SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2010-2011 Zitting 2010-2011
________________
10 mai 2011 10 mei 2011
________________
Question écrite n° 5-2311 Schriftelijke vraag nr. 5-2311

de Guido De Padt (Open Vld)

van Guido De Padt (Open Vld)

au ministre de la Justice

aan de minister van Justitie
________________
Banques de données européennes SIS, VIS, Eurodac - Détournement d'usage - Protection de la vie privée Europese databanken SIS, VIS, Eurodac - Function creep - Bescherming van het privéleven 
________________
base de données
protection de la vie privée
biométrie
système d'information Schengen
admission des étrangers
asile politique
terrorisme
demandeur d'asile
gegevensbank
eerbiediging van het privé-leven
biometrie
Schengen-informatiesysteem
toelating van vreemdelingen
politiek asiel
terrorisme
asielzoeker
________ ________
10/5/2011 Verzending vraag
1/12/2011 Antwoord
10/5/2011 Verzending vraag
1/12/2011 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-2310 Ook gesteld aan : schriftelijke vraag 5-2310
________ ________
Question n° 5-2311 du 10 mai 2011 : (Question posée en néerlandais) Vraag nr. 5-2311 d.d. 10 mei 2011 : (Vraag gesteld in het Nederlands)

Depuis les attentats terroristes du 11 septembre 2001, on a vu naître une tendance irréversible à enregistrer des données à caractère personnel dans diverses banques de données. Ce phénomène ne se limite pas aux États-Unis. Dans l'Union européenne, chaque citoyen est fiché en moyenne dans six cents banques de données. En général, il ignore qui détient ses données et l'usage qui en est fait. Ses données à caractère personnel risquent ainsi d'être utilisées à une autre fin que celle pour laquelle elles ont au départ été collectées. Dans le jargon, on parle de « function creep » ou détournement d'usage. Le détournement d'usage est quotidien dans divers domaines. Dernièrement, on a ainsi appris que la police néerlandaise achetait des informations d'utilisateurs de TomTom pour déterminer à quels endroits elle doit effectuer des contrôles de vitesse. Je vous donne quelques exemples.

- le système qui a succédé au Système d'information Schengen (SIS), la banque de données qui enregistre toute personne pénétrant dans la zone Schengen ou la quittant, ne se focalisera plus sur le contrôle des migrations mais aussi sur la prévention et la détection de menaces pour l'ordre public et la sécurité nationale ;

- il en va de même pour Eurodac, la banque de données européenne qui collecte les empreintes digitales des demandeurs d'asile. Eurodac a été lancée en son temps pour lutter contre le shopping en matière d’asile. Aujourd'hui, l'Union européenne souhaite également utiliser cette banque de données pour lutter plus efficacement contre la criminalité et le terrorisme ;

- sous la pression de l'Allemagne, des Pays-Bas et de la Commission européenne, le système d’information sur les visas (VIS), la banque de données qui renferme les données de toutes les personnes qui demandent un visa pour un pays de l'Union européenne, ne sera très probablement plus uniquement accessible aux services qui délivrent les visas mais aussi aux services de renseignement et de police.

L'Union européenne, en prenant ces mesures, bafoue le principe de la limitation de l'objet du traitement, tel qu'établi par l'article 8 de la Convention européenne des droits de l'homme (CEDH). En vertu de ce principe, les données ne peuvent en aucune cas être utilisées pour d'autres finalités que celles pour lesquelles elles ont été collectées. La Commission européenne justifie cette entorse par le principe de proportionnalité. Elle estime que les banques de données susmentionnées ne peuvent être « interrogées que pour prévenir et enquêter sur des infractions pénales graves ou des infractions terroristes ou pour identifier l'auteur d'une infraction pénale ou d'un acte terroriste présumés dès que l'intérêt supérieur de la sécurité publique le commande » (COM/2005/0597). Cela me semble excessif. Des considérations sécuritaires peuvent en effet conduire à attenter à tout principe de notre État de droit démocratique.

