La tartine
Du droit à la vie privée
Anaïs Pire et Lionel Rubin · Délégué.e.s « Étude & Stratégie » au CAL/COM
Mise en ligne le 12 avril 2022
Interdire que la police pénètre sans raison valable dans son domicile, refuser que l’on publie des photos de soi sans son accord, se confier pleinement à son médecin ou à son avocat sans craindre la divulgation de ses propos : autant d’exemples qui traduisent au quotidien notre droit à l’intimité et au respect de notre vie privée. Théoriquement et juridiquement, ce droit est consacré et il ne fait l’objet d’aucune contestation dans nos démocraties.
Illustration : Philippe Joisson
Dans les faits, de nombreuses mesures et de multiples projets législatifs empiètent régulièrement sur ces droits réputés inaliénables, souvent pour des raisons sécuritaires liées à des événements particuliers (mesures antiterrorisme, mesures sanitaires…). Par ailleurs, une composante plus technique et plus complexe interroge et bouscule désormais notre vie privée : nos données personnelles. Celles-ci font partie intégrante de notre intimité et doivent donc à ce titre bénéficier des mêmes protections. Quelles sont alors les balises mises en place pour garantir que le traitement de nos données personnelles correspond bien à ce qui est admissible dans un État de droit qui reconnaît la vie privée comme une liberté fondamentale ?
Le nécessaire traitement des données
Comme de nombreux droits fondamentaux, celui de la vie privée n’est pas absolu. Il peut en effet être limité sous trois conditions cumulatives bien connues : la légalité, la nécessité et la proportionnalité. Les données personnelles n’échappent pas à ce principe. Elles peuvent donc être traitées si leur utilisation répond à ces trois conditions. Ce traitement est d’ailleurs indispensable et utile au quotidien pour permettre par exemple à l’administration de fonctionner efficacement : remboursement de soins de santé, oblitération de son abonnement de bus, accès à Tax-on-Web… sont typiquement des cas durant lesquels nos données transitent, s’échangent et sont traitées.
À cet égard, la transition numérique de la Belgique est une nécessité, notamment pour améliorer l’efficacité de nos services publics. Mais la qualité de cette transition touche aussi au maintien de nos démocraties au sens large. La confiance du citoyen dans les infrastructures et les services informatiques est en effet essentielle et la transparence apparaît comme l’un des prérequis. De ce fait, nous ne pouvons que nous réjouir de la volonté du gouvernement de concrétiser son opération de grande transparence qui permettra à terme au citoyen belge d’avoir une vue unique du type de données traitées, de la finalité de leur collecte, de ce qui en est fait ou encore de la personne responsable du traitement. Par ailleurs, le traitement de nos données doit évoluer dans un cadre juridique et législatif strict, censé protéger le citoyen et sa vie privée. La Belgique n’est pas en avance dans cette équation, bien au contraire. Les récentes polémiques autour de la gouvernance de l’Autorité de protection des données (APD) ont illustré tout le retard de notre pays en la matière, ainsi que sa faiblesse politique à réglementer ce domaine. Cette absence de balises a été pointée du doigt à de nombreuses reprises par la société civile et a fait l’objet d’une procédure en infraction grave au règlement général sur la protection des données (RGPD) lancée par la Commission européenne. Un cadre belge efficace, éthique et complet doit urgemment répondre à un cadre européen protecteur. Nécessité fait loi. Plus que jamais.
RGPD : un cadre européen
À l’heure de la prédominance d’Internet et de la multiplication des échanges de données entre les pays, l’élaboration d’un instrument européen global et contraignant, répondant aux évolutions technologiques, devient une nécessité. Remplaçant une directive de 1995, le RGPD est adopté par l’Union européenne le 27 avril 2016. Il entre en vigueur deux ans plus tard. Reconnaissons-le : le RGPD est un outil ambitieux, tant par son ampleur que par son contenu. Il traite un enjeu central de la vie privée d’une manière cohérente et systématique, dans un cadre harmonisé. Ses principaux objectifs sont un renforcement de la protection des données personnelles des individus lorsque celles-ci sont traitées et une responsabilisation des acteurs de ce traitement. Il établit les principes fondamentaux du traitement des données à caractère personnel, en prévoyant les conditions auxquelles celui-ci doit répondre. Parmi ces conditions, celles attachées à la licéité (la légalité) et à la finalité (l’objectif) du traitement peuvent être considérées comme centrales, particulièrement quand l’État est le responsable de ce dernier.
