à des tiers ou les utiliser à des fins autres que celles mentionnées dans la demande, et il va de soi que les données doivent être détruites si leur utilisation n’est plus nécessaire.

    L’Autorité est régulièrement interrogée par des communes pour savoir si elles peuvent fournir de telles listes à des écoles et des associations de jeunesse ou autres, en vue de recruter des élèves ou des membres.

    Le collège communal doit faire preuve d’une certaine prudence lorsqu’il examine de telles demandes. Le simple fait qu’un organisme accomplisse des tâches d’intérêt général ne suffit pas à justifier qu’on lui fournisse des listes. Par exemple, la mission d’intérêt général d’une école consiste à dispenser un enseignement de qualité dans le cadre de son projet pédagogique. Le recrutement d’élèves et le fait de se positionner sur le marché scolaire ne font pas partie de cette mission centrale. Par conséquent, on ne peut pas fournir une liste à une école afin qu’elle puisse envoyer aux parents d’élèves de la dernière année d’enseignement primaire un courrier personnalisé afin de les inciter à suivre l’enseignement secondaire qu’elle dispense. Un tel acte ne s’inscrit pas dans le cadre de l’accomplissement d’une tâche d’intérêt général.

    Enfin, il convient de souligner que, comme dans le cadre des consultations à des fins internes, l’utilisation de données du registre de la population ne constitue pas le seul moyen disponible pour atteindre le public. Lorsque d’autres moyens sont disponibles pour ce faire, le collège doit rejeter la demande. Dans l’exemple de l’enseignement, la commune peut choisir de mentionner toutes les écoles de son territoire sur son site internet ou dans le bulletin communal de sorte que les parents puissent eux-mêmes prendre contact avec l’école de leur choix. Il s’agit là d’un exemple pratique du principe de proportionnalité déjà cité.