Paradis fiscal des données en Belgique

La codirectrice et lanceuse d’alerte de l’Autorité de protection des données, Alexandra Jaspar, a envoyé sa démission à la Chambre. « L’APD ne protège plus les données, mais ceux qu’elle est censée contrôler. »

De guerre lasse, Alexandra Jaspar, codirectrice du Centre de connaissance de l’Autorité de protection des données – l’APD est l’organe amené à vérifier le respect de la vie privée dans les textes de rang législatif – a décidé de jeter l’éponge. Sa lettre de démission a été adressée, ce mardi, à la présidente de la Chambre (Eliane Tillieux, PS) et Kristien Van Vaerenbergh, présidente la commission Justice (N-VA), avant d’être partagée sur l’intranet du Parlement. Avec Charlotte Dereppe, Alexandra Jaspar est aussi l’une des deux lanceuses d’alerte à avoir dénoncé, au Parlement, «les conflits d’intérêts » au sein de l’Autorité et « le manque d’intégrité du président de l’APD, David Stevens. ».

Le 8 novembre dernier, soit un an après avoir tiré la sonnette d’alarme, elle remettait le couvert. A l’arme lourde. Dans un courrier à la Chambre, elle faisait en effet à nouveau part « de la situation du Centre de Connaissance qui n’est pas en mesure d’accomplir sa mission légale en raison de l’absence d’indépendance de certains de ses membres (en violation de la loi sur l’APD et du RGPD), des dysfonctionnements graves affectant le Comité de direction de l’APD que son président actuel gère de manière à en obtenir des décisions illégales, déloyales et motivées par toute une série de considérations étrangères au souci d’accomplir nos missions légales ; et du fait que l’APD n’accomplit pas sa tâche générale de contrôle du respect du RGPD et des règles en matière de protection des données en refusant d’agir, de contrôler et de sanctionner certaines institutions, pour ne pas contrarier leurs dirigeants et leurs projets contraires aux règles de droit. »

La Chambre en défaut

Un mois après ce courrier, Alexandra Jaspar constate, «avec amertume», que rien n’a bougé. Dans sa lettre de dé- mission, elle constate que la Chambre « est restée en défaut de prendre ces mesures, et ce malgré l’injonction de la Commission européenne sommant la Belgique de mettre fin aux mandats des manda- taires de l’APD dépendant du gouvernement, ayant participé à des projets gouvernementaux de traçage des contacts et/ou étant membres du Comité de sécurité de l’information. ».

Sont visés, ici, Frank Robben, le monsieur « data » du gouvernement, patron de la Banque Carrefour de la sécurité sociale, de la plateforme eHealth, également membre externe de l’APD. Bart Preneel, le cryptologue de la KULeuven, membre externe de l’APD mais aussi du Comité de sécurité de l’information, dont la légitimité est plus que jamais remise en cause (une proposition de loi du PTB visant à supprimer cet organe a d’ailleurs été examinée ce mardi). Ainsi que David Stevens, épinglé par la Commission, sans le nommer, pour sa participation à la Task Force Corona mise en place, à l’époque, par Philippe De Backer (Open VLD). Tous sont considérés comme « juges et parties ».

« L’APD ne protège pas les données »
«J’aurais vraiment aimé parvenir, de par mon action au sein de l’APD, à ce que la protection des données soit une réalité en Belgique», écrit la codirectrice à la Chambre. « Et prémunir ainsi les citoyens contre des utilisations abusives, opaques et illégitimes de leurs données personnelles. (…) Je n’ai pu que constater, hélas, que l’APD s’efforce de ne pas contrôler ce et ceux qu’elle devrait (…) et ne protège pas les données mais ceux qui en font mauvais usage, pour peu qu’ils soient liés aux autorités publiques. »

«Ma collègue Charlotte Dereppe et moi avons fait tout ce qui était en notre pouvoir pour tenter de restaurer l’indépendance de l’APD et d’empêcher les agissements illégitimes de membres de l’APD desquels nous avons été témoins, que nous avons découverts ou qui nous ont été rapportés », poursuit Alexandra Jaspar. Qui évoque les «pressions, pièges, menaces, actes d’intimidation et de rétorsion» dont elles font l’objet «pour avoir dénoncé ces faits graves, plutôt que de les cautionner. »

Craignant que les propositions et projets de loi sur la table rendent le Centre de connaissances encore « plus dépendant de ceux que nous sommes censés contrôler », Alexandra Jaspar se dit inquiète « face au sabotage en cours de l’APD, à son dépouillement de compétences au profit de la VTC (NDLR, l’Autorité mise en place par la Flandre), aux violations répétées de notre Constitution et des traités internationaux protégeant les droits fondamentaux que l’APD rend possibles. »

« Un système toxique »

Contactée, Alexandra Jaspar confirme son intention de mettre fin à son mandat. Et ce, alors même que, tel que le prévoit la loi, elle était censée assumer la présidence de l’Autorité dès le mois d’avril. Mais aussi, que la directive européenne visant à protéger les lanceurs d’alerte sortira pleinement ses effets en Belgique le 17 décembre, date à laquelle elle aurait donc été pleinement protégée. Trop tard. « J’ai un mandat public et je me suis engagée à défendre le citoyen», commente-t-elle. « Cela fait un an et demi, avec Charlotte Dereppe, que nous tentons de rétablir l’Etat de droit, en demandant simplement que l’on applique la loi. Cela n’a pas fonctionné. Et je ne vois pas comment cela pourrait fonctionner un jour, car nous sommes dans un système toxique, qui était déjà en place avant que l’on arrive. »

Ce mercredi, le groupe de travail mis en place par la commission Justice devrait, précisément, décider contre lequel ou lesquels des cinq directeurs de l’APD, le Parlement entamera une procédure de levée de mandats. La démission d’Alexandra Jaspar soulagera sans doute la tâche des députés. Elle ne permettrait pas, en revanche, de résoudre le problème de fond. La commission a en effet donné jusqu’au 12 janvier à la Belgique pour résoudre le problème des trois mandats litigieux à ses yeux. A cette date, la Cour de justice européenne sera saisie, avec astreintes à la clé.