Je souhaiterais une réponse aux questions suivantes.

1) Les ministres pensent-ils eux aussi que l'évolution décrite ci-dessus va à l'encontre du principe de la limitation de l'objet du traitement, tel qu'établi par l'article 8 de la CEDH ?

2) Comment réagissent-ils à la proposition de la Commission européenne de centraliser au sein d'une nouvelle agence la gestion des trois grandes banques de données européennes, SIS, VIS et Eurodac ? La Belgique se rallie-t-elle au point de vue des autorités néerlandaises lorsqu'elles estiment que la création d'une telle agence ne satisfait pas au principe de proportionnalité et ce, pour les raisons suivantes :

1) les missions de l'agence vont au-delà de la gestion opérationnelle des systèmes TI ;

2) la compétence de l'agence n'est pas définie et des compétences des États membres risquent dès lors d'être vidées de leur substance ;

3) les possibilités de coopération avec la future agence Europol dans le domaine de la gestion opérationnelle n'ont pas été étudiées ?

3) Quand la mise en service du VIS est-elle prévue ? Selon les dernières propositions, quels sont les acteurs qui auront accès au VIS ? La Belgique se range-t-elle derrière l'Allemagne, les Pays-Bas et la Commission européenne qui proposent d'étendre l'accès au VIS aux services de renseignement et de police ? Comment la Belgique informera-t-elle les personnes qui demandent un visa de la manière dont elles peuvent déposer plainte et de l'autorité auprès de laquelle elles peuvent le faire ?

4) Les ministres approuvent-ils les déclarations de la Ligue des droits de l'homme selon lesquelles l'utilisation d'Eurodac pour la lutte contre la criminalité revient à étiqueter les demandeurs d'asile comme criminels ?

5) Combien d'irrégularités dans le traitement des données à caractère personnel et le transfert de celles-ci dans l'unité centrale du système Eurodac la Commission de la protection de la vie privée a-t-elle enregistrées en 2008, 2009 et 2010 ? À combien de demandeurs d'asile la Commission de la protection de la vie privée a-t-elle prêté assistance dans l'exercice de leurs droits individuels ? Quel est le nombre de plaintes et de procédures judiciaires relatives au traitement de données à caractère personnel dans le système Eurodac qui ont été portées à la connaissance de la Commission de la protection de la vie privée ?

 

Sedert de terreuraanslagen van 11 september 2001 is er een onomkeerbare tendens ontstaan om persoonsgegevens in allerlei databanken op te slaan. Dit beperkt zich niet tot de Verenigde Staten (VS). In de Europese Unie zit elke burger in gemiddeld zes honderd databanken. Hij weet over het algemeen niet wie zijn gegevens heeft en wat ermee gebeurt. Het risico bestaat dan dat zijn persoonsgegevens worden gebruikt voor een ander doel dan waarvoor ze oorspronkelijk verzameld zijn. In vaktermen duidt met dit aan met de term " function creep ". " Function creep " komt dagelijks voor op allerlei gebieden. Onlangs raakte bijvoorbeeld bekend dat de Nederlandse politie informatie van TomTom-gebruikers opkoopt om zo te bepalen waar ze snelheidscontroles moet uitvoeren. Ook op Europees niveau doet " function creep " zich voor. Enkele voorbeelden:

- de opvolger van het Schengen Informatiesysteem (SIS), de databank die iedereen registreert die het Schengengebied binnen- of buitengaat, zal zich niet enkel meer toeleggen op de controle van de migratie maar ook op de preventie en opsporing van bedreigingen voor de openbare orde en de nationale veiligheid;

- een gelijkaardig verhaal voor Eurodac, de Europese databank die vingerafdrukken verzamelt van asielzoekers. Eurodac werd indertijd opgestart om asielshopping tegen te gaan. Nu wil de Europese Unie (EU) de gegevensdatabank ook gebruiken om criminaliteit en terrorisme efficiënter aan te pakken;

- het Visum Informatiesysteem (VIS), de databank die gegevens bevat van alle personen die een visum aanvragen voor een land van de Europese Unie, zal onder druk van Duitsland, Nederland en de Europese Commissie hoogst waarschijnlijk niet alleen voor de visadiensten maar ook voor de inlichtingendiensten en politiediensten toegankelijk zijn.

