Vous êtes ici : Accueil > En pratique > eID

La carte d'identité électronique et notre vie privée

Il faut mentionner en préambule que, sauf dans les cas où la loi prescrit que soit utilisée la carte d'identité, l'identité peut être prouvée par tout moyen.

La carte d’identité constitue cependant un moyen de preuve particulièrement commode, et c'est la raison pour laquelle la plupart des demandes d'identification feront appel à cette carte.

Cet aspect ne relève pas de la Loi vie privée mais d'une réglementation spécifique. Celle-ci prévoit que la carte d'identité doit être présentée lors de toute réquisition de la police ou à l’occasion de toute déclaration ou de toute demande de certificats ou en cas d’intervention d’un huissier de justice ou lorsque, de manière générale, il s'agit d'établir l'identité du porteur (art. 1 de l'Arrêté royal du 25 mars 2003 relatif aux cartes d'identité).

La simple présentation de la carte d’identité échappe à la Loi vie privée.

Par contre, dès que les informations que comporte la carte d'identité sont encodées informatiquement, lues ou copiées par voie électronique, reportées à la main dans un fichier, etc., on considère qu’il y a traitement de données personnelles. Celui qui met en place de telles opérations sera considéré comme le responsable du traitement. Tant celui-ci que ceux qui procèdent à de telles opérations pour son compte devront respecter la loi vie privée.

Bien qu’elles tendent progressivement à être supplantées par les bases de données informatiques, les opérations manuelles sont encore couramment utilisées dans certains contextes. De telles opérations sont soumises à la Loi vie privée pour autant que les informations de la carte d’identité soient reportées sur un support qui présente les caractéristiques d’un fichier. Ceci exclut les simples listes chronologiques souvent établies, par exemple, par les loueurs de vélos à la côte. Par contre, dès que le système manuel facilite l’accès à l’information relative à une personne déterminée, par exemple par le biais d'un classement alphabétique, on parle d’un fichier, auquel la Loi vie privée est applicable.

Le scanning de la carte d'identité, voire sa prise en photo, sont des traitements automatisés soumis à la loi vie privée.

La carte d’identité électronique, ou "eID" , est pourvue d'une puce qui contient non seulement toutes les informations qui sont visibles à l'œil nu sur la carte (nom, prénom, photo, numéro de Registre national, etc.) mais également d'autres informations, dont l'adresse.

A l'aide d'un lecteur de carte, il est possible de prendre connaissance des informations contenues dans la puce. Si le lecteur est relié à un système informatique adapté, les informations peuvent être imprimées, enregistrées sur un disque dur, exportées vers une base de données, etc. Toutes ces opérations sont des traitements de données, soumis à la Loi vie privée.

Il importe ici de préciser que les arrêtés royaux requis par la Loi du 19 juillet 1991 relative aux cartes d'identité et destinés à encadrer le contrôle automatisé de l'eID et l'utilisation de celle-ci, n'ont pas encore été adoptés. La Commission a attiré l'attention du Ministre de l'Intérieur, compétent en cette matière, sur cette absence.

Les recommandations qui suivent sont donc avancées, pour ce qui concerne l'eID, sous réserve du contenu de ces futurs arrêtés. Les règles dont il sera question ci-dessous sont un minimum à respecter, au regard de la Loi vie privée, lorsqu'il s'agit d'utiliser l'eID.

Demander l'identité d'une personne afin qu'elle fasse l'objet d'un traitement n'est permis que lorsqu’un tel traitement poursuit un but légitime. Par exemple, dans de nombreux cas, le fait de s'identifier n’est nullement nécessaire pour bénéficier d’un service : ainsi, un boulanger n’a a priori aucune raison de connaître l'identité du client qui lui achète un pain. Par contre, une vidéothèque aura un intérêt légitime à enregistrer certaines des données d’identification de ses clients dans son fichier. Dans certains cas, la collecte et le traitement des données d'identité procèdera même d'une obligation légale : pensons à un employeur, mais aussi aux centres de bronzage, aux hôtels, etc.

