publié le 05 juillet 2021
Extrait de l'arrêt n° 3/2021 du 14 janvier 2021 Numéro du rôle : 7135 En cause : le recours en annulation de l'article 221, § 2, de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l'égard des traitements de La Cour constitutionnelle, composée des présidents F. Daoût et L. Lavrysen, et des juges T. Merc(...)
COUR CONSTITUTIONNELLE
Extrait de l'arrêt n° 3/2021 du 14 janvier 2021 Numéro du rôle : 7135 En cause : le recours en annulation de l'article 221, § 2, de la
loi du 30 juillet 2018Documents pertinents retrouvés
type
loi
prom.
30/07/2018
pub.
05/09/2018
numac
2018040581
source
service public federal justice, service public federal interieur et ministere de la defense
Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
type
loi
prom.
30/07/2018
pub.
10/08/2018
numac
2018031637
source
service public federal finances
Loi portant des dispositions financières diverses
type
loi
prom.
30/07/2018
pub.
05/09/2018
numac
2018031589
source
service public federal economie, p.m.e., classes moyennes et energie
Loi portant dispositions diverses en matière d'Economie
fermer « relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel », introduit par l'ASBL « Fédération des Entreprises de Belgique ».
La Cour constitutionnelle, composée des présidents F. Daoût et L. Lavrysen, et des juges T. Merckx-Van Goey, R. Leysen, M. Pâques, Y. Kherbache et T. Detienne, assistée du greffier P.-Y. Dutilleux, présidée par le président F. Daoût, après en avoir délibéré, rend l'arrêt suivant : I. Objet du recours et procédure Par requête adressée à la Cour par lettre recommandée à la poste le 5 mars 2019 et parvenue au greffe le 6 mars 2019, l'ASBL « Fédération des Entreprises de Belgique », assistée et représentée par Me M. Grégoire, avocat à la Cour de cassation, et Me C. De Jonghe, avocat au barreau de Bruxelles, a introduit un recours en annulation de l'article 221, § 2, de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel type loi prom. 30/07/2018 pub. 10/08/2018 numac 2018031637 source service public federal finances Loi portant des dispositions financières diverses type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018031589 source service public federal economie, p.m.e., classes moyennes et energie Loi portant dispositions diverses en matière d'Economie fermer « relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel » (publiée au Moniteur belge du 5 septembre 2018). (...) II. En droit (...) Quant à la disposition attaquée et à son contexte B.1. La partie requérante demande l'annulation de l'article 221, § 2, de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel type loi prom. 30/07/2018 pub. 10/08/2018 numac 2018031637 source service public federal finances Loi portant des dispositions financières diverses type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018031589 source service public federal economie, p.m.e., classes moyennes et energie Loi portant dispositions diverses en matière d'Economie fermer « relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel » (ci-après : la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel type loi prom. 30/07/2018 pub. 10/08/2018 numac 2018031637 source service public federal finances Loi portant des dispositions financières diverses type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018031589 source service public federal economie, p.m.e., classes moyennes et energie Loi portant dispositions diverses en matière d'Economie fermer).
B.2. La loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel type loi prom. 30/07/2018 pub. 10/08/2018 numac 2018031637 source service public federal finances Loi portant des dispositions financières diverses type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018031589 source service public federal economie, p.m.e., classes moyennes et energie Loi portant dispositions diverses en matière d'Economie fermer s'inscrit dans le cadre de la protection des données personnelles en droit belge, après l'adoption, par l'Union européenne, du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 « relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) » (ci-après : le RGPD).
En vue de l'exécution du RGPD, le législateur belge a adopté une législation-cadre, constituée notamment de la loi du 3 décembre 2017Documents pertinents retrouvés type loi prom. 03/12/2017 pub. 10/01/2018 numac 2017031916 source service public federal justice Loi portant création de l'Autorité de protection des données fermer « portant création de l'Autorité de protection des données » (ci-après : la loi du 3 décembre 2017Documents pertinents retrouvés type loi prom. 03/12/2017 pub. 10/01/2018 numac 2017031916 source service public federal justice Loi portant création de l'Autorité de protection des données fermer) et de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel type loi prom. 30/07/2018 pub. 10/08/2018 numac 2018031637 source service public federal finances Loi portant des dispositions financières diverses type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018031589 source service public federal economie, p.m.e., classes moyennes et energie Loi portant dispositions diverses en matière d'Economie fermer.
