La Belgique, premier pays européen mis en cause par l’autorité européenne pour non-respect du GDPR. Ce qui ne semble pas déranger ses institutions.

La transparence aux abonnés absents ! «La Belgique doit répondre à deux plaintes concernant le non-respect de la vie privée. La première au sujet de l’indépendance de l’autorité de protection des données . Et la deuxième au sujet du Comité de Sécurité de l’Information. C’est le premier pays européen mis en cause, souligne Jacques Folon, Professeur à l’ICHEC, CEO de GDPRfolder. Et la réponse de ses institutions est aujourd’hui… peu convaincante.»

Rappelons les faits. Deux plaintes ont été déposées auprès de la Commission Européenne. Malgré les nombreuses tribunes libres, lettres ouvertes et interventions auprès des membres du gouvernement et des parlementaires, rien n’a bougé. Or, les problèmes sont graves, insiste Jacques Folon.

Conflit d’intérêt

Premier problème, l’affectation de quatre hauts fonctionnaires à l’Autorité de Protection des Données (APD), alors que celle-ci se doit d’être indépendante du pouvoir exécutif. Ce qui s’explique aisément : elle est amenée à contrôler quant au respect de la protection des données personnelles. De ce fait, aucun de ses membres ne peut être en conflit d’intérêt avec une autre mission ou fonction, c’est d’ailleurs prévu expressément dans le règlement général sur la protection des données personnelles…

Le conflit d’intérêt est manifeste en ce que le rôle de ces fonctionnaires est notamment de participer à l’élaboration de textes de lois qui seront soumis à l’autorité de protection des données pour vérifier leur validité par rapport à la règlementation sur la protection des données personnelles. «Comment pourraient-ils l’après-midi critiquer de façon objective un texte qu’ils auraient rédigé le matin, ironise non sans justesse Jacques Folon. Si deux de ces hauts fonctionnaires ont démissionné, il en reste deux. Le Parlement, qui est responsable de l’APD, ne fait rien. Quant aux présidents des partis de la majorité, ils sont étrangement silencieux…»

La toute puissance du CSI

Deuxième problème, la création du Comité de Sécurité de l’Information (CSI) dans la foulée de l’arrivée du GDPR. Sans vouloir être trop technique, ce comité est le successeur des comités sectoriels qui dans la règlementation précédant le GDPR autorisaient les transferts de données entre entités publiques. Ces comités auraient dû être supprimés. En effet, l’autorisation des transferts de données doit désormais passer par une loi soumise au Parlement après avis de l’APD.

Mais malgré les avis négatifs du conseil d’État, de nombreux académiques, constitutionalistes et juristes et même de la commission de protection de la vie privée (le prédécesseur de l’APD), la création de ce comité est passée juste avant les vacances parlementaires. «Depuis, les critiques pleuvent, observe Jacques Folon. En effet, le CSI s’est attribué la compétence de décider qui peut avoir accès à quelles données… notamment dans le secteur de la santé et de la vaccination. Ici aussi aucune réaction du gouvernement.»

Des plaintes sous le couvert de l’anonymat

De là, les deux plaintes déposées auprès de la Commission européenne. Et ce du fait que personne ni au Gouvernement, ni au Parlement ne bougeait le petit doigt… «Je dois attirer l’attention sur le fait que ces plaintes ont été déposées sous le couvert de l’anonymat, s’étonne Jacques Folon. Il est interpelant de constater que, dans un État supposé démocratique comme la Belgique, certains lanceurs d’alerte soient obligés de se cacher pour porter plainte, tout comme les signataires d’une tribune libre du Soir récente ont été cachés car certains avaient fait l’objet de pressions…»

La Commission a donc donné deux mois à la Belgique pour résoudre le premier problème, une injonction de résoudre le deuxième devrait suivre. Et les réactions ont été surprenantes. Le secrétaire d’État Mathieu Michel, qui a pourtant lancé «l’opération transparence» a botté en touche en disant que c’est le Parlement, qui est l’autorité de tutelle de l’APD. «Quand on connait l’indépendance des parlementaires face à la ‘discipline de parti’, c’est pour le moins ironique !»

Recours européen

Quant au Parlement, il s’est réuni à huis clos pour évoquer cette question, ce qui pour s’intéresser à une institution qui défend le principe de transparence, est tout aussi surprenant ! «Aujourd’hui, les professionnels du secteur ont comme dernier recours les institutions européennes qui sont les seules qui pourront forcer le gouvernement à respecter la protection des données personnelles des citoyens.»

Et Jacques Follon de conclure : «L’Europe est souvent critiquée, or ici elle est le dernier recours des citoyens pour défendre leur vie privée face à un gouvernement qui n’en tient pas compte !»