Le manque de transparence est flagrant quant à la façon dont les autorités publiques gèrent les données à caractère personnel des Belges. La Ligue des droits humains s’en inquiète, comme d’autres associations de défense des droits fondamentaux. Il est difficile de compter sur l’Autorité de protection des données (APD), minée par des conflits d’intérêts et dès lors incapable de contrôler les agissements des autorités publiques. Et quand bien même l’APD serait réellement indépendante, elle ne peut pas adresser d’amendes aux autorités publiques en cas d’infraction au RGPD : celles-ci bénéficient d’un régime d’exception.

Des problèmes, il y en a. Par où commencer ce vaste chantier ?

Mathieu Michel (MR) est tenu de s’y atteler en tant que secrétaire d’Etat à la Protection de la vie privée, membre du gouvernement De Croo. Interviewé le 14 janvier 2022 par Médor, il explique qu’il faut “absolument renforcer le cadre de la gouvernance et de la transparence des données. On doit garantir que les données sont bien utilisées pour la raison qui a justifié leur récolte. C’est tout l’enjeu, et c’est là qu’on doit prendre maturité. Aujourd’hui, il y a des données, on ne sait pas trop comment ça fonctionne, donc on ne peut pas être sûr que la finalité soit vraiment respectée. Quand c’est comme ça, il faut faire la lumière la plus complète.”

D’où le lancement d’une opération de transparence, dont on verra les premiers résultats à la fin du mois de janvier, promet-il, avec la mise en ligne du premier cadastre des bases de données dont l’Etat fédéral dispose — listing tant attendu et par ailleurs imposé par le RGPD.

Un cadastre plus ou moins complet

“L’année dernière, lorsque je suis arrivé à mon poste, on ne savait pas me dire le nombre de base de données [utilisées par les autorités publiques]. Depuis, on a fait un travail d’homogénéisation, ça n’a pas été évident parce qu’il y a différentes méthodologies de tenue de registres. Pour les sources authentiques, c’était relativement simple, il y en a 27. Mais toutes les autres bases de données RGPD sont beaucoup plus nombreuses.” Toutes les administrations fédérales (SPF) ont été sollicitées (sachant que les bases de données des opérateurs restent dans les mains des opérateurs). Facile comme opération ? Hum. “La transparence n’est pas encore entrée dans les mœurs politiques”, se contente-t-il de répondre.

Mathieu Michel promet que, dans ce fameux cadastre, les bases de données seront identifiées, qu’il y aura des explications sur leur raison d’être, sur leur contenu, sur l’identité des personnes qui vont voir ces données et pour quels motifs. Quant aux croisements de données ? Et donc l’utilisation concrète de toutes les données à caractère personnel ? “Vous dire que telle base de données est croisée avec telle autre base de données… C’est l’intention, on va essayer d’aller le plus loin possible, mais honnêtement, je ne peux pas vous garantir que ce sera techniquement possible.” C’est pourtant essentiel afin de garantir que les données personnelles seront bien utilisées pour les raisons qui ont motivé leur récolte. Sans l’état des lieux des croisements, le cadastre et l’opération transparence de Mathieu Michel passent à côté de leur mission.

“Je ne sais pas si on doit garder le CSI”

Transparence, puis gouvernance. Mathieu Michel annonce qu’il veut remettre de l’ordre, améliorer le cadre légal et travailler sur la responsabilité des acteurs. Alors, parlons du Comité de sécurité de l’information (CSI). Est-ce bien à ce comité (contesté) de décider si un traitement de données est légitime, proportionnel, sécurisé et respecte les finalités initialement prévues ? “Il faut certainement préciser le rôle du CSI, répond Mathieu Michel. Je ne sais pas si on doit garder le CSI, en le contraignant davantage et en rendant sa fonction beaucoup plus claire, ou bien s’il faut complètement le supprimer. (…) Il manque un texte de loi sur la gouvernance des données. Il n’y a aucun texte pour expliquer la façon dont on doit gérer les données, qui donne les règles de base au niveau de la gouvernance des données. Le CSI n’a pas de règle transversale.”

