La Quadrature Du Net
Abonné·e de Mediapart

72 Billets

1 Éditions

Billet de blog 8 juil. 2021

La Quadrature Du Net
Abonné·e de Mediapart

Dysfonctionnements systémiques des autorités de protection des données : le cas belge

Nous critiquons régulièrement les CNILs française et irlandaise, mais le problème de fonctionnement des autorités de protection des données se révèle systémique : analyse du cas de la CNIL belge.

La Quadrature Du Net
Abonné·e de Mediapart

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

Nous dénonçons depuis un bon moment le fonctionnement de la CNIL française et son manque de volonté politique de protéger nos libertés. Depuis 2018 et le dépôt de nos plaintes collectives contre les GAFAM nous avons aussi pu constater l’incurie des autorités irlandaise et luxembourgeoise : cela fait 3 ans que nous avons déposé avec plusieurs milliers de personnes des plaintes, sans aucune nouvelle depuis. Mais ce ne sont pas les seules en Europe à connaître des dysfonctionnements. Petite analyse des soucis que rencontre l’Autorité de protection des données (APD) en Belgique.

En mai 2016 était voté le RGPD, règlement européen visant à protéger les données personnelles contre leur utilisation abusive, tant par les entreprises privées que par les États. Applicable depuis mai 2018, ce texte ordonne par son article 51 la mise en place d’« autorités nationales indépendantes […] chargées de surveiller l’application du présent règlement ». Il est prévu qu’elles coopèrent entre elles, sous une forme de fédération. L’article 52 exige l’indépendance de ces autorités.

Nous avons régulièrement critiqué le fonctionnement de la CNIL en France, tout comme l’autorité irlandaise ou luxembourgeoise, pour la faible qualité de la prise en charge des plaintes et les retards pris dans le traitement de ces dernières.

La commission LIBE1du parlement européen elle-même confirmait en février notre analyse (voir ici, § « Enforcement »), préoccupée par l’insuffisante mise en œuvre du RGPD, la trop longue durée des instructions, et les déclarations par les autorités elles-même sur les manque de moyens, humains et financiers, pour mener à bien leur mission.

Nous avions un a-priori plutôt positif sur l’autorité belge, l’APD (Autorité de protection des données). Dirigée par 5 co-directeurs et co-directrices, avec une présidence tournante de 3 ans, très proche du public (l’APD a par exemple organisé un vrai-faux concours pour accéder à un concert pour sensibiliser les jeunes à la protection de leurs données personnelles), critiquant ouvertement l’action des autorités publiques – en particulier pendant la crise sanitaire –, l’APD semblait bénéficier d’une santé politique inégalée.

Malheureusement, les dysfonctionnements dépassaient en réalité ce que nous imaginions. Sa mise en place courant 2019, soit avec un an de retard par rapport à l’entrée en application du RGPD et trois ans après le vote du texte, était un premier signal. L’APD est composée, entre autres organes, d’un Centre de Connaissances qui émet des avis sur des avant-projets de lois, de décrets ou d’arrêtés du gouvernement belge. Cette mission implique naturellement qu’il soit hautement protégé de toute influence de l’État et que ses membres ne soient pas en situation de conflit d’intérêts.

Las : le Centre de Connaissances a vu la nomination d’ « experts » ayant un ou plusieurs mandats publics, mais aussi l’ingérence du président de l’APD dans son travail. On peut citer notamment l’arrivée au sein du Centre de Franck Robben, grand ami du gouvernement et homme multi-casquettes des données personnelles en Belgique : il est entre autres directeur du Comité de Sécurité de l’Information (CSI), organisme qui décide du partage des données personnelles par les administrations belges, et gère aussi une entreprise qui fournit les outils informatiques de gestion des données personnelles, notamment dans le cadre de la crise du covid-19. L’outil de contrôle des lois a bien du mal à remplir sa mission de manière indépendante.

Cette situation a été maintes fois dénoncée, en particulier par deux co-directrices de l’APD, Alexandra Jaspar et Charlotte Dereppe. Que ce soit auprès de la Chambre des représentants (chambre basse du parlement fédéral belge) ou directement auprès des député·es, plusieurs courriers officiels ont régulièrement dénoncé les agissements de certains membres au sein de l’autorité et la mise en péril de son indépendance. Pour un résultat, ne nous le cachons pas, proche du néant. La racine du problème viendrait-elle en ce que l’ADP est la continuation de l’autorité historique, la CPVP, à l’époque si complaisante avec le pouvoir politique ?

La Ligue des Droits Humains s’en était aussi émue en juin 2020 dans un courrier à la Chambre des représentants, pointant nommément les violations flagrantes de la loi belge et du RGPD par le président de l’autorité, mais aussi par la présence d’experts en situation de conflit d’intérêts.

Suite à ces diverses alertes, l’ensemble de l’équipe de co-direction de l’APD avait été auditionnée le 21 octobre 2020 par la commission Justice de la Chambre des représentants. La conséquence ? L’envoi d’un courrier aux co-directrices demandant à ce que les « conflits interpersonnels ne produisent pas d’effets négatifs sur le fonctionnement et le rayonnement de l’APD » : pas de vagues, pas de problèmes.

