Audit sur l’Autorité de protection des données en Belgique- APD

2021-06-08 Off By dporgpd

Dans une note confidentielle, le service juridique de la Chambre juge la nomination de Robben contraire aux lois. La responsabilité civile des autorités est engagée s’il est maintenu à son poste.

L’Autorité de protection des données est-elle indépendante ?
En clair: la présence, en son sein, de membres assumant par ailleurs un mandat public viole-t-elle la loi et est- elle incompatible avec sa mission de gardienne de la vie privée? Incapable de trancher, la commission Justice avait renvoyé la balle à la Cour des comptes.

Dans son rapport, dévoilé, celle-ci dressait un tableau particulièrement sombre des problèmes de gouvernance qui minent l’institution, en particulier dans le chef de son président, David Stevens. Sur la question de l’indépendance de la gardienne de la vie privée, en revanche, elle s’aventurait dans une recommandation, dont la légalité a immédiatement été remise en question : se séparer d’un ou de plusieurs membres du comité de direction sur base de critères subjectifs (leur capacité à « relever les défis sociétaux »).

De quoi étouffer les conflits entre directeurs en ne gardant que ceux qui partageraient la même conception de l’indépendance de l’APD? Peut-être. De quoi régler le problème de fond, celui de l’incompatibilité légale de certains membres nommés directement par le Parlement ? Pas vraiment. Car la mesure épargnerait, paradoxalement, le membre extérieur qui, en vertu de ses nombreux mandats (Cumuleo en signale 18), pose le plus question, à savoir: Frank Robben, entre autres administrateur-général de la Banque Carrefour de la sécurité sociale et de la plateforme eHealth (qui organisent les échanges de données entre toutes les institutions liées à la sécurité sociale et à la santé).

« Entachée d’illégalité »

A cette question, un autre rapport est beaucoup moins ambigu. Cette note, confidentielle, émane cette fois du service des Affaires juridiques de la Chambre. Elle avait été sollicitée à la demande des membres de la com- mission Justice à la suite des auditions des membres du Comité de direction de l’APD. Depuis, Frank Robben avait lui aussi été auditionné, rappelant qu’il n’avait pas fait mystère de ses mandats lors de sa nomination. En gros : « Si je suis là, c’est que vous m’avez nommé ». Un argument que le service juridique de la Chambre balaie d’emblée : « Une décision de nomination par la Chambre ne couvre pas le non-respect d’une condition légale de nomination.

Pareille décision est entachée d’illégalité. »

A plusieurs reprises, Frank Robben insistait sur le fait qu’il se récusait dès lors que des dossiers examinés par l’APD pouvaient constituer un conflit d’intérêts. Selon nos informations, il a en réalité été récusé de force à plusieurs reprises. Mais quand bien même : il ne suffit pas de se (faire) récuser pour régler le problème de l’incompatibilité légale de sa nomination en tant que membre externe. « Ces deux dispositions (être dans les conditions d’éligibilité et se récuser le cas échéant) sont cumulatives» insistent les juristes du Parlement.

Pas d’exception à la règle

La note rappelle d’ailleurs très clairement les conditions de nomination d’un membre d’une autorité de protection des données. Parmi elles, « ne pas être mandataire d’une fonction publique ». On peut lire dans l’exposé des motifs de la loi organique de l’APD que «le législateur estime en effet incompatible la loyauté attendue d’un membre d’une cellule stratégique ou d’un mandataire public avec l’article 52 § 2 du RGPD qui dispose que les membres de l’autorité de protection des données “demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de qui- conque”». Frank Robben, mandataire public, ne pourrait donc pas faire exception à la règle.

Le Parlement a-t-il donc commis une faute lorsqu’il a nommé l’administrateur délégué de la BCSS comme membre extérieur du Centre de connaissances de l’APD (censée examiner le respect du traitement des données de tous les textes législatifs) ? Oui, affirme sans détour la note. Qui ajoute que le maintien de membres en situation d’incompatibilité au sein de l’APD « constitue une violation de la loi org nique et du RGPD». Et, «même si cette décision n’est plus susceptible de recours en annulation devant le Conseil d’État (en raison de l’expiration du délai de recours), son illégalité peut toujours être soulevée dans le cadre d’une action portée devant les cours et tribunaux de l’ordre judiciaire (article 159 de la Constitution). »

Ne pas lever leur mandat, constitue même «une faute civile, susceptible à ce titre d’engager la responsabilité ci- vile extra-contractuelle de l’État. Le fait que l’autorité compétente pour mettre fin à la situation contraire au droit européen est une autorité parlementaire n’empêche pas qu’un juge puisse considérer son action comme fautive. »

Si, juridiquement, la note ne laisse guère de choix aux parlementaires, reste à voir si, politiquement, tous les partis sont prêts à payer le prix d’une levée du mandat de Frank Robben, parfois considéré comme l’un des hommes les plus puissants du pays. Plus que jamais, on marche sur des œufs.

CategoryAPD - Autorité de protection des données Non classé
TagsAPD autorité de protection des données juridique loi Robben