Conflits d'intérêt à l'APD: la directrice "lanceuse d'alerte" démissionne, "écoeurée"
"À l’écœurement s’ajoute un sentiment de libération et la satisfaction de quitter un milieu extrêmement malsain où le droit et le juste n’ont pas leur place. Il est temps pour moi d’envisager un avenir dans lequel je pourrai contribuer à la protection des données dans un environnement sain, au contact de gens compétents et honnêtes": c'est avec des mots très durs qu'Alexandra Jaspar a présenté sa démission de l'Autorité de protection des données. Un courrier confidentiel envoyé à la Chambre (dont dépend l'APD), qu'un vent favorable nous a fait parvenir.
Avec sa collègue Charlotte Dereppe, ces deux figures membres de la direction de l'APD avaient tiré la sonnette d'alarme sur la situation de l'institution, qui est, depuis, mise en demeure par l'Europe. Et toutes les deux sont visées par la Commission Justice, alors qu'elles ne sont pas concernées par cette procédure européenne.
En préparation de la réponse du parlement à l'Europe, la Commission Justice avait en effet listé le 23 novembre dernier les éléments à charge et à décharge contre cinq membres du comité de direction de l'APD. Une prochaine réunion est fixée ce mercredi 8 décembre à 10h30, sur base contradictoire, après les observations des cinq directeurs visés par les conclusions. "On ne peut pas se baser uniquement sur ce rapport," nous disait-on. Chaque personne concernée a accès au rapport le concernant, avec le temps de la traduction éventuelle, "et c'est sur cette base qu'on essaiera de décider le 8 décembre". Une fois le rapport définitif avalisé par la Commission Justice, cette dernière le transmettra à l'ensemble des parlementaires qui, réunis en séance plénière, décideront du sort final des cinq directeurs.
"Inexact ou fantaisiste"
"Cette procédure pose assurément question", répondait le 2 décembre Alexandra Jaspar, dans un courrier que nous avons pu consulter. "On ne fait apparemment aucune différence de traitement entre, d’une part, ceux qui sont à l’origine, par leurs multiples illégalités et conflits d’intérêts, du climat délétère qui affecte la structure dirigeante de l’APD et, d’autre part, celles qui, comme moi, ont, depuis plus d’un an, dénoncé à de multiples reprises ces illégalités, afin que Votre Chambre des représentants soit dûment informée des dysfonctionnements de l’institution. Cette confusion est d’autant plus regrettable que les membres externes au Comité de direction et qui sont visés en tout premier lieu par les conflits d’intérêts -notamment Monsieur F. ROBBEN- n’ont apparemment reçu, quant à eux, aucune communication de griefs à leur égard et ne seraient donc pas touchés par l’actuelle procédure de levée de mandat ."
"D’autre part, cette communication très partielle de projets de constatations m’empêche de vérifier dans quelle mesure ce qui m’est reproché plus personnellement aurait également fait l’objet de griefs formulés à l’égard d’autres directeurs et tout particulièrement du Président du Comité de direction, lequel est, comme vous ne l’ignorez pas à la lecture des multiples messages que j’ai eu l’occasion de vous adresser depuis plus d’un an, le principal responsable des dysfonctionnements actuels de l’institution."
Même son de cloche du côté de Charlotte Dereppe, qui ajoutait "être dans l’incapacité de répondre, point par point, à chacun des 25 points contenus dans le document qui m’a été transmis et dont certains m’apparaissent, d’ores et déjà, soit inexacts en fait, soit totalement fantaisistes, soit en tout état de cause complètement sortis de leur contexte."
Pour rappel, les membres externes tels que Frank Robben et Bart Preneel, sont visés par la procédure de l'Union européenne, mais pas par les travaux de la Commission Justice. Par contre, David Stevens, actuel président de l'APD, est toujours dans le collimateur des députés.
"Robben, c'est un autre problème"
L'Autorité de protection des données est dans le viseur de la Commission européenne et de la Cour de Justice européenne. La Commission estime que la Belgique viole l'article 52 du RGPD, qui stipule que l'autorité de contrôle de la protection des données accomplit ses missions et exerce ses pouvoirs de manière indépendante. "Certains membres de l'Autorité belge de protection des données ne peuvent actuellement pas être considérés comme exempts d'influence externe car soit ils relèvent d'un comité de gestion dépendant du gouvernement belge, soit ils ont participé à des projets gouvernementaux sur la recherche des contacts COVID-19 ou ils sont membres du Comité de sécurité de l'information", a précisé en novembre la Commission. La Cour des comptes avait confirmé les problèmes de gouvernance de l'APD.
