Scandale de l’APD, lanceuses d’alerte menacées : Charlotte Dereppe et Alexandra Jaspar se confient

Par N°245 / p. WEB • Mars-avril 2022

L’affaire a fait la une en décembre dernier. Pendant près de deux ans, deux directrices de l’autorité de protection des données ont dénoncé et alerté. Sur des mandats illégaux, des conflits d’intérêts et d’autres violations caractérisées de la loi, mais aussi sur le fait que le gouvernement belge ne respectait pas les règles en matière de récolte de données, déterminées par le règlement européen entré en vigueur en 2018 dit “RGPD” (“Règlement général sur la protection des données”). N’ayant pas été écoutée par le gouvernement et le Parlement, Alexandra Jaspar a décidé de démissionner à la fin de 2021. Charlotte Dereppe est restée en place, mais une procédure de révocation de son mandat a été ouverte début 2022 : elle risque donc de perdre son emploi. Depuis l’entame de leur combat, malgré plusieurs avis d’instances leur donnant raison, toutes deux subissent pressions et menaces. Elles ont accepté de nous les raconter. Pendant près de deux heures, elles nous ont expliqué les faits, les conséquences de ces dysfonctionnements mais aussi le silence, les menaces, et leur crainte pour leur futur et celui des citoyen·nes… En somme : un scandale d’État. Un entretien bousculé par l’actualité, qui paraîtra aussi dans notre numéro 245 (mars/avril).

© Lara Pérez Dueñas, pour axelle magazine

Pour comprendre toute cette affaire, il faut remonter quelques années en arrière, en 2017. Avec l’explosion du numérique, des réseaux sociaux et des achats en ligne, mais aussi avec la digitalisation d’une série de services publics, l’Europe se dote d’un règlement pour protéger les citoyen·nes de dérives dans l’utilisation de leurs données. Ce règlement porte le nom de “RGPD” (Règlement général sur la protection des données). Toutes les entreprises doivent le respecter, de même que les autorités publiques qui utilisent des données des citoyen·nes.

En Belgique, le gouvernement fait le choix de supprimer la Commission de la protection de la vie privée, aux pouvoirs limités, pour créer l’Autorité de protection des données. L’APD voit le jour en mai 2018. Elle possède une structure organisationnelle différente de la Commission et des compétences plus larges, notamment une compétence d’inspection et de sanction. Elle est composée de 5 organes et d’un Comité de direction.

Cette autorité de contrôle a donc comme mission principale d’aider les citoyen·nes en cas de manquements dans l’utilisation de leurs données personnelles : nous pouvons tous et toutes déposer plainte auprès de cette autorité si nous estimons que nos données n’ont pas été correctement utilisées par un tiers.

Mais l’APD a aussi la mission de contrôler que les textes législatifs belges n’entrent pas en contradiction avec les règles européennes en matière de protection des données. Parce que la protection des données est importante, nécessaire et même considérée comme un droit fondamental, au même titre que la liberté d’expression ou le droit à l’intégrité physique. Pourtant, depuis plus d’un an et demi, l’APD fait régulièrement la une des journaux pour des problèmes de mandats illégaux, de conflits d’intérêts, de violation de la loi par certains de ses dirigeants (utilisation illégale de deniers publics, etc.), de manque de transparence…

Deux lanceuses d’alerte, toutes deux directrices de cette autorité, ont dénoncé ces problèmes graves. Alexandra Jaspar (ex-directrice du Centre de connaissances de l’APD) et Charlotte Dereppe (directrice du service de première ligne de l’APD) ont constitué un dossier d’un millier de pages pour expliquer au Parlement la situation. À maintes reprises, des avis négatifs ont été rendus sur des projets de loi (par exemple sur le nombre de données collectées sans raison pour le tracing des personnes positives au Covid-19 et des cas contacts, ou encore sur les normes permettant à l’État de réutiliser des données à des fins indéterminées), mais le gouvernement n’en a pas tenu compte.

Elles nous ont accordé un entretien exceptionnel, suivi par un décodage et par la réaction de Charlotte Dereppe à la procédure de révocation de son mandat, dont, nous venons de l’apprendre, elle fait l’objet.

Pourquoi la protection des données est-elle importante ? En quoi nous concerne-t-elle ?

Charlotte Dereppe : “La protection des données est un droit fondamental. C’est ce qui permet à chaque personne qui produit des données – c’est-à-dire tout le monde – de voir ce qu’on en fait. Je peux moi-même, en consultant la loi X ou l’ordonnance Y, vérifier ce que peut faire une autorité publique avec mes données. Pour une entreprise privée, je peux consulter le contrat qui me lie à cette entreprise, par exemple avec mon opérateur téléphonique. De la sorte, j’aurai connaissance de ce que ces institutions ou ces entreprises font et feront avec mes données. Celles-ci sont, la plupart du temps, récoltées et utilisées pour des raisons valables et de manière cadrée.”

