Dans la première partie de notre contribution, nous nous étions efforcés d’expliquer pourquoi les révélations de deux directrices de l’Autorité de protection des données (ci-après « APD ») remettaient en question l’indépendance du Centre de connaissances de l’Autorité. Pour rappel, ce service a principalement pour mission de vérifier la légalité des projets de textes législatifs et réglementaires ainsi que leur conformité au RGPD. Dans ce second volet, nous analysons la question de l’indépendance du Secrétariat général de l’Autorité, lequel a émis un avis sur l’ analyse d’impact relative à la protection des données (ci-après « AIPD ») effectuée lors du déploiement de l’application de traçage de contact Coronalert. Nous nous efforçons également de clarifier l’application des règles européennes protégeant les lanceuses d’alerte. Pour rappel, tant le directeur du Secrétariat général que la rescapée des deux directrices ayant publiquement dénoncé les faits sont visés par une procédure de levée de mandats lancée par le Parlement.
L’indépendance du Secrétariat général de l’APD
Un deuxième grief des deux directrices (voir l’article dans Le Soir du 15/10/2020) concerne le manque d’indépendance du directeur du Secrétariat général de l’APD, lequel occupe actuellement aussi la fonction de Président de l’Autorité. Le 22 avril 2020, ce dernier est auditionné au Parlement dans le contexte d’une proposition de résolution relative au développement potentiel d’une application mobile pour lutter contre le coronavirus. Durant cette audition, plusieurs députés lui reprochent de ne pas les avoir avertis que le gouvernement avait déjà soumis à l’APD un avant-projet d’arrêté royal relatif à la mise en place d’une application de tracing, une première oratrice indiquant qu’il « semble difficile de croire que le Président de l’APD n’était pas au courant », et un autre lui rappelant qu’en principe « c’est le Parlement qui contrôle le gouvernement », et non l’inverse. A cette même occasion, un troisième parlementaire évoque, quant à lui, son désagréable « sentiment que le Président de l’APD a menti par omission au parlement » (voir les documents parlementaires, pp. 98, 105 et 107). En outre, durant une seconde audition, tenue le 6 mai 2020, le Ministre De Backer confirme que le Président de l’APD fait partie d’une Task Force gouvernementale « Data Against Corona » dont l’un des flux de travail porte « sur le traçage des contacts et sur les stratégies à adopter après le pic » pour offrir également « un cadre légal au traçage par le biais des applications » (voir les documents parlementaires, pp. 14, 19 et 25). Interrogé à propos d’un éventuel conflit d’intérêt, le Président de l’APD répond que « toutes les applications liées au coronavirus doivent être agréées par la task force avant d’être proposées sur Google Play ou sur l’App Store. Pour obtenir cet agrément – une sorte d’autorisation – l’application doit réussir un test préliminaire rapide réalisé par la task force. Des dizaines de tests ont ainsi déjà été effectués. L’orateur indique que ce contrôle est très performant. Les applications qui présentent des failles importantes en matière de vie privée sont écartées. Si l’APD ne faisait pas partie de la task force, des applications de ce type seraient commercialisées et l’APD exercerait son contrôle régulier, mais elle serait contrainte de le faire a posteriori. Le test préliminaire, qui n’entraîne pas d’approbation formelle, constitue une forme de privacy by design. M. Stevens est heureux de faire partie de la task force, au sein de laquelle il veille à garantir la protection de la vie privée. Il n’y a donc pas de confusion d’intérêts et il n’y en aura pas davantage si l’APD devait, dans une phase ultérieure, rendre un avis ou réaliser une analyse d’impact relative à la protection des données concernant une application précédemment soumise à un test ». (voir les documents parlementaires, p. 61). Quelques mois plus tard, le 10 septembre 2020, le Président de l’APD, en sa fonction de directeur du Secrétariat général, signe un avis à propos de l’analyse d’impact concernant l’application Coronalert. Dans cet avis, après avoir énuméré un certain nombre de risques insuffisamment identifiés et évalués par les auteurs de l’AIPD, le Président de l’APD autorise, malgré tout, la continuité du projet Coronalert à condition d’obtenir des informations complémentaires dans un délai de 6 mois. Or, pour rappel, la Cour de justice (ci-après « CJUE ») considère que l’indépendance des membres d’une autorité de protection des données doit assurer à cet organe la possibilité d’agir en toute liberté, à l’abri de toute instruction et de toute pression. En outre, la Cour insiste pour que les décisions des autorités de protection des données, et donc elles-mêmes, soient au-dessus de tout soupçon de partialité (affaire C‑518/07, points 18 et 36). C’est précisément ce soupçon de partialité imputable au Président de l’APD qui est dénoncé par les deux lanceuses d’alerte. Ils soulignent deux problèmes. D’une part, que le directeur du Secrétariat général ne puisse pas, à tout le moins, être suspecté de ne pas avoir été libre de toute influence extérieure dans son avis Coronalert suite à sa participation à la Task Force gouvernementale. De l’autre, étant donné son implication dans cette Task Force et vu sa fonction complémentaire de Président, le doute quant à l’influence interne de ce dernier sur les avis subséquents rendus par le Centre de connaissances au sujet des textes normatifs régulant cette application.
