Commission pour la Protection de la Vie Privée - Avis du 27 février 2003 (Belgique)

Datum :
27-02-2003
Taal :
Frans Nederlands
Grootte :
6 pagina's
Sectie :
Rechtspraak
Bron :
Justel 20030227-1
Rolnummer :
08/2003

Samenvatting

Sommaire 1

------------------------------
(vide)
------------------------------

---------------------------------------------------
(vide)
---------------------------------------------------

Deux projets d'arrêté royal en exécution de la loi du modifiant la loi du 8 août 1983 organisant un Registre National des personnes physiques et la loi du 19 juillet 1991 relative aux registres de population et aux cartes d'identité.

http://jure.juridat.just.fgov.be/view_decision.html?justel=F-20030227-1&idxc_id=18760&lang=FR
---------------------------------------------------


Advies

Selecteer tekst om te onderstrepen of annotaties te maken bij het document
La Commission de la protection de la vie privée,
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, en particulier l'article 29;
Vu la demande d'avis du Ministre de l'Intérieur, datée du 06 février 2002;
Vu le rapport de M. Yves POULLET,
Émet, le 27 février 2003, l'avis suivant :
1. Le Gouvernement, alors que le Parlement poursuit l'examen du projet de loi modifiant les lois du 8 août 1983 et du 19 juillet 1991, soumet à la Commission deux arrêtés royaux : le premier relatif aux cartes d'identité ; le second déterminant les personnes et institutions ayant accès au Registre des Cartes d'identité.
Un premier projet d'arrêté royal avait déjà dans sa première mouture était soumis à l'avis de la Commission.
La Commission, lors de son avis n° 19/2002 du 10 juin 2002, s'était alors bornée à quelques considérations générales (Avis n° 19/2002, n° 36, 37, 38).
I. OBJET DE LA DEMANDE D'AVIS :
2. Le premier arrêté royal relatif aux cartes d'identité contient en son article le principe de l'obligation pour tout belge âgé de 15 ans accomplis d'être porteur d'une carte d'identité et de la " présenter " à certains officier publics.
L'article 2 fixe l'administration en charge de la délivrance de la carte.
L'article 3 détaille le contenu de la carte et les acteurs en charge de la personnalisation et l'initialisation de la carte. L'article 4 précise la langue dans laquelle les inscriptions sont faites.
Les modalités de renouvellement, les formalités à accomplir en cas de perte et les conséquences de la notification de la perte de la carte sont déterminées aux articles 6.
L'article 7 précise le mode de fonctionnement du helpdesk.
Les autres dispositions sont peu relevantes au regard des préoccupations de la Commission.
3. Le second arrêté contient deux articles et précise les organismes qui ont accès au Registre des cartes d'identité.
II. REMARQUES LIMINAIRES :
4. La Commission ignore le sort qui sera finalement réservé aux remarques qu'elle avait adressées lors de son examen du projet de loi que les arrêtés royaux sont censés exécuter (avis n° 19/2002 du 10 juin 2002 en particulier les n° 27 et sv.). Elle s'était en particulier inquiétée de la mention du numéro d'identification de manière visible sur la carte d'identité et de l'ajout d'une photographie digitalisée lisible et reproductible facilement (n° 28 du précédent avis).
La possibilité d'ajouter d'autres mentions sur la carte d'identité avait fait l'objet de critiques (n° 29 du précédent avis).
Si le texte déposé par le gouvernement au Parlement fait droit sur ce dernier point aux remarques de la Commission en fixant de manière limitative les données contenues dans la carte, il ne répond cependant à l'objection fondamentale de la Commission, à savoir l'imprécision complète des personnes ou autorités habilitées à l'accès partiel ou total aux données lisibles électroniquement et les modalités de cet accès.
Nous reviendrons sur ce point (infra, n° 8 ).
5. A propos d'un premier projet d'arrêté royal relatif aux cartes d'identité joint au projet de loi soumis alors à la Commission, cette dernière s'était bornée à quelques considérations critiques.
La première, portait sur la crainte de voir la carte d'identité devenir le support d'applications développées par les entreprises privées qui coupleraient leurs propres cartes à puces à la carte d'identité. Le gouvernement se borne à répondre que cela n'empêche pas qu'un citoyen, tout comme aujourd'hui, avec sa signature manuelle, décide lui-même quand il fera usage de sa signature électronique ". Sur cette base, le gouvernement envisage sereinement que la carte d'identité puisse servir de support à la signature électronique servant à la conclusion d'un contrat on-line, etc.