Et pourtant, ça reste très abstrait.

C’est difficile d’imaginer les conséquences de la perte du contrôle de nos données privées.

Ch.D. : “Oui ! Si on imagine un projet de loi disant qu’on va autoriser “un petit peu de torture”, évidemment ça ferait scandale, parce que l’intégrité physique, c’est concret, on voit ce que c’est. Mais par contre, si on commence par dire que c’est une situation de pandémie, que c’est exceptionnel et que la protection des données, ce n’est pas si important, ça passe… C’est plus difficile d’imaginer les conséquences immédiates, à moyen ou à long terme, de la perte du contrôle de nos données privées. Souvent, quand ce droit n’est plus respecté, on s’en rend compte alors qu’il est trop tard. Une fois que les conséquences sont là. Et c’est très difficile de faire marche arrière.”

Quelles sont les conditions pour pouvoir récolter des données ?

Ch.D. : “En très résumé, le règlement européen prévoit que trois conditions doivent être réunies : la finalité, la proportionnalité et la légalité. Quand on récolte des données, on doit d’abord savoir pourquoi on les récolte. Par exemple, j’achète une paire de chaussettes en ligne. Le magasin aura besoin d’avoir mon adresse et ma pointure, pour envoyer à la bonne adresse la paire de la bonne pointure. C’est la finalité. Mais le magasin n’a pas besoin, en plus, de savoir combien j’ai d’enfants ou combien je pèse. Donc on récolte seulement les données dont l’entreprise a besoin. C’est la proportionnalité. Et enfin, ce que vous allez donner comme données et à quoi elles vont servir, ça doit pouvoir être consulté quelque part, dans les conditions générales de vente ou dans la politique en matière de confidentialité, par exemple. C’est la légalité.”

Pour les institutions publiques, c’est pareil ?

Ch.D. : “Tout à fait. Légalement, il faut que les conditions de finalité et de proportionnalité soient inscrites et consultables librement dans un texte qui aura été débattu démocratiquement au Parlement. À partir du moment où l’une de ces conditions n’est pas respectée, s’il en manque même une seule des trois, on se place dans l’illégalité et on risque des dérives.”

Lors des dernières décisions, pendant la pandémie notamment, quelles sont les conditions que le gouvernement n’a pas respectées ?

Ch.D. : “Pour tout ce que nous avons pu consulter, la plupart du temps, aucune des trois conditions n’a été respectée. C’est d’ailleurs ce que confirment les avis rendus par le Centre de connaissances de l’APD.”

Au niveau de la légalité notamment, l’un des problèmes que vous soulevez, c’est que les textes sur lesquels s’appuient toute la campagne de tracing et une grande partie de la gestion sanitaire de la pandémie sont des arrêtés ministériels. Qui dit “arrêtés ministériels” dit “pas besoin de discussions et de passer au Parlement”.

Ch.D. : “Oui, c’est ça. Ces arrêtés ont finalement été transformés en “accords de coopération” [une convention négociée entre Autorité fédérale, Régions et Communautés, ndlr], mais les débats au sein du Parlement n’ont pas eu lieu. Ce sont des mesures prises par les gouvernements, et qui sont “à prendre ou à laisser” par le Parlement. Sur lesquelles il n’y a eu aucun débat public : on n’a pas entendu des experts, les députés n’ont pas pu s’exprimer. Le travail démocratique n’a pas eu lieu.

Beaucoup de données récoltées n’étaient pas nécessaires pour le suivi de la pandémie.

En ce qui concerne la finalité, ça ne va pas non plus. Au départ, dans le cas du tracing par exemple, les textes prévoyaient que ses objectifs étaient d’émettre des recommandations pour des questions de santé publique. Mais, quelques mois après, on constatait que la police locale avait accès aux données du tracing pour contrôler le respect de la quarantaine… La finalité n’était donc pas assez claire et a été utilisée pour de la répression. Enfin, en termes de proportionnalité, on a constaté que beaucoup de données récoltées n’étaient pas nécessaires pour le suivi de la pandémie. Comme par exemple les données de l’employeur d’une personne malade, le scanner des poumons, le nom du laboratoire, le nom du médecin…”

Cette pandémie était – et est encore – exceptionnelle, il a fallu agir en urgence absolue. Vous comprenez que certaines règles aient été contournées ?