De Europese Unie lapt met deze maatregelen het beginsel van doelbinding, zoals vastgelegd in artikel 8 van het Europees Verdrag van de rechten van de mens (EVRM), aan haar laars. Volgens dit beginsel mogen gegevens geenszins aangewend worden voor een ander doel dan waarvoor ze verkregen zijn. De Europese Commissie rechtvaardigt deze inbreuk vanuit het evenredigheidsbeginsel. Ze stelt dat de hierboven vermelde databanken enkel geraadpleegd mogen worden om " ernstige strafbare feiten of terroristische misdrijven te voorkomen en te onderzoeken of om de vermoedelijke pleger van een strafbaar feit of een terroristisch feit te identificeren als er sprake is van een doorslaggevend openbaarveiligheidsbelang " (COM/2005/0597). Een stap te ver lijkt me. Vanuit veiligheidsoverwegingen kan namelijk elk beginsel van onze democratische rechtsstaat naast zich neergelegd worden.

Graag kreeg ik antwoord op de volgende vragen:

1) Delen de geachte ministers de mening dat de hierboven geschetste evolutie in strijd is met het beginsel van doelbinding zoals vastgelegd in artikel 8 van het EVRM?

2) Hoe reageren ze op het voorstel van de Europese Commissie om het management van de drie grote Europese databanken - SIS, VIS en Eurodac - in één nieuw agentschap onder te brengen? Treed België de Nederlandse overheid bij in haar oordeel dat de oprichting van een dergelijk agentschap niet beantwoordt aan het proportionaliteitsvereiste en wel om de volgende redenen: 1) de taken van het agentschap gaan verder dan het operationeel beheer van IT-systemen; 2) de bevoegdheid van het agentschap is niet gedefinieerd, waardoor mogelijk bevoegdheden van de Lidstaten worden uitgehold; 3) de mogelijkheden voor samenwerking op het terrein van het operationeel beheer met het toekomstig agentschap Europol zijn niet onderzocht?

3) Wanneer wordt de ingebruikname van het VIS verwacht? Welke actoren zullen volgens de laatste voorstellen toegang hebben tot het VIS? Schaart België zich achter Duitsland, Nederland en de Europese Commissie om de toegankelijkheid tot het VIS te verruimen tot de inlichtingendiensten en politiediensten? Hoe zal België de visumaanvragers inlichten over de wijze waarop hij een klacht kan indienen en bij welke autoriteiten hij daarvoor moet aankloppen?

4) Zijn de geachte ministers het eens met de uitspraak van de Liga voor mensenrechten dat asielzoekers door het aanwenden van Eurodac voor criminaliteitsbestrijding een crimineel label krijgen opgeplakt?

5) Hoeveel onrechtmatigheden registreerde de privacycommissie in 2008, 2009 en 2010 in de verwerking van de persoonsgegevens en de toezending ervan aan de centrale eenheid van het Eurodac-systeem? Aan hoeveel asielzoekers verleende de privacycommissie bijstand in de uitoefening van hun individuele rechten? Van hoeveel klachten en rechtsvorderingen nam de privacycommissie kennis met betrekking tot de verwerking van hun persoonlijke gegevens in het Eurodac-systeem?

 
Réponse reçue le 1 décembre 2011 : Antwoord ontvangen op 1 december 2011 :

1. et 2. M. le sénateur fait référence à l’Agence pour la gestion opérationnelle des systèmes d’information à grande échelle (ci-après l’Agence). C’est notamment afin de s’assurer que l’évolution décrite est en conformité avec l’article 8 de la Convention européenne des droits de l’homme, la Convention 108 du Conseil de l’Europe et la Directive 95/46/CE vie privée, qu’un avis a été requis auprès du Contrôleur Européen à la Protection des Données (ci-après CEPD). Le CEPD est une autorité de contrôle indépendante dont l'objectif est de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes pratiques dans les institutions et organes de l’Union européenne (UE).