En ce qui concerne le droit de l'Union européenne B.3. Le RGPD met en oeuvre un système de sanctions visant à garantir le respect des obligations des responsables de traitement des données à caractère personnel. Il existe plusieurs types de sanctions : outre les mesures correctrices prévues par le RGPD (article 58, paragraphe 2), les Etats membres mettent également en place des amendes administratives (article 83) et des sanctions pénales (article 84).
B.4. L'article 83 du RGPD, intitulé « Conditions générales pour imposer des amendes administratives », dispose : « 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. 2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j).Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants : a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi;b) le fait que la violation a été commise délibérément ou par négligence;c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32;e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs;g) les catégories de données à caractère personnel concernées par la violation;h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42;et k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d'opérations de traitement liées, le montant total de l'amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.4. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu : a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;b) les obligations incombant à l'organisme de certification en vertu des articles 42 et 43;c) les obligations incombant à l'organisme chargé du suivi des codes de conduite en vertu de l'article 41, paragraphe 4.5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu : a) les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22;c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;d) toutes les obligations découlant du droit des Etats membres adoptées en vertu du chapitre IX;e) le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, ou le fait de ne pas accorder l'accès prévu, en violation de l'article 58, paragraphe 1.6. Le non-respect d'une injonction émise par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, fait l'objet, conformément au paragraphe 2 du présent article, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d'adoption de mesures correctrices en vertu de l'article 58, paragraphe 2, chaque Etat membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.8. L'exercice, par l'autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l'Union et au droit des Etats membres, y compris un recours juridictionnel effectif et une procédure régulière.9. Si le système juridique d'un Etat membre ne prévoit pas d'amendes administratives, le présent article peut être appliqué de telle sorte que l'amende est déterminée par l'autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle.En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les Etats membres concernés notifient à la Commission les dispositions légales qu'ils adoptent en vertu du présent paragraphe au plus tard le 25 mai 2018 et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant ».
Le paragraphe 7, qui instaure la faculté, pour les Etats membres, de déterminer dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics, ne figurait pas dans la proposition initiale du Parlement (COM (2012) 11 final); il a été inséré à l'initiative du Conseil (DOC, n° 5419/1/16 REV 1).
B.5. L'article 84 du RGPD, intitulé « Sanctions », dispose : « 1. Les Etats membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l'objet des amendes administratives prévues à l'article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en oeuvre. Ces sanctions sont effectives, proportionnées et dissuasives. 2. Chaque Etat membre notifie à la Commission les dispositions légales qu'il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant ». B.6. Le considérant 150 du RGPD a été introduit pour la première fois dans le processus d'adoption du RGPD par le Conseil dans la Position (UE) n° 6/2016 adoptée par le Conseil le 8 avril 2016 (JO C 159 du 3 mai 2016, p. 27). Il est rédigé comme suit : « Afin de renforcer et d'harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d'imposer des amendes administratives. Le présent règlement devrait définir les violations, le montant maximal et les critères de fixation des amendes administratives dont elles sont passibles, qui devraient être fixés par l'autorité de contrôle compétente dans chaque cas d'espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l'Union européenne. Lorsque des amendes administratives sont imposées à des personnes qui ne sont pas une entreprise, l'autorité de contrôle devrait tenir compte, lorsqu'elle examine quel serait le montant approprié de l'amende, du niveau général des revenus dans l'Etat membre ainsi que de la situation économique de la personne en cause. Il peut en outre être recouru au mécanisme de contrôle de la cohérence pour favoriser une application cohérente des amendes administratives. Il devrait appartenir aux Etats membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l'objet d'amendes administratives. L'application d'une amende administrative ou le fait de donner un avertissement ne portent pas atteinte à l'exercice d'autres pouvoirs des autorités de contrôle ou à l'application d'autres sanctions en vertu du présent règlement ».
En ce qui concerne le droit belge B.7. La faculté prévue par l'article 83, paragraphe 7, du RGPD est mise en oeuvre en droit interne par l'article 221, § 2, de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel type loi prom. 30/07/2018 pub. 10/08/2018 numac 2018031637 source service public federal finances Loi portant des dispositions financières diverses type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018031589 source service public federal economie, p.m.e., classes moyennes et energie Loi portant dispositions diverses en matière d'Economie fermer, attaqué, qui dispose : « L'article 83 du Règlement ne s'applique pas aux autorités publiques et leurs préposés ou mandataires sauf s'il s'agit de personnes morales de droit public qui offrent des biens ou des services sur un marché ».
