ECLI:BE:GBAPD:2024:AVIS.20241129.3

Avis n° 106/2024 du 29 novembre 2024 Objet : Projet de loi modifiant la loi du 10 février 2015 relative aux traitements automatisés de données à caractère personnel nécessaires aux passeports et titres de voyage belges (CO-A-2024-273) Mots-clés : finalité du traitement – désignation du ministre en tant que responsable du traitement – authentification à double facteur – communication des données à caractère personnel Version originale Introduction : L’avis concerne un projet de loi qui entend assurer, dans l’ordre juridique belge, la transposition partielle de la directive (UE) 2019/997 du Conseil du 18 juin 2019 établissant un titre de voyage provisoire de l’Union européenne. Pour ce faire, le projet modifie la loi du 10 février 2015 relative aux traitements automatisés de données à caractère personnel nécessaires aux passeports et titres de voyages belges, en intégrant les dispositions de la directive relatives au traitement des données à caractère personnel en vue de la délivrance du titre de voyage provisoire de l’Union européenne. La directive 2019/997 introduit un modèle uniforme de titre de voyage provisoire de l’Union européenne et définit les procédures permettant aux Etats membres de délivrer ce document aux citoyens de l’Union européenne se trouvant dans un pays tiers où leur Etat membre n’a pas de représentation diplomatique. La directive permet également, de manière facultative, la délivrance de ce titre de voyage à d’autres catégories de personnes. En outre, le projet modifie la liste des personnes ayant accès aux données à caractère personnel en vue de la production des passeports et titres de voyage. L’auteur du projet souhaite ajouter les consulats honoraires habilités par le Ministre à la liste des personnes ayant accès aux données à caractère personnel des demandeurs de passeports ou titres de voyage. L’Autorité relève que la finalité de « lutte contre la fraude » devrait être revue de manière plus claire et précise afin d’améliorer la prévisibilité du projet. L’Autorité estime également que le projet ne désigne pas correctement le responsable du traitement. Pour une liste exhaustive des observations, se rapporter au dispositif. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité »), Présent.e.s : Mesdames Cédrine Morlière, Nathalie Ragheno et Messieurs Yves-Alexandre de Montjoye, Gert Vermeulen et Bart Preneel ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données, en particulier les articles 23 et 26 (ci-après « LCA ») ; Vu l’article 43 du Règlement d’ordre intérieur de l’Autorité selon lequel les décisions du Service d’autorisation et d’avis sont adoptées à la majorité des voix ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD ») ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD ») ; Vu la demande d’avis de Madame Hadja Lahbib, Ministre des Affaires étrangères, des Affaires européennes, du Commerce extérieur et des Institutions culturelles fédérales (ci-après « la Ministre » ou « la demanderesse »), reçue le 18 octobre 2024 ; Vu les informations complémentaires reçues le 6 novembre 2024 ; Émet, le 29 novembre 2024, l'avis suivant : I. Objet et contexte de la demande d’avis Avis 106/2024- 3/10 1. La Ministre a sollicité l’avis de l’Autorité concernant un projet de loi modifiant la loi du 10 février 2015 relative aux traitements automatisés de données à caractère personnel nécessaires aux passeports et titres de voyage belges en vue du traitement de données à caractère personnel pour la délivrance du titre de voyage provisoire de l’Union européenne tel que visé dans la directive (UE) 2019/997 du Conseil du 18 juin 2019 établissant un titre de voyage provisoire de l’Union européenne et abrogeant la décision 96/409/PESC (ci-après dénommé, « le projet »). 2. Le projet vise à transposer partiellement1 en droit belge la directive (UE) 2019/997 du Conseil du 18 juin 2019 établissant un titre de voyage provisoire de l’Union européenne et abrogeant la décision 96/409/PESC (ci-après dénommée, « la directive 2019/997 »). Selon l’exposé des motifs du projet, l’objet principal de cette directive est de « déterminer le modèle uniforme du titre de voyage provisoire de l’Union européenne (ci-après dénommé « TVP UE ») et les conditions et procédures selon lesquelles les Etats membres de l’UE peuvent délivrer à l’étranger ce document à un ressortissant d’un autre Etat membre qui n’a pas de représentation propre sur place ». En outre « cette directive prévoit aussi la délivrance facultative de TVP UE à d’autres catégories de personnes que les ressortissants des autres Etats membres de l’UE ». 3. La directive 2019/997 vise à faciliter la protection consulaire des citoyens de l’Union non représentés2. En effet, le législateur européen a souhaité conférer à tout citoyen de l’Union le droit de bénéficier, sur le territoire d’un pays tiers où l’Etat membre dont il est ressortissant n’est pas représenté, de la protection des autorités diplomatiques et consulaires de tout Etat membre dans les mêmes conditions que les ressortissants de cet Etat membre. 