JOURNALISTE FREELANCE.BE Le site des journalistes indépendants

Le garant de la vie privée infiltré par l’Etat Big Brother ?

C’est l’arroseur arrosé, version vie privée. Mais ça n’a rien de drôle, car nos données personnelles sont en jeu. L’agence belge chargée de faire respecter le règlement européen censé protéger nos données personnelles (le fameux RGPD pour Règlement général sur la protection des données) est elle-même accusée de ne pas respecter le RGPD.

Selon une plainte déposée récemment auprès de la Commission européenne, et dont nous avons obtenu copie, quatre membres sur sept d’un panel d’experts de l’Autorité de protection des données (APD) ne satisfont pas aux exigences d’indépendance énoncées dans la législation européenne sur la protection de la vie privée.

Ce panel d’experts, qui porte le nom de « Centre de connaissances », rend des avis sur la conformité de projets législatifs aux exigences de protection des données personnelles. Autrement dit : la manière dont nos données personnelles vont être collectées, traitées et stockées par le gouvernement (le plus souvent) ou une firme privée (parfois) respecte-t-elle les garde-fous du RGPD protégeant notre vie privée ?

Le Centre de connaissances de l’APD est constitué de six membres externes (qui touchent un jeton de présence pour une réunion toutes les trois semaines) et d’une directrice (mandataire publique et membre du comité de direction de l’APD). Les membres externes jouent un rôle central : ils participent aux discussions et votent les avis rendus sur les projets législatifs et réglementaires.

La plainte « pour non-respect de la législation de l’UE » (en l’occurrence l’article 52 du RGPD) vise « la nomination de Monsieur Frank Robben, Monsieur Nicolas Waeyaert et Mme Séverine Waterbley (chefs d’administration) et de Monsieur Bart Preneel (membre d’un comité dont les travaux relèvent d’une administration) en tant que membres de l’APD, suite à un vote intervenu en séance plénière du parlement fédéral le 4 avril 2019. »

Les conflits d’intérêts présumés de Frank Robben, Séverine Waterbley, Nicolas Waeyaert et Bart Preneel, membres de l’Autorité de protection des données, embarrassent le parlement.

Dans la plainte, il est reproché à l’APD de ne pas avoir demandé au Parlement « de s’assurer, à l’instar de ce qui se fait après des élections législatives, que les candidats élus remplissaient bien les conditions de nomination (…) et, à défaut, [de] prononcer l’impossibilité de nomination et de procéder à un nouveau vote. »

Frank Robben (CD&V) est considéré par beaucoup comme l’un des hommes les plus puissants du royaume, « capable à lui seul de faire tomber un gouvernement », confiait Emmanuel André à nos confrères de Wilfried en juin dernier. Robben est incontournable dans le domaine des données personnelles en Belgique : il dirige la Banque carrefour de la sécurité sociale, la plateforme eHealth, la Smals… Séverine Waterbley (PS), elle, est à la tête de la DG Réglementation économique du SPF Economie. Nicolas Waeyaert (OpenVLD) est le numéro un de la DG Statistique du SPF Economie. Ils sont tous trois, « à titre principal chef d’administration et sont par ce biais sous l’autorité directe d’un ministre », peut-on lire dans la plainte.

Un quatrième membre du Centre des connaissances, Bart Preneel, fait quant à lui partie d’un comité de l’APD (le Comité pour la sécurité de l’information) « dont les travaux sont préparés par l’administration en charge des échanges de données », en l’occurrence la Banque carrefour de la sécurité sociale, dirigée par Robben, pour les questions liées à la santé ou la sécurité sociale.

Ces quatre membres externes de l’APD, vu leurs fonctions, ne peuvent dès lors pas être indépendants, estiment les plaignants, ce qui est pourtant une exigence du RGPD afin de protéger au mieux les données personnelles des citoyens européens. En effet, le comité étant composé de sept membres, « il y a une majorité de ses membres qui relèvent dans leurs fonctions principales (pour trois d’entre eux) de l’autorité d’un Ministre de tutelle ou dont les fonctions secondaires (pour un d’entre eux) sont liées à une pratique d’un Ministre de tutelle qui a pour but d’autoriser la plupart des transferts de données du secteur public. »

Or l’article 52 du RGPD prévoit les conditions d’indépendance auxquelles doivent répondre les autorités de contrôle européennes, dont l’APD en Belgique : « les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque ». De plus, durant leur mandat, ils « n’exercent aucune activité professionnelle incompatible, rémunérée ou non ».

Conclusion des plaignants, qui souhaitent rester anonymes comme la législation européenne le leur permet (afin d’éviter d’éventuelles représailles professionnelles) : « Nous estimons que Frank Robben, Nicolas Waeyaert et Séverine Waterbley ne sont pas libres d’influence, en raison de leur profession de chef d’administration, et que Bart Preneel exerce une activité professionnelle incompatible. »

Contactés, Séverine Waterbley et Nicolas Waeyaert nous ont signifié « ne pas souhaiter réagir » à ces accusations de conflit d’intérêts permanent. Frank Robben n’a pas répondu à nos sollicitations. Quant à Bart Preneel, il déclare qu’il a été désigné par le parlement pour ses deux fonctions, tant au Centre de connaissances qu’au Comité pour la sécurité de l’information (CSI) : « Ma position au sein du CSI est temporaire, en attendant une nouvelle composition. Et quand il y a un conflit d’intérêts, je ne participe pas aux décisions. »

La Commission européenne dispose à présent de 12 mois pour examiner la plainte et décider d’ouvrir ou non une procédure formelle d’infraction. Une chose est sûre : cette plainte vient appuyer des doléances antérieures émises dans les milieux académique, associatif et au sein même de l’APD. Cela fait des mois en effet que la Ligue des droits humains et deux directrices de l’APD réclament la démission ou la mise à l’écart de ces quatre experts.

La loyauté attendue des trois premiers envers leur tutelle – le pouvoir exécutif – apparaît effectivement incompatible avec l’indépendance requise des avis de l’APD. C’est pour cela que l’article 38 de la loi du 3 décembre 2017 instituant l’APD précise que ses membres ne peuvent pas être mandataires publics.

La présidente de la chambre, Eliane Tillieux (PS), et les membres de la commission Justice sont au courant de la situation problématique de ces quatre experts et de l’ambiance pour le moins tendue qu’ils induisent au sein du Centre de connaissances de l’APD. La commission Justice a d’ailleurs procédé aux auditions des cinq directeurs de l’APD en octobre et devrait se positionner sur l’embarrassant quatuor d’experts avant la mi-janvier. « Nous sommes toujours à la recherche d’une solution élégante dans l’intérêt du bon fonctionnement de l’APD », déclare Philippe Pivin, vice-président (MR) de la commission Justice.