SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2017-2018 Zitting 2017-2018
________________
6 septembre 2018 6 september 2018
________________
Question écrite n° 6-1957 Schriftelijke vraag nr. 6-1957

de Jean-Jacques De Gucht (Open Vld)

van Jean-Jacques De Gucht (Open Vld)

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique

aan de staatssecretaris voor Bestrijding van de sociale fraude, Privacy en Noordzee, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________________
Contrôleur européen de la protection des données (CEPD)- Projet de texte de la Commission européenne - Intégration d'empreintes digitales dans la carte d'identité Europese Toezichthouder gegevensbescherming (EDPS) - Ontwerptekst van de Europese Commissie - Opnemen van vingerafdrukken in identiteitskaart 
________________
Contrôleur européen de la protection des données
usurpation d'identité
biométrie
document d'identité
protection de la vie privée
base de données
sécurité publique
proposition (UE)
passeport
Europese Toezichthouder voor gegevensbescherming
identiteitsdiefstal
biometrie
identiteitsbewijs
eerbiediging van het privé-leven
gegevensbank
openbare veiligheid
voorstel (EU)
paspoort
________ ________
6/9/2018Verzending vraag
(Einde van de antwoordtermijn: 11/10/2018)
9/10/2018Antwoord
6/9/2018Verzending vraag
(Einde van de antwoordtermijn: 11/10/2018)
9/10/2018Antwoord
________ ________
Aussi posée à : question écrite 6-1955 Aussi posée à : question écrite 6-1955
________ ________
Question n° 6-1957 du 6 septembre 2018 : (Question posée en néerlandais) Vraag nr. 6-1957 d.d. 6 september 2018 : (Vraag gesteld in het Nederlands)

La Commission européenne a présenté le 17 avril 2018 une proposition visant à faire figurer sur les nouveaux passeports et cartes d'identité des données relatives aux caractéristiques faciales et aux empreintes digitales. Le but est de lutter contre le terrorisme et la criminalité dans le cadre de la libre circulation au sein de l'Union européenne (UE).

Le contrôleur européen de la protection des données indique dans son Avis 7/2018 qu'il ne lui paraît pas nécessaire d'intégrer tant les caractéristiques faciales que les empreintes digitales dans les cartes d'identité. Selon le contrôleur, l'enquête préalable indispensable sur l'impact de cette mesure va dans le même sens.

La fraude à l'identité peut être suffisamment combattue grâce à des mesures moins intrusives sur le plan de la vie privée, comme l'image faciale déjà disponible actuellement.

Pour le contrôleur européen de la protection des données (CEPD), il n'est absolument pas clairement établi que si des données biométriques sont insérées sur les passeports, elles devraient aussi automatiquement l'être sur les cartes d'identité, lesquelles sont souvent utilisées à d'autres fins que le voyage.

La Commission devrait dès lors d'abord réaliser une analyse approfondie. Le contrôleur devrait également interdire explicitement la création de bases de données centrales contenant ces empreintes digitales, et les données ne devraient pouvoir être utilisées que pour les raisons spécifiques mentionnées. Selon l'article 10 de la proposition de la Commission européenne, les données peuvent être utilisées pour établir l'authenticité de la carte d'identité et pour vérifier l'identité à l'aide de la carte.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une matière régionale transversale, les Régions intervenant surtout dans le volet préventif. La fraude à l'identité en fait partie.

Je souhaiterais poser les questions suivantes :

1) Connaissez-vous l'avis 7/2018 du contrôleur européen de la protection des données (CEPD) sur la proposition n° 2018/0104 de l'UE concernant l'intégration d'empreintes digitales dans les cartes d'identité ? Pouvez-vous indiquer si le gouvernement et vous-même avez déjà pris position sur ce point et pouvez-vous fournir des explications détaillées ? Dans la négative, pourquoi ?

2) Partagez-vous le point de vue selon lequel les images faciales et les empreintes digitales doivent être considérées comme des données personnelles sensibles et méritent dès lors une protection particulière ?

3) Que pensez-vous de la conclusion du CEPD selon laquelle la proposition européenne ne justifie pas suffisamment pourquoi deux types de données biométriques (image faciale et empreintes digitales) devraient être intégrées dans les cartes d'identité électroniques, alors que l'objectif déclaré pourrait également être atteint par une approche moins intrusive ? Pouvez-vous fournir des explications très détaillées ?