Cette disposition résulte d'un amendement déposé le 3 juillet 2018, soit après que la section de législation du Conseil d'Etat a émis son avis (Doc. parl., Chambre, 2017-2018, DOC 54-3126/002, p. 55). Le texte, qui figurait alors à l'article 234 dans le projet de loi initial, visait à exonérer les autorités publiques, ainsi que leurs préposés ou mandataires de toute amende administrative.
B.8. Les travaux préparatoires relatifs à la version initiale de la disposition attaquée indiquent : « Il est naturellement clair que l'autorité publique n'est pas exemptée des obligations prévues par le Règlement et la présente loi.
Toutefois il est choisi de ne pas faire appliquer les amendes administratives aux autorités publiques telles que définies à l'article 5. Celles-ci sont néanmoins soumises aux sanctions administratives non pécuniaires, ainsi qu'aux sanctions pénales.
Cette différence de traitement s'explique par le fait que l'administration a pour mission de servir l'intérêt public. De plus, l'administration est, dans la majorité des cas, dans l'obligation de traiter des données à caractère personnel, et n'en retire aucun bénéfice pécuniaire. Le droit administratif est un droit d'exception qui tient compte de la position particulière de l'exécutif dans les transactions juridiques. Par exemple, le gouvernement peut prendre des décisions unilatérales et les imposer au citoyen, mais l'administration est également soumise à diverses obligations particulières.
Les règles de droit public visent à promouvoir l'intérêt public, tandis que les règles de droit privé visent à la réalisation d'intérêts purement privés. Lors de la mise en oeuvre des missions d'intérêt général, un ensemble d'instruments différents de ceux applicables aux acteurs de droit privé doit être utilisé.
Les règles constitutionnelles de l'égalité et de la non-discrimination n'excluent pas qu'une différence de traitement soit établie entre des catégories de personnes, pour autant que cette différence de traitement repose sur un critère objectif, raisonnablement justifié et que les moyens utilisés soient proportionnés à l'objectif poursuivi.
En l'occurrence, la nécessité d'assurer la continuité du service public et de ne pas mettre en péril l'exercice d'une mission d'intérêt général justifie la différence de traitement entre ces derniers et les responsables de traitement du secteur privé. La non-application de l'amende administrative pour les responsables du traitement du service public est une mesure proportionnée par rapport à l'objectif poursuivi dans la mesure où elle permet d'éviter de mettre en péril la continuité du service public sans pour autant supprimer tout moyen de pression susceptible d'amener le responsable de traitement à veiller scrupuleusement au respect des règles de protection des données. Si les moyens de pression ne sont pas exactement identiques selon que le responsable de traitement appartienne au secteur public ou au secteur privé, ils restent néanmoins équivalents et permettent d'atteindre leur objectif. Dans son avis le Conseil d'Etat stipule que les moyens de pression doivent être équivalents, et donc pas nécessairement identiques.
Il n'est nullement l'intention du législateur de soustraire le secteur public à tout contrôle: il reste en effet soumis, le cas échéant, à la surveillance de l'autorité de contrôle compétente en ce qui concerne les sanctions administratives (mesures correctrices), il reste soumis également au contrôle judiciaire et aux sanctions pénales » (Doc. parl., Chambre, 2017-2018, DOC 54-3126/001, pp. 229-230).
B.9. Dans l'avis qu'elle a émis au sujet de cette première version de la disposition, la section de législation du Conseil d'Etat a formulé des réserves. Elle estime que le secteur public devrait être tenu de respecter les mesures de protection des données à caractère personnel, dès lors qu'il traite des données similaires à celles qui sont traitées par le secteur privé. L'exonération de toute amende administrative prive donc le citoyen « d'une garantie supplémentaire, [à savoir] que les règles de protection des données seront en principe respectées ». « Les responsables de traitement du secteur public doivent être soumis à des moyens de pression au moins équivalents à ceux qui pèsent sur le secteur privé ». En effet, ils « détiennent des données que les citoyens sont obligés de leur fournir sous peine de ne pas remplir leurs obligations légales, voire civiques » et une éventuelle violation est « susceptible non seulement de porter atteinte à la vie privée des citoyens mais également d'ébranler la confiance du citoyen en l'Etat » parce que le RGPD restreint déjà les droits des citoyens lorsque leurs données sont traitées pour des finalités liées à l'intérêt public et parce que « la loi du 3 décembre 2017Documents pertinents retrouvés type loi prom. 03/12/2017 pub. 10/01/2018 numac 2017031916 source service public federal justice Loi portant création de l'Autorité de protection des données fermer a supprimé le contrôle qu'exerçaient les comités sectoriels chargés d'autoriser ou de refuser les échanges de données au sein de l'administration ». Le Conseil d'Etat suggère, pour rendre le projet conforme aux articles 10 et 11 de la Constitution, d'introduire la faculté de fixer « des plafonds particuliers lorsque ces amendes sont imposées au secteur public » (ibid., pp. 402-456).
B.10. La Commission de la protection de la vie privée a émis un avis sur cette même version du projet de loi. Elle se déclare « en principe favorable au fait de traiter le secteur public et le secteur privé de la même manière en ce qui concerne le contrôle de l'application des lois » et critique l'exonération totale du secteur public du champ d'application des amendes administratives, « surtout s'il s'agit d'autorités qui peuvent prendre des décisions contraignantes à l'égard de justiciables ou lorsque les personnes concernées n'ont pas le choix de la personne à qui elles recourent pour la fourniture d'un service public ». Les mesures correctrices, comme la limitation du traitement, ne sont pas de nature à compenser cette exonération, en raison des impératifs de sauvegarde de la continuité du service public. Selon la Commission de la protection de la vie privée, la dérogation au bénéfice du service public, à défaut d'être supprimée, devrait « être délimité [e] minutieusement dans l'intérêt de la sécurité juridique ».
En l'état, l'application de la faculté offerte par l'article 83, paragraphe 7, du RGPD « est contraire au RGPD et au principe de légalité ». Enfin, la Commission de la protection de la vie privée estime qu'il faudrait, au minimum, réduire le champ d'application ratione personae de cette exonération aux seules personnes morales de droit public dites « politiques », telles qu'elles sont énumérées à l'article 7bis du Code pénal (ibid., pp. 845-848).
B.11. L'amendement n° 44, déposé le 3 juillet 2018, dont résulte la disposition attaquée, est justifié comme suit, dans les travaux préparatoires : « Lors des auditions sur ce sujet il apparaissait pour plusieurs intervenants déraisonnable le fait d'exclure l'autorité publique des amendes administratives. Regardant la législation d'autres pays européens concernant la mise en oeuvre du Règlement nous constatons qu'il existe des pays avec la même exemption, mais il existe autant de pays qui permettent la sanction pécuniaire de l'autorité publique et notamment lorsqu'il s'agit d'entités du gouvernement qui entrent en concurrence avec des joueurs privé sur le marché. Nous songeons en particulier aux autorités publiques qui sont actives sur le marché du transport, de la poste et de la livraison de colis, de la téléphonie, de la communication,...
Dans notre pays il est plus difficile d'utiliser le terme ' concurrence ' vu qu'il n'existe pas d'homologue privé pour un certain nombre d'autorités publiques. Afin de garantir qu'il y ait toutefois des sanctions pécuniaires il est prévu dans cet amendement une description qui est basée sur un renversement de la description courante dans le droit économique où il est dit que chaque personne morale de droit public qui n'offre pas de biens ou de services sur un marché n'est pas considérée comme une entreprise. Lorsque nous renversons la logique, nous pouvons déterminer dans le cadre de ce projet de loi que chaque personne morale de droit public qui offre des biens ou des services sur un marché peut être sanctionnée en infligeant des amendes administratives. De telle façon il est créé un terrain plus égal entre les autorités publiques et le marché privé » (Doc. parl., Chambre, 2017-2018, DOC 54-3126/002, p. 55).
Quant à la recevabilité En ce qui concerne l'intérêt de la partie requérante B.12. Le Conseil des ministres, le Gouvernement de la Communauté française et l'Union des Villes et des Communes de Wallonie estiment que le recours est irrecevable, en ce que l'ASBL « Fédération des Entreprises de Belgique » ne justifierait pas d'un intérêt à agir. La partie requérante ne démontrerait en effet pas en quoi elle pourrait être directement et défavorablement affectée par la disposition attaquée.
B.13.1. La Constitution et la loi spéciale du 6 janvier 1989 sur la Cour constitutionnelle imposent à toute personne physique ou morale qui introduit un recours en annulation de justifier d'un intérêt. Ne justifient de l'intérêt requis que les personnes dont la situation pourrait être affectée directement et défavorablement par la norme attaquée; il s'ensuit que l'action populaire n'est pas admissible.
B.13.2. Lorsqu'une association sans but lucratif qui n'invoque pas son intérêt personnel agit devant la Cour, il est requis que son but statutaire soit d'une nature particulière et, dès lors, distinct de l'intérêt général; qu'elle défende un intérêt collectif; que la norme attaquée soit susceptible d'affecter son but; qu'il n'apparaisse pas, enfin, que ce but n'est pas ou n'est plus réellement poursuivi.
B.14.1. L'ASBL « Fédération des entreprises de Belgique », partie requérante, a pour but statutaire « de grouper les associations professionnelles d'entreprises représentant les divers secteurs de l'économie belge et de créer, de maintenir et de développer l'esprit et les liens de solidarité entre elles; de promouvoir les intérêts généraux de ses membres et des entreprises de Belgique en particulier dans les domaines économique, social, technique, scientifique, fiscal et juridique; d'assurer, à tous les niveaux, la représentation des entreprises de Belgique sur le plan interprofessionnel; d'étudier, d'encourager et de réaliser tout ce qui peut contribuer au développement des entreprises de Belgique; de rechercher avec les pouvoirs publics et les organisations sociales les moyens propres à promouvoir le progrès économique et social » (article 4 de ses statuts, publiés au Moniteur belge du 7 janvier 2005).
B.14.2. Ce but se distingue de l'intérêt général et relève de la défense d'un intérêt collectif, à savoir celui des associations professionnelles d'entreprises, que la FEB représente par ailleurs dans le cadre des négociations collectives qui ont lieu au niveau du Conseil national du Travail.
Il n'apparaît pas, en outre, que l'association requérante ne poursuivrait pas réellement son but.
B.15.1. La disposition attaquée soustrait certaines autorités publiques au champ d'application des amendes administratives en cas de non-respect des obligations relatives à la protection des données à caractère personnel. Dans la mesure où, pour leur part, les entreprises privées peuvent faire l'objet d'amendes administratives en cas de non-respect des mesures de protection des données à caractère personnel qu'elles sont amenées à traiter, la différence de traitement ainsi opérée est de nature à affecter défavorablement les entreprises, notamment lorsque les données traitées le sont dans une même chaîne de traitement ou lorsque les entreprises doivent communiquer des données aux autorités publiques visées dans la disposition attaquée.
B.15.2. La disposition attaquée est donc susceptible d'affecter directement et défavorablement le but statutaire de l'association requérante, qui consiste notamment à promouvoir les intérêts généraux de ses membres et des entreprises de Belgique.
B.16. L'exception est rejetée.
B.17. Contrairement à ce que l'Union des Villes et des Communes de Wallonie soutient, les moyens sont exposés en des termes suffisamment compréhensibles, de sorte que l'exception obscuri libelli doit être rejetée.
En ce qui concerne l'intérêt des parties intervenantes B.18.1. Le Conseil des ministres et l'Union des Villes et des Communes de Wallonie estiment que les mémoires en intervention déposés par l'« Orde van Vlaamse balies » et par l'Ordre des barreaux francophones et germanophone sont irrecevables, en ce que ces parties ne justifient ni d'un intérêt propre, ni d'un intérêt collectif à l'intervention.
B.18.2. En outre, l'Union des villes et des communes de Wallonie conteste l'intérêt à intervenir de l'« Orde van Vlaamse balies » et de l'Ordre des barreaux francophones et germanophone, en ce qu'ils invoquent des moyens nouveaux qui doivent être considérés comme irrecevables.
B.19. L'« Orde van Vlaamse balies » et l'Ordre des barreaux francophones et germanophone sont des responsables de traitement au sens de l'article 4, point 7, du RGPD et ils sont soumis à la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel type loi prom. 30/07/2018 pub. 10/08/2018 numac 2018031637 source service public federal finances Loi portant des dispositions financières diverses type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018031589 source service public federal economie, p.m.e., classes moyennes et energie Loi portant dispositions diverses en matière d'Economie fermer et à la disposition attaquée.
Dès lors que leur situation, en leur qualité de responsable de traitement, est susceptible d'être affectée directement par la norme attaquée, ces parties justifient de l'intérêt requis pour intervenir dans le recours.
B.20.1. Toutefois, dans leurs mémoires, les deux parties intervenantes formulent à l'encontre de la disposition attaquée d'autres moyens qui portent sur l'existence d'une différence de traitement concernant des catégories de personnes qui ne s'apparentent pas aux catégories visées dans la requête en annulation. En effet, les parties intervenantes estiment qu'elles partagent avec les autorités publiques visées dans la disposition attaquée des caractéristiques communes qui devraient conduire à les inclure dans l'exonération d'amendes administratives.
En ce qu'il vise à faire reconnaître une lacune due à l'absence de dérogation dans leur chef, plutôt qu'à obtenir l'annulation de la disposition attaquée afin que tous les responsables de traitement sans exception soient soumis aux amendes administratives, le moyen est nouveau.
B.20.2. En ce qu'ils estiment que les ordres d'avocats ne peuvent être traités différemment des autorités publiques concernées par la disposition attaquée, dès lors qu'ils se trouvent dans la même situation, l'« Orde van Vlaamse balies » et l'Ordre des barreaux francophones et germanophone, parties intervenantes, prennent un moyen nouveau, qui n'est pas recevable.
L'intervention d'une personne justifiant d'un intérêt dans une procédure d'annulation ne peut ni modifier ni étendre les recours initiaux. L'article 87 de la loi spéciale du 6 janvier 1989 sur la Cour constitutionnelle ne permet en effet pas, contrairement à l'article 85, que le mémoire formule des moyens nouveaux.
B.21. Les griefs formulés par l'« Orde van Vlaamse Balies » et par l'Ordre des barreaux francophones et germanophone ne peuvent être pris en considération que dans la mesure où ils se rallient aux moyens formulés dans la requête et où ils peuvent être considérés comme des observations contenues dans un mémoire.
Quant au fond B.22. Le moyen unique est pris de la violation, par l'article 221, § 2, de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel type loi prom. 30/07/2018 pub. 10/08/2018 numac 2018031637 source service public federal finances Loi portant des dispositions financières diverses type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018031589 source service public federal economie, p.m.e., classes moyennes et energie Loi portant dispositions diverses en matière d'Economie fermer, des articles 10 et 11 de la Constitution, lus en combinaison ou non avec les articles 7, 8, 20, 21, paragraphe 1, et 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, avec l'article 16, paragraphe 1, du Traité sur le fonctionnement de l'Union européenne, avec le principe général d'égalité et de non-discrimination en droit de l'Union européenne, avec l'article 8 de la Convention européenne des droits de l'homme et avec les articles 83 et 84 du RGPD, en ce qu'il exclut la faculté d'infliger une amende administrative aux autorités publiques et à leurs préposés ou mandataires, sauf s'il s'agit de personnes morales de droit public qui offrent des biens ou des services sur un marché.
B.23. La disposition est attaquée en ce qu'elle créerait une différence de traitement entre, d'une part, les autorités publiques et leurs préposés ou mandataires, sauf s'il s'agit de personnes morales de droit public qui offrent des biens ou des services sur un marché, et, d'autre part, toutes les personnes de droit privé qui sont soumises aux règles du RGPD, en ce que ces deux catégories de personnes peuvent exercer des activités similaires et traiter des données personnelles similaires, alors qu'elles ne sont pas traitées de la même manière en ce qui concerne les sanctions du non-respect des obligations en matière de protection des données à caractère personnel.
B.24.1. Contrairement à ce que le Conseil des ministres et le Gouvernement de la Communauté française soutiennent, la seule circonstance que le RGPD laisse une marge de manoeuvre pour infliger ou non des amendes administratives aux autorités publiques, sans offrir cette même marge de manoeuvre à l'égard des personnes privées, ne suffit pas à conclure que la première catégorie de personnes et la seconde catégorie de personnes ne seraient pas suffisamment comparables au regard de la législation relative aux données à caractère personnel.
B.24.2. Dès lors, d'une part, que la notion de « responsable de traitement » de données à caractère personnel, au sens de l'article 4, point 7, du RGPD, s'applique indistinctement au secteur privé et au secteur public et, d'autre part, que les données à caractère personnel qui sont traitées par les deux catégories de personnes peuvent être identiques quant à leur nature et qu'elles concernent des données relatives notamment à l'identité, à la santé et à la situation financière de personnes, les deux catégories visées sont suffisamment comparables.
B.25. Le principe d'égalité et de non-discrimination n'exclut pas qu'une différence de traitement soit établie entre des catégories de personnes, pour autant qu'elle repose sur un critère objectif et qu'elle soit raisonnablement justifiée.
L'existence d'une telle justification doit s'apprécier en tenant compte du but et des effets de la mesure critiquée ainsi que de la nature des principes en cause; le principe d'égalité et de non-discrimination est violé lorsqu'il est établi qu'il n'existe pas de rapport raisonnable de proportionnalité entre les moyens employés et le but visé.
