Le registre national de la population belge peut-il être utilisé à des fins commerciales ?
Publié le 14/03/2013 par Etienne Wery
La carte d’identité de la population belge est équipée d’une puce qui contient notamment le numéro d’identification au registre national. C’est un puissant identificateur. Pour avoir utilisé ce numéro afin d’offrir une carte de fidélité innovante, une société a été condamnée. Et si la cour s’était trompée ?
I. Le registre national ?
Le registre national fait l’objet d’une loi spécifique du 8 août 1983 organisant un registre national des personnes physiques. Il faut distinguer trois choses :
- Le registre national est : « un système de traitement d’information qui assure (…) l’enregistrement, la mémorisation et la communication d’informations relatives à l’identification des personnes physiques » (article 1er de la loi du 8 août 1983) ;
- Le numéro d’identification (NRN) est : un identifiant unique « attribué à chaque personne lors de la première inscription de celle-ci au Registre national » (article 2), qui permet d’identifier chaque personne au sein du système d’information ;
- Les informations figurant au sein du registre national sont : celles prévues à l’article 3. Le numéro d’identification (NRN) n’en fait pas partie.
En simplifiant, on peut écrire que le registre national est le système qui contient les informations prévues à l’article 3. Ces informations sont relatives à des personnes qui sont identifiées dans le système par un numéro unique (NRN) attribué lors de leur première inscription.
Le NRN est un identifiant puissant puisqu’il est unique pour chaque citoyen. D’où l’envie de nombreuses sociétés de l’utiliser.
II. La protection juridique du registre national
Le dispositif global est protégé par deux dispositions principales :
- L’article 5 de la loi, rédigé comme suit : « L’autorisation d’accéder aux informations visées à l’article 3, alinéas 1er et 2, de la présente loi ou d’en obtenir communication, et l’autorisation d’accéder aux informations concernant les étrangers (…), sont accordées par le comité sectoriel du Registre national institué par l’article 15 : (…) » (suit la liste des autorités publiques, organismes publics ou privés et personnes physiques ou morales autorisées, ainsi que la procédure et les conditions d’autorisation)
- L’article 8, rédigé comme suit : « L’autorisation d’utiliser le numéro d’identification du Registre national est octroyée par le comité sectoriel du Registre national visé à l’article 15, aux autorités, aux organismes et aux personnes visés à l’article 5, alinéa 1er. (…) »
Pour le comité sectoriel, les articles 5 et 8 contiennent deux interdictions générales et absolues. Ceci explique sa position tranchée : « L’autorisation d’accéder aux informations visées à l’article 3, (…) ou d’en obtenir communication, et d’utiliser le numéro d’identification du registre national peut être accordé par le comité aux organismes publics ou privés de droit belge pour les informations nécessaires à l’accomplissement de tâches d’intérêt général qui leur sont confiées par ou en vertu d’une loi, d’un décret ou d’une ordonnance ou de tâches reconnues explicitement comme telles par le comité sectoriel précité (article 5, alinéa 1er, 2°, de la loi) ».
III. L’affaire Fidel ID
La société Fidel ID a développé une carte de fidélité basée sur l’utilisation de la carte d’identité électronique en lieu et place des traditionnelles cartes de fidélité. Les commerçants qui utilisent ce système lisent la carte d’identité électronique des clients au lieu d’une carte de fidélité.
Un concurrent décide de citer en justice en lui reprochant la commission d’un acte contraire aux usages honnêtes en matière commerciale au sens de la loi sur les pratiques du commerce.
Après avoir reproduit in extenso l’article 5 de la loi sur le registre national et l’avis du comité sectoriel repris ci-dessus, la cour d’appel se réfère à la décision dudit comité et conclut : « qu’il se déduit de ce qui précède qu’à défaut d’autorisation du comité sectoriel du registre national, Fidel ID utilise le numéro de registre national repris sur la carte d’identité électronique en violation de la loi ».
La cour pousse le raisonnement plus loin : « en l’état actuel de la législation et à défaut d’une autre technologie, l’utilisation de la carte d’identité électronique des consommateurs comme carte de fidélité commerciale unique est illégale, puisqu’elle permet l’utilisation du numéro de registre national ». Elle précise aussi que le fait de crypter ce numéro ne change rien à son constat.
