Interview réalisée le mardi 9 mars 2021. Frank Schuermans est néerlandophone mais s’est exprimé en français. Il a dès lors demandé à relire ses propos. Aucune correction de fonds n’a été apportée.

Médor. 11000 organisations étaient encodées en décembre 2006 dans la BNG. Elles sont plus de 70 000, 13 ans plus tard, une explication ?

Frank Schuermans. Il y a plus de données, une inflation croissante des dispositions pénales, administratives (les sanctions administratives communales, par exemple). De plus avec le Covid, les encodages explosent. Plus le législateur prévoit des dispositions pénales, plus il y a des faits pénaux et donc d’enregistrements dans toutes les banques de données policières. Pas uniquement dans la BNG.

Mais il n’y a pas six fois plus de législation tout de même ?

Il faut voir ce que l’on détaille dans les organisations. Ce qu’on entend par organisations. Cela doit intégrer les asbl, probablement sinon on n’arrive pas à 70 000. La pénalisation des personnes morales est relativement nouvelle aussi.

On retrouve dans la BNG des données raciales ou ethniques, des opinions politiques, des convictions religieuses ou philosophiques. Il y a l’enregistrement d’images, des données de localisation électronique (GSM, GPS,…), comment se présentent toutes ces informations ? Via un encodage ouvert, en case à cocher par catégorie ?

Cela demande une explication technique de la BNG. C’est une base de données avec des métadata. On trouve le nom de la personne, la liaison avec les faits présumés. Avec des objets volés, avec des numéros. C’est une base de données qui tisse des liaisons entre les faits, les personnes, les numéros, les objets, les organisations. Mais vous n’allez pas trouver les PV dans la BNG, par exemple. Et quand il y a une enquête pénale ou policière, les données de base sont saisies dans les banques de données de base, à savoir Fedis pour la police fédérale et « ISLP » (Integrated System for the Local Police, NDLR) pour la police locale. La plupart de l’info se trouve là. C’est seulement les métadata importantes pour alerter tout le monde policier qui se retrouvent dans la BNG. Elle peut cependant contenir les données citées dans la loi, des informations biométriques, raciales, religieuses, tout cela est possible.

On y trouve des faits non-vérifiés, également ?

Cela peut être des faits concrets ou non-concrets. Un fait concret est un fait avéré, il y a une base d’enregistrement, un aveu par exemple. Il y a un PV. Des faits non-concrets, ce sont des faits non-avérés, on dit aussi des « informations douces ». Par exemple, dans le cadre de la lutte contre le terrorisme, on peut dire que M. Untel est à tel endroit, en train d’attendre à telle heure. Ce n’est pas un fait pénal. Mais au niveau policier, cela peut avoir un sens ou représenter un besoin opérationnel de garder l’info. Ce type d’informations passe par les RIR (Rapports d’informations, NDLR). C’est normal. La recherche proactive s’inscrit dans le code d’instruction criminelle, on fait des PV sur ces informations où le délit n’est pas encore avéré. Mais il y a une zone grise : il y a toujours une interprétation de la police ou du parquet pour évaluer ce que sont les faits concrets. Même des infos « douces » peuvent se retrouver dans un procès-verbal. Il n’y a pas de règles fixes. Une même information, avec des degrés d’exactitude différents, peut passer via un PV ou un rapport d’informations.

Comment se fait-il qu’il y ait autant de données incorrectes dans la BNG  ?

La majorité de ces données ne sont pas nécessairement une erreur, mais soit elles ne sont pas actualisées, soit elles auraient du être ventilées, à savoir archivées et/ou effacées, puisque notre loi prévoir des délais fixes maximaux pour trois sortes de faits : contraventions, délits et crimes. Un vol simple, c’est 10 ans en principe. Mais on constate que les données ne sont pas archivées après les délais.

Cela a des conséquences importantes pour les gens.

