L’Autorité de Protection des Données voit rouge. Dans un avis qui fera date, elle prie la ministre de l’Intérieur, Annelies Verlinden, de revoir sa copie.

Dans sa forme actuelle, l’avant-projet de Loi Pandémie ne définit pas les éléments essentiels des traitements de données qu’il entend autoriser. Il ne définit pas davantage les données ou catégories qui pourront être traitées. Qui plus est, il délègue à l’exécutif la tâche de définir ces éléments. En l’état, toutes les institutions publiques ont accès à toutes les données pour en faire ce qu’elles veulent sans aucun contrôle parlementaire !

L’avant-projet de Loi Pandémie est fortement critiqué par l’APD, l’Autorité de Protection des Données. Dans un avis publié mardi, le gendarme de la vie privée invite la ministre de l’Intérieur, la CD&V Annelies Verlinden, à revoir sa copie. Tel quel, le projet de Loi contourne totalement l’avis du Parlement. De fait, depuis le début de la pandémie, l’exécutif gouverne à coups d’arrêtés ministériels. Question : jusqu’où l’urgence justifie-t-elle de contourner l’avis des députés ?

Une description très sommaire des finalités

Souvent réservée, l’APD sort, ici, les canons. La Loi, dit-elle, doit décrire clairement et précisément les finalités déterminées, explicites et légitimes des traitements de données. Egalement le ou les responsables de chaque traitement de données à caractère personnel. Mais aussi les données à caractère personnel qui seront traitées. Préciser les catégories de personnes concernées, dont les données à caractère personnel seront traitées. Mentionner les catégories de destinataires des données à caractère personnel ainsi que les raisons pour lesquelles ils recevront les données et les usages qu’ils en feront. Et, enfin, le délai de conservation maximal des données à caractère personnel enregistrées.

Dans la mesure où la loi définit ces éléments essentiels, les détails et modalités de ces traitements de données peuvent être précisés par arrêté-royal, moyennant une délégation claire et précise effectuée par la loi. «L’avant-projet de loi ne définit pas les éléments essentiels; il délègue à l’exécutif la tâche de les définir. Il qualifie de ‘modalités’ les éléments essentiels des traitements de données qu’il entend autoriser. Or, il s’agit d’éléments essentiels qui doivent être définis par le législateur», déplore l’APD.

Loi Pandémie, le traitement des données mis à mal

L’avant-projet de Loi Pandémie ne définit pas non plus les catégories de personnes dont les données pourront être traitées. Il ne reprend pas une liste de catégories de données qui pourront être traitées sans toujours préciser par quelle(s) autorité(s), dans le cadre de quel(s) traitement(s) ni à quelle(s) fin(s). Le texte ne mentionne pas «quelle(s) autorité(s) endossera/ont la qualité de responsable du traitement pour les traitements de données qu’il entend autoriser au travers de cet avant-projet.»

L’Autorité estime par ailleurs qu’«il est difficile malgré une description apparemment claire des finalités de surveillance et de contrôle, d’en comprendre l’objectif précis». Par ailleurs, «l’avant-projet semble en outre vouloir opérer une extension d’office et en bloc des possibilités d’utilisation de données contenues dans toutes les banques de données en possession de toutes les autorités publiques belges», lit-on encore dans l’avis rendu mardi. L’APD joue pleinement son rôle.

Plus largement, l’Autorité regrette  «l’impossibilité aux élus d’appréhender le caractère légitime et proportionné des traitements de données.» Un avis à tout le moins salutaire, qui fera date.