IV. Ne peut-on jamais utiliser le numéro de registre national ?
On l’a vu ci-dessus, le comité sectoriel met sur un pied d’égalité le fait d’accéder ou d’obtenir communication des informations contenues dans le registre national, et le fait d’utiliser le NRN. Il y a une interdiction absolue, erga omnes, sauf si le comité sectoriel octroie une dérogation.
On peut le comprendre en ce qui concerne l’accès au registre, et concernant la réutilisation du NRN dont on a pris connaissance via une consultation du registre lui-même.
Mais est-ce aussi certain en ce qui concerne le NRN lorsque ce numéro est communiqué par le citoyen lui-même ?
Nous ne le pensons pas, pour deux motifs principaux :
a. Un peu de bon sens !
Depuis quelques années, les citoyens belges disposent tous d’une carte d’identité électronique.
Le NRN fait partie des informations qui figurent sur la puce électronique de la carte d’identité belge.
Pour lire la puce, il suffit d’un lecteur qui coûte quelques euros (et que certaines administrations locales ont parfois distribué à leurs citoyens). A notre connaissance il n’y a du reste pas moyen, lors de la lecture de la puce, de choisir les informations auxquelles on souhaite accéder ou donner accès. En d’autres termes, le NRN est récolté par le seul fait de lire la puce, qu’on le veuille ou non.
On se demande alors où est l’intérêt de la puce électronique si sa seule lecture est déjà une infraction ? Et pourquoi alors avoir vanté l’intérêt de cette puce auprès du secteur privé en tant qu’identifiant à distance pour le commerce électronique ? Le gouvernement a en effet abondamment communiqué sur cette puce qui allait permettre de nombreuses innovations pour le secteur privé. Il y a un manque de cohérence évident si la lecture de la puce engendre une infraction.
b. Un peu de droit !
Il ne fait aucun doute que le NRN est une donnée à caractère personnel soumise à la loi dite loi sur les données à caractère personnel.
La loi fixe les hypothèses dans lesquelles le traitement est a priori légitime. Le consentement de la personne concernée en fait partie.
Or, si l’on suit l’interprétation du comité sectoriel et de la cour d’appel dans l’affaire susmentionnée, cela revient à dire que dès l’instant où la donnée concernée est le NRN, même le consentement n’est plus une hypothèse de légitimité du traitement. Seul le comité sectoriel peut accorder une autorisation ; le citoyen dont c’est le NRN et qui en dispose sur sa carte d’identité, n’a pas son mot à dire.
D’où la question : la Belgique peut-elle décider de supprimer une des hypothèses de légitimité de traitement, sachant que la loi provient d’une directive européenne ?
Depuis l’arrêt rendu par la cour de justice de l’union européenne le 24 novembre 2011, la réponse semble être : non (affaires C-468/10 et C-469/10).
La cour de justice a en effet jugé que : « Il découle de l’objectif consistant à assurer un niveau de protection équivalent dans tous les États membres que l’article 7 de la directive 95/46 prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite. (…)
Il s’ensuit que les États membres ne sauraient ni ajouter de nouveaux principes relatifs à la légitimation des traitements de données à caractère personnel à l’article 7 de la directive 95/46 ni prévoir des exigences supplémentaires qui viendraient modifier la portée de l’un des six principes prévus à cet article. (…)
Il s’ensuit qu’au titre de l’article 5 de la directive 95/46, les États membres ne sauraient non plus introduire d’autres principes relatifs à la légitimation des traitements de données à caractère personnel que ceux énoncés à l’article 7 de cette directive ni modifier, par des exigences supplémentaires, la portée des six principes prévus audit article 7.»
La cour européenne a même été plus loin, puisqu’elle a estimé que la directive avait très largement un effet direct.
Il nous semble donc que lorsque le NRN est fourni au commerçant par le citoyen lui-même, et que les autres contraintes légales sont respectées (formalisme, adéquation des données, consentement libre spécifique et informé, …), les articles 5 et 8 de la loi sur le registre national ne permettent pas de s’y opposer.