6. La Commission s'étonne de ce point de vue gouvernemental. Ainsi, le couplage des applications de l'on-line banking d'un établissement bancaire à la carte d'identité oblige le citoyen (où est sa liberté ?) d'introduire sa carte d'identité dans les lecteurs mis à sa disposition par la banque ou par des commerçants.
Rien n'est prévu dans de tels cas, en particulier que ces lecteurs bancaires ne puissent accéder aux données visibles ou lisibles électroniquement figurant sur la carte d'identité. Il est, selon la Commission, absolument nécessaire que des dispositifs techniques garantissent un accès sélectif aux données contenues dans la carte et que seules les administrations ou les organismes dûment habilités puissent avoir accès à une ou plusieurs des données d'identification contenues dans la carte et énumérées de façon limitative par le projet de loi. Cet accès devrait être distingué de celui nécessaire à la lecture et à la reconnaissance de la signature électronique qui peut également, selon le projet de loi, figurer sur la. carte et sur la même puce que les données d'identification.
7. De manière générale, sans remettre en cause les choix du gouvernement, la Commission attire l'attention du gouvernement sur la situation existante dans les autres pays européens et décrite par un avant-projet de synthèse établi par la CNIL (14 janvier 2003) à la suite d'un questionnaire sur l'administration électronique adressée à l'ensemble des autorités de protection des données (document repris en annexe). Cette synthèse établit que le projet belge d'introduction d'une carte d'identité électronique et d'une signature électronique incorporée à cette carte constitue un projet d'avant garde qui n'a point son pareil dans les autres pays européens. Cette constatation plaide non point pour la remise en cause d'un outil efficace et avantageux pour le citoyen mais pour la nécessité que le gouvernement s'assure que les risques importants d'atteinte à leur vie privée encourus par les citoyens soient l'objet de protections notamment techniques adéquates.
En ce qui concerne la comparaison avec les autres pays, la Commission relève (p. 11 et sv.) que les rares pays qui ont décidé la délivrance générale d'une carte d'identification électronique ne l'envisagent pas nécessairement (cf. le cas de la Finlande) comme carte d'identité électronique mais simplement comme carte permettant des transactions commerciales ou administratives. La carte ne comporte alors aucune information relative à l'identifiant universel de la personne, ni sa date de naissance, ni son adresse.
L'exemple le plus proche du projet belge semble être celui italien mais celui-ci distingue deux composants : une bande laser et un microprocesseur de manière à séparer les fonctions de carte d'identité et de signatures électroniques.
8. En conclusion de cet examen comparatif, le rapport de la CNIL établit une liste de points auquel tout décideur devrait être attentif :
" En tout état de cause, plusieurs éléments ont été relevés comme potentiellement problématiques :
* détermination de la nature des données enregistrées sur la carte;
* détermination des procédures de traitement de ces informations;
* détermination des organismes autorisés à avoir accès aux différentes catégories d'informations;
respect des droits des personnes;
* détermination des administrations habilitées à décider des données enregistrées dans la carte d'identité électronique;
* possibilité d'utilisation de la carte d'identité électronique à des fins commerciales (paiement en ligne, portefeuille électronique, etc.);
* mesures de sécurité mises en œuvre (l'Italie soulignant à cet égard qu'une entreprise au monde serait aujourd'hui en mesure d'offrir des réponses à la mesure des ambitions technologiques du projet en cours);
* stockage central de données de santé et de données biométriques (empreintes digitales). "
Dans l'état actuel des informations reçues, la Commission s'avère incapable de répondre à certaines des préoccupations exprimées par ce rapport et qu'elle souhaite pourtant voir rencontrer avant de se prononcer .
9. La Commission relève, en effet, que sur bien des points, le projet gouvernemental reste flou. En particulier, la détermination des organismes autorisés à avoir accès aux différentes catégories d'informations, la détermination des administrations habilitées à décider des données enregistrées dans la carte d'identité électronique, les mesures de sécurité dans l'accès et la transport des données, le couplage des fonctions de sécurité sociale et santé et des autres fonctions de la carte devraient faire l'objet de précisions.
