Etaamb.openjustice.be
Arrêté Royal du 11 mars 2019
publié le 19 mars 2019

Arrêté royal relatif aux modalités d''interrogation directe de la Banque de Données nationale générale visée à l'article 44/7 de la loi sur la fonction de police au profit du Service public fédéral justice dans le but de contribuer à l'identification unique des détenus

source
service public federal justice
numac
2019011166
pub.
19/03/2019
prom.
11/03/2019
ELI
eli/arrete/2019/03/11/2019011166/moniteur
moniteur
https://www.ejustice.just.fgov.be/cgi/article_body(...)
liens
Conseil d'État (chrono)
Document Qrcode

11 MARS 2019. - Arrêté royal relatif aux modalités d''interrogation directe de la Banque de Données nationale générale visée à l'article 44/7 de la loi sur la fonction de police au profit du Service public fédéral justice dans le but de contribuer à l'identification unique des détenus


RAPPORT AU ROI Sire, Le projet d'arrêté que nous avons l'honneur de soumettre à la signature de Votre Majesté a pour objet de préciser les modalités d'l'interrogation directe de la Banque de données Nationale Générale visée à l'article 44/7 de la loi sur la fonction de police au profit du Service Public Fédéral Justice (ci-après : SPF Justice) dans le but de contribuer à l'identification unique des détenus. 1. Introduction générale Cette interrogation directe de la B.N.G. au profit du SPF Justice vise à mettre en oeuvre un processus automatisé de qualité relatif à l'identification des détenus au moyen de données biométriques.

L'objectif poursuivi consiste à formellement identifier toute personne écrouée par l'administration pénitentiaire à l'aide de ses empreintes digitales, ce qui permet, outre le fait de s'assurer que la personne physique écrouée est effectivement celle correspondant au titre de détention, de garantir l'unicité du dossier de détention d'une même personne, indépendamment de l'identité associée à des détentions successives. Le concept d'identification revêt en effet une importance croissante par rapport à celui d'identité, ce dernier étant quant à lui de plus en plus relatif.

Ce processus de qualité est donc important au niveau * de l'identification du détenu * de l'exactitude des données traitées pour un détenu donné * de la cohérence de la gestion du parcours de détention d'un même détenu dans le cadre de détentions successives.

Il est important de noter d'emblée que ce processus constitue par ailleurs une obligation pour le SPF Justice sur la base de l'article 5.1. d) du Règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Le point d) du § 1er, point d) de cet article stipule que les données à caractère personnel doivent être « exactes et, si nécessaire, tenues à jour » et que « toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ».

Au niveau des principes, sur la base de cet article, il est nécessaire que les données d'identification des détenus soient exactes et si nécessaires tenues à jour. Il est d'ailleurs demandé que toutes les mesures raisonnables soient prises pour que les données à caractère personnel qui sont inexactes eu égard aux finalités pour lesquelles elles sont traitées soient rectifiées sans tarder.

Concrètement, afin d'éviter des erreurs (prendre des alias pour des données d'identité principales, écrouer une autre personne que celle visée par le titre de détention sur la base d'une fraude à l'identité ou d'une erreur d'identité, ou effectuer une erreur matérielle lors de l'enregistrement de l'identité), l'interrogation directe de la BNG au profit du SPF Justice constitue dès lors une mesure raisonnable et nécessaire pour traiter des données exactes relatives aux détenus.

Le présent avant-projet a été soumis tant à l'autorité de protection des données, pour le volet relatif au SPF Justice, qu'à l'Organe de contrôle de l'information policière, pour le volet relatif aux données policières.

L'Autorité de protection des données, dans un courrier adressé au représentant du Ministre de la Justice, a cependant indiqué qu'elle n'était pas compétente pour rendre un avis et que le présent projet relevait de la compétence exclusive de l'Organe de contrôle. 2. Description du processus L'article 107, § 2 de la loi de principes concernant l'administration pénitentiaire ainsi que le statut juridique des détenus stipule que « en vue de son identification pendant la détention, le détenu doit collaborer à l'enregistrement de ses empreintes digitales et de son portrait ainsi qu'aux actes visant à établir une description de ses caractéristiques physiques extérieures ». Le traitement des empreintes digitales est bien entendu un élément déterminant dans le cadre de l'identification biométrique des détenus.

L'article 44/10 de la loi sur la fonction de police autorise la police à traiter les empreintes digitales de certaines catégories de personnes au sein de la B.N.G Les empreintes digitales de toute personne susceptible d'être écrouée dans un établissement y sont donc enregistrées.

Concrètement, lors de tout écrou dans le cadre d'une nouvelle détention, l'établissement pénitentiaire concerné procède à la prise des empreintes digitales du détenu à l'aide d'une « FIT-station », enregistrée auprès du système AFIS (Automatic Fingerprint Identification System) de la police intégrée auquel elles sont envoyées. Après comparaison par le système AFIS, la B.N.G. délivre une réponse qui permet à l'administration pénitentiaire, lorsque le détenu est connu sous une ou des identités différentes dans la B.N.G., d'entamer des vérifications en vue de son identification. 3. Interrogation directe de la B.N.G. Les empreintes sont automatiquement envoyées vers le système AFIS de la Banque de données Nationale Générale visée à l'article 44/7 de la loi sur la fonction de police à des fins de comparaison. Comme les empreintes digitales font parties des données traitées dans la B. N.G. et que le processus nécessite dans le chef du SPF Justice d'obtenir en retour des éléments d'information de la B.N.G., il s'agit dès lors en termes juridiques de procéder à une interrogation directe de la B.N.G au profit du SPF Justice, sur la base de l'article 44/11/12 § 2 de la loi sur la fonction de police .

Cette interrogation est réalisée en pratique par l'administration pénitentiaire.

Ce sont les images digitales des empreintes qui constituent la base de l'interrogation directe de la B.N.G. car les autres éléments de l'identité non liés à la biométrie ont une valeur d'identification moindre.

Si ces empreintes digitales numérisées forment la base de l'interrogation, les autres données d'identification sont également jointes afin d'enrichir la B.N.G. dans la continuité et en remplacement de leur transmission sur format papier dans le cadre de la circulaire du Ministre de la Justice 4/AZ/VI du 14 février 1979.

Chaque prise d'empreintes digitale par les établissements pénitentiaires est du reste traçable car elle est automatiquement horodatée et accompagnée d'une référence administrative unique, qui est liée à l'appareil à l'aide duquel les données dactyloscopiques ont été enregistrées.

Le but de ces comparaisons est de pouvoir identifier les détenus à l'aide d'une référence dactyloscopique unique appelée numéro AFIS. Ce numéro AFIS est lié à une empreinte digitale et constitue déjà un référent unique en amont de la chaîne pénale (services de police, parquet).

Le traitement de cette donnée par l'administration pénitentiaire favorisera donc la traçabilité dans l'intégralité de la chaîne pénale, en ce compris donc dans ses phases d'exécution de la peine ou de mesures privatives de liberté ou d'une mesure de sûreté.

A l'issue de la consultation de la BNG, différents cas de figure sont possibles. a) Il y a un `hit' : Les empreintes du détenu correspondent avec celles d'une personne enregistrée dans la B.N.G. Ce `hit' est accompagné des données nécessaires pour obtenir plus d'informations auprès de l'autorité compétente. Il s'agit du numéro des procès-verbaux à l'occasion desquels les empreintes ont été enregistrées et des données d'identité liées aux empreintes.

En effet, lorsqu'après comparaison, les données d'identité enregistrées en B.N.G ne correspondent pas avec celles du titre de détention du détenu, il y a lieu pour l' administration pénitentiaire de diligenter une enquête administrative afin d'identifier plus avant la personne écrouée. C'est dans le but de mener à bien cette enquête administrative que l'administration pénitentiaire a besoin des informations visées ci-dessus. b) Il n'y a pas de `hit': En cas de non correspondance des empreintes, ce qui signifie que les empreintes du détenu n'existent exceptionnellement pas encore dans la B.N.G., l'administration pénitentiaire en avise la Police Fédérale, afin que celle-ci puisse lier ces empreintes à une entité déjà enregistrée dans la B.N.G Dans l'optique de minimiser les risques d'erreur de transcription et d'assurer une qualité maximale, la comparaison entre les données dactyloscopiques provenant du SPF Justice et celles contenues dans la BNG est faite via un traitement automatisé au sens de l'article 44/11/12, § 2, c) de la loi sur la fonction de police. Il en va de même de l'enregistrement du numéro AFIS dans la banque de données de gestion des détenus.

Comme l'interrogation directe de la B.N.G. est réalisée sur la base d'un traitement automatisé et non pas manuellement, il n'y a pas d'exigences complémentaires en ce qui concerne les points f) et g) de l'article 44/11/12 § 2 de la loi sur la fonction de police. En effet, la prise des empreintes digitales d'une personne détenue, physiquement présente dans un établissement pénitentiaire, au moment de son écrou, constitue la seule possibilité d'initier le processus d'interrogation directe. Les risques de consultations irrégulières sont donc tout à fait résiduels et improbables. En outre, dès lors qu'il n'y a donc pas d'interaction directe entre les agents de l'administration pénitentiaire et la B.N.G., laquelle est interrogée par machine interposée, la formation reçue par les agents pénitentiaires dans le cadre de leurs processus internes de fonctionnement est suffisante pour subséquemment générer l'interrogation directe.

L'Organe de contrôle de l'information policière considère à juste titre (Avis COC-DPA-A-000011/2019 du 4 février 2019, point 11) que les points f) et g) sont bien d'application. Après analyse, les rédacteurs du présent projet estiment que les règles actuelles sont suffisantes.

En effet, dans son avis n° 54/2014 du 1er octobre 2014 portant sur le projet d'arrêté royal permettant à l'Office des étrangers d'interroger la B.N.G., la Commission de la protection de la vie privée indiquait que « comme elle l'a déjà souligné dans ses avis n° 01/2006 du 18 janvier 2006 et n° 39/2008 du 26 novembre 2008, la Commission insiste sur le caractère sensible sensu lato des données contenues dans la B.N.G. Elle rappelle que les personnes qui y sont enregistrées sont des personnes suspectées d'avoir commis une infraction (police judiciaire) ou de constituer un trouble à l'ordre public (police administrative). Cependant ces personnes n'ont pas encore nécessairement été condamnées et peuvent éventuellement ne jamais l'être. ». Elle ajoutait également que « L'accès envisagé à la B.N.G. permet à l'Office des Etrangers à avoir accès à un très large éventail de données qu'il devra traiter avec précaution compte tenu de la nature particulière des données enregistrées mais aussi des conséquences importantes que peut entraîner leur consultation (refus ou restriction d'accès au territoire, renvoi, expulsion, etc.). » Dans le processus d'interrogation directe de la B.N.G., il ne peut être question de traitement de données sensibles au sens de cet avis n° 54/2014 d'une part, vu qu'aucun antécédent de police judiciaire n'est transmis (il n'est en effet question que de communiquer la référence des procès-verbaux dans le cadre desquels le détenu a déjà été dactyloscopié, les identités enregistrées en B.N.G. et la référence dactyloscopique unique), et d'autre part, que le traitement se fait en bout de chaîne pénale (le traitement concerne des détenus).

Comme nous l'avons déjà indiqué, la possibilité pour les établissements pénitentiaires de réaliser des consultations irrégulières via le système d'interrogation directe de la B.N.G. n'est pas présente.

Le traitement de données à caractère personnel nécessaire pour réaliser une vérification de sécurité des membres du personnel des institutions pénitentiaires serait donc inopportun et disproportionné.

De même, une formation des membres du personnel de l'administration pénitentiaire par rapport aux données issues de la B.N.G. se justifie par rapport au traitement ultérieur de données `sensibles' issues de la B.NG par le destinataire de ces données. Tel n'est absolument pas le cas en l'occurrence puisqu'il s'agit uniquement pour l'administration pénitentiaire de recevoir des données d'identification à l'exclusion d'informations concernant des faits de police administrative ou judiciaire.

Enfin, il y a lieu de préciser que le résultat de l'interrogation directe n'est accessible qu'aux membres du personnel des services centraux de l'administration pénitentiaire individuellement désignés par leur Directeur général (art. 5 § 3), lesquels ne sont techniquement pas en mesure de procéder à des relevés d'empreintes et ne peuvent donc pas interroger eux-mêmes la B.N.G. 4. Commentaires des articles a) Article 1er : définition des concepts Cet article définit les concepts utilisés dans le projet d'arrêté royal. b) Article 2 : finalité de l'interrogation directe Cet article précise la finalité de l'interrogation directe de la B.N.G au profit du SPF Justice.

L'interrogation directe de la B.NG. par l'administration pénitentiaire a pour but de maximiser l'identification unique des détenus via une comparaison des empreintes digitales prises au début de la chaîne pénale par la police avec celles prises à la fin de la chaîne pénale par les établissements pénitentiaires dans le cadre de l'exécution d'une mesure privative de liberté, d'une mesure de sûreté ou de d'une peine privative de liberté.

Comme la notion d'interrogation directe est visée et définie à l'article 1er du présent projet et fait directement référence à l'article 44/11/4, § 3 de la loi sur la fonction de police, il n'y a pas lieu de reprendre à l'article 2, comme l'Organe de contrôle le souhaiterait dans le point 11 de son avis (DPA-A-000011/2019 du 4 février 2019), la référence à l'article 44/11/4, § 3 de la loi sur la fonction de police Cette identification unique permet à son tour au SPF Justice de garantir sur une base objective l'exactitude des identités traitées ainsi que l'unicité du dossier de détention individuel dans lequel toutes les données relatives à un même détenu doivent être centralisées. Des dossiers de détention peuvent donc soit être fusionnés (données d'identités différentes mais même numéro AFIS) soit scindés là où il n'y en avait qu'un seul (mêmes données d'identité mais numéro AFIS différent).

Il est en effet possible qu'un seul et même détenu ait été incarcéré à des périodes différentes sous plusieurs identités ou alias ou qu'une personne se fasse écrouer à la place d'une autre. Le présent processus permettra, en cas de fusion, de gérer la détention sur la base d'informations exhaustives, et en cas de scission, de garantir l'exactitude des données traitées pour chacun des détenus.

La finalité détermine d'emblée les catégories de données à caractère personnel et informations qui seront traitées dans ce processus. Comme le but est de contribuer à l'identification unique des détenus, il est logique que seules les données relatives à cette identification soient traitées.

