Lancé en fanfare voici tout juste trois ans, le GDPR est aujourd’hui confronté aux conditions de la crise sanitaire. Y survivra-t-il ?

Les données ou la vie ? «Ni l’APD, ni le GDPR n’entravent la gestion de la crise», s’est senti obligé de préciser David Stevens, président de l’Autorité de Protection des Données. Et sa directrice, Alexandra Jaspar, sur la même ligne, d’ajouter : «Le GDPR n’entre pas en conflit avec les mesures de police nécessaires pour gérer une crise. Il n’y a pas de conflit entre la protection de la santé et la vie privée». C’était le 12 mars dernier, un an jour pour jour après le début du premier confinement. Pas de conflit, soit. Mais plus d’autorité ! Que reste-t-il de l’APD ?

25 mai 2021, troisième anniversaire du Règlement général de la protection des données… Silence radio du côté des autorités européennes qui préfèrent esquiver. L’actualité, à quelques semaines des départs en vacances, est au passeport sanitaire. Pour certains juristes, le GDPR pourrait ne pas y survivre.

Climat de défiance

Tant d’efforts pour en arriver là. Trois ans, c’est à peu près la durée moyenne nécessaire à une grande organisation pour avancer sur le chemin de la conformité et, surtout, pour ancrer durablement une culture de la protection des données. Or, aujourd’hui, avec ce qui se dessine, nous sommes plutôt dans un climat de défiance. De là, bien des doutes. Ce qui a été difficilement construit pourra-t-il encore survivre demain ?

Le GDPR est salutaire pour la protection de notre moi numérique. Son entrée en application a permis une prise de conscience globale. A bien des égards, le règlement est unique. Il nous a d’ailleurs été envié mondialement. Sauf qu’aujourd’hui, en Belgique en particulier, nos autorités le balaient discrètement. Au nom de la santé, le partage de nos données n’est plus décidé par nos parlementaires.

Tous les verrous ont sauté. Quid du GDPR ?

Comme le rappelait récemment un collectif de juristes, d’avocats, de médecins et de responsables du traitement de données, dans une carte blanche parue dans Le Soir, «le partage est simplement mis en œuvre, sans cadre légal, par des institutions qui se sont autoproclamées aptes à en décider, qui en ont mandaté d’autres pour organiser la tuyauterie, le tout avec la bienveillance de comités et de fonctionnaires que l’on a laissés s’installer et qui valident les différentes étapes de cette grande mise en commun de nos données.» Bref, ces échanges ne sont plus prévus par des lois, ne sont plus soumis aux avis des autorités de contrôle que sont l’APD et le Conseil d’Etat, et ne sont plus susceptibles de recours. Tous les verrous ont sauté.

La création du Comité de Sécurité de l’Information illustre parfaitement cette dérive contraire au principe même du GDPR. Désormais, au quotidien, ce comité remplace le Parlement en «autorisant» des transferts et des réutilisations de données entre administrations… sans l’avis ni de l’APD ni du Conseil d’Etat, sans être publiées au Moniteur belge et sans être soumises à un recours effectif en annulation.

Exemple concret, le projet Putting Data at the Center, un mécanisme facilitant les échanges de données, via une connexion technique avec une seule partie -le SPF BOSA (Beleid en Ondeursteuning – Stratégie et Appui) entre autorités en dehors de toute intervention du Parlement, de l’APD, du Conseil d’Etat et de la Cour constitutionnelle. Mission : faciliter recoupements, datamatching et data mining pour établir des profils-type, faire du profilage et… surveiller.

Tout accepter au nom de la santé ?

Si, en principe, ni la surveillance ni même le profilage ne sont interdits, ils ne sont permis que si le Parlement a jugé, au cas par cas, qu’ils étaient acceptables (par telle autorité, avec quelles données, pour atteindre tel objectif) et moyennant répercussion dans une loi, accessible aux citoyens car publiée au Moniteur belge. On en est loin.

La promesse politique d’examiner la situation, de rétablir la confiance, semble bien dérisoire face à un tel abandon, alimenté par l’idée démagogique selon laquelle il faut accepter, au nom de la santé, la mise en danger de la démocratie. Aujourd’hui, rien n’interdit légalement la mise en place d’un passeport vaccinal et ses possibles discriminations qui s’ensuivraient.

Le GDPR mis à mal, c’est au Parlement -qui a donné mandat au gouvernement- de reprendre la main. Et, pour commencer, abroger la loi créant le Comité pour la Sécurité de l’Information. S’assurer, dans la foulée, que pour tous les projets conduits au nom de la santé, il existe une base légale solide.

Alain de Fooz