On y travaille déjà depuis des années, avec la police mais aussi avec le Ministère public (de la Justice, NDLR). La loi prévoit par exemple un feedback de tous les jugements et arrêts des cours et tribunaux où quelqu’un a été acquitté, de toutes les ordonnances des chambres du conseil et de mise en accusation pour les non-lieux et de tous les classements sans suite par manque de preuve par le Parquet. Toutes ces infos doivent être relayées à la police pour rectifier ou adapter les enregistrements policiers. C’est prévu depuis avril 2017 et cela ne se fait pas. Cela devient un gros problème. Un problème majeur.

Pourquoi cette règle n’est-elle pas d’application ?

Pour des raisons techniques. Le Ministère public freine aussi parce qu’ils ont peur de perdre des données. Vu le nombre d’informations à traiter, c’est évidemment impossible de faire la ventilation de façon manuelle. Le système de ventilation prévu dans la loi est complexe, mais la police fédérale nous dit qu’elle est prête.

Aujourd’hui, la seule manière de s’assurer qu’on archive nos données, c’est de demander qu’elles soient vérifiées ?

C’est ça.

Si je ne fais pas la demande, mais que je dois avoir un certificat de sécurité, on va consulter mon profil. Et voir que des informations devaient être archivées. Cela va quand même m’impacter parce que le délit, même ’périmé’, est encodé ?

Cela va vous impacter. Et c’est souvent via des procédures de recrutement, de sélection que quelqu’un est mis au courant qu’il est dans la BNG, qu’on lui refuse un emploi. Chaque année à l’aéroport de Zaventem, il y a des dizaines de dossiers de ce type. L’attestation de sécurité, nécessaire pour travailler, est refusée et l’explication de l’Autorité Nationale de Sécurité mentionne par exemple que « vous êtes connu pour stupéfiants ». Un recours peut avoir lieu et quand on a accès au dossier, la personne concernée voit les erreurs et vient enfin ici pour demander la ventilation de ses données.

Ce n’est pas rien comme conséquences…

Absolument. C’est ce que je dis chaque jour aux policiers : ce fichage n’est pas neutre, pas innocent, et c’est une obligation légale de tenir à jour les données.

On a créé un monstre qu’on ne contrôle plus ?

Ce sont des mots que je n’emploierais pas. Depuis le RGPD, la directive police de 2018 et notre travail d’Organe de contrôle, la conscience augmente chez les policiers, il y a une nette amélioration de l’encodage. Mais lors des décennies précédentes, l’objectif était surtout de récolter un maximum d’informations. Mais je l’ai dit au ministre de la Justice, Van Quickenborne, en février : il faut absolument que ce système de ventilation automatisée soit mis en place.

Une des conséquences du RGPD et de son règlement de 2018 serait que les zones de police ne sont plus obligées de signaler leurs bases de données particulières ?

Elles ne sont plus obligées de les notifier au COC (Organe de Contrôle des données de police). Mais elles ont bien l’obligation de faire un registre de traitement avec, entre autres, les bases de données particulières.

On n’a plus de liste de ces bases de données, alors ?

Si, cela existe. On a une application informatisée qui s’appelle REGPOL, où les zones de polices et les entités de la police fédérale sont censées lister les banques de données. Bon, ce n’est pas très facile d’utilisation, il y a encore pas mal de maladies de jeunesse mais le COC y a accès. C’est géré par la police fédérale et on peut se faire notifier les déclarations de base de données dans le registre REGPOL.

Et qui fait la sélection ? Si demain je veux faire une base de données sur les supporters d’Anderlecht, je peux ? Qui filtre ?

Oui, si le chef de corps décide que c’est nécessaire et qu’il suit les règles prévues dans la loi sur la fonction de police et la loi sur la protection des données. Elle doit ensuite être signalée dans le registre REGPOL.

En tant qu’organe de contrôle, vous pouvez supprimer ou déconseiller ces fichages particuliers ?

