Les conflits d'intérêts présumés de Frank Robben, Séverine Waterbley, Nicolas Waeyaert et Bart Preneel, membres de l'Autorité de protection des données, embarrassent le parlement. © DR

La « gardienne de la vie privée » infiltrée par l’Etat Big Brother (enquête)

David Leloup Journaliste

Quatre experts de l’Autorité de protection des données – l’ex-Commission vie privée – apparaissent avoir été nommés illégalement par le parlement fédéral juste avant les élections du 26 mai 2019. Ce quatuor, visé par une plainte européenne pour conflits d’intérêts et incompatibilité légale, embarrasse aujourd’hui les députés. Qui devront trancher début 2021. Enquête.

Faites ce que je dis, pas ce que je fais… L’agence belge chargée de faire respecter la législation européenne sur la protection de la vie privée – le fameux RGPD pour Règlement général sur la protection des données – est elle-même accusée de ne pas respecter le RGPD. Et ce, dans un contexte de tensions internes et à un moment très délicat où l’épidémie de coronavirus mobilise largement nos informations personnelles, collectées dans des bases de données et autres « fichiers » liés au testing, au traçage ou à la vaccination.

Selon une plainte déposée récemment auprès de la Commission européenne, et que Le Vif rend aujourd’hui publique, quatre membres sur sept d’un panel d’experts de l’Autorité de protection des données (APD) ne satisfont pas aux exigences d’indépendance énoncées dans le RGPD. Nos confrères de Politico avaient dévoilé l’existence de cette plainte il y a quelques semaines, sans toutefois entrer dans les détails de celle-ci. On y découvre que quelques semaines avant les élections fédérales de 2019, le parlement a ignoré tant la loi belge que la jurisprudence européenne, et ce alors même que son service juridique l’avait alerté de la situation.

Le « Conseil d’Etat » de la vie privée

Le panel d’experts de l’APD au centre de la plainte porte le nom de « Centre de connaissances ». À l’instar du Conseil d’Etat qui analyse la légalité des projets législatifs, le Centre de connaissances de l’APD rend des avis sur des projets de lois, décrets et arrêtés où nos données personnelles sont utilisées. Autrement dit: la manière dont nos données personnelles vont être collectées, traitées et stockées par le gouvernement (le plus souvent) ou une firme privée (parfois) respecte-t-elle les garde-fous du RGPD protégeant notre vie privée?

La majeure partie des projets législatifs examinés par le Centre de connaissances de l’APD concerne le traitement de données personnelles par des entités de l’Etat: les SPF, les autorités judiciaires, l’Inami, l’Onem, l’Inasti, etc. Pour cette raison, les membres externes du Centre de connaissances ne peuvent pas exercer de mandat public. Il s’agit d’une incompatibilité légale prévue par le législateur. « En effet, étant donné qu’un avis émis sur un projet législatif peut ensuite faire jurisprudence sur les futurs avis de l’APD, un dirigeant du secteur public a un intérêt évident à ce que le Centre de connaissances rende des avis peu contraignants pour le secteur public lui-même », analyse une juriste de l’APD qui a requis l’anonymat.

Le Centre de connaissances de l’APD est constitué de six membres externes (qui touchent un jeton de présence d’un peu plus de 300 euros brut pour une réunion toutes les trois semaines) et d’une directrice, Alexandra Jaspar (mandataire publique et membre du comité de direction de l’APD). Les membres externes du Centre de connaissances jouent un rôle central au sein de ce « Conseil d’Etat » de la vie privée: ils participent aux discussions et votent les avis rendus sur les projets législatifs et réglementaires qui arrivent sur son bureau.

