La vie privée

2.2.1 Cadre légal

En ce qui concerne la vie privée, les lois suivantes sont à prendre en considération :

x Loi du 8 août 1983 organisant un registre national des personnes physiques

x Loi du 19 juillet 1991 relative aux [registres de la population, aux cartes d’identité, aux cartes d’étranger et aux documents de séjour] et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques

x Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel

2.2.2 Traitement des données d’identification (excepté le numéro de registre national)

La loi sur la protection de la vie privée entend par ‘traitement’ : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction de données à caractère personnel (Art. 1§2).

Les données personnelles ne peuvent être traitées que dans un des cas suivants :

x Lorsque la personne concernée a indubitablement donné son consentement

x Lorsqu’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci

x Lorsqu’il est nécessaire au respect d’une obligation à laquelle le responsable du traitement est soumis par ou en vertu d’une loi, d’un décret ou d’une ordonnance

x Lorsqu’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée

x Lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

x Lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée qui peut prétendre à une protection au titre de la présente loi (Art. 5)

21

2.2.3 Accès direct aux informations du Registre national

On ne peut recevoir d’information ou d’accès direct que lorsqu’il y a une autorisation du comité sectoriel. L’accès ou la communication est également possible pour certains groupes (Art. 5 Loi sur le Registre national). Ces groupes ont été énumérés dans le paragraphe intitulé ‘utilisation du numéro de registre national’.

2.2.4 Utilisation du numéro de registre national Cadre légal

Le numéro de registre national ne peut pas être utilisé par tout le monde. Son utilisation est strictement réglementée. Ainsi il ne peut être utilisé que lorsque le comité sectoriel en a donné l’autorisation à certaines personnes restrictivement énumérées par la loi sur le Registre national, (Art. 8 Loi sur le Registre national).

Les groupes qui peuvent utiliser le numéro de Registre national moyennant une autorisation par un comité sectoriel sont (Art. 5 Loi sur le Registre national) :

x Les autorités publiques belges

x Les organismes publics ou privés de droit belge pour les informations nécessaires à l’accomplissement de tâches d’intérêt général

x Les personnes physiques ou morales qui agissent en qualité de sous-traitants des autorités publiques belges

x Les notaires et les huissiers de Justice

x L’Ordre des pharmaciens

x L’Ordre des barreaux flamands et l’Ordre des barreaux francophones et germanophones

Tout le problème du numéro de registre national est qu’il ne peut pas être utilisé sans autorisation du comité sectoriel, mais qu’il se lit de manière standard sur la carte d’identité électronique. Avec l’eID actuelle, il est impossible de lire les données de manière sélective. Dès que l’eID est introduite dans le lecteur de carte, toutes les données sont lues. En outre, les certificats d’authentification et de signature électronique contiennent aussi à côté du nom le numéro de registre national. Lors de la signature électronique d’un e-mail, le numéro de registre national est aussi envoyé.

L’extrait suivant de l’article 8 de la Loi sur le Registre national mérite toute notre attention :

« L’autorisation d’utiliser le numéro d’identification du Registre national est octroyée par le comité sectoriel du Registre national visé à l’article 15, aux autorités, aux organismes et aux personnes visés à l’article 5, alinéa 1^er ».

La discussion qui est menée ici, est : « qu’entend-on par le terme ‘utiliser’ ? » Ce terme est très large et susceptible d’être interprété de différentes manières :

x Dans une interview avec une personne de l’administration fédérale, il nous a été assuré qu’on ne peut utiliser le numéro de registre national qu’à condition d’avoir une autorisation du titulaire du numéro.

22

x Un autre interviewé nous disait que le numéro de registre national peut être utilisé, donc lu, stocké, sauvegardé, etc, dans une entreprise, tant que ces données restent en interne. Une base de données avec les numéros de registre national ne peut donc pas être transmise à des tiers.

x D’autres affirment que la lecture du numéro est admise, ce qui n’est pas le cas pour son stockage ni sa sauvegarde.

x D’autres affirment que le numéro de registre national peut être connecté à un numéro d’identification qui peut être utilisé en interne au sein de l’entreprise (via un hachage), mais uniquement de façon telle que le numéro de registre national ne puisse en aucune manière être retrouvé sur base du numéro d’identification interne.

x D’autres affirment encore que la lecture simple du numéro de registre national est tout simplement interdite.

Utilisation du numéro de registre national par les entrepreneurs

Beaucoup d’entrepreneurs interrogés se sont posé toutes sortes de questions concernant l’utilisation :

x Pouvons-nous faire un contrôle d’accès avec l’eID ?

x Pouvons-nous utiliser le numéro de registre national de manière à chercher des personnes dans une base de données ?

La plupart des entrepreneurs sont assez convaincus que le numéro de registre national peut être utilisé comme clé unique dans une base de données d’entreprise, en d’autres termes ils ne se soucient pas trop ou ne sont pas trop conscients des conséquences juridiques de cette situation.

Un certain nombre d’entrepreneurs (par exemple Ethias) lie le numéro de registre national à un numéro d’identification interne de telle façon que cela ne fonctionne que dans un seul sens. C’est le cas chaque fois que vous vous connectez. Le système voit le numéro de registre national, le connecte au numéro d’identification interne et ensuite l’application utilisera ce numéro d’identification interne.

Dû à la confusion relative à l’utilisation du numéro de registre national, certains entrepreneurs établissent eux-mêmes des directives, comme par exemple le stockage du numéro de registre national des visiteurs pour la période de la visite, quelques jours de plus, une semaine, ou encore un mois.

Avis de la commission de la protection de la vie privée

La Commission de la protection de la vie privée a toujours interprété de manière restrictive le droit d’utiliser le numéro du Registre national. Le motif invoqué était d’éviter la banalisation de l’utilisation du numéro de registre national. En effet, il faut éviter la jonction de banques de données personnelles qui permettrait des profilages dépassant les objectifs de chacune de ces bases de données. Les entreprises pourraient alors lier les bases de données réciproques et apprendre beaucoup d’informations concernant les citoyens.

La commission a maintenu sa jurisprudence concernant l’utilisation du numéro de registre national en s’opposant à l’utilisation par d’autres personnes que celles visées à l’article 5 de la Loi sur le Registre national, même dans le cadre d’une mission d’intérêt général.

23

Problématique d’échange de données à l’aide du numéro de registre national

Des interviews avec des entrepreneurs et des citoyens, il ressort que beaucoup de gens pensent que via l’eID, des données peuvent être retrouvées concernant leurs dossiers personnels auprès de l’administration (par exemple leur profil social, le casier judiciaire,…). Ils ne sont pas trop conscients du fait que :

x ces données ne se trouvent pas sur l’eID

x ces données ne sont pas plus facilement consultables avec l’eID qu’avec l’ancienne carte d’identité, parce que ces données ne peuvent être consultées que par des personnes autorisées, par exemple le personnel de la fonction publique, qui utilisent le numéro de registre national à cette fin, ce qui était également le cas avec l’ancienne carte d’identité

Le schéma ci-dessous peut préciser cela :

Gouvernement

Les bases de données de l’Administration

x Les bases de données de l’administration qui contiennent des données uniques et qui sont souvent utilisées comme référence, sont dénommées « source authentique ». Le contenu de ces sources de données authentiques et la maintenance de ces données sont réglementés par des procédures strictes (par exemple, la déclaration de naissance pour l’enregistrement dans le Registre national, la publication dans le Moniteur pour la création d’une société en vue de son incorporation dans la banque carrefour des entreprises). Pour la précision des informations, ces sources authentiques sont utilisées comme référence par les autres institutions publiques.

x Des exemples de sources authentiques sont : le Registre national, la Banque Carrefour de la sécurité sociale et la Banque Carrefour des entreprises. L’accès aux sources authentiques est réglementé de manière sévère et tombe sous le contrôle d’un comité.

x Une informatisation poussée et une tendance à la « Meilleure Gestion Administrative », obligent l’autorité à rechercher les données du citoyen et de l’entreprise dans ses propres fichiers, afin de ne pas déranger le citoyen et l’entreprise avec des questions concernant toujours les mêmes

24

informations. Des codes uniques simplifient et accélèrent les recherches d’informations. Le numéro de registre national (NRN) est utilisé comme code unique pour identifier chaque citoyen.

Bases de données d’entreprise

x Les entreprises gardent des données qui sont nécessaires à la conduite de leurs affaires. Elles utilisent en général un numéro d’identification unique pour chaque client (ce qui n’est d’ailleurs pas toujours le cas, parfois un numéro d’identification unique est gardé par dossier, ce qui fait que plusieurs numéros d’identification s’appliquent au même client). La problématique de lier le numéro de registre national au numéro d’identification unique a déjà été décrite ci-dessus.

x Les bases de données d’entreprise ne peuvent pas stocker le numéro de registre national et ne peuvent pas échanger leurs données liées au numéro de registre national.

Conclusions concernant l’utilisation du numéro de registre national

x Nous constatons clairement qu’il existe une grande imprécision sur ce qui est permis et ce qui ne l’est pas concernant le numéro de registre national et qu’il existe des interprétations diverses qui se répandent, prennent une vie propre, indépendamment de leur véracité.

x Il y a beaucoup de confusion au sein des entrepreneurs : d’une part, l’utilisation de la carte est promue et d’autre part, ils entendent que la carte serait peut-être inutilisable, à cause de la lecture du numéro de registre national.

x Il y a une imprécision auprès de la population concernant le lien entre l’eID et l’information personnelle stockée dans les bases de données de l’administration.