- Avis of May 25, 2011

25/05/2011 - 10/2011

Case law

Summary

Sommaire 1

La Commission de la protection de la vie privée émet un avis défavorable sur le contenu existant du projet de décret organisant l'accueil préscolaire d'enfants.

La Commission estime que ce projet doit être amélioré, en particulier concernant les points suivants :

- l'ajout des éléments essentiels des traitements de données qui auront lieu dans le cadre de l'organisation de l'accueil d'enfants, et ce aussi bien au niveau de "Kind en Gezin", des Contrôleurs, du Guichet Local d'Accueil d'enfants et des Organisateurs et des Responsables et accompagnateurs qu'ils auront désignés (points 7-13, 23-26) ;

- un encadrement solide du traitement des données de santé et des données judiciaires (points 14-17, 19-22) ;

- une délimitation plus stricte des droits des Contrôleurs (points 27-31).

La Commission se tient à la disposition du demandeur pour l'y aider.


Avis - Integral text

La Commission de la protection de la vie privée (ci-après "la Commission") ;

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (ci-après "la LVP"), en particulier l'article 29 ;

Vu la demande d'avis de Monsieur W. Verniest, Chef de la section "Kinderopvang" de l'organisme "Kind & Gezin", reçue le 16/05/2011 ;

Vu le rapport de Monsieur B. De Schutter ;

Émet, le 25 mai 2011, l'avis suivant :

I. OBJET ET CONTEXTE DE LA DEMANDE D'AVIS

1. Le projet de décret que l'organisme "Kind & Gezin" (Enfance et Famille) (ci-après "le demandeur") soumet à la Commission pour avis (ci-après "le projet") régit l'organisation de l'accueil préscolaire d'enfants. Il a pour but de faire de l'accueil d'enfants un service de base qui concrétise pleinement le droit de chaque enfant et de chaque famille à un service de qualité. Il vise concrètement la réalisation des principes de base suivants :

a. un accueil d'enfants suffisant et harmonieux ;

b. un accueil d'enfants de qualité ;

c. un accueil d'enfants accessible, tant financièrement que géographiquement, pour les familles ;

d. une réglementation cohérente.

2. Le projet introduit notamment la règle selon laquelle toute structure professionnelle d'accueil d'enfants doit disposer d'une autorisation afin que chaque structure d'accueil remplisse un certain nombre d'exigences fondamentales en matière de qualité. En effet, sur la base de la réglementation existante, aucune structure d'accueil en Flandre n'est obligée de respecter des règles en matière de qualité. Certes, l'organisme "Kind en Gezin" peut octroyer aux structures d'accueil qui le demandent un agrément, un certificat de contrôle ou une subvention - liés à des règles qui doivent être respectées et qui impliquent une certaine garantie de qualité - mais les structures d'accueil peuvent toujours proposer un accueil d'enfants sans agrément, certificat de contrôle ou subvention et donc sans respecter les règles. La seule règle générale actuellement en vigueur que doit respecter chaque structure d'accueil d'enfants est celle de déclarer son existence auprès de "Kind en Gezin".

3. Le projet prévoit également l'octroi de subventions par l'Autorité flamande pour pouvoir réaliser certaines finalités en matière d'accueil d'enfants, finalités ne pouvant pas être garanties sans intervention publique, comme une plus grande accessibilité aux structures d'accueil d'enfants et la possibilité d'un accueil inclusif d'enfants ayant des besoins spécifiques en soins.

4. Enfin, le projet entend offrir une réponse à la diversité de réglementations actuellement en vigueur en matière d'accueil d'enfants. La base décretale doit apporter plus de cohérence et de transparence à ce sujet.

II. EXAMEN DE LA DEMANDE

A. Terminologie utilisée

5. Le projet utilise un certain nombre de notions qu'il définit également de manière spécifique (article 2 du projet). Les termes suivants font notamment l'objet d'une définition : l'accueil d'enfants1, la structure d'accueil d'enfants2, l'Organisateur3, le Responsable4, l'accompagnateur5, le Guichet Local d'Accueil d'enfants6, le Contrôleur7.