4. Le TVP UE est défini par l’article 3 de la directive 2019/997 comme « un titre de voyage qui est délivré par un Etat membre à un citoyen non représenté dans un pays tiers aux fins d’un trajet unique vers l’Etat membre de nationalité ou l’Etat membre de résidence du citoyen, à la demande du citoyen, ou, à titre, exceptionnel, vers une autre destination ». Les Etats membres délivrent ces titres aux citoyens non représentés dans des pays tiers en cas de perte, de vol ou de destruction de leur passeport ou de leur titre de voyage, ou lorsqu’il n’est pas possible d’obtenir le document en question dans un délai raisonnable selon d’autres modalités. 5. Il ressort du considérant 21 de la directive 2019/997 que le système du TVP UE « nécessite le traitement des données à caractère personnel nécessaires aux fins de la vérification de l’identité du demandeur et de l’impression de la vignette TVP UE type, ainsi qu’afin de faciliter les déplacements de la personne concernée ». Le projet de loi prévoit la transposition des dispositions de la directive relatives au traitement des données à caractère personnel en vue de la délivrance du TVP UE. A cet effet, le projet modifie la loi du 10 février 2015 relative aux traitements automatisés de données à caractère personnel nécessaires aux passeports et titres de voyage belges (ci-après dénommée « la loi du 10 février 2015 »). Selon l’exposé des motifs, il est logique d’insérer les dispositions relatives aux TVP UE dans cette loi, puisqu’elle contient toutes les dispositions relatives au traitement des données à caractère personnel nécessaires à la délivrance des différents documents de voyage et d’identité belges qui sont de la compétence du SPF Affaires étrangères. Les données nécessaires pour la délivrance des TVP UE sont ajoutées dans la base de données existante « Belpas » pour la délivrance des passeports et titres de voyage. 6. En outre, le projet modifie la liste des personnes ayant accès aux données à caractère personnel en vue de la production des passeports et titres de voyage. L’auteur du projet souhaite ajouter les consulats honoraires habilités par le Ministre à la liste des personnes ayant accès aux données à caractère personnel des demandeurs de passeports ou titres de voyage. L’objectif est de faciliter l’accès aux belges résidant à l’étranger aux services consulaires. En effet, il ressort de l’exposé des motifs que les Belges résidant à l’étranger se trouvent souvent à des distances très lointaines du poste consulaire de carrière belge, tandis qu’un consulat honoraire se trouve parfois beaucoup plus près. Le but est donc de permettre à ces consulats honoraires de collecter la biométrie des demandeurs. 7. L’Autorité s’est déjà prononcée sur la loi du 10 février 2015 dans ses avis n°60/2013 du 27 novembre 2013 et 99/2018 du 26 septembre 2018. 8. Seules les dispositions de l’avant-projet suscitant des commentaires en termes de protection des données à caractère personnel sont analysées dans le cadre du présent avis. II. Examen de la demande d’avis 9. Le projet apporte principalement trois modifications à la loi du 10 février 2015. D’une part, il complète l’article 6 de la loi par un point 7°, prévoyant que les consulats honoraires habilités par le Ministre auront également accès à certaines données à caractère personnel des demandeurs de passeports ou titres de voyage. D’autre part, il ajoute, au chapitre 7/1 de cette loi, le TVP UE aux documents pour lesquels une consultation de la base de données « Passban » s’impose en vue de leur délivrance. Ensuite, il insère un nouveau chapitre 7/2 qui règle le traitement des données en vue de la délivrance du TVP UE. Modification de l’article 6 du Chapitre III de la loi du 10 février 2015 10. L’article 4 du projet modifie la liste des personnes ayant accès aux données à caractère personnel en vue de la production des passeports et titres de voyage. Cet article prévoit que les consulats honoraires habilités par le Ministre auront uniquement accès aux données à caractère personnel reprises à l’article 4, 1°, a), b), d), e) et f)3. 11. Cet ajout ne soulève pas de remarque de la part de l’Autorité. Les données auxquelles accèderont les consulats honoraires sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités, conformément à l’article 5.1.c) du RGPD. Pour le reste, les éléments essentiels du traitement sont déjà suffisamment bien encadrés par le Chapitre III de la loi du 10 février. Insertion d’un nouveau Chapitre 7/2 à la loi du 10 février 2015 12. Les articles 10 à 15 du projet insèrent un nouveau Chapitre 7/2 intitulé « Traitement automatisé de données à caractère personnel en vue de la délivrance du titre de voyage provisoire de l’Union européenne ». a) Finalités du traitement 13. Conformément à l’article 5.1. b) du RGPD, un traitement de données à caractère personnel ne peut être réalisé que pour des finalités déterminées, explicites et légitimes. 