ECLI:BE:GBAPD:2025:DEC.20250122.2

Chambre Contentieuse Décision quant au fond 12/2025 du 22 janvier 2025 Numéro de dossier : DOS-2020-05957 Objet : Empreintes digitales pour la carte d’identité électronique La Chambre Contentieuse de l'Autorité de protection des données, composée de Monsieur Hielke HIJMANS, président, siégeant seul ; Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), ci-après "RGPD" ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, ci-après "LCA" ; Vu le règlement d'ordre intérieur tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ; Vu les pièces du dossier ; A pris la décision suivante concernant : La plaignante : Madame X, ci-après "la plaignante" ; Le défendeur : Y, ci-après "le défendeur" I. Faits et procédure 1. Le 12 janvier 2021, le plaignant porte plainte auprès de l'Autorité de protection des données contre le défendeur, une commune. 2. L’objet de la plainte concerne la délivrance d’une nouvelle carte d’identité pour laquelle le défendeur prendrait quatre empreintes digitales de chaque main. L’article 6, § 2, 8° de la loi du 19 juillet 19911 dispose toutefois qu’une seule empreinte digitale de chaque main peut être prise. Le plaignant affirme qu’après une demande en ce sens, aucune information transparente n’a été fournie par la ville de (…) suite à la prise des empreintes digitales, et qu’aucune base juridique n’a pu être donnée non plus pour la prise obligatoire de quatre empreintes digitales par main. Le plaignant se réfère à ce sujet à la correspondance par e-mail du 17 décembre 2020 et du 22 décembre 2020 avec le défendeur, telle que jointe à la plainte. Le plaignant affirme non seulement que le nombre d'empreintes digitales prises pour la carte d'identité est supérieur à celui autorisé par la loi, mais qu'il est également possible que le défendeur utilise les autres empreintes digitales pour d’autres finalités. 3. Le 19 janvier 2021, le plaignant indique au Service de Première Ligne que lors du retrait de la carte d’identité électronique, huit doigts ont de nouveau été scannés pour activer la carte d’identité. Selon le plaignant, cela implique que l’affirmation du défendeur selon laquelle les autres empreintes digitales, à l’exception donc de la seule empreinte par main qui est prescrite par la loi, sont détruites est fausse. 4. Le 29 janvier 2021, la plainte est déclarée recevable par le Service de Première Ligne sur la base des articles 58 et 60 de la LCA et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62, § 1er de la LCA. 5. Le 16 juin 2023, la Chambre Contentieuse décide, sur la base de l'article 95, § 1 er, 1° et de l'article 98 de la LCA, que le dossier peut être examiné sur le fond et informe les parties concernées par envoi recommandé des dispositions telles qu'énoncées à l'article 95, § 2 et à l'article 98 de la LCA. Elles sont également informées, en vertu de l'article 99 de la LCA, des délais pour transmettre leurs conclusions. La date limite pour la réception des conclusions en réponse du défendeur a été fixée au 11 août 2023, celle pour les conclusions en réplique du plaignant au 1 er septembre 2023 et celle pour les conclusions en réplique du défendeur au 22 septembre 2023. 6. Le 19 juin 2023, le défendeur demande une copie du dossier (art. 95, § 2, 3° de la LCA), qui lui a été transmise le 21 juin 2023. 7. Le 10 août 2023, la Chambre Contentieuse reçoit les conclusions en réponse de la part du défendeur. 8. Suite à l'absence de conclusions en réponse de la part du plaignant, le défendeur n'introduit pas non plus de conclusions en réplique. 9. Le 26 novembre 2024, la Chambre Contentieuse reçoit du défendeur la demande de transmettre l’état d’avancement du dossier. 10. Préalablement à la motivation, la Chambre Contentieuse souligne que la durée de cette procédure a été (trop) longue, notamment en raison du nombre important de dossiers en traitement au sein de la Chambre Contentieuse. II. Motivation a) Licéité du traitement et transparence (article 5.1 a) du RGPD juncto les articles 6, 12 et 13 du RGPD) 11. En ce qui concerne la législation applicable, le défendeur renvoie à l’arrêté royal du 25 mars 2003 relatif aux cartes d'identité, plus précisément à l’article 3, § 52, afin de justifier le traitement des empreintes digitales en vue de la délivrance de la carte d’identité électronique. 