Capture d’écran 2021-03-12 021327.png

Protection des données: l’APD, le chien de garde qui ne mord pas Ph. Laloux

23 02 2021

L’Autorité de protection des données doit sanctionner l’Etat en cas d’infraction au RGPD (comme c’est le cas). Et pourtant, elle montre à peine les crocs. Son indépendance est solidement mise en cause.

"Les libertés, c’est comme du dentifrice, une fois que ça sort du tube, ça n’y rentre plus jamais"

Elise Degrave, professeur de droit à l’UNamur, a le sens de l’image qui claque. En termes juridiques, « l’effet cliquet des droits fondamentaux » parle sans doute moins au citoyen lambda. Pour en mesurer la portée, il suffit d’imaginer que les mesures mises en place depuis mars dernier pour lutter contre le coronavirus (recueil massif de données via le traçage manuel, de données de vaccination…) risquent bel et bien de nous coller longtemps aux semelles. Avec des finalités d’usage floues pour une part de plus en grande de la population, mal à l’aise avec ces dispositions. Vais-je encore pouvoir prendre le train sans certificat de vaccination ?

 

Contracter une assurance si l’on découvre mes « facteurs de comorbidité » désormais logés dans une banque de données Sciensano ?

Aurai-je encore le droit à la vie privée, comme le prévoit l’article 22 de notre Constitution ?

Heureusement, l’Autorité de protection des données est là pour veiller. Et s’assurer que les gouvernements ne poussent pas le bouchon un peu trop loin. Depuis la mise en place du RGPD, le chien de garde de la démocratie en matière de vie privée est même doté de crocs. L’APD peut (elle doit, même) imposer la suppression d’un traitement de données qu’elle estime illégal. Ou poursuivre l’Etat devant les cours et tribunaux pour exiger, comme l’impose la Constitution, qu’une loi définisse le traitement de nos données, et non des arrêtés par des ministres sans débat parlementaire.

Or, le chien de garde ne mord pas, du moins pas l’Etat. Comme s’il était anesthésié, sous formol ou en hibernation. Après la mise à l’écart du parlement, du Conseil d’Etat ou de l’APD par le législateur, voici donc le deuxième étage de la fusée : le renvoi à la niche de l’Autorité de protection des données, « vidée de l’intérieur et pourrie », scandent plusieurs lanceurs d’alerte.

Une autorité ignorée, bypassée

Tout au plus, elle montre les crocs. Comme ce courrier « d’avertissement » envoyé à toutes les autorités pour rappeler son existence, le 2 février. En cause ? Un décret flamand qui autorise Sciensano à transmettre les données de « contact tracing » aux bourgmestres pour contrôler le respect de la quarantaine. Ou encore l’arrêté ministériel du 12 janvier qui permet à l’ONSS d’exploiter nos données de santé, nos données de contacts, d’identification, de travail et de résidence. Mais pas de mise en demeure, pas de sanction, pas d’action en justice. « Mi-mars, après évaluation », nous a précisé David Stevens, l’APD « pourrait lancer d’éventuelles procédures plus fortes ». Soit deux mois après que le dentifrice soit sorti du tube… « C’est comme si la police constatait qu’un conducteur n’a pas de permis mais lui écrivait pour lui dire “Attention, ne franchissez pas les feux rouges” », réagit Elise Degrave.

Concernant le décret flamand, en revanche, l’APD est quelque peu gênée aux entournures : la Vlaamse ToezichtCommissie (VTC) a d’ores et déjà donné un avis positif. La VTC ? Une version régionale de l’APD, contraire au RGPD et à la Constitution, et qui permet aux autorités flamandes de bypasser systématiquement l’APD. David Stevens y siège à titre d’observateur (contre l’avis de certains membres de son Comité de direction). Et n’avait pas bronché.

Dribblée par le Comité de sécurité de l’information, par les autorités flamandes (et la VTC), l’APD est aussi snobée par les ministres fédéraux, lesquels gouvernent par arrêtés sans consulter la « gardienne de la vie privée ». Ou ignorent tout simplement ses avis. Ce fut le cas, en violation de toutes les normes, pour les textes de loi encadrant le traçage et la vaccination, qui renvoient au CSI (et donc à Frank Robben) le soin d’autoriser l’utilisation de nos données par les autorités publiques

.

Une vieille complicité

« En réalité, dénoncent plusieurs lanceurs d’alerte sous couvert d’anonymat, David Stevens s’oppose systématiquement à ce que l’APD intervienne pour faire annuler ou suspendre une norme ou un traitement de données illégal effectué par l’Etat dans le cadre de dossiers dans lesquels Frank Robben est actif. » Un exemple ? Alors que le Comité de direction de l’APD avait chargé son président de transmettre une note au parlement dénonçant les interventions anticonstitutionnelles du CSI, il n’aura finalement envoyé « qu’une page sur deux », présentant le document comme une simple

 

« Note du secrétariat » sans demander au parlement d’agir. Surprenant aussi, cet avis positif du président de l’APD sur un dossier pourtant démonté en dix pages par les experts de l’Autorité. « A se demander s’il les a lues… ».

Les liens de proximité entre Robben et Stevens remontent inlassablement des nombreux entretiens que nous avons pu mener pour cette enquête. Ils s’articulent au départ de la KULeuven (où Robben est actif dans plusieurs projets de traitements de données et où Stevens a travaillé près de quatorze ans). Mais ils s’apparentent surtout à une relation marquée sous le sceau de l’emprise. « Stevens a prêté allégeance à Robben et celui-ci le lui rend bien », tranche notre source, qui accumule, preuves à l’appui, les flagrants délits de liens incestueux. Et de cercles vicieux.

Frank Robben, présent à l’étage législatif, est aussi présent à l’étage du contrôle des lois en matière de vie privée en tant que membre externe du Centre des connaissances de l’APD. Récusé d’office par la directrice dès lors qu’on y évoque un texte auquel il a prêté sa plume (comme ceux organisant le traçage), il nie les avis critiques ou « conseille » au Comité exécutif de ne pas les suivre. Dans l’autre sens, David Stevens, censé être l’étage du contrôle, répond favorablement à l’invitation de Philippe De Backer, ex-ministre de l’Agenda digital, pour participer à la « task force data against corona » (qui encadre le traçage). Les fonctions de juge et partie se mélangent.

« Incompatibilité légale »

Lors de notre entretien avec David Stevens (Le Soir du 3 février), le président de l’APD bottait en touche :

 

« Monsieur Robben est nommé par le parlement. »

« Et il y a au moins deux de mes compétences en tant que président qui justifient ma participation à cette task force. Un : donner des conseils sur les rapports d’analyse de risque (en matière de vie privée, NDLR). Et deux : la compétence de veille, qui revient à suivre les évolutions économiques, technologiques et sociales. »

Ce n’est pas l’avis de La Ligue des droits humains (LDH) qui, le 23 juin dernier, dénonçait dans un courrier adressé aux parlementaires « une forme d’obéissance de l’APD au pouvoir politique induite par la nomination de mandataires publics » en dépit des règles préexistantes garantissant l’indépendance de l’Autorité de protection des données. Deux directrices de l’APD, Charlotte Dereppe et Alexandra Jaspar, ont été auditionnées par la Commission Justice après avoir dénoncé les mêmes faits, rendant l’Autorité ni plus ni moins « inopérante ».

Le hic : lors de sa nomination par le Parlement, Robben a considéré qu’il n’était pas mandataire public, une condition d’exclusion. Pour Franck Dumortier, chercheur Cyber and Data Security LAB à la VUB et membre de la LDH, il n’y a pas photo :

 

« Au sens de la loi de 2014 sur les mandats publics, il y a clairement un problème d’incompatibilité légale. Et si le parlement ne peut pas vérifier le respect des conditions de nomination a posteriori, c’est que la loi est mal faite. »

Une docilité qui arrange tout le monde

Elise Degrave, elle aussi, est formelle : « L’APD n’est pas indépendante ». « Tolérerait-on qu’un responsable du KRC Genk arbitre le match Standard-Genk ? Non. Un arbitre doit être tout à fait neutre. Comme l’APD, qui doit agir sans aucune influence extérieure, notamment du gouvernement, pour être au-dessus de tout soupçon de partialité, comme l’imposent la Cour de justice de l’Union européenne, le RGPD et la loi belge. Pourtant, objectivement, au moins un des membres de notre APD est à la fois “juge et partie”, étant en situation de “bigamie institutionnelle”. Ce membre est un fonctionnaire important, qui met en place des traitements de données côté administrations, et peut les valider côté APD (NDLR, Frank Robben). Sans réveil urgent du Parlement, qui a le pouvoir d’assainir la situation, la Belgique pourrait avoir des problèmes sérieux au niveau européen. »

Mais, au parlement, les boucliers peinent à se lever. Du moins du côté francophone. Sur les bancs flamands, on fait bloc. A l’instar de David Stevens ou de Robben pour qui le problème de l’APD, ce ne sont pas les conflits d’intérêts mais « un conflit interpersonnel » au sein de l’Autorité. Des petites querelles internes, vraiment ? Une juriste d’un cabinet fédéral nous glisse, en off, sans détour : « Une APD docile, cela arrange tout le monde : la majorité N-VA du parlement flamand, qui voit d’un bon œil la régionalisation de la vie privée ; le CD&V, proche de Robben et très présent dans les administrations fédérales. Et le gouvernement, ravi d’avoir les coudées franches pour lutter contre le covid… ».

La vie privée n’était qu’une parenthèse de l’Histoire a dit, un jour, Vinton Cerf, un des pères d’internet. S’est-elle à jamais refermée pour le Belge ?

Le rôle de Willem Debeuckelaere

Ph.L.

 

Au cours de cette enquête, un nom revient régulièrment dans les conversations, celui de Willem Debeuckelaere. L’ex-président de l’ex-Commission de la vie privée, aussi ancien chef de cabinet de Johan Vande Lanotte (SP.A), aurait, pour certains, joué un rôle crucial en fermant parfois les yeux sur certaines pièces de l’échafaudage mises en place par Frank Robben. Influent, beaucoup plus dans un registre politique que son successeur à l’APD, David Stevens, il savait aussi se montrer très persuasif pour neutraliser les sources d’opposition. Il pèse encore toujours, aujourd’hui, dans l’entourage du parti socialiste flamand.

Source :  Plus.Le Soire