Sous couvert de sécurité, la loi belge viole-t-elle le RGPD ?

Publié le par - 2035 vues

Les comités sectoriels sont une curiosité belge : des organes au statut peu clair avec des compétences théoriquement limitées, mais qui jouissent en pratique d’un pouvoir de vie et de mort sur bon nombre de traitements. Ces comités se sont battus pour préserver ce pouvoir. Ils ont semble-t-il réussi en grande partie leur lobbying. L’enjeu est politiquement brûlant. La loi belge va-t-elle au-delà de ce que le règlement européen autorise ? L’avenir le dira, probablement au détour d’une question à la CJUE, mais il y plus qu’un doute …

Ce 10 septembre 2018, la loi instituant le comité de sécurité de l’information a été publiée au Moniteur belge. Ce nouvel organe a un rôle d’importance capitale pour tout ce qui concerne les communications de données de santé et la communication de données à caractère personnel par des services et institutions publique de l’autorité fédérale.  Son régime pose aussi un certain nombre de questions. Cette loi cache également des dispositions plus éloignées de cet objectif, comme l’organisation de vastes datawarehouses permettant de lutter contre la fraude sociale et fiscale. Cette loi doit se comprendre comme la 3ème phase d’exécution du GDPR après la loi créant l’Autorité de Protection des Données et la loi générale.

La disparition des comités sectoriels

Suite à l’adoption du GDPR, la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel a été abrogée. Ainsi la Commission pour la Protection de la vie privée a disparue et été remplacée par l’Autorité de protection des données, conformément à la loi du 3 décembre 2017 portant création de l’Autorité de protection des données (voyez notre article à ce sujet ici). Les comités sectoriels ainsi que leurs compétences ont également été supprimés.

L’apparition d’un nouvel organe

La loi prévoit la création d’un nouvel organe indépendant, le Comité de sécurité de l’information, qui détermine sous quelles conditions les données à caractère personnel peuvent être partagées. Le Comité est composé d’une chambre pour la sécurité sociale et la santé et d’une chambre pour les autorités fédérales. Le Comité a deux missions :

  • rendre des délibérations concernant certaines communications de données à caractère personnel au niveau des autorités fédérales et du secteur social et du secteur de la santé, en veillant aux principes de base de la protection des données. On retrouve ici principalement, des flux de données qui transitent via la banque-carrefour de la sécurité sociale, la plate-forme e-health et les communications de données de santé qui échappent aux professions et institutions médicales (conformément à loi du 13 décembre 2006 portant dispositions diverses en matière en matière de santé) ;
  • promouvoir la protection des données et la sécurité de l’information, entre autres en assurant le suivi de la formation et du fonctionnement des fonctionnaires chargés de la protection des données (DPO) des institutions de sécurité sociale et des institutions publiques et institutions des autorités fédérales.

Le législateur a donc choisi de « ressusciter » au sein du nouveau comité, les anciens comités sectoriels de la sécurité sociale et de la santé, ainsi que le comité sectoriel pour l’Autorité fédérale.

Si la création de ce Comité constitue l’objet essentiel et premier de la loi, la plupart de ses dispositions apportent des modifications et ajouts à huit autres législations existantes, ce qui rend sa lecture particulièrement ardue (modifications de la loi du 15 janvier 1990 sur la banque-carrefour de la sécurité sociale mais aussi par exemple… le Code de droit économique !).

La prévention de la fraude sociale et fiscale : les droits et libertés en péril ?

La loi prévoit par ailleurs une base légale générale en vue de la création d’un « datawarehouse à des fins de datamatching et de datamining » non seulement auprès du SPF Emploi, Travail et Concertation sociale afin de lutter plus efficacement contre les phénomènes de fraude sociale et d’améliorer le recouvrement des montants dus mais aussi auprès du SPF Finances – pour lequel des dispositions générales existaient déjà – afin d’opérer des contrôles ciblés en utilisant des techniques d’analyse et de profilage. Le Comité de sécurité de l’information est tenu d’intervenir dans certains cas pour délibérer concernant certaines communications des données qui alimentent ces systèmes.