6. Afin d'éviter des confusions terminologiques, la Commission utilisera les mêmes notions dans le présent avis.

B. Remarques générales concernant la protection de la vie privée

a. Attention consacrée aux traitements de données à caractère personnel

7. Bien que cela ne ressorte pas explicitement du projet, la Commission constate que dans le cadre de l'organisation de l'accueil d'enfants en communauté flamande, plusieurs traitements de données à caractère personnel auront lieu. Il s'agira aussi bien de données des enfants et de leurs parents qui souhaitent utiliser les possibilités d'accueil d'enfants, que de données des Organisateurs8 d'un tel accueil et des Responsables et accompagnateurs qu'ils auront désignés.

8. On peut effectivement déduire du projet qu'il y aura au moins les traitements suivants :

au niveau de "Kind en Gezin" : traitement de données à caractère personnel9 - probablement principalement des Organisateurs10 et des Responsables de l'accueil d'enfants - nécessaires pour pouvoir délivrer des autorisations (articles 5 et 6 du projet) et pour pouvoir prendre des mesures lorsque l'accueil d'enfants ne remplit pas (plus) les conditions d'autorisation (articles 16 et suivants) ;

au niveau des Contrôleurs (article 17 du projet) : traitement de données à caractère personnel - probablement principalement des Organisateurs11 et des Responsables de l'accueil d'enfants - nécessaires pour pouvoir remplir la fonction de contrôle ;

au niveau du Guichet Local d'Accueil d'enfants (articles 14 et 25 du projet) : traitement de données à caractère personnel nécessaires pour coordonner l'enregistrement des demandes d'accueil d'enfants et informer les familles des places d'accueil disponibles ;

au niveau de l'Organisateur et du Responsable : traitement de données à caractère personnel nécessaires pour pouvoir organiser un accueil d'enfants de qualité (données sur les accompagnateurs et sur les enfants et leurs parents).

9. Bien que la Commission n'ait en principe aucune objection aux traitements susmentionnés aux différents niveaux, elle estime que le projet y consacre trop peu d'attention. Elle recommande notamment d'indiquer clairement quelles instances traiteront quelles catégories de données à caractère personnel et pour quelles finalités12.

10. Dans cet exercice, il faut particulièrement tenir compte du principe de proportionnalité : les différents niveaux peuvent uniquement traiter les données à caractère personnel qui sont pertinentes et nécessaires pour remplir leurs missions.

11. La Commission est d'ailleurs bien consciente que le projet ne peut pas régler tous les détails des traitements de données. Les modalités peuvent être développées par la suite dans des arrêtés d'exécution. Les éléments essentiels suivants doivent toutefois être ancrés dans le décret :

le responsable du traitement au sens de l'article 1, § 4 de la LVP ;

la finalité du traitement ;

les catégories de données qui seront traitées ;

le délai de conservation.

12. Il ne suffit pas en l'espèce de régler tous ces aspects par arrêté d'exécution, comme cela est par exemple prévu à l'article 24 du projet.

13. La Commission recommande qu'outre l'élaboration d'une solide base décretale, une certaine gestion centrale soit aussi organisée au départ de "Kind en Gezin" afin de sensibiliser tous les acteurs - dans un premier temps, les Organisateurs et les Responsables de l'accueil d'enfants - concernant l'existence et le contenu de règles de protection de la vie privée (au moyen par exemple de circulaires, de brochures d'information, de documents types qui peuvent être utilisés pour informer13 les parents/demander leur consentement pour l'exécution de certains traitements de données). La Commission se tient également à disposition pour contribuer, dans la mesure du possible, à soutenir une telle initiative.

b. La nature des données à caractère personnel qui feront l'objet de traitements

14. Bien que le projet ne le mentionne que de manière limitée14, la Commission attire l'attention sur le fait que dans le cadre de l'accueil d'enfants, des données médicales seront peut-être traitées. Afin de répondre à un accueil de qualité, il est par exemple indispensable de traiter des données relatives à la médication, aux allergies, à certaines maladies ou restrictions, etc. des enfants séjournant dans la structure d'accueil.

