Pendant la période de pandémie de COVID-19, de nombreuses bases de données et outils techniques ont été mis en place par les autorités publiques belges, et ce par le biais d’une grande variété de normes (une liste de celles-ci se trouve ici). Pensons notamment au contact tracing, à la gestion des données de vaccination, au Passenger Locator Form ou encore au Covid Safe Ticket. Ces outils ont en commun de collecter et de croiser des données à caractère personnel, dont certaines sont sensibles car elles concernent la santé. Toutes ces données sont principalement régies, au niveau européen, par le Règlement général sur la protection des données (ci-après « RGPD »).
En Belgique, c’est l’Autorité de Protection des Données (ci-après « APD ») qui est chargée de veiller au respect du droit à la vie privée par nos institutions publiques. Celle-ci est composée d’un Comité de direction et de cinq organes, dont le Secrétariat général et le Centre de connaissances qui font l’objet de notre attention dans cette contribution. Le Centre de connaissances a principalement pour mission de vérifier que les projets de textes normatifs sont conformes à la législation protectrice des données à caractère personnel. Ses avis visent à conseiller les auteurs des normes réglementaires et législatives afin que les textes rédigés respectent les principes de base du RGPD. Quant au Secrétariat général, celui-ci peut formuler des avis à un responsable de traitement dans le cadre d’une analyse d’impact relative à la protection des données (ci-après « AIPD »), laquelle doit être réalisée lorsqu’un traitement envisagé est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Le Secrétariat général a, par exemple, formulé un tel avis à propos de l’AIPD effectuée lors du déploiement de l’application de traçage de contact Coronalert. Pour mener à bien leurs tâches de contrôle du secteur public, l’article 52 du RGPD exige l’indépendance de ces deux organes. Selon la Cour de justice de l’Union européenne (affaire C-518/07, points 19, 25 et 30), cela implique que leurs membres doivent demeurer libres de toute influence extérieure, qu’elle soit directe ou indirecte, y compris celle de l’Etat et qu’ils ne sollicitent ni n’acceptent d’instructions de quiconque. Pendant la pandémie, cette indépendance a été remise en question à de multiples reprises, notamment par deux directrices de l’APD (voir, par exemple l’article du Magazine Axelle d’avril 2022), dont l’une d’entre elles a d’ores et déjà démissionné de ses fonctions (voir l’article de LN24 de décembre 2021).
Dans la suite de cette contribution en deux parties, nous analysons certaines raisons ayant poussé ces deux directrices à signaler des violations du droit de l’Union. Dans le premier volet, nous nous concentrons sur la question de l’indépendance du Centre de connaissances de l’APD. Dans le second, nous analysons celle du Secrétariat général de l’APD et expliquons en quoi la protection conférée aux « lanceurs d’alerte » par la Directive EU 2019/1937, non encore transposée en droit belge, devrait s’appliquer à la rescapée desdites directrices.
Avant l’adoption de toute norme réglementaire ou législative prévoyant un traitement de données, l’article 23 de la loi portant création de l’APD (ci-après « LCA ») impose aux gouvernements et aux parlements de demander l’avis consultatif du Centre de connaissances de l’Autorité. L’objectif d’un tel contrôle préalable est, notamment, d’assurer le respect de l’article 22 de la Constitution et donc de vérifier qu’une norme formelle, de rang législatif, précise les éléments essentiels desdits traitements. En vertu de la norme juridique suprême de notre pays, c’est en effet une loi, un décret ou une ordonnance qui doit définir la finalité déterminée, explicite et légitime du traitement, l’identité du (ou des) responsable(s) du traitement, les catégories de personnes concernées, les catégories de données adéquates, pertinentes et non excessives à traiter, le délai de conservation maximal et (le cas échéant) l’échange avec / la communication à / l’accès aux données par un (des) tiers (des instances tierces). Comme l’ont confirmé la Cour constitutionnelle (arrêt 2/2021, points B22.1 et s.) et le Conseil d’Etat (avis 68.936/AG, points 101 et s.), de tels éléments essentiels ne peuvent pas être délégués au pouvoir exécutif, l’objectif étant de garantir l’intervention d’une assemblée délibérante et démocratiquement élue. Une habilitation au pouvoir exécutif est possible dans le seul cas où celle-ci porte sur l’exécution de mesures dont les éléments essentiels sont fixés préalablement par le législateur. Vu cette importante mission de contrôle de légalité et de proportionnalité, il est extrêmement important de garantir l’indépendance des membres du Centre de connaissance vis-à-vis du pouvoir exécutif. C’est pour cette raison que l’article 38 de la LCA considère explicitement comme cause d’incompatibilité légale le fait d’être mandataire d’une fonction publique. Cette notion a récemment été clarifiée dans le nouveau projet de loi du Secrétaire d’Etat chargé de la Protection de la vie privée comme interdisant à tout membre du Centre de connaissances d’être mandataire public, administrateur public ou gestionnaire public dans le sens de l’article 2 de la loi du 6 janvier 2014 portant création d’une Commission fédérale de déontologie.
