SÉNAT DE BELGIQUE
________
Session 2010-2011
________
10 mai 2011
________
SÉNAT Question écrite n° 5-2311

de Guido De Padt (Open Vld)

au ministre de la Justice
________
Banques de données européennes SIS, VIS, Eurodac - Détournement d'usage - Protection de la vie privée
________
base de données
protection de la vie privée
biométrie
système d'information Schengen
admission des étrangers
asile politique
terrorisme
demandeur d'asile
________
10/5/2011Envoi question
1/12/2011Réponse
________
Aussi posée à : question écrite 5-2310
________
SÉNAT Question écrite n° 5-2311 du 10 mai 2011 : (Question posée en néerlandais)

Depuis les attentats terroristes du 11 septembre 2001, on a vu naître une tendance irréversible à enregistrer des données à caractère personnel dans diverses banques de données. Ce phénomène ne se limite pas aux États-Unis. Dans l'Union européenne, chaque citoyen est fiché en moyenne dans six cents banques de données. En général, il ignore qui détient ses données et l'usage qui en est fait. Ses données à caractère personnel risquent ainsi d'être utilisées à une autre fin que celle pour laquelle elles ont au départ été collectées. Dans le jargon, on parle de « function creep » ou détournement d'usage. Le détournement d'usage est quotidien dans divers domaines. Dernièrement, on a ainsi appris que la police néerlandaise achetait des informations d'utilisateurs de TomTom pour déterminer à quels endroits elle doit effectuer des contrôles de vitesse. Je vous donne quelques exemples.

- le système qui a succédé au Système d'information Schengen (SIS), la banque de données qui enregistre toute personne pénétrant dans la zone Schengen ou la quittant, ne se focalisera plus sur le contrôle des migrations mais aussi sur la prévention et la détection de menaces pour l'ordre public et la sécurité nationale ;

- il en va de même pour Eurodac, la banque de données européenne qui collecte les empreintes digitales des demandeurs d'asile. Eurodac a été lancée en son temps pour lutter contre le shopping en matière d’asile. Aujourd'hui, l'Union européenne souhaite également utiliser cette banque de données pour lutter plus efficacement contre la criminalité et le terrorisme ;

- sous la pression de l'Allemagne, des Pays-Bas et de la Commission européenne, le système d’information sur les visas (VIS), la banque de données qui renferme les données de toutes les personnes qui demandent un visa pour un pays de l'Union européenne, ne sera très probablement plus uniquement accessible aux services qui délivrent les visas mais aussi aux services de renseignement et de police.

L'Union européenne, en prenant ces mesures, bafoue le principe de la limitation de l'objet du traitement, tel qu'établi par l'article 8 de la Convention européenne des droits de l'homme (CEDH). En vertu de ce principe, les données ne peuvent en aucune cas être utilisées pour d'autres finalités que celles pour lesquelles elles ont été collectées. La Commission européenne justifie cette entorse par le principe de proportionnalité. Elle estime que les banques de données susmentionnées ne peuvent être « interrogées que pour prévenir et enquêter sur des infractions pénales graves ou des infractions terroristes ou pour identifier l'auteur d'une infraction pénale ou d'un acte terroriste présumés dès que l'intérêt supérieur de la sécurité publique le commande » (COM/2005/0597). Cela me semble excessif. Des considérations sécuritaires peuvent en effet conduire à attenter à tout principe de notre État de droit démocratique.

Je souhaiterais une réponse aux questions suivantes.

1) Les ministres pensent-ils eux aussi que l'évolution décrite ci-dessus va à l'encontre du principe de la limitation de l'objet du traitement, tel qu'établi par l'article 8 de la CEDH ?

2) Comment réagissent-ils à la proposition de la Commission européenne de centraliser au sein d'une nouvelle agence la gestion des trois grandes banques de données européennes, SIS, VIS et Eurodac ? La Belgique se rallie-t-elle au point de vue des autorités néerlandaises lorsqu'elles estiment que la création d'une telle agence ne satisfait pas au principe de proportionnalité et ce, pour les raisons suivantes :

1) les missions de l'agence vont au-delà de la gestion opérationnelle des systèmes TI ;

2) la compétence de l'agence n'est pas définie et des compétences des États membres risquent dès lors d'être vidées de leur substance ;

3) les possibilités de coopération avec la future agence Europol dans le domaine de la gestion opérationnelle n'ont pas été étudiées ?

3) Quand la mise en service du VIS est-elle prévue ? Selon les dernières propositions, quels sont les acteurs qui auront accès au VIS ? La Belgique se range-t-elle derrière l'Allemagne, les Pays-Bas et la Commission européenne qui proposent d'étendre l'accès au VIS aux services de renseignement et de police ? Comment la Belgique informera-t-elle les personnes qui demandent un visa de la manière dont elles peuvent déposer plainte et de l'autorité auprès de laquelle elles peuvent le faire ?