Les données reprises sur la carte d'identité sont nombreuses et variées : nom, prénoms, adresse, nationalité, lieu et date de naissance, sexe, photo, numéro de Registre national, etc. Souvent, le seul nom suffira à la finalité poursuivie. Parfois même, la simple collecte du code postal sera suffisante (imaginons une piscine communale accordant des tarifs spécifiques aux seuls citoyens de la Commune).

La règle sera la suivante : le responsable du traitement ne peut collecter que les données d'identification qui sont pertinentes pour la réalisation de la finalité qu'il poursuit. Les données traitées doivent avoir une utilité concrète dans le cadre de ce traitement. Il ne peut donc être question de traiter des données sans poursuivre une finalité précise, ni d'en collecter parce qu'elles pourraient éventuellement un jour s'avérer utiles, ni d'enregistrer des données excessives au regard de la finalité envisagée.

L'éventuel recours à la lecture électronique de la carte d'identité obéit aux mêmes principes : dans les cas où les données visibles à l'œil nu sur la carte seraient suffisantes pour réaliser le but poursuivi par le responsable, celui-ci devra se contenter de retranscrire ces données, sans procéder à la lecture électronique de la puce. Si le responsable du traitement a un besoin légitime de disposer des données qui ne sont disponibles que sur la puce de la carte, il pourra procéder à la lecture de celle-ci mais devra limiter son traitement aux seules données qu'il peut légitimement connaître.

Une fois que les données provenant de la carte d'identité ont été légitimement enregistrées, le responsable du traitement doit se contenter de les utiliser dans le cadre de la finalité pour laquelle il les a recueillies. Pas question par exemple pour un employeur qui se présente aux élections d'envoyer des "bulletins d'information électorale" en utilisant les données traitées par le service du personnel.

En vertu du principe de transparence de la Loi vie privée, tout responsable de traitement doit informer préalablement, clairement et précisément, chaque personne concernée auprès de laquelle il collecte des données à caractère personnel, notamment des données qu'il collecte, des finalités pour lesquelles elles sont collectées et, le cas échéant, des destinataires auxquels elles seront ou pourront être transmises.

Tant les procédures de travail que les programmes informatiques utilisés par le responsable du traitement doivent traduire les règles qui précèdent dans la pratique. Le responsable doit par exemple organiser le travail de manière telle que seules les personnes qui ont fonctionnellement besoin d'une donnée personnelle aient accès à cette donnée. De même, les programmes informatiques reliés au lecteur de carte, voire le lecteur lui-même, doivent garantir un accès sélectif aux données contenues dans la carte, de manière à ce que les seules données nécessaires soient visualisées ou enregistrées.

Tout traitement reposant sur une exploitation des données de la carte d'identité doit respecter les règles de la Loi vie privée, dont certaines vous ont été exposées ci-dessus. Les autres obligations (citons l'obligation de ne pas conserver les données plus longtemps que nécessaire, l'obligation de déclaration, etc.) font l'objet de développements détaillés sous la rubrique spécifique relative à la vie privée.

La législation sur le blanchiment oblige les banques, les institutions de crédit, les assureurs, etc. à identifier et à vérifier l'identité, entre autres, de leurs nouveaux clients. Le but de ces précautions est d'empêcher l'ouverture de comptes sous de faux noms, de pseudonymes, etc.

Dans le cadre de ce contrôle, les banques doivent en outre prendre une copie de la carte d'identité du client, "sur support papier ou électronique".

Cette règle revêt un aspect particulier dans le cas de la carte d'identité électronique, puisqu'une information essentielle à l'identification (l'adresse) n'est plus visible sur la carte, mais n'est présente que sur la puce. La lecture électronique de la carte sera donc ici incontournable.

Pour le surplus, notons que la Loi vie privée reste applicable aux banques. Ainsi, en application du principe de proportionnalité de la Loi vie privée, il est interdit, pour la banque d'enregistrer davantage de données que nécessaire à la finalité d'identification et de contrôle, c'est-à-dire, concrètement, à la copie sur support électronique de la carte d'identité.

Lire également dans le lexique: traitement de données personnelles - responsable du traitement - eID