SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2020-2021 Zitting 2020-2021
________________
28 janvier 2021 28 januari 2021
________________
Question écrite n° 7-986 Schriftelijke vraag nr. 7-986

de Fatima Ahallouch (PS)
van Fatima Ahallouch (PS)

au vice-premier ministre et ministre de la Justice et de la Mer du Nord
aan de vice-eersteminister en minister van Justitie en Noordzee
________________
Règlement général sur la protection des données (RGPD) - Données en matière de recherche judiciaire - Données ADN - Échange automatique avec le Royaume-Uni - Législation relative au traitement des données personnelles - Respect - Fiabilité des données Algemene verordening gegevensbescherming (AVG) - Gegevens inzake gerechtelijke onderzoeken - DNA-gegevens - Automatische uitwisseling met het Verenigd Koninkrijk - Wetgeving met betrekking tot de verwerking van persoonsgegevens - Naleving 
________________
base de données génétiques
traitement des données
protection de la vie privée
données personnelles
Royaume-Uni
échange d'information
ADN
flux transfrontière de données
genetische database
gegevensverwerking
eerbiediging van het privé-leven
persoonlijke gegevens
Verenigd Koninkrijk
uitwisseling van informatie
DNA
grensoverschrijdende gegevensstroom
________ ________
28/1/2021Verzending vraag
(Einde van de antwoordtermijn: 4/3/2021)
11/3/2021Antwoord
28/1/2021Verzending vraag
(Einde van de antwoordtermijn: 4/3/2021)
11/3/2021Antwoord
________ ________
Question n° 7-986 du 28 janvier 2021 : (Question posée en français) Vraag nr. 7-986 d.d. 28 januari 2021 : (Vraag gesteld in het Frans)

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou «RGPD» ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel.

Outre le vif intérêt du public pour ce cadre réglementaire, certains constateraient une appropriation du texte, en témoigne notamment le nombre de plaintes enregistrées.

Certaines sources font état d'une augmentation significative en l'espace de peu de temps de violations de données.

Ainsi, en Europe, selon certaines sources, la Commission nationale de l'informatique et des libertés (CNIL, organe de contrôle français) serait impliquée dans plus de 800 procédures sur base de plaintes sur les 1 013 instruites.

À ce niveau, plus de 144 000 plaintes et plus de 89 000 notifications de violation de données auraient été comptabilisées.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés (une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, etc.).

On apprend par ailleurs qu'en matière de recherche judiciaire, depuis décembre 2020, la Belgique échange de façon automatique ses données ADN avec le Royaume-Uni. Depuis lors, 312 suspects belges auraient été identifiés outre-Manche. On peut dans ce cadre certes s'en réjouir, cela concernant la lutte contre la criminalité et la collaboration entre les États.

On sait également que les données en question doivent être traitées en conformité avec le RGPD ainsi que la réglementation belge relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

La nouvelle loi «vie privée» a donc abrogé l'ancienne loi «vie privée» et ses arrêtés d'exécution. Elle définit l'autorité publique en reprenant la méthode utilisée en matière de réutilisation des données du secteur public, elle-même tirée de la réglementation relative aux marchés publics; outre l'État fédéral, les entités fédérées et les autorités locales, sont qualifiées d'«autorités publiques». Cette question relève donc de la compétence du Sénat par sa transversalité.

1) Si la lutte contre la criminalité doit effectivement être optimalisée, peut-on concrètement concilier les échanges de données précitées avec les législations relatives au traitement des données personnelles?

2) Dans ce contexte de pandémie, peut-on s'assurer de la fiabilité des données transmises (provenance, conservation des échantillons ADN, etc.)?

 

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming of AVG, vaak ook afgekort als GDPR voor General data protection regulation) is het nieuwe Europese kader betreffende de verwerking en het verkeer van persoonsgegevens.

Naast de grote belangstelling van het publiek voor dit regelgevend kader, wordt her en der ook een toe-eigening van de tekst waargenomen. Daarvan getuigt het groot aantal geregistreerde klachten.

