Willem De BeuckelaereNBStefan Verschuere copie
 Internet, caméras de surveillance, puces électroniques… À l’heure où les développements technologiques permettent chaque jour un peu plus d’intrusions dans la vie privée des citoyens, l’utilité de la Commission de la protection de la vie privée (CPVP) se voit renforcée. Focus sur son évolution et sur les grands enjeux qui l’attendent avec Willem Debeuckelaere et Stefan Verschuere, respectivement président et vice-président d’un organe au service du citoyen et de ses libertés individuelles.

 

Quelles sont les missions de la CPVP ?
W.D : pour bien les comprendre, il faut les appréhender dans une perspective historique. Au début des années 80, une Commission d’avis avait été créée dans le but de se prononcer sur les bases de données (registre national...). Mais très vite, cette Commission sera confrontée à deux écueils. Le premier, ce sont les accords de Schengen qui suppriment les frontières, et qui, dans le même temps, instaurent un système informatique pour recueillir toutes sortes d’informations nouvelles. En 1985, quand a été créé ce système, nous nous sommes prononcés en faveur de la création d’une autorité de contrôle de ces données, indépendante du pouvoir exécutif. Le second écueil arrive dans les années 90 avec la création, en Belgique, de la Banque-Carrefour de la sécurité sociale qui exploite des données parfois très sensibles.
Ces deux enjeux ont poussé le législateur belge à mettre sur pied la CPVP 1. C’était, à l’époque, une Commission de contrôle et d’avis à destination du pouvoir législatif. Nous étions un peu « des flics de l’administration » qui agissions du haut de notre tour d’ivoire. Aujourd’hui, nous cherchons davantage à informer le citoyen. Peu à peu, notre institution a donc appris à ne plus se cacher : nous participons à des conférences, sensibilisons dans les écoles, etc. Au fil du temps, la CPVP est devenue un centre de référence pour de nombreuses personnes. Elle reçoit également près de 3.500 dossiers de plaintes par an.

Qu’est-ce qui a contribué à cette évolution du rôle de la CPVP ?
S.V : le développement technologique au sens large (internet, les caméras de surveillance...). C’est un développement qui retentit partout : dans les activités des services de police, dans les services administratifs, au niveau des relations de travail 2, etc. Notre mission est de mettre le focus sur tous ces changements et sur la manière dont ils bouleversent une série de relations. Attention, la technique ne porte pas le mal en soi. La science est neutre : tout dépend de la manière dont on l’utilise. Mais avec ces nouvelles technologies, on sème en permanence des poussières de données et d’informations. Dès lors, des possibilités de dérives assez importantes existent. Et elles n’émanent pas seulement d’internet.

Quelles sont vos relations avec le pouvoir politique ?
S.V : la CPVP est indépendante du pouvoir exécutif et du pouvoir judiciaire (puisque nous le contrôlons) et a une indépendance fonctionnelle par rapport au pouvoir législatif. Administrativement, elle est un organe collatéral de la Chambre, c’est-à-dire que nous n’en dépendons pas, mais que nous sommes financés par elle, indépendamment du budget de l’État. On rend des avis sur des demandes qui nous sont faites. On peut agir contre des administrations. Nous avons également un rôle de régulation de l’action administrative, via des sous-instances de la CPVP : les « comités sectoriels ».

Il y a quelques années, vous réagissiez avec d’autres acteurs sur les dangers potentiels de la carte MOBIB de la STIB. Aujourd’hui, le système est-il plus sécurisé ?
S.V : quand nous avons été saisis de l’enjeu à l’époque (2009), nous avons été très surpris par la manière dont la STIB avait procédé. Clairement, elle avait mis la charrue avant les bœufs. En fait, la carte MOBIB fonctionne comme un portefeuille électronique. On y stocke des valeurs que l’on consomme lors de nos voyages. La carte ne vous « fiche » pas en tant que tel, mais elle est alimentée par des bases de données et elle en alimente d’autres. À un moment donné, ces informations sont consolidées. La carte MOBIB est un de ces éléments qui sème des poussières de données, tout comme le fait notre carte de banque. Le problème posé n’était pas nécessairement les informations présentes sur la carte MOBIB, mais plutôt la consolidation énorme de vos informations à un endroit. La STIB et la CPVP ont donc travaillé ensemble pour qu’il y ait le moins d’informations possible sur la carte (en limitant leur temps de stockage, par exemple). Des systèmes très complexes ont été mis au point pour éviter les dérives que la carte aurait pu entraîner.
Depuis 2010, nous sommes dans un dialogue permanent avec la STIB ainsi qu’avec les autres sociétés de transport (De Lijn, TEC, SNCB). Aujourd’hui, la STIB a fait énormément de progrès. D’ailleurs, la CPVP vient de mettre fin à son monitoring permanent en octobre dernier. Par contre, De Lijn est la société de transport la plus en retard : elle veut stocker le plus d’informations possible, mais cela va se résoudre petit à petit. Globalement, les problèmes qui avaient été dénoncés initialement sont en passe d’être résolus.