Faute de quoi, la Commission estime qu'il est difficile de mesurer les enjeux de l'introduction de la carte d'identité électronique et les risques encourus par les citoyens du fait de l'introduction de cet outil.
10. La deuxième considération de la Commission relative aux risques d'une généralisation de la demande de présentation de la carte d'identité pour l'obtention de services électroniques administratifs est balayée par le gouvernement en affirmant que " la même crainte existe pour les cartes d 'identité actuelles par rapport aux services déjà actuellement disponibles ". La Commission souhaite préciser les raisons de sa crainte : la présentation d'une carte d'identité est une formalité requise, outre vis à vis de certaines entreprises privées pour l'exécution d'obligations légales, pour quelques opérations administratives précises et non toutes. En outre, il s'agit d'une simple présentation qui ne s'accompagne pas nécessairement d'une saisie de l'information figurant sur la carte. L'utilisation des technologies de l'information et de la communication rend, d'une part, l'exigence de cette présentation facile alors même que cette présentation n'est pas nécessaire (ainsi, le site web d'informations de l'administration communale qui demanderait que l'on s'identifie) et, d'autre part, permet l'enregistrement automatique des données figurant sur la carte.
III. DISCUSSION DES ARRÊTÉS ROYAUX : ARTICLE PAR ARTICLE.:
a. Projet d'arrêté royal relatif aux cartes d'identité.
Article 1
11. La finalité de la carte d'identité électronique est définie par l'exposé des motifs (p. 4) " La carte d'identité électronique établit uniquement l'identité de la personne et ne comprend aucune autre données électronique ". La Commission estime que cette finalité devrait être reprise dans l'arrêté royal.
12. Les alinéas 2 et 3 soulèvent un problème d'interprétation délicat : la carte d'identité doit-elle être " présentée " ou " overgelegd (remise) " à la réquisition de la police ? Le terme utilisé dans la version française signifie qu'une simple exhibition de la carte suffit ; le terme utilisé dans la version néerlandaise est plus vague et pourrait signifier la nécessité d'une introduction de la carte d'identité dans un lecteur et l'accès au moins en lecture par la police. A notre avis, l'introduction de la carte devrait être réservée à des cas précis et non à toutes les hypothèses où la présentation de la carte est exigée.
A contrario, en dehors des cas prévus par les alinéas 2 et 3 la Commission estime qu'en aucune manière, la " présentation " de la carte ne peut être imposée ni directement ni indirectement sauf dans le cadre où cela s'avère nécessaire à l'exécution d'une obligation légale.
Article 3
13. L'alinéa 2 du § 1 devrait être précisé : de quelles normes et standards s'agit-il ? S'agit-il de normes quant au format de la carte, de normes de sécurité en particulier quant à l'accès aux données reprises sur le microprocesseur, de normes de digitalisation des images ou du texte ? La Commission est d'avis que les normes visant la sécurité des accès et le codage des transmissions d'informations à partir de la carte doivent en tout cas être explicitement visés et que, dans une annexe, les normes actuelles de référence soient précisées.
14. L'alinéa 2 du § 3 porte création d'un numéro d' ordre qui ne peut " contenir " (traduction du néerlandais " bevatten ") de données sur la personne du titulaire ni de références à de telles données. La portée de cette seconde exigence signifie-t-elle que même le renvoi à des tables de concordance entre la personne du titulaire et ce numéro d'ordre est interdit ?
L'alinéa 3 du § 3 soulève de même une difficulté dans la mesure où certaines mentions reprises sur la carte d'identité de manière visible ou accessibles électroniquement échappent à une compétence de vérification de l'officier de l'état civil.
15. Le § 4 introduit une référence à des acteurs : " personnalisateur " et " initialisateur " non définis et sans préciser ni les organismes compétents pour remplir ces missions, ni leur statut au regard de la loi vie privée. Ainsi le personnalisateur est-il une administration ou une société privée ? un responsable du traitement ou un simple sous-traitant ? Si cette dernière hypothèse est retenue, l'article 16 de la loi de 1992 exige la conclusion d'un contrat et surtout le choix de sous-traitant " qualifiés ". L'initialisateur peut-il être le prestataire de service de certification, ce que l'alinéa 3 du § 4 semble exclure ?