15. Les données à caractère personnel relatives à la santé sont toutefois soumises à un niveau de protection plus élevé. En principe, un traitement de telles données est même interdit (article 7, § 1 de la LVP), sauf dans les cas énumérés à l'article 7, § 2 de la LVP. Un de ces cas d'exception concerne par exemple la situation dans laquelle le traitement est rendu obligatoire par une loi pour des motifs d'intérêt public importants. Une autre exception concerne le consentement écrit des personnes concernées (dans ce cas, les parents des enfants). La Commission recommande qu'outre une mention des autres éléments essentiels des traitements de données (cf. les points 9-12 ci-dessus), figure également dans le projet un choix quant au fondement qui sera retenu pour légitimer le traitement de données médicales dans le cadre de l'accueil d'enfants.

16. De plus, on peut observer que la réglementation impose des conditions spécifiques lors du traitement de données médicales15 :

les données doivent être collectées auprès de la personne concernée elle-même (dans ce cas, auprès des parents et des enfants) ;

le responsable du traitement doit tenir à jour une liste des catégories de personnes qui peuvent consulter les données. Ces personnes doivent être tenues à une obligation de confidentialité ;

lors de l'information des personnes concernées ou dans la déclaration auprès de la Commission, des points supplémentaires doivent être mentionnés, dont la base légale qui autorise le traitement de données de santé dans de tels cas ;

le traitement doit en principe être effectué sous la responsabilité d'un "professionnel des soins de santé" ;

pour certaines communications de données de santé, une autorisation préalable de la section Santé du Comité sectoriel de la Sécurité Sociale et de la Santé est requise.

17. La Commission rappelle à cet égard la recommandation (cf. le point 13) de prendre des initiatives pour informer et sensibiliser tous les acteurs à ce sujet.

c. Autorisation préalable obligatoire de la Commission de contrôle flamande

18. La Commission attire l'attention sur le fait que pour des échanges électroniques de données à caractère personnel au départ d' "instances"16 flamandes, une autorisation de la Commission de contrôle flamande est requise17.

C. Remarques concernant certains articles du projet

a. Article 6, § 4

19. Le projet mentionne qu'un Organisateur et un Responsable, ainsi que toute personne ayant un contact direct avec les enfants en accueil, doivent disposer d'un "extrait du Casier judiciaire Modèle 2" récent18.

20. On ne sait pas précisément si cet extrait du Casier judiciaire de chaque accompagnateur, Organisateur et Responsable sera conservé au niveau de l'accueil d'enfants et éventuellement au niveau de "Kind en Gezin". Le projet devrait dès lors apporter une information claire sur ce point.

21. Ensuite, la Commission fait remarquer que cet extrait du Casier judiciaire et son contenu constituent des données judiciaires au sens de l'article 8 de la LVP, dont le traitement est interdit, sauf dans les cas énumérés au § 2 de l'article susmentionné comme notamment "lorsque le traitement est nécessaire à la réalisation de finalités fixées par ou en vertu d'une loi, d'un décret ou d'une ordonnance"19. Étant donné que le projet prescrit explicitement qu'un tel extrait doit être soumis, la Commission estime que ceci peut, à l'avenir, constituer une base décretale pour légitimer le traitement de ces données judiciaires. Cela n'empêche pas que le traitement de ces données doit se faire dans le respect du principe de proportionnalité. Lors de l'adaptation du projet (cf. le point 20), il faudra dès lors tenir compte du fait que ces données ne peuvent être accessibles qu'aux personnes qui en ont besoin pour l'exercice de leurs tâches.

22. Tout comme pour les données médicales, le traitement de données judiciaires est d'ailleurs soumis à des conditions spéciales20 et la Commission rappelle à cet égard la recommandation (cf. le point 13) de prendre des initiatives pour en informer tous les acteurs.

b. Article 10

23. L'article 10 du projet laisse supposer que de tout autres traitements de données que ceux déjà énumérés au point 8 seront organisés. Cet article prévoit en effet des subventions pour des missions d'accueil d'enfants "afin de soutenir des familles vulnérables et de lutter contre la pauvreté des enfants" [traduction libre réalisée par le secrétariat de la Commission, en l'absence d'une traduction officielle]. En vue de délimiter ce groupe de "familles vulnérables", des données devront peut-être être réclamées auprès de diverses instances publiques. Pour conférer à de tels traitements de données une base réglementaire, il est conseillé de reprendre au moins dans le projet les critères de base de ce que constitue une "famille vulnérable". La Commission recommande de reprendre aussi d'ores et déjà dans le projet les autres éléments essentiels (cf. les points 9-12) de ces traitements de données.

24. En outre, la Commission constate que l'application des critères choisis pour qualifier une famille de "vulnérable" peut donner lieu à des échanges et/ou couplages de données à caractère personnel qui sont soumis à une obligation d'autorisation préalable. À cet égard, elle pense par exemple au Comité sectoriel pour l'Autorité Fédérale en application de l'article 36bis de la LVP et/ou à la Commission de contrôle flamande (cf. le point 18).

25. La Commission fait également remarquer que pour les couplages susmentionnés de données à caractère personnel, on devra peut-être recourir à un intégrateur de services. Elle profite de l'occasion pour souligner une fois de plus que la fonction d'intégrateur au sein du secteur public doit être exécutée par une (des) instance(s) qui a (ont) été désignée(s) à cet effet par une loi ou par un décret21.

26. Elle précise aussi que lors de la mise en place des échanges de données susmentionnés, une attention particulière devra être accordée au principe de proportionnalité. Le but ne peut pas être, par exemple, que chaque Organisateur individuel d'accueil d'enfants puisse consulter toutes les données détaillées relatives, par exemple, aux revenus des parents (dans l'hypothèse où cet élément est un critère pour qualifier une famille de "vulnérable" ou non), alors qu'il existerait une possibilité de communiquer uniquement le résultat (la famille est "vulnérable" ou "non vulnérable") via l'intervention d'un intégrateur de services.

c. Article 17, 1° à 4° inclus

27. Le projet prévoit que les Contrôleurs disposent du droit :

de pénétrer, à tout moment, en tout lieu ;

d'exiger de consulter des documents et d'autres supports d'information ;

de faire des constats à l'aide de moyens audiovisuels ;

de procéder à des examens.

28. L'exposé des motifs du projet répète à plusieurs reprises que ces droits du Contrôleur doivent être exercés dans le respect des principes de finalité et de proportionnalité. Le projet indique également qu'une demande d'obtention d'une autorisation doit être accompagnée d'un "consentement de la personne physique qui occupe les locaux pour des visites de contrôle dans les locaux occupés qui servent pour l'accueil d'enfants." [traduction libre réalisée par le secrétariat de la Commission, en l'absence d'une traduction officielle]. Un tel consentement général préalable n'est pas assez nuancé.

29. Bien que la Commission reconnaisse que les Contrôleurs doivent disposer de certaines compétences (coercitives) pour pouvoir accomplir leurs tâches correctement, elle estime aussi de manière générale que ces droits, tels que définis à l'article 17 du projet, constituent une atteinte disproportionnée à la vie privée de l'Organisateur, du Responsable et de l'accompagnateur. À titre d'exemple, on peut se référer aux points suivants :

tous les droits peuvent être exercés "dans la mesure où cela peut être utile à l'accomplissement de la mission de contrôle" [traduction libre réalisée par le secrétariat de la Commission, en l'absence d'une traduction officielle]. Cette formulation n'est pas suffisamment contraignante : l'exercice de ces compétences intrusives doit, selon la Commission, être limité aux cas où cela est pertinent et nécessaire pour la réalisation de la mission ;

le droit de pénétrer dans les locaux peut être exercé "à tout moment" et "en tout lieu", et ce dans tous les cas. Des limitations et des nuances en fonction des différentes situations auxquelles peuvent être confrontés les Contrôleurs sont recommandées dans ce cadre. Simplement parler du "logement privé" ou de "tout lieu" est disproportionné. L'exposé des motifs parle d'ailleurs d'un droit d'accès limité aux lieux et aux heures liés à la mission de contrôle. Ceci doit être explicité ;