Volgens sommige bronnen is er in korte tijd een significante stijging waargenomen van gegevensfraude.

Zo zouden in Europa bij het Franse controle-orgaan Commission nationale de l'informatique et des libertés (CNIL) meer dan 800 procedures lopen als gevolg van 1013 ingediende klachten.

Intussen staat de teller al op meer dan 144.000 klachten en 89.000 meldingen van inbreuken met persoonsgegevens.

Sommige gegevens zijn gevoelig omdat ze betrekking hebben op informatie die aanleiding kan geven tot discriminatie of vooroordelen (politieke mening, religieuze overtuiging, syndicaal engagement, etnische aanhorigheid, seksuele geaardheid, enz.).

Bovendien heeft België naar verluidt wat betreft de gerechtelijke onderzoeken sinds december 2020 automatisch de DNA-gegevens met het Verenigd Koninkrijk uitgewisseld. Sindsdien zouden 312 Belgische verdachten over het Kanaal zijn geïdentificeerd. Dat is een goede zaak omdat het gaat over misdaadbestrijding en samenwerking tussen staten.

We weten dat de betrokken gegevens moeten behandeld worden conform de AVG en de Belgische regelgeving inzake de bescherming van de private levenssfeer die van toepassing is op de verwerking van persoonsgegevens.

De oude «privacywet» werd dus vervangen door de nieuwe «privacywet» en de uitvoeringsbesluiten daarvan. Daarin wordt de overheid gedefinieerd op dezelfde wijze als voor het doorgeven van gegevens binnen de publieke sector, die voorkomt in de wetgeving inzake openbare aanbestedingen; naast de federale staat worden ook de deelstaten en de lokale overheden beschouwd als deel uitmakend van de «overheid». Dit is bijgevolg een transversale vraag waarvoor de Senaat bevoegd is.

1) Als we ervan uitgaan dat misdaadbestrijding moet geoptimaliseerd worden, is bovengenoemde uitwisseling van gegevens in overeenstemming met de wetgeving op de verwerking van persoonsgegevens?

2) Kunnen we ons, in de context van de pandemie, vergewissen van de betrouwbaarheid van de doorgestuurde gegevens (herkomst, bewaring van DNA-stalen, enz.)?

 
Réponse reçue le 11 mars 2021 : Antwoord ontvangen op 11 maart 2021 :

1) Notons tout d’abord que les traitements des données personnelles relatifs à la coopération judiciaire en matière pénale et à la coopération policière sont encadrés par les dispositions spécifiques de la directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

La directive a été transposée en droit belge par la loi du 30 juillet 2018 relative à la protection des données et ses dispositions sont donc applicables en droit belge.

Un des objectifs visé par cette directive est de favoriser l’échange de données personnelles dans le domaine pénal afin d’assurer un meilleure coopération judiciaire et policière au sein de l’Union européenne (UE) et ce, tout en assurant la mise en place des garanties adéquates en matière de protection des données personnelles.

Par le biais de ce dispositif et l’application des garanties prévues par ceux-ci, l’échange automatique de données ADN avec un État membre peut être conciliable avec notre législation relative au traitement des données personnelles.

Concernant plus spécifiquement le transfert de données personnelles vers le Royaume-Uni, je tiens à préciser que l’article 71,§ 1er, de l’Accord de retrait entre l’Union européenne et le Royaume-Uni dispose que la protection des données personnelles des citoyens du Royaume-Uni sera soumise à la directive précitée jusqu’à ce qu’une décision d’adéquation soit adoptée par la Commission européenne, décision en vertu de laquelle la Commission reconnaît que le Royaume-Uni dispose d’un niveau de protection adéquat en matière de protection des données.

Une telle décision d’adéquation n’a pas encore été adoptée par la Commission européenne et les règles européennes permettant de concilier les échanges de données pénales et la protection des données à caractère personnelle restent dès lors applicables.