Dans cette optique, des données telles que les liens avec d'autres personnes, lieux ou objets, le passé criminel ou des troubles à l'ordre public ne sont pas pertinentes et ne sont donc pas traitées dans le cadre de ce processus. c) Article 3 : « besoin d'en connaitre » et types de questions posées lors de l'interrogation directe Cet article détermine au sens de l'article 44/11/12 § 2 a) de la loi sur la fonction de police, le besoin d'en connaître du SPF Justice et dès lors le contenu précis de l'interrogation directe de la B.N.G. L'interrogation directe de la B.N.G. par l'administration pénitentiaire porte dès lors sur les éléments suivants : 1. Savoir s'il y a une concordance entre les données dactyloscopiques prélevées sur les détenus et celles des personnes visées à l'article 44/5, § 3, de la loi sur la fonction de police qui sont enregistrées dans la B.N.G. La comparaison s'opère toutefois, comme le demande l'Organe de contrôle, uniquement sur les catégories de personnes suivantes (Avis COC-DPA-A-000011/2019 du 4 février 2019, point 13) : - les suspects d'un fait pénal et les personnes condamnées; - les auteurs et suspects d'une infraction sanctionnée administrativement et constatée par la police; - les personnes décédées de manière suspecte; - les personnes disparues; - les personnes évadées ou qui ont tenté de s'évader. 2. Connaître les données nécessaires pour obtenir plus d`informations auprès de l'autorité compétente, à savoir : a.les numéros de procès-verbaux à l'occasion desquels la personne a été dactyloscopiée par la police b. les identités enregistrées dans la B.N.G. lors de ces relevés dactyloscopiques c. le numéro AFIS de la personne concernée La notion d'autorité compétente désigne tant le parquet initialement saisi des faits que le service de police ayant procédé aux constatations, auxquels l'administration pénitentiaire peut s'adresser lorsque l'identification n'est pas suffisante sur la base de la comparaison des données d'identité associées aux données dactyloscopiques de la B.N.G. (cas de figure développé sous le point d) 2). d) Article 4 : traitement des données issues de la B.N.G. par le SPF Justice Cet article précise les traitements réalisés par l'administration pénitentiaire sur la base de la réponse fournie suite à l'interrogation directe de la B.N.G. afin d'apporter une réponse à la question de l'administration pénitentiaire (y-a-t-il ou non concordance avec les empreintes et les identités communiquées lors de l'interrogation). Il y a lieu de noter que si l'interrogation de la B.N.G. est automatisée, l'analyse de la réponse provenant de la B.N.G. est réalisée par un processus de travail humain. Pour répondre à la remarque reprise au point 8 de l'avis de l'Organe de contrôle de l'information policière quant à ce projet (COC-DPA-A-000011/2019 du 4 février 2019), cette interrogation directe de la B.N.G. au profit du SPF Justice n'est pas un processus qui est fondé « exclusivement sur un traitement automatisé » puisque, comme indiqué supra, l'analyse de la réponse provenant de la B.N.G. est réalisée sur la base d'une intervention humaine. Si le recours à l'automatisation constitue donc une aide, laquelle favorise l'objectivité et l'objectivation requises dans ce processus technique, une intervention humaine a donc bel et bien lieu. C'est d'ailleurs ce qui ressort de l'article 4 qui indique dans son § 1er que les données sont gardées le temps strictement nécessaire pour établir la concordance entre l'identité sous laquelle le détenu est connu par l'administration pénitentiaire et l'identité enregistrée dans la B.N.G. et dans son § 2 où il est mentionné qu'en absence de concordance suffisante entre ces identités, une enquête administrative est ouverte.

Ce même principe (intervention humaine) est repris à l'article 5, § 3 du présent projet.

En outre, il ne s'agit pas de prendre une décision individuelle dans le sens de l'article 22 du Règlement 2016/679. D'une part parce que cette comparaison s'applique à tous les détenus, et d'autre part, parce que cette comparaison n' affecte pas les droits juridiques personnels des détenus mais constitue simplement une correcte exécution des missions légales des institutions pénitentiaires (l'identification correcte des détenus) ou de la police. C'est très certainement le cas, lorsque la police compare les empreintes prises par l'administration pénitentiaire avec les traces laissées sur les scènes de crimes dans le cadre de l'exécution de ses missions visées à l'article 15 de la loi sur la fonction de police.

En d'autres termes, la correcte exécution de l'action de la Justice ne peut pas être comprise comme une atteinte aux droits personnels des détenus et ne nécessite pas à chaque fois une communication personnalisée.

Précisons néanmoins comme déjà mentionné dans la dernier paragraphe du point 3, que l'enregistrement du numéro AFIS dans la banque de données du SPF Justice est également automatique de manière à exclure toute erreur de transcription. Deux types de scenarios déjà abordés sous le point 3 a), b) sont envisageables. L'article 4 définit ces scénarios et détermine pour chacun d'entre eux le traitement des données issues de la B.N.G. et le délai dans lequel celui-ci doit être réalisé. 1) les données dactyloscopiques de l'interrogation correspondent à des données dactyloscopiques enregistrées dans la BNG et l'identification est positive sur la seule base de la comparaison des données d'identité provenant de la B.N.G. Dans ce cas, seul le numéro AFIS est enregistré par l'administration pénitentiaire (ils s'agit pour rappel d'une clé de recherche objective d'une personne indépendamment de son identité constatée ou déclarée au travers de l'ensemble de la chaîne pénale). Les autres données sont conservées le temps strictement nécessaire à l'établissement de la concordance suffisante entre les identités et au maximum 15 jours. Par concordance suffisante, on désigne la correspondance parfaite entre les identités, mais également certaines différences mineures qui, mises en perspectives avec l'ensemble des éléments d'identification disponibles, ne remettent pas l'identification du détenu en cause. Ceci sera notamment le cas lorsqu'une erreur matérielle a été commise dans l'un ou l'autre système (interversion de lettres ou de chiffre par exemple). 2) Lorsque la concordance entre les identités connues par le SPF Justice et par la police est insuffisante, les données contenues dans la réponse de la B.N.G. sont traitées par le SPF Justice, le temps nécessaire à l'enquête administrative. A l'issue de celle-ci et au maximum 3 mois après la réalisation de l'interrogation directe, seul le numéro AFIS est enregistré par le SPF Justice. 3) Enfin, il se peut dans des cas exceptionnels que l'identification ne puisse être confirmée sur la base de la B.N.G car aucune empreinte correspondante n'y a été trouvée. Il s'agit de cas dans lesquels les empreintes de la personne n'ont pas pu être prises au stade du traitement policier, par exemple, en cas de dysfonctionnement technique momentané de la FIT-station du service de police lors de la privation de liberté. Si au moment de la comparaison, il n'existe aucune donnée dactyloscopique correspondante dans la B.N.G., l'administration pénitentiaire en informe la police fédérale afin que le numéro AFIS créé à l'occasion de l'interrogation directe soit lié à l'entité correspondante déjà existante dans la B.N.G. Le destinataire et les modalités de cette information sont prévues dans le protocole visé à l'article 7.

Dans les deux cas, le numéro AFIS est enregistré parle SPF Justice. En effet, lors d'écrous ultérieurs d'une même personne, ceci permet, dès la réception de la réponse de la B.N.G., d'automatiquement comparer le numéro AFIS communiqué par la police avec les numéros AFIS déjà traités par le SPF Justice et d'établir un lien avec un dossier de détention préexistant. Pour rappel, l'utilisation du numéro AFIS favorise du reste la traçabilité d'un individu dans l'intégralité de la chaîne pénale, indépendamment des identités dont il peut faire usage.

Même si ce système de traitement partiellement automatisé peut être considéré comme une nouvelle technologie portant sur des données biométriques, au sens de l'article 35 du GDPR, le contexte de son utilisation ainsi que la nature, la finalité et la portée des traitements réalisés ne constituent pas un traitement approfondi et invasif de données biométriques : - tout d'abord, le but de ce traitement est avant tout administratif (fusion/scission de dossier) et ne comporte dès lors pas un risque élevé pour les droits et libertés des personnes physiques; - ensuite il s'agit de traiter des données de personnes qui ont déjà fait l'objet d'une décision rendue par un juge indépendant et dont les empreintes digitales sont par ailleurs déjà traitées tant par la police que par le SPF Justice; - enfin, comme expliqué au point 1, la tenue de données à jour, en ce compris donc les données liées à l'identité constitue une obligation pour le responsable du traitement.

Néanmoins, comme demandé par l'Organe de contrôle (Avis COC-DPA-A-000011/2019 du 4 février 2019, point 9), une analyse d'impact sera réalisée par les responsables du traitement. e) Article 5 : caractère automatisé de l'interrogation, obligation de tenir des fichiers de journalisation, catégories de membres du personnel de l'administration pénitentiaire qui peuvent traiter les résultats de l'interrogation directe la B.N.G. Le caractère automatisé de l'interrogation est imposé. Celui-ci a déjà été largement commenté in fine du point 3.

Comme l'article 56 de la loi protection des données à caractère personnel le précise, des fichiers de journalisation doivent être tenus pour tous les traitements relatifs à la BNG. Comme l'interrogation directe de la BNG est un traitement de données, celle-ci doit être journalisée.

Le contenu minimal de ces journaux est fixé à l'article 56 de la loi protection des données à caractère personnel qui stipule que « § 1er.

Les fichiers de journalisation sont établis dans des systèmes de traitement automatisé au moins pour les traitements suivants: la collecte, la modification, la consultation, la communication, y compris les transferts, l'interconnexion et l'effacement.

Les fichiers de journalisation de consultation et de communication permettent d'établir: 1° le motif, la date et l'heure de ces traitements;2° les catégories de personnes qui ont consulté les données à caractère personnel, et si possible, l'identification de la personne qui a consulté ces données;3° les systèmes qui ont communiqué ces données;4° et les catégories de destinataires des données à caractère personnel, et si possible, l'identité des destinataires de ces données. Le Roi peut déterminer, par arrêté délibéré en Conseil des ministres après avis de l'autorité de contrôle compétente, d'autres types de traitements pour lesquels les fichiers de journalisation sont établis. § 2. Les fichiers de journalisation sont utilisés uniquement à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données à caractère personnel et à des fins visées à l'article 27. § 3. Le responsable du traitement et le sous-traitant mettent les journaux à la disposition de l'autorité de contrôle compétente, sur demande ».

La journalisation est réalisée tant par la police fédérale que par le SPF Justice, chacune en ce qui concerne les traitements qu'elle a réalisé.

Cet article précise enfin quels membres de l'administration pénitentiaire peuvent traiter les résultats de l'interrogation directe. Pour rappel l'interrogation directe en tant que telle est un processus, automatiquement initié par le relevé d'empreintes au sein d'un établissement, processus qui est tout à fait transparent pour l'opérateur de cette prise d'empreintes (déjà largement commenté in fine du point 3). Comme déjà expliqué, les risques de consultations irrégulières sont donc tout à fait résiduels et improbables. Afin de donner encore davantage de garanties par rapport au risque éventuel, le § 3 précise que les membres de l'administration pénitentiaire nommément désignés par leur Directeur général appartiennent aux services centraux de l'administration pénitentiaire. Ceci exclut qu'ils soient opérateurs dactyloscopiques au sein d'une prison et donc l'hypothèse déjà particulièrement improbable qu'ils puissent initier une interrogation directe abusive dont ils pourraient par la suite prendre connaissance des résultats.

En outre ce sont ces mêmes personnes qui peuvent réaliser les enquêtes administratives visées à l'article 4, § 2.

Suite au point 4.2 de l'avis 65.060/1 du Conseil d'Etat, il est précisé au § 3 de l'article 5 que ces personnes sont en outre soumises à la confidentialité des données auxquelles elles ont accès.

Dans son avis 58.082/2/V du 7 septembre 2015 concernant un projet d'arrêté royal relatif à l'interrogation directe de la Banque de données nationale générale visée à l'article 44/7 de la loi sur la fonction de police par les membres du personnel désignés de l'Office des Etrangers, le conseil d'Etat avait indiqué que « Dès lors que l'alinéa 1er prévoit un engagement de confidentialité de la part des membres du personnel de l'Office des étrangers, l'article 458 du Code pénal est appelé à s'appliquer.

Il n'est donc pas nécessaire et il n'est d'ailleurs pas du pouvoir du Roi de la confirmer ».

La même formulation que celle dudit arrêté royal est reprise dans le paragraphe 3. f) Article 6 : mesures de sécurité, rôle du délégué à la protection des données L'article 6 concerne les modalités relatives à la sécurité entourant ce processus d'interrogation directe. Si le projet d'arrêté royal les rend obligatoires, comme elles sont par nature évolutives, leur description concrète se fera dans un protocole d'accord entre la police fédérale et le SPF Justice.

En deuxième lieu, cet article impose en outre que le délégué à la protection des données du SPF Justice soit associé à ce processus d'interrogation directe de la BNG. Il est amené d'une part à collaborer avec le délégué à la protection des données de la BNG, notamment pour lui communiquer les incidents et les brèches de sécurité qui mettent en péril l'intégrité, la fiabilité, la disponibilité de la B.N.G, et d'autre part, à être point de contact officiel pour les autorités de protection des données, soit l'Autorité de protection des données pour le SPF Justice et l'Organe de contrôle de l'information policière pour la police.

Il devra en outre inclure dans sa politique de sécurité un volet relatif à l'interrogation directe des données de la B.N.G. dans le cadre de la finalité visée à l'article 2. g) Article 7 : protocole d'accord Le projet d'arrêté royal impose la rédaction d'un protocole d'accord entre le SPF Justice et la police fédérale. Si, comme le souligne l'Autorité de protection des données dans le point 154 de son avis n° 33/2018 du 11 avril 2018 relatif à l'avant-projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, un protocole d'accord ne constitue pas une base légale suffisante, c'est un instrument permettant de déterminer des modalités concrètes de l'interrogation directe, lesquelles constitueront une base de travail concrète sur laquelle le processus d'interrogation directe reposera.

Afin de s'assurer que les règles et principes en matière de protection des données d'une part et de circulation optimale de celles-ci d'autre part sont respectés, ce protocole sera soumis à l'avis de l'Organe de contrôle de l'information policière.

Enfin pour répondre aux remarques reprises aux points 20 et 21 de l'avis de l'Organe de contrôle (Avis COC-DPA-A-000011/2019 du 4 février 2019), le présent projet d'arrêté royal se limite à régler l'interrogation directe de la B.N.G. au profit du Service Public Fédéral Justice dans le but de contribuer à l'identification unique des détenus.

Ce projet n'a pas pour but de régler toutes les communications de données entre la police et les institutions pénitentiaires ou d'autres destinataires. Une telle vue méconnaîtrait le principe de limitation de la délégation au Roi prévue à l'article 44/11/12, § 2 de la loi sur la fonction de police.

A titre d'exemple, si les empreintes digitales provenant des institutions pénitentiaires sont comparées avec les traces laissées sur le lieu de crimes et qu'il y a une concordance, la police peut bien entendu communiquer cette concordance aux autorités judiciaires.

Cette communication trouve son assise juridique notamment à l'article 44/11/7 de la loi sur la fonction de police.

A l'identique, si le SPF Justice ou la police estime devoir communiquer le numéro AFIS aux autorités judiciaires ou administratives (par exemple l'office des étrangers), cette communication se fera dans le cadre des bases juridiques existantes comme par exemple l'article 30bis, § 6 de la loi du 15 décembre 1980Documents pertinents retrouvés type loi prom. 15/12/1980 pub. 20/12/2007 numac 2007000992 source service public federal interieur Loi sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers. - Traduction allemande de dispositions modificatives type loi prom. 15/12/1980 pub. 12/04/2012 numac 2012000231 source service public federal interieur Loi sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers. - Traduction allemande de dispositions modificatives fermer sur l'accès au territoire, le séjour, l'établissement et l'éloignement des étrangers.

La remarque de l'Organe de contrôle trouvant son origine dans la référence à un traitement ultérieur dans le protocole visé à l'article 7, les rédacteurs y suppriment cette référence non-substantielle par soucis de cohérence.

J'ai l'honneur d'être, Sire, de Votre Majesté le très respectueux et très fidèle serviteur, Le Ministre de la Justice, K. GEENS

11 MARS 2019. - Arrêté royal relatif aux modalités d'interrogation directe de la Banque de Données nationale générale visée à l'article 44/7 de la loi sur la fonction de police au profit du Service public fédéral Justice dans le but de contribuer à l'identification unique des détenus PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Vu la Constitution, l'article 108;

Vu la loi du 5 août 1992Documents pertinents retrouvés type loi prom. 05/08/1992 pub. 21/10/1999 numac 1999015203 source ministere des affaires etrangeres, du commerce exterieur et de la cooperation internationale Loi portant approbation du Protocole modifiant l'article 81 du Traité instituant l'Union économique Benelux du 3 février 1958, fait à Bruxelles le 16 février 1990 fermer sur la fonction de police, les articles 44/11/9 et 44/11/12, § 1er, 2° et § 2, insérés par la loi du 18 mars 2014 et modifiés par la loi du 21 avril 2016;

Vu la loi de principes du 12 janvier 2005 concernant l'administration pénitentiaire ainsi que le statut juridique des détenus, l'article 107, § 2;

Vu la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, l'article 71, § 1er, alinéa 3, 3° ;

Vu l'exception relative à l'accomplissement de l'analyse d'impact de la réglementation, visée à l'article 8, § 1er, 4°, de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer portant des dispositions diverses concernant la simplification administrative;

Vu l'avis n° 000011/2019 de l'Organe de contrôle de l'information policière rendu le 4 février 2019;

Vu les avis de l'Inspecteur général des Finances, donnés les 8 et 16 novembre 2018;

Vu l'accord du Ministre du Budget, donné le 3 décembre 2018;

Vu l'avis n° 65.060/1 du Conseil d'Etat, donné le 16 janvier 2019 en application de l'article 84, § 3, alinéa 1erdes lois coordonnées sur le Conseil d'Etat;

Sur la proposition du Ministre de la Justice et de l'avis des Ministres qui en ont délibéré en Conseil, Nous avons arrêté et arrêtons :

Article 1er.Pour l'application du présent arrêté, il faut entendre par : 1° « la loi sur la fonction de police » : la loi du 5 août 1992Documents pertinents retrouvés type loi prom. 05/08/1992 pub. 21/10/1999 numac 1999015203 source ministere des affaires etrangeres, du commerce exterieur et de la cooperation internationale Loi portant approbation du Protocole modifiant l'article 81 du Traité instituant l'Union économique Benelux du 3 février 1958, fait à Bruxelles le 16 février 1990 fermer sur la fonction de police;2° « la loi protection des données à caractère personnel » : la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel; 3° « l'interrogation directe de la B.N.G. »: le mécanisme visé à l'article 44/11/4, § 3, de la loi sur la fonction de police; 4° « la B.N.G. » : la banque de données nationale générale visée à l'article 44/7 de la loi sur la fonction de police; 5° « l'établissement »: a) la prison visée à l'article 2, 15°, de la loi de principes du 12 janvier 2005 concernant l'administration pénitentiaire ainsi que le statut juridique des détenus;b) l'établissement ou la section de défense sociale organisé par l'autorité fédérale, visé à l'article 3, 4°, b) de la loi du 5 mai 2014Documents pertinents retrouvés type loi prom. 05/05/2014 pub. 09/07/2014 numac 2014009316 source service public federal justice Loi relative à l'internement des personnes fermer relative à l'internement;6° « le détenu »: la personne visée à l'article 2, 4° de la loi de principes du 12 janvier 2005 concernant l'administration pénitentiaire ainsi que le statut juridique des détenus; 7° « la direction qui gère les accès à la B.N.G. » : la direction visée à l'article 44/11, § 1er de la loi sur la fonction de police; 8° « l'administration pénitentiaire » : l'administration visée à l'article 2, 11°, de la loi de principes du 12 Janvier 2005 concernant l'administration pénitentiaire ainsi que le statut juridique des détenus;9° « les données dactyloscopiques » : l'image numérisée des empreintes digitales d'un individu; 10° « la référence dactyloscopique unique » : le numéro unique permettant d'identifier une personne enregistrée dans la B.N.G. sur la base de ses empreintes digitales; 11° « Les fichiers de journalisation » : les fichiers prévus à l'article 56 de la loi protection des données à caractère personnel.

Art. 2.Afin de contribuer à l'identification unique des détenus, une interrogation directe de la B.N.G. est effectuée pour chaque détenu sur la base des données dactyloscopiques prélevées lors de tout nouvel enregistrement d'un détenu au rôle d'un établissement.

Les données dactyloscopiques des détenus sont accompagnées des catégories de données à caractère personnel suivantes : 1° le nom et le prénom du détenu;2° le sexe du détenu;3° le cas échéant, la date de naissance et la nationalité;4° le numéro de référence administratif unique lié à l'appareil à l'aide duquel les données dactyloscopiques ont été prélevées.

Art. 3.L'interrogation directe de la B.N.G. porte sur : 1° l'existence d'une concordance entre les données dactyloscopiques prélevées sur les détenus et celles des personnes visées à l'article 44/5, § 3, 1° à 5° de la loi sur la fonction de police qui sont enregistrées dans la B.N.G.; 2° les données nécessaires pour obtenir plus d'informations auprès de l'autorité compétente : a.la référence des procès-verbaux dans le cadre desquels le détenu a déjà été dactyloscopié; b. les identités enregistrées en B.N.G. pour ces données dactyloscopiques; c. la référence dactyloscopique unique.

