La Belgique s’est dotée, comme les autres États européens, d’un régulateur en matière de protection des données personnelles. Initialement baptisée Commission de Protection de la Vie Privée, cette autorité est devenue en 2018 l’Autorité de Protection des Données (APD). Mathieu Michel, secrétaire d’État à la Protection de la vie privée, a confirmé récemment travailler à une réforme de cette loi sur l’Autorité de Protection des Données, après l’avoir évaluée.
L’Autorité de Protection des Données est un organisme belge chargé de contrôler le respect du RGPD. Il exerce ses pouvoirs d’enquêtes sur la base d’un programme d’action sur 5 ans. La Commission européenne a ouvert une procédure à l’encontre de la Belgique pour infraction grave au règlement général de protection des données (RGPD). Cette procédure d’infraction faisait suite à deux plaintes.
L’une concerne l’Autorité de protection des données (APD) en Belgique et la nomination de quatre membres extérieurs exerçant aussi des mandats publics. Or le RGPD prévoit que tout membre d’une autorité de protection des données doit rester à l’abri de toute influence extérieure. Les membres de l’APD qui posaient problème étaient Séverine Waterbley et Nicolas Waeyaert, tous les deux chefs d’administration (SPF Economie et Bosa), ainsi que Bart Preneel (impliqué dans le Comité de la sécurité de l’information) et Frank Robben. Les deux premiers ont démissionné de leur poste à l’APD en février dernier.Or, Frank Robben est administrateur général de la Banque Carrefour de la Sécurité sociale, de la plateforme eHealth, patron de la Smals, et principal rédacteur des décisions du Comité de sécurité de l’information (CSI).
La Belgique est appelée à résoudre ce problème avant le 12 janvier 2022 si elle ne veut pas se retrouver devant la Cour de justice de l’UE. La Commission Européenne a rappelé :
“En mars 2021, Didier Reynders, commissaire à la justice, a envoyé une lettre aux autorités belges dans laquelle il faisait part de ses préoccupations quant au fait que l’autorité belge chargée de la protection des données n’était pas indépendante. Certains de ses membres ne peuvent être considérés comme étant à l’abri de toute influence extérieure parce qu’ils rendent compte à un comité de gestion dépendant du gouvernement belge, participent à des projets gouvernementaux sur la recherche des contacts dans le cadre de la COVID-19 ou sont membres du Comité de la sécurité de l’information. Les informations fournies dans la réponse apportée par les autorités belges en avril 2021 n’ont pas dissipé ces préoccupations.”
Frank Robben a dit “regretter” qu’on lui prête “à tort d’autres intentions” que celle de contribuer en toute indépendance au bon fonctionnement de l’autorité de protection des données (APD). Les députés, tant de la majorité que de l’opposition, ont néanmoins demandé au secrétaire d’État de s’attaquer à ce problème sans tarder.
“Un projet de loi en ce sens sera déposé dans les prochaines semaines” a-t-il indiqué lors de la présentation du volet “vie privée” de sa note de politique générale. Ce projet de loi comportera trois axes :
- le renforcement du fonctionnement de l’APD,
- le renforcement de la collaboration avec d’autres autorités administratives qui ont développé une expertise sur le sujet (comme l’IBPT)
- une autonomie accrue dans son fonctionnement.
Mathieu Michel a annoncé que le Comité de direction deviendrait un organe collégial, mais aussi que le nombre de directeurs passerait de cinq à quatre et que l’APD travaillerait davantage en amont. Il a déclaré :
“La loi doit être lisible. Nous avons besoin d’une plus grande responsabilisation des acteurs et de plus de transparence dans le fonctionnement de ces autorités.”
Ce projet de loi est le premier volet d’un travail plus large de réforme de la protection des données. Mr Mathieu Michel a expliqué qu’il fallait au moins 2 ans pour y parvenir et ajouté :
“Il y a beaucoup de travail. Je ne vais pas vous mentir. Mais la priorité doit être posée sur l’APD qui pose un certain nombre de questions. Et nous devons y apporter une réponse pour le 12 janvier. J’espère que collectivement, on pourra atterrir sur ce point.”
Le Parlement fédéral doit résoudre le problème des multifonctions de Frank Robben. Sa présence à de multiples étages de la conception, de l’encadrement et du contrôle de systèmes liés aux données sanitaires a déjà suscité de nombreuses critiques. En effet, les députés doivent se prononcer sur un projet de loi portant sur une gigantesque base de données de santé des Belges, qui pourrait éventuellement être sous-traitée par Smals, dirigée par Frank Robben.
Mathieu Michel se montre rassurant :
“Je comprends et je partage les questions sur l’enjeu Sur les données de santé. Je partage l’idée que l’on doit y être particulièrement attentifs. C’est en ce sens que je compte travailler.”