Celui-ci a rendu un avis formel le 7 décembre 2009, publié au Journal officiel de l’UE du 19 mars 2010 sous la référence C 70/13.

Cet avis dispose, en substance, que :

  • le risque de détournement d’usage (function creep) peut être évité si, premièrement, le champ d’activités de l’agence est limité et clairement défini dans l’instrument juridique fondateur et, deuxièmement, si l’on veille à ce que toute extension éventuelle de ce champ d’activité repose sur une procédure de prise de décision démocratique. Le CEPD relève que les propositions actuelles relatives à la constitution de l’Agence comportent déjà de telles dispositions.

  • au niveau de l’interopérabilité possible des systèmes d’information, le CEPD estime que la création de l’agence n’est pas le facteur qui représente le risque le plus important. En effet, le CEPD a constaté que l’agence ne sera pas habilitée à prendre, de sa propre initiative, une décision en matière d’opérabilité.

Plusieurs articles de la proposition de la Commission européenne relative à la création de l’Agence précisent que le Règlement 45/2001/CE du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation des données (JO L8 du 12.01.2001) s’applique au traitement, par l’agence, des données à caractère personnel.

Les règles sur la protection des données contenues dans le Règlement 45/2001/CE s'inspirent des règles qui s'appliquent aux États membres, en particulier la Directive 95/46/CE relative à la protection des données – transposée par la loi belge « vie privée » du 8 décembre 1992 – et la Directive 2002/58/CE « vie privée et communications électroniques ».

Il apparaît de ce qui précède que l’évolution décrite par M. le parlementaire n’est pas en contradiction avec l’article 8 de la Convention européenne des droits de l’homme. En effet, la question de la protection des données est dûment prise en compte par la Commission européenne.

3. et 4. Ces questions relèvent de mes collègues des Affaires Étrangères, de l’Intérieur ainsi que du secrétaire d'État en charge de la politique de Migration et d’Asile.

5. La Commission de la protection de la vie privée nous communique les éléments suivants :

« A ce jour, la Commission n’a reçu aucune demande d’un demandeur d’asile concernant l’exercice de ses droits relatifs au traitement de ses données personnelles dans le système Eurodac. Elle n’a connaissance d’aucune plainte ou action en justice à ce sujet ni n’a relevé d’irrégularité particulière. » Au niveau Européen, « en 2008, les questions relatives à l’information des personnes concernées et à l’évaluation de l’âge des jeunes demandeurs d’asile ont été examinées. Les autorités nationales de protection des données et le Contrôleur européen à la protection des données ont conclu que les informations fournies au demandeur d’asile sur leurs droits et l’utilisation de leurs données sont généralement incomplètes. Ils ont également fait des recommandations quant aux méthodes utilisées pour évaluer l’âge des jeunes demandeurs d’asile (…). Le second rapport du groupe de coordination de contrôle d’Eurodac a été communiqué le 14 octobre 2009 aux Présidents du Sénat et de la Chambre des représentants ».

Pour le surplus, M. le Sénateur peut s’adresser directement à la Commission de la protection de la vie privée, Commission indépendante et rattachée à la Chambre.

1 en 2. De heer senator refereert naar het Agentschap voor het operationele beheer van grootschalige informatiesystemen (hierna: het Agentschap). Het is meer bepaald om te verzekeren dat de beschreven evolutie conform is aan artikel 8 van de Europese Conventie voor de Rechten van de Mens, Conventie 108 van de Raad van Europa en Richtlijn 95/46/CE persoonlijke levensfeer dat een advies werd ingewonnen bij de Europese Toezichthouder voor gegevens bescherming (hierna ETGB). Het ETGB is een onafhankelijk controle orgaan dat beoogt de persoonsgegevens en de persoonlijke levenssfeer te beschermen en de goede handelwijzen in de instellingen en organen van de EU te bevorderen.

