Cartes ID comme cartes de fidélité: un risque pour la vie privée?

Question de Mme Nawal Ben Hamou au secrétaire d’État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique, sur « l’utilisation de la carte d’identité comme carte de fidélité à des fins commerciales »

Monsieur le président, monsieur le secrétaire d’État, en novembre 2015, je posais une question à votre prédécesseur M. Bart Tommelein, à propos de l’utilisation de la carte d’identité à des fins commerciales. En effet, certains commerces, comme Media Markt, utilisent des lecteurs de carte d’identité afin de permettre aux clients d’accéder à tous leurs achats pour conserver en ligne tous les tickets de garantie.

Vous n’êtes pas sans savoir que les données contenues sur une carte d’identité sont protégées, notamment par la loi relative à la protection de la vie privée à l’égard des traitements de données à

caractère personnel. Celle-ci impose que « les données à caractère personnel doivent être traitées loyalement et licitement pour des finalités déterminées, explicites et légitimes ».

La jurisprudence à cet égard stricte. Ainsi, le 9 mai 2012, la 9e chambre de la cour d’appel de Bruxelles a condamné une société informatique qui avait mis au point un service  visant à utiliser la carte d’identité électronique comme une carte de fidélité à des fins commerciales. Dans sa réponse, à l’époque, votre prédécesseur évoquait une enquête en cours dans le chef de la Commission de la protection de la vie privée. Une personne peut se voir demander la présentation de sa carte d’identité par une société privée uniquement lorsque son identification est nécessaire pour l’exécution d’une relation contractuelle, d’un service à la clientèle ou lorsqu’une déposition légale le prévoit. Dans cette hypothèse, seules les données strictement pertinentes pour le traitement poursuivi par le responsable dudit traitement peuvent être collectées, en application de l’article 4 de la loi sur la vie privée.

Monsieur le secrétaire d’État, qu’en est-il de cette enquête? Quels en sont les résultats? Quelles actions peuvent-elles en découler? Sommes-nous en mesure, aujourd’hui, de savoir quelles données sont ainsi récoltées par les commerces? De quelle façon? Comment sont-elles utilisées? Cette méthode présente-t-elle un risque pour les données personnelles et, de manière générale, pour la protection de la vie privée des consommateurs? De plus en plus de commerces ont recours à cette méthode qui transforme un document d’identité en une carte de fidélité. Ceux ci ont-ils été informés du flou autour de la législation concernant cette pratique?

Réponse du Secrétaire d’Etat à la protection à la vie privée

Philippe De Backer, secrétaire d’État: Madame, à la réception de votre question en juin 2016, nous avons pris contact avec la commission de la Vie privée qui avait déjà ouvert une enquête à ce sujet depuis quelques mois. À ce stade, l’enquête n’est pas encore clôturée. La commission a rencontré les différents acteurs tout récemment et, visiblement, elle est encore en attente de certains éléments de réponse de la part des responsables du traitement.

En ce qui concerne l’encadrement législatif, je rappelle que chaque responsable de traitement qui procède à une telle lecture électronique de la carte d’identité est déjà obligé de communiquer proactivement certains éléments d’information à la personne concernée, comme l’identité, l’adresse du responsable du traitement mais aussi la finalité pour laquelle les données sont récoltées. D’autre part, la personne concernée a, en tout état de cause et à tout moment, la possibilité de demander au responsable du traitement s’il traite des données le concernant ainsi que la nature de ces données, l’usage qui en sera fait et leur provenance. Il y a une responsabilité des deux côtés.

Pour le suivi de votre question, je rappelle que les arrêtés royaux requis par la loi du 19 juillet 1991 relative aux cartes d’identité et destinés à encadrer le contrôle automatisé de la carte d’identité et son utilisation n’ont pas encore été adoptés. C’est mon collègue Jan Jambon qui doit les prendre. Je vous propose de prendre contact avec lui lorsque la Commission de la vie privée aura rendu les conclusions de son enquête. Pour l’affaire qui nous concerne, je peux vous communiquer que l’utilisation de la carte d’identité aux fins de stocker des tickets de garantie n’est pas obligatoire. Le client peut refuser et bénéficier pour autant de la garantie. D’autre part, contrairement à l’affaire de la cour d’appel de Bruxelles que vous citez, il n’est pas question d’une utilisation du numéro d’identification au registre national. Là aussi, nous discutons avec M. Jambon pour examiner les possibilités de mieux encadrer l’utilisation de ce numéro.

Nawal Ben Hamou (PS): Monsieur le secrétaire d’État, avez-vous une deadline pour les conclusions du groupe de travail? Pouvez-vous me donner un timing? Je ne manquerai pas de revenir vous interroger.

Philippe De Backer, secrétaire d’État: Madame Ben Hamou, nous avons encore communiqué tout récemment avec la Commission de la protection de la vie privée. L’enquête est en route depuis quelques mois.

Nawal Ben Hamou (PS): Cela fait quand même deux ans!

Philippe De Backer, secrétaire d’État: Vous savez aussi que ladite commission est une organisation indépendante. Elle va donc travailler sereinement, mais je vais lui demander de conclure cette enquête le plus rapidement possible.

Nawal Ben Hamou (PS): Je ne manquerai pas d’interroger également le ministre de la

Sécurité, M. Jambon et de revenir vous poser d’autres questions.