14. L’article 12 du projet prévoit que les données à caractère personnel sont traitées en vue de la délivrance du TVP UE et de la lutte contre la fraude lors de cette délivrance. L’Autorité estime que la finalité de « lutte contre la fraude » n’est pas rédigée dans des termes suffisamment clairs et précis qui permettent d’entrevoir les traitements de données à caractère personnel qui devront être opérés pour sa réalisation. L’auteur de la proposition de loi semble confondre la notion de finalité du traitement des données avec un des buts d’intérêt général qui sous-tend le projet de loi4. Interrogé quant aux situations visées par cette finalité, le délégué de la Ministre a confirmé que cette finalité s’apparente plutôt à un but d’intérêt général (à savoir la lutte contre la fraude à l’identité et la fraude documentaire). Ce but étant également repris au chapitre 6 de la loi (intitulé « Traitement automatisé de données à caractère personnel en vue de la lutte contre la fraude aux passeports et aux titres de voyage belges »), le délégué de la Ministre renvoie à la motivation dans l’exposé des motifs5. 15. L’Autorité considère que la référence à l’exposé des motifs de la loi du 10 février 2015 ne permet pas de saisir concrètement les situations visées par le demandeur. La formulation « lutte contre la fraude » est trop générale et permet des interprétations multiples. Il convient de reformuler cette finalité en ciblant le type de fraude visé et en indiquant en quoi le traitement des données à caractère personnel permettrait de contrer les tentatives de fraude. b) Catégories de données à caractère personnel 16. En vertu de l’article 13 du projet, les données à caractère personnel enregistrées sont : « 1° les données relatives au titulaire du TVP UE : - Le nom et les prénoms, la nationalité, la date de naissance et le sexe du demandeur ; - Une image faciale du demandeur prise par les autorités de l’Etat membre prêtant assistance au moment de la demande ou, uniquement dans les cas où cela n’est pas faisable, une photographie scannée ou numérique du demandeur ; - Une copie ou une copie scannée de tout moyen d’identification disponible, comme une carte d’identité ou un permis de conduire, le numéro et le type de ce moyen d’identification, et, si ces informations sont disponibles, le type et le numéro du document remplacé et le numéro de registre national ou le numéro de sécurité sociale ; - L’adresse électronique et le numéro de téléphone du demandeur ; 2° les données relatives au titre de voyage provisoire de l’Union européenne : - Le numéro du TVP UE ; - L’Etat membre de délivrance et le lieu où l’autorité de délivrance est sise ; - La date de délivrance et la date d’expiration ; - Le pays de destination et éventuellement un ou plusieurs pays de transit pour lesquels le TVP UE est délivré ; - D’éventuelles remarques de l’autorité de délivrance pour indiquer toute autre donnée nécessaire ; - Une photocopie ou une copie scannée du TVP UE délivré ; - Le prix du TVP UE » 17. Ces données à caractère personnel sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités, conformément à l’article 5.1.c) du RGPD. c) Responsable du traitement 18. L’article 12 du projet identifie le ministre (étant visé le ministre qui a les Affaires étrangères dans ses attributions6) comme responsable du traitement automatisé des données à caractère personnel. L’Autorité rappelle que la désignation du responsable du traitement doit être adéquate au regard des circonstances factuelles ; ce qui implique de désigner l’organisation qui poursuit la finalité7 pour laquelle le traitement de données à caractère personnel est mis en place et qui dispose de la maîtrise des moyens utilisés pour atteindre cette finalité 8. 19. L’Autorité relève que le ministre ne pourra être désigné comme responsable du traitement, uniquement si c’est effectivement le ministre qui se charge, lui-même, de la délivrance des TVP UE – et qu’il réalise dès lors les traitements nécessaires à cet effet 9. Si c’est, en fait, l’administration (en l’occurrence, le SPF Affaires étrangères) qui effectue les traitements de données nécessaires à la délivrance des titres de voyage, c’est bien cette administration qui devra être désignée comme responsable du traitement. En effet, l’Autorité rappelle qu’en principe, dans le secteur public, une autorité publique sera responsable du traitement des données à caractère personnel nécessaire à l’exécution des missions d’intérêt public et des obligations légales qui lui incombent 10. De plus, selon l’exposé des motifs, c’est bien le SPF Affaires étrangères qui effectue, sous la responsabilité du ministre des Affaires étrangères, le traitement automatisé. En tout état de cause, l’Autorité souligne qu’il convient de ne pas confondre les notions de « responsable du traitement » avec celle de « responsabilité politique »11. 