SÉNAT DE BELGIQUE
________
Session 2020-2021
________
28 janvier 2021
________
SÉNAT Question écrite n° 7-986

de Fatima Ahallouch (PS)

au vice-premier ministre et ministre de la Justice et de la Mer du Nord
________
Règlement général sur la protection des données (RGPD) - Données en matière de recherche judiciaire - Données ADN - Échange automatique avec le Royaume-Uni - Législation relative au traitement des données personnelles - Respect - Fiabilité des données
________
base de données génétiques
traitement des données
protection de la vie privée
données personnelles
Royaume-Uni
échange d'information
ADN
flux transfrontière de données
________
28/1/2021Envoi question
11/3/2021Réponse
________
________
SÉNAT Question écrite n° 7-986 du 28 janvier 2021 : (Question posée en français)

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou «RGPD» ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel.

Outre le vif intérêt du public pour ce cadre réglementaire, certains constateraient une appropriation du texte, en témoigne notamment le nombre de plaintes enregistrées.

Certaines sources font état d'une augmentation significative en l'espace de peu de temps de violations de données.

Ainsi, en Europe, selon certaines sources, la Commission nationale de l'informatique et des libertés (CNIL, organe de contrôle français) serait impliquée dans plus de 800 procédures sur base de plaintes sur les 1 013 instruites.

À ce niveau, plus de 144 000 plaintes et plus de 89 000 notifications de violation de données auraient été comptabilisées.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés (une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, etc.).

On apprend par ailleurs qu'en matière de recherche judiciaire, depuis décembre 2020, la Belgique échange de façon automatique ses données ADN avec le Royaume-Uni. Depuis lors, 312 suspects belges auraient été identifiés outre-Manche. On peut dans ce cadre certes s'en réjouir, cela concernant la lutte contre la criminalité et la collaboration entre les États.

On sait également que les données en question doivent être traitées en conformité avec le RGPD ainsi que la réglementation belge relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

La nouvelle loi «vie privée» a donc abrogé l'ancienne loi «vie privée» et ses arrêtés d'exécution. Elle définit l'autorité publique en reprenant la méthode utilisée en matière de réutilisation des données du secteur public, elle-même tirée de la réglementation relative aux marchés publics; outre l'État fédéral, les entités fédérées et les autorités locales, sont qualifiées d'«autorités publiques». Cette question relève donc de la compétence du Sénat par sa transversalité.

1) Si la lutte contre la criminalité doit effectivement être optimalisée, peut-on concrètement concilier les échanges de données précitées avec les législations relatives au traitement des données personnelles?

2) Dans ce contexte de pandémie, peut-on s'assurer de la fiabilité des données transmises (provenance, conservation des échantillons ADN, etc.)?

Réponse reçue le 11 mars 2021 :

1) Notons tout d’abord que les traitements des données personnelles relatifs à la coopération judiciaire en matière pénale et à la coopération policière sont encadrés par les dispositions spécifiques de la directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

La directive a été transposée en droit belge par la loi du 30 juillet 2018 relative à la protection des données et ses dispositions sont donc applicables en droit belge.

Un des objectifs visé par cette directive est de favoriser l’échange de données personnelles dans le domaine pénal afin d’assurer un meilleure coopération judiciaire et policière au sein de l’Union européenne (UE) et ce, tout en assurant la mise en place des garanties adéquates en matière de protection des données personnelles.

Par le biais de ce dispositif et l’application des garanties prévues par ceux-ci, l’échange automatique de données ADN avec un État membre peut être conciliable avec notre législation relative au traitement des données personnelles.

Concernant plus spécifiquement le transfert de données personnelles vers le Royaume-Uni, je tiens à préciser que l’article 71,§ 1er, de l’Accord de retrait entre l’Union européenne et le Royaume-Uni dispose que la protection des données personnelles des citoyens du Royaume-Uni sera soumise à la directive précitée jusqu’à ce qu’une décision d’adéquation soit adoptée par la Commission européenne, décision en vertu de laquelle la Commission reconnaît que le Royaume-Uni dispose d’un niveau de protection adéquat en matière de protection des données.

Une telle décision d’adéquation n’a pas encore été adoptée par la Commission européenne et les règles européennes permettant de concilier les échanges de données pénales et la protection des données à caractère personnelle restent dès lors applicables.

2) L’échange international de données ADN selon le Traité de Prüm se déroule en deux étapes, l’étape 1 consistant en l’échange des profils ADN à proprement parler, et l’étape 2 consistant à échanger des informations judiciaires, ou des données personnelles entre états membres suite à une correspondance obtenue lors de l’étape 1. En Belgique, le service des banques de données ADN de l’Institut national de criminalistique et de criminologie (INCC), est responsable de l’étape 1. La Cellule nationale ADN située au parquet fédéral est responsable de l’étape 2.

Les données ADN transmises dans le cadre de l’étape 1 (sous la responsabilité de l’INCC), sont uniquement des données numériques, aucun matériel ou échantillon biologique d’ADN n’est transmis d’un pays à l’autre de l’UE.

Ce sont les résultats chiffrés, des analyses ADN effectuées dans les différents laboratoires ADN nationaux, qui sont dans un premier temps transmis et enregistrés dans la banque de données ADN nationale de chaque pays de l’UE, puis dans un second temps échangés, selon le Traité de Prüm, via un système semi-automatisé. Ces comparaisons de données ADN numériques donnent lieu à un résultat de type «Hit – No Hit» visible par chacun des deux pays participant à cet échange bilatéral de données ADN.

L’échange proprement dit de données ADN s’effectue via un réseau sécurisé de type Testa-s, et à l’aide de certificats propres à chaque pays. Ceux-ci ayant dû au préalable passer une évaluation du système (législatif et technique) mis en place dans le pays, avant d’obtenir le feu vert pour le démarrage des échanges avec les autres pays de l’UE.

Afin de clarifier également l’information transmise au sujet des résultats obtenus suite au démarrage des échanges ADN de la Belgique avec le Royaume-Uni, je souhaite préciser qu’il s’agit en fait de 312 profils ADN de traces non-identifiées mises en évidences sur des scènes de crimes de dossiers judiciaires belges, qui ont donné une correspondance avec des profils ADN de personnes enregistrées dans la banque de données ADN UK. Les données personnelles concernant ces personnes sont donc ici en possession du Royaume-Uni, et les magistrats belges intéressés par ces données devront en faire la demande aux autorités anglaises responsables de l’étape 2 de l’échanges de données ADN selon le Traité de Prüm.

Pour complément d’information par rapport à la protection de la vie privée et des données personnelles, les données ADN échangées consistent en des valeurs numériques équivalentes aux nombres de répétitions de petits motifs qui se retrouvent dans des parties non-codantes de l’ADN d’un individu. Aucunes informations personnelles de type couleur des yeux ou des cheveux, âge, prédisposition à une maladie, ou autres, ne peuvent en être retirées. La seule information qui en est déduite est le sexe de la personne à l’origine du profil ADN.