Applications pratiques
Quelques applications pratiques relatives à la présentation et la lecture de l'eID.
Lorsqu’un de vos interlocuteurs vous adresse un document signé électroniquement à l’aide de sa carte d’identité ou lorsqu’il s’authentifie sur votre site web avec sa carte d’identité électronique, vous recevez de lui un certificat dans lequel figurent son identité et son numéro de Registre national.
Si vous recevez de tels certificats, l’article 8, §2 de la loi précitée du 8 août 1983 vous permet uniquement d’en prendre connaissance. Aucune autre utilisation du numéro de Registre national de votre interlocuteur ne peut être faite sans y être autorisé par le Ministre ou habilité légalement. L’article 8, §3, al. 4 de cette même loi prévoit explicitement que ces certificats peuvent uniquement être conservés pendant le temps nécessaire pour recueillir la preuve de la signature électronique ou de l’authentification.
Il est possible de mettre en place des applications informatiques utilisant la carte d’identité sans que le titulaire de la carte ne soit identifié. Lorsque c’est suffisant, un tel usage doit être suivi.
A titre d’exemple, les gestionnaires de piscines communales qui octroient un tarif préférentiel aux usagers de la piscine qui sont domiciliés dans la commune doivent uniquement lire le code postal de la commune de résidence des usagers de la piscine ; après, le cas échéant, en cas de suspicion de fraude, avoir vérifié sur base d’un contrôle visuel de la photo, que le titulaire de la carte est bien celui qui se présente au guichet. Cela préserve le droit au respect de la vie privée de ces personnes tout en permettant au responsable de traitement d’appliquer ses tarifs différenciés.
Au lieu de délivrer une carte de fidélité spécifique à vos clients, pouvez-vous solliciter d’eux, à chacun de leurs achats, la lecture électronique de leur carte d’identité afin d’enregistrer le nombre d’achats qu’ils ont effectués dans votre application informatique de fidélisation ?
Cela ne peut être fait que si vous avez obtenu, à cet effet, leur consentement libre, spécifique et informé. Cela signifie que vous êtes obligé de les informer, préalablement et clairement quant aux données collectées, aux traitements de leurs données qui seront réalisés, aux finalités précises poursuivies et aux autres modalités du traitement de leurs données. L’information devra être concise, claire et simple.
De plus, ce consentement doit constituer une déclaration ou un acte positif clair. Il est indispensable de se préserver la preuve de l’obtention de ce consentement. A défaut, vous vous trouverez dans l’impossibilité de prouver que vous avez bien respecté cette exigence.
Les préposés de votre organisation en charge de demander à vos clients la lecture de leur carte d’identité devront être adéquatement formés à cet effet.
Enfin, vous devez également prévoir un mécanisme alternatif à l’utilisation de la carte d’identité pour vos clients qui ne souhaitent pas que leur carte d’identité soit utilisée (art. 6, §4, al. 3 de la loi précitée du 19/07/1991). Ce choix doit vous être offert de manière transparente et explicite dès qu’un tel système de fidélisation de ce type est proposé.
Vous ne pouvez pas retenir la carte d’identité d’une personne à titre de caution. Cette pratique n’est pas acceptable étant donné que vous mettez la personne concernée en défaut de remplir son obligation légale d’être porteuse de sa carte d’identité.
La prise de copie de la carte d’identité dans ces circonstances pose aussi des problèmes de compatibilité avec le RGPD.
Il ne peut être pris copie (photocopie ou copie électronique) de la carte d’identité des personnes en dehors des cas prescrits légalement (ex. : les banques y sont tenues en exécution de la loi anti-blanchiment).
Vous ne pouvez pas conditionner l’accès de personnes à des réunions au sein de vos bureaux à la prise d’une photocopie de leur carte d’identité. Si l’accès à une réunion nécessite d’identifier préalablement les personnes qui s’y présentent sur base de leur carte d’identité, un simple contrôle visuel de la carte suffit. En cas de risque de sécurité particulier, il suffit de vérifier que la personne qui se présente est bien celle qui est attendue parmi les visiteurs du jour.