2) L’échange international de données ADN selon le Traité de Prüm se déroule en deux étapes, l’étape 1 consistant en l’échange des profils ADN à proprement parler, et l’étape 2 consistant à échanger des informations judiciaires, ou des données personnelles entre états membres suite à une correspondance obtenue lors de l’étape 1. En Belgique, le service des banques de données ADN de l’Institut national de criminalistique et de criminologie (INCC), est responsable de l’étape 1. La Cellule nationale ADN située au parquet fédéral est responsable de l’étape 2.

Les données ADN transmises dans le cadre de l’étape 1 (sous la responsabilité de l’INCC), sont uniquement des données numériques, aucun matériel ou échantillon biologique d’ADN n’est transmis d’un pays à l’autre de l’UE.

Ce sont les résultats chiffrés, des analyses ADN effectuées dans les différents laboratoires ADN nationaux, qui sont dans un premier temps transmis et enregistrés dans la banque de données ADN nationale de chaque pays de l’UE, puis dans un second temps échangés, selon le Traité de Prüm, via un système semi-automatisé. Ces comparaisons de données ADN numériques donnent lieu à un résultat de type «Hit – No Hit» visible par chacun des deux pays participant à cet échange bilatéral de données ADN.

L’échange proprement dit de données ADN s’effectue via un réseau sécurisé de type Testa-s, et à l’aide de certificats propres à chaque pays. Ceux-ci ayant dû au préalable passer une évaluation du système (législatif et technique) mis en place dans le pays, avant d’obtenir le feu vert pour le démarrage des échanges avec les autres pays de l’UE.

Afin de clarifier également l’information transmise au sujet des résultats obtenus suite au démarrage des échanges ADN de la Belgique avec le Royaume-Uni, je souhaite préciser qu’il s’agit en fait de 312 profils ADN de traces non-identifiées mises en évidences sur des scènes de crimes de dossiers judiciaires belges, qui ont donné une correspondance avec des profils ADN de personnes enregistrées dans la banque de données ADN UK. Les données personnelles concernant ces personnes sont donc ici en possession du Royaume-Uni, et les magistrats belges intéressés par ces données devront en faire la demande aux autorités anglaises responsables de l’étape 2 de l’échanges de données ADN selon le Traité de Prüm.

Pour complément d’information par rapport à la protection de la vie privée et des données personnelles, les données ADN échangées consistent en des valeurs numériques équivalentes aux nombres de répétitions de petits motifs qui se retrouvent dans des parties non-codantes de l’ADN d’un individu. Aucunes informations personnelles de type couleur des yeux ou des cheveux, âge, prédisposition à une maladie, ou autres, ne peuvent en être retirées. La seule information qui en est déduite est le sexe de la personne à l’origine du profil ADN.

1) Ten eerste moet worden opgemerkt dat de verwerking van persoonsgegevens in het kader van de justitiële samenwerking in strafzaken en de politiële samenwerking onderworpen is aan de specifieke bepalingen van richtlijn 2016/680 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen en betreffende het vrije verkeer van die gegevens.

Die richtlijn werd in het Belgisch recht omgezet door de wet van 30 juli 2018 betreffende de gegevensbescherming. De bepalingen ervan zijn dus in het Belgische recht van toepassing.

Eén van de doelstellingen van die richtlijn is de uitwisseling van persoonsgegevens op strafrechtelijk gebied te bevorderen teneinde te zorgen voor een betere justitiële en politiële samenwerking binnen de Europese Unie (EU). Tegelijk voorziet het in passende waarborgen inzake de bescherming van persoonsgegevens.

Door die richtlijn en de toepassing van de daarin voorziene waarborgen kan de automatische uitwisseling van DNA-gegevens met een lidstaat verenigbaar zijn met onze wetgeving inzake de verwerking van persoonsgegevens.