Sous l’autorité directe d’un ministre

La plainte « pour non-respect de la législation de l’UE » (en l’occurrence le RGPD et son article 52) vise « la nomination de Monsieur Frank Robben, Monsieur Nicolas Waeyaert et Madame Séverine Waterbley (chefs d’administration) et de Monsieur Bart Preneel (membre d’un comité dont les travaux relèvent d’une administration) en tant que membres de l’APD, suite à un vote intervenu en séance plénière du parlement fédéral le 4 avril 2019. »

Frank Robben (CD&V) est notamment administrateur général de la Banque carrefour de la sécurité sociale (BCSS), administrateur général de la plateforme eHealth et président du comité de direction de la Smals. Séverine Waterbley (PS) est à la tête de la DG Réglementation économique du SPF Economie. Au sein de ce même SPF Economie, Nicolas Waeyaert (OpenVLD) est le numéro un de la DG Statistique, administration qui ne vit que de transferts de données. Robben, Waterbley et Waeyaert sont tous trois, « à titre principal chef d’administration et sont par ce biais sous l’autorité directe d’un ministre », peut-on lire dans la plainte.

Un quatrième membre du Centre de connaissances, Bart Preneel, fait quant à lui partie du controversé Comité de sécurité de l’information (CSI) dont « les travaux sont préparés par l’administration en charge des échanges de données », en l’occurrence la BCSS dirigée par Frank Robben (pour les questions liées à la santé ou la sécurité sociale). En se substituant au législateur, le CSI autorise – ou pas – le partage de données personnelles détenues par les autorités publiques. Le CSI est un comité dont la création même, par le parlement, dans l’urgence en juillet 2018, a fait l’objet d’un avis défavorable du Conseil d’Etat, de vives critiques académiques et d’une autre plainte auprès de la Commission européenne déposée en juillet 2020.

Parapluie parlementaire

Dans la plainte du 19 novembre 2020 auprès de la Direction générale Justice de la Commission européenne, les plaignants – qui souhaitent rester anonymes comme la législation le leur permet (afin notamment d’éviter d’éventuelles représailles) – reprochent à l’APD de ne pas avoir demandé au parlement « de s’assurer, à l’instar de ce qui se fait après des élections législatives, que les candidats élus remplissaient bien les conditions de nomination (…) et, à défaut, [de] prononcer l’impossibilité de nomination et de procéder à un nouveau vote. » C’est donc le président de l’APD, David Stevens, ainsi que tout le comité de direction – composé de Stevens et quatre autres directeurs – qui sont en réalité directement visés par la plainte.

David Stevens, par le biais du porte-parole de l’APD, ouvre le parapluie et rétorque que ces experts externes ont été désirés et désignés par le parlement: « La loi prévoit qu’ils sont nommés sur la base de leur compétence et de leur expérience, ainsi que de leur indépendance et de leur autorité morale. » L’APD souligne aussi que tous ses membres externes « ont signé la déclaration d’absence de conflits d’intérêts ou de toute autre activité incompatible, comme requis par la loi. L’APD n’a jusqu’à présent aucune raison concrète de douter de leur intégrité. » Pragmatique, l’instance de contrôle ajoute que si le choix de ces membres externes « avec expertise et expérience professionnelle » dans le domaine « comporte toujours un certain risque », ils ont l’avantage de fournir à l’institution « l’accès direct à une expertise utile, particulièrement dans le secteur public ».

Une majorité d’experts « sous tutelle »

Pourtant, vu leurs fonctions, les quatre experts externes du Centre de connaissances de l’APD ne peuvent pas être indépendants, estiment les plaignants, ce qui est pourtant une exigence du RGPD afin de protéger au mieux les données personnelles des citoyens européens. En effet, le comité étant composé de sept membres, « il y a une majorité de ses membres qui relèvent dans leurs fonctions principales (pour trois d’entre eux) de l’autorité d’un Ministre de tutelle ou dont les fonctions secondaires (pour un d’entre eux) sont liées à une pratique d’un Ministre de tutelle qui a pour but d’autoriser la plupart des transferts de données du secteur public. »

