L’autorité de Protection des Données dézingue le projet de loi Pandémie

“L’avant-projet ne constitue pas une base légale valable pour les traitements de données qui pourraient être effectués dans le cadre de la mise en place des mesures de police - il donne lieu à une violation des principes de légalité et de prévisibilité”. D’entrée de jeu, l’avis rendu par l’Autorité de Protection des données est clair. Cet avant-projet de loi présente un certain nombre de manquements en matière de protection de la vie privée et doit être revu. 

Le contournement du parlement, entériné dans la loi

Au centre de critiques émises par le gendarme de la vie privée, la volonté de la part de l’exécutif de systématiquement contourner l’avis du parlement en temps de crise. Depuis le début de la pandémie, l’exécutif gouverne à coups d’arrêtés ministériels. Cela lui permet, en cas de catastrophe, d’avancer rapidement, sans l’aval du parlement. Mais après un an de crise, l’urgence justifie-t-elle encore de contourner l’avis des députés ? 

L’avant-projet de loi pandémie, rédigé par la ministre de l’Intérieur (CD&V), est censé remettre les pendules à l’heure. Rendre le pouvoir aux parlementaires et instaurer un cadre légal pour gérer la crise, notamment en matière de gestion des données à caractère personnel. A ce sujet, la formulation du texte semble plutôt vouloir transférer définitivement un certain nombre de compétences à l’exécutif. “S’il passait en l'état, ce serait un renoncement hallucinant à l’état de droit.” explique Jacques Folon, professeur à l’ICHEC et spécialiste du RGPD. “Ce serait un transfert d’une partie des compétences du parlement à l’exécutif avec un manque de précision sur ce qu’on va faire des données du citoyens. (...) l'équivalent d’un hara-kiri de la part du parlement”

Une formulation également pointée dans l’avis de l’Autorité de Protection des données. “L’avant-projet, en ce qu’il remet à plus tard la définition de tous les éléments essentiels des traitements de données qu’il souhaite autoriser en bloc, ne permet pas aux élus d’appréhender le caractère légitime et proportionné de ces traitements de données. (...) Ces traitements de données seront en conséquence déterminés par le pouvoir exécutif sans permettre ce débat essentiel qui garantit le fonctionnement démocratique de notre état de droit.” 

La finalité et la proportionnalité au coeur du RGPD

Le centre de connaissance de l’APD rappelle l’importance du principe de “finalité” et de “proportionnalité” imaginés par le RGPD. Chaque utilisation de données à caractère personnel doit être encadrée par une loi décrivant clairement “les finalités déterminées, explicites et légitimes des traitements de données à caractère personnel.” Or l’avant-projet de loi pandémie, dans sa forme actuelle, ne définit pas les éléments essentiels des traitements de données qu’il entend autoriser. Il ne définit pas non plus les données ou catégories qui pourront être traitées et délègue à l’exécutif la tâche de définir ces éléments. “En résumé, toutes les institutions publiques ont accès à toutes les données pour en faire ce qu’elles veulent sans aucun contrôle parlementaire” traduit Jacques Folon. 

L’APD demande que l’avant-projet de loi soit complété d'une “définition claire, complète et univoque des catégories de personnes dont les données pourront être traitées.” Pour le gendarme de la vie privée en Belgique, la construction actuelle “constitue une violation flagrante des principes les plus élémentaires de la protection des données à caractère personnel”.

Dans sa conclusion, Alexandra Jaspar, la directrice du centre de Connaissance de l’APD finit de recaler le texte proposé par le gouvernement de Croo et sa ministre de l’Intérieur. “Face aux critiques et à la demande grandissante de voir élaboré un cadre légal qui circonscrive les nombreux traitements de données à caractère personnelles auxquels il a été recouru dans le cadre de la crise sanitaire en cours, il n’est pas acceptable que l’on tente artificiellement de donner une légitimité aux traitements de données existants au travers d’une loi qui n’en poserait même pas les éléments essentiels ; ni que l’on autorise, au travers de la même loi, des traitements de données non-encore envisagés et au sujet desquels le parlement n’est dès lors pas en mesure de se prononcer (...) Par ces motifs,

l’Autorité estime que l’avant-projet doit être revu en tenant compte du présent avis.”

La commission Intérieur de la Chambre se penchera sur l’avant-projet de loi pandémie dès ce mercredi. 

Brieuc Beckers