Cette nouveauté a été fortement critiquée par la Commission Vie Privée dans son avis 34/2018 et par le Conseil d’Etat : ce projet n’est en effet pas jugé conforme auxarticles 8 de la Convention européenne des droits de l’homme et 22 de la Constitution (en particulier eu égard aux principes de légalité et de prévisibilité), ainsi qu’avec les articles 6, paragraphe 3, et 22 du GDPR.

Le législateur a partiellement suivi les avis de la CPVP et du Conseil d’Etat et a revu les dispositions concernées. On est cependant encore loin d’y voir clair concernant les limites des capacités de traitement reconnus aux autorités visés au regard de finalités de prévention, contrôle ou perception exprimées de manière la plus large. On ne retrouve d’ailleurs aucune garantie spécifique concernant les techniques de profilage qui seront mises en œuvre. De même, de nombreuses possibilités de restrictions aux droits accordés par le GDPR sont prévues : le citoyen qui ferait l’objet d’une enquête ou qui serait profilé par les autorités compétentes pourrait ainsi bien se retrouver démuni face aux institutions étatiques.

On s’interroge de plus sur l’opportunité d’inclure ces nouvelles capacités de traitement dans la loi commentée alors que ces questions  auraient mérité d’être spécifiquement débattues au Parlement en prenant soin de les analyser au regard de l’ensemble des mesures prises en exécution du GDPR, et notamment de la loi générale d’implémentation votée concomitamment dans la même précipitation (voyez notre article précédent à ce sujet ici).

Les communications de données de santé

Les communications de données de santé ont toujours été strictement encadrées. Auparavant, il revenait au Comité sectoriel de la Sécurité Sociale et de la Santé (créé au sein de la Commission Vie Privée par la loi du 15 janvier 1990 organique de la Banque Carrefour de la sécurité sociale) de veiller à ce que les traitements de données à caractère personnel effectués via le réseau de la sécurité sociale belge ne mettent pas en péril la vie privée des assurés sociaux. Il remplissait ainsi une mission de contrôle portant plus particulièrement sur la communication de données relatives à la santé.

La Chambre Sécurité Sociale et Santé du nouveau Comité a finalement repris les compétences du défunt Comité Sectoriel. Les travaux préparatoires précisent qu’il est ainsi proposé « de maintenir le comité sectoriel de la sécurité sociale et de la santé (CSSS&S), qui accorde actuellement encore des autorisations pour certains traitements de données à caractère personnel dans les secteurs précités, après la réforme de la Commission de la protection de la vie privée, mais plus comme une section de l’Autorité de protection des données, mais comme une section d’un nouvel organe, appelé le comité de sécurité de l’information, dont il constituera la chambre sécurité sociale et santé (outre la chambre autorité fédérale) » (Doc. Parl, Exposé des motifs, Doc 54 3185/001, p.6).

Des délibérations contraignantes anti-constitutionnelles ?

Dans ses fonctions, ce nouvel organe a, entre autres, la mission de « rendre des délibérations » pour la communication de données à caractère personnel relatives à la santé (pour autant que les délibération soient obligatoires).

Ces « délibérations », ont une portée générale contraignante entre les parties et envers les tiers. Elles sont soumises au contrôle de l’Autorité de Protection des Données : la loi prévoit que l’Autorité peut, à tout moment, confronter toute délibération du comité de sécurité de l’information aux normes juridiques supérieures, quel que soit le moment où elle a été rendue. Elle peut demander au comité de reconsidérer cette délibération sur les points qu’elle a indiqués.  Cette faculté de contrôle a posteriori a été introduite dans le projet de loi suite à une critique de la Commission Vie Privée qui considérait que « La Commission reconnaît, comme cela a déjà été précisé, que les délibérations peuvent avoir un pouvoir normatif mais elle estime également que l’Autorité de protection des données (ci-après l’APD) doit pouvoir exercer librement les missions et les pouvoirs qui lui sont confiés (voir les articles 57et 58 du RGPD) lors de l’évaluation d’un traitement de données à caractère personnel. Dans ce cadre, l’APD doit pouvoir agir en toute indépendance, libre de toute influence ou de toute instruction (voir l’article 52 du RGPD) ».

Si la Commission Vie Privée n’a pas remis en cause le pouvoir normatif des délibérations, le Conseil d’Etat a lui été beaucoup plus critique à cet égard. Le Conseil d’Etat considère en effet qu’il s’agit d’une délégation de pouvoir qui ne respecte pas les principes légaux et constitutionnels.

