Indépendance de l’Autorité de Protection des Données – Lettre au Président de la Chambre des Représentants et aux chef·fe·s de groupe

Bruxelles, le 23 juin 2020

Monsieur le Président de la Chambre des Représentants,

Mesdames et Messieurs les chef·fe·s de groupe,

Le 15 mai et le 15 juin dernier, nous vous écrivions pour vous faire part de nos préoccupations quant aux différents projets en matière de traçage du Covid19, leur non-conformité au droit fondamental à la vie privée, l’absence de débat public et le manque de transparence des travaux législatifs.

Nous n’avons pas reçu de réponse à ces deux courriers. À ce jour, nous n’avons pas pu prendre connaissance du texte de l’accord de coopération. En revanche, nous apprenions vendredi 19 juin par la presse que le gouvernement fédéral et les entités fédérées étaient parvenues, mercredi, au cours d’une conférence interministérielle sur la santé, à un accord de coopération qui fixerait un cadre légal concernant la protection des données, à la fois pour le traçage manuel et pour une éventuelle application. Cette annonce venait confirmer des rumeurs mentionnées dans la presse depuis le mercredi 17 juin.

Par ailleurs, le vendredi 19 juin, une enquête du magazine Wilfried mettait à jour de manière très inquiétante l’omniprésence de Monsieur Frank Robben dans le dossier relatif au traçage, entre autres.

Nous regrettons de constater une situation doublement préoccupante. D’une part le Parlement a choisi de se dessaisir d’un dossier sensible qui doit impérativement récolter la confiance et l’adhésion des citoyens, au profit d’un accord de coopération, sans débat public et sans transparence. D’autre part il apparaît qu’une seule personne, largement controversée, est au cœur du processus.

Ce qui apparaîtrait en temps normal comme une dérive peut en temps de crise se parer des attributs de l’urgence et de l’efficacité pour occulter, même de manière bien intentionnée, sa nature dangereuse et nocive. C’est au contraire en temps de crise que notre démocratie est fragilisée et a besoin d’institutions fortes et respectées. L’efficacité sera d’autant plus assurée pour faire face à l’urgence si le rôle de chaque niveau de pouvoir est bien respecté.

À en croire l’enquête du magazine Wilfried, de nombreux conflits d’intérêts et dysfonctionnements sont à déplorer dans plusieurs institutions. Toutefois, nous souhaitons en priorité attirer votre attention sur les conflits d’intérêts au sein de l’Autorité de Protection des Données. Il est primordial que cette institution dont vous avez la tutelle puisse jouir de son indépendance, comme le prévoient les textes législatifs et comme l’exigent les principes de notre démocratie.

Mandataires publics et membres de l’Autorité de Protection des Données

Nous constatons que 3 membres du Centre de Connaissances sont mandataires de la fonction publique. Monsieur Frank Robben est entre autres Administrateur général de la Banque Carrefour de la Sécurité Sociale, Madame Séverine Waterbley et Monsieur Nicolas Waeyaert sont Directeur Général au SPF Economie.

Nous attirons votre attention sur les conditions de nomination, à remplir au moment de la nomination et durant le mandat, qui sont définies à l’article 38 de la loi du 3 décembre 2017. L’article 38 6° précise que les membres de l’APD ne peuvent pas être mandataire d’une fonction publique. La notion de mandat public est définie à l’article 2, § 1er, de la loi du 6 janvier 2014 portant création d’une Commission fédérale de déontologie et contenant le Code de déontologie des mandataires publics. Cette disposition énumère les personnes considérées comme « mandataire public ». Parmi celles-ci, figure « tout dirigeant ou commissaire de gouvernement d’un ministère ou d’un service public fédéral et des services qui en dépendent, ainsi que des institutions publiques de sécurité sociale visées à l’article 3, § 2, de l’arrêté royal du 3 avril 1997 […] ».

Madame Séverine Waterbley, Monsieur Nicolas Waeyaert et Monsieur Frank Robben ne remplissent pas les conditions listées à l’article 38 de la loi du 3 décembre 2017.

Ne conviendrait-il pas de remédier à cette situation en procédant à leur audition, tel que le prévoit l’article 45 de la loi du 3 décembre 2017, invoquant pour motif le non-respect de la condition de nomination mentionnée à l’article 38 6° de la loi du 3 décembre 2017 ?

