Il était reproché au SPF Affaires étrangères d’avoir consulté, par deux fois, le registre national d’un ressortissant sans préciser de motif exact. L’Autorité de protection des données (APD) a jugé ce 27 mai que le règlement européen sur la protection des données (RGPD) a bien été violé. Le SPF assure avoir fait le nécessaire pour corriger sa procédure.
Le sentiment d’avoir été espionné sans raison valable. C’est ce qui ressort d’une décision rendue par l’Autorité de protection des données (APD) le 27 mai dernier, après qu’un ressortissant se soit plaint, en 2020, de ce que le SPF Affaires étrangères ait consulté son registre national sans en préciser le motif exact.
«Le 28 octobre 2019, X (NDLR: le plaignant) introduit un formulaire de plainte auprès du SPF Affaires étrangères afin d’obtenir le motif de la consultation de ses données au Registre National par le Consulat général de Belgique à Casablanca le 4 septembre 2019. Une réponse de la défenderesse est envoyée au plaignant le 6 novembre 2019, lui indiquant que cette consultation avait été effectuée dans le cadre d’une demande de visa longue durée.» Sauf que, «le même jour, le plaignant poursuit l’échange en précisant qu’il n’a introduit aucune demande de visa», résume l’APD, saisie de cette plainte en 2020.
Les dénégations du SPF
Confronté à l’insistance du plaignant, soucieux de savoir pour quel motif ses données ont été consultées, le SPF s’est lancé dans des justifications nébuleuses, expliquant «qu’il est possible que le Registre National d’une personne non-impliquée dans la demande de visa soit consulté dans le but de vérifier certaines informations en lien avec la demande de visa d’une autre personne.» Un argument qui n’a pas convaincu le plaignant, qui a réagi «en demandant des précisions concernant le motif spécifique de consultation». Mais les semaines qui ont suivi n’ont amené aucune réponse concrète, le SPF faisant d’abord valoir «l’impossibilité matérielle de retrouver dans quel dossier précis les données du plaignant ont été consultées», puis une surcharge de travail au consulat de Casablanca, puis des clauses de confidentialité auxquelles sont astreints ses agents…
«Le 28 octobre 2019, X (NDLR: le plaignant) introduit un formulaire de plainte auprès du SPF Affaires étrangères afin d’obtenir le motif de la consultation de ses données au Registre National par le Consulat général de Belgique à Casablanca le 4 septembre 2019.»
Pire, une fois la plainte parvenue à l’APD par l’intermédiaire du médiateur fédéral, le SPF a… nié avoir consulté les données du plaignant, qui entretemps s’est rendu compte que ses données ont en fait été consultées par deux fois. Ce dernier a présenté une preuve de la consultation de ses données auprès de l’APD, qui a alors mis son service d’inspection sur le coup. Ses conclusions sont sans appel: dans cette affaire, les Affaires étrangères ont violé trois principes du RGPD: non respect du principe de responsabilité, non respect du principe de minimisation des données (la photo du ressortissant ayant également été consultée, sans raison valable), et non-respect de l’obligation de répondre à la demande d’information du plaignant.
Procédure adaptée
Si les Affaires étrangères n’ont jamais pu justifier les véritables motifs ayant mené à la consultation des données du plaignant à l’époque, le SPF a toutefois expliqué à la Chambre Contentieuse de l’APD que ses procédures ont depuis été adaptées, puisqu’«il est désormais obligatoire d’indiquer (…) la raison de cette consultation dans un espace commentaire». De quoi satisfaire la Chambre, qui a souligné que le SPF a «mis en place des mesures dans le but d’améliorer son niveau de conformité à la législation relative à la protection des données», rappelant au passage «que le responsable du traitement (NDLR: des données) a l’obligation de s’assurer que les mesures techniques et organisationnelles mises en place sont appropriées». Si, cette fois-ci, le SPF risquait des amendes, voire une transmission du dossier au parquet de Bruxelles, il s’en tire avec une simple réprimande. Un recours contre cette décision peut encore être introduit, précise l’APD.