le droit d'exiger de consulter des documents et "d'autres supports d'information", comme par exemple des blackberries et des iPhones, va également particulièrement loin et correspond à la recherche dans un système informatique (article 88ter du Code d'instruction criminelle). En effet, de tels instruments contiendront inévitablement de nombreuses informations privées. Il n'est pas clair non plus de savoir si ce droit signifie également que le Contrôleur peut aussi procéder à l'examen et à la recherche de données dans ces supports d'information contre la volonté de la personne concernée ;

après lecture des explications, le "droit de procéder à des examens" n'est pas non plus défini de manière suffisamment précise. En vertu de cette disposition, peut-on ou non fouiller une armoire ou un bureau ? ;

 on ne sait pas non plus clairement si les Organisateurs/Responsables d'initiatives d'accueil d'enfants ont ou non la possibilité de se défendre contre des actions des Contrôleurs (par exemple, le droit d'être entendu/le droit de contestation)22 et si oui, où ils peuvent exercer ce droit.

30. Les compétences énumérées ne sont donc pas assez nuancées et sont trop larges, ce qui est contraire aux principes de subsidiarité et de proportionnalité. Pour un règlement mieux élaboré, le projet peut par exemple s'inspirer du Code pénal social du 6 juin 2010 (titres II et III) qui établit notamment les compétences des inspecteurs sociaux, qui peuvent aussi aller très loin, ce qui n'empêche pas qu'un règlement pour les Contrôleurs dans ce projet de décret doive être adapté à la situation concrète que l'on souhaite régir. Ainsi, il est tout à fait possible de faire une distinction entre le fait de pénétrer dans les locaux occupés qui servent à l'accueil d'enfants où un droit d'accès propre peut être prévu par le Contrôleur et les autres parties de l'habitation et les dépendances (l'exposé des motifs lui-même parle d'ailleurs des "locaux occupés qui servent à l'accueil d'enfants") où l'on ne peut pas pénétrer sauf consentement (ponctuel) ou autorisation d'un juge.

31. À la lumière de ce qui précède, la Commission conclut que l'article 17 du projet, dans sa formulation actuelle, n'est dès lors pas assez proportionnel.

d. Article 24

32. L'article 24 du projet stipule que le Gouvernement flamand déterminera quelles données à caractère personnel seront collectées par l'Organisateur et de quelle manière ces données seront "traitées" par "Kind en Gezin". Sans préjudice de ses remarques générales (cf. les points 9-12), la Commission attire l'attention sur une négligence terminologique : "collecter" constitue, selon l'article 1, § 2 de la LVP, une forme de "traitement" alors que le projet donne l'impression, dans sa formulation actuelle, que ce n'est pas le cas.

PAR CES MOTIFS,

la Commission de la protection de la vie privée émet un avis défavorable sur le contenu existant du projet de décret organisant l'accueil préscolaire d'enfants.

La Commission estime que ce projet doit être amélioré, en particulier concernant les points suivants :

l'ajout des éléments essentiels des traitements de données qui auront lieu dans le cadre de l'organisation de l'accueil d'enfants, et ce aussi bien au niveau de "Kind en Gezin", des Contrôleurs, du Guichet Local d'Accueil d'enfants et des Organisateurs et des Responsables et accompagnateurs qu'ils auront désignés (points 7-13, 23-26) ;

un encadrement solide du traitement des données de santé et des données judiciaires (points 14-17, 19-22) ;

une délimitation plus stricte des droits des Contrôleurs (points 27-31).

La Commission se tient à la disposition du demandeur pour l'y aider.

Pour l'Administrateur e.c., Le Président,

(sé) Patrick Van Wouwe (sé) Willem Debeuckelaere

Free keywords

  • Projet de décret organisant l'accueil préscolaire d'enfants (CO-A-2011-007)