Il aura fallu que soit saisie la Commission européenne en février 2021, puis que cette dernière finisse par lancer en juin 2021 une procédure d’infraction à l’encontre de la Belgique pour son non-respect du RGPD. L’affaire n’est donc pas terminée, et le fait que la Commission soit obligée d’agir contre un État membre comme la Belgique pour obtenir qu’une autorité indépendante le soit réellement n’est pas pour nous rassurer sur la bonne santé des institutions européennes.

De nouveau, l’équipe de co-direction sera auditionnée ce vendredi par la Chambre des représentants. Cette fois, l’objectif semble être la levée des mandats de certains directeurs, y compris les lanceuses d’alerte. Une tactique de la terre brûlée plutôt qu’une remise en question.

Les autorités de contrôle dans l’Union européenne n’appliquent pas le droit tel qu’elles le devraient. Parce qu’elles n’en ont pas les moyens techniques, financiers ou politiques. Elles ont – de même que les États qui se complaisent de cette situation – une responsabilité forte dans la situation dans laquelle nous nous trouvons aujourd’hui, avec des entreprises et des États toujours plus équipé·es en outils de surveillance et d’analyse de nos données personnelles, au mépris flagrant des différents textes juridiques pourtant protecteurs sur le papier.

La situation au sein de l’APD belge s’ajoute aux précédents dysfonctionnements que nous avions relevé. Une remise à plat générale du fonctionnement des APD européennes nous semble essentielle pour que le droit soit enfin appliqué et que le RGPD joue pleinement son rôle protecteur des données personnelles de la population.

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

Bienvenue dans le Club de Mediapart

Tout·e abonné·e à Mediapart dispose d’un blog et peut exercer sa liberté d’expression dans le respect de notre charte de participation.

Les textes ne sont ni validés, ni modérés en amont de leur publication.

Voir notre charte

À la Une de Mediapart

Journal — Justice
À Nice, « on a l’impression que le procès de l’attentat a été confisqué »
Deux salles de retransmission ont été installées au palais Acropolis, à Nice, pour permettre à chacun de suivre en vidéo le procès qui se tient à Paris. Une « compensation » qui agit comme une catharsis pour la plupart des victimes et de leurs familles, mais que bon nombre de parties civiles jugent très insuffisante.
par Ellen Salvi
Journal — Santé
Crack à Paris : Darmanin fanfaronne bien mais ne résout rien
Dernier épisode de la gestion calamiteuse de l’usage de drogues à Paris : le square Forceval, immense « scène ouverte » de crack créée en 2021 par l’État, lieu indigne et violent, a été évacué. Des centaines d’usagers de drogue errent de nouveau dans les rues parisiennes.
par Caroline Coq-Chodorge
Journal — Justice
Un refus de visa humanitaire pour Hussam Hammoud serait « une petite victoire qu’on offre à Daech »
Devant le tribunal administratif de Nantes, la défense du journaliste syrien et collaborateur de Mediapart a relevé les erreurs et approximations dans la position du ministère de l’intérieur justifiant le rejet du visa humanitaire. Et réclamé un nouvel examen de sa demande.
par François Bougon
Journal — Euro
La Réserve fédérale des États-Unis envoie l’euro par le fond
Face à l’explosion de l’inflation et à la chute de l’euro, la Banque centrale européenne a décidé d’adopter la même politique restrictive que l’institution monétaire américaine. Est-ce la bonne réponse, alors que la crise s’abat sur l’Europe et que la récession menace ?
par Martine Orange

La sélection du Club

Billet de blog
« Mon pauvre lapin » : le très habile premier roman de César Morgiewicz
En constant déphasage avec ses contemporains, un jeune homme part rejoindre une aieule à Key West, bien décidé à écrire et à tourner ainsi le dos aux échecs successifs qui ont jusqu’ici jalonné sa vie. Amusant, faussement frivole, ce premier roman n’en oublie pas de dresser un inventaire joyeusement cynique des mœurs d’une époque prônant étourdiment la réussite à n’importe quel prix.
par Denys Laboutière
Billet de blog
Un chien à ma table. Roman de Claudie Hunzinger (Grasset)
Une Ode à la Vie où, en une suprême synesthésie, les notes de musique sont des couleurs, où la musique a un goût d’églantine, plus le goût du conditionnel passé de féerie à fond, où le vent a une tonalité lyrique. Et très vite le rythme des ramures va faire place au balancement des phrases, leurs ramifications à la syntaxe... « On peut très bien écrire avec des larmes dans les yeux ».
par Colette Lallement-Duchoze
Billet d’édition
Klaus Barbie - la route du rat
En parallèle d'une exposition aux Archives départementales du Rhône, les éditions Urban publient un album exceptionnel retraçant l'itinéraire de Klaus Barbie de sa jeunesse hitlérienne à son procès à Lyon. Porté par les dessins du dessinateur de presse qui a couvert le procès historique en 1987, le document est une remarquable plongée dans la froide réalité d'une vie de meurtres et d'impunité.
par Sofiene Boumaza
Billet de blog
Nazisme – De capitaine des Bleus à lieutenant SS
Le foot mène à tout, y compris au pire. La vie et la mort d’Alexandre Villaplane l’illustrent de la façon la plus radicale. Dans son livre qui vient de sortir « Le Brassard » Luc Briand retrace le parcours de cet ancien footballeur international français devenu Allemand, officier de la Waffen SS et auteur de plusieurs massacres notamment en Dordogne.
par Cuenod