Coronavirus en Belgique: pas de base légale valable dans le projet de loi pandémie selon l'Autorité Protection des Données

L'avant-projet de loi relatif "aux mesures de police administrative lors d'une situation d'urgence épidémique", mieux connu sous l'appellation générique "loi pandémie" ne constitue pas une base légale valable pour le traitement des données qui pourraient être effectuées dans le cadre de la mise en place des mesures de police.

L'avant-projet de loi relatif "aux mesures de police administrative lors d'une situation d'urgence épidémique", mieux connu sous l'appellation générique "loi pandémie" ne constitue pas une base légale valable pour le traitement des données qui pourraient être effectuées dans le cadre de la mise en place des mesures de police. Il donne lieu à "une violation des principes de légalité et de prévisibilité". "Il doit être revu", juge l'Autorité de Protection des Données.

A la veille de l'ouverture des débats en commission parlementaire sur ce texte mis sur la table par la ministre de l'Intérieur Annelies Verlinden (CD&V), l'Autorité rappelle que "toute ingérence dans le droit au respect de la protection des données à caractère personnel, en particulier lorsque l'ingérence s'avère importante, n'est admissible que si elle est nécessaire et proportionnée à l'objectif qu'elle poursuit et qu'elle est encadrée par une norme ((loi, décret ou ordonnance) suffisamment claire et précise et dont l'application est prévisible pour les personnes concernées."

La loi doit décrire clairement et précisément les finalités déterminées

Selon cette instance, la loi doit décrire clairement et précisément les finalités déterminées, explicites et légitimes des traitements de données à caractère personnel; le ou les responsables de chaque traitement de données à caractère personnel; les données à caractère personnel qui seront traitées; les catégories de personnes concernées dont les données à caractère personnel seront traitées; les catégories de destinataires des données à caractère personnel ainsi que les raisons pour lesquelles ils recevront les données et les usages qu'ils en feront; le délai de conservation maximal des données à caractère personnel enregistrées.

Dans la mesure où la loi définit ces éléments essentiels, les détails et modalités de ces traitements de données peuvent être précisés par arrêté-royal, moyennant une délégation claire et précise effectuée par la loi. "L'avant-projet de loi ne définit pas les éléments essentiels et délègue à l'exécutif la tâche de les définir.. il qualifie de « modalités » les éléments essentiels des traitements de données qu'il entend autoriser, alors qu'il s'agit d'éléments essentiels qui doivent être définis par le législateur", déplore l'APD.

Les catégories de personnes

L'avant-projet ne définit pas non plus les catégories de personnes dont les données pourront être traitées. Il ne reprend pas une liste de catégories de données qui pourront être traitées sans toujours préciser par quelle(s) autorité(s), dans le cadre de quel(s) traitement(s) ni à quelle(s) fin(s). Le texte ne mentionne pas "quelle(s) autorité(s) endossera/ont la qualité de responsable du traitement pour les traitements de données qu'il entend autoriser au travers de cet avant-projet.

L'Autorité estime par ailleurs qu'"il est difficile malgré une description apparemment claire des finalités de surveillance et de contrôle, d'en comprendre l'objectif précis". "L'avant-projet semble en outre vouloir opérer une extension d'office et en bloc des possibilités d'utilisation de données contenues dans toutes les banques de données en possession de toutes les autorités publiques belges", lit-on encore dans l'avis rendu mardi.

Plus largement, l'Autorité estime que "l'avant-projet, en ce qu'il remet à plus tard (ndlr: et via l'exécutif), la définition de tous les éléments essentiels des traitements de données qu'il souhaite autoriser en bloc, ne permet pas aux élus d'appréhender le caractère légitime et proportionné de ces traitements de données".

Belga

Retrouvez l'article original sur RTBF