Justice en ligne
La compétence d’avis de l’Autorité de protection des données : une aide précieuse dans l’élaboration des normes sur les données à caractère personnel et la vie privée
par Elise Degrave, le 10 décembre 2021

Il est beaucoup question de l’Autorité de protection des données ces derniers jours après la démission d’Alexandra Jaspar, l’une de ses directrices, en raison d’un désaccord sur la composition de cet organisme qui, selon elle, met en cause son impartialité.

Justice-en-ligne n’a pas pour vocation de discuter ce type d’affaire. La presse y fait d’ailleurs largement écho.

Mais c’est à nouveau l’occasion pour Justice-en-ligne de présenter l’Autorité de protection des données.

Élise Degrave, professeure à l’Université de Namur, spécialisée en droit numérique, s’y emploie ci-dessous.

1. Un précédent article de Justice-en-ligne (É. Degrave, « L’Autorité de protection des données, un nouveau chien de garde de la vie privée des citoyens » ) a expliqué ce qu’est l’Autorité de protection des données (« l’APD ») et a mis en lumière son rôle répressif via le pouvoir de prononcer des amendes à l’encontre de ceux qui ne respectent pas la législation en la matière, en ce compris le règlement général, de source européenne, sur la protection des données (le « RGPD »).

Mais l’APD joue aussi un rôle d’avis et de conseil au profit des autorités publiques.

C’est de cela qu’il est question ci-après.

2. La crise du Covid est apparue et a provoqué l’adoption de multiples normes (des lois, des décrets, des ordonnances, des arrêtés, etc.), portant notamment sur la collecte et l’utilisation, par l’État, des données à caractère personnel des citoyennes et des citoyens.

On songe, par exemple, à la législation relative à l’enregistrement des données de chaque personne vaccinée dans la base de données « vaccinet » ou à la législation encadrant le traçage et créant des bases de données auprès de l’institut public Sciensano.

3. L’adoption de ces normes a donné un coup de projecteur sur le rôle préventif de l’APD, celui de conseiller les parlements, les gouvernements et les ministres, en matière de données à caractère personnel. Ce rôle est exercé par l’intermédiaire de l’une des sections de l’APD, appelée le Centre de connaissances.

Ainsi, lorsqu’un parlement élabore une loi, un décret ou une ordonnance en matière de traitements de données à caractère personnel ou lorsqu’un gouvernement ou un ministre rédige un arrêté dans ce domaine, ledit parlement, gouvernement ou ministre, qu’il émane de la collectivité fédérale ou d’une entité fédérée, est obligé de demander à l’APD de rendre un avis sur la future norme. Cette obligation est prévue par l’article 36, paragraphe 4, du RGPD et l’article 23 de la loi du 3 décembre 2017 ‘portant création de l’Autorité de protection des données’.

4. L’objectif de cette intervention de l’APD est double.

D’une part, il s’agit d’aider les députés et les ministres à rédiger des normes respectueuses du droit fondamental à la vie privée des citoyens dans un secteur, celui des traitements de données, souvent méconnu et assez complexe, notamment parce qu’il mêle des aspects techniques et des aspects juridiques.

D’autre part, c’est une garantie offerte aux citoyens que les normes en projet puissent passer sous le « scanner » d’une autorité spécialisée dans la matière, qui peut alerter publiquement des dangers de certaines pratiques envisagées. D’ailleurs, il arrive que ces avis soient utilisés par les avocats pour soutenir des recours en justice intentés contre des normes qui seraient contestées pour leur atteinte à la vie privée des personnes et leur non-respect de balises encadrant les traitements de données à caractère personnel.

5. Comme les avis de la Section de législation du Conseil d’État, les avis de l’APD sont non contraignants, ce qui signifie que le parlement, le gouvernement ou le ministre qui l’a sollicité n’est pas tenu de suivre les enseignements qui s’en dégagent.

Par ailleurs, ces avis sont publics. Ils sont accessibles sur internet à l’adresse suivante, rubrique « publications » :

https://www.autoriteprotectiondonnees.be/citoyen.

6. En guise d’exemple parmi bien d’autres, dans l’avis 124/2021 du 12 juillet 2021, l’APD analyse le projet d’accord de coopération encadrant notamment le Covid Safe Ticket (CST).

À cette occasion, elle examine si ce dispositif est conforme au droit fondamental à la protection de la vie privée et aux règles applicables aux traitements de données à caractère personnel.

C’est pourquoi, elle examine notamment la proportionnalité du CST par rapport à l’objectif d’éviter la saturation des hôpitaux en période d’épidémie de Covid-19. Entre autres considérations, elle affirme ainsi que, « pour que l’ingérence dans les droits fondamentaux générée par l’introduction du Covid Safe Ticket soit admissible, il faut que les auteurs du projet démontrent, à l’aide d’éléments factuels et concrets, (1) que le Covid Safe Ticket permet effectivement d’atteindre cet objectif, (2) qu’il n’y a pas de moyens moins intrusifs permettant de l’atteindre et (3) que les avantages apportés par ce dispositif dépassent les inconvénients et les risques (y compris le risque d’accoutumance et de normalisation sociale des comportements qui portent atteinte aux droits fondamentaux ainsi que le risque de ‘glisser’ vers une société de surveillance) qu’il introduit » (avis précité, n° 44).

Comme l’illustre ce passage, par ses avis, l’APD est soucieuse d’aider les parlements, les gouvernements, les ministres, à se poser les bonnes questions en matière de protection de la vie privée et des traitements de données à caractère personnel, de manière à mettre en place des outils traitant des données à caractère personnel qui soient, tout à la fois, efficaces et respectueux des libertés citoyennes.

Qui êtes-vous ?
Ajoutez votre commentaire ici
  • Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.