Ainsi, le traitement des données personnelles est licite si l’individu concerné y a consenti ou s’il est nécessaire, par exemple, pour le respect d’une obligation légale, pour l’exécution d’un contrat ou d’une mission d’intérêt public, pour la sauvegarde des intérêts vitaux d’une personne ou encore la poursuite d’un intérêt légitime par le responsable du traitement. Les hypothèses liées à l’obligation légale et à la mission d’intérêt public visent plus particulièrement les États, qui peuvent adapter les dispositions du RGPD sans pour autant déroger à ses principes. De cette façon, lorsque le législateur national adopte des modalités plus spécifiques concernant le traitement des données personnelles dans ce cadre, la base juridique (c’est-à-dire la loi) doit définir les finalités du traitement pour remplir l’obligation légale ou celles qui sont nécessaires pour la mission d’intérêt public. Le lien entre la licéité du traitement et sa finalité n’est donc pas négligeable : il ne suffit pas que la loi permette de traiter des données, encore faut-il qu’elle expose son objectif et en quoi le traitement est proportionné à celui-ci.
Dans cette perspective, la licéité ne peut s’envisager seule, elle doit être considérée au regard des finalités du traitement. Celles-ci doivent être définies de manière explicite, afin que les individus puissent comprendre dans quel but leurs données sont traitées. Ces finalités permettent en outre de déterminer les données visées, étant entendu que le RGPD place, parmi ses principes, la minimisation de celles-ci. De plus, ces finalités doivent être limitées : pas question donc de « réutiliser » des données dans le cadre d’une finalité incompatible avec celle pour laquelle elles ont été traitées à l’origine.
Enfin, s’agissant d’un règlement, le RGPD est applicable dans les États membres sans intervention du législateur national (contrairement à une directive, qui doit être transposée par une loi). Certaines dispositions doivent cependant être adoptées par les États membres afin de se conformer au RGPD : par exemple, les autorités de contrôle doivent être établies par la loi nationale, laquelle ne peut bien sûr pas déroger aux principes fixés dans le règlement.
Un contrôle indépendant
Pour veiller au respect de la réglementation européenne et nationale, mais aussi des droits fondamentaux des personnes en matière de protection des données, le RGPD prévoit donc un renforcement du pouvoir des autorités qui contrôlent le respect de la réglementation européenne dans le cadre d’un traitement des données. Parmi les caractéristiques de celles-ci, le règlement envisage tout d’abord leur indépendance. Il s’agit d’une condition fondamentale et indispensable de leur mission de contrôle, notamment lorsque cette autorité de contrôle vise par exemple à conseiller les Parlements nationaux ou à examiner des réclamations, comme le RGPD le prévoit. Dans le premier cas, des conflits d’intérêts entre autorité de contrôle et Parlement mèneraient à des lois qui négligeraient l’intérêt général à la faveur d’intérêts particuliers, tandis que dans le second, les individus seraient privés d’une forme de recours en cas de violation de leurs droits. S’il revient aux États membres, chacun pour leur territoire, d’établir ces autorités de contrôle par le biais d’une loi, le RGPD en détermine la compétence, les missions et les pouvoirs.
Illustration : Philippe Joisson
Une opacité belge généralisée
En Belgique, ce travail de « mise en conformité » avec le RGPD a été constitué par pas moins de quatre lois distinctes, intervenues entre décembre 2017 et novembre 2018. La première est consacrée à l’Autorité de protection des données, organe de contrôle au sens du RGPD. La deuxième précise quant à elle les aspects du RGPD pour lesquels une marge de manœuvre était laissée aux États membres (la « loi-cadre »). La troisième concerne le Comité de sécurité de l’information (CSI) et la quatrième réforme en profondeur la loi sur le Registre national. Ainsi, plutôt que de s’inscrire dans l’effort entrepris par le RGPD de proposer un seul instrument juridique, à la fois cohérent et lisible, le législateur belge a procédé de manière éclatée. De cette subdivision en quatre lois distinctes naît sans doute le mal belge en la matière.