L'APD, sorte de gendarme de la protection de notre vie privée, ne joue donc plus vraiment son rôle. La faute à des incompatibilités légales et des conflits d’intérêts au sein de son Comité de direction. A commencer par Frank Robben, au coeur d'un système et d'une architecture obscure et centralisée, administrateur délégué de la Smals, administrateur général de la Banque carrefour de la Sécurité sociale (BCSS) et membre du centre de connaissances (conseiller) de l'APD. Un Frank Robben qui n'est pourtant pas concerné par les futures décisions de la Commission Justice - et une éventuelle révocation - ce que nous disaient regretter plusieurs députés de la majorité et de l'opposition. Certains nous glissaient que c'est à Mathieu Michel, secrétaire d’État à la Digitalisation chargé de la Protection de la vie privée, de régler le "cas Robben" avec la nouvelle loi sur la protection des données RGPD. Problème: on ne sait pas quand cette loi sera déposée par le cabinet du Secrétaire d'Etat. Une évaluation de la loi a déjà été réalisée par Mathieu Michel mais la nouvelle mouture de la loi ne sera pas encore déposée avant plusieurs mois.
"L'APD s’efforce de ne pas contrôler ce et ceux qu’elle devrait"
"J’aurais vraiment aimé parvenir, de par mon action au sein de l’APD, à ce que la protection des données soit une réalité en Belgique. Et prémunir ainsi les citoyens contre des utilisations abusives, opaques et illégitimes de leurs données personnelles, qui constituent le socle de leurs libertés et les protègent de l’arbitraire, du flicage et toute une série d’injustices pour lesquelles nous n’hésitons pas à critiquer certains états non démocratiques", écrit encore Alexandra Jaspar dans sa lettre de démission. "Je n’ai pu que constater hélas que l’APD s’efforce de ne pas contrôler ce et ceux qu’elle devrait (mais n’hésite par contre pas à s’en prendre aux entreprises du secteur privé) et ne protège pas les données mais ceux qui en font mauvais usage, pour peu qu'ils soient liés aux autorités publiques. Contraignant les associations de citoyens à prendre le relais en faisant appel au pouvoir judiciaire, seul encore apte à rendre justice en toute indépendance".
"Ma collègue Charlotte Dereppe et moi avons fait tout ce qui était en notre pouvoir pour tenter de restaurer l’indépendance de l’APD et d’empêcher les agissements illégitimes de membres de l’APD desquels nous avons été témoins, que nous avons découverts ou qui nous ont été rapportés. Nous avons refusé de nous taire et d’ainsi les cautionner et avons dénoncés ces faits graves, ce qui nous a valu et nous vaut encore de faire l’objet de pressions, pièges, menaces, actes d’intimidation et de rétorsion, essentiellement de la part de Monsieur Stevens. Notre résistance nous vaut désormais également de faire l’objet d’une procédure inquisitoriale visant à notre éviction pour de prétendus motifs graves tout à fait fantaisistes".
Une proposition de loi "qui ne dupera personne"
Comme nous vous l'annoncions, le député Khalil Aouasti (PS) a déposé une proposition de loi qu’il souhaite faire voter en urgence afin qu’elle entre en vigueur au premier janvier prochain. Elle vise, selon lui, à répondre avant le 12 janvier 2022 à la mise en demeure de la Commission européenne a enjoint la Belgique de mettre fin aux mandats des mandataires de l’Autorité de protection des données (APD) dépendant du gouvernement (Mr Frank Robben), ayant participé à des projets gouvernementaux de traçage des contacts (Mr Frank Robben et Mr David Stevens) et/ou étant membres du Comité de Sécurité de l’information (Mr Bart Preneel).
Elle propose, en substance, de remplacer les membres du Centre de Connaissance actuels par des magistrats et académiques, et de leur adjoindre un conseil d’experts. Exit donc Messieurs Robben et Preneel.
Contactée par nos soins, l'asbl Charta21 souligne "qu'en réalité, et même si la proposition et sa justification officielle pourraient, en apparence, créer l’illusion, elles ne duperont pas ceux qui se pencheront sur le dossier. Tout d’abord, l’objectif annoncé n’est pas rencontré, puisque la mise en demeure de la Commission européenne vise également le président actuel de l’APD Mr Stevens (en raison de sa participation à des activités gouvernementales, en ce compris la task force corona) et que la proposition n’aborde pas de sa mise à pied."
Nul doute que ce rebondissement fera réagir, au moment même où Frank Vandenbroucke, ministre fédéral de la Santé publique (Vooruit), travaille à la création d'une giga base de données avec l'INAMI, et en collaboration avec... Frank Robben.
Romuald La Morté & Vincent Schmitz