Publicité

Comment la Flandre a régionalisé la protection des données

©BELGA

L'Autorité de protection des données, seule autorité reconnue par le législateur belge pour contrôler le respect du RGPD, n'est plus consultée par le Parlement flamand qui aurait, de façon inconstitutionnelle, critiquent des sources, régionalisé cette matière. Enquête.

Ces dernières semaines, la Flandre a mis en place un système permettant aux polices locales d’avoir accès à la base de données fédérale des données du traçage des contacts Covid pour contrôler le respect des quarantaines, avec de potentielles sanctions pénales à la clef. La Wallonie et Bruxelles y songent également. Traduit dans un décret flamand du 18 décembre, l’accès et le partage de ces données a interpellé mais aussi soulevé une simple question: qu’en est-il du respect du droit à la protection des données et de la vie privée? Et une deuxième: qu’en pense l’Autorité de protection des données? Les réponses à ces questions dévoilent la régionalisation inconstitutionnelle par la Flandre d’une matière fédérale: la protection des données et de la vie privée.

Quel est le lien entre la protection des données et la vie privée et cette actualité? Lorsqu’un traitement de données à caractère personnel par des entités de l’État est envisagé, comme c’est le cas ici, la Belgique possède une autorité fédérale qui doit être obligatoirement consultée pour rendre un avis préalable sur la loi, le décret ou l’ordonnance qui instaure ce traitement de données, il s’agit de l’Autorité de protection des données, l'ex-Commission de la vie privée. Elle est régulièrement intervenue ces derniers mois dans le débat public et politique, notamment au travers de ses avis sur les textes mettant en place le contact tracing et dernièrement sur l’enregistrement envisagé des données de vaccination. C’est le garde-fou de l’utilisation proportionnée et légale des données des citoyens belges par leurs autorités. C’est surtout la seule autorité reconnue par le législateur belge pour contrôler le respect du RGPD et des principes généraux en matière de protection des données et au niveau européen par le Comité européen de la protection des données. Nous y reviendrons.

La VTC, devenu autorité de référence en Flandre

Lorsque ce décret a été entériné, nous étions assez logiquement curieux de connaître l’avis de cette Autorité de protection des données (APD) vu que ce décret prévoit un traitement de données particulièrement sensibles. À notre grande surprise, l’APD n’a pas été consultée. "La VTC a par contre émis un avis", nous apprend une source proche du dossier. La VTC, c’est la Vlaamse ToezichtCommissie, une version régionale et néerlandophone de l’APD. Surpris de l’existence et du pouvoir de cette commission régionale, nous avons cherché à en savoir plus.

"La législation et l’autorité régionale ne peuvent pas remplacer la législation fédérale et l’autorité fédérale."
Elise Degraeve
Professeure à la faculté de droit de Namur

La structure a été créée en 2016 et se présente comme un organe d’accompagnement des entités flamandes pour les assister dans la protection des données. En 2018, un décret la modifie en l’instituant comme l’autorité de protection des données compétente pour rendre des avis pour la Région flamande. Tout traitement lié à des données flamandes doit passer par un avis de la VTC, selon ce décret. Son site affirme sa compétence comme autorité de contrôle pour tous les traitements de données effectués par des "autorités flamandes" (communes, CPAS, écoles, crèches, gouvernement flamand, etc.).  

Pourtant, seule l’APD est compétente pour contrôler le respect en Belgique du RGPD et des principes en matière de protection des données aux yeux de la constitution. En ce compris  le traitement de données effectué par les organes de l’État, notamment au travers d’avis préalable sur les textes législatifs et règlementaires qui organisent ces traitements. Selon le RGPD, des autorités de contrôle régionales peuvent bien être mises en place, comme c’est le cas en Allemagne. Mais en Belgique, vu la répartition des compétences, le rôle des autorités régionales est limité au contrôle du respect d’éventuelles "règles spécifiques" que les Régions prévoiraient en plus de la législation nationale et européenne.

"Pourquoi le Parlement flamand devrait-il demander conseil à un organe fédéral alors que la Flandre elle-même a une commission de surveillance?"
Liesbeth Homans
Présidente du Parlement flamand

Élise Degraeve, professeure à la faculté de droit de Namur nous précise la législation en la matière: "Le RGPD définit ce qu'est une autorité de contrôle. Pour le moment en Belgique il n'y a que l'APD qui a ce statut car il n'y a qu’elle qui a toutes les prérogatives qui lui sont légalement dévolues (loi du 3 décembre 2017, NDLR), pour prétendre être une autorité de contrôle au sens du RGPD." Cela signifie par exemple, que seule l’APD a le fameux pouvoir de sanction. Si la situation semble claire sur le plan législatif, elle ne l’est pas du tout sur le terrain. Contactés par nos soins, plusieurs membres de l’APD nous confient sous couvert d’anonymat: "La VTC est en train de prendre la place de l’APD et cela ne semble gêner personne."

