Directive relative aux règles d’accès
La loi du 22 mai 2019 a apporté de nombreuses modifications aux règles de base relatives à la gestion des informations inscrites dans les
articles 44/1 à 44/17 de la loi sur la fonction de police. C’est sur la base de l’
article 44/4 que les ministres de l’Intérieur et de la Justice publient à présent une directive contraignante commune réglant l’accès des membres des services policiers aux bases de données policières.
La directive comporte quatre parties : 1) les règles d’accès à la BDNG et aux banques de données de base, particulières et techniques ; 2) la gestion des accès ; 3) les profils ; 4) l’identification, l’authentification et la journalisation (logging).
Les membres des services de police ont accès aux banques de données policières pour pouvoir accomplir leurs missions de police administrative et de police judiciaire. L’accès est basé sur le principe du « need to know ». Cela signifie que toute personne qui accède à la banque de données doit avoir une nécessité ou une raison opérationnelle, est authentifiée et est traçable individuellement.
Chaque accès fait l’objet d’une journalisation, tant en ce qui concerne l’accès que les données qui sont traitées (consultées, modifiées, etc.). La licéité de l’accès est liée au rôle attribué, au profil attribué (dans ce rôle) et au type de banque de données. Le chef de corps, pour la police locale, le commissaire général, les directeurs généraux et les directeurs, pour la police fédérale, décident du profil dont doivent disposer les membres de leur personnel pour exécuter les tâches qu’ils leur confient.
L’attribution des rôles est basée sur un système de permissions. Il s’agit d’un registre central de profils et de droits d’accès (différenciés) aux applications dans les banques de données policières. Les procédures de demande et d’octroi d’accès font l’objet de directives internes au sein de la police intégrée. Celles-ci sont mises à la disposition de l’Organe de contrôle de l’information policière.
Pour les banques de données particulières et techniques locales, le chef de corps, le commissaire général, les directeurs généraux et les directeurs, pour la police fédérale, doivent élaborer une politique d’accès et il y a lieu de tenir un registre local. Ce registre est en connexion avec la source authentique pour la gestion du personnel de la police intégrée, ce qui permet de mettre à jour automatiquement les données figurant dans le registre. Selon la directive, le chef de corps, pour la police locale, le commissaire général, les directeurs généraux et les directeurs, pour la police fédérale, doivent vérifier au moins une fois par an que les données du registre sont toujours à jour.
Identification, authentification et journalisation
La règle d’identification et d’authentification s’applique à chaque accès aux banques de données et aux données qu’elles contiennent. L’identification sert à vérifier techniquement que la personne qui se connecte pour accéder aux banques de données est bien un membre des services de police et que son autorité hiérarchique a autorisé cet accès. L’authentification garantit techniquement que le membre des services de police qui s’est identifié et dispose de l’accès requis est bien le membre réellement concerné.
La journalisation est utilisée à des fins de vérification de la licéité du traitement, d’autocontrôle par les services de police, de garantie de l’intégrité et de la sécurité des données à caractère personnel, à des fins de procédure pénale et de surveillance par l’Organe de contrôle de l’information policière ou par d’autres instances de contrôle.
Pas pour les autorités judiciaires
La directive ne concerne pas les règles d’accès des autorités judiciaires qui s’inscrivent dans le cadre du trajet pénal (secret de l’information ou de l’instruction).
Directive sur la sécurité des informations
Une seconde directive commune complémentaire approfondit les mesures qui sont nécessaires pour garantir la gestion et la sécurité (et en particulier la fiabilité, la confidentialité, la disponibilité, la traçabilité et l’intégrité) des données à caractère personnel et des informations traitées dans les banques de données.
Les ministres imposent une série de mesures minimales de protection, comme l’obligation pour les services de police de disposer d’une politique actualisée en matière de sécurité et d’un système de gestion des risques en matière de sécurité des informations. L’attention requise doit également être accordée à la sécurité dans le domaine de la gestion du personnel, de la cryptographie, du contrôle d’accès, des relations avec des tiers, de la gestion des incidents, de la veille juridique, etc.