Chacun de ces textes a en outre été adopté en urgence, empêchant un véritable contrôle par le Conseil d’État ou la Commission de protection de la vie privée – à laquelle succède l’APD –, au vu de la date d’entrée en vigueur du RGPD fixée en mai 2018 (et alors même que ce dernier avait été publié dès mai 2016…). Vu la complexité de la matière, l’adoption des textes en urgence apparaît comme une double entaille dans le travail de contrôle parlementaire. Ces faiblesses législatives ont d’ailleurs contribué à la mise en place d’un système opaque qui ne se montre pas du tout à la hauteur des objectifs que le législateur européen entendait réaliser par l’adoption du RGPD.
À ce titre, le manque d’indépendance de l’APD, régulièrement signalé et tout particulièrement depuis la procédure d’infraction au RGPD lancée par la Commission européenne en juin dernier et abandonnée in extremis après la démission de Frank Robben, principal suspect de l’incompatibilité, n’est qu’une facette d’un problème bien plus généralisé dans la manière dont la protection des données personnelles est garantie en Belgique. Même en admettant la fin des conflits d’intérêts en son sein, l’APD pourrait ne pas être en mesure de jouer le rôle d’autorité de contrôle qu’elle est tenue d’assumer en vertu du RGPD, précisément à cause de la mise en place, par l’État belge, d’une réglementation éclatée, insatisfaisante, voire infractionnelle.
Licéité et finalité :
deux principes bafoués
Selon les principes du RGPD, il appartient au législateur de déterminer, par le biais d’une loi, quelles sont les données qui peuvent être traitées (principe de licéité) et dans quel but (principe de finalité). Or ce pouvoir a été délégué par la loi belge au CSI, qui organise le traitement (et donc l’échange) des données entre les administrations belges au moyen de protocoles. Ceux-ci ne peuvent être contrôlés ni par le Parlement ni par l’APD. Il s’agit d’une infraction fondamentale au RGPD, et à deux titres. D’une part, le législateur délivre un « chèque en blanc » aux administrations, puisque les éléments essentiels du traitement des données personnelles ne sont pas déterminés par la loi, mais par le CSI lui-même, ce qui n’offre aucune garantie démocratique quant au respect de la vie privée des citoyens. D’autre part, le CSI est constitué hors de l’APD et n’est pas soumis à son contrôle, alors même qu’il s’agit d’un responsable du traitement de données au sens du RGPD. Résultat : une part significative du traitement des données personnelles par les administrations belges échappe à tout contrôle démocratique. L’État a en effet établi une autorité administrative dont le pouvoir n’est pas encadré par la loi ni l’action susceptible de recours, ce qui, loin de ne représenter qu’une « simple » violation du RGPD, devrait être considéré comme inadmissible dans un État de droit.
Illustration : Philippe Joisson
Ensuite, les recours en cas de violation de la législation sur les données personnelles sont envisagés de manière marginale, particulièrement lorsque l’État lui-même est l’auteur de cette violation. Devant l’APD, il ne s’agit d’ailleurs pas à proprement parler de recours, mais de réclamation. En effet, la chambre contentieuse de l’APD n’est pas une juridiction, mais une autorité administrative. Ses décisions peuvent cependant être contestées devant la Cour des marchés, une juridiction récente composée de juges spécialisés en droit économique et financier. Cette circonstance démontre que le législateur envisage la protection des données avant tout comme une matière économique, et non comme un moyen visant à protéger les droits fondamentaux des citoyens. Dans cette perspective, une large part du traitement des données personnelles par l’État pourrait donc échapper à un contrôle juridictionnel effectif, à défaut de pouvoir être exercé face à une juridiction plus « généraliste », tel que le Conseil d’État en tant que juge naturel des autorités administratives.
Les législations belges relatives à la protection des données personnelles ne sont pas à la hauteur des ambitions du RGPD, quand elles ne sont pas en contradiction directe avec ce dernier. Elles déresponsabilisent l’État lorsque celui-ci traite leurs données, en ne permettant pas un contrôle effectif, démocratique et transparent de la manière dont ces données personnelles sont traitées, en violation du principe de licéité et de finalité, pourtant central dans le cadre du RGPD. En d’autres termes, elles ne protègent pas de façon adéquate les droits fondamentaux des citoyens. Ce défaut est à la fois organique, comme en témoigne la composition illégale de l’APD, et fonctionnel, ainsi que l’illustre le statut du CSI. En tout état de cause, de tels dysfonctionnements sont incompatibles avec l’État de droit. La Belgique doit plus qu’urgemment réagir et envisager le traitement de nos données personnelles comme une question démocratique, avant toute autre considération.
Partager cette page sur :