Mais que se passe-t-il au sein de l'Autorité de protection des données?

L’incendie brûle dans la maison informatique Belgique. La démission d’Alexandra Jaspar, l’une des directrices de l’autorité de protection des données, n’a fait que jeter de l’huile sur un feu particulièrement ardent depuis la crise sanitaire où les défiances et suspicions des citoyens se multiplient. Des choses étranges ont fait surface notamment en matière de traçage. La liste de contacts donnés par les personnes positives n’était pas seulement utilisée par les services de traçage pour qu’ils soient prévenus mais aussi par la police pour contrôler les quarantaines.

Derrière tout ça, et depuis plusieurs mois, deux hommes clé dans la protection des données sont visés par la commission européenne. Bart Preneel, directeur à l’APD, siège au comité de sécurité de l’information. Il peut ainsi décider qui a accès à la liste des personnes vaccinées. Et puis, il y a Frank Robben que d’aucuns qualifient de « big brother ». Actif depuis l’époque de Jean-Luc Dehaene, Frank Robben a inventé le modèle pour que toutes les données ne soient pas centralisées au même endroit en Belgique, notamment pour éviter des problèmes en cas de piratage éventuel. Il décide de comment le système est mis en place de manière technique, de manière pratique et, en plus, il siège à l’APD. « C’est comme s’il donnait un label à son propre système. L’APD a un rôle de chien de garde qu’elle ne joue pas assez à l’égard de l’Etat. Le système a été construit de manière opaque. On ne peut pas être contrôleur et contrôlé. Le cumul des mandats est illégal », explique Elise Degrave, professeur à l’UNamur et l’une de nos rares expertes en droit numérique. Elle travaille depuis quinze ans sur ce domaine hyper sensible mais qui ne semblait intéresser personne jusqu’il y a quelques mois.

Le subtil équilibre des droits fondamentaux

Frank Robben noie le poisson. Il rappelle, à juste titre, que la mission de l'Autorité de Protection des Données consiste à veiller au respect de tous les droits et libertés fondamentaux reconnus dans la Charte des droits fondamentaux de l'Union européenne et la Constitution belge. « Le droit fondamental à la protection des données est essentiel, mais dans un équilibre sain avec notamment le droit fondamental à la sécurité sociale, à la santé, à la bonne gouvernance, à l'accès à une justice efficace, etc. L'APD peut et doit contribuer à cet équilibre, afin que les citoyens puissent à juste titre continuer à se fier au traitement électronique de leurs données personnelles », dit-il. Et de continuer. « Je suis convaincu que cela nécessite une approche multidisciplinaire (juridique, technique, sociétale) et qu’une focalisation purement juridique, centrée uniquement sur un droit fondamental, menacerait de compromettre inutilement le progrès social et économique, les services de qualité aux citoyens et aux entreprises, la recherche scientifique, etc. L’APD doit être strictement indépendante, mais elle ne peut s’enfermer dans sa tour d'ivoire. Elle devrait être en mesure de conseiller nos gouvernements sur la conception de nouvelles réglementations. »

Frank Robben. © BelgaImage

Evidemment, c’est le rôle de l’APD de conseiller et de contrôler. Pour Frank Robben, pas de problème quant à sa personne. « Fort de cette vision et de mon expertise, je me suis porté candidat en 2018 pour devenir membre du Centre de connaissances et j'ai été nommé par la Chambre des représentants. Bien entendu, dans cette fonction, je n'ai jamais traité de dossiers dans lesquels j’avais aussi un autre intérêt. Je remplis ce rôle avec la plus grande indépendance et sans être juge et partie. Ma position en tant que membre externe du Centre de connaissances ne constitue donc pas l'essence de la question - c'est une discussion ouverte sur la mission de l’APD en tant qu'organisation multidisciplinaire, qui nous permet d'avancer en tant que société, grâce à l'échange de données, avec toutes les garanties nécessaires. »

La Belgique, premier pays européen condamné?

Vraiment? L’Europe est très exigeante sur l’indépendance des services publics qui utilisent les données des citoyens, souligne Elise Degrave. « Peu importe que Frank Robben se retire sur certains dossiers sur lesquels il a des intérêts. Dans les couloirs, son influence peut toujours jouer énormément. Il est fonctionnaire, c’est dans ses fonctions de faire valoir les intérêts de l’Etat et des ministres, notamment aujourd’hui ceux de Frank Vandenbroucke (ministre de la santé, Vooruit). Il est à tous les échelons du processus. C’est un peu comme s’il créait les vaccins, contrôlait leur efficacité et piquait les gens de surcroît », renchérit Elise Degrave qui ne comprend pas pourquoi le Parlement ne décide pas simplement d’écarter Frank Robben de l’APD, ce qui ne lui retirerait aucune autre fonction.

Car la loi du 3 décembre 2017 stipule noir sur blanc qu’on ne peut pas cumuler les mandats. Le couperet européen tombera le 12 janvier prochain. La Belgique s’illustrerait alors comme premier pays condamné pour non-respect du RGPD (règlement général sur la protection des données). « En 2021, il est normal d’utiliser les données des citoyens notamment à des fins de simplifications administratives comme pour générer des déclarations fiscales pré-remplies, admet Elise Degrave. Mais cette utilisation doit être encadrée par des lois et les parlementaires doivent être guidés pour s’y retrouver. » L’indépendance, c’est le mur porteur de la protection des données, explique encore l’experte. « La première défaillance de notre système, c’est qu’on ne sait pas où sont localisées les données. Il existe un système nommé 'Oasis' qui centralise les données fiscales et sur lequel est appliqué un algorithme anti-fraude. S’il y a une erreur dans les données, la personne va être contrôlée chaque année sans savoir pourquoi et de manière aveugle. L’enjeu c’est le pacte de confiance entre les citoyens et l’Etat. On n’accepterait pas que l’arbitre d’un match de foot soit aussi le coach d’une des deux équipes. L’Etat va continuer à gérer nos données. L’idée est de les faire circuler. C’est très bien. Mais il ne faut pas en profiter pour piéger les gens. »

La réaction de Mathieu Michel

Mathieu Michel, secrétaire d’Etat à la protection de la vie privée, veut remettre l’église au milieu du village. Deux dossiers se font face. Le premier concerne les cumuls de mandats qui sont dans le viseur de l’Europe et seul le Parlement, via la procédure de l’article 45, est compétent pour décider de la suite à donner à ce problème. Le second dossier est celui du fonctionnement général de l’APD. Sur ce point, le secrétaire d’Etat travaille à une réforme. Un brouillon de projet de loi verra le jour la semaine prochaine. « Je mène un travail de fond pour créer un outil dans un cadre plus global qui améliorera l’indépendance de l’APD. L’APD fonctionne aujourd’hui très fort en silos et je souhaite aller vers un organe plus collégial ainsi que passer de cinq à quatre représentants avec une parité entre néerlandophones et francophones. » L’APD devrait aussi à l’avenir pouvoir faire son propre ordre intérieur. Et puis, « les membres du comité de direction ne peuvent avoir d’intérêts dans quelque entreprise que ce soit qui toucherait de près ou de loin aux données des citoyens. L’APD est un centre de connaissance qui doit pouvoir recourir à des experts extérieurs. Ils n’auraient bien entendu pas de pouvoir de décision et ne seraient pas hauts-fonctionnaires. C’est important pour amener du pragmatisme. »