Nous soulignons qu’il ne faut pas ici confondre le conflit d’intérêt et l’incompatibilité légale, qui sont deux concepts différents qui tendent vers le même objectif d’indépendance. Le conflit d’intérêt ponctuel peut être réglé en ne participant pas à une décision. L’incompatibilité légale vise à empêcher le conflit d’intérêt permanent du mandataire public qui, à titre principal, doit être loyal envers le pouvoir exécutif pour lequel il travaille. Ainsi, l’offre de se retirer pour les décisions qui concernent directement des dossiers relevant de ses compétences ne suffirait pas à annihiler le conflit d’intérêt.

Membre du personnel politique et membre de l’Autorité de Protection des Données

Nous constatons qu’un membre de la Chambre Contentieuse, Monsieur Jelle Stassijns, est membre du personnel politique d’un groupe politique (NVA) au Parlement fédéral.

Bien qu’il ne s’agisse pas d’une condition de nomination de droit interne, le fait d’être employé d’un groupe politique, faisant de surcroît partie d’un exécutif, n’est pas compatible avec les exigences d’indépendance prévue à l’article 52 du Règlement Général sur la Protection des Données.

À ce propos, nous vous rappelons qu’il existe une jurisprudence de la Cour de Justice de l’Union Européenne en matière d’indépendance des membres des autorités de protection des données. Cette jurisprudence est constante et établit l’incompatibilité de l’exercice d’une fonction soumise à une autorité de tutelle politique avec l’exercice d’une fonction auprès de l’autorité de protection des données.

Dans l’arrêt C-518/07, Commission/Allemagne, la Cour établit que le seul risque que les autorités de tutelle puissent exercer une influence politique sur les décisions des autorités de contrôle compétentes suffit pour entraver l’exercice indépendant de leurs missions. D’une part, il pourrait y avoir une « obéissance anticipée » de ces autorités eu égard à la pratique décisionnelle de l’autorité de tutelle. D’autre part, le rôle de gardiennes du droit à la vie privée qu’assument lesdites autorités de contrôle exige que leurs décisions, et donc elles-mêmes, soient au-dessus de tout soupçon de partialité.

Dans l’arrêt C-614/10, Commission/Autriche, la Cour établit que le fait que l’autorité dispose d’une indépendance fonctionnelle, en ce que ses membres sont indépendants et ne sont liés par aucune instruction dans l’exercice de leur fonction, ne suffit pas, à lui seul, à préserver l’autorité de contrôle de toute influence extérieure. Or, l’indépendance requise dans ce cadre vise à exclure non seulement l’influence directe, sous forme d’instructions, mais également toute forme d’influence indirecte susceptible d’orienter les décisions de l’autorité de contrôle.

Ces deux arrêts confirment bien l’incompatibilité entre l’exercice d’un mandat public et l’exercice d’un mandat auprès de l’Autorité de Protection des Données. Le risque d’une influence et le soupçon de partialité l’emportent sur l’offre au cas par cas de se retirer d’un dossier. L’indépendance fonctionnelle ne suffit pas à garantir l’absence d’influence. L’article 38 6° est un des moyens pour garantir l’indépendance des membres de l’Autorité de Protection des Données, en conformité avec la jurisprudence européenne.

Dans l’arrêt C-288/12, Commission/Hongrie, la Cour confirme sa jurisprudence des deux arrêts précités et établit que le risque d’une forme d’obéissance de l’autorité de contrôle au pouvoir politique, si celui-ci peut mettre fin au mandat d’une autorité de contrôle avant le terme initialement prévu de celui-ci sans respecter les règles et les garanties préétablies à cette fin par la législation applicable, est incompatible avec l’exigence d’indépendance.

Cet arrêt est particulièrement éclairant de la situation des mandataires publics. En effet, le législateur a bien prévu, à l’article 38 de la loi du 3 décembre 2017, des conditions de nomination en vue de garantir l’indépendance des membres de l’Autorité de Protection des Données. Pourtant, en nommant Madame Séverine Waterbley, Monsieur Nicolas Waeyaert et Monsieur Frank Robben tout en étant en mesure de savoir qu’ils ne remplissaient pas lesdites conditions de nominations, le Parlement n’a pas respecté les règles et les garanties préétablies à cette fin par la législation applicable. Qu’il s’agisse de lever ou d’attribuer un mandat, le non-respect des règles préétablies garantissant l’indépendance fait courir de manière égale le risque d’une forme d’obéissance de l’autorité de contrôle au pouvoir politique. Il revenait au Parlement de s’assurer, à l’instar de ce qui se fait après des élections législatives, que les candidats élus remplissaient bien les conditions de nomination, de les inviter le cas échéant à accomplir les démarches nécessaires pour les remplir et, à défaut, à prononcer l’impossibilité de nomination et de procéder à un nouveau vote.

Participation du Président de l’Autorité de Protection des Données à la Task Force « Data against corona »

En ce qui concerne ce risque d’une forme d’obéissance de l’autorité de contrôle au pouvoir politique, nous attirons votre attention sur le fait que celui-ci est bien réel et a pris forme avec la participation du Président de l’APD à la Task Force « Data Against Corona », task force décisionnelle et opérationnelle du gouvernement fédéral.

La participation de Monsieur David Stevens à la Task Force est une activité manifestement incompatible au sens de l’article 44 de la loi du 3 décembre 2017, la Task Force bénéficiant directement des décisions prises par l’APD, non seulement par l’influence et la visibilité de David Stevens en tant que Président mais aussi des décisions prises par lui en tant que directeur du secrétariat général.

Si les membres de l’APD ne doivent recevoir d’instruction de quiconque, conformément à l’article 43 de la loi du 3 décembre 2017, il leur revient au premier chef de ne pas en accepter. La volonté du Ministre De Backer de prendre en considération la protection des données dès le départ des travaux législatifs est louable. En revanche, l’invitation lancée à Monsieur David Stevens est étonnante. La confusion entre les rôles d’« expert en protection des données » et « autorité de contrôle indépendante » est compréhensible, bien qu’étonnante, dans le chef du Ministre qui a formulé l’invitation. Mais l’acceptation de cette invitation par David Stevens est assez surprenante de méconnaissance des rôles de chacun et de son propre rôle en particulier. N’aurait-il pas fallu se poser la question de son indépendance et de celle de l’Autorité de Protection des Données qu’il représente et décliner l’invitation du Ministre De Backer, même si celle-ci prenait la forme d’une injonction.

On rappellera utilement que Monsieur David Stevens, entendu en sa qualité de Président de l’Autorité de Protection des Données par la commission Economie le 28 avril 2020, a omis de mentionner des activités de la Task Force lors de son audition. Cela a été soulevé par plusieurs députés (Madame Sophie Rohonyi et Messieurs Khalil Aouasti et Gilles Vanden Burre) alors que le manque général de transparence autour de la Task Force « Data Against Corona » a été souligné par la plupart des députés présents.

Alors qu’il était entendu en tant que Président de l’Autorité de Protection des Données, rien n’a été dit sur le dossier – à savoir qu’un arrêté royal était en préparation pour encadrer le traçage. Ce qui ne manque pas de poser question. À ce titre, il serait utile de savoir si Monsieur David Stevens a considéré qu’il venait représenter l’Autorité de Protection des Données, et disposait donc d’une décision de son comité de direction établissant les messages à transmettre, ou s’il a agi de manière isolée. Dans la première hypothèse, il s’agira de comprendre ce qui a incité le comité de direction à omettre ces informations cruciales au Parlement. Dans la deuxième hypothèse, il s’agit d’un manquement sérieux de Monsieur David Stevens qui devait se poser les questions nécessaires en regard de ses titres et fonctions.

Ainsi, on ne peut plus parler de risque d’influence mais bien d’une influence de l’autorité politique concrétisée par une omission au parlement fédéral.

Au passage, on mentionnera le dommage réputationnel grave et irrémédiable pour l’APD, s’agissant en outre d’une nouvelle structure, dont il est le 1er président.

En conclusion, cette participation à la Task Force par Monsieur David Stevens est soit une faute de sa part, soit le résultat d’une forme d’obéissance de l’autorité de contrôle au pouvoir politique induite par la nomination de mandataires publics en dépit des règles préexistantes garantissant l’indépendance de l’autorité de protection des données.

À la lumière de ces éléments, il pourrait s’avérer opportun que la Chambre procède à l’audition telle que prévue à l’article 45 de la loi du 3 décembre 2017 :

  • de Madame Séverine Waterbley, Monsieur Nicolas Waeyaert et Monsieur Frank Robben en ce qui concerne la violation de l’article 38 6° de la loi du 3 décembre 2017 et de l’article 52 du RGPD
  • de Monsieur Jelle Stassijns en ce qui concerne la violation de l’article 52 du RGPD
  • de Monsieur David Stevens en ce qui concerne la violation de l’article 44 de la loi du 3 décembre 2017 et de l’article 52 du RGPD

Je reste à votre disposition pour toute question et je vous prie de recevoir, Monsieur le Président, Mesdames et Messieurs les Chefs de groupe, mes salutations distinguées.

Olivia Venet
Présidente

Télécharger la lettre