B.26.1. La disposition attaquée exclut la faculté, pour l'Autorité de protection des données, d'imposer des amendes administratives en cas de non-respect des obligations de protection des données à caractère personnel par les autorités publiques et par leurs préposés ou mandataires. Par exception, elle vise certaines autorités publiques, sur la base de deux critères : la qualité de personne morale de droit public et l'activité de celle-ci, qui consiste à offrir des biens ou des services sur un marché. L'exclusion des autorités publiques et de leurs préposés ou mandataires se produit donc quand ces deux critères ne sont pas réunis.
B.26.2. En ce qui concerne le premier critère, les autorités publiques et leurs préposés ou mandataires peuvent être distingués des personnes morales de droit privé, en ce qu'ils n'assument que des missions de service public et en ce qu'ils doivent ne servir que l'intérêt général.
B.26.3. En ce qui concerne le second critère, il ressort des travaux préparatoires que, pour établir l'existence de « l'offre de biens ou de services sur un marché », il y a lieu d'identifier, parmi les autorités visées par le premier critère, celles qui sont susceptibles d'entrer en concurrence, d'une manière ou d'une autre, avec les acteurs privés soumis aux obligations du RGPD (Doc. parl., Chambre, 2017-2018, DOC 54-3126/002, p. 55).
B.26.4. Les deux critères sont objectifs.
B.27. Il ressort des travaux préparatoires de la disposition attaquée que la non-application d'amendes administratives à certains responsables publics de traitement de données a été motivée par la nécessité d'assurer la continuité du service public et de ne pas mettre en péril l'exercice d'une mission d'intérêt général (Doc. parl., Chambre, 2017-2018, DOC 54-3126/001, pp. 229-230). Ces objectifs que le législateur poursuit en la matière peuvent, en soi, être considérés comme légitimes. Il faut toutefois vérifier si la mesure est objectivement et raisonnablement justifiée compte tenu des effets qu'elle entraîne, notamment en ce qui concerne le droit à la protection des données à caractère personnel.
B.28. L'imposition d'amendes administratives à des autorités publiques en charge d'une mission d'intérêt général est susceptible de mettre en péril l'exercice de cette mission et, par conséquent, de porter atteinte à la continuité du service public, en raison du poids financier qui y est attaché. Nonobstant l'obligation, découlant de l'article 83, paragraphe 2, du RGPD, pour l'Autorité de protection des données, de prendre en compte une série d'éléments concrets lors de son examen de l'opportunité d'infliger des amendes administratives, y compris la finalité d'intérêt général des missions exercées par le responsable de traitement, l'exonération de toute amende constitue une mesure pertinente par rapport aux objectifs poursuivis par le législateur.
B.29.1. Saisissant la faculté offerte par le droit européen d'exonérer certaines personnes publiques des amendes administratives, le législateur a pu raisonnablement estimer qu'il n'était pas nécessaire de soumettre au système des amendes administratives les autorités publiques et leurs préposés ou mandataires autres que les personnes morales de droit public qui offrent des biens ou des services sur un marché.
B.29.2. En effet, l'amende administrative n'est pas la seule mesure qui permette de garantir le respect du RGPD. Le droit de l'Union européenne a tenu compte du système juridique d'Etats membres qui n'autorisent pas l'imposition d'amendes administratives. Les personnes visées par la disposition attaquée peuvent toujours être condamnées à des mesures correctrices et, de façon ultime, à des sanctions pénales.
Le législateur a pu raisonnablement considérer que ces mesures alternatives étaient suffisamment dissuasives et qu'elles permettaient de concilier l'obligation de respecter le RGPD et le souci de garantir la continuité du service public et de ne pas mettre en péril l'exercice d'une mission d'intérêt général.
Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non-respect des obligations en matière de protection des données ne sont qu'indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l'objet du régime de la responsabilité civile des responsables de traitement, contenu dans l'article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.
B.30. Par ailleurs, la disposition attaquée n'a pas pour conséquence que les responsables de traitement potentiellement plus fragiles sur le plan économique subiraient plus lourdement les sanctions qui peuvent leur être infligées par l'Autorité de protection des données.
Le considérant 148 du RGPD prévoit en effet que, « si l'amende susceptible d'être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l'ordre peut être adressé plutôt qu'une amende ». En tout état de cause, le groupe de travail sur la protection des personnes a l'égard du traitement des données a caractère personnel, dans ses lignes directrices, considère que les amendes ne sont pas automatiques (Lignes directrices sur l'application et la fixation des amendes administratives aux fins du règlement (UE) 2016/679, adoptées le 3 octobre 2017, 17/FR WP 253).
