Autorité de protection des données: la lanceuse d’alerte auditionnée à la Chambre

La Chambre a entendu mercredi David Stevens et Charlotte Dereppe. Les deux membres de l’Autorité de Protection des Données (APD) font l’objet d’une procédure de révocation dans le cadre des dysfonctionnements au sein de l’organe.

Le président du comité de direction de l’APD, David Stevens, et la directrice du service de première ligne, Charlotte Dereppe, ont été auditionnés mercredi par la commission Justice de la Chambre. Tous deux font l’objet d’une procédure en révocation à la suite de dysfonctionnements et de conflits d’intérêts au sein de l’organe de contrôle. Charlotte Dereppe et sa collègue, Alexandra Jaspar (ex-directrice du Centre de connaissances de l’APD) avaient dénoncé, à travers des courriers adressés au Parlement, l’omniprésence du haut-fonctionnaire Frank Robben aux différents stades des procédures de contrôle. Multi-casquettes, celui-ci est également administrateur général de la Banque Carrefour de la Sécurité sociale, de la plateforme eHealth, patron de la Smals, et principal rédacteur des décisions du Comité de sécurité de l’information (CSI). C’est aussi à lui que revenait, via la société Smals (à laquelle fait appel l’APD), la gestion de la quasi-totalité du traitement informatique des données de l’Etat, y compris celles collectées dans le cadre de la crise du coronavirus.

Un cumul de fonctions qui mettait en péril l’indépendance de l’APD. Si bien qu’une procédure en infraction grave au règlement général sur la protection des données (RGPD) avait été lancée par la Commission européenne. Frank Robben avait finalement remis sa démission le 7 février, évitant ainsi à la Belgique de faire l’objet de poursuites.

Que reproche-t-on à David Stevens et Charlotte Dereppe ? Au patron de l’APD, sa participation dans la Task Force Corona, à la lanceuse d’alerte ses absences aux réunions au Comité de direction. « L’intéressée n’assisterait plus aux réunions du comité de direction depuis le 24 mars 2020, ni physiquement ni par visioconférence. Elle justifierait ce choix en évoquant des violences verbales qu’elle aurait subies lors de réunions du comité de direction, et ajouterait qu’il lui semble inutile d’assister aux réunions vu le peu de cas qui est fait de ses avis. En lieu et place, l’intéressée fournit une note écrite dans laquelle elle commente les points de l’ordre du jour. Cette façon de procéder empêche toutefois que l’on discute du contenu de cette note« , peut-on lire dans la lettre de convocation du 17 mars détaillant les reproches qui lui sont adressés. Une absence que Charlotte Dereppe justifie en raison d’un congé de maternité, pour une partie de la période, et d’une campagne de dénigrement qu’elle aurait subie lors de ces réunions. Elle était néanmoins d’accord pour y participer à nouveau à condition que les échanges puissent être enregistrés. Ce qui lui a été refusé.

Elle aurait aussi fauté par son « manque de cohésion au sein du comité de direction » et aurait proféré des accusations « non étayées » envers certains membres de l’APD, dont David Stevens et Franck Robben, à la limite de « l’outrage ».

La principale intéressée, elle, voit dans la procédure dont elle fait l’objet une tentative de museler les lanceurs d’alerte et une manière pour le Parlement de se décharger de sa responsabilité dans la révocation de Frank Robben.

« Je me suis adressée à vous, avec ma collègue Alexandra Jaspar, en septembre 2020. Pour vous alerter sur l’inopérance de l’APD, en raison de mandats illégaux et d’agissements visant à couvrir le système incestueux entre contrôleurs et contrôlés. Ce que nous avons révélé avec nos alertes, c’est le fait que l’ensemble de l’APD est corrompue et choisi en toute conscience de protéger des intérêts particuliers, au détriment de la protection des données », argumente-t-elle dans une lettre de défense rédigée à l’attention des membres de la Commission. « Ces représailles, poursuit la lanceuse d’alerte, s’ajoutent au harcèlement en interne, aux attaques contre mon entourage ou à la remise en cause de mes congés maternité… Votre longue inaction a légitimé les illégalités et le harcèlement à mon encontre« .

Le secrétaire d’Etat à la Digitalisation, Mathieu Michel, a récemment déposé un avant-projet de loi destiné à réformer l’APD. Le texte, approuvé fin janvier par le Conseil des ministres et sur lequel le Conseil d’Etat doit encore émettre un avis, doit servir à ce que la désignation d’experts ne nuise plus à l’indépendance de l’APD. Ceux-ci « ne pourront plus participer au processus décisionnel, ni à une quelconque délibération, et ne seront pas autorisés à codiriger des projets d’avis ou de recommandations ou à participer à des discussions sur ces projets ».

Mais le texte établit également des critères permettant de révoquer un membre du comité de direction, notamment s’il a entravé le bon fonctionnement de l’APD « par ses actions ou ses inactions, ou s’il n’a pas respecté le fonctionnement collégial du comité de direction ». Quant au renouvellement des mandats des directeurs, il serait conditionné à une évaluation positive de la Chambre… Bien qu’un cadre spécifique conforme à la directive européenne sur les lanceurs d’alerte soit prévu dans l’avant-projet, si un membre du comité de direction, dans l’exercice de son mandat, a fait obstacle au bon fonctionnement de l’APD, il risque lui aussi la révocation.