Vu le nombre, c’est presque infaisable. Il y a, je pense, près de mille bases de données particulières. C’est impossible pour nous de les regarder. Je trouve que l’ancien système était préférable : la zone de police devait déclarer ses bases de données particulières et le COC était obligé de donner un avis. Certaines ne rentraient pas dans les critères légaux et on le signalait. Mais depuis 2019, on a arrêté ce principe. Il n’y a plus d’intervention a priori d’organe de contrôle.

Mais à chaque visite que l’on fait de manière proactive, nous contrôlons aussi la gestion des bases de données particulières.

Vous regrettez l’absence de contrôle a priori des bases de données particulières. Cela veut dire que vous regrettez la réforme de 2018, quand la Commission de Protection de la Vie Privée a été remplacée par deux structures : l’APD (Autorité de Protection des Données) et le COC (pour les informations policières) ?

Ah non, on a fait un pas en arrière dans cet exemple, mais on a fait dix pas en avant par ailleurs. La CPVP avant, c’était pour rire. Elle n’avait pas accès aux banques de données. Moi je peux consulter beaucoup de bases, la BNG, terrorist fighters, Camelia (base de donnée des caméras). La CPVP dépendait complètement de la réponse de la police. Il y a une amélioration du contrôle de la police, qui parfois trouve d’ailleurs qu’elle est contrôlée excessivement. Depuis deux ans, via le COC, le contrôle en ce qui concerne la vie privée et la protection des données est beaucoup plus important.

Est-il possible de se retrouver dans la BNG sans avoir de contact avec la police ? Sans arrestation administrative par exemple.

Ce n’est pas impossible. Via un RIR par exemple, mais je ne pense pas que ce soit fréquent, il faut quand même obtenir l’identité exacte. Il y aura au moins un contrôle de cartes d’identité. Sauf si on connaît le personnage.

Une arrestation de 20 minutes, un contrôle de carte, et on est dans la BNG à tous les coups ?

Non, je dirais l’inverse. On ne va pas mettre les centaines d’arrestations administratives lors des manifestations dans la BNG. Si il n’y a pas de faits judiciaires, je ne pense pas qu’il soit repris dans la BNG.

Sur l’encodage des données, comment se fait-il que le citoyen n’ait pas accès à ses données de manière directe comme dans d’autres pays ?

Tant qu’il y a une enquête en cours, c’est évident que vous n’avez pas accès à vos données. Donc on ne parle que des données sans enquête en cours. Et là oui, c’est une option du législateur belge d’avoir octroyé le seul accès indirect. Dans la plupart des pays, c’est un accès direct. Mais la loi et la directive européenne prévoient que le responsable de traitement, donc la police, peut refuser l’accès quand il estime que donner les informations est contraire à la sécurité. Et dans beaucoup de cas, la police refuse sur cette base. Mais c’est vrai qu’on peut se demander pourquoi je ne peux pas savoir si un vol simple d’il y a 17 ans est encore dans mon dossier ou non, si je suis recensé ou pas.

On pourrait envisager dans un premier temps que les données supprimées ou modifiées soient accessibles.

En principe, oui. Je ne vois pas pourquoi on ne pourrait pas montrer les données effacées ou rectifiées. Bon, la police ne va pas aimer.

J’ai demandé mes données. Cela vous prend combien de temps pour vérifier ?

Rien n’est automatique. La durée du dossier dépend de ce que je vois dans la BNG. Si vous n’avez qu’un enregistrement relaté, je ne dois contacter qu’une zone de police. S’il y en a 20, je dois adresser des mails et courriers pour chaque enregistrement. On essaie de boucler chaque demande dans les trois mois, mais ce n’est pas toujours possible.

Mais ce contrôle, il n’est possible que parce que la possibilité de consultation indirecte reste peu connue. Si vous aviez 10 000 demandes, vous seriez noyés.

Absolument. Il n’y a pas beaucoup de demandes dans toutes les autorités de protection de données. Europol, c’est 10, 15, 20 demandes par an. Mais si tout le monde commence à demander son dossier de la BNG, j’irai au Parlement avec les demandes. Ou cela prendra deux ou trois ans pour avoir une première réponse.