Les délibérations du CSI sont-elles légales ? Certain·s en doutent. Mathieu Michel estime pour sa part que “le CSI est dans son rôle lorsqu’il permet des interactions de finalités qui correspondent.” Mais il ajoute ceci : “Je ne peux pas vous garantir que ce soit le cas pour toutes les délibérations qu’il a prises.”

Enfermer le Parlement pendant trois semaines

“Le CSI a validé des interactions qui sont utilisées quotidiennement dans le système de santé, de sécurité sociale, pour permettre la simplification administrative… Ce sont des centaines de décisions, poursuit Mathieu Michel. Aujourd’hui, je ne sais même pas vous en donner une lecture. Sont-elles toutes couvertes par un cadre légal, identifiable, clair, suffisamment précis ? Je sais que la finalité d’intérêt public a toujours été respectée, mais si l’on veut s’assurer que chaque délibération est bien légale, il faut les relire une à une et celles qui posent problème, les interroger dans un cadre démocratique.”

Très concrètement, comment faire cela ? “Je pense qu’à un moment donné, le Parlement, qui est l’organe compétent, doit se saisir de l’ensemble des décisions du CSI et faire le boulot, s’enfermer pendant trois semaines et tout passer en revue. Si on veut faire le travail correctement, le rendre transparent, correct et visible, c’est cela qu’il faut faire.”

Il rêve en bleu ? Mathieu Michel se rattrape, dit que c’était juste une image, mais plaide en tout cas pour que le Parlement et “le politique” dans son ensemble se ressaisissent de la question des données à caractère personnel, plutôt que de laisser le sort des traitements de données entre les mains de fonctionnaires ou de juristes. Selon le secrétaire d’Etat, ça tombe bien, la crise sanitaire a propulsé le sujet à l’agenda politique. Des cas concrets sont sur la table, comme le PLF, dont l’utilisation a évolué au fil des mois (de l’information au contrôle du citoyen), posant la question du respect de la finalité d’un traitement de données.

“Les textes de loi laissent aujourd’hui régulièrement trop d’espace aux interprétations sur la finalité ou la minimisation de la donnée, admet-il. Quand on dit qu’une donnée peut servir pour des raisons d’utilité publique… D’accord, mais pas pour tout non plus, quoi. Le PLF illustre très bien cette difficulté. C’est pour cela qu’il faut une loi sur la gouvernance des données, pour que ce genre d’imprécisions ne puisse plus se produire.”

“Les données qu’on demande sont peut-être trop nombreuses”

Pour résumer ses propos : les finalités sont trop larges et les données trop nombreuses. Il se positionne en grand défenseur de la minimisation des données, tel que le prévoit le RGPD. Contrairement à d’autres ? "Il est vrai que j’ai constaté que certaines données qu’on demande sont peut-être trop nombreuses. Je ne peux pas vous garantir aujourd’hui que toutes les données collectées étaient indispensables et qu’il n’y ait pas eu une volonté chez certains de collecter un maximum de données, pour voir ce qu’on en fait plus tard. Les gens qui font cela ne sont pas du tout dans l’esprit du RGPD.”

On en prend bonne note. Frank Robben partage-t-il cet état d’esprit de minimisation des données ? Mathieu Michel tente d’éluder la question, puis finit par répondre ceci : “Ma lecture est que Frank Robben a construit son projet de digitalisation du territoire dans les années 1980.”

Concernant la présence de Frank Robben, patron de la plateforme eHealth et de la Banque carrefour de sécurité sociale, au sein de l’Autorité de protection des données, c’est très simple, il estime qu’il doit démissionner du centre de connaissances ou que le parlement fédéral doit le démettre de cette fonction. “Le Parlement a autorité sur l’APD, c’est donc à lui de démettre (ou non) les deux membres de l’APD visés par le problème d’incompatibilité. Pour ma part, et concernant Frank Robben, il me semble clair qu’il est dans une position d’incompatibilité. Il doit démissionner du centre de connaissances de l’APD ou le Parlement doit le démettre. La genèse de cette situation d’incompatibilité remonte à 2018, lorsque le Parlement l’a mis à ce poste. Et l’application de la loi qui a été faite par le Parlement à ce moment-là me semble erronée.”