SERVICE PUBLIC FEDERAL STRATEGIE ET APPUI

18 DECEMBRE 2023. - Circulaire n° 714. - Traitement des données à caractère personnel. - Rappel du cadre juridique et recommandations

Aux services publics fédéraux et aux services qui en dépendent, au Ministère de la Défense, ainsi qu'aux personnes morales de droit public appartenant à la fonction publique administrative fédérale telle que définie à l'article 1er de la loi du 22 juillet 1993 portant certaines mesures en matière de fonction publique.

Chers collègues, Madame, Monsieur, La présente circulaire entend rappeler le cadre juridique général en matière de protection des données à caractère personnelle, ainsi qu'examiner les cas particuliers de la publication d'actes administratifs à portée individuelle et du traitement de données concernant la santé. 1. Cadre juridique général Le Règlement Général sur la Protection des Données (ci-après « RGPD »), entré en vigueur le 25 mai 2018, établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. Le RGPD définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable.

A titre d'exemples, on peut citer : un numéro de registre national, un nom, une photo, un numéro de sécurité sociale, une plaque d'immatriculation, une adresse postale, une adresse e-mail, un numéro de téléphone, des données de localisation, un identifiant en ligne (adresse IP par exemple), un enregistrement vocal, ou encore les éléments spécifiques à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Le traitement de données à caractère personnel est défini comme toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.

Le responsable du traitement est responsable du respect des principes suivants : 1° Licéité, loyauté, transparence : les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée ;2° Limitation des finalités : les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ;3° Minimisation des données : les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;4° Exactitude : les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour ;5° Limitation de la conservation : les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;6° Intégrité et confidentialité : les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite ou contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.2. Cas particulier de la publication d'actes administratifs à portée individuelle a.Application concrète Les actes administratifs à portée individuelle, tels que les arrêtés de nomination, de promotion, de désignation à une fonction de management, de mobilité, de démission, de mise à la retraite, etc. contiennent toute une série de données à caractère personnel au sens du RGPD. La publication de tels arrêtés est considérée comme un traitement de données à caractère personnel.

C'est le service fédéral employeur qui détermine les finalités et les moyens de ce traitement : c'est donc lui le responsable du traitement des données à caractère personnel.

Dès lors, les principes du RGPD s'imposent au service fédéral employeur, dont notamment le principe de minimisation des données à caractère personnel. Cela implique que le service fédéral employeur doit limiter la publication des données à caractère personnel à ce qui est strictement nécessaire. b. Recommandations Les arrêtés de nomination, de promotion, de désignation à une fonction de management, de mobilité, de démission, de mise à la retraite, etc. doivent être publiés par extraits, sans faire apparaitre des données à caractère personnel superflues telles que le numéro de registre national, les raisons de la démission (sanction disciplinaire, demande de l'agent, etc.), l'adresse postale, le numéro de sécurité sociale, etc. de la personne concernée.

En revanche, les données à caractère personnel suivantes peuvent être reprises dans les extraits d'arrêtés à portée individuelle : le prénom, le nom, le niveau, la classe ou le grade, le service public, le titre de la fonction et le rôle linguistique. c. Modèles d'extraits d'arrêtés de nomination, de mobilité, de promotion et de démission Les services fédéraux qui publient des arrêtés à portée individuelle peuvent utiliser les modèles d'extraits ci-dessous, conformes au RGPD. Pour un arrêté de nomination : Par arrêté royal du [jj mois aaaa], [Prénom NOM], est nommé(e) agent de l'Etat dans la classe A[x] au [Dénomination Service public] dans un emploi du cadre linguistique français/néerlandais, à partir du [jj mois aaaa].

Pour un arrêté de mobilité : Par arrêté royal du [jj mois aaaa], [Prénom NOM], agent de l'Etat dans la classe A[x] au [Dénomination service public], est transféré(e), par mobilité fédérale, dans une fonction de la classe A[x] avec le titre d'/de [titre] au [Dénomination service public], dans un emploi du cadre linguistique français/néerlandais, à partir du [jj mois aaaa].

Pour un arrêté de promotion par accession à un niveau supérieur : Par arrêté royal du [jj mois aaaa], [Prénom NOM], est promu(e) au niveau supérieur dans la classe A1, avec le titre de/d'[titre], au [Dénomination service public] dans un emploi du cadre linguistique français/néerlandais, à partir du [jj mois aaaa].

Pour un arrêté de démission : Par arrêté royal du [jj mois aaaa], démission de ses fonctions est accordée à partir du [jj mois aaaa] à [Prénom NOM], agent de l'Etat au [Dénomination service public] dans la classe A[x] avec le titre de/d'[titre]. 3. Cas particulier du traitement des données concernant la santé a.Cadre juridique spécifique Les membres du personnel des services fédéraux sont susceptibles de traiter des données concernant la santé, celles-ci constituant des données à caractère personnel car elles contiennent des éléments propres à l'identité physique, physiologique, génétique ou encore psychique de la personne concernée.

Le traitement des données concernant la santé est en principe interdit par l'article 9 du RGPD. Toutefois, des dérogations sont prévues, notamment lorsque « le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un Etat membre ou par une convention collective conclue en vertu du droit d'un Etat membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ».

Le RGPD autorise les Etats membres à maintenir ou introduire des conditions supplémentaires en ce qui concerne les données génétiques, biométriques ou concernant la santé.

La Belgique a utilisé cette possibilité en adoptant l'article 9 de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, qui dispose que, lors du traitement de données concernant la santé, le responsable du traitement prend les mesures suivantes : 1° les catégories de personnes ayant accès aux données à caractère personnel, sont désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées ;2° la liste des catégories des personnes ainsi désignées est tenue à la disposition de l'autorité de contrôle compétente par le responsable du traitement ou, le cas échéant, par le sous-traitant ;3° il veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées. Rappelons également que l'article 458 du Code pénal prévoit que « [l]es médecins, chirurgiens, officiers de santé, pharmaciens, sages-femmes et toutes autres personnes dépositaires, par état ou par profession, des secrets qu'on leur confie, qui, hors le cas où ils sont appelés à rendre témoignage en justice ou devant une commission d'enquête parlementaire et celui où la loi, le décret ou l'ordonnance les oblige ou les autorise à faire connaître ces secrets, les auront révélés, seront punis d'un emprisonnement d'un an à trois ans et d'une amende de cent euros à mille euros ou d'une de ces peines seulement. ».

Enfin, la circulaire n° 706 concernant l'attention renouvelée pour le cadre déontologique des fonctionnaires fédéraux rappelle le devoir de confidentialité qui s'impose aux fonctionnaires fédéraux, qu'ils soient stagiaires, contractuels ou statutaires. b. Exemple en matière d'accidents du travail Un gestionnaire en ressources humaines qui reçoit la déclaration d'accident du travail et le certificat médical y attaché traite des données à caractère personnel concernant la santé. Le traitement de telles données est nécessaire pour l'exercice des droits de la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale. De plus, la législation et la réglementation en matière d'accident du travail autorisent et encadrent ce traitement.

Ce traitement de données concernant la santé est donc conforme au RGPD, pour autant qu'il respecte également : 1° les trois mesures supplémentaires prévues par l'article 9 de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer précitée ; 2° l'ensemble des principes du RGPD (licéité, loyauté, transparence, limitation des finalités, minimisation des données, etc.).

La Ministre de la Fonction publique, P. DE SUTTER