Donnée personnelle : la Belgique devant la Cour de justice européenne

2021-12-31 Off By dporgpd

Pour régler le problème d’indépendance et les multiples conflit de l’APD, la commission Justice ne lève pas le mandat du fonctionnaire Frank Robben proche des entreprises privés, mais bien celui du président de l’autorité de protection des données et celui… de la lanceuse d’alerte. Malaise.

C’est ce qu’on appelle un mauvais compromis à la belge. À ce titre, celui intervenu ce vendredi matin, à huis clos, en commission Justice, restera dans les annales. Après plus d’un an de débats houleux, la majorité parlementaire a adopté son plan de sortie, visant à éviter à la Belgique une condamnation devant la Cour de justice de l’Union européenne pour infraction grave au RGPD (Règlement général sur la protection des données).

Les députés ont le revolver sur la tempe : l’Etat a jusqu’au 12 janvier pour résoudre les problèmes d’indépendance de l’Autorité de protection des donnés. Comment ? En mettant fin aux incompatibilités légales et autres conflits d’in- térêts de ses membres. Sont très clairement visés par la Commission (sans les nommer) : Frank Robben qui, entre de multiples casquettes, gere la quasi-totalité des systèmes de gestion de données de la crise covid ; Bart Preneel, le cryptologue de la KULeuven, également membre du Comité de sécurité de l’information. Mais aussi David Stevens, le président de l’APD. Même s’il se défend d’être visé par la procédure, la Commission épingle sa participation à la task force « Data Against Corona », mise en place par le gouvernement au début de la crise pour gérer, entre autres, le « tracing ».

Qu’a donc décidé la Commission, majorité contre opposition ?

Si on résumait à la hache, ceci: de ne pas lever les mandats de Frank Robben et de Bart Preneel, d’entamer une procédure (dite « article 45 ») contre celui de David Stevens. Et, surprise, aussi à l’encontre de Charlotte Dereppe, codirectrice de l’APD, mais surtout une des deux lanceuses d’alerte ayant mis en garde le Parlement sur les dysfonctionnements de l’APD, devenue, disaient-elles, « inopérante». Dans le détail, la décision est en réalité presque plus complexe qu’un accord de gouvernement.

« Faute grave »

On reprend. Selon nos informations, David Stevens n’aurait pas résisté à l’épreuve des faits repris dans divers rapports, dont celui de la Cour des comptes qui épinglait aussi des problèmes graves de gestion. La «faute grave » a donc été retenue. Sauf que, sur les bancs flamands, il fallait une « compensation ». En clair : une tête francophone. Comme Alexandra Jaspar, l’autre lanceuse d’alerte, leur a coupé l’herbe sous le pied en démissionnant, c’est Charlotte Dereppe qui écope. Pas pour faute grave, mais du fait qu’elle « ne remplit plus les conditions de son éligibilité » (on lui reproche notamment de ne plus participer physiquement aux comités de direction).

Dire que cette décision, qui la place sur le même banc des accusés que Stevens, a suscité de profonds malaises (tant dans l’opposition qu’au sein de la majorité, mais aussi à La Ligue des droits humains, laquelle s’est par ailleurs vu refuser sa demande d’audition) est un euphémisme.

Hasard du calendrier, c’est ce vendredi 17 décembre que la directive européenne visant à protéger les lanceurs d’alerte porte pleinement ses effets en Belgique. Il appartiendra à la Chambre, la semaine prochaine en séance plé- nière, de confirmer l’accord de majorité. Rappelons que, précisément pour des raisons de séparation des pouvoirs, seul le Parlement nomme (et récuse) les membres de la gardienne de la vie privée. Cette procédure de levée de mandat serait par ailleurs une première dans l’histoire parlementaire.

Course contre la montre. Quid dès lors de Robben et Preneel ?

Deux scénarios sont sur la table. Et dans les deux cas,selon plusieurs sources, il y a une volonté d’offrir « une porte de sortie honorable » au premier. Pas de choc frontal, donc. Première piste : tabler sur une proposition de loi portée par Khalil Aouasti (PS). L’idée : modifier les règles de composition de l’APD pour les limiter aux seuls magistrats et académiques (ce que Robben n’est pas et le mettrait de facto hors jeu, du moins à cette position-là…). Reste à voir si l’idée passera la rampe de la Commission européenne: celle-ci a déjà recalé la Hongrie qui envisageait de modifier la composition de son autorité de protection des données en cours de mandat.

Deuxième scénario : tabler sur la future nouvelle loi « Vie privée », quasi prête à entamer son parcours législatif. « Elle clarifiera, entre autres, les règles d’incompatibilités légales, qui sont en réalité déjà dans la loi existante », nous confirme le secrétaire d’Etat à la Vie privée, Mathieu Michel (MR). En filigrane, on décode : les députés pourraient brandir cette nouvelle loi pour signifier la levée de mandat de Frank Robben, sans devoir admettre avoir commis une faute historique en l’ayant nommé de manière illégale compte tenu des incompatibilités légales figurant déjà dans l’actuelle loi vie privée.

Dans tous les cas, il semble aujourd’hui quasi acquis que la Belgique n’aura pas rétabli l’indépendance de son APD d’ici au 12 janvier. Si tel est le cas, ce sera la Cour de justice, et ses éventuelles astreintes.

CategoryActualité RGPD APD - Autorité de protection des données
Tagsautorité Belgique Commission conflit cour décision données européenne interet justice personnelles protection