Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-1957

de Jean-Jacques De Gucht (Open Vld) du 6 septembre 2018

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique

Contrôleur européen de la protection des données (CEPD)- Projet de texte de la Commission européenne - Intégration d'empreintes digitales dans la carte d'identité

Contrôleur européen de la protection des données
usurpation d'identité
biométrie
document d'identité
protection de la vie privée
base de données
sécurité publique
proposition (UE)
passeport

Chronologie

6/9/2018 Envoi question (Fin du délai de réponse: 11/10/2018 )
9/10/2018 Réponse

Aussi posée à : question écrite 6-1955

Question n° 6-1957 du 6 septembre 2018 : (Question posée en néerlandais)

La Commission européenne a présenté le 17 avril 2018 une proposition visant à faire figurer sur les nouveaux passeports et cartes d'identité des données relatives aux caractéristiques faciales et aux empreintes digitales. Le but est de lutter contre le terrorisme et la criminalité dans le cadre de la libre circulation au sein de l'Union européenne (UE).

Le contrôleur européen de la protection des données indique dans son Avis 7/2018 qu'il ne lui paraît pas nécessaire d'intégrer tant les caractéristiques faciales que les empreintes digitales dans les cartes d'identité. Selon le contrôleur, l'enquête préalable indispensable sur l'impact de cette mesure va dans le même sens.

La fraude à l'identité peut être suffisamment combattue grâce à des mesures moins intrusives sur le plan de la vie privée, comme l'image faciale déjà disponible actuellement.

Pour le contrôleur européen de la protection des données (CEPD), il n'est absolument pas clairement établi que si des données biométriques sont insérées sur les passeports, elles devraient aussi automatiquement l'être sur les cartes d'identité, lesquelles sont souvent utilisées à d'autres fins que le voyage.

La Commission devrait dès lors d'abord réaliser une analyse approfondie. Le contrôleur devrait également interdire explicitement la création de bases de données centrales contenant ces empreintes digitales, et les données ne devraient pouvoir être utilisées que pour les raisons spécifiques mentionnées. Selon l'article 10 de la proposition de la Commission européenne, les données peuvent être utilisées pour établir l'authenticité de la carte d'identité et pour vérifier l'identité à l'aide de la carte.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une matière régionale transversale, les Régions intervenant surtout dans le volet préventif. La fraude à l'identité en fait partie.

Je souhaiterais poser les questions suivantes :

1) Connaissez-vous l'avis 7/2018 du contrôleur européen de la protection des données (CEPD) sur la proposition n° 2018/0104 de l'UE concernant l'intégration d'empreintes digitales dans les cartes d'identité ? Pouvez-vous indiquer si le gouvernement et vous-même avez déjà pris position sur ce point et pouvez-vous fournir des explications détaillées ? Dans la négative, pourquoi ?

2) Partagez-vous le point de vue selon lequel les images faciales et les empreintes digitales doivent être considérées comme des données personnelles sensibles et méritent dès lors une protection particulière ?

3) Que pensez-vous de la conclusion du CEPD selon laquelle la proposition européenne ne justifie pas suffisamment pourquoi deux types de données biométriques (image faciale et empreintes digitales) devraient être intégrées dans les cartes d'identité électroniques, alors que l'objectif déclaré pourrait également être atteint par une approche moins intrusive ? Pouvez-vous fournir des explications très détaillées ?

4) Pensez-vous, vous aussi, que la nécessité et la proportionnalité du traitement des données biométriques comme les empreintes digitales devraient à nouveau faire l'objet d'une analyse dans ce contexte ? Dans la négative, pourquoi ?

5) Partagez-vous l'argument complémentaire du contrôleur européen selon lequel il faut explicitement interdire la création de banques centrales de données reprenant ces empreintes digitales, que les données ne peuvent être utilisées qu'à des fins spécifiques, à savoir en l'espèce le contrôle de l'authenticité de la pièce d'identité ? Pouvez-vous fournir des explications très détaillées ?

6) Êtes-vous conscient de l'énorme impact sur la vie privée du prélèvement des empreintes digitales ? Pouvez-vous indiquer l'état d'avancement de l'avant-projet de loi qui a été rejeté par la commission de protection de la vie privée ?

7) Les empreintes digitales sont déjà obligatoires pour les passeports internationaux. Est-il exact que les empreintes digitales figurant sur le passeport ne sont jamais utilisées par les instances de contrôle ?

Réponse reçue le 9 octobre 2018 :

1) Le projet de texte européen 2018-0104 relatif aux empreintes digitales des cartes d’identité relève de la compétence de mon collègue Jan Jambon, ministre de l’Intérieur et de la Sécurité. Pour cette raison, et bien que j’ai suivi les négociations de ce texte, il appartient à mon collègue Jan Jambon de répondre à votre première question.