4) Pensez-vous, vous aussi, que la nécessité et la proportionnalité du traitement des données biométriques comme les empreintes digitales devraient à nouveau faire l'objet d'une analyse dans ce contexte ? Dans la négative, pourquoi ?

5) Partagez-vous l'argument complémentaire du contrôleur européen selon lequel il faut explicitement interdire la création de banques centrales de données reprenant ces empreintes digitales, que les données ne peuvent être utilisées qu'à des fins spécifiques, à savoir en l'espèce le contrôle de l'authenticité de la pièce d'identité ? Pouvez-vous fournir des explications très détaillées ?

6) Êtes-vous conscient de l'énorme impact sur la vie privée du prélèvement des empreintes digitales ? Pouvez-vous indiquer l'état d'avancement de l'avant-projet de loi qui a été rejeté par la commission de protection de la vie privée ?

7) Les empreintes digitales sont déjà obligatoires pour les passeports internationaux. Est-il exact que les empreintes digitales figurant sur le passeport ne sont jamais utilisées par les instances de contrôle ?

 

De Europese Commissie presenteerde op 17 april 2018 een voorstel voor nieuwe paspoorten en identiteitskaarten waarop gegevens van gezichtskenmerken en vingerafdrukken opgeslagen moeten worden. Het beoogde doel is om terrorisme en misdaad tegen te gaan bij het vrije reizen binnen de Europese Unie (EU).

De Europese toezichthouder voor gegevensbescherming stelt in haar Opinie 7/2018 dat het niet noodzakelijk lijkt om zowel gezichtskenmerken als vingerafdrukken in het identiteitsbewijs op te nemen. Ook het verplichte vooronderzoek naar de impact van deze maatregel wijst volgens de toezichthouder niet uit dat dit noodzakelijk is.

Identiteitsfraude kan voldoende worden tegengegaan met maatregelen die minder de privacy schenden, zoals de gezichtsafbeelding die nu reeds voorhanden is.

De Europese Toezichthouder voor gegevensbescherming (EDPS) vindt het geenszins een uitgemaakte zaak dat als er biometrische gegevens in het paspoort worden opgenomen, dit dan automatisch ook voor de identiteitskaart zou moeten gelden. Identiteitskaarten worden vaak voor hele andere doelen gebruikt dan om te reizen.

De Commissie zou daarom eerst een grondige analyse moeten uitvoeren. Ook moet er vanwege de toezichthouder een expliciet verbod komen op het creëren van centrale databases met deze vingerafdrukken en zouden de gegevens alleen voor de specifiek benoemde doelen mogen worden gebruikt. Volgens artikel 10 van het voorstel van de Europese Commissie mogen de gegevens gebruikt worden voor het bepalen van de echtheid van het identiteitsbewijs en voor het verifiëren van de identiteit aan de hand van de kaart.

Wat betreft het transversaal karakter: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die worden gedefinieerd in de kadernota integrale veiligheid en het nationaal veiligheidsplan voor de periode 2016 2019, en werden besproken tijdens een interministeriële conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik. Identiteitsfraude maakt hier deel van uit.

Ik had hieromtrent volgende vragen:

1) Bent u vertrouwd met Opinie 7/2018 van de Europese Toezichthouder voor gegevensbescherming (EDPS) over voorstel nr. 2018/0104 van de EU betreffende het opnemen van vingerafdrukken in identiteitskaarten? Kunt u aangeven of de regering en uzelf hieromtrent reeds een standpunt hebben ingenomen en kunt u dit uitvoerig toelichten? Zo neen, waarom niet?

2) Deelt u het standpunt dat gezichtsafbeeldingen en vingerafdrukken beschouwd moeten worden als gevoelige persoonsgegevens en aldus bijzondere bescherming verdienen?

3) Wat is uw reactie op de conclusie van de EDPS dat het desbetreffende EU voorstel niet voldoende rechtvaardigt waarom twee soorten biometrische data (gezichtsafbeelding en vingerafdrukken) op ID kaarten opgeslagen moeten worden, terwijl het gestelde doel ook met minder indringende middelen bereikt kan worden? Kunt u dit zeer uitvoerig toelichten?

4) Deelt u de mening dat de noodzakelijkheid en proportionaliteit van het verwerken van biometrische data zoals vingerafdrukken in deze context opnieuw tegen het licht zou moeten worden gehouden? Zo neen, waarom niet?