Ces derniers temps, on entend énormément parler de fraude fiscale, de fraude sociale... Quel est l’avis de la CPVP sur les mesures qui sont envisagées pour les combattre ?  
S.V : la CPVP se penche toujours sur les justifications données a priori pour développer un système de contrôle afin de voir si cela tient la route. Un exemple : pour lutter contre l’inoccupation d’immeubles et pour pouvoir la repérer, des Régions nous ont demandé de pouvoir avoir accès aux compteurs de consommation. C’est clair que si, dans un immeuble, on consomme 20 litres d’eau par an, l’immeuble est inoccupé. Pour la CPVP, l’accès à de telles données est logique dans ce contexte-là. Mais nous avons posé des limites : la personne qui est titulaire du compteur d’eau doit pouvoir fournir des explications (elle pourrait être en mission à l’étranger pendant un an) et être en mesure de se défendre. Ce n’est pas possible de générer des décisions administratives contraignantes en se basant uniquement sur le monitoring d’un fichier. Mais l’accès à cette information, dans cette cadre-là, est compréhensible.
Il nous a été demandé la même chose pour lutter contre la fraude sociale. Exemple : une personne est domiciliée à tel endroit et l’administration suppose que c’est uniquement le cas pour bénéficier des allocations de chômage au taux « isolé », alors qu’en réalité, elle continue à vivre chez ses parents. L’accès à ses données de consommation d’eau est-il possible ? Ici, c’est plus problématique et la CPVP appelle à la vigilance : on peut vivre seul, mais quand même préférer faire la lessive chez ses parents pour des raisons économiques. Ici, la valeur de la consommation d’eau est beaucoup plus relative. Des systèmes de défense et d’autres systèmes d’explication et de vérification doivent être mis en place.
Cela étant, notre rôle n’est pas de dire si la lutte contre la fraude sociale/fiscale doit se faire ou pas. Nous nous focalisons sur la qualité de la motivation donnée pour mener de telles politiques. Nous avons la mission d’être le contrôleur de la pertinence de l’opération et des bonnes conditions de l’opération.

En juin 2013, Edward Snowden révélait les dessous du programme de surveillance PRISM de la NSA 3. Malgré son ampleur, il y a eu assez peu de réactions de la classe politique européenne, vous ne trouvez pas ?
S.V : ces révélations ont évidemment créé un grand malaise au sein de la classe dirigeante européenne, d’autant plus que cela se passe dans le cadre de réalités commerciales et financières importantes. Il est difficile d’interdire l’accès de sociétés américaines au territoire européen. Rien que pour des raisons financières, ce serait une catastrophe. Mais le souci avec des sociétés telles que Microsoft, Facebook, Google, Yahoo!, c’est qu’elles sont soumises aux règles du Patriot Act 4 qui les force, où qu’elles soient, à rendre des comptes à la justice américaine suivant les règles du droit américain. Bref, pour les États-Unis, le droit américain s’applique n’importe où dans le monde.
Tout le système PRISM s’est développé en se fondant sur la puissance économique et commerciale des sociétés américaines, le tout supervisé par la NSA. Pour se rendre compte de la puissance de cette institution, il faut imaginer un immeuble de 80 étages dans lequel les 10.000 employé(e)s sont tous docteurs en informatique. C’est une puissance intellectuelle extraordinaire. Et ce sont ces experts qui développent avec des ingénieurs de Microsoft, Windows 8 et MS Office pour voir quels points de surveillance des utilisateurs on peut introduire dans ces systèmes. C’est évidemment très inquiétant, et il y a effectivement eu peu de réactions politiques.