B.31. En ce qui concerne l'argument selon lequel le montant des amendes administratives aurait pu être spécifiquement adapté pour les autorités publiques visées par la disposition attaquée, l'appréciation de la sévérité avec laquelle une infraction peut être punie relève du jugement d'opportunité qui appartient au législateur. En ce qui concerne l'échelle et les montants des peines, l'appréciation de la Cour doit se limiter aux cas dans lesquels le choix du législateur contient une incohérence telle qu'elle aboutit à traiter de manière manifestement déraisonnable des infractions comparables ou qu'elle entraîne des effets disproportionnés, eu égard aux objectifs poursuivis par le législateur.
B.32. Dès lors que, par la disposition attaquée, le législateur entend assurer la continuité du service public et ne pas mettre en péril l'exercice d'une mission d'intérêt général, l'exonération d'amendes administratives prévue à l'égard des autorités publiques visées par la disposition attaquée n'entraîne pas des effets disproportionnés, puisqu'elle permet d'éviter de faire peser sur le citoyen et sur la qualité du service public les conséquences financières d'une telle sanction, tout en laissant la possibilité d'infliger des mesures alternatives et dissuasives en cas de non-respect des obligations qui découlent du RGPD. B.33. L'examen de la compatibilité de la disposition attaquée avec les articles 7, 8, 20, 21, paragraphe 1, et 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, avec l'article 16, paragraphe 1, du Traité sur le fonctionnement de l'Union européenne, avec le principe général d'égalité et de non-discrimination en droit de l'Union européenne, avec l'article 8 de la Convention européenne des droits de l'homme et avec les articles 83 et 84 du RGPD ne mène pas à une autre conclusion.
Quant à la demande de poser des questions préjudicielles à la Cour de justice de l'Union européenne B.34. La FEB demande à la Cour de poser deux questions préjudicielles à la Cour de justice de l'Union européenne. Elle estime qu'il conviendrait d'interroger la Cour de justice sur la validité de l'article 83 du RGPD au regard du droit primaire de l'Union européenne, en posant les deux questions préjudicielles suivantes : « L'exonération totale de toute amende administrative pour les autorités publiques et les organismes publics qu'autorise l'article 83, paragraphe 7, du règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est-il compatible, d'une part, avec le principe d'égalité et de non-discrimination et, d'autre part, avec le droit à la protection de la vie privée et des données à caractère personnel ? En cas de réponse positive à la première question, le même article 83, paragraphe 7, du Règlement, lu en combinaison avec son article 84, paragraphe 2, demeure-t-il compatible avec ces droits et principes lorsqu'il est interprété comme permettant aux Etats membres de ne prévoir aucune autre forme de sanction en cas de violation, par les autorités publiques n'offrant pas des biens et services sur un marché, des dispositions de ce Règlement ? ».
B.35. Il ressort de la jurisprudence de la Cour de Justice de l'Union européenne que « les juridictions nationales peuvent examiner la validité d'un acte de l'Union et, si elles n'estiment pas fondés les moyens d'invalidité relevés d'office ou soulevés par les parties, rejeter ces moyens en concluant que l'acte est pleinement valide » (CJCE, 22 octobre 1987, Foto-Frost, 314/85, point 14; CJUE, 3 juillet 2019, Eurobolt BV, C-644/17, point 28).
B.36. L'article 83, paragraphe 7, du RGPD, tel qu'il est appliqué par la disposition attaquée, n'a ni pour objet ni pour effet de faire obstacle au respect du droit primaire de l'Union européenne. La faculté offerte aux Etats membres d'exclure certaines autorités publiques du champ d'application des amendes administratives est fondée sur un critère objectif et n'est pas dénuée de justification raisonnable, étant donné qu'elle ne porte pas atteinte au pouvoir des autorités de contrôle de prendre des mesures correctrices conformément à l'article 58, paragraphe 2, du RGPD. Cette disposition ne peut dès lors être tenue pour invalide. Si elle limite le nombre de mesures coercitives permettant de garantir le respect du RGPD, elle ne porte pas atteinte, en soi, au droit à la protection de la vie privée et des données à caractère personnel.
B.37. Par conséquent, il n'est pas nécessaire de poser à la Cour de justice les questions préjudicielles suggérées par la partie requérante.
B.38. Le moyen n'est pas fondé.
Par ces motifs, la Cour rejette le recours.
Ainsi rendu en langue française, en langue néerlandaise et en langue allemande, conformément à l'article 65 de la loi spéciale du 6 janvier 1989 sur la Cour constitutionnelle, le 14 janvier 2021.
Le greffier, P.-Y. Dutilleux Le président, F. Daoût