Dysfonctionnements systémiques des autorités de protection des données : le cas belge

Nous critiquons régulièrement les CNILs française et irlandaise, mais le problème de fonctionnement des autorités de protection des données se révèle systémique : analyse du cas de la CNIL belge.

Nous dénonçons depuis un bon moment le fonctionnement de la CNIL française et son manque de volonté politique de protéger nos libertés. Depuis 2018 et le dépôt de nos plaintes collectives contre les GAFAM nous avons aussi pu constater l’incurie des autorités irlandaise et luxembourgeoise : cela fait 3 ans que nous avons déposé avec plusieurs milliers de personnes des plaintes, sans aucune nouvelle depuis. Mais ce ne sont pas les seules en Europe à connaître des dysfonctionnements. Petite analyse des soucis que rencontre l’Autorité de protection des données (APD) en Belgique.

En mai 2016 était voté le RGPD, règlement européen visant à protéger les données personnelles contre leur utilisation abusive, tant par les entreprises privées que par les États. Applicable depuis mai 2018, ce texte ordonne par son article 51 la mise en place d’« autorités nationales indépendantes […] chargées de surveiller l’application du présent règlement ». Il est prévu qu’elles coopèrent entre elles, sous une forme de fédération. L’article 52 exige l’indépendance de ces autorités.

Nous avons régulièrement critiqué le fonctionnement de la CNIL en France, tout comme l’autorité irlandaise ou luxembourgeoise, pour la faible qualité de la prise en charge des plaintes et les retards pris dans le traitement de ces dernières.

La commission LIBE1du parlement européen elle-même confirmait en février notre analyse (voir ici, § « Enforcement »), préoccupée par l’insuffisante mise en œuvre du RGPD, la trop longue durée des instructions, et les déclarations par les autorités elles-même sur les manque de moyens, humains et financiers, pour mener à bien leur mission.

Nous avions un a-priori plutôt positif sur l’autorité belge, l’APD (Autorité de protection des données). Dirigée par 5 co-directeurs et co-directrices, avec une présidence tournante de 3 ans, très proche du public (l’APD a par exemple organisé un vrai-faux concours pour accéder à un concert pour sensibiliser les jeunes à la protection de leurs données personnelles), critiquant ouvertement l’action des autorités publiques – en particulier pendant la crise sanitaire –, l’APD semblait bénéficier d’une santé politique inégalée.

Capture-decran-du-2021-07-08-11-09-00.png

Malheureusement, les dysfonctionnements dépassaient en réalité ce que nous imaginions. Sa mise en place courant 2019, soit avec un an de retard par rapport à l’entrée en application du RGPD et trois ans après le vote du texte, était un premier signal. L’APD est composée, entre autres organes, d’un Centre de Connaissances qui émet des avis sur des avant-projets de lois, de décrets ou d’arrêtés du gouvernement belge. Cette mission implique naturellement qu’il soit hautement protégé de toute influence de l’État et que ses membres ne soient pas en situation de conflit d’intérêts.

Las : le Centre de Connaissances a vu la nomination d’ « experts » ayant un ou plusieurs mandats publics, mais aussi l’ingérence du président de l’APD dans son travail. On peut citer notamment l’arrivée au sein du Centre de Franck Robben, grand ami du gouvernement et homme multi-casquettes des données personnelles en Belgique : il est entre autres directeur du Comité de Sécurité de l’Information (CSI), organisme qui décide du partage des données personnelles par les administrations belges, et gère aussi une entreprise qui fournit les outils informatiques de gestion des données personnelles, notamment dans le cadre de la crise du covid-19. L’outil de contrôle des lois a bien du mal à remplir sa mission de manière indépendante.

Cette situation a été maintes fois dénoncée, en particulier par deux co-directrices de l’APD, Alexandra Jaspar et Charlotte Dereppe. Que ce soit auprès de la Chambre des représentants (chambre basse du parlement fédéral belge) ou directement auprès des député·es, plusieurs courriers officiels ont régulièrement dénoncé les agissements de certains membres au sein de l’autorité et la mise en péril de son indépendance. Pour un résultat, ne nous le cachons pas, proche du néant. La racine du problème viendrait-elle en ce que l’ADP est la continuation de l’autorité historique, la CPVP, à l’époque si complaisante avec le pouvoir politique ?

La Ligue des Droits Humains s’en était aussi émue en juin 2020 dans un courrier à la Chambre des représentants, pointant nommément les violations flagrantes de la loi belge et du RGPD par le président de l’autorité, mais aussi par la présence d’experts en situation de conflit d’intérêts.

Suite à ces diverses alertes, l’ensemble de l’équipe de co-direction de l’APD avait été auditionnée le 21 octobre 2020 par la commission Justice de la Chambre des représentants. La conséquence ? L’envoi d’un courrier aux co-directrices demandant à ce que les « conflits interpersonnels ne produisent pas d’effets négatifs sur le fonctionnement et le rayonnement de l’APD » : pas de vagues, pas de problèmes.

Il aura fallu que soit saisie la Commission européenne en février 2021, puis que cette dernière finisse par lancer en juin 2021 une procédure d’infraction à l’encontre de la Belgique pour son non-respect du RGPD. L’affaire n’est donc pas terminée, et le fait que la Commission soit obligée d’agir contre un État membre comme la Belgique pour obtenir qu’une autorité indépendante le soit réellement n’est pas pour nous rassurer sur la bonne santé des institutions européennes.

De nouveau, l’équipe de co-direction sera auditionnée ce vendredi par la Chambre des représentants. Cette fois, l’objectif semble être la levée des mandats de certains directeurs, y compris les lanceuses d’alerte. Une tactique de la terre brûlée plutôt qu’une remise en question.

Les autorités de contrôle dans l’Union européenne n’appliquent pas le droit tel qu’elles le devraient. Parce qu’elles n’en ont pas les moyens techniques, financiers ou politiques. Elles ont – de même que les États qui se complaisent de cette situation – une responsabilité forte dans la situation dans laquelle nous nous trouvons aujourd’hui, avec des entreprises et des États toujours plus équipé·es en outils de surveillance et d’analyse de nos données personnelles, au mépris flagrant des différents textes juridiques pourtant protecteurs sur le papier.

La situation au sein de l’APD belge s’ajoute aux précédents dysfonctionnements que nous avions relevé. Une remise à plat générale du fonctionnement des APD européennes nous semble essentielle pour que le droit soit enfin appliqué et que le RGPD joue pleinement son rôle protecteur des données personnelles de la population.

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.