Lors des auditions pour confectionner la loi de 2014, quand la BNG ne pesait alors « que » 1,7 millions de personnes enregistrées, les mineurs de 14 à 18 ans représentaient environ 15 % du nombre de personnes identifiées. Les moins de quatorze ans, 1,6 %.
Avec comme type de criminalité pour ces mineurs : le vol (36 %), les coups et blessures volontaires (7 %) la détention de drogues (5,5 %) et la dégradation volontaire (5 %). S’ajoutaient 11 % des mineurs enregistrés dans la BNG dans des dossiers de disparitions ou de fugues. Des mineurs disparus qui seraient encodés en tant que « suspect » ? Y aurait-il des problèmes d’interprétation, voire… des erreurs d’encodage dans la BNG ? Mais non, mais non…

52 % ! Conclure que la moitié des infos dans la BNG est fausse, ce serait un raccourci excessif. Les personnes qui ont demandé une vérification suspectaient peut-être que leur dossier contenait des erreurs. Il y aurait dans cet échantillon de 150 dossiers un biais qui augmente le taux d’erreur. Soit.

Cependant, la conclusion du COC ne laissait pas beaucoup de doutes : « (…) la BNG contient encore de nombreuses inexactitudes et/ou erreurs. »

Heureusement, un archivage et une ventilation permettent de supprimer au fur et à mesure les données contenues dans la BNG. Après trois ans, un « contact manifestations » s’archive. Un an pour une contravention, 10 ans pour un délit, 30 pour un crime. Tout cela peut cependant être archivé pour 30 ans après le dernier fait enregistré.

Ces délais sont des durées maximales. Si l’information n’est plus jugée pertinente et utile, la police doit la ventiler (la ré-aiguiller, quoi. Soit l’archiver, soit la supprimer).

Non-lieu non effacé

Par ailleurs, d’autres acteurs doivent veiller à effacer les données dans la BNG. C’est le cas des policiers qui ouvrent un dossier pour une enquête en cours. Ils encodent (ils « dos » qu’on dit dans le milieu) les protagonistes de l’enquête. À la fin de leurs investigations, ils parcourent une « check-list » de tâches à remplir et parmi celles-ci, il y a le dé-référencement des personnes (un suspect qui ne l’est plus, une information qui n’est plus pertinente, etc.).

Les parquets de Justice, eux aussi, sont mis à contribution. Ils doivent mettre à jour les condamnations, acquittements et non-lieux. Tous ne le font pas de manière assidue. Et ceci étant dit, selon le COC, « même en cas de classement sans suite par le parquet, de non-lieu ou d’acquittement (par exemple pour des raisons techniques afférentes à la procédure) par le juge, il se peut qu’il existe une nécessité policière opérationnelle de maintenir l’enregistrement des données. À chaque fois, il s’agit d’une évaluation factuelle réalisée par la police sous le contrôle du COC. »

Le 7 avril 2016, une réforme de la BNG devait être réalisée. Elle contenait un archivage et effaçage automatique des données. Mais faute de moyens, le législateur a reporté d’un an les modifications prévues.

Sans archivage, on commence à être vraiment serrés dans la BNG. Surtout avec la croissance exponentielle de PV liés au coronavirus.

En un an, 232 096 procès-verbaux ont été dressés pour non-respect des règles liées au coronavirus. Quand Médor a rencontré Frank Schuermans, Membre-Conseiller de l’Organe de contrôle de l’information policière (« Monsieur COC »), celui-ci nous déclarait que « dans une année normale, on a presque 600 000 PV. On a un tiers des PV déjà « occupé » par le coronavirus. C’est énorme. »
Avec une bête règle de trois, on ne serait plus trois mais quatre millions dans la BNG. On va se marcher sur les fiches…

C’est d’autant plus énorme que début mars, le gouvernement a envisagé une mesure toute particulière pour les personnes de retour de voyage à l’étranger.

En gros, vous partez à l’étranger. À votre retour, vous remplissez le formulaire « Passenger Locator Form » (PLF). Ce document est d’autant plus central depuis la réouverture des voyages non essentiels autorisés à partir du 19 avril 2021. Vous allez devoir être testé et/ou rester en quarantaine, selon les règles de votre Région.

Après avoir rempli le PLF, vous recevrez via SMS seize chiffres/lettres qui font office de prescription du test Covid-19. C’est le CTPC (pour Covid-19 Test Prescription Code). Avec ce code, le voyageur prend rendez-vous dans un centre de prélèvement et effectue un test Covid. Vous suivez ? Donc :

Voyage->PFL (formulaire)->CTPC (prescription)->test ou quarantaine.

Mais que se passera-t-il si vous ne faites pas le test (ou ne respectez pas la quarantaine) ?

Vous serez fichés.