La protection des lanceuses d’alerte
Quoi qu’il en soit, le 17 décembre 2021, le Parlement − garant de l’indépendance de l’APD − a décidé de lancer la procédure de levée de mandats prévue à l’article 45 de la loi portant création de l’APD (ci-après « LCA »), non seulement à l’égard du Président de l’Autorité mais également à l’encontre de la directrice rescapée ayant alerté la Chambre et la presse à de multiples reprises au sujet des dysfonctionnements susmentionnés (voir l’article dans Le Soir du 17/12/2020). Or, le même jour, entrait en vigueur la Directive (UE) 2019/1937 offrant une protection aux personnes signalant des violations au droit de l’Union, y compris des violations dans le domaine de la protection de la vie privée et des données à caractère personnel. Cette Directive vise à protéger les lanceurs d’alerte à l’égard des représailles, définies comme « tout acte ou omission direct ou indirect qui intervient dans un contexte professionnel, est suscité par un signalement interne ou externe ou une divulgation publique, et qui cause ou peut causer un préjudice injustifié à l’auteur de signalement ». Les fonctionnaires, employés des services publics, ainsi que toute autre personne travaillant dans le secteur public peuvent bénéficier de cette protection. Bien que non encore transposée en droit belge, il fait peu de doute que la directrice en question puisse bénéficier de la protection offerte. En effet, il est de jurisprudence constante de la CJUE qu’une directive européenne ou l’une de ses dispositions dispose d’un effet direct vertical si elle, ou certaines de ses dispositions, est claire, précise et inconditionnelle, et que son délai de transposition est dépassé. Ces conditions sont manifestement remplies par l’article 15 de la Directive, lequel prévoit les cas dans lesquels les personnes procédant à des divulgations publiques – c’est-à-dire la mise à disposition dans la sphère publique d’informations sur des violations – doivent être protégées. Il semble dès lors que la directrice rescapée de l’APD puisse invoquer l’effet direct de cette disposition pour être mise à l’abri de toutes représailles liées aux divulgations publiques relatives aux problèmes d’indépendance de l’APD qu’elle a effectuées. Vu que la Directive énonce qu’une lanceuse d’alerte est présumée subir un préjudice en représailles aux divulgations publiques, il incombera au Parlement d’établir qu’une éventuelle levée de mandat de ladite directrice est fondée sur des motifs dûment justifiés, indépendants des divulgations réalisées.
Comme requis par l’article 45 de la LCA, avant de décider d’éventuelles levées de mandats, le Parlement doit procéder aux auditions du Président de l’APD et de la directrice rescapée. Celles-ci ont débuté le 27 avril 2022. Gageons que l’Etat de droit soit respecté à l’issue de celles-ci.
Tijd voor Mensenrechten offre une plateforme aux experts en droits de l’homme et vérifie la qualité des contributions avant leur publication. Néanmoins, les analyses et les opinions restent la responsabilité de l’auteur.