La Flandre ignore-t-elle le Conseil d’État?

L’Autorité de protection des données est indépendante, mais la Chambre, qui lui octroie son budget et nomme ses membres, est censée garantir que l’APD est en mesure de remplir ses missions. Contactée, Éliane Tillieux, présidente de la Chambre, est au courant de la problématique et rappelle les règles: "Tous les projets de loi, décrets ou ordonnances qui portent sur le traitement des données doivent être soumis à l’APD", avant de se référer aux avis du Conseil d’État : "Le Conseil d’État a affirmé en chambre réunie que la protection de la vie privée est et reste une compétence fédérale. Récemment encore, ce même Conseil d’État a affirmé qu’un décret flamand devait être soumis à l’APD et ce même s’il a déjà été soumis à la VTC."

Après enquête, depuis juillet 2019 plus aucun décret ni arrêté flamand n’est arrivé sur le bureau du Centre de connaissances de l’APD, la chambre qui rend les avis sur les projets législatifs. Cela ferait plus d’une centaine de décrets et arrêtés. "C’est comme si la Flandre niait l’existence de l’autorité fédérale", nous souffle une source proche des deux instances.

"Jusqu’ici, le gouvernement flamand a refusé de faire ce qui est demandé par le Conseil d’État."
Eliane Tillieux
Présidente de la Chambre des représentants

Confrontée aux éléments du dossier, Liesbeth Homans, présidente du Parlement flamand, répond: "L’APD traite des règles générales de confidentialité – comme les empreintes digitales sur la carte d'identité –, tandis que la VTC fournit des conseils sur des règles spécifiques qui ne s'appliquent qu'au territoire flamand. Pourquoi le Parlement flamand devrait-il demander conseil à un organe fédéral alors que la Flandre elle-même a une commission de surveillance?". Pour Élise Degraeve, la réponse est sans équivoque: "La législation et l’autorité régionale ne peuvent pas remplacer la législation fédérale et l’autorité fédérale. Il pourrait être envisagé que l’APD et la VTC se répartissent le travail de l’APD mais pour cela, il faudrait que l’entité fédérale et la Région concluent un accord de coopération. Un tel arsenal normatif n’existe pas pour le moment."

Dans ce genre de situation à la Belge, le Conseil d’État est là pour veiller et remettre l’église au milieu du village. Force est de constater qu’il a été assez clair sur le sujet puisqu’il n’a cessé de confirmer qu’il s’agissait d’une compétence exclusive de l’APD. Il insiste dans plusieurs avis sur la nécessité d’une consultation préalable de l’APD pour tout projet de décret flamand qui organise un traitement de données et il l’a encore rappelé  pour le décret qui nous occupe dans son avis du 2 décembre dernier.

CQFD? Oui, mais non. Car au nord du pays, on ne l’entend pas de cette oreille comme l’explique Liesbeth Homans: "Le Conseil d'État le répète systématiquement, mais il ne nous y oblige pas." Et la présidente de la Chambre des représentants de constater: "Effectivement, jusqu’ici, le gouvernement flamand a refusé de faire ce qui est demandé par le Conseil d’État", nous confie Éliane Tillieux qui n’ira pas plus loin pour "conserver sa neutralité de présidente d’assemblée".

L’ultime recours

Chacun campe sur ses positions dans ce dossier. Pendant ce temps-là, nous apprenons à l’heure d’écrire ces lignes que l’une des directrices de l’APD, Alexandra Jaspar (directrice de Centre de connaissances de l’APD), a décidé de déposer un recours à titre personnel devant le Conseil d’État contre l’un des textes voté en Flandre sans demande d’avis de l’APD. Éliane Tillieux nous apprend, elle, qu’une réunion des présidents d’assemblée, en présence de Liesbeth Homans, aura lieu en février, mais ce point n’est, pour l’instant, pas inscrit à l’ordre du jour.

Lire également

Publicité
Publicité
Publicité
Publicité

Messages sponsorisés

Messages sponsorisés