Op 7 december 2009 heeft de ETGB een formeel advies gegeven dat op 19 maart 2010 werd bekendgemaakt in het Publicatieblad van de Europese Unie onder de referentie C 70/13.

Dat advies bepaalt in hoofdzaak dat:

  • het risico van “function creep” kan worden voorkomen door in de eerste plaats het toepassingsgebied van het agentschap te beperken en duidelijk te definiëren in het oprichtingsinstrument, en in de tweede plaats door te garanderen dat elke verruiming van het toepassingsgebied gebaseerd wordt op een democratisch besluitvormingsproces. De ETGB merkt op dat de voorliggende voorstellen met betrekking tot de oprichting van het Agentschap al zulke bepalingen bevatten.

  • op niveau van de mogelijke interoperabiliteit van verschillende IT-systemen, ziet de ETGB de oprichting van het agentschap niet als meest risicovolle factor.De ETGB heeft opgemerkt dat het agentschap niet uit eigen beweging kan besluiten over interoperabiliteit.

In verschillende artikelen van het voorstel van de Europese Commissie tot oprichting van een agentschap voor het operationele beheer van grootschalige IT-systemen wordt verduidelijkt dat de verwerking van gegevens door het nieuwe agentschap moet geschieden overeenkomstig Verordening 45/2001/EG van het Europees Parlement en de Raad van 18 december 2000 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12 januari 2001).

De regels inzake gegevensbescherming opgenomen in Verordening 45/2001/EG komen voort uit de analoge gemeenschapsregels die op de lidstaten van toepassing zijn, in het bijzonder de Richtlijn 95/46/EG tot bescherming van de persoonlijke levenssfeer - omgezet naar Belgisch recht door de 'privacywet' van 8 december 1992 - en de Richtlijn 2002/58/EG “betreffende privacy en elektronische communicatie”.

Uit wat voorafgaat, blijkt dat de door de heer senator beschreven evolutie niet in tegenspraak is met art. 8 van de Europese Conventie van de Rechten van de Mens. Inderdaad blijkt dat Europese Commissie naar behoren rekening houdt met de aangelegenheid van de bescherming van persoonsgegevens.

3 en 4. Deze vragen ressorteren onder de bevoegdheid van mijn collega's van Buitenlandse en van Binnenlandse Zaken en de staatssecretaris voor Migratie- en asielbeleid.

5. De Commissie voor de bescherming van de persoonlijke levenssfeer deelt ons het volgende:

“Tot nu toe ontving de commissie van asielzoekers nog geen enkele vraag met betrekking tot hun rechten inzake de verwerking van hun persoonsgegevens in het Eurodac-systeem. Zij heeft geen kennis van enige klacht of rechtsvordering ter zake en heeft geen bijzondere onregelmatigheden opgemerkt”. Op Europees niveau “zijn in 2008 de informatie over de betrokken personen en het vaststellen van de leeftijd van de jonge asielzoekers onderzocht. De nationale autoriteiten voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming hebben vastgesteld dat de informatie aan asielzoekers over hun rechten en het gebruik van hun gegevens veelal onvolledig zijn. Zij hebben ook aanbevelingen gedaan met betrekking tot de methoden die worden gebruikt om de leeftijd van de jonge asielzoekers vast te stellen. (...) Het tweede verslag van de toezichtscoördinatiegroep Eurodac werd op 14 oktober 2009 bezorgd aan de Voorzitters van Kamer en Senaat van volksvertegenwoordigers."

Voor het overige kan de heer Senator zich rechtstreeks wenden tot de Commissie voor de bescherming van de persoonlijke levenssfeer, een onafhankelijke commissie die onder de Kamer ressorteert