5) Bent u het ermee eens met het bijkomend subargument van de Europese toezichthouder dat er een expliciet verbod moet komen op het creëren van centrale databanken met deze vingerafdrukken, dat de gegevens alleen voor de voor de specifieke doelen mogen worden gebruikt en dat in casu de gegevens enkel mogen gebruikt worden voor de controle van de echtheid van het identiteitsbewijs? Kunt u dit zeer gedetailleerd toelichten?

6) Bent u zich bewust van de enorme impact op de privacy die het afnemen van de vingerafdruk inhoudt? Kunt u aangeven wat de stand van zaken is betreffende een eerder voorontwerp van wet dat afgeschoten werd door de privacycommissie?

7) Voor het internationaal paspoort zijn de vingerafdrukken reeds verplicht. Klopt het dat de in het paspoort opgeslagen vingerafdrukken nergens gebruikt worden door de controlerende instanties?

 
Réponse reçue le 9 octobre 2018 : Antwoord ontvangen op 9 oktober 2018 :

1) Le projet de texte européen 2018-0104 relatif aux empreintes digitales des cartes d’identité relève de la compétence de mon collègue Jan Jambon, ministre de l’Intérieur et de la Sécurité. Pour cette raison, et bien que j’ai suivi les négociations de ce texte, il appartient à mon collègue Jan Jambon de répondre à votre première question.

2) Je partage l’avis du Contrôleur européen de la protection des données (CEPD ou European Data Protection Supervisor – EDPS), selon lequel les images faciales et les empreintes digitales sont des données sensibles, lesquelles doivent être protégées. L’article 9 du règlement général sur la protection des données (RGPD) prévoit explicitement le principe d’interdiction de traitement des données sensibles, sauf s’il est nécessaire pour des motifs d'intérêt public importants, sur la base du droit de l'Union ou du droit d'un État membre et que dans ce cas, il doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

3) & 4) Le CEPD a une mission de conseil auprès des institutions européennes sur les implications de leurs politiques en matière de protection des données. Le CEPD estime que la proposition devrait être améliorée sur certains aspects essentiels afin de garantir le respect des principes de protection des données. Je suis d’avis que le législateur doit tenir compte des commentaires et avis d’une telle institution indépendante dans la mesure du possible. Cela fait partie d’un processus décisionnel responsable. En conséquence, le législateur européen sera amené à repenser sa proposition de règlement en fonction de l’avis émis par le CEPD et à mener une analyse plus approfondie sur les implications des mesures prises en fonction des principes de nécessité et de proportionnalité. Ces principes sont fondateurs lorsque les droits des personnes sont limités. La Charte des droits de l’Union européenne prévoit que toute limitation doit, en plus d’être prévue par la loi, respecter le contenu essentiel du droit en cause et, dans le respect du principe de proportionnalité, être nécessaire et répondre effectivement à des objectifs reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui.

5) Quant à savoir s’il est utile de prévoir une interdiction de créer des banques de données de ce type de données biométriques, les principes de nécessité et proportionnalité doivent être appliqués. Les finalités prévues et les droits des personnes doivent être mises en balance afin de déterminer si une telle interdiction est de mise. Un autre principe clé en matière de protection des données est la minimisation des données. En vertu de ce principe, les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Il semble en effet que ce n’est pas l’objectif de la proposition de règlement. Le Groupe de l’article 29 regroupant les autorités de protection des données européennes a, dans son avis 3/2005, émis des réserves à l’égard d’une base de données nationale des passeports reprenant des éléments biométriques. Il estime en effet que la création d’une base de données centralisée contenant les données personnelles et en particulier les données biométriques de tous les citoyens risquerait de violer le principe de proportionnalité.

Des mesures techniques et organisationnelles appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée doivent nécessairement être mis en place. En conséquence, d’autres garanties telles que les données biométriques traitées dans son contexte doivent être effacées immédiatement après leur intégration dans la puce et ne peuvent être traitées ultérieurement à d’autres fins que celles expressément établies dans la proposition sont considérées comme des mesures techniques et organisationnelles appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

6) Je suis bien conscient de l'impact sur la vie privée que peut avoir la récolte de l'empreinte digitale. La garantie que les données biométriques doivent être immédiatement supprimées après leur intégration dans la puce de l'e-ID et ne peuvent donc plus être traitées dans une base de données centrale et / ou à d'autres fins a été décidée par le gouvernement lors du « super Conseil des ministres » de mai 2017. Conformément à cette décision, différentes dispositions en ce sens ont été incluses dans une loi dispositions diverses de mon collègue Jan Jambon, ministre de l’Intérieur. Cette conception relève de la compétence de mon collègue Jan Jambon, ministre de l'Intérieur, qui sera en mesure de donner des réponses plus précises aux questions relatives à l'état de la conception.

