« Il ne faudrait pas que les mesures mettant en péril notre vie privée subsistent après la crise. » Pour la première fois, les patrons de l’Autorité de protection des données (APD) défendent leur bilan, sur fond d’intenses conflits internes et de critiques.
Traçage, collecte massive de données, contrôle de quarantaine, « Passenger location form »… La crise covid a mis la vie privée à rude épreuve. Elle a aussi mis un coup de projecteur sur la jeune Autorité de protection des données (APD) mise en place en 2019 dans la foulée du Règlement général sur la protection des données (RGPD). Au four et au moulin, notamment dans un gros dossier l’opposant à Google, l’ex-Commission de la vie privée a aussi été ébranlée par de solides conflits internes comme le révélaient Le Soir et Knack le 15 octobre. Une lettre au vitriol, adressée au Parlement par deux directrices de l’APD (en écho à d’autres signaux d’alarme activés par la Ligue des droits humains et plusieurs juristes) dénonçait une « institution inopérante », « vidée de sa substance », minée par de « graves soucis d’indépendance » et « instrumentalisée » par le politique.
Pour la première fois, David Stevens, son président, et Hielke Hijmans, directeur de la Chambre contentieuse, répondent aux accusations pour Le Soir et Knack. Et défendent fermement le bilan de cette jeune institution. « Jamais la vie privée des 11 millions de Belges n’a été aussi bien protégée », assènent-ils.
Dites-nous, l’APD fonctionne-t-elle comme elle devrait ?
Hielke Hijmans : Le bilan est positif. On est passé d’une autorité qui rendait surtout des avis à une véritable autorité de contrôle, qui peut donc sanctionner. Est-ce que ça va assez vite ? Non, je ne crois pas. On met en place une jurisprudence qui donne une base juridique cohérente au citoyen. Je regrette juste que, en raison des volumes énormes de dossiers, nous ne soyons pas capables de traiter les affaires dans un délai acceptable. C’est dû aux procédures légales et au budget. On doit trouver des solutions.
Le 28 janvier, on célébrait la Journée internationale de la protection des données ? Un jour noir ?
David Stevens : Oui, parce que le coronavirus et toujours là et que des gens meurent. Mais pas pour la protection de la vie privée. Est-ce que cela veut dire que tous les problèmes sont résolus ? Non, pas du tout. On aurait pu faire plus et mieux. Mais nous protégeons la vie privée des gens de manière plus efficace qu’avant.
Vos sanctions sont très souvent contestées en appel (devant la Cour des marchés). C’est le cas pour les amendes de 20.000 euros à Proximus et de 600.000 à Google infligées pour non-respect du RGPD… Quel est le souci ?
H.H. : C’est surtout pour des questions de procédure qu’elles sont annulées. Les conditions que la Cour des marchés nous impose sont assez élevées. Cela nous demande d’être vigilant. Ces entreprises ont des moyens illimités pour contester nos décisions.
Vous dites que les procédures sont trop lourdes. Le RGPD est inapplicable ?
H.H. : En 2020, on a eu plus ou moins 600 plaintes ici en Belgique. On doit les traiter une par une, d’une manière « diligente », comme dit la loi. L’APD a des compétences énormes. On peut imposer des sanctions de plusieurs millions. Cela justifie des procédures très formelles. Mais je crois, oui, que de temps en temps, les procédures sont trop lourdes, même pour les petits cas. On travaille sur leur allégement en Belgique.
Selon vous, ce n’était pas un jour noir pour la protection des données. Vous niez que notre vie privée est plus que jamais sous pression ?
DS : Ne soyons pas naïfs, je ne dis pas que notre vie privée n’est pas sous pression. Je vous donne un exemple. Au début de la crise sanitaire, Philippe De Backer et Maggie De Block (NDLR, ex-ministres de l’Agenda digital et de la Santé, Open VLD) se sont demandés si on pouvait utiliser les données télécoms pour en faire un indicateur de mobilité. A l’époque, cela paraissait comme un problème compliqué. Rétrospectivement, la question est en réalité facile (car les données sont totalement anonymes). Mais quand je lis dans la presse ce que certains veulent faire, comme envoyer les données des personnes en quarantaine aux bourgmestres (le nom, l’adresse et la période de quarantaine)…
C’est cela, votre ligne rouge ?
DS : La crise corona évolue de jour en jour. Nous sommes peut-être au début d’une troisième vague. Donc, même si je dis que la ligne rouge est ici, il se pourrait que d’ici deux ou trois jours nous soyons confrontés à des décisions que l’on n’imaginait pas il y a peu de temps. Entre vie privée et santé publique, ce n’est jamais noir ou blanc. Il faut trouver un équilibre. Et c’est souvent du gris. C’est dommage, peut-être, mais c’est la vie.
Si on ne regardait cette crise que sous l’aspect vie privée, c’est simple : rien ne se serait autorisé. Pas d’application corona, pas de transmission de données aux bourgmestres, pas de registre d’infections, pas de registre à Sciensano… Mais nous devons également prendre en compte d’autres intérêts, à savoir la protection de la vie privée dans son contexte. Parce que ces traitements de données servent également un but. Et nous devons également tenir compte de cet objectif.