Or l’article 52 du RGPD prévoit les conditions d’indépendance auxquelles doivent répondre les autorités de contrôle européennes, dont l’APD en Belgique: « les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque ». De plus, durant leur mandat, ils « n’exercent aucune activité professionnelle incompatible, rémunérée ou non ». Conclusion des plaignants: « Frank Robben, Nicolas Waeyaert et Séverine Waterbley ne sont pas libres d’influence, en raison de leur profession de chefs d’administration, et Bart Preneel exerce une activité professionnelle incompatible. »

Contactés, Séverine Waterbley et Nicolas Waeyaert nous ont signifié « ne pas souhaiter réagir » à ces accusations d’incompatibilité légale entre leur activité professionnelle et leur mandat d’expert à l’APD. Bart Preneel déclare pour sa part qu’il a été désigné par le parlement pour ses deux fonctions, tant au Centre de connaissances qu’au Comité pour la sécurité de l’information (CSI): « Ma position au sein du CSI est temporaire, en attendant une nouvelle composition. Et quand il y a un conflit d’intérêts, je ne participe pas aux décisions. » Quant à Frank Robben, il ouvre également le parapluie parlementaire et assure, comme Bart Preneel, qu’il se déporte chaque fois qu’il se retrouve en conflit d’intérêts: « Le règlement interne [de l’APD, NDLR] dit clairement que quand quelqu’un est concerné par un dossier, il ne siège pas. C’est ce que j’ai fait systématiquement: je suis impliqué dans tout ce qui est contact tracing et donc je ne participe pas aux délibérations si ce sont des dossiers qui ont trait aux organisations que je gère. » Une version que conteste formellement notre juriste de l’APD ainsi que deux autres sources citées par le magazine Wilfried dans son enquête sur Frank Robben en juin dernier – un ancien vice-président et une ex-membre de la Commission vie privée devenue l’APD en 2018.

Conflits d’intérêts permanents

Pour la Ligue des droits humains (LDH), même si Frank Robben se récuse ponctuellement comme il l’affirme, cela ne suffit pas. « Il ne faut pas ici confondre le conflit d’intérêt et l’incompatibilité légale, qui sont deux concepts différents qui tendent vers le même objectif d’indépendance », soulignait Olivia Venet, présidente de la LDH, dans une lettre ouverte au parlement réclamant déjà les têtes de Robben, Waeyaert et Waterbley en juin dernier. « Le conflit d’intérêts ponctuel peut être réglé en ne participant pas à une décision. L’incompatibilité légale vise à empêcher le conflit d’intérêts permanent du mandataire public qui, à titre principal, doit être loyal envers le pouvoir exécutif pour lequel il travaille. » Bref, pour Olivia Venet, proposer de sortir de la pièce pour les décisions qui concernent directement des dossiers relevant de ses compétences « ne suffit pas à annihiler le conflit d’intérêts » qui est bien plus général...

La jurisprudence européenne est d’ailleurs très claire à propos des critères nécessaires pour garantir l’indépendance des APD de chacun des Etats membres. La LDH pointe en particulier deux arrêts de la Cour de justice de l’Union européenne (CJUE), laquelle veille à ce que la législation de l’UE soit interprétée et appliquée de la même manière dans tous les Etats membres. Dans l’arrêt C-518/07 (Commission/Allemagne), la Cour établit que « le seul risque que les autorités de tutelle puissent exercer une influence politique sur les décisions des autorités de contrôle compétentes (NDLR: l’APD en Belgique) suffit pour entraver l’exercice indépendant de leurs missions », rappelle la présidente de la LDH. Et ce risque – même s’il ne se concrétisait pas – existe pour chacun des quatre experts épinglés. Or le rôle de « gardiennes du droit à la vie privée » qu’assument les APD de chaque Etat membre « exige que leurs décisions, et donc elles-mêmes, soient au-dessus de tout soupçon de partialité ».