2) Je partage l’avis du Contrôleur européen de la protection des données (CEPD ou European Data Protection Supervisor – EDPS), selon lequel les images faciales et les empreintes digitales sont des données sensibles, lesquelles doivent être protégées. L’article 9 du règlement général sur la protection des données (RGPD) prévoit explicitement le principe d’interdiction de traitement des données sensibles, sauf s’il est nécessaire pour des motifs d'intérêt public importants, sur la base du droit de l'Union ou du droit d'un État membre et que dans ce cas, il doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

3) & 4) Le CEPD a une mission de conseil auprès des institutions européennes sur les implications de leurs politiques en matière de protection des données. Le CEPD estime que la proposition devrait être améliorée sur certains aspects essentiels afin de garantir le respect des principes de protection des données. Je suis d’avis que le législateur doit tenir compte des commentaires et avis d’une telle institution indépendante dans la mesure du possible. Cela fait partie d’un processus décisionnel responsable. En conséquence, le législateur européen sera amené à repenser sa proposition de règlement en fonction de l’avis émis par le CEPD et à mener une analyse plus approfondie sur les implications des mesures prises en fonction des principes de nécessité et de proportionnalité. Ces principes sont fondateurs lorsque les droits des personnes sont limités. La Charte des droits de l’Union européenne prévoit que toute limitation doit, en plus d’être prévue par la loi, respecter le contenu essentiel du droit en cause et, dans le respect du principe de proportionnalité, être nécessaire et répondre effectivement à des objectifs reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui.

5) Quant à savoir s’il est utile de prévoir une interdiction de créer des banques de données de ce type de données biométriques, les principes de nécessité et proportionnalité doivent être appliqués. Les finalités prévues et les droits des personnes doivent être mises en balance afin de déterminer si une telle interdiction est de mise. Un autre principe clé en matière de protection des données est la minimisation des données. En vertu de ce principe, les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Il semble en effet que ce n’est pas l’objectif de la proposition de règlement. Le Groupe de l’article 29 regroupant les autorités de protection des données européennes a, dans son avis 3/2005, émis des réserves à l’égard d’une base de données nationale des passeports reprenant des éléments biométriques. Il estime en effet que la création d’une base de données centralisée contenant les données personnelles et en particulier les données biométriques de tous les citoyens risquerait de violer le principe de proportionnalité.

Des mesures techniques et organisationnelles appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée doivent nécessairement être mis en place. En conséquence, d’autres garanties telles que les données biométriques traitées dans son contexte doivent être effacées immédiatement après leur intégration dans la puce et ne peuvent être traitées ultérieurement à d’autres fins que celles expressément établies dans la proposition sont considérées comme des mesures techniques et organisationnelles appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

6) Je suis bien conscient de l'impact sur la vie privée que peut avoir la récolte de l'empreinte digitale. La garantie que les données biométriques doivent être immédiatement supprimées après leur intégration dans la puce de l'e-ID et ne peuvent donc plus être traitées dans une base de données centrale et / ou à d'autres fins a été décidée par le gouvernement lors du « super Conseil des ministres » de mai 2017. Conformément à cette décision, différentes dispositions en ce sens ont été incluses dans une loi dispositions diverses de mon collègue Jan Jambon, ministre de l’Intérieur. Cette conception relève de la compétence de mon collègue Jan Jambon, ministre de l'Intérieur, qui sera en mesure de donner des réponses plus précises aux questions relatives à l'état de la conception.

7) La loi du 10 février 2015 relative aux traitements automatisés de données à caractère personnel nécessaires aux passeports et titres de voyage belges prévoit en son article 10 que les données de la puce du passeport sont exclusivement utilisées par le personnel du service public fédéral (SPF) Affaires étrangères affecté dans le service qui met en œuvre ledit traitement automatisé, ainsi que par le personnel chargé des demandes ou du contrôle des passeports et titres de voyage belges énuméré, à savoir :

1° le personnel chargé de l'application de la réglementation relative aux passeports et titres de voyage au SPF Affaires étrangères, individuellement habilité par le ministre ou par le personnel que le ministre a désigné à cet effet ;

2° le personnel des communes et provinces chargé de la délivrance des passeports et titres de voyage, individuellement habilité par le bourgmestre ou le gouverneur ;

3° le personnel diplomatique et consulaire chargé de la délivrance des passeports et titres de voyage, individuellement habilité par l'ambassadeur ou le consul ;

4° le personnel chargé de la délivrance des passeports diplomatiques et de service au ministère de la Défense, individuellement habilité par le ministère de la Défense ou par le personnel désigné par le ministre de la Défense à cet effet ;

5° l'entreprise chargée de la production des passeports et titres de voyage et les personnes strictement habilitées par elle en son sein et ce, aux seules fins de production et de délivrance des passeports et titres de voyage ;

6° le personnel chargé du contrôle aux frontières, tant en Belgique qu'à l'étranger.