Cependant, jusqu’il y’a peu, trois membres du Centre de connaissances étaient encore mandataires d’une fonction publique. Suite aux révélations de la Ligue des droits humains, deux d’entre eux ont présenté leur démission en février 2021 (voir l’article dans L’Echo du 18 février 2021). Le troisième − qui est, entres autres, administrateur général de la Banque-carrefour de la sécurité sociale et de la Plateforme eHealth, deux institutions ayant pour mission de gérer de larges bases de données dans les deux plus grands secteurs du pays – a attendu que la Commission européenne entame une procédure en infraction contre la Belgique avant de quitter ses fonctions au sein de l’APD (voir l’article dans Le Soir du 7 février 2022). Sur son site web, l’intéressé continue de clamer qu’il « reste d’avis que [sa] fonction à l’APD ne posait aucun problème d’indépendance ». Selon ses dires « la lutte contre la pandémie de la COVID-19 a souvent douloureusement montré combien il est difficile de prendre des mesures rapides et énergiques lorsque la réglementation est trop détaillée au niveau opérationnel et est trop lente à modifier. En temps normal également, il n’est pas souhaitable que la réglementation soit aussi détaillée qu’elle entrave les évolutions souhaitées. Il est préférable d’opérer une distinction entre, d’une part, des objectifs intrinsèques et de protection des données, qui sont définies dans la législation, et, d’autre part, la manière selon laquelle ces objectifs sont atteints. Lors du choix de la manière dont les objectifs sont réalisés, il faut accorder une liberté suffisante pour faire face, de manière optimale, aux besoins concrets et aux risques de chaque environnement ». En d’autres termes, cet ex-membre du Centre de connaissances – dont une des missions était de veiller au respect de l’article 22 de la Constitution – semble prétendre que pour des raisons de pragmatisme, il pourrait être dérogé à la norme suprême dont l’importance a encore été rappelée avec force par le Conseil d’Etat en temps de pandémie. Bien entendu, pour des raisons politiques, ce genre d’argumentation pratique pourrait être invoquée par le législateur en quête d’équilibre dans ses objectifs. Mais, par souci d’indépendance, cette logique ne peut pas être celle d’un membre de l’autorité gardienne du droit à la vie privée. En outre cette revendication contra legem est à mettre en parallèle avec l’implication de l’intéressé au sein du Comité de Sécurité de l’Information (voir l’article dans Le Soir du 10/02/2022). En matière de suivi de contacts, les auteurs de l’accord de coopération avaient initialement prévu de d’abandonner la détermination de certains éléments essentiels à la discrétion de ce Comité. Cela avait poussé le Conseil d’Etat (avis 67.719/VR, point 27) à réagir en ces mots très durs :
« l’attribution d’un pouvoir réglementaire à un organisme public, comme le comité de sécurité de l’information, n’est en principe pas conforme aux principes généraux de droit public en ce qu’il est ainsi porté atteinte au principe de l’unité du pouvoir réglementaire et qu’un contrôle parlementaire direct fait défaut. En outre, les garanties dont est assortie la réglementation classique, telles que celles en matière de publication, de contrôle préventif exercé par le Conseil d’État, section de législation, et de rang précis dans la hiérarchie des normes, sont absentes. Pareilles délégations ne se justifient dès lors que dans la mesure où elles sont très limitées et ont un caractère non politique, en raison de leur portée secondaire ou principalement technique. Les organismes qui doivent appliquer la réglementation concernée doivent être soumis à cet égard tant à un contrôle juridictionnel qu’à un contrôle politique ».
Suite à une lettre de mise en demeure de la Commission européenne mettant en exergue l’incompatibilité légale de l’intéressé, celui-ci a finalement démissionné de son mandat de membre au Centre de connaissances de l’APD en février 2022. Si l’on peut regretter que le Parlement n’ait pas pris les devants, cette décision personnelle a néanmoins mis fin à la première série de violations du droit de l’Union dénoncées par les deux directrices de l’Autorité. Cela n’a toutefois pas résolu un second problème d’indépendance de l’APD qui vise, cette fois-ci son Secrétariat général. Pour tenter de le régler, les parlementaires ont décidé de lancer une procédure de levée de mandats, non seulement à l’égard du directeur de ce service − lequel est également Président de l’Autorité – mais aussi à l’encontre de celles des deux directrices lanceuses d’alerte n’ayant pas démissionné. Dans le deuxième volet de cette contribution, nous analyserons tant ce second grief de revendications que l’application des règles de la Directive (UE) 2019/1937 à celles qui ont publiquement dénoncé les faits.
Tijd voor Mensenrechten offre une plateforme aux experts en droits de l’homme et vérifie la qualité des contributions avant leur publication. Néanmoins, les analyses et les opinions restent la responsabilité de l’auteur.
0 reacties