Dans l’arrêt C-614/10, (Commission/Autriche), la CJUE établit que l’« indépendance fonctionnelle » d’une APD, c’est-à-dire quand ses membres ne sont liés par aucune instruction « venue d’en-haut », ne suffit pas. « L’indépendance requise dans ce cadre vise à exclure non seulement l’influence directe, sous forme d’instructions, mais également toute forme d’influence indirecte susceptible d’orienter les décisions de l’autorité de contrôle », souligne encore Olivia Venet. Qui conclut que ces deux arrêts confirment bien l’incompatibilité entre l’exercice d’un mandat public et l’exercice d’un mandat auprès de l’APD: « Le risque d’une influence et le soupçon de partialité l’emportent sur l’offre au cas par cas de se retirer d’un dossier. »

Le parlement s’est « assis » sur la loi…

Bref, la Commission européenne dispose encore de dix bons mois pour examiner la plainte et décider d’ouvrir ou non une procédure devant la CJUE. Cela dit, et la Commission l’écrit en préambule de son formulaire de plainte, elle « n’est pas tenue d’engager des procédures formelles d’infraction, même si elle estime qu’une infraction a été commise. » Une chose est sûre en tout cas: cette plainte vient appuyer des doléances antérieures émises dans les milieux académique, associatif et au sein même de l’APD, réclamant la mise à l’écart de ces experts jugés non indépendants.

La loyauté attendue des trois premiers envers leur tutelle – le pouvoir exécutif – apparaît effectivement incompatible avec l’indépendance requise des avis de l’APD. C’est d’ailleurs pour cela que le point 6 de l’article 38 de la loi du 3 décembre 2017 instituant l’APD précise que ses membres ne peuvent « pas être mandataire[s] d’une fonction publique ». « L’article 38, 6° est d’ailleurs un des moyens mis en oeuvre par le législateur pour garantir l’indépendance des membres de l’APD, en conformité avec la jurisprudence européenne », rappelle avec insistance la présidente de la LDH.

Ainsi, en désignant les experts problématiques comme membres externes de l’APD le 4 avril 2019, moins de huit semaines avant les élections du 26 mai, le parlement fédéral apparaît s’être clairement « assis » sur la loi belge et la jurisprudence européenne. Pourtant, le service Affaires juridiques de la chambre avait remis un avis éloquent un mois avant le vote. Il répondait justement à une question de la commission Justice sur l’interprétation à faire de cet article 38, 6° (« ne pas être mandataire d’une fonction publique »).

…et a snobé son service juridique

Que préconisaient les juristes de la chambre? Que faute d’une définition légale des termes « mandataire d’une fonction publique », il fallait s’en référer à une loi du 6 janvier 2014 où la notion de mandat public est définie à son article 2. Parmi les personnes considérées comme « mandataire public » figure « tout dirigeant ou commissaire de gouvernement d’un ministère ou d’un service public fédéral et des services qui en dépendent, ainsi que des institutions publiques de sécurité sociale ». Bref, selon le service Affaires juridiques de la chambre, Séverine Waterbley, Nicolas Waeyaert et Frank Robben sont bien des mandataires publics et à ce titre ne peuvent pas siéger à l’APD.

La présidente de la chambre, Eliane Tillieux (PS), et les membres de la commission Justice sont au courant de la situation problématique de ces quatre experts et de l’ambiance pour le moins tendue qu’ils induisent au sein du Centre de connaissances de l’APD. La commission Justice a d’ailleurs procédé aux auditions à huis clos des cinq directeurs de l’APD en octobre et devrait se positionner officiellement sur l’embarrassant quatuor d’experts avant la mi-janvier. Officieusement, il nous revient que ces derniers seraient délicatement poussés vers la sortie (Le Vif/L’Express du 19/11/2020).

