Lecture de l'eID

A l’aide d’un lecteur de carte, vous pouvez lire électroniquement la carte d’identité de vos interlocuteurs. Cela vous permet de collecter les données à caractère personnel qui sont insérées dans la puce électronique de leur carte d’identité. Le lecteur de carte étant connecté à votre ordinateur/système d’information, les informations ainsi collectées peuvent être imprimées, conservées sur vos fichiers ou sur le réseau de votre organisation ou encore exportées dans votre base de données, etc.

L’adresse de résidence principale et, si votre interlocuteur est domicilié dans une des communes pilotes, l’image numérisée de ses empreintes digitales sont des données de la carte d’identité qui ne peuvent être lues qu’électroniquement.

Gardez à l’esprit que le principe de minimisation du RGPD vous impose de limiter vos collectes de données aux seules données strictement nécessaires pour la finalité poursuivie (raison concrète et opérationnelle pour laquelle vous collectez les données). De plus, certaines données spécifiques de la carte d’identité ne peuvent être lues/traitées que sous des conditions strictes. Il s’agit du numéro de registre national, de la photo et de l’image de vos empreintes digitales.

Le principe de transparence du RGPD vous impose également de préciser à vos interlocuteurs, clairement et au moment de la collecte, quelles données de leur carte d’identité sont collectées ainsi que la raison concrète de cette collecte. Vos préposés en charge de ce type de traitement devront recevoir une formation adéquate à cet effet.

Seules les données strictement pertinentes, nécessaires et adéquates pour la finalité que vous poursuivez (raison concrète et opérationnelle pour laquelle vous collectez les données) peuvent être lues.

Si vous faites une lecture électronique de la carte d’identité de votre interlocuteur, vous êtes tenu de vous conformer au principe de minimisation des données et à l’obligation de protection des données dès la conception et par défaut.

A cet effet, il convient de mettre en place toute application informatique nécessaire au filtrage des seules données pertinentes, nécessaires et adéquates pour la finalité que vous poursuivez. En effet, aucune restriction technique liée à la carte d’identité électronique ou au logiciel de lecture de la carte d’identité, mis à disposition par le gouvernement, n’existe. Ce logiciel de lecture de carte (l’eID Viewer) est un logiciel libre GNU-Lesser General Public Licence et l’eID Software est développé sur base d’un logiciel libre.

A titre d’exemple, si vous doutez de l’âge d’un de vos clients qui souhaite vous acheter de l’alcool ou des cigarettes, une simple consultation de sa  date de naissance et, en cas de suspicion de fraude, vérification de sa photo peuvent être faites. Si vous placez des distributeurs automatiques de vente de boissons alcoolisées, la lecture électronique de la carte d’identité de vos clients devra se limiter à la lecture de leur date de naissance. La conservation des nom et prénom des personnes qui achètent des boissons alcoolisées est disproportionnée et contraire au RGPD.

La photographie du titulaire de la carte d’identité

Cette photographie qui figure sur la carte d’identité permet d’authentifier son détenteur. En d’autres termes, elle permet de vérifier qu’il est bien le bon titulaire de la carte d’identité en comparant son visage à cette photo.

Cette photographie figure aussi parmi les données lisibles électroniquement de la carte. Mais il convient d’être prudent à ce sujet. Tout traitement automatisé de la photo de la carte d’identité présente un risque particulier en termes de fraude à l’identité et de confection de fausses cartes d’identité. C’est la raison pour laquelle la loi prévoit que vous ne pouvez procéder à un tel traitement que lorsque cela est prévu par ou en vertu d’une loi, d’un décret ou d’une ordonnance.

Les services du Registre national (DG Population, SPF Intérieur) assurent la tenue d’un registre central des cartes d’identité et des cartes d’étranger dans lequel sont conservées la photo de votre carte d’identité et celle(s) qui figurai(en)t sur vos anciennes cartes d’identité au cours des 15 dernières années. Ce n’est que moyennant autorisation préalable délivrée par le Ministre de l’Intérieur que les autorités et organismes, visés à l’article 5, §1 de la LRN (Loi du 8 août 1983 organisant un registre national des personnes physiques), peuvent y accéder et ce uniquement si une loi ou une réglementation les habilite à prendre connaissance de cette photo.

Donc, si vous souhaitez collecter et/ou traiter la photo de la carte d’identité de votre interlocuteur, vous devez l’informer de l’autorisation ou de l’habilitation légale dont vous disposez pour ce faire. Pour le surplus, ce traitement doit avoir lieu en toute transparence de sorte que vous devez l’informer des raisons concrètes pour lesquelles ce traitement est fait ainsi que des diverses modalités dudit traitement.

Le numéro de Registre national du titulaire de la carte

Le numéro de registre national est, tout comme la photo, une donnée à caractère personnel spécifiquement protégée par le législateur vu qu’il s’agit d’un numéro d’identification national. Ce type de donnée facilite la réalisation de traitements automatisés de données à caractère personnel à grande échelle.

Pour pouvoir utiliser ce numéro d’identification national, vous devez être préalablement autorisé par le Ministre de l’Intérieur qui ne vous l’accordera que si c’est nécessaire pour la réalisation de tâches d’intérêt général que vous poursuivez. Une telle autorisation peut également être accordée par ou en vertu d’une loi.

Si vous bénéficiez d’une telle autorisation/habilitation légale, l’article 10 de la loi du 8 août 1983 organisant un registre national des personnes physiques vous impose de disposer d’un délégué à la protection des données (DPO) dont les coordonnées doivent être publiées et transmises à l’APD ainsi qu’au ministre ayant l’Intérieur dans ses attributions. Vous devez aussi être à même de préciser à vos interlocuteurs ou de leur communiquer, de manière proactive, les références de l’autorisation/habilitation dont vous disposez pour traiter le numéro de registre national ainsi que les détails du traitement que vous faites de ce numéro.

Les empreintes digitales du titulaire de la carte

Fin 2018, le législateur belge a décidé d’anticiper le Règlement européen (UE) 2019/1157 du 20 juin 2019 (qui sera d’application à partir du 2 août 2021) en votant une loi prévoyant l’intégration dans la puce électronique de la carte d’identité belge de nouvelles données : l’image numérisée des empreintes digitales de l’index de la main gauche et de la main droite du titulaire de la carte. En cas d’invalidité ou d’inaptitude, c’est l’image numérisée d’un autre doigt qui sera collectée et insérée dans la puce électronique de la carte d’identité.

Seules les autorités publiques suivantes pourront lire le fichier de la carte d’identité contenant les empreintes digitales :

  • le personnel des communes chargé de la délivrance des cartes d'identité ;
  • les services de police;
  • le personnel chargé du contrôle aux frontières, tant en Belgique qu'à l'étranger;
  • les membres du personnel de l'Office des Etrangers;
  • les membres du personnel du Service public fédéral des Affaires étrangères et le personnel diplomatique et consulaire;
  • l'entreprise chargée de la production des cartes d'identité et les personnes strictement habilitées par elle en son sein.

La consultation de l’image numérisée des empreintes digitales doit avoir lieu en toute transparence. Vous devez informer les personnes concernées des raisons concrètes de ce traitement et de ses modalités.

En raison du caractère particulier et sensible de ces données (données biométriques traitées aux fins d’identifier une personne de manière unique) et des risques d’usurpation d’identité, si vous faites partie des personnes habilitées à traiter ces données, vous êtes tenus d’entourer votre traitement de ces données de mesures de sécurité fortes adaptées.