Ch.D. : “Protéger des données, ce n’est pas être “pour” ou “contre” les mesures de contrôle et de répression, mais prévoir que ces mesures soient encadrées et que les droits fondamentaux soient respectés, surtout en cas de crise. Pourquoi ? L’un des dangers, en particulier aujourd’hui, avec le populisme qui prend de plus en plus de place, c’est que quand on se sait surveillé, on essaie de ne pas se faire remarquer, on fait ce qu’on attend de nous et on endort son esprit critique. Ce phénomène est démontré depuis des siècles. Et ça, pour nos démocraties, c’est hyper dangereux. Donc l’encadrement et le débat démocratique autour de la surveillance et de la récolte de données doivent être une priorité.”

Le gouvernement ne respecte donc pas toujours le processus de récolte des données exigé par l’Union européenne. Vous rendez ainsi, logiquement, des avis négatifs. Est-ce que ces avis sont entendus ?

Alexandra Jaspar : “Pas du tout. La seule fois où on a obtenu gain de cause, c’est dans le cas de la “Loi pandémie” où un article prévoyait que le gouvernement pourrait utiliser toutes les données de tous les Belges pour contrôler le respect des mesures de lutte contre la propagation du virus ! Nous avons fustigé cette loi et nous avons obtenu que cet article soit enlevé. À part ça, oui, les responsables au gouvernement se sont assis sur nos avis.”

Du coup, qu’est censée faire l’autorité de contrôle ?

A.J.  : “Que fait une autorité de contrôle censée protéger les citoyens et leurs droits ? Elle doit aller plus loin : introduire un recours auprès de la Cour constitutionnelle, demander la suspension de la loi, aller devant le Conseil d’État, demander à être auditionnée au Parlement… En gros, faire quelque chose. Mais personne au sein de l’APD n’a voulu bouger. Et pire, l’un des dirigeants s’est opposé à toute action de ce type.”

Donc à l’APD, tout le monde se tait ?

Je continue à vivre  un musèlement à l’interne.

Ch.D. : “C’est même pire : tout le monde nous fait taire au sein de l’APD. On a vécu – et je continue à vivre, d’ailleurs – un musèlement à l’interne. L’action qu’Alexandra et moi avons menée a été très mal vécue à l’extérieur de l’APD, mais aussi à l’intérieur de l’autorité. Par des manières diverses et variées, mais quotidiennes, constantes et à tous les niveaux, nous vivons des mesures qui ont pour but de nous user, de nous fatiguer et de nous faire abandonner le message d’alerte qu’on a lancé. Dès le début, on a constaté des dysfonctionnements ; dès le début, on les a dénoncés en interne… Et puis, comme ça ne bougeait pas, on les a dénoncés au Parlement, il y a un an et demi.”

Ce que vous décrivez, en plus du gouvernement qui ne prend pas en compte l’avis d’une autorité de contrôle, c’est le dysfonctionnement de l’autorité elle-même.

Ch.D. : “Oui. Dès notre arrivée à l’APD, en 2019, Alexandra et moi remarquons qu’il y a des personnes qui sont nommées alors qu’elles ne répondent pas aux conditions d’indépendance. Pendant de longs mois, on a essayé plusieurs fois d’alerter nos collègues du comité de direction que ce manque d’indépendance était grave pour notre image d’autorité de contrôle, mais aussi pour notre fonctionnement. Sans résultat. Quand la pandémie est arrivée, ça a aggravé le phénomène. En septembre 2020, puisque nous n’y arrivions pas en interne, on a alerté le Parlement avec un rapport circonstancié de 1.000 pages. On pensait qu’il réagirait. On a été naïves… Parce qu’encore une fois, rien ne s’est passé. Et puis on a reçu des messages informels pour nous dire qu’on allait être licenciées, révoquées de nos mandats. L’idée, c’était de nous faire peur et qu’on parte de nous-mêmes. Aujourd’hui, on en est là…”

Alexandra Jaspar, vous avez pris la décision de démissionner en décembre 2021.

A.J.  : “Ça a duré deux ans et demi au total. Et la situation n’a pas avancé d’un iota. Si j’avais vu une petite avancée, même lente, je me serais accrochée. Mais non seulement ça n’avance pas dans le bon sens, mais pire, on sait qu’au moins un nouveau projet de loi va arriver [une réforme complète de la loi de 2018, qui a donné naissance à l’APD, est en cours par le secrétaire d’État à la Digitalisation Mathieu Michel (MR), ndlr]. Vu ce qu’en rapporte la presse, ce projet de loi risque d’empirer la situation actuelle et de rendre l’APD encore plus influencée par le pouvoir politique. Donc à un moment on se dit : “À quoi ça sert ?” Tout ce qu’on arrive à faire, c’est mettre notre santé en danger. Je me suis dit : soit je reste et je continue à me prendre des murs, soit je reste et je me tais, comme les autres. Je fais un petit 9h-17h, je prends mon salaire et je vais faire du sport… Mais ça ne correspond pas à mon tempérament. Donc, de guerre lasse, j’ai démissionné.”

Ch.D.  : “Aujourd’hui, nous avons fait des choix différents : Alexandra a démissionné, moi pas. Mais ce sont des choix qui se valent : d’un côté, l’expression de l’impossibilité d’exercer les missions pour lesquelles nous avons été engagées, donc, une démission. Et moi, j’estime que ce n’est pas à moi de partir, mais à l’APD d’obtenir enfin les conditions de son intégrité.”

Avez-vous eu du soutien ?

Il y a une solidarité entre nous qui a fait qu’on a pu tenir jusque-là.

Ch.D.  : “Pendant deux ans et demi, nous nous sommes battues seules en interne. Nous sommes différentes, mais nous partageons les valeurs d’intégrité et du travail bien fait. On s’est vraiment trouvées comme sœurs de combat. C’est important de le dire aussi, je pense : il y a une solidarité entre nous qui a fait qu’on a pu tenir jusque-là. Ça a été hyper important qu’on soit ensemble. Par contre, au niveau de l’extérieur de l’APD, on a été soutenues par la société civile et par certains députés et eurodéputés.”

Pensez-vous que vous avez été moins entendues parce que vous êtes des femmes ?

Ch.D.  : “Je pense que c’est plus difficile d’être des lanceuses d’alerte que des lanceurs d’alerte, nous avons eu parfois des remarques sexistes… Mais je ne suis pas certaine que si nous avions été des hommes, les choses auraient été foncièrement différentes.”

Quand on confrontait un homme à ses erreurs, il y avait toujours un autre homme pour le défendre.

A.J.  : “Je pense que c’est aussi une question de réseautage. En tant que femmes, nous en avons moins, surtout dans ces hautes sphères de l’État. Quand on confrontait un homme à ses erreurs, il y avait toujours un autre homme pour le défendre… Sans vouloir généraliser, le côté “petits arrangements entre nous”, “je te couvre cette fois-ci, tu me couvriras la fois prochaine”, ça semblait normal à mes collègues masculins alors que ça m’a profondément choquée.”

Ch.D.  : “Ce qui est très marquant à ce niveau, je trouve, ce sont les notes de frais de restaurant. Certains de nos collègues ont des notes de frais de restaurant toutes les semaines. Personnellement, j’ai dû déposer peut-être 200 euros de notes de frais de restaurant depuis que je suis là, en deux ans et demi. C’est assez révélateur de ce réseautage que nous n’avons pas !”

Avez-vous peur de nous parler aujourd’hui ?

Ch.D. : “Oui, j’ai peur. Tout ce qu’on fait aujourd’hui est jugé, contrôlé, interprété. On doit donc tout calculer pour que rien ne puisse nous être reproché. Le message que nos opposants essaient de faire passer sur nous, c’est que nous sommes incompétentes. Que c’est pour ça qu’Alexandra a démissionné et que moi, je suis une grosse paresseuse et que je reste là pour profiter de mon salaire.”

Rebonds belges et européens

Un gouvernement qui ne tient pas compte de l’avis de l’autorité de contrôle, alors qu’il est censé le suivre. Des mandats illégaux, des violations de loi et des conflits d’intérêts au cœur de cette situation. Ces accusations sont graves ; plusieurs instances dressent ces mêmes constats. Un rapport de la Cour des comptes, publié en juin 2021, vient corroborer les dires d’Alexandra Jaspar et de Charlotte Dereppe. Dans ce rapport confidentiel, que nous avons pu consulter, la Cour pointe les manquements et les erreurs de fonctionnement de l’autorité de contrôle. Mais ce rapport cible aussi la mauvaise ambiance et les tensions au sein des membres de l’APD, estimant que le manque de cohésion au sein du comité de direction et le climat tendu affectent le bon fonctionnement de l’autorité de contrôle.

Dans la presse, le mandat illégal et les conflits d’intérêts de Frank Robben, conseiller membre du Centre de connaissances de l’Autorité, ont été pointés dès juin 2020, notamment dans un article du magazine Wilfried. Depuis, les langues se délient et les articles se suivent dans les colonnes du Soir, de La Libre ou sur le site internet de la RTBF. Avec eux, d’autres noms ressortent, et deux conseillers du Centre de connaissances démissionnent en février 2021.