En matière de protection des données, un nouveau règlement européen est quand même en préparation.
S.V : oui, mais ce nouveau règlement ne va pas mieux nous protéger. Dire le contraire, c’est un mensonge absolu. Les nouvelles propositions émanant de l’UE sont d’essence à la fois liberticide (la protection actuelle est réduite) et se soumettent aux réalités économiques. C’est un cadeau fait aux entreprises tout en disant qu’on va protéger les gens. Le vrai problème avec l’affaire PRISM, ce n’est pas la surveillance (on peut la comprendre en soi, car cela peut assurer notre sécurité), mais sa non-transparence. Tout se fait dans des conditions qui touchent à l’ignoble. Et n’oublions pas qu’avant PRISM, il y avait le système ECHELON, qui existe toujours. C’est une sorte de monstre qui stocke des quantités infinies de données.
Quand l’affaire PRISM a éclaté, la CPVP a été désignée comme un des membres de la délégation européenne qui allait évaluer le système avec des Américains. Une fois là-bas, on nous a dit que tout allait bien et en sortant de leurs bureaux, on ne savait rien de plus. Sauf une chose : le président des États-Unis peut prendre des décisions qu’il ne doit expliquer à personne. Tout cela dépasse la question technologique : c’est une question de rapports de force politique, une question de conception de l’action publique et une question de modèle démocratique. Et en l’espèce, le système de contrôle des institutions publiques est très problématique aux États-Unis.

Qu’en est-il en Belgique ?  
S.V : chez nous, ce ne serait pas possible parce que nos services secrets sont relativement bien surveillés. C’est le Comité R qui s’en charge . Il peut mettre fin à des écoutes qui seraient mal justifiées, il rend des comptes à la Chambre, il fait un rapport public, etc.
S’il est évident que des questions telles que l’ « affaire Snowden » sont importantes, il ne faut pas perdre de vue des questions dont l’intérêt est sous-estimé. C’est par exemple le cas pour la protection des données des usagers des CPAS. Les CPAS sont les structures qui ont le plus d’informations sur les gens avec lesquels ils sont en contact. L’enquête sociale qui est menée a accès à énormément d’informations (pourquoi la personne a-t-elle été exclue du chômage ? Quels sont ses revenus ? etc.). Aller devant les responsables des CPAS pour leur expliquer ce qui est acceptable et ce qui ne l’est pas, leur expliquer leur capacité à faire des choix dans le respect des règles sur la protection des données, et faire en sorte que ces choix ne débordent pas des limites de la protection des personnes, c’est aussi important que de s’occuper de Facebook.

Face à ces atteintes à nos libertés fondamentales, comment riposter ?
S.V : il faut entrer dans un système de négociations plus dur que ce qu’on ne fait actuellement avec les États-Unis. Il faut être fort politiquement. Ce n’est pas plus difficile de négocier une protection de nos droits dans un système où la technologie est puissante que dans un système où elle n’existerait pas. Il faut juste avoir une position claire et forte. Et tout ce qui se négocie dans le cadre du TTIP 5 par exemple passe à côté des vrais enjeux. Le problème est que nous sommes confrontés à des gens qui ont énormément de pouvoir. C’est très difficile de résister à cette puissance-là. Seul le temps peut faire évoluer les choses. Et donc il nous en faudra. Cela peut paraître pessimiste, mais je ne me sens pas impuissant.

Un bel exemple est peut-être la décision récente en matière de droit à l’oubli 6 ?
S.V : la décision de la Cour de justice de l’Union européenne a été prise parce que notre collègue espagnole l’a saisie et que le dossier était en état pour que la question soit posée à la Cour. Celle-ci a tranché : Google est aujourd’hui dépourvu de moyens de résistance devant les tribunaux. Le bémol c’est que la décision ne concernait qu’un cas individuel. En tirer des conclusions auxquelles on peut donner une portée générale est difficile. Face à cette décision, Google met en marche sa puissance économique. Mais une étape a été franchie et elle nous permet déjà de résoudre des cas dont nous sommes saisis.
Cela dit, il faut donner une juste portée à ce jugement : ce n’est pas la consécration absolue d’un droit à l’oubli. D’autant que fondamentalement, ce « droit » est ambigu. C’est toujours relatif. Il faut donc chaque fois faire une balance entre ce droit et le droit à l’information : y a-t-il un intérêt général à maintenir la diffusion de l’information ou un intérêt particulier domine-t-il parce que l’intérêt général a disparu ? C’est très compliqué à mettre en œuvre, mais c’est un vrai pas en avant. Cela montre qu’on peut avoir des moyens de contrôle assez forts. Toutefois, pour que ce soit bien fait, il faut que l’action publique soit vraiment démocratique et bien contrôlée et qu’il y ait une transparence des décisions.

