publié le 17 septembre 2020
Arrêté royal portant exécution de l'arrêté royal n° 44 du 26 juin 2020 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano
17 SEPTEMBRE 2020. - Arrêté royal portant exécution de l'arrêté royal n° 44 du 26 juin 2020 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano
CONSEIL D'ETAT, section de législation avis 67.953/1/V du 31 août 2020 sur un projet d'arrêté royal `portant exécution de l'arrêté royal n° 44 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano' Le 24 août 2020, le Conseil d'Etat, section de législation, a été invité par la Ministre des Affaires sociales et de la Santé publique, et de l'Asile et de la Migration à communiquer un avis, dans un délai de cinq jours ouvrables, sur un projet d'arrêté royal `portant exécution de l'arrêté royal n° 44 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano'.
Le projet a été examiné par la première chambre des vacations le 27 août 2020. La chambre était composée de Marnix VAN DAMME, président de chambre, Carlo ADAMS et Kaat LEUS, conseillers d'Etat, et Astrid TRUYENS, greffier.
Le rapport a été présenté par Cedric JENART, auditeur adjoint.
La concordance entre la version française et la version néerlandaise de l'avis a été vérifiée sous le contrôle de Koen MUYLLE, conseiller d'Etat.
L'avis, dont le texte suit, a été donné le 31 août 2020. 1. Conformément à l'article 84, § 1er, alinéa 1er, 3°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973, la demande d'avis doit indiquer les motifs qui en justifient le caractère urgent. En l'occurrence, l'urgence est motivée dans la demande d'avis (1) comme suit : « Het verzoek om spoedbehandeling is gemotiveerd door de omstandigheid dat dit ontwerp betrekking heeft op een buitengewone crisissituatie, namelijk de gevolgen van de COVID-19-pandemie die momenteel in België heerst, wat bijzondere en ernstige problemen oplevert in termen van de volksgezondheid;
Dat het van vitaal belang is voor de volksgezondheid en voor het vermijden van een heropflakkering van de COVID-19 pandemie, dat de nodige maatregelen inzake contactonderzoek kunnen worden genomen;
Dat momenteel het bijzondere volmachtenbesluit nr. 44 van 26 juni 2020 omwille van de dringende noodzakelijkheid nog tot ten laatste 15 oktober 2020 voorziet in een voorlopige regelgeving m.b.t. deze materie, in afwachting van een meer duurzame en rechtszekere oplossing onder de vorm van een samenwerkingsakkoord;
Dat de goedkeuring van het ontwerp van samenwerkingsakkoord tussen de Federale staat, de Vlaamse Gemeenschap, het Waalse Gewest, de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie, betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde gefedereerde entiteiten of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano, dat eerder voor advies aan de afdeling wetgeving van de Raad van State werd voorgelegd, nog enige tijd in beslag zal nemen gelet op de te vervullen procedurele stappen;
Dat de bevoegde regeringen in afwachting van de goedkeuring van dit samenwerkingsakkoord reeds gestart zijn met de voorbereiding van een uitvoerend samenwerkingsakkoord m.b.t. de digitale contactopsoringsapplicatie(s), voorzien in artikel 14 § 9 van het ontwerp van samenwerkingsakkoord;
Dat gelet op de dringende noodzakelijkheid om de volksgezondheid te beschermen niet kan worden gewacht op de goedkeuring van bovengenoemde samenwerkingsakkoorden om met de digitale contactopsporing en eventuele test-projecten hieromtrent van start te gaan;
Dat er bijgevolg nood is aan een voorlopige regelgeving in afwachting van een meer rechtszeker juridisch kader dat de goede werking, de continuïteit en het vertrouwen van de burger in het systeem van het contactonderzoek kan garanderen;
Dat het bijgevolg van belang is dat dit ontwerp van koninklijk besluit zo snel mogelijk kan worden goedgekeurd en in het Belgisch Staatsblad kan worden gepubliceerd ». 2. En application de l'article 84, § 3, alinéa 1er, des lois coordonnées sur le Conseil d'Etat, la section de législation a dû se limiter à l'examen de la compétence de l'auteur de l'acte, du fondement juridique et de l'accomplissement des formalités prescrites. PORTEE DU PROJET 3. Le projet d'arrêté royal soumis pour avis entend, en exécution de l'article 14, § 9, de l'arrêté royal n° 44 du 26 juin 2020 (2), développer le système numérique de traçage des contacts comportant une application mobile basée sur le protocole DP3T (3) .Le projet définit notamment les fonctionnalités et les opérations ainsi que les spécifications techniques et l'interopérabilité de l'application de traçage des contacts, règle les obligations d'information qui incombent aux développeurs et aux gestionnaires de l'application et prévoit un contrôle de l'application.
Le dispositif en projet a un caractère temporaire, dans l'attente de l'approbation de l'accord de coopération d'exécution entre l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune qui sera conclu en ce qui concerne l'application numérique de traçage des contacts.
COMPETENCE 4. L'autorité fédérale est certes compétente quant à certains aspects du dispositif en projet concernant le traçage numérique des contacts (4), mais dans la mesure où ce dernier contient des prescriptions axées spécifiquement sur les applications numériques de traçage des contacts visant à dépister des contaminations par le COVID-19, il empiète sur la compétence communautaire en matière de médecine préventive (5) .La réglementation inscrite dans l'arrêté royal en projet concerne dès lors des compétences tant fédérales que communautaires et ne peut être mise en place dans son ensemble par l'autorité fédérale uniquement, par la voie du projet d'arrêté royal soumis pour avis.
Dans les avis 67.425/3, 67.426/3 et 67.427/3 du 26 mai 2020 du Conseil d'Etat, section de législation, sur une proposition de loi `portant création d'une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19' et sur un certain nombre d'amendements à cette proposition (6), le Conseil avait recommandé la conclusion d'un accord de coopération entre l'autorité fédérale et les communautés pour le règlement visé en matière de traitement des données à caractère personnel et de traçage numérique des contacts (7) . Dans les avis précités, il a notamment été observé ce qui suit : « En conclusion, la proposition de loi concerne à la fois des compétences fédérales et des compétences communautaires. En outre, les deux aspects de la réglementation proposée s'avèrent être étroitement liés.
Dans sa forme actuelle, la proposition de loi soumise pour avis ne peut se concrétiser que si elle est transformée en un accord de coopération, pour lequel l'assentiment parlementaire est requis. Cet accord pourrait en effet lier les Belges individuellement et il concerne des matières qui - eu égard au principe de légalité inscrit à l'article 22 de la Constitution - doivent être réglées par la loi (8) . Pareil accord de coopération offre au demeurant la meilleure sécurité juridique. Dans les circonstances données, et compte tenu du fait que l'arrêté royal n° 18 du 4 mai 2020 est déjà d'application dans la pratique, l'accord de coopération peut se voir attribuer un effet rétroactif au 4 mai 2020, à savoir au jour où l'arrêté concerné est entré en vigueur (...) ».
Dans le prolongement des avis cités, un accord de coopération législatif est en cours de préparation, étant entendu qu'en attendant son application, l'autorité fédérale, eu égard à la continuité du traçage des contacts et en vue d'éviter un vide juridique, a prévu un dispositif temporaire intégré dans l'arrêté royal n° 44 du 26 juin 2020 auquel le projet d'arrêté royal soumis pour avis entend donner exécution.
Il a été exposé au Conseil d'Etat, section de législation, que l'intention est de faire rétroagir (9) l'accord de coopération législatif précité et que la loi portant assentiment à l'accord de coopération rapportera (10) un certain nombre d'arrêtés royaux, dont l'arrêté royal n° 44 du 26 juin 2020. Le contenu de l'accord de coopération législatif correspondrait dans une large mesure à celui de l'arrêté royal n° 44 du 26 juin 2020 dont le retrait est envisagé.
L'intention serait également de conclure un accord de coopération d'exécution concernant le traçage numérique des contacts en vue de la mise en oeuvre de l'accord de coopération législatif. Toutefois, afin de lutter efficacement contre le coronavirus COVID-19, l'autorité fédérale se voit d'ores et déjà contrainte d'élaborer un arrêté royal portant exécution de l'arrêté royal n° 44 du 26 juin 2020 et de soumettre son projet pour avis au Conseil d'Etat, section de législation. Tout comme l'arrêté royal n° 44 du 26 juin 2020, le régime en projet soumis pour avis devra toutefois également être rapporté par l'accord de coopération d'exécution dont le contenu, ainsi qu'il a été communiqué au Conseil d'Etat, s'inspirera également étroitement de celui du projet d'arrêté royal soumis actuellement pour avis.
Eu égard au problème de compétence évoqué et à la manière dont il en a été tenu compte dans les circonstances contraignantes de la pandémie du coronavirus, le Conseil d'Etat, section de législation, poursuivra maintenant aussi l'examen sur le fond du projet d'arrêté royal qui lui a été soumis pour avis.
FONDEMENT JURIDIQUE 5. Sous réserve des observations formulées au point 6, l'arrêté royal en projet peut en principe être réputé trouver un fondement juridique dans l'article 14, § 9, de l'arrêté royal n° 44 du 26 juin 2020, qui charge le Roi de régler, par un arrêté visé à l'article 1er, § 4, de cet arrêté royal (11), plus avant le fonctionnement de l'application de traçage des contacts et les traitements de données utiles dans ce cadre sans préjudice des dispositions de l'article.L'arrêté dont l'élaboration est ainsi envisagée doit contenir à tout le moins les éléments énumérés à l'article 14, § 9, 1° à 7°, de l'arrêté royal n° 44 du 26 juin 2020.
Le Conseil d'Etat, section de législation, ne dispose pas de l'expertise technique requise pour confirmer avec certitude que le règlement en projet, dans son application pratique, sera toujours effectivement de nature à rencontrer les exigences et les garanties liées aux éléments énumérés à l'article 14, § 9, 1° à 7°, de l'arrêté royal n° 44 du 26 juin 2020. Néanmoins, le Conseil d'Etat peut constater que le projet soumis pour avis comporte différentes garanties spécifique pour y répondre. Ainsi, par exemple, l'article 14, § 9, 5°, de l'arrêté royal n° 44 du 26 juin 2020 mentionne « les garanties spécifiques pour limiter le risque de ré-identification sur la base de l'authentification de l'utilisateur infecté » et, sur ce point, les articles 2 à 4 du projet contiennent à première vue d'ores et déjà des garanties suffisantes pour au moins limiter le risque de pareille ré-identification de l'utilisateur infecté. 6. L'article 2, § 1er, 2°, b), du projet dispose que « le code du test est enregistré à l'initiative de l'utilisateur dans la Base de données I en même temps que la date du prélèvement et la date à laquelle l'utilisateur est devenu contagieux ».L'article 2, § 1er, 3°, a), du projet porte que « si un résultat d'un test est disponible dans la Base de données I, le code du test, la date du prélèvement et la date à laquelle l'utilisateur est devenu contagieux, sont communiqués par la Base de données I à la Base de données IV (lire : VI) ».
Les dispositions citées soulèvent la question de savoir de quelle manière l'utilisation de la base de données I pour le traçage numérique des contacts s'articule avec la fonction de cette base de données, telle qu'elle est réglée dans l'arrêté royal n° 44 du 26 juin 2020. A cet égard, le délégué a fourni l'explication suivante : « De gegevens in Gegevensbank I worden in het kader van de app enkel gebruikt om de betrokkene zelf mee te delen dat hij besmet is.Artikel 14 § 2 laat uitdrukkelijk toe dat een persoon categorie II of III de coronavirus COVID-19-besmetting daarna op een vrijwillige, geanonimiseerde, minstens gepseudonimiseerde, wijze kan melden door middel van een eigen actieve handeling. Artikel 14 § 3 [6° ] verplicht de gebruiker om een autorisatiecode te gebruiken, teneinde te waarborgen dat enkel gevalideerde informatie inzake besmettingen kan worden meegedeeld aan de verwerkingsverantwoordelijke van Gegevensbank V. De betrokkene heeft het recht om de nodige informatie hiertoe zo snel mogelijk te ontvangen. Die beste manier om deze snelle en accurate informatie aan de betrokkene te waarborgen is een automatische melding op basis van de gegevens in Gegevensbank I ».
Pour l'application du dispositif en projet, des finalités de traitement semblent être attribuées à la Base de données I, lesquelles finalités ne peuvent pas être retrouvées à l'article 3, § 1er, de l'arrêté royal n° 44 du 26 juin 2020. En effet, conformément à cette dernière disposition, le traitement des données à caractère personnel dans la Base de données I ne vise que des finalités de traitement concernant la mise à disposition de données à caractère personnel à des centres de contact, à des équipes mobiles et à la Base de données II. L'échange de données avec la Base de données V, visé dans le projet - via la Base de données VI nouvellement instaurée -, n'est toutefois pas mentionné. Cela n'est pas non plus le cas pour la finalité visant à communiquer à l'intéressé(e) lui/elle-même si il/elle est infect(é). Compte tenu de ce qui précède, l'utilisation de la Base de données I dans la mise en oeuvre du traçage numérique des contacts requiert une base légale supplémentaire et, par conséquent, un ajout aux règles contenues dans l'arrêté royal n° 44 du 26 juin 2020.
FORMALITES 7. L'avis de l'Autorité de protection des données a été demandé le 21 août 2020 mais il n'a pas encore été rendu.Si, consécutivement à cet avis à recueillir, le texte du projet soumis au Conseil d'Etat devait encore subir des modifications, les dispositions modifiées ou ajoutées devraient elles aussi encore être soumises à l'avis de la section de législation, conformément à la prescription de l'article 3, § 1er, alinéa 1er, des lois coordonnées sur le Conseil d'Etat. 8. Un certain nombre de dispositions du projet peuvent être considérées comme des règles techniques au sens de l'article premier, paragraphe 1, f), de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 `prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information', plus particulièrement comme des règles relatives aux services de la société de l'information au sens de l'article premier, paragraphe 1, e), de cette directive. Conformément à l'article 5 de la directive (UE) 2015/1535, de telles règles techniques doivent être notifiées à la Commission européenne.
Dans ce cas, un délai d'attente de trois mois (au moins) s'applique avant que la proposition de loi puisse être adoptée, conformément à l'article 6 de la directive. Toutefois, conformément à l'article 6, paragraphe 7, ce délai d'attente ne s'applique pas lorsqu'un Etat membre, pour des raisons urgentes tenant à une situation grave et imprévisible qui a trait à la protection (notamment) de la santé des personnes, doit élaborer à très bref délai des règles techniques pour les arrêter et les mettre en vigueur aussitôt, sans qu'une consultation soit possible. Dans ce cas, la communication à la Commission est toujours requise; la communication doit mentionner le motif qui justifie l'urgence. La Commission se prononce ensuite sur la communication dans les plus brefs délais.
Par conséquent, le projet doit être notifié à la Commission européenne, l'urgence de son adoption étant alors exposée pour justifier le non-respect du délai d'attente prescrit. 9. La question se pose de savoir si la réglementation en projet relève du champ d'application de la directive « services » (12) .La mise à disposition d'une application numérique de traçage de contacts doit être considérée comme un service, qui peut éventuellement être fourni contre rémunération, que cette rémunération émane de l'autorité ou - éventuellement par voie de recettes publicitaires - de l'utilisateur.
Le projet ne garantit nullement que les applications sont proposées en tant que service non économique d'intérêt général (13) . L'exception pour les services de soins de santé (14) ne peut pas non plus être invoquée, dès lors que les applications ne concernent pas des activités réservées à une profession de santé réglementée dans l'Etat membre où le service est fourni (15) .
Il est dès lors possible que la directive « services » s'applique(16), de sorte que le projet doit être examiné au regard des articles 14 et 15 de cette directive en ce qui concerne les exigences prévues pour l'exercice d'une activité de service sur le territoire de la Belgique (17) . A première vue, le projet ne semble pas contenir d'exigences interdites au sens de l'article 14, ni d'exigences non discriminatoires au sens de l'article 15, paragraphe 2. Le Conseil d'Etat ne dispose toutefois pas des connaissances techniques requises concernant les exigences spécifiques relatives aux applications numériques de traçage de contacts pour pouvoir apprécier ce point de manière concluante. Le cas échéant, une notification à la Commission européenne, conformément à l'article 15, paragraphe 7, de la directive « services » pourrait néanmoins encore être requise.
OBSERVATIONS GENERALES Principe de légalité quant au droit à la protection de la vie privée (article 22 de la Constitution) 10.1. En réservant au législateur compétent le pouvoir de fixer dans quels cas et à quelles conditions il peut être porté atteinte au droit au respect de la vie privée, l'article 22 de la Constitution garantit à tout citoyen qu'aucune ingérence dans l'exercice de ce droit ne peut avoir lieu qu'en vertu de règles adoptées par une assemblée délibérante, démocratiquement élue. Une délégation à un autre pouvoir n'est toutefois pas contraire au principe de légalité, pour autant que l'habilitation soit définie de manière suffisamment précise et porte sur l'exécution de mesures dont les éléments essentiels sont fixés préalablement par le législateur.
C'est la raison pour laquelle les catégories de données à caractère personnel à traiter, leur délai de conservation et la finalité du traitement desdites données, au moins, doivent en principe être considérés comme des éléments essentiels du traitement des données à caractère personnel et qu'ils doivent être fixés par la norme législative elle-même.
Dès lors que ce projet instaure la Base de données VI, ni les catégories de données à caractère personnel, ni le délai de conservation, ni la finalité du traitement des données ne peuvent se déduire de l'arrêté royal n° 44 du 26 juin 2020.
Au sujet de cette Base de données, le délégué a communiqué ce qui suit : « De Gegevensbank VI [is] een louter technische buffergegevensbank waarin slechts zeer tijdelijk zeer beperkte informatie wordt opgeslagen tussen het ogenblik dat een persoon besmet blijkt en het ogenblik dat hij zijn beveiligde sleutels oplaadt in Gegevensbank V. De instelling ervan is nodig om de mogelijkheid tot heridentificatie te vermijden ».
Bien que l'on puisse admettre que compte tenu du contenu choisi pour le traçage numérique des contacts la Base de données VI est essentiel pour éviter la réidentification, il ne peut pas être porté atteinte au principe de légalité inscrit à l'article 22 de la Constitution. La nécessité d'instaurer toutes les bases de données relatives au traçage des contacts par une norme au niveau hiérarchique d'une loi est confirmée par le fait que d'autres bases de données temporaires et limitées, comme la Base de données III des demandes d'appel et des demandes pour le personnel du centre de contact, ont bel et bien été réglées dans l'arrêté royal n° 44 du 26 juin 2020. 10.2. En plus, un certain nombre d'éléments qui devraient eux aussi être de préférence réglés par une norme législative, ne sont pas du tout mentionnés dans le projet. Ainsi, par exemple, la durée de validité de la Base de données VI n'est pas précisée. Le fait que, comme l'a indiqué le délégué, l'accord de coopération législatif prévoira que, hormis les Bases de données II et IV, toutes les bases de données et leur fonctionnement seront désactivés et supprimés ou effacés par le responsable du traitement au plus tard cinq jours suivant la date de publication de l'arrêté royal proclamant la fin de la situation liée à l'épidémie du coronavirus COVID-19, n'enlève rien à la constatation que l'arrêté royal n° 44 du 26 juin 2020, qui procure le fondement juridique à la réglementation en projet, ne comporte pas de disposition en ce sens. 10.3. Il résulte de ce qui précède que, tant en ce qui concerne l'organisation de la Base de données VI que les éléments essentiels relatifs à son fonctionnement, un fondement légal suffisant devrait être créé.
Articulation avec le traçage manuel des contacts 11. La sécurité juridique commande que le projet établisse plus clairement le lien entre le traçage numérique des contacts développé et le traçage manuel des contacts existant, et ce d'autant plus que plusieurs étapes du traçage numérique des contacts sont parallèles au traçage manuel des contacts, comme celle relative au test et à la notification du résultat du test. Ainsi, le délégué a par exemple été invité à fournir des explications supplémentaires au sujet du fonctionnement précis de la création et de la transmission d'un code de test au moment de la demande d'un test ainsi qu'au sujet de l'application pratique de l'article 2, § 1er, 2°, a) et b), du projet.A cette occasion, le délégué a déclaré ce qui suit : « De gebruiker geeft in de app aan dat hij/zij zich wil laten testen; de app genereert dan de testcode en berekent de datum waarop de gebruiker vermoedelijk besmettelijk is geworden. (...) De testcode wordt gegenereerd en getoond in de app. Zij wordt daarna samen met het identificatienummer van de sociale zekerheid (INSZ) van de geteste patiënt elektronisch aan Sciensano doorgegeven hetzij door de arts die de test voorschrijft, via zijn softwarepakket, hetzij door de patiënt via een webtoepassing. Een doorgave van testcode en INSZ van de app naar Sciensano is niet mogelijk omdat de app volledig gedepersonaliseerd moet functioneren ».
Or il ne se déduit pas suffisamment clairement du texte du projet que le numéro d'identification de la sécurité sociale (NISS) est transmis à Sciensano par le patient par une application internet ou par le médecin qui prescrit le test par un logiciel.
Transformation en accord de coopération 12. Il résulte de l'observation formulée relativement au fondement juridique au point 6 du présent avis que les finalités du traitement que poursuit la Base de données I, impliquent un fondement légal supplémentaire et, partant, qu'il y a lieu de compléter les règles actuellement inscrites dans l'arrêté royal n° 44 du 26 juin 2020.Aux points 10.1. et 10.2., l'attention a été attirée sur le fait que le principe de légalité renforcé qui découle de l'article 22 de la Constitution impose qu'un fondement légal suffisant soit également créé pour l'organisation et le fonctionnement de la Base de données VI et qu'à cette fin, un certain nombre d'éléments essentiels soient définis dans l'arrêté royal n° 44 du 26 juin 2020.
Ces observations devront s'appliquer à l'accord de coopération législatif envisagé par les auteurs du projet dont l'objectif est qu'il se substitue à la réglementation figurant actuellement dans l'arrêté royal n° 44 du 26 juin 2020. Comme il s'agira d'adapter l'arrêté royal précité afin qu'il procure un fondement légal suffisant au regard de la problématique évoquée aux points 6, 10.1. et 10.2., il faudra aussi procéder en ce sens dans l'accord de coopération législatif dont l'accord de coopération d'exécution à venir définira les modalités.
L'accord de coopération d'exécution destiné à se substituer au projet d'arrêté royal soumis pour avis doit en effet se limiter à une simple mise en oeuvre des mesures que prévoit l'accord de coopération législatif. Alors que ce dernier lieu doit concerner les éléments essentiels de la réglementation envisagée, l'accord de coopération d'exécution portera quant à lui uniquement sur les aspects moins essentiels et techniques de celle-ci (18) . Il découle des termes de l'article 92bis, § 1er, alinéa 3, de la loi spéciale du 8 août 1980 `de réformes institutionnelles' que de tels accords de coopération d'exécution ne doivent pas être soumis à l'assentiment des parlements respectifs (19) (20) - et qu'ils doivent se limiter à la « mise en oeuvre » des accords de coopération (législatifs) qui doivent quant à eux bien avoir reçu l'assentiment des législateurs compétents. Les accords de coopération d'exécution doivent toutefois encore et toujours être publiés au Moniteur belge (21) .
On veillera donc à ce que l'accord de coopération d'exécution ne comporte pas de dispositions qui requerraient par leur nature l'assentiment des législateurs compétents au sens de l'article 92bis, § 1er, alinéa 2, de la loi spéciale du 8 août 1980. En effet, l'économie même de l'article 92bis, § 1er, alinéa 2, ne permet pas que, par le biais du procédé des accords de coopération d'exécution, l'exigence d'un assentiment du législateur compétent soit vidée de sa substance dans les cas où elle est requise, ou puisse être méconnue dans une large mesure (22) .
EXAMEN DU TEXTE Préambule 13. Au premier alinéa du préambule du projet, il y a lieu d'omettre la référence à l'article 6 de la loi du 27 mars 2020Documents pertinents retrouvés type loi prom. 27/03/2020 pub. 30/03/2020 numac 2020040938 source service public federal chancellerie du premier ministre Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (1) type loi prom. 27/03/2020 pub. 30/03/2020 numac 2020040937 source service public federal chancellerie du premier ministre Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (1) type loi prom. 27/03/2020 pub. 03/04/2020 numac 2020030524 source service public federal interieur Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 . - Traduction allemande type loi prom. 27/03/2020 pub. 03/04/2020 numac 2020030525 source service public federal interieur Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 . - Traduction allemande fermer `habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (II)'.14. Le deuxième alinéa du préambule doit assurément mentionner la date (26 juin 2020) de l'arrêté royal n° 44 (23) .15. Les références aux formalités qui ont été accomplies en ce qui concerne les dispositions en projet doivent être complétées par une référence à l'analyse d'impact de la réglementation qui a été effectuée le 20 août 2020.On renverra également à l'avis de l'Autorité de protection des données, qui a bien été demandé mais qui n'a pas encore été rendu. 16. Conformément à l'article 84, § 1er, alinéa 2, des lois coordonnées sur le Conseil d'Etat, la motivation de l'urgence figurant dans la demande d'avis doit être reproduite dans le préambule de l'arrêté royal en projet. Article 1er 17. On rédigera le début de l'article 1er, 1°, du projet comme suit : « arrêté royal n° 44 : l'arrêté royal n° 44 du 26 juin 2020 concernant... ». 18. La définition de la notion de « numéro de test », à l'article 1er, 11°, du projet, fait mention d'une « appli correcte ».Il a été demandé au délégué ce qu'il y a lieu d'entendre précisément par une « appli correcte ». A cet égard, le délégué a déclaré ce qui suit : « De rol van het testnummer is om het testresultaat naar de juiste app te kunnen sturen zonder contactgegevens van de gebruiker (naam, telefoonnummer, email adres) te gebruiken. Met `correcte app' wordt bedoeld een authentieke Coronalert app die geïnstalleerd is op de smartphone van de gebruiker op het moment dat hij/zij een test aanvraagt ».
Par souci de clarté, il est recommandé de préciser dans la définition de la notion de « numéro de test », à l'article 1er, 11°, du projet, ce qu'il faut entendre par une « appli correcte ».
Article 2 19. A la fin de la phrase introductive de l'article 2, § 1er, 1°, du texte néerlandais du projet, figure le mot « zonder ».Ce mot est sans équivalent dans le texte français correspondant du projet. Par ailleurs, sa signification dans le contexte de la disposition en projet n'est pas claire et, en outre, son utilisation ne correspond pas, sur le plan rédactionnel, à la manière dont les différents éléments de l'article 2, § 1er, 1°, sont formulés. On remaniera la rédaction de la phrase introductive de l'article 2, § 1er, 1°, du projet sur ce point. 20. A l'article 2, § 1er, 2°, a), du projet, le segment de phrase « un utilisateur de l'appli se fait tester » peut donner l'impression que les utilisateurs de l'appli se voient imposer une obligation supplémentaire de se faire tester, contrairement aux personnes qui n'utilisent pas l'appli, ce qui pourrait toutefois se heurter aux dispositions énoncées à l'article 14, § 5, alinéa 2, de l'arrêté royal n° 44 du 26 juin 2020 (24) .Par ailleurs, tant que l'utilisateur se trouve encore au stade où il n'est pas encore établi avec certitude qu'il est infecté, mieux vaut mentionner, à l'article 2, § 1er, 2°, du projet, une « contamination présumée », par analogie à l'article 14, § 3, 7°, de l'arrêté royal précité. 21. La phrase introductive de l'article 2, § 1er, 3°, du projet fait état de la « récupération du résultat d'un test » (« pollen naar een resultaat van test »).La question se pose de savoir, certainement en ce qui concerne le texte néerlandais du projet, s'il n'est pas préférable de choisir un terme plus accessible et plus répandu dans le langage courant que le terme « pollen ». 22. L'article 2, § 1er, 4°, d), du projet prévoit que la Base de données V « vérifie [à des intervalles réguliers] si les numéros de test reçus correspondent aux codes de test et aux dates auxquelles les utilisateurs sont devenus contagieux et elle vérifie s'il existe un code d'autorisation pour chaque code de test et chaque date ». Il a été demandé au délégué comment la Base de données V parvient à interconnecter les données concernées. Le délégué a répondu à cette question en ces termes : « Als de gebruiker een positief testresultaat heeft en besluit om zijn/haar beveiligde sleutels op te laden, zal de app de beveiligde sleutels, de data waarop deze sleutels gebruikt werden, de testcode en een bijkomende geheime parameter van de eenwegsfunctie opladen naar Gegevensbank V. Gegevensbank V kan dan het testnummer berekenen uit de testcode en nagaan of er een autorisatiecode is voor deze testcode.
Misschien is het duidelijk om dit als volgt te herformuleren: Op geregelde tijdstippen genereert Gegevensbank V uit de gegevens vermeld onder 4° a) het testnummer en gaat ze na of er een geldige autorisatiecode bestaat voor elke testcode en datum; als aan alle voorwaarden voldaan is [...] ».
La suggestion formulée par le délégué peut être accueillie. 23. L'article 2, § 1er, 5°, a), du projet dispose que la liste concernée « est signée par la voie numérique » (« wordt digitaal gehandtekend »).Si le texte vise ainsi l'exigence que la liste soit numériquement dotée d'une signature concrète, la question se pose de savoir qui doit signer ainsi la liste; si, au contraire, l'intention est d'exprimer, par la définition concernée, que la liste est automatiquement datée par la voie numérique, mieux vaudrait écrire, dans l'article 2, § 1er, 5°, a), du projet, « est datée par la voie numérique » plutôt que « est signée par la voie numérique ». 24. Contrairement au texte néerlandais de l'article 2, § 2, alinéa 2, du projet, qui vise chaque fois des « beveiligde sleutels », le texte français fait à la fois état de « clés sécurisées » et de « requêtes fictives ».Dans un souci d'uniformité rédactionnelle et de clarté, mieux vaudrait adopter une terminologie plus uniforme dans le texte français également. En tout état de cause, il faudrait mieux harmoniser les textes français et néerlandais de la disposition en projet sur ce point.
Article 3 25. L'article 3 du projet limite l'appli aux systèmes d'exploitation « iOS » et « Android ».Cette limitation devra pouvoir être justifiée au regard du principe d'égalité garanti par la Constitution, du principe de libre circulation des services et de la directive (UE) 2016/2102 du Parlement européen et du Conseil du 26 octobre 2016 `relative à l'accessibilité des sites internet et des applications mobiles des organismes du secteur public'.
En ce qui concerne la limitation inscrite à l'article 3, le délégué a apporté les précisions suivantes : « Het is helaas technisch niet haalbaar om deze oplossing op alle smartphones aan te bieden. Zo zal de ontwikkelde app niet werken op telefoons met een Linux besturingssysteem, op telefoons die 'geroot' zijn en op Android telefoons die geen Google App store hebben. In deze laatste categorie vallen een aantal recente Huawei telefoons. Het gaat in totaal om een beperkt marktaandeel. De bijkomende inspanning, kost en tijd om de app hiervoor ook te ontwikkelen zou zeer groot zijn en niet in verhouding tot het marktaandeel. De 17 andere EU lidstaten die hetzelfde protocol gebruiken hebben dezelfde pragmatische beslissing genomen. Als de epidemie nog langer aanhoudt, kan dit opgelost worden door bijkomende software te ontwikkelen of door een klein mobiel toestel te bouwen (10-20 EUR) dat enkel contactopsporing doet met dezelfde methoden; dit gebeurt best op EU niveau om de zeer hoge vaste kosten te delen ».
La limitation ainsi précisée par le délégué paraît à première vue raisonnablement justifiée et proportionnée. Toutefois, l'autorité compétente devra en permanence veiller à ce que, consécutivement à l'exclusion de certains systèmes d'exploitation, l'obtention de l'accès au mécanisme de protection du traçage numérique des contacts ne soit pas entravée de manière disproportionnée pour les groupes les plus fragilisés, qui risquent de l'être encore plus face à la pandémie de coronavirus.
Article 4 26. L'article 4, § 2, 3°, du projet dispose que la Base de données V et la Base de données VI, ainsi que l'infrastructure utilisée à cet effet doivent éviter un faux rapportage ou un rapportage incorrect d'infections et que le rapportage d'une infection n'est possible qu'après un résultat de test positif ou « après une constatation par un médecin d'une présomption sérieuse d'infection par le coronavirus COVID-19 ».D'autres dispositions du projet ne font aucune mention d'une constatation, par un médecin, d'une présomption sérieuse d'infection par le coronavirus COVID-19 (25) .
Le délégué voit un parallélisme avec une infection positive et déclare que « het ernstig vermoeden van een besmetting (...) door de huisarts [wordt] gemeld aan Gegevensbank I » et que « [v]oor het overige (...) dezelfde werkwijze [geldt] als bij een patiënt die positief getest is ». Ce point de vue peut en soi être défendu au regard du lien étroit de connexité, dans l'arrêté royal n° 44 du 26 juin 2020, entre des catégories de personnes dont l'infection est sérieusement présumée (« Personnes de catégorie III ») et des catégories de personnes dont l'infection a été confirmée (« Personnes de catégorie II »).
Afin de garantir la sécurité juridique, il conviendrait de développer dans le projet une méthode analogue pour les présomptions sérieuses d'infection. 27. La portée de l'article 4, § 4, du projet n'est pas claire, d'autant plus que les textes français et néerlandais sont discordants. Invité à fournir des précisions à ce sujet, le délégué a communiqué ce qui suit : « De Franse vertaling is niet juist en zal verbeterd worden. Het gaat niet over financiële lasten, maar over administratieve lasten. Het is de bedoeling dat de testcode kan [worden] ingegeven op een eenvoudige manier bij het aanvragen van een test ».
La correction du texte français de l'article 4, § 4, du projet suggérée par le délégué peut, le cas échéant, être également mise à profit pour formuler plus clairement la portée visée du paragraphe concerné tant dans le texte français que dans le texte néerlandais.
LE GREFFIER LE PRESIDENT Astrid TRUYENS Marnix VAN DAMME _______ Notes (1) L'article 84, § 1er, alinéa 2, des lois coordonnées sur le Conseil d'Etat prescrit que, lorsque, par application de l'article 84, § 1er, alinéa 1er, 3°, l'urgence est invoquée pour une demande d'avis sur un projet d'arrêté réglementaire, la motivation de l'urgence figurant dans la demande est reproduite dans le préambule de l'arrêté.Tel n'est pas le cas en l'occurrence. (2) Arrêté royal n° 44 du 26 juin 2020 `concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano'.(3) Decentralized Privacy-Preserving Proximity Tracing (dp3t).(4) Tel est par exemple le cas dans la mesure où des données à caractère personnel sont traitées dans les bases de données concernées en vue d'études scientifiques, statistiques ou d'appui à la politique par des institutions de recherche, dont Sciensano (voir également l'article 3, § 1er, 4°, de l'arrêté royal n° 44 du 26 juin 2020), ce qui peut s'inscrire dans les compétences fédérales en matière de recherche scientifique (article 6bis, §§ 2 et 3, de la loi spéciale du 8 août 1980 `de réformes institutionnelles'). (5) Voir en ce sens notamment l'avis C.E. n° 67.424/3 du 26 mai 2020 sur une proposition de loi `relative à l'utilisation d'applications numériques de traçage de contacts par mesure de prévention contre la propagation du coronavirus COVID-19 parmi la population', nos 6 et 7. (6) Doc.parl., Chambre, 2019-2020, nos 55-1249/001, 1249/002 et 1249/003. (7) Voir en ce sens également, outre l'avis C.E. 67.424/3 du 26 mai 2020, n° 8, précité, l'avis C.E. 67.719/VR du 15 juillet 2020 sur un avant-projet de loi `portant assentiment à l'Accord de coopération entre l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano, conclu à Bruxelles le 2 juillet 2020 et retirant l'arrêté royal n° 18 du 4 mai 2020, l'arrêté royal n° 25 du 28 mai 2020 et l'arrêté royal n° 44 du 26 juin 2020 concernant une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19', nos 6 et 43. (8) Note 11 de l'avis cité : Voir l'article 92bis, § 1er, alinéa 2, de la loi spéciale du 8 août 1980. (9) Dans l'accord de coopération tel qu'il a été soumis simultanément pour avis avec l'avant-projet de loi d'assentiment y afférent et qui a donné lieu à l'avis C.E. 67.719/VR du 15 juillet 2020 précité, un effet rétroactif au 4 mai 2020 était prévu. (10) L'arrêté royal n° 18 du 4 mai 2020 `portant création d'une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19' et l'arrêté royal n° 25 du 28 mai 2020, qui a modifié l'arrêté royal cité en premier, seraient également rapportés.Il s'agit d'arrêtés royaux qui ont été élaborés sur le plan du traçage manuel des contacts pour des motifs analogues à ceux qui fondent l'arrêté royal n° 44 du 26 juin 2020. (11) L'article 1er, § 4, de l'arrêté royal n° 44 du 26 juin 2020 habilite le Roi à définir, par arrêté délibéré en Conseil des Ministres et en Conférence Interministérielle Santé publique, les modalités requises pour la mise en oeuvre de l'arrêté royal cité en premier.(12) Directive n° 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 `relative aux services dans le marché intérieur'.(13) Voir l'article 2, paragraphe 2, a), de la directive « services ».(14) Voir l'article 2, paragraphe 2, f), de la directive « services ».(15) Manuel relatif à la mise en oeuvre de la directive « services », Commission européenne, 2007, p.12. Voir également le considérant 22 de la directive « services ». (16) Les motifs d'exception prévus à l'article 2, paragraphe 2, c) et i), ne semblent en tout cas pas non plus s'appliquer en l'espèce.(17) Puisqu'un régime d'autorisation n'est en effet pas prévu, il n'y a pas lieu d'effectuer un contrôle au regard des articles 9 à 13 de la directive « services ». (18) Voir en ce sens notamment l'avis C.E. 63.373/VR du 14 juin 2018 sur un avant-projet devenu la loi du 16 juin 2019Documents pertinents retrouvés type loi prom. 16/06/2019 pub. 16/07/2020 numac 2020042301 source service public federal chancellerie du premier ministre Loi portant assentiment à l'Accord de coopération du 30 janvier 2019 entre l'Etat fédéral, les Communautés et les Régions relatif à la prévention et à la gestion de l'introduction et de la propagation des espèces exotiques envahissantes fermer `portant assentiment à l'Accord de coopération du 30 janvier 2019 entre l'Etat fédéral, les Communautés et les Régions relatif à la prévention et à la gestion de l'introduction et de la propagation des espèces exotiques envahissantes', nos. 3.5. (19) Il se déduit a contrario de l'article 3 des lois coordonnées sur le Conseil d'Etat que la section de législation n'est pas compétente pour donner un avis sur des accords (projets d'accords) de coopération en tant que tels mais uniquement lorsque ceux-ci sont soumis conjointement avec un projet de texte portant assentiment.Aussi, la section de législation ne pourra-t-elle pas donner un avis sur des projets d'accords de coopération d'exécution en soi, lesquels accords ne requièrent en principe pas l'assentiment parlementaire (voir en ce sens notamment l'avis C.E. 64.981/3 du 11 janvier 2019 sur un projet devenu l' accord de coopération du 31 janvier 2019Documents pertinents retrouvés type accord de coopération prom. 31/01/2019 pub. 17/05/2019 numac 2019012208 source region de bruxelles-capitale Accord de coopération relatif à l'accueil des enfants à Bruxelles fermer `d'exécution entre la Commission communautaire commune et la Commission communautaire française relatif à la composition et au fonctionnement de la Commission permanente de concertation', n° 2). (20) En ce qui concerne les accords de coopération d'exécution, l'article 92bis, § 1er, troisième alinéa, de la loi spéciale du 8 août 1980 énonce expressément qu'ils « [ont] effet sans que l'assentiment par la loi ou le décret ne soit requis ». (21) Voir notamment en ce sens l'avis C.E. 63.447/VR du 12 juin 2018 sur un avant-projet devenu la loi du 15 février 2019Documents pertinents retrouvés type loi prom. 15/02/2019 pub. 11/03/2019 numac 2019011062 source service public federal mobilite et transports Loi portant assentiment à l'accord de coopération du 5 octobre 2018 entre l'Etat fédéral, la Région flamande, la Région wallonne et la Région de Bruxelles-Capitale relatif au financement des infrastructures ferroviaires stratégiques fermer `portant assentiment à l'accord de coopération du 5 octobre 2018 entre l'Etat fédéral, la Région flamande, la Région wallonne et la Région de Bruxelles-Capitale relatif au financement des infrastructures ferroviaires stratégiques', n° 5.3., et l'avis C.E. 63.753/VR/V du 24 juillet 2018 sur un avant-projet de décret de la Communauté française `portant assentiment à l' Accord de coopération du 20 novembre 2017Documents pertinents retrouvés type accord de coopération prom. 20/11/2017 pub. 16/03/2018 numac 2018010776 source service public federal sante publique, securite de la chaine alimentaire et environnement Accord de coopération entre les autorités fédérales, régionales et communautaires pour la coordination du traitement de données dans les domaines de la politique de santé et de l'aide aux personnes fermer entre les autorités fédérales, régionales et communautaires pour la coordination du traitement de données dans les domaines de la politique de santé et de l'aide aux personnes', n° 3.5. (22) L'avis C.E. 63.447/VR du 12 juin 2018 précité, notamment, va dans le même sens. (23) Cette date doit également être mentionnée dans l'intitulé du projet. (24) Comme l'a confirmé le délégué, mieux vaut écrire « si un utilisateur de l'appli se fait tester... ». Le délégué a aussi souligné que, dans tous les cas, il est essentiel que « personen zich enkel als besmet kunnen melden indien ze dat ook zijn. Anders zouden valse hoogrisicocontacten worden gedetecteerd en deze mensen onnodig aan quarantainemaatregelen worden onderworpen ». (25) Au contraire, l'article 2, § 1er, 3° et 4°, du projet font exclusivement mention, respectivement, de « la récupération du résultat d'un test » et de « la transmission des clés sécurisées à la Base de données V en cas de résultat de test positif ». 17 SEPTEMBRE 2020. - Arrêté royal portant exécution de l'arrêté royal n° 44 du 26 juin 2020 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut. Vu la loi du 27 mars 2020Documents pertinents retrouvés type loi prom. 27/03/2020 pub. 30/03/2020 numac 2020040938 source service public federal chancellerie du premier ministre Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (1) type loi prom. 27/03/2020 pub. 30/03/2020 numac 2020040937 source service public federal chancellerie du premier ministre Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (1) type loi prom. 27/03/2020 pub. 03/04/2020 numac 2020030524 source service public federal interieur Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 . - Traduction allemande type loi prom. 27/03/2020 pub. 03/04/2020 numac 2020030525 source service public federal interieur Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 . - Traduction allemande fermer habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (II), articles 2 et 5, § 1er, 1° ;
Vu l'arrêté royal n° 44 du 26 juin 2020 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano, article 14, § 9;
Vu l'avis de l'Inspecteur des Finances, donné le 19 août 2020;
Vu l'accord du Ministre du Budget du 21 août 2020;
Vu l'analyse d'impact de la réglementation du 20 août 2020 ;
Vu l'avis de la Conférence interministérielle Santé publique du 19 août 2020;
Vu l'avis n° 79/2020 de l'Autorité de protection des données, donné le 7 septembre 2020;
Vu l'avis 67.953/1/V du Conseil d'Etat, donné le 31 août 2020, en application de l'article 84, § 1er, alinéa premier, 3°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973;
La demande d'urgence est motivée par la circonstance que le présent projet a trait à une situation de crise exceptionnelle, à savoir l'impact de la pandémie liée au COVID-19 qui sévit actuellement en Belgique, ce qui donne lieu à des problèmes spécifiques et graves en termes de santé publique ;
Qu'il est d'une importance vitale pour la santé publique et pour éviter une résurgence de la pandémie liée au COVID-19, que les mesures nécessaires en matière de recherche des contacts puissent être prises;
Que pour l'instant, l'arrêté de pouvoirs spéciaux n° 44 du 26 juin 2020 prévoit, en raison de l'urgence, une réglementation provisoire concernant cette matière, jusqu'au 15 octobre 2020 au plus tard, dans l'attente d'une solution plus durable et plus sûre sur le plan juridique sous la forme d'un accord de coopération ;
Que l'approbation du projet d'accord de coopération conclu entre l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano, qui a été soumis préalablement pour avis à la section de législation du Conseil d'Etat, prendra encore un certain temps compte tenu des étapes procédurales à suivre;
Que les gouvernements compétents ont, dans l'attente de l'approbation de cet accord de coopération, déjà entamé la préparation d'un accord de coopération d'exécution concernant la ou les application(s) de traçage numérique des contacts prévu à l'article 14, § 9, du projet d'accord de coopération.
Que vu la nécessité urgente de protéger la santé publique, il n'est pas possible d'attendre l'approbation des accords de coopération précités pour lancer la recherche numérique des contacts et d'éventuels projets de tests en la matière;
Qu'il est dès lors nécessaire de disposer d'une réglementation provisoire en attendant un cadre juridique plus sûr qui puisse garantir le bon fonctionnement, la continuité et la confiance des citoyens dans le système de recherche des contacts;
Sur la proposition de la Ministre des Affaires sociales et de la Santé publique, et sur l'avis de Nos Ministres qui en ont délibéré en Conseil, Nous avons arrêté et arrêtons : CHAPITRE Ier. - Définitions
Article 1er.Aux fins du présent arrêté, on entend par : 1° arrêté royal n° 44 : l'arrêté royal n° 44 du 26 juin 2020 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano;2° Base de données I: la Base de données I visée à l'article 1, § 1, 5° de l'arrêté royal n° 44;3° Base de données V: la Base de données V visée à l'article 1, § 1, 9° de l'arrêté royal n° 44;4° Base de données VI: une base de données pour laquelle Sciensano est le responsable du traitement et dans laquelle sont enregistrés, de manière très temporaire, les résultats du test ainsi que le code du test, la date du prélèvement et la date à laquelle l'utilisateur est devenu contagieux, conformément au processus décrit à l'article 2, § 1er, 3° ;5° test: un test de dépistage du coronavirus COVID-19 permettant de constater qu'une personne est infectée par le coronavirus COVID-19;6° appli: l'application numérique de traçage des contacts CoronAlert, qui est mise à la disposition par les entités fédérées;7° clé sécurisée: une clé sécurisée qui, après installation de l'appli, est générée quotidiennement et enregistrée sur le smartphone sur lequel l'appli est installée;8° numéro de série temporaire non personnalisé: combinaison aléatoire de uns et de zéros, émise par un smartphone sur lequel l'appli est installée au moyen d'une balise Bluetooth qui se compose d'un chiffre aléatoire et du chiffrement de données anonymes du smartphone, comme la puissance du signal émis;9° code d'autorisation: le code d'autorisation anonyme créé par la Base de données VI afin de permettre à l'utilisateur dont le test s'est révélé positif à charger les clés sécurisées dans la Base de données V;10° contact à risque: un contact pendant au moins quinze minutes à moins de deux mètres de distance avec une personne infectée;ce contact est établi lorsqu'un numéro de série temporaire non personnalisé correspondant à un numéro de série non personnalisé émis par le smartphone d'un utilisateur infecté est trouvé sur un smartphone; 11° numéro de test: combinaison aléatoire de uns et de zéros, utilisée pour prouver que les clés sécurisées proviennent d'une appli correcte, à savoir d'une appli authentique Coronalert qui est installée sur le smartphone de l'utilisateur au moment où il demande un test, sans que cette appli ne soit identifiée;12° code de test: un code qui se compose de chiffres aléatoires et qui est créé par l'appli lors de la demande d'un test. CHAPITRE II. - Généralités
Art. 2.§ 1. Conformément à l'article 14, § 1er, de l'arrêté royal n° 44, l'appli offre les fonctionnalités suivantes et réalise les opérations suivantes: 1° L'enregistrement, de façon non-personnalisée, des contacts de l'utilisateur de l'appli avec d'autres utilisateurs de l'appli: a) chaque appli génère chaque jour une nouvelle clé sécurisée;b) la clé sécurisée est uniquement connue sur le smartphone sur lequel l'appli est installée;c) sur la base de la clé sécurisée sont générés des numéros de série temporaires non personnalisés;d) à une fréquence régulière, tout smartphone sur lequel l'appli est installée émet un numéro de série temporaire non personnalisé en tant que balise Bluetooth;un autre numéro de série temporaire non personnalisé est envoyé, au moins toutes les vingt minutes, afin d'empêcher que ces numéros de série temporaires non personnalisés soient utilisés pour suivre un utilisateur; après la période d'émission, un numéro de série temporaire non personnalisé n'est pas enregistré sur le smartphone qui a envoyé le numéro de série; e) chaque smartphone sur lequel l'appli est installée, enregistre les balises Bluetooth contenant les numéros de série temporaires non personnalisés qui sont émises par d'autres smartphones se trouvant à une distance réduite, ainsi que le jour de réception de la balise et la puissance du signal;f) les numéros de série temporaires non personnalisés sont conservés sur le smartphone qui les reçoit pendant quatorze jours et sont ensuite supprimés.2° La création et la transmission d'un code de test lors de la demande d'un test: a) en cas de symptômes ou de risque d'infection au coronavirus COVID-19 et lorsqu'un utilisateur de l'appli se fait tester, la date à laquelle l'utilisateur est probablement devenu contagieux est déterminée;l'appli génère un numéro de test et l'appli calcule le code du test comme une fonction à sens unique du numéro de test et de la date à laquelle l'utilisateur est devenu contagieux; b) le code du test ainsi que le numéro d'identification de la sécurité sociale (NISS) sont transmis, à l'initiative de l'utilisateur, par la voie électronique à Sciensano, soit par le médecin qui prescrit le test, au moyen d'un logiciel, soit par le patient au moyen d'une application web et sont enregistrés dans la Base de données I en même temps que la date du prélèvement et la date à laquelle l'utilisateur est devenu contagieux;3° La récupération d'un résultat du test: a) si un résultat d'un test ou une forte présomption d'infection par le coronavirus COVID-19 est disponible dans la Base de données I, le code du test, la date du prélèvement et la date à laquelle l'utilisateur est devenu contagieux, sont communiqués par la Base de données I à la Base de données VI;après confirmation de la réception de ces données par la Base de données VI, le code du test est supprimé automatiquement de la Base de données I, ce qui rend désormais une connexion impossible entre les données de la Base de données I et les données de l'appli; b) l'appli contacte, à des intervalles réguliers, la Base de données VI afin de vérifier si le résultat d'un test ou une forte présomption d'infection par le coronavirus COVID-19 est déjà disponible pour la combinaison du code de test et de la date à laquelle l'utilisateur est devenu contagieux;l'appli peut donc obtenir le résultat d'un test sans que l'utilisateur ne doive être identifié; c) après confirmation de la réception du résultat d'un test par l'appli, le résultat du test et les codes de test et données y afférents sont supprimés de la Base de données VI;si le résultat d'un test n'a pas été téléchargé dans les quatorze jours après son enregistrement dans la Base de données VI, le résultat du test et les codes de test et données y afférents sont supprimés de la Base de données VI; d) le résultat du test est supprimé de l'appli, au plus tard vingt quatre heures après qu'il ait été montré à l'utilisateur;e) si l'appli n'a pas encore reçu le résultat du test après quatorze jours à compter de la date de création d'un code de test, le numéro du test, le code du test et la date à laquelle l'utilisateur est devenu contagieux sont supprimés de l'appli;4° la transmission des clés sécurisées à la Base de données V en cas de résultat de test positif a) après réception d'un résultat de test positif, l'utilisateur peut donner l'autorisation pour charger les clés sécurisées, le numéro de test et la date à laquelle il est devenu contagieux dans la Base de données V;b) l'appli ne collecte pas de données de localisation;l'utilisateur peut cependant indiquer volontairement dans l'appli le ou les pays dans lesquels il s'est rendu à une date déterminée afin de pouvoir collaborer avec les applications numériques de traçage des contacts d'autres pays; le cas échéant, les clés sécurisées sont envoyées au pays indiqué par l'utilisateur; c) après confirmation de la réception par la Base de données V des données mentionnées sous a) et b), le résultat du test, les clés sécurisées, la liste de pays, le numéro de test, le code de test et la date à laquelle l'utilisateur est devenu contagieux sont supprimés de l'appli;d) à des intervalles réguliers, la Base de données V génère, à partir des données mentionnées sous le point 4° a), le numéro de test et elle vérifie s'il existe un code d'autorisation valide pour chaque code de test et chaque date;si toutes les conditions sont remplies, les clés sécurisées sont enregistrées dans la Base de données V; e) les clés sécurisées sont supprimées de la Base de données V après quatorze jours à compter de leur réception;5° Le dépistage de contacts: a) l'appli contacte la Base de données V à des intervalles réguliers et télécharge les clés et les jours contagieux y afférents de l'ensemble des utilisateurs infectés;cette liste est horodatée par la voie numérique de sorte que l'appli puisse vérifier l'authenticité de cette liste au moyen de la clé publique de la Base de données V; b) l'appli déchiffre avec ces clés sécurisées les numéros de série temporaires non personnalisés générés par ces clés et vérifie si ces numéros de série sont aussi enregistrés dans l'appli;l'appli calcule, sur la base de la différence de puissance entre le signal émis et le signal reçu, l'atténuation du signal et estime la distance du contact; la durée totale des contacts possibles est calculée sur la base du nombre de numéros de série correspondants; l'appli peut donc vérifier de cette manière si un contact à risque a eu lieu au cours des quatorze derniers jours; c) si l'appli détecte un contact à risque, l'appli informe l'utilisateur sur un risque possible d'infection par le coronavirus COVID-19. § 2. L'appli charge, à des intervalles réguliers, des clés fictives dans la base de données V. Préalablement à cela, l'appli envoie plusieurs requêtes fictives à la Base de données VI, qui renvoie des réponses fictives. Les clés fictives n'ont pas de code d'autorisation valable et ne sont donc pas chargées dans la Base de données V. De cette manière, il est impossible de distinguer, sur la base des modèles de communication de l'appli, les utilisateurs infectés des utilisateurs non testés ou non infectés.
Si moins de dix clés sécurisées ont été chargées en un jour, des clés sécurisées fictives supplémentaires sont ajoutées dans la Base de données V pour en obtenir au total dix. CHAPITRE III. - Spécifications techniques et interopérabilité
Art. 3.L'appli est offerte sur iOS et Android.
Art. 4.§ 1er. L'appli doit: 1° être simple à installer et à utiliser;2° fonctionner avec une consommation de batterie réduite;3° être suffisamment précise;cela signifie que l'appli détecte uniquement les contacts d'au moins quinze minutes à une distance de moins de deux mètres comme étant des contacts à risque; 4° soutenir l'interopérabilité internationale et rendre la partie Bluetooth de l'appli exploitable dans un maximum de pays en rendant cette partie compatible avec les applis utilisées dans la plupart des payés de l'UE. § 2. La Base de données V et la Base de données VI et l'infrastructure utilisée à cet effet doivent: 1° assurer une bonne performance, être échelonnables en vue d'une utilisation par plusieurs millions de personnes et pouvoir résister à des attaques;2° offrir la possibilité d'échanger les clés sécurisées avec d'autres pays au sein de l'UE, et ce directement ou via le Federation Gateway Service de l'UE;les clés sécurisées sont uniquement envoyées au pendant de la Base de données V de ce pays ou de cette région si: a) ce pays ou cette région possède une appli de traçage des contacts décentralisée, reconnue par le service sanitaire national ou régional, se composant d'une partie Bluetooth qui est compatible avec l'appli belge;b) il y a suffisamment de garanties pour la protection des données, en ce compris une communication sécurisée entre la Base de données V et son pendant;c) l'utilisateur de l'appli a indiqué qu'il a visité ce pays ou cette région durant la période au cours de laquelle il était contagieux. S'appliquent à la réception de clés sécurisées provenant d'autres pays ou régions, les conditions a) et b); d) la clé sécurisée de l'étranger provient d'un utilisateur qui a indiqué qu'il a visité la Belgique durant la période au cours de laquelle il était contagieux.Après que les clés sécurisées sont arrivées dans la Base de données V ou dans son pendant dans un autre pays ou une autre région, elles sont téléchargées dans les applis du pays ou de la région ; 3° éviter un faux rapportage ou un rapportage incorrect d'infections; le rapportage d'une infection n'est possible qu'après un résultat de test positif ou après une constatation par un médecin d'une présomption sérieuse d'infection par le coronavirus COVID-19; 4° être conçues de la sorte qu'il ne soit pas possible d'établir de relation entre les messages, comme les clés sécurisées et les résultats de test et les adresses IP des utilisateurs. § 3. L'appli et l'infrastructure du serveur doivent garantir le respect de la vie privée des utilisateurs, doivent être basées sur la minimisation des données et la protection des données dès la conception. Cela signifie notamment que: 1° aucune donnée de localisation ne peut être collectée;2° l'ensemble des communications entre l'appli et les bases de données doivent être chiffrées;3° aucune donnée n'est traitée concernant qui est infectée à quel endroit et par quelle personne;4° aucune clé sécurisée n'est collectée pour un utilisateur qui n'est pas infecté;5° le système peut être arrêté et toutes les informations enregistrées sont supprimées au plus tard cinq jours après le jour de la publication de l'arrêté royal proclamant la fin de l'épidémie du coronavirus COVID-19;6° lors de l'échange de données avec les Bases de données I et V et avec la Base de données VI, seul le minimum de données peut être échangé pour pouvoir envoyer le résultat du test à l'appli correcte de sorte que le risque d'identification de la personne concernée soit réduit au minimum;7° il n'est pas possible d'utiliser le système ou les données pour d'autres finalités. § 4. Le fonctionnement du système prévoit des formalités administratives minimales grâce à une introduction aisée du code du test lors de la demande d'un test. CHAPITRE IV. - Obligation d'information
Art. 5.§ 1er. Lors de son installation et avant son utilisation, les utilisateurs sont informés sur le fonctionnement de l'appli et son interaction avec les Bases de données I, V et VI. A cet effet, seront publiées sur le site www.coronalert.be toutes les informations utiles sur l'appli et les bases de données, en ce compris les fonctionnalités, le fonctionnement, la charte, la déclaration de vie privée et l'analyse d'impact relative à la protection des données.
L'appli contient elle-même aussi des références aux informations concernant le fonctionnalités, le fonctionnement et la déclaration de vie privée. § 2. Le code source de l'appli et des programmes de gestion de la Base de données V et de la Base de données VI, en particulier les composants qui génèrent les données pour un test, téléchargent les résultats d'un test, chargent les clés sécurisées et calculent le risque, ainsi que l'interface utilisateur de l'appli, seront rendus publics au moyen d'un lien sur le site internet visé au § 1er, alinéa 1er. CHAPITRE V. - Contrôle
Art. 6.Le fonctionnement et la nécessité de l'appli sont régulièrement contrôlés, évalués et rectifiés sous l'impulsion du Comité interfédéral de testing et tracing qui se compose de représentants d'entités fédérées, de Sciensano, de la Plate-forme eHealth et de deux experts scientifiques. Ce comité peut être soutenu par un groupe de travail interdisciplinaire d'experts scientifiques.
L'appli fera également l'objet d'un audit de la sécurité de l'information par une instance indépendante de celle qui a développé l'appli, qui permettra notamment de vérifier si cette appli satisfait aux conditions en matière de sécurité de l'information et est conforme à la réglementation en vigueur. CHAPITRE VI. - Entrée en vigueur
Art. 7.Le présent arrêté entre en vigueur le 18 septembre 2020.
Art. 8.La ministre des Affaires sociales et de la Santé publique est chargée de l'exécution de cet arrêté.
Donné à Bruxelles, le 17 septembre 2020.
PHILIPPE Par le Roi : La Ministre des Affaires sociales et de la Santé publique, M. DE BLOCK .