12. La Chambre Contentieuse constate que l’arrêté royal en question a été pris en exécution de la loi du 19 juillet 1991 relative aux registres de la population, aux cartes d'identité, aux cartes des étrangers et aux documents de séjour, en particulier son article 6, § 2, troisième alinéa, qui dispose que les conditions et modalités de capture de l'image numérisée des empreintes digitales doivent être définies par arrêté royal 3. Le traitement des empreintes digitales sur la puce de la carte d’identité est conforme au Règlement européen 2019/1157 du 20 juin 20194 qui, en vertu de son article 3.5, oblige les États membres à intégrer les empreintes digitales à la carte d’identité5. 13. Il en résulte que la Chambre Contentieuse estime que, lors de la production de cartes d’identité, le défendeur traite les empreintes digitales de manière licite au sens de l’article 6.1 c) du RGPD, étant donné qu’une obligation légale d’intégrer les empreintes digitales sur les cartes d’identité incombe indéniablement au défendeur. Par conséquent, il n’y a pas de violation de l’article 5.1 a) du RGPD juncto l'article 6 du RGPD. 14. L’existence d’une base juridique valable n’empêche toutefois pas que les autres dispositions du RGPD doivent également être respectées, dont le principe de transparence tel que repris à l’article 5. 1. a) du RGPD juncto les articles 12 et 13 du RGPD, étant donné que dans le cas présent, le défendeur a obtenu les données à caractère personnel directement auprès du plaignant. Afin de garantir un traitement de données transparent, le responsable du traitement, à savoir le défendeur, doit déjà informer le plaignant concerné des éléments mentionnés à l’article 13 du RGPD au moment de la collecte de données 6. 15. Le dossier ne contient aucune pièce indiquant que le plaignant aurait reçu ou non les informations requises au moment où les empreintes digitales ont été prises afin que la procédure de production de l'eID (carte d'identité électronique) puisse débuter. Le plaignant transmet uniquement une correspondance par e-mail entre son père et le défendeur dans laquelle son père demande au défendeur, après les faits, des explications quant aux finalités et à la base juridique du traitement d’empreintes digitales par le défendeur. Le plaignant ne transmet pas non plus de pièce indiquant qu’il a lui-même demandé les informations en question en sa qualité de personne concernée au sens de l’article 4.1 du RGPD juncto l’article 15.1 du RGPD. Le plaignant a en effet atteint l’âge de 18 ans au moment des faits et dispose dès lors lui-même, en tant que personne majeure, du droit de réclamer les informations en question en vertu de l’article 15.1 du RGPD7. Il ne ressort toutefois pas du dossier que le plaignant ait demandé lui-même au défendeur des informations au sujet des données à caractère personnel qui le concernent. 16. Bien que le plaignant n’aborde pas concrètement les informations qu’il a obtenues ou non lors de la collecte des empreintes digitales, la Chambre Contentieuse rappelle néanmoins que le défendeur doit fournir à la personne concernée toutes les informations conformément à l’article 13 du RGPD lors de la première prise des empreintes digitales. Cela signifie que le responsable du traitement doit entreprendre activement des démarches afin de fournir les informations en question à la personne concernée. En vertu de l’article 12.1 du RGPD 8, la transmission par écrit d’informations ou de communications aux personnes concernées est le moyen de communication standard. Si l’on recourt à des écrits par voie électronique, on peut également utiliser une déclaration de confidentialité/une communication par couches. En tout état de cause, il est important de souligner que l'intégralité des informations adressées à une personne concernée doivent être consultables à un seul endroit ou dans un seul document (papier ou numérique), aisément accessible pour la personne concernée si elle souhaite consulter l'intégralité des informations qui lui sont destinées 9. 17. La Chambre Contentieuse souligne que le défendeur n'a pas seulement l’obligation de fournir les informations que la personne concernée demande lors de l’exercice de son droit d’accès (article 15 du RGPD), lequel concerne les données à caractère personnel qui sont déjà traitées par le responsable du traitement. Le responsable du traitement a par ailleurs aussi l’obligation de fournir les informations conformément à l’article 13 du RGPD dès le moment où les données à caractère personnel de la personne concernée sont obtenues – donc d'emblée – en cas de collecte des données à caractère personnel auprès de la personne concernée elle-même. Une bonne information au sens de l’article 13 du RGPD permet d'éviter la confusion dans le chef de la personne concernée et d’anticiper les demandes d’éclaircissement de la part de la personne concernée. b) Principe de limitation des finalités (article 5.1 b) du RGPD) et de minimisation des données (article 5.1 c) du RGPD) 18. Le plaignant déclare craindre que suite à la prise d’une empreinte de plusieurs doigts de chaque main, ces empreintes soient utilisées par le défendeur pour d’autres finalités. 19. Le défendeur conteste le fait que les empreintes digitales prises seraient utilisées d’une quelconque manière pour une autre finalité que la seule intégration d’une seule empreinte digitale par main sur la puce RFID de la carte d’identité. Le défendeur explique que lors de la procédure de demande d’une eID, la méthode standard recommandée par le Service public fédéral Intérieur est suivie10. Dans ce cadre, huit doigts sont scannés par défaut afin de vérifier quel doigt de chaque main a la meilleure qualité d’empreinte digitale. Parmi ces empreintes digitales, au maximum une seule empreinte digitale par main, celle ayant la meilleure qualité, est enregistrée. L’empreinte digitale ayant la meilleure qualité est automatiquement détectée par le logiciel. Lors de la clôture de la demande d’eID, seules deux empreintes – une par main – sont enregistrées. Les autres empreintes ne sont plus conservées. Les deux empreintes digitales enregistrées sont utilisées, comme prescrit légalement, pour être placées sur la puce de l’eID. Dès que ces deux empreintes digitales ont été placées sur la puce, elles sont également détruites dans le système de stockage temporaire et sécurisé qui est nécessaire pour pouvoir placer les deux empreintes digitales sur la puce. 20. En ce qui concerne l’enregistrement temporaire, le défendeur renvoie à l’article 3, § 5, deuxième alinéa de l’arrêté royal précité du 25 mars 200311 qui dispose que les empreintes digitales sont numérisées à l'initiative de l'autorité communale au moyen de capteurs ad hoc. L’image numérique de ces empreintes est envoyée de manière sécurisée via les services du Registre national au producteur de la carte d’identité pour y être intégrée électroniquement. Le défendeur souligne que la procédure telle que décrite sur le site Internet du SPF Intérieur est suivie. Cela signifie qu’après l’enregistrement des empreintes digitales, celles-ci sont conservées au maximum trois mois pour la production de la carte. Cette période est nécessaire pour veiller à ce que l'émetteur de la carte puisse placer les bonnes données sur la puce. On évite ainsi également de devoir à nouveau enregistrer les empreintes digitales en cas de problème technique. Au plus tard trois mois après l’enregistrement des empreintes digitales, celles-ci sont supprimées du système et il ne subsiste sur la puce de l’eID qu’une seule empreinte digitale par main. 21. Dès que la carte est activée, il est à nouveau demandé de prendre les empreintes digitales. Ces empreintes sont alors comparées à celles de la puce de la nouvelle eID afin d’éviter que quelqu'un d'autre ne retire l’eID à la place de la personne à qui appartient la carte. Étant donné que la commune où l’eID est retirée, en l’occurrence le défendeur, ne sait pas elle-même quelle empreinte digitale a la meilleure qualité et est enregistrée sur la puce, huit empreintes digitales sont à nouveau prises lors du retrait de l’eID. L’application sélectionne, parmi les empreintes digitales qui viennent d’être prises, les empreintes des doigts qui se trouvent sur la puce RFID, afin de pouvoir les comparer. 22. La Chambre Contentieuse en conclut qu’il n’y a aucun motif fondé ni aucune indication pour supposer, sur la base des éléments du dossier, que les empreintes digitales prises seraient utilisées pour une autre finalité que la production d’une eID, de sorte que l’on ne peut constater aucune violation de l’article 5.1 b) du RGPD. 23. En outre, il apparaît que même si plusieurs empreintes digitales par main sont traitées, cette méthode est dictée par le fait qu’il est prescrit légalement que l’empreinte digitale de la meilleure qualité doit être intégrée à la puce (article 3, § 5, cinquième alinéa de l’arrêté royal du 25 mars 200312) ce qui justifie qu’une empreinte de plusieurs doigts par main doive être prise afin de sélectionner la meilleure et donc une seule empreinte digitale par main, certes dans le respect de l’ordre établi à l’article 3, § 5, cinquième alinéa de l’arrêté royal précité du 25 mars 2003. 