Les parlementaires ont souhaité, via un accord de coopération, que l’on identifie ces personnes qui doivent se soumettre à un test de dépistage obligatoire (ou à une quarantaine) et qui n’activent pas leur prescription. Il suffit de croiser les données PLF avec les données des codes non activés. Mais où ? Via une « intégration » quotidienne des données PLF dans des bases de données de police « pertinente ». La BNG était citée au début de l’accord de coopération et semble incontournable.

Seraient intégrées le nom, la date de naissance, le numéro de téléphone, l’adresse de résidence pendant la période de quarantaine et la date d’arrivée en Belgique. Ces données seraient conservées durant 14 jours. Mais quand on connaît l’histoire d’amour entre l’archivage des données et la BNG, on peut avoir des doutes.

Pas clair, mais en place

Comment vont être gérés ces flux d’infos entre fédéral (qui s’occupe des bases policières) et les entités fédérés (responsables de la prévention en matière de santé) ? Ce transfert de données de santé reste nébuleux.

Même l’Autorité de protection des données ne s’y retrouve pas. Elle qui souligne que, « l’intégration dans la BNG de données à caractère personnel de voyageurs dont on soupçonne qu’ils n’ont pas respecté l’obligation de testing s’effectue suite à une décision (entièrement ou partiellement) automatisée dont le processus décisionnel n’est pas clair. »

Les données « Passenger Locator Form » sont d’abord récoltées par le SPF Santé, et ensuite, selon le SPF, « seules les données des voyageurs provenant de zones pour lesquelles un test de dépistage est obligatoire à leur arrivée en Belgique ET dont le code d’activation n’a pas été activé dans les délais, sont notifiées à la police fédérale. »

À la police (locale) ensuite d’effectuer « des contrôles aléatoires » pour voir qui est bien hors quarantaine ou sans test Covid. On retrouve donc un encodage massif suite à du croisement de données (dites « data matching »), le tout dans une base de données policières, ceci pour un délit « a priori »…

Encodage systématique

Il n’y aura pas de PV automatique prévu, insiste Frank Dumortier, professeur à l’Université de Namur et chercheur au Cyber and Data Security Lab (CDSL) de la VUB. Il faudra toujours une vérification humaine pour constater l’infraction, mais, souligne le chercheur, « c’est, à ma connaissance, la première fois que l’on décide un encodage systématique d’un non respect des mesures hygiéniques. »

Il souligne aussi qu’il n’y a pas eu de « contrôle de proportionnalité de la mesure par un organe de contrôle ». Le COC est compétent pour les données policières et l’APD est compétente pour les données privées. Aucune de ces deux instances de protection de données ne s’est sérieusement penchée sur la pertinence de ce transfert entre police et Etat.

Pas de débat, pas de problème

La Ligue des droits humains qui a découvert le texte sur le tard a réagi le 26 mars sur Facebook. « Il est (…) particulièrement interpellant de constater que cet accord de coopération, qui implique d’importants nouveaux partages de données vers les autorités policières, soit discuté (et très probablement prochainement voté) sans le moindre débat public sur cette question. »

Et même « ces questions » dirions-nous. Car que fera-t-on des personnes qui respectent la quarantaine et passent un autotest par la suite ? Ceux qui se font tester via leur employeur, leur université ? Ceux qui préfèrent passer par leur médecins traitants ? Ceux qui sont vaccinés (doivent-ils se tester ?) ? Resteront-ils encodés ? Et ce délai de 14 jours, à quoi sert-il ? N’est-il pas trop court pour réellement vérifier que les voyageurs ont activé ou non ce code ?

Pas le temps de s’interroger. Le projet est passé en urgence. La Cocom et la Région wallonne et la Région flamande ont entériné l’accord fin mars. Au fédéral, la Chambre l’a approuvé le jeudi 1^er avril.

Mais mais… si ça tombe, vous êtes dans la BNG ! Vite, vérifions ! Ah mais ce n’est pas si facile que cela.

Si vous demandez par mail (la procédure est très simple) au COC vos données de la BNG, voici ce que vous recevez : « À l’issue de son contrôle, le COC informe la personne concernée (donc vous) qu’elle a "effectué les vérifications nécessaires" ».

Le COC ne peut pas donner plus de détails. Cela signifie que vos données à caractère personnel vont être vérifiées par le COC en vue de garantir la légalité d’un éventuel traitement en banque de données nationale générale de la police (BNG). Si nécessaire, le COC a aussi la compétence d’ordonner à la police de modifier et/ou supprimer les données. « Cette procédure nous prend au moins trois mois. »

Donc on vérifie pour vous et faites-nous confiance.

Le surfichage dans la BNG n’est pas qu’une question éthique de protection de données. Il a des conséquences directes sur la vie de citoyens. Médor vous le racontera dans deux semaines.