20. Il convient de reformuler cette disposition afin d’identifier le SPF Affaires étrangères comme responsable du traitement. Cette remarque de l’Autorité vaut également pour les autres dispositions de la loi du 10 février 2015 identifiant le ministre comme responsable du traitement. d) Modalités d’accès aux données à caractère personnel 21. L’article 15 du projet prévoit que les données à caractère personnel sont traitées par : - Le personnel chargé au sein du SPF Affaires étrangères de l’application de la réglementation relative aux passeports et titres de voyage belges ainsi qu’aux TVP UE ; - Le personnel diplomatique et consulaire chargé de la délivrance des passeports et titres de voyage belges ainsi que des TVP UE ; - Le personnel du service informatique du SPF affaires étrangères chargé du développement et de la maintenance de la base de données ; - Les autorités compétentes de l’Etat membre de nationalité et du citoyen non représenté n’ayant pas la nationalité belge, ou, le cas échéant, l’Etat membre de résidence du membre de la famille du citoyen de l’Union ou, en cas de délivrance à un autre bénéficiaire, l’Etat membre tenu d’accorder une protection au demandeur au titre du droit international ou national et qui est le pays de destination, en vue de vérifier la nationalité et l’identité du demandeur » 22. Interrogé quant aux modalités d’accès à la base de données, le délégué de la Ministre a répondu que pour le personnel du SPF Affaires étrangères en charge de la délivrance des TVP UE, il s’agit de : • « eID + code pin pour le personnel belge ; • user-ID + mot de passe + code de vérification pour le personnel étranger dans les postes consulaires » 23. L’Autorité en prend note et considère que ce système de gestion des utilisateurs à deux facteurs est approprié. Néanmoins, l’Autorité souligne que l’envoi de ces codes de vérification par SMS est déconseillé12. Parmi les seconds facteurs d’authentification disponibles, l’Autorité recommande d’envoyer ce code via une application sécurisée ou d’utiliser des clés physiques ou d’authentification13. e) Communication des données à caractère personnel 24. Il ressort des informations complémentaires que « le personnel des autorités étrangères n’aura aucun accès direct à la base de données Belpas mais recevra les informations requises via les moyens de communication les plus appropriés à dispositions des postes consulaires à l’étranger » 25. Au vu du risque pour la sécurité des données que génèrent les détournements de finalité et de fuites des données à caractère personnel portant sur les traitements encadrés par le projet, l’Autorité insiste sur l’importance de prévoir l’adoption de mesures de sécurité spécifiques pour les communications des données à caractère personnel que le ministre (ou plutôt le SPF Affaires étrangères) sera amené à réaliser pour la gestion et la délivrance des TVP UE. 26. Concernant l’échange d’informations avec les autorités étrangères, l’Autorité préconise le recours à une plateforme sécurisée dédiée aux échanges d’informations. En l’absence d’une telle plateforme, l’Autorité rappelle que la communication de données à caractère personnel sensibles par courriel est à proscrire14. Il incombe au responsable du traitement de mettre en place des procédures et un canal de communication offrant un niveau de sécurité adapté à la nature des données transmises. L’Autorité recommande de mettre en œuvre des mesures de sécurité conformes à l’état de l’art concernant tant le canal de transmission que le message et ses éventuelles pièces jointes et de conditionner l’accès aux données collectées. PAR CES MOTIFS, L’Autorité, Considère que le projet de loi doit être adapté en ce sens : • Reformuler la finalité de « lutte contre la fraude » dans des termes suffisamment clairs et précis qui permettent d’entrevoir les traitements de données à caractère personnel qui devront être opérés pour sa réalisation. Il convient de cibler le type de fraude visé et d’indiquer en quoi le traitement des données à caractère personnel permettrait de contrer les tentatives de fraude. (cons. 14 et 15) ; • Désigner le SPF Affaires étrangères comme responsable du traitement (cons. 19 et 20) ; En outre, l’Autorité recommande au responsable du traitement de : • Mettre en œuvre des mesures de sécurité conformes à l’état de l’art concernant tant le canal de transmission que le message et ses éventuelles pièces jointes et de conditionner l’accès aux données collectées (cons. 20 et 21). Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2024:AVIS.20241129.3