24. L’élément crucial à cet égard est le stockage temporaire des empreintes digitales dans le fichier du producteur de la carte pour une période de maximum trois mois. Ceci est conforme à l’article 6, § 2, cinquième alinéa de la loi du 19 juillet 1991 relative aux registres de la population, aux cartes d'identité, aux cartes des étrangers et aux documents de séjour 13 qui dispose que l’image numérisée des empreintes digitales ne peut être conservée que durant le temps nécessaire à la fabrication et à la délivrance de la carte d'identité et, en tout cas, durant une période de maximum 3 mois, étant entendu que après ce délai de 3 mois, les données doivent impérativement être détruites et effacées. Ce court délai imposé permet de garantir que les empreintes digitales ne soient pas conservées au-delà de la durée nécessaire. Le délai de conservation limité contribue à la minimisation des données étant donné qu’après la sélection de la meilleure empreinte digitale par main, les autres empreintes digitales sont supprimées et ensuite, après le retrait de l’eID par la personne concernée, les empreintes digitales reprises sur la puce RFID de l’eID sont également supprimées du fichier du producteur de la carte. 25. Le défendeur démontre que la prise de plusieurs empreintes digitales constitue une simple modalité technique qui permet au défendeur de faire fabriquer efficacement l’eID par le producteur de la carte dans un délai relativement court avec les garanties de sécurité qui s’imposent en détruisant toutes les empreintes digitales après la période de trois mois définie légalement. 26. Les empreintes digitales enregistrées sur la puce RFID sont en effet protégées par le même mécanisme de sécurité que celui utilisé pour les passeports et pour les titres de séjour de ressortissants de pays tiers14. Ce mécanisme de sécurité est imposé par la norme UE relative aux documents de voyage15 et consiste à ne donner accès aux empreintes digitales qu’aux lecteurs autorisés via des certificats électroniques. La Chambre Contentieuse constate également à cet égard que le défendeur renvoie à la convention conclue dans ce contexte entre le défendeur et l’État belge16. L’article 6, § 2, sixième alinéa de la loi du 19 juillet 1991 dispose aussi expressément et de manière limitative qui a accès aux empreintes digitales sur la puce RFID17. 27. La garantie qui est prévue, à savoir que cette conservation des empreintes digitales est temporaire en vue de la sélection de la meilleure empreinte par main, et ce pour une courte période de maximum trois mois, cet enregistrement temporaire de manière sécurisée se faisant uniquement en vue de la production de l’eID, amène la Chambre Contentieuse à conclure que le principe de minimisation des données est respecté à la lumière de la finalité poursuivie qui consiste à fabriquer l’eID conformément aux dispositions légales de la loi du 19 juillet 1991, en particulier son article 6, § 218, qui définit les informations devant être reprises sur l’eID, y compris les empreintes digitales en tant que donnée à caractère personnel lisible de manière électronique. La Chambre Contentieuse estime donc qu’aucune violation de l'article 5.1 c) du RGPD n'a été commise. 28. Il ressort de l’ensemble des éléments tels qu’exposés ci-avant qu’il n’est pas question dans le présent dossier d’une quelconque violation du RGPD, de sorte que la Chambre Contentieuse estime qu’aucune suite ne doit être donnée à la plainte. III. Publication de la décision 29. Vu l'importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, la présente décision est publiée sur le site Internet de l'Autorité de protection des données. Toutefois, il n'est pas nécessaire à cette fin que les données d'identification des parties soient directement communiquées. PAR CES MOTIFS, la Chambre Contentieuse de l'Autorité de protection des données décide, après délibération, de classer la présente plainte sans suite, en vertu de l'article 100, §1er, 1° de la LCA, vu qu'aucune violation du RGPD ne peut être établie à cet égard. En vertu de l'article 108, § 1er de la LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des Marchés (Cour d'appel de Bruxelles) dans un délai de trente jours à compter de sa notification, avec l'Autorité de protection des données en qualité de défenderesse. Un tel recours peut être introduit au moyen d'une requête contradictoire qui doit reprendre les mentions énumérées à l'article 1034ter du Code judiciaire19. La requête contradictoire doit être déposée au greffe de la Cour des Marchés conformément à l'article 1034quinquies du Code judiciaire20, ou via le système d'information e-Deposit du Ministère de la Justice (article 32ter du Code judiciaire). (sé) Hielke HUMAN Président de la Chambre Contentieuse Document PDF ECLI:BE:GBAPD:2025:DEC.20250122.2 Publication(s) liée(s) suivi par: ECLI:BE:GBAPD:2025:AVIS.20250227.6