L’Union européenne – une première – lance une procédure d’infraction au RGPD contre la Belgique après avoir constaté le manque d’indépendance de l’APD. La Belgique doit se justifier et envoyer une réponse à l’Union.

Frank Robben a annoncé sa démission de l’APD le 8 février dernier. Dans une lettre envoyée à la Présidente de la Chambre, Éliane Tillieux (PS), Frank Robben a finalement demandé à être démis de son poste de membre externe du Centre de connaissances de l’Autorité de protection des données. Démission survenue, comme le souligne la Ligue des Droits Humains dans un communiqué du même jour, à quelques heures de l’ultimatum posé par la Commission européenne avant l’introduction de la procédure en infraction devant la Cour de justice de l’Union européenne.

Charlotte Dereppe, victime collatérale de la lenteur de la Belgique ?

Une loi est sur la table du gouvernement pour assurer plus de transparence et d’indépendance de l’autorité de protection des données. Cette nouvelle loi comporterait notamment un article spécifique destiné à protéger les éventuel·les lanceurs et lanceuses d’alerte. Trop tard pour Charlotte Dereppe. Depuis notre entretien, elle a appris par voie de presse que des parlementaires ont demandé la suspension de son mandat de directrice. Pourtant, une directive européenne prévoit bien la protection des lanceurs/euses d’alerte. Mais la Belgique ne l’a pas encore retranscrite. À l’heure actuelle, dans notre pays, aucune loi ne protège donc Charlotte Dereppe. Nous lui avons à nouveau posé quelques questions.

Vous avez appris que la procédure de révocation de votre mandat avait été ouverte en vue de votre licenciement. Comment avez-vous réagi ?

Je suis surtout curieuse de connaître ce qui m’est reproché.

Ch.D. : “Je n’ai encore reçu aucune information du Parlement. Je suis surtout curieuse de connaître ce qui m’est reproché. En écrivant au Parlement il y a un an et demi, je ne m’attendais pas à ce que ça aboutisse à une procédure de révocation de mon mandat.”

Frank Robben parti, est-ce une bonne nouvelle pour le fonctionnement de l’APD ?

Ch.D. : “Je n’ai pas d’appréciation morale à avoir sur cette démission. Ce qui est en revanche notable, c’est la mobilisation de temps, d’argent, d’énergie et de ténacité qu’il aura fallu pour arriver à ce résultat. Toutes ces ressources publiques, belges et européennes, auraient pu être consacrées à des projets plus porteurs si ce mandat illégal s’était terminé plus tôt.

Quant au fonctionnement de l’APD et à son indépendance, il reste beaucoup à faire. Il ne faut pas faire de cette affaire une question de personne. C’est tout un système d’utilisation des données des citoyens par les autorités publiques qui est malade. Frank Robben était un membre sur six d’un comité extérieur à l’APD. S’il avait été seul et isolé dans sa loyauté envers le gouvernement, loyauté tout à fait normale puisqu’il est mandataire public, l’APD aurait pu fonctionner. Or force est de constater que l’APD n’a entamé aucune action significative pour mettre fin à des traitements de données abusifs ou injustifiés du secteur public. Cette loyauté aux autorités publiques de la part de plusieurs membres de l’APD est beaucoup moins normale.”

Le projet de loi du secrétaire d’État Mathieu Michel (MR) réformant l’APD prévoit un statut de protection pour les lanceurs et lanceuses d’alerte. Est-ce un bon signe ?

Ch.D. : “J’ai pris connaissance de ce projet de loi, mais je n’y ai pas décelé de mesures protégeant les lanceurs d’alerte. Je ne le commenterai pas plus car, en tant que membre de l’APD, je suis tenue à respecter le rôle de chacun, déterminé par la loi. C’est à l’organe d’avis de se prononcer.”

Est-ce que ce projet n’arrive pas trop tard ?

Ch.D. : “En réalité, mon sort ne dépend que du Parlement. Actuellement, il peut me licencier s’il estime que j’ai commis des fautes graves. Ou bien ne rien faire, s’il s’avère que j’ai juste fait mon boulot. Pour ma part, je considère que dénoncer les mandats illégaux et les graves dysfonctionnements à l’APD était la chose à faire pour contribuer à la protection des données. Même si ça m’a énormément coûté humainement.”

C’est donc aujourd’hui aux parlementaires d’analyser le bien fondé de la révocation de mandat de Charlotte Dereppe. Deux raisons pourraient justifier cette révocation : une faute grave ou une incapacité à travailler dans des conditions correctes.