La Commission vie privée s’oppose à l’accès direct américain aux données d’empreintes digitales

La Commission vie privée a rendu un avis défavorable à l’encontre d’un “Memorandum of Understanding” qui permettrait aux Etats-Unis d’accéder directement aux données d’empreintes digitales belges dans le cadre de la lutte contre le terrorisme et l’immigration illégale.

Selon la Commission, ce “transfert automatisé massif de données personnelles sensibles” doit être couvert par “une base légale spécifique” ou par une approbation par le Parlement.

Le ministre de l’intérieur Jan Jambon (N-VA) avait demandé à la Commission vie privée un avis sur le projet de “Memorandum of Understanding (MOU) between the Government of the United States of America and the Governement of Belgium on enhancing cooperation to prevent terrorist travel and to Combat Illegal Immigration”. L’accord donnerait tant aux Etats-Unis qu’à la Belgique un accès direct mutuel aux données d’empreintes digitales. Pour notre pays, cela concerne notamment les banques de données de la police fédérale et le service des étrangers. Le ministre voulait également instaurer une phase de test préliminaire organisée sur base des données d’empreintes digitales prises durant trois mois en Belgique.

Avis défavorable

La Commission vie privée a cependant rendu un avis défavorable. “Vu la nature de l’instrument choisi (un ‘memorandum of understanding’), la Commission estime qu’après signature, ce MOU ne sera plus présenté pour approbation au Parlement belge, et de conclure que le MOU ne constitue pas une base légale efficace pour pouvoir justifier le transfert automatisé envisagé de données personnelles”, indique la Commission.

Le mémorandum prévoit entre autres “un mécanisme de changements impliquant que les adaptations au MOU puissent être effectuées de manière très souple, de nouveau sans la moindre intervention du Parlement”, comme stipulé dans l’avis de la Commission vie privée. “La façon dont le texte du MOU est élaboré – par exemple: l’utilisation répétée de l’expression “Participants intend to” au lieu de “Participants shall” – donne fortement l’impression que cet instrument contient peu d’engagements juridiquement contraignables.”

Même si le mémorandum repose sur un accord préalable conclu entre les Etats-Unis et la Belgique, il n’offre pas suffisamment de garanties. “Le MOU est manifestement inspiré de l’accord conclu entre le Royaume de Belgique et les Etats-Unis d’Amérique en matière de promotion de la collaboration dans le but d’éviter et de combattre la criminalité de haut niveau (cf. “l’accord dit de Prüm”), à propos duquel la Commission avait remis son avis n° 27/2010 le 24 novembre 2010, et qui avait été approuvé par une loi du 8 mai 2014 par le Parlement belge. Sur plusieurs points, le MOU irait toutefois nettement plus loin que l’accord dit de Prüm, tout particulièrement parce que le nouveau règlement se caractériserait par des finalités nettement plus larges et parce que beaucoup plus de données seraient échangées de manière automatisée.”

Selon la Commission vie privée, il ne sera pas question d’une phase de test: “Vu les objections fondamentales susmentionnées, la Commission ne peut adhérer à la requête du demandeur de transmettre déjà dans le cadre d’une sorte de phase de test toutes les données d’empreintes digitales des trois banques de données belges concernées, empreintes ayant été prises durant les trois derniers mois (..). La Commission estime qu’un tel test ne peut uniquement avoir lieu que si des données personnelles réelles ne sont pas utilisées.”

Délai de conservation

Le mémorandum est en outre malaisément conciliable avec ce qu’on appelle “l’accord Umbrella”, qui réglementera la façon dont les autorités politiques et de justice américaines et européennes devront traiter les données personnelles dans des procès, comme par exemple dans le cadre d’enquêtes liées au terrorisme. Le Parlement européen et le Conseil européen avaient en décembre dernier voté en faveur du texte négocié, et l’accord entrera en vigueur dès que les Etats-Unis l’auront formellement adopté. La Commission vie privée se pose des questions à propos du délai de conservation prévu dans le mémorandum. “En outre, ce délai de conservation n’est pas non plus formulé de manière péremptoire (“parties intend to keep such data for two years”), ce qui fait que sa valeur juridique est limitée. La Commission ne peut dès lors que constater qu’aucun délai de conservation explicite contraignant n’est prévu (pour la plupart des traitements de données), ce qui contredit – comme indiqué plus haut – l’accord Umbrella”, peut-on lire dans l’avis de la Commission.

La Commission vie privée constate également que les Etats-Unis ne se trouvent pas sur la liste élaborée par la Commission européenne des pays offrant une protection adéquate des données personnelles. “Les traitements envisagés exerceront potentiellement un impact sur les parties concernées dans le sens où la consultation et la mise à disposition des données pourront avoir des conséquences négatives. La Commission (vie privée, ndlr.) estime par conséquent que les traitements des données en question doivent être couverts par une base légale spécifique ou par un accord bilatéral ou multilatéral approuvé par le Parlement belge.”

La Commission se réserve le droit de remettre dans un stade ultérieur un avis supplémentaire à propos d’un projet éventuellement retravaillé.