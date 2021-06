La décision était attendue aujourd’hui : la Commission européenne a envoyé une lettre de mise en demeure à la Belgique pour violation de l’article 52 du règlement général sur la protection des données (RGPD). Article faisant référence notamment au fait que l’autorité de contrôle (en Belgique, il s’agit de l’Autorité de protection des données, l'APD) doit pouvoir exercer "en toute indépendance les missions et les pouvoirs dont elle est investie", ou que "les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque". Et cela s’explique par les missions de l’APD qui doit vérifier que la circulation des données (exemple nos données pour la déclaration fiscale, allocations familiales, etc.) se fait dans le respect des droits et libertés des individus.

Dans sa mise en demeure, la Commission européenne explique qu’au mois de mars dernier, Didier Reynders, commissaire à la justice, a envoyé une lettre aux autorités belges pour leur faire part de ses préoccupations quant au manque d’indépendance de l’Autorité de protection des données en Belgique. "Certains de ses membres ne peuvent pas être considérés comme exempts d’influence extérieure car ils font rapport à un comité de gestion dépendant du gouvernement belge, ils participent à des projets gouvernementaux sur la recherche des contacts Covid-19 ou ils sont membres du comité de sécurité de l’information".

Didier Reynders nous explique aujourd’hui qu’il n’a pas reçu de réponse satisfaisante de la Belgique. La Commission donne deux mois à la Belgique pour se mettre en ordre : "pour expliquer quelle mesure on va prendre pour que structurellement l’autorité qui est chargée de protéger les données personnelles des citoyens est réellement indépendante du gouvernement ou de toute instance liée au gouvernement". Le commissaire européen précise que dans l’architecture belge il y a aujourd’hui des inquiétudes par rapport à certaines fonctions occupées par des personnes qui pourraient être à la fois contrôlées et contrôleurs. "Ce que l’on demande maintenant c’est que le gouvernement et probablement le Parlement se penchent à nouveau sur le sujet et prennent des mesures pour remédier à cela".

Autrement dit, la Commission demande à la Belgique de se mettre en règle vis-à-vis des règles européennes et régler les problèmes qui sont pointés, sinon elle pourrait l’assigner devant la cour de Justice de l’Union européenne. "A ce moment-là, on risque une condamnation très claire, il y aura un arrêt Commission européenne contre Belgique", nous explique Elise Degrave, professeure à la Faculté de droit de l’Université de Namur et directrice de recherches au NADI (Namur Digital Institute) et au CRIDS (Centre de recherches Information, Droit et Société).

Si la Belgique était condamnée, ce serait le premier Etat européen dans ce cas, depuis l’application du RGPD en 2018, mais trois autres pays ont déjà été condamnés sous une directive précédente.

Pour Elise Degrave, une telle condamnation pour le non-respect du RGPD "serait une honte pour la Belgique" étant donné que l’indépendance ou la neutralité de l’Autorité de protection des données est vraiment le principe de base qui a été renforcé dans le RGPD (par rapport à la directive européenne qui existait avant le RGPD : ndlr). "On ne pouvait pas ignorer que c’était important".

Rappelons que les membres de l’APD ne peuvent faire l’objet d’aucune influence extérieure. Autrement dit, ne pas être influencé par les personnes qui sont contrôlées, mais aussi qu’il ne doit pas y avoir un risque d’obéissance anticipée. La jurisprudence de la cour de Justice européenne indique par ailleurs qu’il s’agit d’être attentif à ce qu’il n’y ait pas d’influence de l’Etat sur l’APD "parce que l’Etat peut avoir un intérêt à ce que la protection des données ne soit pas respectée", nous dit Elise Degrave. Et de préciser que le sujet est très parlant dans le contexte actuel : "cela fait quand même plusieurs mois qu’on voit à quel point l’Etat met la pression pour bafouer les règles de protection des données […] au motif d’être efficace et rapide".

Au mois de février dernier sur nos antennes, la codirectrice de l’APD, Alexandra Jaspar s’inquiétait des "données sensibles sur les gens" récoltées par l’Etat pendant la crise du coronavirus. Des données stockées dans des bases de données sans que leur utilisation ne soit balisée, expliquait-elle et "on ne nous dit pas, avec suffisamment de précision qui ou quelle autorité de l’État peut utiliser ces données. Pourquoi ? Et combien de temps elle peut les conserver ?".

Toutes ces raisons expliquent pourquoi il ne peut y avoir de mandataires publics au sein de l’autorité de contrôle et cela se traduit également dans la loi belge. "Le fait que Frank Roben soit à l’APD, c’est gros comme une maison […] C’est énorme comme infraction", explique la professeure à la Faculté de droit de l’Université de Namur, qui ne comprend pas pourquoi le Parlement ne fait rien. "Il est à la fois celui qui met en place le traitement (du côté de l’administration) et celui qui va dire que c’est légal de mettre en place ce traitement-là. Juge et partie, contrôleur/contrôlé".

Notons encore que la plainte déposée concerne l’Autorité de protection des données en Belgique et la nomination de quatre membres extérieurs exerçant aussi des mandats publics. Deux membres du centre de connaissances de l’APD, par ailleurs chefs d’administration publique, ont démissionné sur fond de critiques sur l’indépendance de l’Autorité au mois de février dernier. Reste Frank Robben qui est aussi administrateur général de la Banque Carrefour de la Sécurité sociale (BCSS), de la plateforme eHealth, patron de la Smals, et principal rédacteur des décisions du Comité de sécurité de l’information (CSI). Lui aussi était passé récemment sur nos antennes où il avait réfuté toute forme de conflit d’intérêts. Le dernier étant Bart Preneel, Il est professeur en sécurité informatique et en cryptologie à la KU Leuven (Katholieke Universiteit Leuven), fait aussi parti de l’équipe de direction de l’application Coronalert. Ces deux hommes sont aussi membres du Centre de Connaissance de l’APD.

Pour Didier Reynders, il ne s’agit pas ici d’un débat sur une personne en particulier, mais bien sûr le rôle de chaque organe. "S’il y a un organe chargé de contrôler la protection des données, il doit être totalement indépendant de tout autre organe dépendant du gouvernement, directement ou indirectement".

Précisions que nous parlons ici du dépôt d’une plainte anonyme auprès de Didier Reynders, le commissaire en charge de l’application du RGPD, mais qu’il en existe une deuxième, toujours anonyme concernant cette fois-ci le Comité de sécurité de l’information (CSI), le bras informatique de l’Etat, mais aussi d’autres organismes.