4) Les ministres approuvent-ils les déclarations de la Ligue des droits de l'homme selon lesquelles l'utilisation d'Eurodac pour la lutte contre la criminalité revient à étiqueter les demandeurs d'asile comme criminels ?

5) Combien d'irrégularités dans le traitement des données à caractère personnel et le transfert de celles-ci dans l'unité centrale du système Eurodac la Commission de la protection de la vie privée a-t-elle enregistrées en 2008, 2009 et 2010 ? À combien de demandeurs d'asile la Commission de la protection de la vie privée a-t-elle prêté assistance dans l'exercice de leurs droits individuels ? Quel est le nombre de plaintes et de procédures judiciaires relatives au traitement de données à caractère personnel dans le système Eurodac qui ont été portées à la connaissance de la Commission de la protection de la vie privée ?

Réponse reçue le 1 décembre 2011 :

1. et 2. M. le sénateur fait référence à l’Agence pour la gestion opérationnelle des systèmes d’information à grande échelle (ci-après l’Agence). C’est notamment afin de s’assurer que l’évolution décrite est en conformité avec l’article 8 de la Convention européenne des droits de l’homme, la Convention 108 du Conseil de l’Europe et la Directive 95/46/CE vie privée, qu’un avis a été requis auprès du Contrôleur Européen à la Protection des Données (ci-après CEPD). Le CEPD est une autorité de contrôle indépendante dont l'objectif est de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes pratiques dans les institutions et organes de l’Union européenne (UE).

Celui-ci a rendu un avis formel le 7 décembre 2009, publié au Journal officiel de l’UE du 19 mars 2010 sous la référence C 70/13.

Cet avis dispose, en substance, que :

  • le risque de détournement d’usage (function creep) peut être évité si, premièrement, le champ d’activités de l’agence est limité et clairement défini dans l’instrument juridique fondateur et, deuxièmement, si l’on veille à ce que toute extension éventuelle de ce champ d’activité repose sur une procédure de prise de décision démocratique. Le CEPD relève que les propositions actuelles relatives à la constitution de l’Agence comportent déjà de telles dispositions.

  • au niveau de l’interopérabilité possible des systèmes d’information, le CEPD estime que la création de l’agence n’est pas le facteur qui représente le risque le plus important. En effet, le CEPD a constaté que l’agence ne sera pas habilitée à prendre, de sa propre initiative, une décision en matière d’opérabilité.

Plusieurs articles de la proposition de la Commission européenne relative à la création de l’Agence précisent que le Règlement 45/2001/CE du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation des données (JO L8 du 12.01.2001) s’applique au traitement, par l’agence, des données à caractère personnel.

Les règles sur la protection des données contenues dans le Règlement 45/2001/CE s'inspirent des règles qui s'appliquent aux États membres, en particulier la Directive 95/46/CE relative à la protection des données – transposée par la loi belge « vie privée » du 8 décembre 1992 – et la Directive 2002/58/CE « vie privée et communications électroniques ».

Il apparaît de ce qui précède que l’évolution décrite par M. le parlementaire n’est pas en contradiction avec l’article 8 de la Convention européenne des droits de l’homme. En effet, la question de la protection des données est dûment prise en compte par la Commission européenne.

3. et 4. Ces questions relèvent de mes collègues des Affaires Étrangères, de l’Intérieur ainsi que du secrétaire d'État en charge de la politique de Migration et d’Asile.

5. La Commission de la protection de la vie privée nous communique les éléments suivants :

« A ce jour, la Commission n’a reçu aucune demande d’un demandeur d’asile concernant l’exercice de ses droits relatifs au traitement de ses données personnelles dans le système Eurodac. Elle n’a connaissance d’aucune plainte ou action en justice à ce sujet ni n’a relevé d’irrégularité particulière. » Au niveau Européen, « en 2008, les questions relatives à l’information des personnes concernées et à l’évaluation de l’âge des jeunes demandeurs d’asile ont été examinées. Les autorités nationales de protection des données et le Contrôleur européen à la protection des données ont conclu que les informations fournies au demandeur d’asile sur leurs droits et l’utilisation de leurs données sont généralement incomplètes. Ils ont également fait des recommandations quant aux méthodes utilisées pour évaluer l’âge des jeunes demandeurs d’asile (…). Le second rapport du groupe de coordination de contrôle d’Eurodac a été communiqué le 14 octobre 2009 aux Présidents du Sénat et de la Chambre des représentants ».

Pour le surplus, M. le Sénateur peut s’adresser directement à la Commission de la protection de la vie privée, Commission indépendante et rattachée à la Chambre.