7) La loi du 10 février 2015 relative aux traitements automatisés de données à caractère personnel nécessaires aux passeports et titres de voyage belges prévoit en son article 10 que les données de la puce du passeport sont exclusivement utilisées par le personnel du service public fédéral (SPF) Affaires étrangères affecté dans le service qui met en œuvre ledit traitement automatisé, ainsi que par le personnel chargé des demandes ou du contrôle des passeports et titres de voyage belges énuméré, à savoir :

1° le personnel chargé de l'application de la réglementation relative aux passeports et titres de voyage au SPF Affaires étrangères, individuellement habilité par le ministre ou par le personnel que le ministre a désigné à cet effet ;

2° le personnel des communes et provinces chargé de la délivrance des passeports et titres de voyage, individuellement habilité par le bourgmestre ou le gouverneur ;

3° le personnel diplomatique et consulaire chargé de la délivrance des passeports et titres de voyage, individuellement habilité par l'ambassadeur ou le consul ;

4° le personnel chargé de la délivrance des passeports diplomatiques et de service au ministère de la Défense, individuellement habilité par le ministère de la Défense ou par le personnel désigné par le ministre de la Défense à cet effet ;

5° l'entreprise chargée de la production des passeports et titres de voyage et les personnes strictement habilitées par elle en son sein et ce, aux seules fins de production et de délivrance des passeports et titres de voyage ;

6° le personnel chargé du contrôle aux frontières, tant en Belgique qu'à l'étranger.

1) Het ontwerp 2018-0104 betreffende het opnemen van vingerafdrukken in identiteitskaarten behoort tot de bevoegdheid van mijn collega Jan Jambon, minister van Binnenlandse Zaken en Beveiliging. Hoewel ik de onderhandelingen met betrekking tot deze tekst heb gevolgd, moet ik verwijzen naar mijn collega om te antwoorden op uw eerste vraag.

2) Ik deel de mening van de Europese Toezichthouder voor gegevensbescherming (European Data Protection SupervisorEDPS), die stelt dat gezichtsafbeeldingen en vingerafdrukken gevoelige gegevens zijn, die beschermd moeten worden. Artikel 9 van de algemene verordening gegevensbescherming (AVG) bepaalt expliciet dat het verboden is om gevoelige gegevens te verwerken, tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij in dit geval de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.

3) & 4) De EDPS verleent advies aan de Europese instellingen over de implicaties van hun beleid inzake gegevensbescherming. De EDPS is van oordeel dat het voorstel op bepaalde essentiële punten voor verbetering vatbaar is, teneinde de naleving van de beginselen inzake gegevensbescherming te waarborgen. Ik ben van mening dat de wetgever zoveel mogelijk rekening moet houden met de opmerkingen en adviezen van een onafhankelijke instelling als deze. Dit maakt deel uit van een verantwoord besluitvormingsproces. Hierdoor zal de Europese wetgever worden aangespoord om zijn voorstel voor verordening te heroverwegen rekening houdend met het advies van de EDPS, en om over te gaan tot een grondigere analyse van de gevolgen van de maatregelen genomen in functie van de beginselen van noodzakelijkheid en evenredigheid. Dit zijn grondbeginselen wanneer de rechten van personen worden beperkt. Het Handvest van de grondrechten van de Europese Unie bepaalt dat beperkingen niet alleen bij wet moeten worden gesteld, maar ook de wezenlijke inhoud van het recht in kwestie moeten eerbiedigen en, met inachtneming van het evenredigheidsbeginsel, noodzakelijk moeten zijn en daadwerkelijk moeten beantwoorden aan door de Unie erkende doelstellingen of aan de eisen van de bescherming van de rechten en vrijheden van anderen.