Art. 4.§ 1er. Lorsqu'il y a une concordance entre les données dactyloscopiques transmises par l'administration pénitentiaire et celles enregistrées dans la B.N.G., et si il existe une concordance suffisante entre l'identité sous laquelle le détenu est connu par le Service public fédéral Justice et l'identité enregistrée dans la B.N.G., alors les données provenant de l'interrogation directe sont conservées le temps strictement nécessaire à l'établissement de cette concordance suffisante et au maximum 15 jours à partir de la réception de la réponse, à l'exception de la référence dactyloscopique unique, qui est rajoutée aux données d'identification traitées par le Service public fédéral Justice dans le cadre de ses missions relatives à l'exécution des peines et des mesures privatives de liberté et de la gestion des établissements. § 2. Lorsqu'il y a une concordance entre les données dactyloscopiques transmises par l'administration pénitentiaire et celles enregistrées dans la B.N.G., et si il n'existe pas une concordance suffisante entre l'identité sous laquelle le détenu est connu par le Service Public Fédéral Justice et l'identité enregistrée dans la B.N.G., alors, une enquête administrative est effectuée afin de déterminer si le détenu a déjà été écroué sous l'une ou l'autre des identités enregistrées dans la B.N.G. A l'issue de cette enquête et au maximum trois mois après l'interrogation directe, seule la référence dactyloscopique unique est rajoutée aux données d'identification traitées par le Service public fédéral Justice dans le cadre de ses missions relatives à l'exécution des peines et des mesures privatives de liberté et de la gestion des établissements. § 3. Lorsque les données dactyloscopiques transmises par l'administration pénitentiaire n'existent pas dans la B.N.G, la réponse fournie par la B.N.G. contient la référence dactyloscopique unique attribuée par la B.N.G. à l'occasion de cette interrogation directe.

Celle-ci est rajoutée aux données d'identification traitées par le Service public fédéral Justice dans le cadre de ses missions relatives à l'exécution des peines et des mesures privatives de liberté et de la gestion des établissements.

Art. 5.§ 1er. L'interrogation directe de la B.N.G. est réalisée à l'aide d'un système automatisé. § 2. Tous les traitements réalisés dans le cadre de ce processus d'interrogation directe font l'objet de fichiers de journalisation qui sont conservés pendant au minimum 10 ans à partir du traitement réalisé. § 3. Seuls les membres du personnel individuellement désignés par le directeur général de l'administration pénitentiaire parmi les membres des services centraux de l'administration pénitentiaire sont autorisés à exploiter les données provenant de l'interrogation directe de la B.N.G. dans le cadre de l'article 4 et à réaliser l'enquête administrative visée à l'article 4 § 2.

L'administration pénitentiaire tient à jour la liste de ceux-ci.

Elle est tenue à la disposition des autorités de contrôle compétentes.

Les membres du personnel individuellement désignés s'engagent par écrit à la confidentialité des données auxquelles ils ont accès. Cet engagement est versé dans leur dossier personnel. Ils sont soumis au devoir de réserve dans l'exercice de leur fonction. § 4. Le directeur général de l'administration pénitentiaire veille au moins à ce que les stations de travail qui interrogent directement la B.N.G. soient sécurisées par des mesures adéquates et ce en tous lieux où l'interrogation directe est possible.

Art. 6.Le délégué à la protection des données du Service public fédéral Justice est associé au processus d'interrogation directe.

Il est plus particulièrement chargé : 1° d'inclure dans sa politique de sécurité un volet relatif à l'interrogation directe des données de la B.N.G. dans le cadre de la finalité visée à l'article 2; 2° des contacts avec l'Autorité de protection des données et l'Organe de contrôle de l'information policière pour ce qui concerne les traitements des données à caractère personnel issues de la B.N.G.; 3° de communiquer au délégué à la protection des données désigné pour la direction qui gère les accès à la B.N.G les brèches de sécurité dont il a connaissance et qui risquent de mettre en péril l'intégrité, la fiabilité, la disponibilité de la B.N.G.; 4° d'être le point de contact pour les audits de fonctionnement relatifs à l'interrogation directe de la B.N. G.

Art. 7.Un protocole d'accord est conclu entre la police fédérale et le Service Public Fédéral Justice.

Il est soumis préalablement à l'avis de l'Organe de contrôle de l'information policière.

Ce protocole comprend au moins un volet relatif : 1° à la description des modalités techniques de cette interrogation directe; 2° aux mesures techniques et organisationnelles appropriées et spécifiques pour assurer la sécurité des données traitées et la sauvegarde des droits fondamentaux et des intérêts des détenus dont les données d'identité sont traitées dans le cadre du processus d'interrogation directe de la B.N.G.

Art. 8.En cas de violation des règles en matière de sécurité et de protection des données, la direction qui gère les accès à la B.N.G. procède au retrait de l'interrogation directe et en informe l'Organe de contrôle de l'information policière.

Art. 9.Le ministre qui a la Justice dans ses attributions est chargé de l'exécution du présent arrêté.

Bruxelles, le 11 mars 2019.

PHILIPPE Par le Roi : Le Ministre de la Justice, K. GEENS

^