Wat meer specifiek de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk betreft, wil ik verduidelijken dat artikel 71, lid 1, van het terugtrekkingsakkoord tussen de Europese Unie en het Verenigd Koninkrijk bepaalt dat de bescherming van de persoonsgegevens van de burgers van het Verenigd Koninkrijk aan voornoemde richtlijn zal onderworpen zijn tot de Europese Commissie een adequaatheidsbesluit heeft aangenomen krachtens dewelke de Commissie erkent dat het Verenigd Koninkrijk een passend niveau van gegevensbescherming biedt.

De Europese Commissie heeft nog geen dergelijk adequaatheidsbesluit aangenomen en de Europese regels die het mogelijk maken om de uitwisseling van strafrechtelijke gegevens en de bescherming van persoonsgegevens met elkaar te verenigen, blijven dus van toepassing.

2) De internationale uitwisseling van DNA-gegevens in het kader van het Verdrag van Prüm verloopt in twee fasen: in fase 1 worden de eigenlijke DNA-profielen uitgewisseld en in fase 2 wisselen de lidstaten gerechtelijke informatie of persoonsgegevens uit naar aanleiding van een tijdens fase 1 verkregen overeenkomst. In België is de dienst DNA-databanken van het Nationaal Instituut voor criminalistiek en criminilogie (NICC) verantwoordelijk voor fase 1. De nationale DNA-cel, die deel uitmaakt van het federaal parket, is verantwoordelijk voor fase 2.

De DNA-gegevens die in het kader van fase 1 worden uitgewisseld (onder de verantwoordelijkheid van het NICC) zijn louter numerieke gegevens; de EU-lidstaten wisselen onderling geen biologisch materiaal of DNA-stalen uit.

Het gaat om de in getallen uitgedrukte resultaten van de in de verschillende nationale DNA-laboratoria uitgevoerde DNA-analyses, die in eerste instantie worden overgezonden en opgeslagen in de nationale DNA-databank van elke EU-lidstaat en in tweede instantie in het kader van het Verdrag van Prüm worden uitgewisseld via een semi geautomatiseerd systeem. Die vergelijkingen van digitale DNA-gegevens leveren een «hit/no hit»-resultaat op dat zichtbaar is voor de twee landen die deelnemen aan deze bilaterale uitwisseling van DNA-gegevens.

De eigenlijke uitwisseling van DNA-gegevens gebeurt via een beveiligd s-Testa-netwerk, aan de hand van landspecifieke certificaten. Een land mag pas overgaan tot de uitwisseling met andere landen van de EU als zijn (wetgevende en technische) systeem een evaluatie heeft doorstaan.

Om ook de informatie toe te lichten die is overgezonden met betrekking tot de resultaten die zijn verkregen naar aanleiding van de start van de uitwisseling van DNA-gegevens van België met het Verenigd Koninkrijk, wil ik verduidelijken dat het in feite gaat om 312 DNA-profielen van ongeïdentificeerde sporen die zijn aangetroffen op een plaats van delict van Belgische gerechtelijke dossiers, die een overeenkomst hebben opgeleverd met DNA-profielen van personen die zijn opgenomen in de DNA-databank van het Verenigd Koninkrijk. De persoons-gegevens van die personen zijn in dit geval dus in het bezit van het Verenigd Koninkrijk en Belgische magistraten die in die gegevens geïnteresseerd zijn, moeten die opvragen bij de Britse autoriteiten die verantwoordelijk zijn voor fase 2 van de uitwisseling van DNA-gegevens in het kader van het Verdrag van Prüm.

Met betrekking tot de bescherming van de persoonlijke levenssfeer en de persoonsgegevens kan bij wijze van aanvullende informatie worden vermeld dat de uitgewisselde DNA-gegevens numerieke waarden zijn die overeenkomen met het aantal keer dat kleine motieven worden herhaald in de niet-coderende delen van het DNA van een persoon. Persoonlijke informatie over de kleur van de ogen of het haar, de leeftijd, de aanleg voor een bepaalde ziekte, enz., kan daaruit niet worden afgeleid. Alleen het geslacht van de persoon van wie het DNA-profiel is, kan daarmee worden achterhaald.