5) Om te weten of het nuttig is om een verbod in te stellen op de opmaak van databanken met dit soort biometrische gegevens, moeten de beginselen van noodzakelijkheid en evenredigheid toegepast worden. De beoogde doeleinden en de rechten van personen moeten tegenover elkaar afgewogen worden om te beslissen of een degelijk verbod op zijn plaats is. Een ander hoofdbeginsel inzake gegevensbescherming is de gegevensminimalisering. Dit beginsel stelt dat de persoonsgegevens toereikend, ter zake dienend en beperkt moeten zijn tot wat noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt. Het lijkt er inderdaad op dat dit niet het doel is van de voorstel voor verordening. De Groep Artikel 29, die bestaat uit de Europese gegevensbeschermingsautoriteiten, heeft in zijn advies 3/2005 een voorbehoud gemaakt bij een nationale databank van paspoorten met biometrische elementen. De groep meent immers dat de opmaak van een gecentraliseerde databank met persoonsgegevens, en in het bijzonder met biometrische gegevens van alle burgers, zou kunnen indruisen tegen het evenredigheidsbeginsel.

Passende en specifieke technische en organisatorische maatregelen moeten zeker ingesteld worden om de fundamentele rechten en belangen van de betrokken personen te vrijwaren. Bijgevolg worden andere waarborgen, zoals de waarborg dat biometrische gegevens die verwerkt zijn in hun context onmiddellijk moeten worden gewist nadat ze in de chip geïntegreerd zijn en niet verder mogen worden verwerkt voor andere doeleinden dan die welke uitdrukkelijk in het voorstel zijn genoemd, beschouwd als passende en specifieke technische en organisatorische maatregelen om de fundamentele rechten en belangen van de betrokken persoon te vrijwaren.

6) Ik ben me terdege bewust van de impact op de privacy die het afnemen van de vingerafdruk inhoudt. De waarborg dat biometrische gegevens onmiddellijk moeten verwijderd worden nadat ze in de chip van de e-ID zijn geïntegreerd en dus niet verder kunnen verwerkt worden in een centrale databank en / of voor andere doeleinden werd bekrachtigd binnen de regering op de superministerraad van mei 2017. In lijn met deze beslissing werd binnen de wet diverse bepalingen van collega Jan Jambon, minister van Binnenlandse Zaken, een bepaling opgenomen die de integratie van vingerafdrukken op de chip van de identiteitskaart voorziet. Dit ontwerp valt onder de bevoegdheid van mijn collega Jan Jambon, minister van Binnenlandse Zaken, die specifiekere antwoorden zal kunnen geven op vragen over de stand van zaken van het ontwerp.

7) De wet van 10 februari 2015 met betrekking tot geautomatiseerde verwerkingen van persoonsgegevens die noodzakelijk zijn voor de Belgische paspoorten en reisdocumenten voorziet in artikel 10 dat de gegevens op de chip van het paspoort uitsluitend worden gebruikt door het personeel van de federale overheidsdienst (FOD) Buitenlandse Zaken dat werkt bij de dienst die deze geautomatiseerde verwerking verricht, alsook door het hieronder vermelde personeel dat belast is met de aanvragen van Belgische paspoorten en reisdocumenten of de controle ervan :

1° het personeel dat binnen de FOD Buitenlandse Zaken belast is met de toepassing van de regelgeving inzake paspoorten en reisdocumenten, en dat daartoe persoonlijk gemachtigd is door de minister of door het personeel dat de minister daarvoor heeft aangesteld ;

2° het gemeente- en provinciepersoneel dat belast is met de afgifte van paspoorten en reisdocumenten, dat daartoe persoonlijk gemachtigd is door de burgemeester of de gouverneur ;

3° het diplomatiek en consulair personeel dat belast is met de afgifte van paspoorten en reisdocumenten, dat daartoe persoonlijk gemachtigd is door de ambassadeur of de consul ;

4° het personeel dat binnen het ministerie van Defensie belast is met de afgifte van diplomatieke en dienstpaspoorten, dat daartoe persoonlijk gemachtigd is door de minister van Defensie of door het personeel dat de minister van Defensie hiertoe heeft aangesteld ;

5° de firma die belast is met de productie van de paspoorten en reisdocumenten en de personen binnen die firma die een strikt omschreven machtiging hebben gekregen, uitsluitend voor de doeleinden van de productie en het afgeven van paspoorten en reisdocumenten ;

6° het personeel dat belast is met de grenscontrole, zowel in België als in het buitenland.