Vous savez, le respect de la quarantaine pourrait être vérifié sur la base des données de télécommunications. C’est techniquement possible. Il suffirait de demander les données aux opérateurs télécoms. Mais j’espère que ce jour ne viendra pas. Le cauchemar, pour moi, serait encore pire. A long terme, on ne serait pas loin de la situation en Chine, où vous êtes surveillé pour votre contrat social. Et perdez votre emploi si vous passez le feu rouge.
HH : Je suis d’accord avec ça. Il y a autre chose qui est essentiel, et je l’ai vu au cours de toutes ces années : quand ce genre de mesures est imposé, elles restent simplement en place.
Vous comprenez donc que les gens s’inquiètent de l’impact de certaines mesures corona sur leur vie privée (tracing, données de vaccination, déplacements à l’étranger…) ? Mais êtes-vous entendus ? Ou même, consultés ?
DS : Attendez… Pour la troisième vague, le variant britannique… Je ne défends pas du tout le gouvernement ou qui que ce soit. Ce à quoi nous sommes attentifs, c’est le bon équilibre. Je n’accepte pas l’insinuation selon laquelle on mettrait de côté l’APD. Ou qu’on laisserait tranquillement travailler le gouvernement. Oui, évidemment, on trouve que c’est problématique qu’après un an, il n’y ait pas encore une loi Pandémie. Nous sommes en train de rechercher si oui ou non on doit, on veut, réagir devant les instances judiciaires.
Dans quels cas, par exemple ?
DS : Plusieurs dossiers sont sous nos radars. Comme la possibilité (NDLR, en Flandre) de transmettre les données de quarantaine aux bourgmestres, ou l’arrêté ministériel du 12 janvier qui donne à l’ONSS des pouvoirs étendus pour partager des données personnelles avec à peu près n’importe qui. Après un avis externe d’un cabinet d’avocats spécialisé, notre comité de direction a décidé d’envoyer un avertissement clair dans une lettre à toutes les autorités de notre pays. Si certaines mesures ne sont pas corrigées, nous pouvons toujours décider de saisir les tribunaux. Si la mesure est déclarée nulle et non avenue, le transfert ne peut plus avoir lieu.
Nous sommes également préoccupés par la situation à Bruxelles. Le bourgmestre d’Etterbeek (NDLR, Vincent De Wolf, MR) a mis en demeure l’administration bruxelloise dans le but d’obtenir les données des citoyens contraints à la quarantaine. Mais il n’existe aucune base légale pour cela. Nous avons donc ouvert un fichier de surveillance et demandé des informations complémentaires.
La demande de Vincent De Wolf se calque sur ce qui se fait déjà en Flandre…
DS : Oui, en Flandre, il est possible de transmettre les données de quarantaine aux bourgmestres. Nous enquêtons également actuellement sur cette affaire. Mais la Flandre a adopté un décret à ce sujet en décembre, qui renforce l’application des mesures de quarantaine. Nous pouvons également faire appel au Conseil d’Etat contre cela. A Bruxelles, il n’y a aucune base réglementaire qui permet à un bourgmestre de mettre en demeure une administration régionale pour lui fournir ces informations.
Vous pourriez… N’avez-vous pas été consultés ?
DS : Non, dans aucun des trois cas (NDLR, arrêté ministériel, données de quarantaine en Flandre et à Etterbeek). Alors que c’était en fait obligatoire. Et dans d’autres cas, le gouvernement a ignoré nos conseils. Par exemple, nous avons estimé qu’une base de données centrale à Sciensano contenant toutes les données corona, ce n’est pas une bonne idée.Retour ligne automatique
Analyse : crise d’Autorité
Ph.L.
Nul doute que cet entretien en laissera plus d’un sur sa faim : juristes, défenseurs des droits humains, certains au sein même de l’APD, bref, tous ceux qui, depuis des mois, tirent la sonnette d’alarme sur les faiblesses de cette institution majeure de notre démocratie. Difficile de leur donner tort. David Stevens et Hielke Hijmans défendent avec force un bilan marqué sous le signe de la « proactivité », plaident les « lourdeurs du RGPD » ou la complexité du contexte sanitaire. Ce n’est pas faux. Mais ils ne rassurent pas. En particulier sur la capacité de la gardienne de la vie privée à assumer ses missions. Avec abnégation. Ils bottent en touche. Les soucis d’indépendance ? « C’est le Parlement qui nomme les membres. » Le « bypass » de l’autorité flamande ? Du pipeau. Les problèmes internes ? Des conflits interpersonnels… Concernant sa participation à la « Task Force Corona », David Stevens relève lui-même ce qu’on lui reproche : donner son avis sur un texte qu’il a lui-même contribué à rédiger. Peu rassurant, aussi, cette idée que la vie privée serait en balance avec la santé publique. Ni la loi, ni le RGPD ne prévoient de « zone grise ». En matière de protection des données, tout est possible à partir du moment où c’est justifié, expliqué et contrôlable. C’est précisément ce qu’il leur était demandé dans cet entretien.
#Coronalert #contactTracing #géolocalisation #manipulation #données #COVID-19 #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)