Les règles de sécurité quant aux opérations prises en charge par ces deux acteurs devraient faire l'objet d'un règlement du Ministre de l'Intérieur.
Dans les fonctions de l'initialisateur de la carte, certaines sont peu compréhensibles. Ainsi, le 3° qui demande la génération des codes d'activation personnels du demandeur et de la commune (la commune a-t-elle un code d'activation personnels ou n'est-ce pas plutôt celui de l'officier d'Etat civil de la Commune ?) et du code P.I.N. initial du demandeur. Ainsi, le 4° parle du chargement des certificats " root " actifs de l'autorité sans préciser de quelle autorité il s'agit.
16. Le 7° est peu clair : la " consignation des données au Registre des cartes d'identité ". De quelles données s'agit-il ? Dans quelle mesure, la transmission au Registre des cartes d'identité des données figurant sur la carte d'identité est-elle nécessaire ?
La Commission rappelle à cet égard son objection à la création de ce second fichier à côté de celui du Registre National. Il note que le second arrêté royal soumis à l'avis de la Commission ne précise pas le contenu de ce registre comme il avait été pourtant été promis par le Gouvernement (cf. le commentaire de l'article 13 repris dans l'exposé des motifs du projet de loi modifiant la loi du 8 août 1983). A propos de la liste de ces données, la Commission rappelle le devoir de se limiter à ce qui est strictement nécessaire à la finalité de ce registre.
Article 6
17. Cet article a priori fait double emploi au moins en grande partie avec l'article 8 ter du projet de loi modifiant la loi du 8 août 1983.
A noter que le § 2 suppose pour suspendre la fonction électronique de la carte d'identité, que les lecteurs susceptibles de permettre cette fonction électronique soient reliés " on-line ".
Les autres articles méritent peu de commentaires.
b. Projet d'arrêté royal déterminant les personnes et institutions ayant accès au Registre des cartes d'identité.
18. La Commission s'interrogeait dans son avis n° 19/2002 (n° 31) sur la finalité de ce registre comme registre distinct du Registre national dans les termes suivants : " L'article 14 crée un cadre légal pour le fichier des cartes d'identité créé par l'arrêté royal du 29 juillet 1985. L'alinéa 2 laisse au Roi le soin d'en fixer le contenu après avis du Comité d'habilitation. La Commission s'inquiète de la création de ce second fichier à côté de celui du Registre national et de l'indétermination de son contenu et de ses finalités. Elle souhaiterait sur ce point que le Gouvernement justifie son projet alors même que le Registre national reprend dans les informations obligatoires la mention du numéro de la carte et pourrait dès lors suffire pour accomplir les missions dévolues à ce fichier nouveau ".
Le projet de loi actuellement discuté au Parlement ne définit pas la finalité de ce registre mais en réponse aux inquiétudes de la Commission, prévoit deux arrêtés royaux : l'un quant aux données qui figurent dans ce registre ; l'autre quant aux personnes ayant accès à ce registre.
La Commission n'est à ce jour saisie que du second arrêté. Elle souhaiterait donc disposer d'une définition des finalités de ce registre et des données susceptibles d'y figurer avant de se prononcer sur l'arrêté royal qui lui est présenté. Il est difficile en effet de déterminer si la liste des personnes ayant accès à ce registre est justifié et si l'accès doit être total ou partiel alors même que la finalité du registre et son contenu n'ont pas été clarifiés.
EN CONCLUSION,
19. Sous réserve des remarques que suscite l'examen article par article du projet de loi (manque de définitions de certains termes, imprécision terminologique,…) la Commission pourrait accepter l'arrêté royal à deux conditions :
* La première concerne la nécessité d'une séparation claire de la fonction d'identification des personnes et celle de l'authentification dans le cadre de l'utilisation de la signature électronique. Si le gouvernement souhaite que le secteur privé puisse pour des applications qui lui sont propres utiliser la carte d'identité comme support de la signature électronique, cela ne signifie en aucune manière que celui-ci doit avoir accès aux données d'identification contenues sur ou dans la carte.
* La seconde est la nécessité de prévoir un système d'agrément des lecteurs de la carte qui puissent garantir que les organismes autorisés à la lecture de la carte n'aient accès qu'aux zones pour lesquelles elles sont habilitées par ou en vertu d'une loi, décret ou ordonnance. La Commission souhaite être associée à ce travail de normalisation technique.