Propos recueillis par Nicolas VANDENHEMEL

Willem Debeuckelaere est Président de la Commission de la protection de la vie privée et Stefan Verschuere Vice-président

Copyright : Willem De Beuckelaere & Stefan Verschuere

Ouvrage recommandé de lire : Glenn GREENWALD, Nulle part où se cacher, Paris, JC Lattès, 2014, 280 pages.


1. La Commission de la protection de la vie privée est instituée par une loi datant du 8 décembre 1992 (« loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel » ).
2. cf. la cybersurveillance dans le monde du travail qui renvoie à la manière dont les employeurs surveillent leurs employés.
3. Edward Snowden est un informaticien américain et ancien employé de la National Security Agency (NSA).
À partir de juin 2013, il a provoqué un séisme médiatique et politique en divulguant à la presse l’existence de programmes de captation des métadonnées des appels téléphoniques aux États-Unis, et les systèmes d’écoute sur internet des programmes de surveillance PRISM, XKeyscore, Boundless Informant et Bullrun du gouvernement américain, ainsi que les programmes de surveillance Tempora, Muscular et Optic Nerve du gouvernement britannique. À la suite de ses révélations, Edward Snowden est inculpé le 22 juin 2013 par le gouvernement américain pour espionnage, vol et utilisation illégale de biens gouvernementaux. Exilé à Hong Kong, puis à Moscou, il a obtenu, après de multiples péripéties, l’asile temporaire en Russie et, le 1er août 2014, un droit de résidence pour 3 ans (source : Wikipédia) (NDLR).
4. Le Patriot Act a été voté peu après les attentats du 11 septembre 2001 par le Congrès américain. Il renforce le pouvoir des agences gouvernementales américaines (CIA, NSA...) dans la lutte contre le « terrorisme ». Ce texte suscite de nombreuses critiques, car il réduit des libertés fondamentales (protection de la vie privée, liberté d’expression...) et les droits de la défense,
notamment (NDLR).
5. Le TTIP est l’acronyme de Transatlantic Trade and Investment Partnership (Partenariat transatlantique de commerce et d’investissement), mieux connu sous le nom de « traité transatlantique », dont l’objectif principal est d’« harmoniser » les normes sociales, environnementales, sanitaires de part et d’autre de l’océan Atlantique. Si cet accord devait être conclu, un important nivellement par le bas des normes européennes est à craindre. Avec des effets dramatiques pour les populations concernées (cf. Xavier Dupret, « Un accord de libre-échange très suspect», Démocratie, novembre 2013, pp.2-4) (NDLR).
6. L’affaire dont il est ici question concernait un internaute espagnol qui a réclamé auprès de l’Autorité espagnole de protection des données la suppression de deux articles de presse évoquant ses dettes. Il demandait aussi à ce qu’ils ne soient plus indexés par Google, au motif que ces dernières n’étaient plus d’actualité.
Si la Cour de justice de l’UE ne s’est pas prononcée sur la suppression des articles de presse, l’internaute a eu gain de cause concernant Google. La Cour a ainsi reconnu la possibilité pour un internaute de faire supprimer des pages de Google, pour autant que les informations recensées soient « inadéquates, pas ou plus pertinentes ou excessives ». Ce n’est toutefois pas la consécration d’un droit absolu à l’oubli, puisque les juges européens précisent qu’un équilibre entre la liberté d’expression et d’information et le droit à la vie privée doit être trouvé (source : Le Monde, 13 mai 2014) (NDLR).

Le Gavroche

Rien de neuf sous le soleil

D’accord, les Déclarations de politique ne relèvent pas de la franche rigolade. Pourtant,… Lire la suite
Mai 2019

Tous les numéros

Décembre 2019