La protection de notre vie privée mérite un débat serein et honnête
Ces derniers temps, l’Autorité de protection des données (APD) fait régulièrement l’objet des médias, et pas toujours dans le sens positif. C’est dommage. En effet, nos citoyens ont droit à une protection complète de leur vie privée, sans toutefois perdre leurs autres droits fondamentaux tels que le droit à la santé, à la protection sociale ou à la sécurité. Ils ont aussi droit à des informations correctes.
Cela fait plus de 30 ans que je collabore à la protection de la vie privée au sein de l’administration belge. Ma vision de base est la suivante: exploitez la plus-value de l’informatisation et protégez à cet effet les données à caractère personnel d’une manière très solide. Veillez à un bon équilibre entre les droits fondamentaux et de solides mesures structurelles, organisationnelles et relatives aux TIC. À ce sujet, j’ai dans le passé déjà écrit l’article ‘La protection de données mérite une approche commune et multidisciplinaire‘.
Faits et fiction
Suite à des attaques répétées ‘ad hominem’, les médias font naître l’impression que je défens soudainement autre chose qu’une protection de la vie privée robuste, fondée sur la pratique, en équilibre avec d’autres droits fondamentaux. Le prédicat ‘big brother’ est très éloigné de ma vision sur l’e-gouvernement. Et de la réalité quotidienne ! Les articles en question, provenant principalement de la partie francophone du pays, associent de façon répétée un climat de suspicion à des hypothèses qui sont fausses sur le plan des faits. Sans doute dans l’espoir que si elles sont suffisamment répétées, elles seront considérées comme vraies.
De manière concrète, certains essaient de faire croire que :
- la Banque Carrefour de la sécurité sociale et la Plate-forme eHealth constituent des systèmes qui sont totalement contraires au droit fondamental de la protection des données;
- la création du Comité de sécurité de l’information est contraire au Règlement général sur la protection des données (RGPD);
- ma nomination en tant que membre du Centre de connaissances de l’Autorité de protection des données serait illégitime ou même contraire au RGPD en raison de l’incompatibilité avec ma fonction d’administrateur général de la Banque Carrefour de la sécurité sociale et de la Plate-forme eHealth.
Aucune de ces trois affirmations n’est correcte. La Banque Carrefour de la sécurité sociale, la Plate-forme eHealth et le Comité de sécurité de l’information sont justement très importants pour notre vie privée en tant que mesures de ‘protection des données dès la conception’. Toutes ces instances sont régies par la loi et sont bien entendu conformes au RGPD. J’ai déjà donné des explications à ce sujet dans l’article ‘La Banque Carrefour de la Sécurité Sociale et la Plate-forme eHealth: ‘big brother’ ou ‘data protection by design’ ?‘ et dans une présentation très détaillée lors d’une audition à la commission de justice de la Chambre des Représentants le 27 avril 2021.
À l’heure actuelle, certains demandent aussi explicitement de me démettre de ma fonction en tant que membre du Centre de connaissances de l’APD. Toutefois, c’est la Chambre des Représentants qui m’a nommé en tant que membre du Centre de connaissances et cette nomination n’est nullement contraire au RGPD ou à la loi belge portant création de l’Autorité de protection des données. Ci-après je précise pourquoi.
Je ne souhaite pas discuter de différences de vision dans les médias. Mais je n’ai pas non plus l’habitude de me faire intimider par eux. Je joue le ballon, et non l’homme. J’ai l’habitude d’être ouvert en ce qui concerne ma vision et mes activités et je suis toujours prêt à participer à un débat sur le fond.
Fuite de lettres : demande de censure ?
Dans les lettres ayant fait l’objet d’une fuite, qui ont été adressées par la présidente du Centre de connaissances et par la directrice du service de première ligne au Parlement et même à la Commission européenne, demandant ma révocation en tant que membre du Centre de la connaissances de l’APD, mes positions sur le plan du contenu sont explicitement citées comme la raison de cette demande. Néanmoins, l’article 45, § 1er, de la loi précitée prévoit qu’ « un membre du Centre de connaissances (…) ne peut être relevé de ses fonctions pour des opinions qu’il exprime dans l’exercice de ses fonctions ».
Selon moi, une révocation ne peut certainement pas avoir lieu lorsque mes points de vue constituent une exécution cohérente de la vision que j’ai explicitement développée dans la motivation de ma candidature en tant que membre du Centre de connaissances de l’APD. C’est sur la base de cette motivation que la Chambre des Représentants m’a désigné à l’époque. Mes responsabilités étaient connues du public et n’ont pas changé depuis ma nomination.