En effet, il précise dans son avis, se basant sur des avis antérieurs, que « concernant l’attribution d’un pouvoir réglementaire à une autorité non politiquement responsable, le Conseil d’État, section de législation, a déjà observé à plusieurs reprises dans le passé que l’attribution d’une compétence réglementaire à des organismes publics ou à leurs organes est difficilement compatible avec les principes généraux du droit public belge, en ce qu’elle porte atteinte au principe de l’unité du pouvoir réglementaire et échappe à tout contrôle parlementaire direct. Les actes réglementaires de ce type sont en outre dépourvus des garanties dont est assortie la réglementation classique, telles que celles en matière de publication et de contrôle préventif exercé par la section de législation du Conseil d’État ».

Des autorisations préalables en contradiction avec le GDPR ?

Ces délibérations qui ont force contraignante ressemblent à s’y méprendre à des autorisations préalables conditionnant la mise en œuvre des traitements en cause. Se pose alors la question de la compatibilité des telles autorisations avec le GDPR.

De manière générale, la philosophie du nouveau Règlement est précisément de tourner le dos à l’ancien système de formalités préalables issu de l’ancienne Directive pour lui préférer de nouvelles obligations en vue de responsabiliser a priori ceux qui traitent les données.

Plus précisément, les autorités de protection des données ne sont pas dotées par le GDPR d’une compétence générale d’autorisation. Ces autorisations ne sont d’ailleurs pas visées dans les conditions de licéité des traitements de l’article 6 du GDPR.  Les Autorités nationales n’ont ce pouvoir que dans certains cas bien précis  (cfr principalement l’article 58.3 c) du GDPR). En toutes hypothèses, seules des autorités nationales de protection des données reçoivent de tels pouvoirs du GDPR.

Or, non seulement le Comité mis en place ne constitue pas une Autorité nationale de protection des données au sens du GDPR – contrairement aux anciens comités qui étaient des émanations de feu la C.P.V.P.- mais le champ de ces autorisations paraît parfois dépasser ce qui est autorisé par le GDPR (c’est le cas par exemple de l’exigence d’une « délibération préalable » pour toute communication de données santé, indépendamment du statut des émetteurs et des destinataires).

Si les Etats membres peuvent étendre les pouvoirs de leur autorité nationale (cfr l’article 58.6 du GDPR) et qu’une marge de manœuvre leur est laissée en matière de données de santé (cfr l’article 9.4 du GDPR), encore faut-il que cela se fasse dans le respect des autres dispositions du GDPR, notamment l’article 1er (pas d’interdiction ou de limitation à la libre circulation de donnée pour des motifs liés à la protection des données en dehors des règles du GDPR) et l’article 6 (pas d’autres conditions de licéité que celles prévues à cette disposition).

Conclusion

Si l’on regrettait déjà l’absence de débat parlementaire concernant la loi générale (voyez notre précédent article ici), le malaise s’accroit concernant la loi portant création du CSI. Oserait-on dire que tout pose question dans ce texte voté dans une précipitation hautement suspecte (le projet de loi a été déposé le 20 juin, et a été voté le 19 juillet déjà, la veille du gigantesque melting-pot contenu dans la législation générale d’implémentation du GDPR) ? Tant l’opportunité de la création du Comité, que son statut et son régime juridique sont sujets à critiques et discussion, comme le soulignaient avec force les avis du Conseil d’Etat et de la Commission vie privée. L’inclusion en son sein de nouvelles capacités de traitements au bénéfice des administrations de sécurité sociale et fiscales – les fameuses datawarehouse – était sans doute d’ailleurs le meilleur moyen d’éviter toute discussion à leur sujet.

Reste maintenant aux destinataires et experts à trouver leur chemin dans ces centaines de dispositions et dans les longs et indigestes documents qui accompagnent les deux textes. Dans l’espoir – un peu vain ? – de voir clair dans une exécution du GDPR qui brille d’ores et déjà par son incroyable complexité et son opacité. Oserons-nous rappeler que le but fondamental de la réforme de la protection des données est de garantir une meilleure transparence à l’égard des citoyens et des personnes concernées ? Cela ne devrait-il pas commencer par la rédaction de textes lisibles, compréhensibles et accessibles pour les personnes censées bénéficier de leur protection ?

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK