Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-2219

de Lionel Bajart (Open Vld) du 15 janvier 2019

au ministre de la Sécurité et de l'Intérieur

Contrôleur européen de la protection des données (CEPD)- Projet de texte de la Commission européenne - Intégration d'empreintes digitales dans la carte d'identité

Contrôleur européen de la protection des données
usurpation d'identité
biométrie
document d'identité
protection de la vie privée
base de données
sécurité publique
proposition (UE)
passeport

Chronologie

15/1/2019Envoi question (Fin du délai de réponse: 14/2/2019)
12/2/2019Réponse

Réintroduction de : question écrite 6-1955

Question n° 6-2219 du 15 janvier 2019 : (Question posée en néerlandais)

La Commission européenne a présenté le 17 avril 2018 une proposition visant à faire figurer sur les nouveaux passeports et cartes d'identité des données relatives aux caractéristiques faciales et aux empreintes digitales. Le but est de lutter contre le terrorisme et la criminalité dans le cadre de la libre circulation au sein de l'Union européenne (UE).

Le contrôleur européen de la protection des données indique dans son Avis 7/2018 qu'il ne lui paraît pas nécessaire d'intégrer tant les caractéristiques faciales que les empreintes digitales dans les cartes d'identité. Selon le contrôleur, l'enquête préalable indispensable sur l'impact de cette mesure va dans le même sens.

La fraude à l'identité peut être suffisamment combattue grâce à des mesures moins intrusives sur le plan de la vie privée, comme l'image faciale déjà disponible actuellement.

Pour le contrôleur européen de la protection des données (CEPD), il n'est absolument pas clairement établi que si des données biométriques sont insérées sur les passeports, elles devraient aussi automatiquement l'être sur les cartes d'identité, lesquelles sont souvent utilisées à d'autres fins que le voyage.

La Commission devrait dès lors d'abord réaliser une analyse approfondie. Le contrôleur devrait également interdire explicitement la création de bases de données centrales contenant ces empreintes digitales, et les données ne devraient pouvoir être utilisées que pour les raisons spécifiques mentionnées. Selon l'article 10 de la proposition de la Commission européenne, les données peuvent être utilisées pour établir l'authenticité de la carte d'identité et pour vérifier l'identité à l'aide de la carte.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une matière régionale transversale, les Régions intervenant surtout dans le volet préventif. La fraude à l'identité en fait partie.

Je souhaiterais poser les questions suivantes :

1) Connaissez-vous l'avis 7/2018 du contrôleur européen de la protection des données (CEPD) sur la proposition n° 2018/0104 de l'UE concernant l'intégration d'empreintes digitales dans les cartes d'identité ? Pouvez-vous indiquer si le gouvernement et vous-même avez déjà pris position sur ce point et pouvez-vous fournir des explications détaillées ? Dans la négative, pourquoi ?

2) Partagez-vous le point de vue selon lequel les images faciales et les empreintes digitales doivent être considérées comme des données personnelles sensibles et méritent dès lors une protection particulière ?

3) Que pensez-vous de la conclusion du CEPD selon laquelle la proposition européenne ne justifie pas suffisamment pourquoi deux types de données biométriques (image faciale et empreintes digitales) devraient être intégrées dans les cartes d'identité électroniques, alors que l'objectif déclaré pourrait également être atteint par une approche moins intrusive ? Pouvez-vous fournir des explications très détaillées ?

4) Pensez-vous, vous aussi, que la nécessité et la proportionnalité du traitement des données biométriques comme les empreintes digitales devraient à nouveau faire l'objet d'une analyse dans ce contexte ? Dans la négative, pourquoi ?

5) Partagez-vous l'argument complémentaire du contrôleur européen selon lequel il faut explicitement interdire la création de banques centrales de données reprenant ces empreintes digitales, que les données ne peuvent être utilisées qu'à des fins spécifiques, à savoir en l'espèce le contrôle de l'authenticité de la pièce d'identité ? Pouvez-vous fournir des explications très détaillées ?

6) Êtes-vous conscient de l'énorme impact sur la vie privée du prélèvement des empreintes digitales ? Pouvez-vous indiquer l'état d'avancement de l'avant-projet de loi qui a été rejeté par la commission de protection de la vie privée ?

7) Les empreintes digitales sont déjà obligatoires pour les passeports internationaux. Est-il exact que les empreintes digitales figurant sur le passeport ne sont jamais utilisées par les instances de contrôle ?

Réponse reçue le 12 février 2019 :

1) L'Opinion 7/2018 du Contrôleur européen de la protection des données (CEPD) concernant la proposition n° 2018/0104 de l'Union européenne concernant l'intégration des empreintes digitales dans la puce des cartes d’identité est connue. Cette opinion a été lue avec l'attention requise et une grande importance a été attachée au principe de proportionnalité concernant l'intégration des empreintes digitales dans la carte d'identité. Néanmoins, les principes de précaution et de sécurité doivent également être pris en considération. Dans le cadre de la délivrance de la carte d'identité, il sera veillé à ce que les personnes qui reçoivent une carte d'identité avec empreintes digitales soient âgées d'au moins 12 ans pour que la première eID d'une personne puisse également contenir des empreintes digitales.

En outre, il convient de renvoyer, comme vous l'indiquiez, aux mesures proposées par la Commission européenne le 17 avril 2018 pour rendre obligatoires à la fois les images faciales et les empreintes digitales sur les cartes d'identité de tous les pays qui font partie de l'Union européenne. Il serait ainsi possible de lutter plus efficacement contre la fraude à l'identité et le vol d'identité et de veiller parallèlement à la conformité des cartes au sein des pays de l'Union européenne. Le Parlement européen élabore actuellement un texte qui détaillera ce point plus avant. Le renouvellement de l’eID est l'occasion pour notre pays de s'aligner sur la future réglementation européenne pour que la Belgique puisse jouer un rôle proactif et de premier plan.

Les mesures prévues pour la nouvelle eID, telles qu'approuvées par le Conseil des Ministres en 2016 et 2017, sont conformes à l'article 3 de la proposition concernant les standards de sécurité, formats et spécifications. L'on peut dès lors considérer que les documents d'identité belges et plus particulièrement l'eID sont une source d'inspiration pour la proposition de règlement formulée par la Commission européenne.

2) Les données biométriques telles que les images faciales et empreintes digitales sont des données très personnelles. En raison de leur caractère tout à fait personnel, elles peuvent être utilisées pour lutter efficacement contre l'utilisation frauduleuse des cartes d'identité. Parallèlement, mes services garantissent que ces données seront protégées au maximum. A cet égard, il s'agira à la fois d'une sécurisation technique et physique, comme c'est déjà le cas pour toutes les données (sensible et non-sensible) qui sont enregistrées au Registre national et dans les fichiers de données connexes.

3) Cette opinion du CEPD a été lue avec l'attention requise. La proposition présentée par la Commission européenne le 17 avril 2018 vise à rendre obligatoire tant l'utilisation d'images faciales que d'empreintes digitales sur la carte d'identité pour adultes. Il s'agit de la méthode la plus efficace de lutte contre les abus tels que la fraude à l'identité et les vols d'identité. Dans notre pays, les empreintes digitales ne serviront plus qu’à effectuer un matching. Cela signifie que les empreintes digitales figureront seulement sur la puce et qu'il sera uniquement possible d'effectuer une comparaison avec la personne qui se trouve devant le fonctionnaire compétent.

Quant aux images faciales, elles sont déjà une réalité, mais plusieurs services publics constatent en même temps une augmentation considérable des cas de fraude de type "look alike". Il s'agit d'une forme de fraude par laquelle un individu prétend être une autre personne qui présente de très nombreuses similitudes avec lui. Afin de s'attaquer réellement à ce type de fraude, l'intégration des empreintes digitales dans la puce de l’eID est un élément de sécurité supplémentaire. Cette méthode permet de lutter plus efficacement contre l'utilisation frauduleuse de cartes d'identité. Par ailleurs, l'on peut également renvoyer à l'opinion de l'APD 17/2008 du 9 avril 2008 qui stipule que les empreintes digitales sont plus fiables que la reconnaissance faciale.

4) Non, comme déjà mentionné, l'intégration des empreintes digitales dans la puce sont un moyen nécessaire et proportionnel pour lutter plus efficacement contre l'utilisation frauduleuse de cartes d’identité. Etant donné l'augmentation des cas de fraude "look alike" constatés par différents services, cette mesure drastique peut être un instrument supplémentaire de détection de la fraude à l'identité. Parallèlement, mes services veilleront à ce que le niveau de sécurisation de ces données soit le plus élevé.

5) L'on se rallie à l'argument du contrôleur européen, à savoir que les empreintes digitales peuvent uniquement être utilisées pour lutter plus efficacement contre les utilisations frauduleuses de cartes d’identité. Ces empreintes digitales ne seront ainsi utilisées sur le terrain que pour appliquer une procédure de matching, comme décrit supra, ce qui permettra de s'attaquer plus efficacement à la fraude de type "look alike". Il n'est pas non plus question d'une banque de données centrale. En outre, la Commission européenne et le Parlement européen ont été invités à définir les lignes de force dans les limites desquelles l'Union européenne pourra agir afin de continuer à garantir le niveau de sécurité maximal des documents d'identité.

6) Les données biométriques, en particulier les empreintes digitales, étant un sujet sensible sur le plan de la vie privée, il convient de faire preuve du plus grand soin possible à cet égard. La loi du 25 novembre 2018 portant des dispositions diverses concernant le Registre national et les registres de population, dont le projet a été adopté par la Chambre en date du 14 novembre 2018, implique entre autres l’intégration des empreintes digitales dans les nouvelles cartes d'identité. Les préoccupations exprimées par l'APD à ce sujet sont reprises dans la décision. L'on estime toutefois que cette mesure est bel et bien proportionnelle, étant donné l'augmentation des cas de fraude "look alike". L'intégration des empreintes digitales constitue un élément de sécurité supplémentaire qui permet de lutter plus efficacement contre l'utilisation frauduleuse de documents d'identité. Eu égard surtout au caractère sensible de cette donnée, il s'agira également de veiller à ce que cet élément bénéficie du plus haut niveau de sécurité, ce par le biais d'une sécurisation technique et physique maximale.

7) Pour la réponse à cette question, je me permets de vous renvoyer à mon collègue en charge des Affaires étrangères, dans la mesure où les passeports internationaux relèvent de ses compétences.