Je suis volontiers disposé à fournir des explications supplémentaires sur tous ces aspects de fond et à rendre des comptes au Parlement s’il le souhaite.
En détail: ma qualité de membre du Centre de connaissances de l’APD n’est pas contraire au RGPD
L’article 52 du RGPD prévoit que chaque autorité de contrôle (en Belgique, l’APD) exerce en toute indépendance les missions et les pouvoirs dont elle est investie et que les membres de de chaque autorité de contrôle demeurent libres de toute influence extérieure. L’article 52 prévoit littéralement ce qui suit:
- Chaque autorité de contrôle exerce en toute indépendance les missions et les pouvoirs dont elle est investie conformément au présent règlement.
- Dans l’exercice de leurs missions et de leurs pouvoirs conformément au présent règlement, le ou les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque.
- Le ou les membres de chaque autorité de contrôle s’abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n’exercent aucune activité professionnelle incompatible, rémunérée ou non.
- Chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l’infrastructure nécessaires à l’exercice effectif de ses missions et de ses pouvoirs, y compris lorsque celle-ci doit agir dans le cadre de l’assistance mutuelle, de la coopération et de la participation au comité.
- Chaque État membre veille à ce que chaque autorité de contrôle choisisse et dispose de ses propres agents, qui sont placés sous les ordres exclusifs du ou des membres de l’autorité de contrôle concernée.
- Chaque État membre veille à ce que chaque autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance et qu’elle dispose d’un budget annuel public propre, qui peut faire partie du budget global national ou d’une entité fédérée.
Cet article s’inscrit entièrement dans le prolongement de trois arrêts de la Cour européenne de justice (C-518/07, C-614/10 et C-288/12) concernant la notion ‘d’indépendance de l’autorité de contrôle en matière de protection des données’ sous l’ancienne Directive. Il s’agit d’un arrêt de 2010 contre l’Allemagne, d’un arrêt de 2012 contre l’Autriche et d’un arrêt de 2014 contre la Hongrie.
Ces arrêts ont condamné les pays concernés parce que l’autorité de contrôle n’était pas suffisamment indépendante. Dans le cas de l’Allemagne parce que l’Autorité était soumise à la surveillance administrative et financière du pouvoir exécutif. Dans le cas de l’Autriche, parce que l’autorité de contrôle était intégrée à la Chancellerie du Premier ministre, devait être dirigée par un fonctionnaire de la Chancellerie et que le Chancelier disposait d’un droit inconditionnel d’être informé au sujet de tous les aspects de sa gestion. Et dans le cas de la Hongrie parce que le pouvoir politique pouvait prématurément mettre un terme au mandat du président de l’autorité de contrôle.
Dans ces affaires, la Cour de justice de l’Union européenne a estimé que le fonctionnement indépendant de l’autorité de contrôle de la protection des données était de ce fait compromis, vu l’influence, directe ou indirecte, exercée par une instance extérieure à l’autorité, sous quelque forme que ce soit, qui pouvait peser sur ses décisions. La Cour a indiqué que le simple risque que les organes chargés du contrôle public exercent une influence politique sur les décisions de l’autorité de contrôle est suffisant pour entraver l’exercice indépendant des fonctions de cette autorité.
L’Autorité de protection des données belge se situe près du Parlement. Cependant, elle n’est pas soumise, ni en tant qu’organe, ni par le biais de ses membres, à une surveillance administrative et financière quelconque par le pouvoir exécutif. Il n’y a donc pas de risque d’influence politique par les instances chargées de ce contrôle.
En ce qui concerne spécifiquement l’indépendance des membres de l’autorité de contrôle, le considérant 121 du RGPD ajoute ce qui suit: « Afin de garantir l’indépendance de l’autorité de contrôle, il convient que le membre ou les membres de celle-ci agissent avec intégrité, s’abstiennent de tout acte incompatible avec leurs fonctions et n’exercent, pendant la durée de leur mandat, aucune activité professionnelle incompatible, rémunérée ou non. »
En tant que membre du Centre de connaissances de l’APD, j’agis strictement selon ces principes. Ni le RGPD, ni la jurisprudence européenne n’empêchent les fonctionnaires ou les mandataires d’une fonction publique de faire partie du Centre de connaissances de l’APD, ce qui ne nécessite au demeurant qu’un investissement en temps de quelques heures par mois.
Dans un souci d’exhaustivité, comparons la composition actuelle des autorités de contrôle dans plusieurs de nos pays voisins.
- France: sur les 18 membres de la CNIL, plus de 20% sont des parlementaires actifs;
- Pays-Bas: parmi les 3 membres de la Autoriteit Persoonsgegevens, le président est un ancien membre du parlement et un membre de la direction est un fonctionnaire.
- Allemagne: le Bundesbeauftragte für den Datenschutz und die Informationsfreiheit était juste avant sa nomination encore membre du parlement.
Constatez que presque partout les membres désignés sont des mandataires politiques et/ou des fonctionnaires. Il va de soi que le risque de dépendance des (anciens) mandataires politiques est plus grand que celui des fonctionnaires. À ma connaissance, aucun de ces organismes ne fait l’objet d’une procédure devant la Cour de justice de l’Union européenne.
En détail: ma qualité de membre du Centre de connaissances de l’APD n’est pas contraire à la loi portant création de l’Autorité de protection des données
Les conditions de ma nomination en tant que membre du Centre de connaissances sont énumérées à l’article 38 de la loi du 3 décembre 2017 portant création de l’Autorité de protection des données. Cet article dispose que:
Art. 38. Au moment de leur nomination et au cours de leur mandat, les membres du comité de direction, du centre de connaissances et de la chambre contentieuse doivent remplir les conditions suivantes :
1° être citoyen d’un Etat membre de l’Union européenne;
2° jouir de leurs droits civils et politiques;
3° ne pas être membre du Parlement européen ou des Chambres législatives, ni d’un Parlement de Communauté ou de Région;
4° ne pas être membre d’un Gouvernement fédéral, d’un Gouvernement de communauté ou de région;
5° ne pas exercer une fonction dans une cellule stratégique ministérielle;
6° ne pas être mandataire d’une fonction publique.
Je satisfais sans aucun doute aux conditions 1° à 5°. Les 2 membres de la direction de l’APD prétendent que par ma fonction d’administrateur général de la Banque Carrefour de la sécurité sociale (BCSS) et de la Plate-forme eHealth, je suis mandataire d’une fonction publique au sens du point 6°.
La ratio legis de l’article 38, 5° et 6° est, selon le commentaire des articles de la loi précitée, la suivante:
« Le législateur estime en effet incompatible la loyauté attendue d’un membre d’une cellule stratégique ou d’un mandataire public avec l’article 52 § 2 du RGPD qui dispose que les membres de l’autorité de protection des données demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque. »
Lors de l’examen parlementaire, il a été posé la question de la portée de la notion de ‘mandataire d’une fonction publique’. Le secrétaire d’État compétent a répondu à cette question qu’il appartient au Parlement d’apprécier cette notion, dans le prolongement de la jurisprudence européenne (voir aussi le Rapport fait au nom de la Commission de la justice). A ma connaissance, la Cour européenne de la Justice ne s’est jamais prononcée dans ce cadre sur la notion de de ‘mandataire d’une fonction publique’. Je suppose que le secrétaire d’Etat a voulu faire référence aux arrêts précités de la Cour européenne de la Justice en matière d’indépendance de l’autorité de contrôle avec laquelle il n’y a pas de problème comme indiqué ci-dessus.
Lors de l’introduction de ma candidature en tant que membre du Centre de connaissances, j’ai fourni un curriculum vitae détaillé dans lequel j’ai explicitement mentionné ma fonction d’administrateur général de la BCSS et de la Plate-forme eHealth et expliqué en détail quelle est ma vision de la protection de la vie privée. J’ai indiqué que cette fonction ou d’autres fonctions ne me soumettaient aucunement à des influences ou instructions externes. La BCSS et la Plate-forme eHealth sont, par ailleurs, gérées par un Comité de gestion composé de représentants des parties prenantes, comme c’est également le cas dans une entreprise. J’étais dans le passé, pendant une longue période, aussi membre de la Commission de la protection de la vie privée, tandis que j’étais administrateur général de la BCSS et de la Plate-forme eHealth et je n’ai jamais subi une influence externe ou reçu la moindre instruction.
En ce qui concerne les dossiers concrets dans lesquels je pourrais me retrouver dans une situation de conflit d’intérêts, je ne participe pas, de ma propre initiative, à la délibération conformément à l’article 58 du Règlement d’ordre intérieur de l’Autorité de protection des données.
Par ma nomination en tant que membre du Centre de connaissances, le Parlement a décidé que la fonction d’administrateur général de la BCSS et de la Plate-forme eHealth ne fait pas de moi un ‘mandataire d’une fonction publique’ au sens de l’article 38, 6° de la loi précitée. Il s’agit d’un choix en connaissance de cause, après qu’une note en la matière a aussi été rédigée par le service juridique de la Chambre des Représentants. Le Parlement a donc probablement voulu réserver à la notion de ‘mandataire d’une fonction publique’, le contenu de la fonction d’un mandataire politique élu, qui peut être sujet à des influences ou instructions politiques.