23.11.21
13:17

Autorité de protection des données: toujours pas de décision de la Commission Justice

Après une réunion d'une heure, la Commission Justice a décidé de ne pas décider sur le dossier APD (Autorité de protection des données): une prochaine réunion est fixée au 8 décembre, sur base contradictoire, après les observations des cinq directeurs visés par les conclusions. "On ne peut pas se baser uniquement sur ce rapport," nous dit-on. Chaque personne concernée aura accès au rapport le concernant, avec le temps de la traduction éventuelle, "et c'est sur cette base qu'on essaiera de décider le 8 décembre".

Une fois le rapport définitif avalisé par la Commission Justice, cette dernière le transmettra à l'ensemble des parlementaires qui, réunis en séance plénière, décideront du sort final des cinq directeurs. 

Une décision qui était pourtant très attendue dans ce dossier épineux de l'Autorité de protection des données, dans le viseur de la Commission européenne et de la Cour de Justice européenne. La Belgique a en effet jusqu'au 12 janvier pour échapper à une sanction de la Cour européenne de justice "pour infraction grave au RGPD".

 

Des lanceuses d'alerte visées

Dans les conclusions de ce 23 novembre, la Commission Justice liste sur 23 pages les éléments à charge et à décharge contre les 5 membres du comité de direction de l'APD. 11 d'entre elles concernent le président de l'APD, David Stevens, fortement critiqué par la Cour des comptes. Mais parmi les 5 personne mises en cause, une seule est concernée par la procédure lancée par la Commission européenne: David Stevens, à qui est reproché son implication dans la task force gouvernementale "data against corona" au début de la crise du Covid.

Les deux autres personnes, Frank Robben et Bart Preneel, membres externes du Centre de connaissance et membres du Comité de sécurité de l'information, sont visées par cette procédure européenne mais ne sont pas concernées par la Commission Justice. On retrouve également parmi ces 5 personnes deux lanceuses d'alerte, qui ne sont pourtant pas visées par l'Europe. Ce qui fait dire à certains: "Doit-on craindre que la Belgique punisse les deux lanceuses d'alerte de l'Autorité de protection des données alors que la directive européenne sur la protection des lanceurs d'alerte (toujours pas transposée en droit belge) sortira ses effets le 17 décembre prochain?"

 

Robben pas concerné par la Commission Justice

L'APD, sorte de gendarme de la protection de notre vie privée, ne joue plus vraiment son rôle. La faute à des incompatibilités légales et des conflits d’intérêts au sein de son Comité de direction. A commencer par Frank Robben, au coeur d'un système et d'une architecture obscure et centralisée, administrateur délégué de la Smals, administrateur général de la Banque carrefour de la Sécurité sociale (BCSS) et membre du centre de connaissances (conseiller) de l'APD. La Commission européenne estime que "certains membres de l'Autorité belge de protection des données ne peuvent actuellement pas être considérés comme exempts d'influence externe" et que la Belgique viole l'article 52 du RGPD.

Un Frank Robben qui  n'est pourtant pas concerné par les futures décisions de la Commission Justice - et une éventuelle révocation - ce que nous disent regretter plusieurs députés de la majorité et de l'opposition. Certains nous glissent que c'est à Mathieu Michel, secrétaire d’État à la Digitalisation chargé de la Protection de la vie privée, de régler le "cas Robben" avec la nouvelle loi sur la protection des données RGPD. Problème: on ne sait pas quand cette loi sera déposée par le cabinet du Secrétaire d'Etat.

 

Une nouvelle loi pour régler la situation?

"Il faut distinguer les deux situations. Robben est concerné, avec deux autres personnes, par un problème d'incompatibilité, pas de management. Il faut essayer de régler les deux situations en parallèle mais les méthodes sont différentes," nous souffle-t-on. "Il faut une solution globale". Une proposition de loi pour modifier le centre de connaissances de l'APD pourrait être déposée prochainement par plusieurs élus, pour remédier à cette situation. 

 

Ultimatum européen

La Commission européenne avait donné jusqu'au 12 janvier à la Belgique pour régler son problème avec l'APD (Autorité de protection des données). La Commission estime que la Belgique viole l'article 52 du RGPD, qui stipule que l'autorité de contrôle de la protection des données accomplit ses missions et exerce ses pouvoirs de manière indépendante. "Certains membres de l'Autorité belge de protection des données ne peuvent actuellement pas être considérés comme exempts d'influence externe car soit ils relèvent d'un comité de gestion dépendant du gouvernement belge, soit ils ont participé à des projets gouvernementaux sur la recherche des contacts COVID-19 ou ils sont membres du Comité de sécurité de l'information", a précisé il y a dix jours la Commission.

 

Romuald La Morté & Vincent Schmitz

 

Partager cet article

Partager cet article