Claeys & Engels
Rechercher

Conditions strictes pour la consultation / l’utilisation du (numéro de) Registre national

Newsflash
Protection des données et de la vie privée

Au terme de plusieurs décisions récentes, l’Autorité de protection des données a rappelé que le numéro de Registre national est une donnée qui est soumise à des règles très strictes  que ce soit pour la consultation de la base de données de Registre national, ou même pour la « simple » utilisation du numéro de Registre national en tant que tel.

Le numéro de Registre national bénéficie en Belgique d’une protection particulière. En effet, le traitement du numéro de registre national est, en principe, interdit. La loi du 8 août 1983 organisant un registre national des personnes physiques détermine sous quelles conditions le numéro de Registre national peut être utilisé.

En application de l’article 8 de cette loi, une autorisation doit être obtenue auprès du Comité sectoriel du Registre national (faisant partie de l’Autorité de Protection des données) ou auprès du Service Registre National du SPF Intérieur.

Une telle autorisation n’est cependant pas nécessaire lorsque le numéro de Registre national est exclusivement utilisé à des fins d'identification et d'authentification d'une personne physique dans le cadre d'une application informatique offerte par certains organismes ou institutions spécifiquement visés par la loi, tel l’ONSS (par exemple, dans le cadre des obligations DIMONA). Il est alors cependant exclu qu’une utilisation ultérieure du numéro de Registre national, à d’autres fins, soit effectuée.

Une telle utilisation serait, en effet, contraire tant aux obligations découlant de la loi précitée, qu’aux obligations découlant du RGPD, et en particulier aux principes de licéité et de minimisation des données.

En vertu de ces deux principes, le responsable de traitement doit, d’une part, disposer d’une base légale pour chaque traitement de données à caractère personnel qu’il effectue, et, d’autre part, limiter la quantité de données à caractère personnel collectées à ce qui est strictement nécessaire en fonction du but poursuivi.

Dans deux des dossiers récemment soumis à son appréciation, l’Autorité de protection des données a ainsi prononcé une réprimande à l’égard des responsables de traitement concernés n’ayant pas respecté ces principes (décision n° 48/2021 du 8 avril 2021 et décision n° 54/2021 du 22 avril 2021).

La première de ces deux décisions concernait un notaire qui avait, en tant qu’ancien employeur d’une travailleuse, consulté le Registre national (auquel il avait accès en raison de sa profession, bénéficiant d’une autorisation spéciale à ce titre) pour vérifier l’adresse de celle-ci afin de lui délivrer les écochèques lui restant dus suite à la rupture de son contrat de travail. L’Autorité de protection des données va, en particulier, relever que l’autorisation dont bénéficie un notaire pour accéder à la base de données du Registre national ne lui est octroyée que pour l’accomplissement des tâches relevant de ses compétences, et que l’accès légalement encadré au Registre national ne peut être détourné de sa finalité.

La seconde décision impliquait une caisse d’allocations familiales (disposant également d’une autorisation spéciale de consultation du Registre national) qui avait, pour déterminer le montant des allocations familiales d’un de ses affiliés, consulté les données de celui-ci au Registre national. La caisse d’allocations avait alors accédé aux données relatives à la composition de ménage et à son historique, prenant ainsi connaissance de données à caractère personnel de personnes ayant fait partie du ménage de celui-ci, dont son père, le plaignant. L’Autorité de protection des données a estimé qu’en l’espèce, ladite consultation avait excédé ce qui était strictement nécessaire, en relevant que la consultation de l’intégralité de l’historique de son affilié sans limite dans le temps (et donc depuis sa naissance) était disproportionnée pour pouvoir respecter ses obligations légales, et déterminer le montant des allocations familiales dues à son affilié à un moment précis. A l’occasion de cette affaire, l’Autorité de protection des données a, par ailleurs, rappelé qu’elle n’était pas compétente pour se prononcer sur l’indemnisation éventuelle du dommage causé à la partie plaignante, même en cas de manquements constatés.

Dans un troisième dossier, relatif à un litige locatif, l’avocat du bailleur (disposant également d’une autorisation spéciale de consultation du Registre national en raison de sa profession) avait produit un extrait du Registre national du locataire dans le cadre de la procédure judiciaire, alors que les informations qui y étaient reprises n’étaient pas utiles à cet effet. L’Autorité de protection des données va dès lors relever que, bien que la question de la pertinence des données à caractère personnel ainsi communiquées méritait d’être posée et qu’il incombait à l’avocat de produire les données seulement strictement nécessaires, le plaignant avait pu faire valoir ses observations quant à la production de cette pièce devant le juge de paix et en solliciter l’écartement. Le juge de paix ayant, entre-temps, prononcé sa décision, en tenant compte de la pièce litigieuse, l’Autorité de protection des données a décidé qu’elle n’était pas compétente pour réformer cette décision et conclut donc au classement sans suite technique, en raison notamment du fait que sa juridiction ne pouvait pas interférer avec une autre décision de justice (décision n° 51/2021 du 15 avril 2021).

Il convient toutefois de rappeler que dans le cadre d’une décision plus ancienne (décision n° 06/2019 du 17 septembre 2019), l’Autorité de protection des données avait décidé d’infliger une amende administrative de 10.000 EUR à un commerçant qui proposait comme seul moyen de création d’une carte de fidélité la lecture de la carte d’identité électronique, impliquant, dès lors, la prise de connaissance, notamment, du numéro de Registre national. Le commerçant mécontent avait ensuite introduit un recours devant la Cour des marchés, qui avait annulé la décision, par un arrêt du 19 février 2020 (R.G. n° 2019/AR/1600), au motif que la sanction infligée n’était pas suffisamment motivée. L’Autorité de protection des données a toutefois annoncé avoir introduit un pourvoi en cassation à l’encontre de la décision rendue par la Cour des marchés, en précisant que si un cas similaire devait se représenter, elle motiverait sa décision différemment (tout en maintenant la conclusion d’un manquement).

Point d'action

L’employeur ne peut utiliser le numéro de Registre national qu’à des conditions strictes, fixées par la loi RN.

C’est en particulier le cas pour les obligations qui lui incombent vis-à-vis de l’ONSS.

Si autorisée, cette utilisation doit alors bien être effectuée dans le respect des principes développés dans le RGPD.

Compte tenu de ces principes, une utilisation du numéro de Registre national de travailleurs pour d’autres raisons que celles légalement autorisées (dans le cadre des exceptions à l’interdiction de traitement), par exemple, pour identifier les travailleurs en interne (comme un numéro de « matricule ») ou en le reprenant sur des documents d’évaluation, est, selon nous, contraire tant à la loi organisant un registre national des personnes physiques qu’au RGPD.