Philippe Pivin, vice-président (MR) de la commission Justice, ne souhaite pas s’exprimer sur cette délicate situation: « Nous sommes toujours à la recherche d’une solution élégante dans l’intérêt du bon fonctionnement de l’APD », déclare-t-il. Le parlement marche en effet sur des oeufs: il a voté une loi qu’il n’a ensuite pas respectée. Faites ce que je dis, pas ce que je fais…

Frank Robben, la loi et la « valeur ajoutée » du Big Data

Parmi les quatre experts ciblés par la plainte, Frank Robben est incontournable dans le domaine de la gestion des données personnelles en Belgique. Multi-casquettes (BCSS, eHealth, Smals…), il est aussi (via son mandat à la BCSS) la plume des délibérations du contesté Comité pour la sécurité de l’information (CSI). Quel est le problème avec ce pionnier de l’informatique qui a plus de 30 ans d’expérience dans le secteur de ce qu’on appelle aujourd’hui le « big data »? Le Centre de connaissances de l’APD, dont Robben est membre, est régulièrement amené à se poser la question de savoir si – et comment – les flux de données entre administrations publiques doivent être encadrés par des lois.

« Or il semble clair que Robben a un intérêt à ce que le Centre de connaissances, où il a un ascendant sur plusieurs membres, n’émette pas d’exigences contraignantes sur ces flux », explique une juriste de l’APD ayant demandé l’anonymat. « Il a également intérêt à laisser le CSI – qu’il contrôle – se prononcer à la place du législateur pour donner le feu vert à un transfert de données. » C’est en effet tout bénéfice pour la BCSS (qui effectue ces transferts dans le secteur de la sécurité sociale), pour la plateforme eHealth (qui organise ces transferts dans le secteur de la santé) et pour la Smals (qui est payée pour mettre techniquement en place ces flux de données). Trois institutions que Robben pilote.

« Cela permet aux autorités publiques qu’il dirige de faire ce qu’il veut avec nos données personnelles », poursuit notre juriste. « Frank Robben organise une centralisation nationale de nos données médicales, sociales, fiscales et pénales qui pourront être réutilisées par n’importe quel service de l’Etat ou entreprise privée pour faire ce qu’ils veulent. Avec comme seule condition le feu vert du CSI, ce comité obscur inconstitutionnel dont il écrit lui-même les décisions. »

Affirmer, comme les auteurs de la plainte le font, que Frank Robben est sous tutelle ministérielle est vrai en théorie, mais pas en pratique. « Le pouvoir de Frank Robben sur les ministres tient au fait qu’il est à tous les étages des décisions: celui du législateur (via la BCSS), celui du contrôleur (via le CSI et l’APD) et celui de l’exécutant (via la Smals). Son « indépendance » vis-à-vis du pouvoir politique est due au fait qu’il contrôle chaque maillon de la chaîne », analyse cet autre membre de l’APD. Robben, dont le salaire est largement supérieur à celui d’un Premier ministre, est d’ailleurs considéré par beaucoup comme l’un des hommes les plus puissants du royaume, « capable à lui seul de faire tomber un gouvernement », estimait l’été dernier le virologue Emmanuel André dans le magazine Wilfried.

Sur son blog personnel, Frank Robben, qui est informaticien et juriste de formation, relativise de manière surprenante la portée contraignante du RGPD. Il estime que « la protection des données mérite une approche commune et multidisciplinaire« . Commune: il regrette les tensions au sein de l’APD qui ont poussé deux de ses directrices à affirmer, dans une lettre ouverte au Parlement en septembre dernier, que l’ADP « n’est plus en mesure de remplir sa mission de manière indépendante ». Multidisciplinaire: il existe, selon Robben, « plusieurs manières d’éviter ou de gérer les risques: au niveau organisationnel, informatique, juridique… » Si le RGPD fournit « un cadre solide », il ne faut pas l’appliquer au pied de la lettre, écrit-il en substance: « Une approche purement juridique risque de miner de manière abusive la valeur ajoutée potentielle du traitement de données. » Surprenante conclusion d’un point de vue démocratique… D.Lp

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire